Das mag jetzt ein paar Leute in gewisser Weise schockieren.
Nur weil ein System mit NMAP als sicher eingestuft wird, die Ports also von außen alle “zu” sind weil man einen Standard-Router mit Firewall angeschlossen hat, bedeutet dies leider nicht, dass es spitzfindige Möglichkeiten gibt, trotzdem Datenpakete durch den Router zu schleusen und in das Intranet zu schicken.
Im Intranet kann dann ein Programm auf solche Signale reagieren und Prozesse auslösen, zB Backdoor-Programme starten oder beenden – je nachdem welche Pakete es schaffen, im Intranet verteilt zu werden.
Noch einmal, damit Sie es verstehen: Sie wissen, es gibt Portscanner die Ihnen versichern, der Router sei sicher. Suchen Sie im Internet einmal nach “Online Portscanner”, um festzustellen ob Ihr Router wenigstens diese Hürde übersteht.
Es gibt Router, die als Nebenfunktion eine Firewall besitzen. Dort wird nicht viel über Sicherheit gesagt – schon einmal aufgefallen? Es gibt ein Problem, denn Sie haben von Ihrem Router keinen Quellcode, Sie müssen sich auf die Features verlassen.
Fehler.
Das ist leider ein großer Fehler, deswegen schreibe ich am Feiertag darüber – denn wenn ein Netzwerk angegriffen und Pakete ein Netzwerk durchlaufen können, ist dies einen Artikel wert.
Nehmen wir mal an, Sie haben zwei Router. Einer davon ist gut, der andere ist schlecht. Sie setzen den schlechten Router zuerst an das Internet und schalten den “guten” Router dahinter. Wow, zwei mal NAT – na wenn das nicht sicher ist!!!
Fehler.
Der schwacher Router mit der schwachen Firewall nimmt die Pakete an, die sich durch die Firewall schleusen und transformiert / korrigiert diese so, dass sie den zweiten Router richtig erreichen können. Dieser ist dann der Ansicht, dass die Prüfsummen richtig sind und der Sequenzzähler scheint ja auch zu stimmen (wenn SPI aktiviert ist), die ersten Hürden sind genommen.
Genau wie bei der Anwendung starker Kryptogra{ph|f}ie muss die stärkste Hürde zuerst vorgeschaltet werden – zB bei der Mehrfachverschlüsselung ist Serpent, Twofish und ZULETZT AES angesagt, sofern man nur diese Möglichkeiten besitzt. Im Netzwerk muss die stärkste Firewall zuerst vorgeschaltet werden!
Es scheint wohl so, dass es bestimmte Routerpakete gibt, die vollautomatisch die Firewalls der Standardrouter umgehen und die Datenpakete in die Intranets schicken können. Ich habe dazu den “schwachen” Router angeschlossen, dahinter eine “richtige Hardware-Firewall” die anschließend alles gelogged hat. Die Screenshots davon sind an sicherer Stelle, falls jemand behaupten sollte dies würde nicht funktionieren.
Aus Sicherheitsgründen möchte ich nicht weiter in die Details eingehen. Ein Router, der zB gewissen Attacken in einem bestimmten Netz völlig zu unterlegen scheint, ist der DIR-301 von DLink gewesen. Vielleicht sind auch die Einstellungen dort falsch gewesen, jedenfalls war kein Port-Forwarding und kein DMZ aktiviert. Eine nachgeschaltete, wie schon erwähnt “echte” Firewall hat die ganzen IPs gelogged, Screenshots haben wir erstellt – denn glauben kann man dies nur schwer.
Ein anderes Experiment mit einem Netgear-Router in ähnlicher Preislage verlief schon etwas besser. 99.99% der Pakete werden blockiert. Nicht schlecht, aber keine 100%. Viel zu gefährlich, wozu hat man denn eine Firewall?
Ein anderer netter Trick ist folgender. Ein Rechner versucht, an der vorgeschalteten Firewall vorbei zu kommen (die ihm eine IP zuteilt, das Surfen aber verhindert) indem dieser sich eine IP des Routers zuteilen lässt, der sich HINTER unserer Firewall befindet. Wie dies genau funktioniert, weiss ich noch nicht – jedenfalls befindet sich eine Software auf einem Vista-Rechner (Premium) die versucht, die erste Firewall zu umgehen und auf den zweiten Router zuzugreifen. Unsere “echte” Firewall reagiert darauf und sperrt die Client-IP des “Saboteurs” sofort und wenn es nötig ist auch den Router.
Hier ein Beispiel, wie es ein Vista-Rechner geschafft hat, sich einen DNS-Server außerhalb des Subnetzes zu angeln:
http://wp.progko.de/wp-content/uploads/2009/12/dnsklau1.jpg
Meine “richtige” Firewall hat dies bemerkt und als Dank den ganzen Router gesperrt. Absolut richtig.
Irgendwo in meinem zu sichernden Netz befindet sich also eine Information, dass es noch einen anderen DNS Server gibt.
Die Erlaubnis, einen DNS Server zu nutzen gab es in sofern, dass die Firewall DNS Requests für angemeldete User erlaubt hat. Dass dabei der DNS Server hinter der Firewall benutzt wird, davon war nicht die Rede.
Wir könnten einen DNS-Proxy benutzen, aber das ist zu einfach. Außerdem haben wir ja wieder den Zugriff auf den DNS Server, egal ob durch die Firewall oder durch einen Application-Level DNS Proxy (das ist ein Proxy-Server, den man nicht bemerkt – man muss nichts einstellen und er funktioniert trotzdem und von außen ist es nicht feststellbar – ja, loggen können die auch).
Wenn möglich, stellen Sie den DNS Server in den Interface-Settings zum DHCP Server so ein, dass die richtigen DNS Server bei der IP-Vergabe der Clients richtig übertragen werden. Am besten ist ein eigener, kleiner DNS Server der sich dann über einen DNS-Proxy mit einem öffentlichen DNS Server verbindet – oder dem des Routers. DNS ist ein Verbindungsport wie jeder andere auch, der nicht einfach so im Intranet geöffnet werden darf. Ein Exploit kann diesen Port sonst nutzen, um uneingeschränkt Daten zu transportieren. Ein DNS-Server mit DNS-Proxy ist zum Schutze des Netzwerks Pflicht. Ein Client macht eine DNS-Anfrage im Intranet an einen dortigen DNS-Server, der dann über ein anderes Netzwerkkabel über die Firewall mit einem (dortigen) DNS-Proxy verbunden ist, damit eine Socket-Verbindung nicht möglich gemacht werden kann. Etwas kompliziert.
Man muss hier einiges beachten, das ist nur mal ein kleiner Auszug.
Eine normale Firewall wäre uU möglicherweise dazu nicht in der Lage. Der Saboteur-PC gibt sich eine IP aus dem Netzwerk des ersten Routers und versucht somit, Router II zu umgehen indem DNS-Requests oder andere Dinge in das falsche Subnetz gebroadcastet oder gesendet werden.
Normale Router für den Hausgebrauch mit integrierter Firewall – wenn Sie diese Dinge in Ihrer Firma einsetzen – gute Nacht!
Um sich vor den Angriffen im Internet zu schützen, benötigt man erstklassige Hardware. Der Feind sitzt aber auch im System – zB kann man durch gefälschte Windows-Updates (das ist eine lange Geschichte) einen Rechner überwachen lassen. Sie müssen ja immer die neuesten Updates haben, gelle??? NEU NEU NEU! Das wird Ihnen angezüchtet, den unerfahrenen Anwendern und Administratoren. Fragen Sie mal Leute, die seit 20 Jahren im Geschäft sind. Never change a running system. Dafür gibt es gute Gründe.
Wenn Sie selbst etwas experimentieren wollen, benötigen Sie folgende Tools:
NMAP Portscanner (die Firewalls zeigen “zu” an, das muss aber nicht bedeuten dass Ihre Firewall funktioniert, dies sollte aber Minimum sein). Wenn Sie kein NMAP besitzen, suchen Sie nach einem “Online Portscanner” im Netz. Ports wie 21, 80, 113, 135, 135-140 müssen mindestens geschlossen sein. Spezial-Pakete werden Ihre Firewall dennoch möglicherweise wie in unserem Test umgehen.
Nessus – das ist schon etwas komplizierter, mittlerweile gibt es andere Werkzeuge, Klassiker sollte man aber dennoch einmal erwähnen. Nessus benötigt einen Server und einen Client, der Client startet den “Angriff” und der Server führt ihn aus, schickt das Ergebnis an den Client zurück.
Wireshark – ein beliebtes Tool – damit können Sie den Traffic aufzeichnen. Da gibt es nur ein Problem: Wie können Sie den Traffic von den Angriffen richtig unterscheiden und ist Ihre Hardware überhaupt in der Lage, diese Spezial-Pakete anzunehmen?
Wenn Sie seltsamen Traffic auf Ihrem Router haben und die Lampe (falls für Traffic vorhanden) ständig blinkt, obwohl Sie nicht im Internet unterwegs sind – dann versucht jemand mit allen Tricks, Ihr Netzwerk anzugreifen.
(PS: Wenn Sie mehr Sicherheit wünschen, meine E-Mail steht im Impressum)
Ich wünsche ein schockierendes, neues Jahr.
Der Feind im Internet ist mittlerweile überall, innen sowie außen. Denken Sie an meine Worte und lassen Sie Ihre Firma nicht ausspionieren.
Boris
