Firewalling. Autor Valentin Lätt Datum Thema Firewalling Version V 1.0

Transkript

1 Autor Datum Thema Version V 1.0

2 Inhaltsverzeichnis Inhaltsverzeichnis Einführung Begriffdefinition Varianten von Firewalls Die verschiedenen Modelle Das Webinterface Das Zonenmodell Die Zonen Sicherheit Angriffsmöglichkeiten Angriff auf eine Firewall Sicherheitsrisiko: Fehlkonfigurierte Serverdienste Beispielszenario zu falsch konfigurierten Serverdiensten Angriffsmethoden Angriffsmethode: DoS Angriffsmethode: DDoS Angriffsmethode: Exploiting Angriffsmethode: Man in the Middle Attacke Angriffsmethode: BruteForce Attacke auf Benutzerauthentifizierungssysteme Angriffsmethode: Dictionary Attacke auf Benutzerauthentifizierungssysteme Spionage Spionagemethode: Port Scan Spionagemethode: Vulnerability Scan Spionagemethode: Sniffing Spionagemethode: ARP Spoofing Spionagemethode: Social Engineering Quellnachweis Internetquellen Literaturnachweis Version: V 1.0

3 1 Einführung Im IT-Bereich ist die Sicherheit der Systeme je länger je mehr ein sehr wichtiges Kriterium für erfolgreiche Geschäftsaktivitäten. Immer mehr geschäftskritische Daten werden digitalisiert und auf Servern gelagert. Damit die Daten, welche sich auf internen Firmenservern befinden nicht über das Internet erreichbar und für jeden einsehbar sind, werden sogenannte Firewalls eingesetzt, welche den Netzwerktraffic (Datenverkehr über das Netzwerk) überwachen und nur bestimmten Regeln entsprechende Pakete weiterleiten und die restlichen Pakete verwerfen. 1.1 Begriffdefinition Der Begriff Firewall kann folgendermassen definiert werden: Eine Firewall ist ein Stück Hardware, welches zwei logische oder physikalische Netzwerke miteinander verbindet, jedoch den Traffic nur nach einem bestimmten Konzept ins jeweils andere Netzwerk weiterleitet. Der Begriff firewalling existiert laut deutscher Rechtschreibung nicht offiziell, wird im Internet und in Foren jedoch sehr oft für das gesamte Konfigurieren, Installieren und betreuen von Firewallsystemen benutzt und wird von den Lesern auch korrekt als dieses gedeutet Version: V 1.0

4 2 Varianten von Firewalls Meistens werden Hardwarefirewalls in Gateways oder Router implementiert und können somit gleich kombiniert eingesetzt werden. Eine weitere Möglichkeit eine Firewall zu betreiben wäre eine lokale Softwarelösung, welche auf dem zu schützenden System selber läuft - Sogenannte Paketfilter- Firewalls. Paketfilter laufen jedoch auf dem betroffenen Rechner als Dienst und können somit mit dem abschiessen oder beenden des Dienstes beendet werden. Das System ist nach dem beenden des Dienstes (Auch Service oder Daemon genannt) wieder genauso verwundbar wie es dies auch ohne Paketfilter wäre. In diesem Dokument werden primär Hardwarefirewalls thematisiert. Falls mit einem Ausdruck ein Paketfiltersystem gemeint ist, wird eindeutig darauf hingewiesen. Wenn die Firewall nicht mit einem Gateway oder Router kombiniert betrieben wird und somit nur als Durchgangsprüfer eingesetzt wird, muss diese im Bridgemodus betrieben werden. Diese Möglichkeit bieten kostengünstigere Modelle meistens nicht. Weitere Firewalls im Verkauf unterstützen VLAN Kompatibilität und können so in einem einzigen Physikalischen Netzwerk mehrere virtuelle Netzwerke und somit mehrere Subnetze betreiben, routen und absichern. Dies ist beispielsweise bei beschränktem Budget sehr praktisch durch die Kostenersparnis und der trotzdem vorhandenen Sicherheit. Einige Hersteller versuchen mit skurrilen Eigenbauten wie Virenfiltern, Proxyfunktionen und Überwachungstools eigene Basteleien an Firewalls durchzusetzen. Nach wie vor benötigen solche Erweiterungen jedoch Software, welche ihrerseits ebenfalls wieder eine Angriffsfläche darstellt und unnötig ist. Passend hierzu ist der Leitspruch zu allen Firewalls: Keep it simple, keep it save Die verschiedenen Modelle Firewalls werden in allen Formen, Farben, Grössen und mit verschiedenen Geschwindigkeiten von vielen verschiedenen Herstellern angeboten. Die bekanntesten Hersteller von Firewalls sind Cisco, Netgear, Zyxel, Linksys, Sonic, Yoggie und D-Link Version: V 1.0

5 3 Das Webinterface Das Webinterface einer Hardwarefirewall unterscheidet sich von Modell zu Modell. Meistens verwendet jeder Hersteller für alle seine Produkte das selbe (dem Corporate Design entsprechende) Design, schneidet jedoch die Menupunkte auf die jeweiligen Modellspezifikationen zu. Beispiele: Version: V 1.0

6 4 Das Zonenmodell Eine Firewall wird standardmässig je nach Preisklasse mit mehreren Zonen ausgeliefert. Jede Zone hat einen eigenen RJ45 Ethernetanschluss am Gerät und eigene Sicherheitsregeln (Ausnahme: VLAN Betrieb). Während Preiswertere Firewalls meistens nur zwei Zonen haben (WAN und LAN) haben die Luxuriöseren Modelle drei, vier (WAN, LAN, DMZ & WLAN) oder mehr Zonen. Die Modelle der Oberklasse sind dynamisch mit weiteren Geräten erweiterbar und bieten somit noch einmal deutlich mehr Zonen. Ab einer gewissen Anzahl Zonen macht es jedoch durchaus Sinn mehrere Firewalls an möglicherweise sogar verschiedenen Standorten einzusetzen. Meistens funktioniert der Zugriff auf die WAN Zone über einen Proxyserver, welcher sich in der DMZ Zone befindet. Die Rechner in der DMZ Zone sind von der LAN- und der WAN Seite erreichbar und können (beschränkt) auch auf beide Zonen zugreifen. 4.1 Die Zonen WAN Wide Area Network Meistens das Internet oder ein unsicheres Netzwerk. LAN Local Area Network Das interne Netzwerk. DMZ DeMilitarized Zone Demilitarisierte Zone (von beiden Zonen zugängliche Hosts befinden sich in dieser Zone). WLAN Wireless Local Area Network Das W-LAN dürfte jedermann ein Begriff sein. Aus diesem sind die Zugriffe ins interne Netzwerk meistens ganz untersagt oder sehr beschränkt möglich Version: V 1.0

7 5 Sicherheit Eine professionelle Firewall verfügt über einen gehärteten Protokollstack. Das bedeutet, dass die Firewall nicht alle Protokolle akzeptiert und somit eine kleinere Angriffsfläche bietet. Je mehr Durchgänge (Ports) und Wege (Protokolle) an einer Firewall offen und verfügbar sind, desto mehr Angriffsfläche bietet diese einem möglichen Angreifer. 5.1 Angriffsmöglichkeiten Als Angriffsmöglichkeiten bei durch Firewalls geschützten Systemen stehen zentral nur zwei verschiedene Möglichkeiten zur Auswahl. Zum einen einen Angriff auf die Firewall selbst, zum anderen ein Angriff auf das sich hinter der Firewall befindliche Netzwerk oder System. 5.2 Angriff auf eine Firewall Eine korrekt konfigurierte, gehärtete und aktuell gehaltene Firewall ist in der Regel sehr schwer angreifbar. Eine Angriffsmöglichkeit wäre ein eventuell vorhandenes Webinterface (Sollte aus diesem Grund per serieller Konsole deaktiviert werden sobald nicht mehr benötigt) oder andere Gateway- oder Proxysoftware. Sehr selten können auch veraltete Firmwaresignaturen der Ethernet-Interfaces ein Buffer-Overflow zulassen, was jedoch meistens nicht mehr als einen DOS zur Folge hätte. Bei einem Angriff, wovon das Opfer nichts mitbekommen sollte also nicht wirklich praktisch. 5.3 Sicherheitsrisiko: Fehlkonfigurierte Serverdienste Hierbei wird die Firewall ausgehebelt. Eine Fehlerfreie Firewallkonfiguration kann vor solchen Angriffen genauso wenig schützen wie eine perfekt funktionierende Firewall. Eine Firewall bietet keinen Schutz, wenn die sich dahinter befindlichen Dienste (welche durch die Firewall ansprechbar sind) nicht gut gesichert, beziehungsweise sicher konfiguriert wurden. Ein weit verbreiteter Irrtum ist, dass die Dienste weniger sicher konfiguriert werden müssen, sobald eine Firewall diese Dienste sichert. Die Dienste sind trotz Firewall noch genauso verwundbar wie es diese ohne ebenfalls wären. Unsichere Dienste sind somit ein sehr beträchtliches Sicherheitsrisiko, welches auf keinen Fall unterschätzt werden sollte und welches mit wenigen Handgriffen an der Konfiguration eines Dienstes behoben werden kann. Wenn alle Dienste richtig abgesichert sind, ist eine Firewall theoretisch nicht mehr notwendig. Den Vorgang des absichern der Dienste nennt man das härten eines Systems. Zur Systemhärtung zählen ebenfalls sogenannte Penetration Tests, was soviel bedeutet wie Selbstangriffe um zu testen ob ein System gegen gewisse Angriffe sicher ist Version: V 1.0

8 5.4 Beispielszenario zu falsch konfigurierten Serverdiensten Ausgangslage Angriffsfläche Mögliche Folgen Fazit/Hinweise Ein Apache Webserver wird hinter einer Software-Firewall betrieben, welche auf dem Server, auf welchem der Apache läuft, betrieben wird. An der Firewall ist Port 80 in- und outbound geöffnet. Auf dem Server ist PHP, MySQL und einige weitere Dienste in der Standardkonfiguration installiert. Eine Forensoftware in einer veralteten Version wird auf dem Server zu internen Zwecken betrieben. Die alte Forensoftware erlaubt das einschleusen von Schadcode durch einen Exploit. Durch diesen können Scripts auf den Server hochgeladen und ausgeführt werden. So kann beispielsweise die Firewall so manipuliert werden, dass über SSH (SSH ist ein unter Linux verwendetes Remotedesktop Programm ähnlich dem Windows Remotedesktop Tool) auf die Maschine zugegriffen werden kann. Das System kann über SSH remotegesteuert werden. Die Hacker können so Malware einschleusen und den Server beispielsweise als Zombierechner missbrauchen. Die Firewall wird in diesem Szenario ausgehebelt und hat somit keinerlei Schutzwirkung Version: V 1.0

9 6 Angriffsmethoden 6.1 Angriffsmethode: DoS DoS steht für Denial of Serice, was soviel heisst wie Einstellen der Aufgabe/Arbeit. Der Zielrechner wird bei dieser meist ziemlich trivialen Angriffsweise mit so vielen Paketen überflutet, dass dieser die Anfragen nicht mehr beantworten kann und den Service einstellen muss oder abstürzt. So kann ein älteres System meist mit einigen hundert TCP SYN Paketen in der Sekunde auf einen Port komplett zum Absturz gebracht werden. Aus diesem Grund sind bei neueren Systemen sogenannte Verbindungslimits gesetzt. Ein DoS Angriff kann bekämpft werden, indem die IP des Quellsystems auf der Firewall blockiert wird. Um den Traffic so gering wie möglich zu halten kann dem jeweilig zuständigen Provider eine Abuse-E- Mail gesendet werden, worauf dieser den Kunden über eine mögliche Malwareinfizierung informiert und den Internetanschluss des Kunden möglicherweise deaktiviert bis dieser das Problem behoben hat. Ausserdem besteht die Möglichkeit andere Provider, über welche der Traffic fliesst darauf hinzuweisen die Entsprechenden Pakete von ihren Routern verwerfen zu lassen. So kann das eingehende Trafficvolumen massiv reduziert werden. 6.2 Angriffsmethode: DDoS DDoS steht für Distributed Denial of Serice, was soviel heisst wie Verteiltes einstellen der Aufgabe/Arbeit. Diese Methode funktioniert auf genau dieselbe Weise wie eine DoS Attacke, nur dass bei der DDoS Attacke viele Rechner einen einzelnen Rechner angreifen und diesen ausser Gefecht setzen. Meistens wurden die Quellrechner mit Malware infiziert und agieren als Zombies. So bekommen die eigentlichen Inhaber der Rechner nicht einmal mit, dass ihre Rechner einen anderen angreiffen. Ein DDoS Angriff kann schwer bekämpft werden. Die beste Möglichkeit ist so viele IP Adressen wie möglich von der Firewall sperren zu lassen, damit deren Anfragen nicht mehr bis zum Server vordringen können. Ausserdem nützt eine schlanke Konfiguration des betroffenen Serverdienstes hier sehr viel, da die auszuliefernden Daten nicht allzu gross sind und der Serverdienst weniger schnell kapitulieren muss und den Dienst aufgibt. 6.3 Angriffsmethode: Exploiting Beim Exploiting werden beispielsweise mit Nessus gefundene Sicherheitslücken durch einen Patch oder ein kleines Programm ausgenutzt um auf einem System beispielsweise Schadcode einzuschleusen und diesen ausführen zu lassen. Sobald auf einem System ein Code ausgeführt werden kann, kann mit ein wenig Erfinderreichtum und Intelligenz ein simples Remote-Programm installiert oder andere Spyware heruntergeladen und installiert werden Version: V 1.0

10 6.4 Angriffsmethode: Man in the Middle Attacke Noch simpler als es sich ein Social Engineering Angreifer macht, hat es eine interne Person, welche freien Zugang zu vertraulichen Daten hat oder durch einen Hack erlangt hat und diese an aussenstehende weitergibt (meistens gegen entsprechendes Entgelt). Diese Art von Angriff ist eine enorme Herausforderung für Arbeitgeber und deren Informatiksicherheitsverantwortlichen. Es gibt praktisch keine Möglichkeit ein Unternehmen vor solchen Angriffen zu schützen, da sich die Angreifer überall befinden können: Vom Lehrling bis zum CEO haben alle die Möglichkeit dazu. 6.5 Angriffsmethode: BruteForce Attacke auf Benutzerauthentifizierungssysteme Ein Benutzer, welcher sein Passwort vergessen hat versucht als erster alle in Frage kommenden Kombinationen durch und wendet sich anschliessend (nachdem sein Account wahrscheinlich schon zum fünften Mal gesperrt wurd) an die interne IT-Abteilung. In etwa so geht ein Bruteforce Angriff von statten. Es werden alle möglichen Kombinationen durchprobiert. Das ganze wird mithilfe eines Tools erledigt, welches dem Angreifer die Hornhaut an den Fingern erspart und die Angelegenheit wesentlich beschleunigt. So kann ein Angreifer bis zu einigen millionen verschiedenen Kombinationen in der Sekunde auf den Hash anwenden. Bei dieser Arbeit kommen einem Multicore oder Multi-CPU Systeme klar zu Gute. Eines der bekanntesten Tools, welches im Internet einfach zu finden ist und diverse Hashes knacken kann ist Cain und Able von oxid.it Version: V 1.0

11 6.6 Angriffsmethode: Dictionary Attacke auf Benutzerauthentifizierungssysteme Bei einem sogenannten Dictionary Angriff können mögliche Passwörter aus einer Wortliste (Wordlist) ausgelesen werden. Dies dauert meistens nicht so lange wie ein Bruteforce Angriff, verfolgt jedoch die selbe Taktik. Als Unterstützende Software kommt auch hier wieder das bekannte Tool Cain and Able zum Zuge Version: V 1.0

12 7 Spionage 7.1 Spionagemethode: Port Scan Bei einem Portscan werden alle TCP oder UDP Ports nach antwortenden Services und Serversoftware abgesucht. Es wird ein TCP SYN (Verbindungsaufbau für eine TCP Session) Paket gesendet und eine Antwort abgewartet. Wenn der Zielrechner nicht antwortet, ist der Port unbelegt. Falls das Ziel die Verbindungsanfrage mit einem TCP SYN RST Paket beantwortet wurde die Verbindung höchstwahrscheinlich von einer Firewall geblockt. Falls ein TCP SYN ACK Paket als Antwort gesendet wird, ist der Port offen und die Applikation auf dem jeweiligen Port ist bereit eine Verbindungsanfrage anzunehmen. 7.2 Spionagemethode: Vulnerability Scan Bei einem sogenannten Vulnerability Scan (Verwundbarkeit Scan) wird ein Rechner nach Sicherheitslücken abgesucht. Meistens werden hierzu Tools verwendet, welche den Zielrechner mit der Hilfe von grossen Vulnerability- Databases, in welchen millionen verschiedener Sicherheitslücken gespeichert sind, absuchen. Ein solcher Scanner ist zum Beispiel Nessus (Bild rechts). Dieser Scant das System vollautomatisch mit Hilfe der Datenbank ab und zeigt die Ergebnisse in einem Fenster an. Der Administrator kann dann die gefundenen Sicherheitslücken schliessen und so das System härten. Ein Angreifer kann die Sicherheitslücken missbrauchen um Zugriff auf ein System zu erlangen und zum Beispiel die Daten einzusehen. 7.3 Spionagemethode: Sniffing Bei einer Sniffing Attacke werden die von einer Netzwerkkarte an einen anderen Rechner gesendeten und empfangenen Pakete durch eine Drittperson mitgehört und aufgezeichnet. Die Pakete können danach gefiltert und ausgewertet werden. Nicht selten lassen sich so Passwörter zu Mailkonten oder unverschlüsselten Webseiten mit Mitgliederbereichen im Klartext oder als Hash auslesen und knacken. Die bekannteste Software um Ethernetpakete mitzuschneiden heisst wireshark (Ehemals ethereal). Unter Linux gibt es noch die spartanische Alternative tcpdump, welche sich ebenfalls grosser Beliebtheit erfreut Version: V 1.0

13 7.4 Spionagemethode: ARP Spoofing Bei einem ARP Spoofing Angriff benutzt ein Angreifer eine Art Notwendige Lücke im Address Resolution Protocoll, welches die Datenübertragung auf Schicht 3 (Netzwerkschicht) des ISO/OSI Referenzmodells (Layer 2 im TCP/IP Referenzmodell) mittels Hardware-Adressierung (MAC Adressen) regelt. In diesem Protokoll ist eine Regelung vorgesehen, welche im Falle eines Fehlerfalles eines Hosts zur Anwendung kommt. So kann beispielsweise ein Gateway, welcher zu Wartungszwecken offline geht von einem alternativen Gateway übernommen werden. Dazu sendet der alternative Gateway ein Broadcast an das gesamte Subnetz, worauf alle Rechner im Subnetz den gesamten Traffic über den alternativen Gateway senden. Das bedeutet, dass ein Angreifer seinen Host als Gateway anbieten kann und somit auch in einer geswitchten Netzwerkumgebung ALLE PAKETE MITSCHNEIDEN KANN. Dies funktioniert ebenfalls, wenn ein Uplink- oder Mirrorport mit einem Hub abgegriffen und mitgeschnitten wird. Dies ist beispielsweise ganz einfach mit einem selbstgebauten RJ45 Portmulitiplizierer (Port-Multiplier) möglich. Auf der linken Abbildung ist ein solcher aus dem Hause Eigenbau abgebildet Version: V 1.0

14 7.5 Spionagemethode: Social Engineering Eine der am wenigsten verbreiteten, jedoch oft effektivsten Angriffsmethoden ist das Social Engineering. Ein Angreiffer nutzt hier in einem System das meistens schwächste Glied aus - DEN BENUTZER. Ein Benutzer, welcher nicht ausdrücklich auf die Datenweitergabe sensibilisiert wurde, gibt schnell geheime oder vertrauliche Daten an vermeintlich vertrauenswürdige Personen weiter. Genau diesen Schwachpunkt nutzt ein Social Engineering Angreifer aus um an Informationen zu gelangen Version: V 1.0

15 8 Quellnachweis 8.1 Internetquellen TCP/IP Referenzmodell Literaturnachweis Thema Autor Titel Social Engineering Kevin Mitnick Die Kunst der Täuschung Netzwerk und Systemsicherheit Hacking für Administratoren Version: V 1.0