Forensic Investigations / Fi Blog

Fi Blog

Da ich in letzter Zeit zum Thema Sicherheit so oft höre, "wir haben doch Virusscanner und Firewalls", möchte ich hier einmal grob auf den Themenkomplex Netzwerksicherheit/Firewalls eingehen und mit ein paar Mythen aufräumen. Zum Thema Virenscanner hatte ich ja bereits hier berichtet.

Das Hype-Thema der diesjährigen it-sa schlechthin waren die sogenannten "Advanced Evasion Techniques " (AETs), die in der Lage sind, fast alle Firewalls und Intrusion Detection Systeme auszuhebeln. Hype deshalb, weil viele dieser Techniken in Security-Kreisen längst bekannt sind, wie auch heise online im Artikel "Alarmanlagen fürs Netz weitgehend nutzlos " zu Recht anmerkt.

Dennoch ist die Kernaussage wahr, viele dieser Systeme lassen sich durch verschiedenste Tricks überlisten. Längst gibt es entsprechende Frameworks, die solche Techniken auf TCP/IP Ebene umsetzen und einfach nutzbar machen. Ist das verwendete System einem Angreifer zudem bekannt, kann dieser bequem vorher ausprobieren, ob es Alarm schlägt und wie das umgangen werden kann.

Statt Alarme zu vermeiden könnten diese ebenso auch in großer Zahl gezielt ausgelöst werden, damit der eigentliche Angriff durch all diese 'Nebelkerzen' nicht mehr oder nur noch schwer erkennbar ist.

Die Krux für Firewalls mit Content Filtern oder Intrusion Detection Systeme ist grundsätzlich, dass diese lediglich auf nicht zugelassene Protokolle/Quellen/Destinationen oder bekannte Signaturen reagieren und entsprechend einen Angriff melden können. Dies ist analog zu Antivirus-Produkten , die auch nur auf Signaturen bekannter Bedrohungen zuverlässig reagieren können. Heuristiken existieren zwar in den meisten Produkten, aber diese können schwerlich alle möglichen Varianten abdecken – zumal sie keine zu großen Auswirkungen auf das Laufzeitverhalten der Systeme haben dürfen und nicht zu viele Fehlalarme auslösen dürfen. Durch vorherige Tests und entsprechende Abwandlung lassen sie sich meist zuverlässig umschiffen.

Beispielsweise verwenden die meisten Botnetze oder Trojaner von Haus aus HTTP zur Steuerung, das in fast allen Umgebungen als legitimer Datenverkehr betrachtet wird, und sich so auch meist nicht ohne Weiteres blocken oder als bößartig einstufen läßt.

Firewalls verhindern Angriffe nicht, sie vermindern lediglich die Angriffsfläche. Zwar können sie einige Dienste von der Außenwelt abschotten, dennoch verbleiben immer mindestens die unverzichtbaren Dienste wie beispielsweise Web oder Email als Angriffsfläche. Sicherheitslücken in der entsprechenden Software werden dort auch durch Firewalls nicht kompensiert. Solche Lücken bleiben immer wieder , wenn dies auch teilweise nur für ein relativ kurzes Zeitfenster zutrifft. Ein SQL-Server wird zwar normalerweise nicht vom Internet aus zugänglich sein, könnte aber dennoch kompromitiert werden, wenn eine Schadsoftware auf anderem Wege ins interne Netz gelangt, populäres Beispiel war 2003 der SQL Slammer .

Auf die weiteren Fakten, beispielsweise dass Firewalls meistens nicht ausreichend parametriert sind, und i.d.R. alle ausgehenden Verbindungen zulassen, sowie die Tatsache, dass auf kompromitierten Hosts befindliche Firewalls von üblicher Malware neutralisiert werden, will ich hier – um nicht wieder völlig den Rahmen zu sprengen – gar nicht mehr im Detail eingehen.



Hier finden Sie aktuelle Themen und Hintergründe rund um Sicherheit, Internet und Recht, das Sachverständigenwesen und die Computer-Forensik.

Mon Di Mi Do Fr Sa So
    1 2 3 4 5
6 7 8 9 10 11 12
13 14 15 16 17 18 19
20 21 22 23 24 25 26
27 28 29 30 31