![[Inhalt]](toc.gif)
|
|
Online Suche im Handbuch | LITTLE-IDIOT NETWORKING |
Einige erg�nzende Worte noch zu den F�higkeiten der "counter intelligence", die die SINUS Firewall-2.0 so besonders auszeichnen.
Einige Kritiker m�gen die spy Funktion f�r unethisch halten, wenn ein Host das Ziel eines Angriffs einer Firewall wird. Um diese etwas zu bes�nftigen, sollten einige Dinge nicht unerw�hnt bleiben. Erstens startet die Firewall nur dann Aktivit�ten, wenn dies der Systemadministrator auch ausdr�cklich so will. Zweitens ermittelt die Firewall nur diejenigen Informationen von einem angreifenden Host, die dort auch abrufbar sind. Insbesondere betrifft dies Universit�ten und UNIX Server im allgemeinen, die immer mehr zum Opfer von Hackern werden. Drittens ist es eventuell von Vorteil, wenn der Systemadministrator eines Hosts durch die Firewall automatisch z.B. via e-Mail �ber Angriffe, die von seinem Host ausgehen informiert werden kann.
Aktionen, die vom spy gestartet werden k�nnen
DNS lookup und ein Abgleich mit einem reverse lookup, auch double reverse lookup genannt, ist ein unverzichtbares Mittel, festzustellen, ob eine IP-Adresse in einem Netzwerkbereichs des Internet offiziell eingetragen ist, oder nicht. Wenn dieser Vergleich negativ ist, dann wird automatisch eine Warnung generiert. Typisch f�r eine solche Warnung sind haupts�chlich Konfigurationsprobleme. Nur wenn in Verbindung mit einer solchen Warnung z.B. auch der Einsatz eines Portscanners aufgezeichnet wird, dann erst ist es notwendig, aktiv zu werden.
Im folgenden soll die Firewall selber aktiv herausfinden, von welchem User der Angriff stammen k�nnte. Viele der Untersuchungen von spy liefern k�nnen falsche oder bewu�t gef�lschte Meldungen liefern. Dies sollte stets ber�cksichtigt werden, bevor besondere Ma�nahmen ergriffen werden. Diese Tatsache sollte man stets im Hinterkopf behalten.
identd ist ein Dienst, der versucht, dem registrierten TCP Paket einen User auf dem Host zuzuordnen, bei anderen Paketen ist dieser Dienst nicht einsetzbar. Wenn alle wie erhofft funktioniert, dann steht im Logfile der Name desjenigen Users auf dem Host, der die Verbindung initiiert hat. Diese Eintr�ge sollte man f�r sp�tere Auswertungen aufbewahren. Fehlermeldungen, wie no such user oder connection refused sind Anzeichen daf�r, da� die Funtionen deaktiviert wurden.
finger ist der Versuch, einem fremden UNIX Host die momentan eingeloggten User zu entlocken. Den R�ckantworten ist der Username und einige Zusatzinformationen zu entnehmen, die dieser in eine .plan Datei seines Homeverzeichnisses geschrieben hat.
rusers ist der Versuch festzustellen, von wo aus sich der User in den Host eingeloggt hat, und wie lange dieser schon aktiv oder unaktiv ist. (idle time)
Ohne besondere Anweisungen an die Firewall werden alle diese Ausgaben in die Datei firewall.spy in dem Verzeichnis des Logfiles abgelegt. Wenn das Schl�sselwort mail sich in demselben notification level, wie das spy Schl�sselwort befindet, dann werden zus�tzlich die Ergebnisse per e-Mail zugestellt.
Hier ein paar Beispiele f�r eine Ausgabe in firewall.spy:
FIREWALL COUNTER INTELLIGENCE REPORT, Aug 09 12:20:02
Triggered by: (s 13) accept TCP 1.2.3.4:1065->193.194.195.196:telnet
Host address: 1.2.3.4
Host name: oval.office.gov
identd information:
User ID: mlevinski.
finger information:
[1.2.3.4]
Login: mlevinski Name: Monica Levinski
Directory: /home/unabom Shell: /bin/csh
On since Wed Aug 9 10:27 (EST) on tty1
No Mail.
No Plan.
Login: bclinton Name: Bill Clinton
Directory: /home/bclinton Shell: /bin/bash
On since Wed Aug 9 9:32 (EST) on tty2, idle 0:22
New mail received Wed Aug 9 12:18 1995 (EST)
Unread since Tue Aug 8 20:03 1995 (EST)
Plan:
Hanging around :))
rusers information:
mlevinski localhost:tty1 Aug 9 10:27
bclinton localhost:tty2 Aug 9 9:32 :22
Einige Erl�uterungen zu diesem Beispiel:
Entsprechend der Gr��e der Logeintr�ge, die nur wenige Informationen des untersuchten Hosts erzeugen, solle man mit dieser Funktion �u�erst sparsam umgehen, und dessen Einsatz stets auch zeitm��ig begrenzen, also die Funktion auf nur einmal alle 10 Minuten zulassen. Andernfalls ist mit einem DoS Versuch gegen die Firewall zu rechnen. Das w�re dann zwar kein echtes Problem, es ist aber stets unangenehm, wenn die Festplatte oder der Briefkasten voll l�uft und die Firewall dann ihre Arbeit einstellt.
Wohin die Ausgabe geschrieben wird
Jede Ausgabe wird in die firewall.log Datei geschrieben. Wenn zudem noch das Schl�sselwort syslog angegeben wurde, wird ein Eintrag in die syslog Datei erfolgen.
Bei Angabe des Schl�sselwortes report wird diese Meldung in die Datei firewall.report geschrieben.
Gibt man das Schl�sselwort mail an, so werden diese Meldungen zus�tzlich noch an einen e-Mail host gesendet. Das kann in dem Fall sehr n�tzlich sein, wenn dem Angreifer ein Einbruch in das System gelingen sollte, und dieser die Log Dateien beginnt, zu l�schen.
Verwendete Abk�rzungen
Wegen den verwendeten Abk�rzungen, die allein den Zweck haben, das Logfile nicht zu schnell anwachsen zu lassen, ist es unverzichtbar, da� man sich mit einigen K�rzeln vertraut macht.
Regel Typen:
Filter Aktionen:
Protokolle:
Sofern die Protokolle �ber Ports kommunizieren, so sind Quell- und Zielhost mit angegeben.
|
|
Online Suche im Handbuch | LITTLE-IDIOT NETWORKING |