Re: Neues Mitglied - Fragen zu Sicherheitskomponenten

To: debian-user-german@lists.debian.org
Subject: Re: Neues Mitglied - Fragen zu Sicherheitskomponenten
From: Wolfgang Jeltsch <wolfgang@jeltsch.net>
Date: Sat, 25 Mar 2006 21:54:23 +0100
Message-id: <[🔎] 200603252154.24374.wolfgang@jeltsch.net>
In-reply-to: <[🔎] Pine.LNX.4.61.0603251756560.26721@sofa.so.antepoth.de>
References: <[🔎] 200603232339.53528.info@viadimezzo.de> <[🔎] 200603251741.57387.wolfgang@jeltsch.net> <[🔎] Pine.LNX.4.61.0603251756560.26721@sofa.so.antepoth.de>

Am Samstag, 25. März 2006 18:11 schrieb Thomas Antepoth:
> On Sat, 25 Mar 2006, Wolfgang Jeltsch wrote:
> > > Es wird immer wieder vergessen, daß es auch sog. "Connectback"-Shells
> > > gibt. D.h. ein von außen erlaubter Dienst wird dazu gebracht, daß er
> > > auf einem beliebigen anderen Port mit einer connectback-shell
> > > zurück-connected. Und die macht dann *wirkliche* Swinigeleien.
> >
> > Verstehe ich noch nicht so ganz. Meinst du den Fall, dass der auf meinem
> > Server installierte Dienst ganz ,,legal" zur Rückkonnektierung gebracht
> > wird.
>
> Sowohl als auch.
>
> Nehmen wir mal an, Du hast einen SQL-Server mit der Möglichkeit
> stored-procedures auf ihm auszuführen, hinter einer von außen abweisenden
> Firewall, die z.B. den Port 1433 ;-) von außen nicht zuläßt.
>
> Schafft es nun jemand, dem SQL-Server "irgendwie" ein "cmd.exe" ;-)
> unterzujubeln, das auf einem beliebigen Port zurückconnected, ist der
> Bösling "drin" und kann dann als User, der den SQL-Server gestartet hat,
> wirken wie er will und durch eine lokale Privilegien-Eskalation den
> Rechner brechen.

Ich glaube, ich verstehe zumindest so ungefähr, worauf du hinaus willst. (Das 
ist jetzt nicht als Kritik an deiner Erklärfähigkeit zu verstehen.)

> > oder dass da bereits ein Sicherheitsloch im Dienst ausgenutzt wird?
>
> Sowohl als auch. Sobald jemand auf deinem System Programme seiner Wahl
> ausführen kann, hast Du ziemlich wahrscheinlich verloren.

Wenn jemand auf meinem System Programme seiner Wahl ausführen kann, dann kann 
er doch eben Programme seiner Wahl ausführen. Wieso muss er sich dafür noch 
zurückverbinden?

> [...]

> Man macht ein System von außen so dicht wie es nur geht und läßt aber im
> Gegenzug sämtliche ausgehenden Connections zu.

Und wie verhindere ich die ausgehenden Verbindungen? Ist es okay, mittels 
billiger iptables-Regeln (also Regeln, die kein Connection-Tracking benutzen) 
alle ausgehenden TCP- und UDP-Pakete, die nicht an bestimmte Ports, wie z.B. 
25, gehen, abzublocken?

> [...]

> Der Logfile-Ausschnitt sollte nur zeigen, daß die Bedrohung nicht nur
> hypothetisch ist. 

Wie ist in diesem Fall der Einbruch abgelaufen?

> t++

Viele Grüße
Wolfgang

Reply to:

Follow-Ups:
- Re: Neues Mitglied - Fragen zu Sicherheitskomponenten
  - From: Thomas Antepoth <debian@antepoth.de>

References:
- Neues Mitglied - Fragen zu Sicherheitskomponenten
  - From: "info@viadimezzo.de" <info@viadimezzo.de>
- Re: Neues Mitglied - Fragen zu Sicherheitskomponenten
  - From: Wolfgang Jeltsch <wolfgang@jeltsch.net>
- Re: Neues Mitglied - Fragen zu Sicherheitskomponenten
  - From: Thomas Antepoth <debian@antepoth.de>

Prev by Date: Re: mal eine Frage zu Postgresql
Next by Date: Re: Neues Mitglied - Fragen zu Sicherheitskomponenten
Previous by thread: Re: Neues Mitglied - Fragen zu Sicherheitskomponenten
Next by thread: Re: Neues Mitglied - Fragen zu Sicherheitskomponenten
Index(es):
- Date
- Thread