Re: Neues Mitglied - Fragen zu Sicherheitskomponenten
On Sat, 25 Mar 2006, Wolfgang Jeltsch wrote:
> > Sowohl als auch. Sobald jemand auf deinem System Programme seiner Wahl
> > ausführen kann, hast Du ziemlich wahrscheinlich verloren.
> Wenn jemand auf meinem System Programme seiner Wahl ausführen kann, dann kann
> er doch eben Programme seiner Wahl ausführen. Wieso muss er sich dafür noch
> zurückverbinden?
Ja - aber er kann zwar Programme ausführen, hat keine Rückmeldung bzw.
keine interaktivität bzw. eine schlechte und unflexible Parametrisierung
seiner Programme und die eingeschleusten Programme.
Wieso werden Server gebrochen? Weil irgendjemand fremde:
1.) Netzwerkressourcen
z.B. Spam, Warez, Angriffssprungbrett
2.) CPU-Ressourcen
z.B. Numbercruncher f. Privkey-Bruteforcing, Hashcracker, CC-Pins
mit entsprechendem Schwerpunkt auf 1 oder 2 nutzen möchte.
Keine Rückmeldung bedeutet aber auch keine unmittelbare Nutzbarkeit der
gebrochenen Maschine für den Angreifer da die unmittelbare Steuerbarkeit
der Maschine fehlt und man die eingeschleusten Programme i.d.R. nur
schlecht parametrisieren kann.
> > Man macht ein System von außen so dicht wie es nur geht und läßt aber im
> > Gegenzug sämtliche ausgehenden Connections zu.
> Und wie verhindere ich die ausgehenden Verbindungen? Ist es okay,
> mittels billiger iptables-Regeln (also Regeln, die kein
> Connection-Tracking benutzen) alle ausgehenden TCP- und UDP-Pakete, die
> nicht an bestimmte Ports, wie z.B. 25, gehen, abzublocken?
Man setzt die drei Chains INPUT/OUTPUT/FORWARD erst einmal auf REJECT oder
DROP (die unhöflichere Variante)
Damit ist dann erst mal alles verboten, was nicht durch eine andere Regel
erlaubt ist. Anschließend werden Regeln in die Ketten eingefügt.
Die Verhinderung von ausgehenden Connections ist nur zur Begrenzung des
Schadens und zur Minimierung der Angriffsvektoren, ähnlich wie dem
noexec-gemountetem /tmp.
Beide Methoden lassen sich leicht umgehen - aber sie verhindern
erfolgreich mit wenig Aufwand das Durchkommen der dicksten Brocken.
> > Der Logfile-Ausschnitt sollte nur zeigen, daß die Bedrohung nicht nur
> > hypothetisch ist.
> Wie ist in diesem Fall der Einbruch abgelaufen?
Garnicht - es blieb beim Versuch. :-)
Zumindest hat snoopy keine Ausführung irgendeines Programmes angezeigt.
Aber man kann's auch nicht oft genug sagen: Vorderste Priorität hat in
jedem Fall das Verhindern der wahlfreien Ausführung bzw. das Verhindern
des wahlfreien Zugriffs der eingeschleusten Programme auf irgendwelche
Daten.
Momentan existiert eine Monokultur der erlaubten ausgehenden Verbindungen,
weil diese als unschädlich betrachtet werden. Ich wollte nur noch einmal
darauf aufmerksam machen, daß dem nicht so ist.
t++
Reply to: