[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: Neues Mitglied - Fragen zu Sicherheitskomponenten

On Sat, 25 Mar 2006, Wolfgang Jeltsch wrote:

> > Sowohl als auch. Sobald jemand auf deinem System Programme seiner Wahl
> > ausführen kann, hast Du ziemlich wahrscheinlich verloren.
> Wenn jemand auf meinem System Programme seiner Wahl ausführen kann, dann kann 
> er doch eben Programme seiner Wahl ausführen. Wieso muss er sich dafür noch 
> zurückverbinden?

Ja - aber er kann zwar Programme ausführen, hat keine Rückmeldung bzw. 
keine interaktivität bzw. eine schlechte und unflexible Parametrisierung 
seiner Programme und die eingeschleusten Programme.

Wieso werden Server gebrochen? Weil irgendjemand fremde:

1.) Netzwerkressourcen
	z.B. Spam, Warez, Angriffssprungbrett

2.) CPU-Ressourcen
	z.B. Numbercruncher f. Privkey-Bruteforcing, Hashcracker, CC-Pins

mit entsprechendem Schwerpunkt auf 1 oder 2 nutzen möchte.

Keine Rückmeldung bedeutet aber auch keine unmittelbare Nutzbarkeit der 
gebrochenen Maschine für den Angreifer da die unmittelbare Steuerbarkeit 
der Maschine fehlt und man die eingeschleusten Programme i.d.R. nur 
schlecht parametrisieren kann.


> > Man macht ein System von außen so dicht wie es nur geht und läßt aber im
> > Gegenzug sämtliche ausgehenden Connections zu.
> Und wie verhindere ich die ausgehenden Verbindungen? Ist es okay, 
> mittels billiger iptables-Regeln (also Regeln, die kein 
> Connection-Tracking benutzen) alle ausgehenden TCP- und UDP-Pakete, die 
> nicht an bestimmte Ports, wie z.B. 25, gehen, abzublocken?

Man setzt die drei Chains INPUT/OUTPUT/FORWARD erst einmal auf REJECT oder 
DROP (die unhöflichere Variante)

Damit ist dann erst mal alles verboten, was nicht durch eine andere Regel 
erlaubt ist. Anschließend werden Regeln in die Ketten eingefügt.

Die Verhinderung von ausgehenden Connections ist nur zur Begrenzung des 
Schadens und zur Minimierung der Angriffsvektoren, ähnlich wie dem 
noexec-gemountetem /tmp.

Beide Methoden lassen sich leicht umgehen - aber sie verhindern 
erfolgreich mit wenig Aufwand das Durchkommen der dicksten Brocken.


> > Der Logfile-Ausschnitt sollte nur zeigen, daß die Bedrohung nicht nur 
> > hypothetisch ist.
> Wie ist in diesem Fall der Einbruch abgelaufen?

Garnicht - es blieb beim Versuch. :-)
Zumindest hat snoopy keine Ausführung irgendeines Programmes angezeigt.

Aber man kann's auch nicht oft genug sagen: Vorderste Priorität hat in 
jedem Fall das Verhindern der wahlfreien Ausführung bzw. das Verhindern 
des wahlfreien Zugriffs der eingeschleusten Programme auf irgendwelche 
Daten.

Momentan existiert eine Monokultur der erlaubten ausgehenden Verbindungen, 
weil diese als unschädlich betrachtet werden. Ich wollte nur noch einmal 
darauf aufmerksam machen, daß dem nicht so ist.


	t++
Reply to: