Linux - Wegweiser für Netzwerker Online-Version Copyright © 2001 by O'Reilly Verlag GmbH & Co.KG Bitte denken Sie daran: Sie dürfen zwar die Online-Version ausdrucken, aber diesen Druck nicht fotokopieren oder verkaufen. Das Werk einschließlich aller seiner Teile ist urheberrechtlich geschützt. Alle Rechte vorbehalten einschließlich der Vervielfältigung, Übersetzung, Mikroverfilmung sowie Einspeicherung und Verarbeitung in elektronischen Systemen. Wünschen Sie mehr Informationen zu der gedruckten Version des Buches Linux - Wegweiser für Netzwerker oder wollen Sie es bestellen, dann klicken Sie bitte hier.

Angriffsmethoden

Für Sie als Netzwerkadministrator ist es von entscheidender Bedeutung, daß Sie die Natur potentieller Angriffe auf die Rechnersicherheit richtig verstehen. Wir gehen hier kurz auf die wichtigsten Arten von Rechnerangriffen ein, so daß Sie genauer begreifen, gegen welche von ihnen die Linux IP-Firewall überhaupt gefeit ist. Für ein tieferes Verständnis anderer Angriffsarten sollten Sie weitere Literatur heranziehen. Dadurch werden Sie in der Lage sein, Ihr Netzwerk auch gegen andere Attacken als die hier beschriebenen zu schützen. Es folgt eine Beschreibung der wichtigeren Angriffsmethoden und Hinweise, wie Sie sich selbst dagegen schützen können:

Unautorisierter Zugriff

Das bedeutet schlicht und einfach, daß Leute, die eigentlich Ihre Rechnerdienste nicht nutzen dürften, sich dennoch mit ihnen verbinden und sie nutzen können. Beispielsweise könnten Leute von außerhalb Ihrer Firma versuchen, sich Zugang zu Ihrem Buchhaltungssystem oder Ihrem NFS-Server zu verschaffen.

Es gibt verschiedene Möglichkeiten, solche Angriffe abzuwehren, indem Sie genau festlegen, wer auf diese Dienste zugreifen darf. Verhindern Sie dann jeden Zugriff über das Netzwerk, die ermittelten Personen ausgenommen.

Ausnutzen allgemein bekannter Programmschwächen

Einige Programme und Netzwerkdienste waren ursprünglich nicht für Anwendungen mit strengen Sicherheitsanforderungen ausgelegt und enthalten inhärente Schwachstellen, die sie für Angriffe verwundbar machen. Die BSD-Remote-Dienste (rlogin, rexec usw.) sind ein Beispiel dafür.

Der beste Weg, sich gegen diese Art von Angriffen zu schützen, besteht darin, alle verwundbaren Dienste abzuschalten oder Alternativen dazu zu suchen. Mit Open Source ist es manchmal möglich, die Schwachstellen in der Software zu reparieren.

Denial of Service

Denial-of-Service-Attacken bewirken, daß die angegriffenen Dienste oder Programme ihre Funktionsfähigkeit verlieren oder andere Benutzer daran gehindert werden, diese Dienste und Programme zu nutzen. Auf der Netzwerkebene wird dies zum Beispiel erreicht, indem sorgfältig konstruierte “bösartige” Datagramme gesendet werden, die zur Unterbrechung von Netzwerkverbindungen führen. Aber auch auf Applikationsebene können Programme durch sorgfältig zusammengestellte Befehlsfolgen dazu gebracht werden, extrem langsam oder gar funktions­untüchtig zu werden.

Der beste Weg, das Risiko eines Denial-of-Service-Angriffes zu verringern, besteht darin, von vornherein zu verhindern, daß verdächtiger Netzwerkverkehr oder verdächtige Programm-Befehlsfolgen Ihren Host überhaupt erst erreichen. Hier ist es von Vorteil, die Details der Angriffsmethoden zu kennen. Sie sollten sich daher immer wieder über die neuesten Angriffsmethoden informieren, um auf dem laufenden zu bleiben.

Spoofing

Bei dieser Angriffsart wird ein Host bzw. eine Anwendung dazu gebracht, das Verhalten eines anderen Hosts bzw. einer anderen Anwendung vorzutäuschen. Typisch für diese Angriffe ist, daß man den Angreifer für einen “unschuldigen” Host hält, wenn man die IP-Adressen in den Netzwerkpaketen verfolgt. So verwendet zum Beispiel ein gut dokumentiertes Angriffsprogramm diese Methode, um eine Schwäche im rlogin-Dienst von BSD auszunutzen. Es errät TCP-Sequenznummern und gibt so eine Verbindung von einem anderen Host vor.

Um sich vor solchen Angriffen zu schützen, müssen Sie die Authentizität von Datagrammen und Befehlsfolgen verifizieren. Vermeiden Sie das Routen von Datagrammen mit unzulässigen Quelladressen. Machen Sie die Verbindungskontrollmechanismen unberechenbar, z.B. durch TCP-Sequenznummern und die Belegung dynamischer Port-Adressen.

Lauschangriffe

Das ist die einfachste Angriffsform. Dabei wird ein Host konfiguriert, um Daten “abzuhorchen”, die ihn eigentlich nichts angehen. Sorgfältig geschriebene Lausch­angriffsprogramme können Benutzernamen und Paßwörter von Benutzer-Logins in Netzwerkverbindungen ausspähen. Besonders Broadcast-Netzwerke wie Ethernet sind für diese Art von Angriffen anfällig.

Zum Schutz gegen diese Angriffsform wird empfohlen, die Anwendung von Broadcast-Netzwerktechnologien zu vermeiden und besonders auf die Verschlüsselung von Daten zu achten.

IP-Firewalls sind äußerst nützlich, um unautorisierte Zugriffe, Denial-of-Service-At­tacken auf Netzwerkebene und IP-Spoofing-Angriffe zu verhindern oder zumindest einzuschränken. Sie sind allerdings nicht besonders dazu geeignet, das Ausnutzen von Schwachstellen in Netzwerkdiensten oder Programmen zu verhindern, oder Lauschangriffe zu unterbinden.

Weitere Informationen zum Linux - Wegweiser für Netzwerker

Weitere Online-Bücher & Probekapitel finden Sie in unserem Online Book Center