Firewall FAQ für Fortgeschrittene - Beitrag #117 - Post 294390 - Computer Hardware Forum - TweakPC -

Ronald · 29.09.2005, 15:26

Zusammenfassung zum Thema: Sicherheitslücken die durch eine Desktopfirewall überhaupt erst entstehen

Es gibt Desktopfirewalls, die nachweislich eigene Verbindungen zu ihren Internetservern herstellen. Das geschieht natürlich ohne dass sie selbst darauf hinweisen. Hier geht die Kommunikation also nicht einfach nur an die Desktopfirewall vorbei, sondern wird sogar noch von ihr initiiert. Selbst wenn laut Herstellerangaben lediglich Daten für statistische Zwecke übermittelt werden, bleibt das eine höchst fragwürdige Aktion. Denn oftmals wird die Desktopfirewall installiert, weil man solche ungewollten Zugriffe verhindern möchte. Wenn es sich um "closed source"-Produkte handelt, kann man zudem nicht wirklich sicher sein, welche Daten tatsächlich übermittelt wurden und ob es nicht noch andere, geheime Funktionalitäten gibt, die der Anwender nicht wissen soll^^

K1 (PC->Internet): Diese Methode gehört zur Sicherheitskategorie 1 / in Ausnahmefällen auch zur Sicherheitskategorie 2 (siehe hier)

K2 (Internet->PC): Diese Methode gehört zur Sicherheitskategorie 2 (die Kommunikation kommt nicht zustande, solange der Port von der externen Firewall nicht auf den PC geleitet wird)

Manchmal ist es möglich, durch manipulierte Netzwerkanfragen an den zu schützenden Rechner die Desktopfirewall derart zu überlasten, dass sie nach der Attacke nicht mehr ordnungsgemäß funktioniert. Zumindest aber lässt sich für die Zeit der Attacke das komplette System in die Knie zwingen. Auf diese Weise ermöglicht die Firewallsoftware erst eine DoS-Attacke auf das zu schützende System.

So werden z.B. bei einem so genannten Stream-Angriff Datenpakte generiert, die nicht zu einer bestehenden Verbindung gehören. Um Portscanns zu entdecken, überprüft die Firewall ständig ob die Pakete zur bestehenden Verbindung gehören, was bei der Flut der Pakete eine Überlastung der Software zur Folge hat. Im ungünstigsten Fall kann sich dabei innerhalb von ein paar Minuten das Kernelmodul verabschieden, was die Firewall nach der Attacke wirkungslos macht.

LAN (Angriff aus dem internen Netz heraus): Diese Methode gehört zur Sicherheitskategorie 1

K2 (Internet->PC): Diese Methode gehört zur Sicherheitskategorie 3 (ein Versuch die Desktopfirewall direkt zu attackieren scheitert an PAT der externen Firewall)

Ein Personalprotektor lässt sich mit personenbezogenen Daten wie Namen, Adresse und Kreditkarteninfos füttern. Er soll verhindern, dass die angegebenen Einträge ins Netz übermittelt werden. Leider funktioniert dies nicht, wenn die Daten verschlüsselt sind, was in der Regel der Fall ist, wenn eine Malware die Daten ins Netz sendet. Ein fragwürdiger Schutz also, da die Firewall eine Sicherheit vortäuscht, die es effektiv nicht gibt.

Schlimmer noch: Alle geheimen Daten liegen so zentral an einer Stelle. Gelingt es einem Eindringling auf diese Daten zuzugreifen, so stehen ihm mit einem Schlag alle schützenswerten Informationen zur Verfügung. Nicht zuletzt lassen sich auch Attacken von außen auf Personalprotektoren vornehmen, welche z.B. über das Internet alle möglichen Zahlenkombinationen abfragen und so anhand der gesperrten Zahlen erkennen, welche PINs der Anwender im Personalprotektor hinterlegt hat, etc.

Im Klartext schafft der Personalprotektor hier zusätzliche Angriffspunkte, die es ohne ihn nicht gibt. Zudem kann er die Übermittlung schützenswerter Daten über das Netz nicht wirklich verhindern, schafft dafür aber eine Grundlage für zahlreiche, unbegründete Fehlermeldungen. Man kann also nur davon abraten, ihn zu verwenden.

Diese Methode gehört zur Sicherheitskategorie 1

Einige Desktopfirewalls enthalten ein Intrution Detection System (IDS), welche manchmal auch den Netzwerkverkehr nach bekannten Angriffsmustern untersuchen. Sobald ein Angriff erkannt wird, kann die Firewall den Datenverkehr zwischen dem PC und dem Absender des Angriffs für eine gewisse Zeit unterbinden. Verheerend wirkt sich dieses Feature allerdings aus, wenn die Desktopfirewall keine Listen von Servern pflegt, die nicht gesperrt werden dürfen. Dann ermöglicht das IDS einem Angreifer eine effiziente DoS-Attacke, indem einfach Angriffsmuster mit veränderten Absenderadressen an den PC gesendet werden. So wird der PC in kürzester Zeit vom Netz abgetrennt, da er wichtige Netzwerkkomponenten wie „default Gateway“ und DNS-Server, sowie die Kommunikationspartner im eigenen Netzsegment stück für stück durch die Sperrung der Desktopfirewall verliert.

Diese Methode gehört zur Sicherheitskategorie 3 (ein Versuch die Desktopfirewall aus dem externen Netz heraus direkt zu attackieren scheitet an PAT der externen Firewall)

Genau wie bei allen anderen auf dem PC installierten Softwareprodukten auch, kann die Desktopfirewall fehlerhaft programmiert worden sein und somit ungewollt neue Angriffspunkte für den PC liefern. Da viele ihrer Komponenten mit erweiterten Rechten laufen (im so genannten Systemkontext) oder gar Kernelkomponenten installieren, wirken sich jedoch Programmier- und Designfehler hier besondern verheerend auf die Sicherheit und Stabilität des Systems aus.

- Ein Buffer-Overflow ist ein Fehler in einem Programm. Wenn ein Programmierer für eine bestimmte Aktion (Kopieren bzw. Einlesen von Daten, auch das Lesen von Benutzereingaben) einen zu kleinen Speicherbereich (Puffer) vorgesehen hat und nicht überprüft, ob die Eingabe auch in diesen passt, wird durch überlange Eingaben über den Puffer hinaus ein Teil des Programmspeichers überschrieben. Auf diese Weise kann beliebiger anderer Code im Kontext des Programms ausgeführt werden. Ein Programmcode, der den Programmierfehler ausnutzt, nennt man Exploit.
  
  Wie schon erwähnt ist auch die Desktopfirewall eine Software, die solche Fehler aufweisen kann. Im ungünstigsten Fall erlangt der Angreifer durch den Exploit nicht nur erweiterte Rechte. Manchmal erhält er dadurch überhaupt erst Zugriff auf das System, wie es bei dem fehlerhaft programmierten PAM (Protocol Analysis Module) von BlackICE und RealSecure der Fall war. Der Fehler verhalf dem UDP-basierten Wurm „Witty“ zu seinem zweifelhaften Ruhm.
  
  Lokal: Diese Methode gehört zur Sicherheitskategorie 1B (die externe Firewall kann gegen lokale Aktivitäten nichts unternehmen)
  
  K2 (Internet->PC): Diese Methode gehört zur Sicherheitskategorie 3 (ein Versuch die Desktopfirewall aus dem externen Netz heraus direkt zu attackieren scheitet an PAT der externen Firewall)

- Wechselt eine Systemkomponente auf den Anwenderdesktop, um dort z.B. einen Dialog auszugeben, kann es einem Angreifer gelingen, dadurch erweiterte Rechte zu erlangen. Stark vereinfacht ausgedrückt läuft alles was Fensternachrichten empfängt potentiell Gefahr dazu missbraucht zu werden, fremden Code auszuführen. Zumindest aber kann der Thread zu Aktionen überredet werden, die der Programmierer so nicht vorgesehen hat. Deshalb warnt Microsoft davor, solche Designfehler zu begehen (ein Dienst sollte niemals auf den Anwenderdesktop wechseln). Ob das aus fahrlässiger Bequemlichkeit oder aus Unwissenheit heraus passiert, bleibt das Geheimnis des Programmierers. Fest steht, dass solche Designfehler immer mal wieder in Desktopfirewalls auftauchen.
  
  Diese Methode gehört zur Sicherheitskategorie 1B. (die externe Firewall kann gegen lokale Aktivitäten nichts unternehmen)

Bye, Ronald

29.09.2005, 15:26	#117 (permalink)
Ronald PC Schrauber Registriert seit: 20.01.2004 Beiträge: 144	AW: Firewall FAQ für Fortgeschrittene Zusammenfassung zum Thema: Sicherheitslücken die durch eine Desktopfirewall überhaupt erst entstehen Es gibt Desktopfirewalls, die nachweislich eigene Verbindungen zu ihren Internetservern herstellen. Das geschieht natürlich ohne dass sie selbst darauf hinweisen. Hier geht die Kommunikation also nicht einfach nur an die Desktopfirewall vorbei, sondern wird sogar noch von ihr initiiert. Selbst wenn laut Herstellerangaben lediglich Daten für statistische Zwecke übermittelt werden, bleibt das eine höchst fragwürdige Aktion. Denn oftmals wird die Desktopfirewall installiert, weil man solche ungewollten Zugriffe verhindern möchte. Wenn es sich um "closed source"-Produkte handelt, kann man zudem nicht wirklich sicher sein, welche Daten tatsächlich übermittelt wurden und ob es nicht noch andere, geheime Funktionalitäten gibt, die der Anwender nicht wissen soll^^ K1 (PC->Internet): Diese Methode gehört zur Sicherheitskategorie 1 / in Ausnahmefällen auch zur Sicherheitskategorie 2 (siehe hier) K2 (Internet->PC): Diese Methode gehört zur Sicherheitskategorie 2 (die Kommunikation kommt nicht zustande, solange der Port von der externen Firewall nicht auf den PC geleitet wird) Manchmal ist es möglich, durch manipulierte Netzwerkanfragen an den zu schützenden Rechner die Desktopfirewall derart zu überlasten, dass sie nach der Attacke nicht mehr ordnungsgemäß funktioniert. Zumindest aber lässt sich für die Zeit der Attacke das komplette System in die Knie zwingen. Auf diese Weise ermöglicht die Firewallsoftware erst eine DoS-Attacke auf das zu schützende System. So werden z.B. bei einem so genannten Stream-Angriff Datenpakte generiert, die nicht zu einer bestehenden Verbindung gehören. Um Portscanns zu entdecken, überprüft die Firewall ständig ob die Pakete zur bestehenden Verbindung gehören, was bei der Flut der Pakete eine Überlastung der Software zur Folge hat. Im ungünstigsten Fall kann sich dabei innerhalb von ein paar Minuten das Kernelmodul verabschieden, was die Firewall nach der Attacke wirkungslos macht. LAN (Angriff aus dem internen Netz heraus): Diese Methode gehört zur Sicherheitskategorie 1 K2 (Internet->PC): Diese Methode gehört zur Sicherheitskategorie 3 (ein Versuch die Desktopfirewall direkt zu attackieren scheitert an PAT der externen Firewall) Ein Personalprotektor lässt sich mit personenbezogenen Daten wie Namen, Adresse und Kreditkarteninfos füttern. Er soll verhindern, dass die angegebenen Einträge ins Netz übermittelt werden. Leider funktioniert dies nicht, wenn die Daten verschlüsselt sind, was in der Regel der Fall ist, wenn eine Malware die Daten ins Netz sendet. Ein fragwürdiger Schutz also, da die Firewall eine Sicherheit vortäuscht, die es effektiv nicht gibt. Schlimmer noch: Alle geheimen Daten liegen so zentral an einer Stelle. Gelingt es einem Eindringling auf diese Daten zuzugreifen, so stehen ihm mit einem Schlag alle schützenswerten Informationen zur Verfügung. Nicht zuletzt lassen sich auch Attacken von außen auf Personalprotektoren vornehmen, welche z.B. über das Internet alle möglichen Zahlenkombinationen abfragen und so anhand der gesperrten Zahlen erkennen, welche PINs der Anwender im Personalprotektor hinterlegt hat, etc. Im Klartext schafft der Personalprotektor hier zusätzliche Angriffspunkte, die es ohne ihn nicht gibt. Zudem kann er die Übermittlung schützenswerter Daten über das Netz nicht wirklich verhindern, schafft dafür aber eine Grundlage für zahlreiche, unbegründete Fehlermeldungen. Man kann also nur davon abraten, ihn zu verwenden. Diese Methode gehört zur Sicherheitskategorie 1 Einige Desktopfirewalls enthalten ein Intrution Detection System (IDS), welche manchmal auch den Netzwerkverkehr nach bekannten Angriffsmustern untersuchen. Sobald ein Angriff erkannt wird, kann die Firewall den Datenverkehr zwischen dem PC und dem Absender des Angriffs für eine gewisse Zeit unterbinden. Verheerend wirkt sich dieses Feature allerdings aus, wenn die Desktopfirewall keine Listen von Servern pflegt, die nicht gesperrt werden dürfen. Dann ermöglicht das IDS einem Angreifer eine effiziente DoS-Attacke, indem einfach Angriffsmuster mit veränderten Absenderadressen an den PC gesendet werden. So wird der PC in kürzester Zeit vom Netz abgetrennt, da er wichtige Netzwerkkomponenten wie „default Gateway“ und DNS-Server, sowie die Kommunikationspartner im eigenen Netzsegment stück für stück durch die Sperrung der Desktopfirewall verliert. Diese Methode gehört zur Sicherheitskategorie 3 (ein Versuch die Desktopfirewall aus dem externen Netz heraus direkt zu attackieren scheitet an PAT der externen Firewall) Genau wie bei allen anderen auf dem PC installierten Softwareprodukten auch, kann die Desktopfirewall fehlerhaft programmiert worden sein und somit ungewollt neue Angriffspunkte für den PC liefern. Da viele ihrer Komponenten mit erweiterten Rechten laufen (im so genannten Systemkontext) oder gar Kernelkomponenten installieren, wirken sich jedoch Programmier- und Designfehler hier besondern verheerend auf die Sicherheit und Stabilität des Systems aus. Ein Buffer-Overflow ist ein Fehler in einem Programm. Wenn ein Programmierer für eine bestimmte Aktion (Kopieren bzw. Einlesen von Daten, auch das Lesen von Benutzereingaben) einen zu kleinen Speicherbereich (Puffer) vorgesehen hat und nicht überprüft, ob die Eingabe auch in diesen passt, wird durch überlange Eingaben über den Puffer hinaus ein Teil des Programmspeichers überschrieben. Auf diese Weise kann beliebiger anderer Code im Kontext des Programms ausgeführt werden. Ein Programmcode, der den Programmierfehler ausnutzt, nennt man Exploit. Wie schon erwähnt ist auch die Desktopfirewall eine Software, die solche Fehler aufweisen kann. Im ungünstigsten Fall erlangt der Angreifer durch den Exploit nicht nur erweiterte Rechte. Manchmal erhält er dadurch überhaupt erst Zugriff auf das System, wie es bei dem fehlerhaft programmierten PAM (Protocol Analysis Module) von BlackICE und RealSecure der Fall war. Der Fehler verhalf dem UDP-basierten Wurm „Witty“ zu seinem zweifelhaften Ruhm. Lokal: Diese Methode gehört zur Sicherheitskategorie 1B (die externe Firewall kann gegen lokale Aktivitäten nichts unternehmen) K2 (Internet->PC): Diese Methode gehört zur Sicherheitskategorie 3 (ein Versuch die Desktopfirewall aus dem externen Netz heraus direkt zu attackieren scheitet an PAT der externen Firewall) Wechselt eine Systemkomponente auf den Anwenderdesktop, um dort z.B. einen Dialog auszugeben, kann es einem Angreifer gelingen, dadurch erweiterte Rechte zu erlangen. Stark vereinfacht ausgedrückt läuft alles was Fensternachrichten empfängt potentiell Gefahr dazu missbraucht zu werden, fremden Code auszuführen. Zumindest aber kann der Thread zu Aktionen überredet werden, die der Programmierer so nicht vorgesehen hat. Deshalb warnt Microsoft davor, solche Designfehler zu begehen (ein Dienst sollte niemals auf den Anwenderdesktop wechseln). Ob das aus fahrlässiger Bequemlichkeit oder aus Unwissenheit heraus passiert, bleibt das Geheimnis des Programmierers. Fest steht, dass solche Designfehler immer mal wieder in Desktopfirewalls auftauchen. Diese Methode gehört zur Sicherheitskategorie 1B. (die externe Firewall kann gegen lokale Aktivitäten nichts unternehmen) Bye, Ronald
	Geändert von Ronald (30.09.2005 um 11:19 Uhr)