Auditing

Thematik

Um die Funktionsfähigkeit des Firewall - Systems (wie oben entworfen) auf Dauer sicher zu stellen, müssen regelmässige Überprüfungen durchgeführt werden. Es dürfen keine unauthorisierte Veränderungen vorgenommen worden sein und alle Versuche dazu festgehalten werden.

Passive (reaktive) Methoden

PortScans erkennen

Um versuchte Einbrüche in das System zu erkennen, muss als erstes ein durchgeführter port scan erkannt werden. Diese Scans dienen dem Aufstöbern von verwundbaren Stellen in einem Netzwerk oder bei einem Rechner. Bei erfolgtem Scan werden verschiedene Aktivitäten ausgelöst:

Logeintrag

Mit Hilfe des Programms „scanlogd"¹⁴ (enthalten in der SuSE-Distribution) werden viele verschiedene Angriffarten automatisch erkannt und Datum, Uhrzeit, Quelladresse, Zieladresse und Zielport in einer Logdatei abgelegt.
Diese Datei sollte regelmässig, mindestens einmal wöchentlich ausgewertet werden und auf unregelmässigkeiten überprüft werden. Treten vermehrt Scans von bestimmten Adressen ausgehend auf, bietet es sich an, den jeweiligen Eigentümer der Ausgangsdomain zu Kontaktieren. In vielen Fällen handelt es sich hierbei um kompromittierte Rechner von ISPs oder um so genannte Script-Kiddies, die sich über einen Provider in das Internet einloggen.
Mail an root

Um den Systemadministrator frühzeitig über Vorfälle zu informieren, sollte bei einem erkannten Port-Scan eine Mail an den Administrator gesandt werden. Scanlogd erledigt auch diese Aufgabe. Dieser hat alle daraufhin folgenden Aktivitäten durchzuführen.
Evtl. Sperren der Route zum Ausgangspunkt der Portscans

Einem Scan folgt oft ein Angriff. Um diesem Vorzubeugen kann der Administrator bei einem erkannten Scan einen Eintrag in der Routing - Tabelle erstellen, der weitere Angriffe vom Quellrechner aus unterbindet.
Diese Methode sollte jedoch sparsam und wohl überlegt eingesetzt werden. Man muss bedenken, dass Quelladressen gefälscht sein können, oder aus einem Adresspool eines Internet Service Providers stammen können, den sich viele Benutzer teilen.
Gegenmassnahmen ergreifen

Bei einem eindeutig erkannten Einbruchversuch bietet es sich an, alle Verfügbaren Daten (z.B. von Logdateien) auszuwerten und den Ausgangspunkt des Angriffes zu lokalisieren. Handelt es sich hierbei um einen ISP, ist dieser oft dankbar für einen Hinweis, da es sich nicht selten um einen kompromittierten Host handelt. Auch Admins grösserer Netzwerke haben manchmal schwarze Schafe, die ihren Rechner nicht immer für deren eigentliche Aufgabe verwenden.
Hier ist wiederum Vorsicht geboten. Man sollte immer erst freundlich anfragen und nicht sofort Beschuldigungen äussern. Es kann leicht passieren, dass sich ein Systemadministrator während eines Audit (seines eigenen Netzwerkes) bei der Eingabe der IP-Adresse vertippt und aus Versehen ein fremdes LAN prüft.

Überwachen des Systems

Zum Überwachen des Dateisystems auf Veränderungen existiert ein Programm namens tripwire ¹⁵ . Dieses erstellt einmalig eine Prüfsumme für alle wichtigen Dateien auf dem Firewall - Rechner. Diese Checksum wird dann, zusammen mit der Konfigurationsdatei, auf ein read-only Dateisystem kopiert. Dies wird entweder durch einen speziellen Server im Netzwerk oder einer schreibgeschützten Diskette erreicht. Danach überprüft ein cron-job regelmässig aufgrund der vorhandenen Hashwerte, ob Dateien oder Verzeichnisse geändert wurden. Tritt dabei eine Ungewöhnlichkeit auf, die der Administrator nicht nachvollziehen kann, tritt der Abschnitt „Reaktion auf einen möglichen Einbruch in Aktion.

Aktive Methoden

Audit

Beim aktiven Auditing wird geprüft, ob die bestehende Konfiguration einem Angriff standhalten kann. Stellen sich bei einem Test Schwachstellen heraus, wird analysiert, wo diese liegen. Im Anschluss an das Audit muss das Ergebnis dokumentiert werden und evtl. Gefundene Schwachstellen behoben werden.

Zu diesem Zweck gibt es professionelle Scanprogramme, aber auch frei verfügbare Tools. Die ersteren sind in ihren Tests sehr ausgereift und stabil. Sie bieten oft auch Hilfestellungen zur Fehlerbehebung und Absicherung penetrierbarer Rechner. Ausserdem bieten die Hersteller oft guten Support zu ihrer Software und deren Anwendung. Zum Test der Software gibt es meistens eine Demo-Version zum Download mit eingeschränkten Fähigkeiten („cripple ware") oder mit begrenzter Nutzungsdauer („time bombs").

Scanner, die frei im Internet zur Verfügung stehen, bieten bei Problemen keine direkte Unterstützung durch die Programmierer. Man muss sich durch Howtos, FAQs und Homepages arbeiten um ihre Funktionalität voll ausnutzen zu können.

Ein guter Ansatz zum Prüfen der Firewall ist, sie einem simulierten Einbruch aus zu setzen. Gewöhnlich werden Systeme erst auf offene Ports geprüft. Auf diesen gefundenen Schwachstellen werden danach Fehler in der Stapelverwaltung (IP - Stack) oder im Protokoll gesucht. Beliebte Tools zum Brechen von Firewalls und anderen Sicherheitsvorkehrungen sind:

SATAN ¹⁶ (System Administrator Tool for Analyzing Networks): Sicherheitstool für UNIX Rechner um vorhandene Probleme aufzuzeigen
SAINT ¹⁷ (Security Administrator's Integrated Network Tool): Basiert auf SATAN, hat aber erweiterte Fähigkeiten
NetCat ¹⁸ : Tool zum lesen und schreiben auf TCP/UDP Netzwerkverbindungen zu beliebigen Ports
Sniffit, TCPdump, IPGrab: Netzwerksniffer zum mitlesen des Netzwerkverkehrs an einem Interface
Nessusd ¹⁹ : Ein Client/Server Portscanner. Der Server wird auf einem UNIX Rechner gestartet und kann von Clients auf unterschiedlichen Plattformen kontrolliert werden.
NetScan Tools ²⁰ : Kommerzielles Programm für Windows zum Ausführen verschiedener Netzanalysen
WS_Ping ²¹ : Kompakter, kommerzieller Netzscanner für Windows

Um den Rahmen dieser Abhandlung nicht zu sprengen, werden im folgenden beispielhaft die Ergebnisse von Angriffen und Reaktionen darauf gezeigt.

Als erstes wird der Firewall Rechner von ausserhalb des LAN gescannt. Dabei ergeben sich, wie erhofft, keine offenen Ports, die ausgebeutet werden können. Auch ein Test des internen Netzes ergibt keine Verwundbarkeit.

[Scan auf einen Server] Führt man hingegen einen Scan auf einen Server aus der DMZ durch, ändert sich dieses Bild. Die Programme NetScan Tools sowie WS_Ping Pro liefern eine Liste von offenen Ports. Es treten jedoch (wie erwartet) nur diejenigen Dienste auf, die durch den Paketfilter erlaubt wurden. Der laufende Gopher - Server z.B. wird nicht erkannt. Um weitere Informationen über den Zielrechner zu erhalten, kann man nun NetCat starten. Dieses liefert als Ausgabe den „rohen" Netzverkehr, wie er vom angesprochenen Server als Antwort auf Benutzereingaben erzeugt wird. Um z.B. dem HTTP-Server auf den Zahn zu fühlen, führt man Netcat mit der Option 80 (der HTTP-Port) aus. Ein entsprechender Bildschirmdialog sieht folgendermassen aus:

Localhost:~ # netcat 192.168.112.80 80

HTTP/1.0 400 Ungültige Anforderung
Content-Type: text/html

<body><h1>HTTP/1.0 400 Ungültige Anforderung
</h1></body>
Localhost:~ # _

Durch diese gewonnenen Informationen kann man als Hacker gezielt nach Fehlern in der verwendeten Server Software suchen und diese ausnutzen. Als Administrator muss man hingegen bemüht sein, ständig alle Sicherheitslücken durch Patches und Updates zu stopfen.

[Scan auf Firewall-Rechner] Wenn man das Programm Nessusd (hier: die Oberfläche des Windows - Client) verwendet, liefert die Software gleich mögliche Verwundbarkeiten des Ziel- rechners, sowie Ratschläge, diese zu beheben. Das Fenster in der unteren rechten Ecke beinhaltet die Analyse durch den Scanner. Im Falle des SMTP - Serverprogrammes rät Nessus zu einem Patch oder Update und gibt gleichzeitig eine kurze Beschreibung der Art der Verwundbarkeit an.

Reaktion auf einen möglichen Einbruch

Erstellte Verbindungen von Aussen und Innen werden protokolliert. Dieses Protokoll muss manuell (ähnlich dem von scanlogd) auf unregelmässigkeiten geprüft werden. Sind hier unerlaubte Zugriffe aufgeführt, müssen vom Operator entsprechende Massnahmen getroffen werden. Dazu gehören:

Prüfen des Firewall - Rechners auf Kompromittierung
Suche nach Trojanischen Pferden auf Client - Rechnern im LAN bzw. DMZ
Kontrolle der Benutzerkonten im LAN und auf dem Firewall - Rechner

Genauer detailierte Informationen bietet das CERT Coordination Center des Carnegie Mellon Software Egineering Institute in der Abhandlung „Steps for Recovering from a UNIX Root Compromise"²² an.