Melden Sie sich hier an, um auf Kommentare und die Whitepaper-Datenbank zugreifen zu können.

Kein Log-In? Dann jetzt kostenlos registrieren.

Falls Sie Ihr Passwort vergessen haben, können Sie es hier per E-Mail anfordern.

Der Zugang zur Reseller Only!-Community ist registrierten Fachhändlern, Systemhäusern und Dienstleistern vorbehalten.

Registrieren Sie sich hier, um Zugang zu diesem Bereich zu beantragen. Die Freigabe Ihres Zugangs erfolgt nach Prüfung Ihrer Anmeldung durch die Redaktion.

23.11.2001 - 

Umwege sind oft leicht zu finden

Schlupflöcher in Firewalls stopfen

MÜNCHEN (CW) - Gegen Angriffe auf die Firewall, die unter interner Mithilfe erfolgen, ist kein Kraut gewachsen. Das berichtet Magnus Harlander, Geschäftsführer der Genua GmbH aus Kirchheim bei München. Doch der Experte hat auch Tipps parat, wie man sich in weniger aussichtslosen Situationen vor unerwünschten Gästen schützen kann.

"Es gibt viele Umwege um eine Firewall", weiß Harlander vom Firewall-Hersteller Genua aus Erfahrung. Insbesondere befänden sich in der Umgebung eines solchen Geräts oft zahlreiche unbeachtete oder unsichere Systeme. Selbst Web- und FTP-Server in der demilitarisierten Zone (das ist eine Art Grenznetz zwischen internem, zu schützendem und externem, unsicheren Netz) seien oft schlecht gesichert und böten Angriffspunkte wie fehlende Bug-Fixes oder ausgedehnte Zugriffsrechte nach innen.

Weitere Risiken ergeben sich aus Sorglosigkeit und Fehlern bei der Konfiguration der Firewall sowie aus aktiven Inhalten wie Javascript, VB-Scripts, Active X und Java. Sie übertragen fremden Code über E-Mail-Anhänge, Downloads oder die Installation von Freeware auf die Systeme von Endnutzern. Der Code wird dort unbesehen ausgeführt, ohne dass der Anwender eingreifen kann. Solche Scripts können diverse Schäden anrichten und lassen sich auch für Spionagezwecke missbrauchen. Eindringlich warnt Harlander daher davor, als Administrator im Internet zu surfen. Die kleinen Programme haben nämlich normalerweise die gleichen Zugriffsrechte wie der Nutzer.

Informationen sammelnAls besonders gefährlich schätzt der Experte Angriffe ein, die unter interner Mithilfe erfolgen. Dagegen sei kein Kraut gewachsen. Hacker ohne stille Mitwisser im Unternehmen sind dagegen erst einmal darauf angewiesen, Informationen über das Ziel zu sammeln, bevor sie losschlagen. So liefert etwa "Whois" Informationen über die Benutzer, der Adressraum lässt sich aus DNS-Informationen erschließen, erreichbare Adressen mit "Ping" testen. Auf Interesse stoßen zudem folgende Fragen: Läuft eine alte Firewall-Version? Was für ein Betriebssystem liegt darunter? Welche Systemdienste finden Anwendung? Ist das Gerät richtig konfiguriert? Von den Antworten hängt es ab, ob der Angreifer eine Chance hat, in das Unternehmensnetz einzudringen.

Als bekannte Schwachstellen führt Harlander fehlerhafte DNS-Server sowie die Nutzung bestimmter Protokolle ins Feld. Von 2000 abgefragten Name-Servern seien immerhin 20 noch nicht gepatcht gewesen, obwohl die untersuchte Sicherheitslücke schon seit langem bekannt sei. Auch Protokolle wie Netmeeting hält der Experte für ein Sicherheitsrisiko, da sie eine weite Öffnung der Firewall erfordern.

Selbst Wartungszugriffe haben ihre Tücken. Laut Harlander sind viele Modems nicht mit einer Callback-Funktion ausgestattet und verfügen über automatisierte Dial-in-Skripte. Passworte werden oft hinterlegt. Bei ISDN-Routern fehlen teilweise Access Control Lists (ACLs) und Authentisierung. Ein Zugang aus unbekannten Netzen wird dadurch möglich.

Gesundes MisstrauenDa bleibt guter Rat teuer. Harlander empfiehlt, mehr Sorgfalt in der Administration walten zu lassen und den Verantwortlichen genügend Ressourcen dafür zur Verfügung zu stellen. Ein überlasteter Administrator könne Sicherheitsfragen nicht genügend Aufmerksamkeit widmen. Es gelte, sich ein gewisses Misstrauen zu bewahren. "Seien Sie paranoid", formuliert das Harlander plakativ. Er rät eher dazu, erst einmal "Nein" zu sagen, wenn jemand mit einer angeblich tollen, neuen Applikation ankommt. Im Zweifelsfall soll der Verantwortliche lieber zuvor eine Protokollanalyse verlangen. Hilfreich sei auch, ein Zonenmodell aufzubauen und zwischen den Sicherheitszonen Schwellen zu errichten. Single-sign-on hebele einen solchen Ansatz jedoch von vornherein aus. (sr)