Mailinglist Archive: opensuse-de (3763 mails)

< Previous Next >
Re: Hilfe DoS Attacke!
  • From: Axel.Krebs@xxxxxxxxxxx (Dr. A. Krebs)
  • Date: Tue, 14 Sep 2004 15:17:03 +0200
  • Message-id: <1095167822.2052.459.camel@xxxxxxxxxxx>
Hallo Liste,

Was mich an der ganzen Geschichte am meisten beunruhigt, ist Folgendes:


1.) wie schützt man sich dagegen -präventiv_, wenn schon das so sichere
OS Linux so etwas zuläßt?

Mir ist bewußt, daß 'Sicherheit' ein weit gefaßter Begriff ist, und
eigentlich viele Aspekte beinhaltet. M.a.W.: das OS alleine kann die
gewünschte Sicherheit i.a. _nicht_ bieten. Vgl. z.B. Markus' Kuhn HP:
http://www.cl.cam.ac.uk/~mgk25/)


2.) Was kann man dagegen tun?
Ich halte mich für einen interessierten Laien, der ein bißchen was weiß,
aber nicht in der 'Liga der Systemsypezialisten' mitreden kann. Man kann
ja ´nicht alles wissen...

Trotzdem würde ich meinen Server gerne _sicher_ betreiben, _ohne_
Schaden für Dritte oder Schadenersatzforderungen befürchten zu müssen.
Gibt es da Verhaltensregeln, oder Warnhinweise, wenn so etwas auftritt?

Wäre das eine Aufgabe eine OS-Anbieters, eine entsprechende
Standardkonfiguration zu installieren?

Gibt es überhaupt Ansätze, Sicherheit im Internet als 'Standard bei der
Installation' durchgehend 'sicher' zu machen?
Der scheinbare 'Komfort' von Cookies etc. ist mir völlig schnurz... .
Ich will einfach nur EINES - SICHERHEIT!!!


3.) Thomas Gräber meint in seinem Beitrag
Re:
Re: Hilfe DoS Attacke!
Datum:
Tue, 14 Sep 2004 11:14:54 +0200


>> Dann würde ich ... und nur die wichtigsten Configfiles und evtl.
Daten übernehmen, auf keinen Fall Lib-Dateien oder ausführbare Dateien,
da davon wahrscheinlich einige
kompromittiert sind. ...<<

Ich frage mich nun insbesondere: Ist es denkbar, daß bestimmte files im
_laufenden_ Betrieb geändert / ausgetauscht werden, _ohne_ daß das OS
das 'merkt'?

Wäre _das_ nicht ebenso ein Aspekt der Sicherheit? Bei der Installation
von Paketen gibt's ja auch Schlüssel, die übereinstimmen müssen. Warum
sollte man eine derartige Überprüfung nicht mit den Paketen tun, die
_während_ einer Sitzung aktiv sind/waren?


4.) Sind derartige Angriffe auch seitens der Behörden bekannt? (ich
duck' mich schon mal...). Würde man ja auch nicht mitkriegen... .


5.) Aus rechtlicher Sicht:
Was _muß_ man tun, um nicht als fahrlässig verantwortlich gemacht zu
werden? ("Sorgfaltspflicht")


6.) Frage: Vielleicht wäre die Diskussion in der Security-Liste besser
aufgehoben gewesen?


Kann hier jemand mit Wissen & Fakten beruhigen?

Wäre toll!


Axel


Am Di, den 14.09.2004 schrieb Jürgen Knelangen um 12:16:
> On Tue, Sep 14, 2004 at 10:02:21AM +0200, Anatol Schirmer wrote:
> > Andre Lorenz wrote:
> > >Am Dienstag, 14. September 2004 08:56 schrieb Anatol Schirmer:
> > > Lass dich davon nicht verrückt machen.
> > :-) Leicht gesagt :-)
> >
> >
> > > 1. Rufe dochmal bei der Firma an und verlange mal den admin, der dafür
> > >zuständig ist.
> > > 2. bitte ihn doch einfach, sofern das ganze echt ist, um eine kopie der
> > >Logfiles.
> > Jup - machen wir! Haben sogar gerade von unserem Provider ne Beschwerde
> > eingericht bekommen ... scheint wirklich zu stimmen :-/
> >
> >
> > >>2) In wiefern können mir die LogFiles vom Admin helfen?
> > >>
> > >
> > > Sie zeigen dir wo und wie dein system ge/missbraucht worden ist.
> > Gut so weit war ich auch schon ;-) Die Frage muß ich wohl anders
> > stellen: Wie sehen solche LogFiles aus und wie kann man dabei ermitteln,
> > was nun wirklich los ist.
> >
> > Habe auch ein paar Zeilen vom Provider bekommen (nehme an, dass sind
> > Logs vom betroffenen Admin). Aber das sieht mir eher wie n TCPDUMP aus:
>
> Ist es auch.
>
> > [...]
> > 23:48:34.490403 adsl-63-108-129-235.apid.com.49265 >
> > web.mpango.de.websm: . ack 762561 win 33120 (DF)
> > 23:48:34.495534 c-24-20-234-49.client.comcast.net.49626 >
> > web.mpango.de.websm: . ack 31357 win 33304 (DF)
> > 23:48:34.515143 pD9ED0BCC.dip0.t-ipconnect.de.ndl-aps >
> > web.mpango.de.websm: . ack 733121 win 31647 (DF)
> > 23:48:34.535075 ip68-7-175-74.sd.sd.cox.net.52533 > web.mpango.de.websm:
> > . ack 764545 win 652 (DF)
> > [...]
> >
> > und wenn ich das richtig deute, dann geht doch der Weg von den ominösen
> > Adressen zu UNSEREM Rechner! Das ist der web.mpango.de ...
>
> Was Du da bekommst sind die Antworten (ACK) auf deine (?) Verbindungs-
> anfragen (SYN).
>
> => 3-Way Handshake
>
> Für nähere Infos Google fragen.
>
> Gruß,
> Jürgen
--
Dr. A. Krebs <Axel.Krebs@xxxxxxxxxxx>


< Previous Next >
Follow Ups