Hi Jörg, * On Mon, 04 Feb 2002 at 21:37 +0100, Jörg Zimmermann wrote:
On 4 Feb 2002 at 19:21, Adalbert Michelic wrote:
* On Mon, 04 Feb 2002 at 18:03 +0100, Jörg Zimmermann wrote:
On 3 Feb 2002 at 21:57, Adalbert Michelic wrote: [...].
Wenn ich mal aus meiner Erfahrung sprechen darf: Der potentielle Angreifer nimmt sich seine Tools selber mit. Mit einem derart
Trotzdem benötigt er einige Dinge auf Deinem System, Speicher kann er schlecht über das Internet übertragen.
echo -en '\104\141\163\040\147\145\150\164\040\141\165\143\150' && \ echo -e '\040\155\151\164\040\145\143\150\157\056'
Klar geht das auch mit echo. Oder so, Dank an David Haller für diese wunderschöne sig.
set 124 26 1 12-123-3-4-5 115 16-5 62 15-13- 115-4 1-3- 143 10 dk[${1%-}]=0 cd= k=0 c=$k kn=1 ;for D in ${*//-/ -}; do \ [ $D = - ]&&D=-$c;dk[$((k=${k}+1))]=$((${c}+$D)) \ c=$((${D}>-1?${D}+$c:(${D#-}<$k?${dk[${D#-}]}+0:${c}+\ ${D}))) cd="${cd}\\$c";done;echo -e "$cd" # Charles Cooke, Sysadmin.
Ich mag echo ;). Echo kommt auch ohne Bibliotheken aus, wenn du darauf anspielst, ja. Aber brauche ich das? Ich dachte da eher an Speicher. Sowas wie Festplatten, Ram etc. Darüber hinaus muss ein Angreifer ja erstmal root Rechte bekommen.
Situation 1.) Der Angreifer nutzt einen Exploid, erlangt also root-Rechte durch fehlerhafte Programme oder, meines Erachtens nach wesentlich häufiger der Fall, über fehlerhafte Konfigurationen.
Das ist diejenige, die ich meine.
Situation 2.) Der Angreifer erlangt die Kontrolle über einen minderpriviligierten account und hackt den root account von dort.
Zu Fall 1.) Auf einer FW läuft nicht's ausser dem packetfilter, also dem puren Kernel und ein paar kleine unverzichtbare Kleinigkeiten. Da sollte sich ein Exploid nicht so schnell finden lassen. Keine weiteren Dienste. Also kein sendmail, kein squid, kein popper, kein finger, kein telnet, keine Hilfsprogramme, kein Perl. Keine nette bash, eher die csh. Wenn ssh, dann nur über serielle Verbindung oder internes device. Das heisst, es gibt fast nichts wo es einen Exploid für gibt. Es werden nur Packete von draussen nach drinnen weitergeleitet, nie auf den FW selber. Der Hacker der es jetzt schafft auf die FW draufzukommen, dem sind Deine kompetenten user, Deine gesicherten Client's hilflos ausgeliefert. Aber Hacker die das schaffen, naja, da wirds doch schon sehr übersichtlich.
Das ist mal die schöne Theorie. Sowas ähnliches würde ich auch implementieren, wenn ich für ein Unternehmen o.ä. eine Lösung zusammenstellen muß. Allerdings würde ich eher zu OpenBSD als Linux tendieren. Aber wir reden hier noch von Jochen's System, das vermutlich in seinem Abstellraum zuhause sein dasein fristen wird, oder? Klar, wenn keine Dienste laufen, wird es schwierig einen Exploit zu finden. Solange der Angreifer keinen Exploit hat, ist es allerdings auch egal, ob ls in einer Diskette auf dem Rechner oder auf der Platte im Rechner liegt. Wenn er dann einen hat[1], kann er sich sein $FOO mittels echo o.ä. auf den Rechner schaffen.
Voraussetzung ist natürlich immer ein aktuelles System, also Sicherheitspatches einspielen. Mach ich bei mir immer auf einem
Das ist sowieso Voraussetzung, egal ob nun $FOO auf dem System vorhanden ist, oder nicht.
anderen System, und brenne mir dann alles auf CD, neu booten, ab dafür. Also ein System ohne HD, Floppy.
Der Kernel ist - nehme ich mal an - ohne loadable module support und ohne ramdisk support? Fällt mir so mal aufs erste ein.
Zu Fall 2.) Wofür brauche ich auf einer FW minderpriviligierte user? Ok, und wenn schon, dann d(arf)ürfen diese\r use\r dürfen nirgendwo was hinschreiben.
Das ist IMO sowieso ein Fall von selber schuld, also ...
eingeschränkten System blockiert man sich nur selbst. Reinkommen tut
Ich muss da nicht reinkommen, wofür, ich brauche lediglich Informationen, also log's. Konfiguriert wird das System woanders, da wo ich in Ruhe testen kann.
Steigert wieder den Aufwand und steht IMO bei einem Systemn, das zuhause im Abstellraum steht, nicht dafür.
Wenn man derart hohe Sicherheitsanforderungen hat, dann müssen die User aber entweder kompetent sein, oder so massiv eingeschränkt sein, daß sie unter keinen Umständen Blödsinn machen können. Das wird aber zuhause kaum vorkommen.
LOL, ich hab ja schon Probleme wenn ich vor Mail Attachments warne, oder HTML oder... und Kompetenz bei user? Die sollen in der Regel Ihren Job machen, Rechnungen schreiben, layouten, designen, konstruieren, also was sollte normale user dazu bringen
Eine Kette ist nur so stark, wie ihr schwächstes Glied - über dämliche User läßt sich ein Netzwerk weit einfacher infiltrieren, als über das Gateway. Entweder die User gescheit schulen / einschränken, oder beim Gateway ein wenig zurücksteigen. Was bringt Dir ein supertolles, sicheres Auto, wenns ein Cabrio ist, das keine Überollbügel hat und Du Dir 3 mal das Genick brichst, wenn Du einen Berg runterkugelst?
umfangreiche Schulungen auf sich zu nehmen. Und, darüber sind wir uns ja wohl klar, Sicherheitsschulungen wie Du Sie benötigen würdest, sind nicht an einem Wochenende zu schaffen. Da braucht es erheblich länger für.
ankommenden Emails, am besten keine Attachments zulassen. Keine Downloads von "Bildschirmschonern" o.ä. Kein ICQ, AIM, usw. blablabla ....
In Kürze: Das sicherste Gateway bringt nichts, wenn der Angreifer bequem über Trojaner o.ä. Sicherheitslücken der Clients ausnutzen kann.
ACK.
Ein Angreifer kann natürlich alles mögliche tunneln, aber dafür muss im internen Netz ein entsprechender Dienst laufen.
Wieso? Da reicht doch ein User der sich gerne an bunten Bildchen erfreut und nach Möglichkeit an einem Windows-Rechner sitzt. Was will man mehr?
Ich denk, die user sind kompetent und geschult?
Entweder ich habe geschulte User, dann treibe ich auch beim Gateway mehr Aufwand, oder ich habe Dummuser, dann reisse ich mir beim Gateway nicht unbedingt die Beine aus.
Kurz, einen gut gesicherten Gateway auszutrixen macht nur Sinn wenn der Nutzen für den Angreifer hoch ist, oder ein er 'Sportler' ist.
Klar, aber solange er nur Sklaven für DDos-Angriffe udgl. braucht, ist ein geknacktes Gateway zwar praktisch, aber nicht erforderlich.
Für eine slave wird ein Hacker nicht so einen Aufwand betreiben. Dafür benutzt er diese TDSLichbinderschnellsteundladeammeistenrunterM$userRechner.
ACK.
PS: Ich würde mich niemals sicher fühlen. Ich würde auch niemals glauben das mein Ansatz vollkommen sicher ist. Ich denke, man kann hier nur sein bestes tun;)
detto. Ich tue mein Bestes - solange der Aufwand dafür steht. 99% Verfügbarkeit sind "einfach". 99.9% Verfügbarkeit sind schon schwieriger/teurer 99,99% noch viel schwieriger 99,999% erst recht 99,9999% das wird schon massiv teuer 99,99999% Atomraketen-Steuerung IMO gilt das obige für Sicherheit sinngemäß. [1] Klar, je mehr Dienste[2] laufen, desto einfacher wird es einen Exploit zu finden. [2] Ich meine Dienste wie httpd, squid, ftpd, usw. - nicht Tools wie ls, ftp, wget, lynx usw. -- Adalbert PGP welcome, request public key: mailto:adalbert+key@lopez.at