Hallo Jörg,
From the keyboard of Jörg,
Hi Adalbert, On 4 Feb 2002 at 19:21, Adalbert Michelic wrote:
* On Mon, 04 Feb 2002 at 18:03 +0100, Jörg Zimmermann wrote:
On 3 Feb 2002 at 21:57, Adalbert Michelic wrote: [...].
Wenn ich mal aus meiner Erfahrung sprechen darf: Der potentielle Angreifer nimmt sich seine Tools selber mit. Mit einem derart
Trotzdem benötigt er einige Dinge auf Deinem System, Speicher kann er schlecht über das Internet übertragen.
echo -en '\104\141\163\040\147\145\150\164\040\141\165\143\150' && \ echo -e '\040\155\151\164\040\145\143\150\157\056'
Klar geht das auch mit echo. Oder so, Dank an David Haller für diese wunderschöne sig.
set 124 26 1 12-123-3-4-5 115 16-5 62 15-13- 115-4 1-3- 143 10 dk[${1%-}]=0 cd= k=0 c=$k kn=1 ;for D in ${*//-/ -}; do \ [ $D = - ]&&D=-$c;dk[$((k=${k}+1))]=$((${c}+$D)) \ c=$((${D}>-1?${D}+$c:(${D#-}<$k?${dk[${D#-}]}+0:${c}+\ ${D}))) cd="${cd}\\$c";done;echo -e "$cd" # Charles Cooke, Sysadmin.
Ich mag echo ;).
Ich überhaupt nicht. Es ist so schrecklich unportabel :) Dann lieber printf. *g*
Echo kommt auch ohne Bibliotheken aus, wenn du darauf anspielst, ja. Aber brauche ich das? Ich dachte da eher an Speicher. Sowas wie Festplatten, Ram etc. Darüber hinaus muss ein Angreifer ja erstmal root Rechte bekommen.
Situation 1.) Der Angreifer nutzt einen Exploid, erlangt also root-Rechte durch fehlerhafte Programme oder, meines Erachtens nach wesentlich häufiger der Fall, über fehlerhafte Konfigurationen. Situation 2.) Der Angreifer erlangt die Kontrolle über einen minderpriviligierten account und hackt den root account von dort.
Zu Fall 1.) Auf einer FW läuft nicht's ausser dem packetfilter, also dem puren Kernel und ein paar kleine unverzichtbare Kleinigkeiten. Da sollte sich ein Exploid nicht so schnell finden lassen. Keine weiteren Dienste. Also kein sendmail, kein squid, kein popper, kein finger, kein telnet, keine Hilfsprogramme, kein Perl. Keine nette bash, eher die csh. Wenn ssh, dann nur über serielle Verbindung oder internes device. Das heisst, es gibt fast nichts wo es einen Exploid für gibt. Es werden nur Packete von draussen nach drinnen weitergeleitet, nie auf den FW selber. Der Hacker der es jetzt schafft auf die FW draufzukommen, dem sind Deine kompetenten user, Deine gesicherten Client's hilflos ausgeliefert. Aber Hacker die das schaffen, naja, da wirds doch schon sehr übersichtlich. Voraussetzung ist natürlich immer ein aktuelles System, also Sicherheitspatches einspielen. Mach ich bei mir immer auf einem anderen System, und brenne mir dann alles auf CD, neu booten, ab dafür. Also ein System ohne HD, Floppy.
Was ist wenn er seine Pakete durch die Firewall schleust? Letzlich sogar Shell über ICMP gesehn ;) Dein Paketfilter kann auch exploitet werden. Vor DoS bist du dann immer noch nicht geschützt. Wie bietest du Services nach außen an? Garnicht? Im Privatbereich akzeptabel, in einer Firma wohl nicht.
PS: Ich würde mich niemals sicher fühlen. Ich würde auch niemals glauben das mein Ansatz vollkommen sicher ist. Ich denke, man kann hier nur sein bestes tun;)
ACK. gruß Waldemar P.S. Exploit nicht Exploid. Paketfilter nicht Packetfilter. (außer du schreibst alles in englisch :) ) -- Are your questions smart enough? http://www.tuxedo.org/~esr/faqs/smart-questions.html