|
RIP ist ein Protokoll zur Steuerung der Wegwahl im Datennetz.
Es ist recht einfach, falsche Nachrichten für RIP in ein Datennetz einzuschleusen. Befindet sich der Angreifer näher am Ziel als das Quellsystem, so kann er den Datenverkehr leicht umlenken. Folgeversionen von RIP stellen, um dem entgegenzuwirken, ein Authentifikationsfeld zur Verfügung.
DNS - Domain Name System
Das DNS ist ein verteiltes Datenbanksystem, welches (leicht merkbare, wir zB PING.CO.AT) Host-Namen in verwendbare IP-Adressen umsetzt und umgekehrt. Im Normalbetrieb senden Hosts UDP-Anfragen an DNS-Server. Dieses entworten entweder mit der richtigen Antwort oder verweisen auf besser informierte Server.
Im DNS wird eine Reihe verschiedener Datensätze gespeichert:
Typ Funktion
A Adresse eines bestimmten Hosts
NS Name-Server. Verweist auf den für den Teilbaum zuständigen Server
SOA Start of authority. Markiert den Anfang eines Teilbaumes, enthält neben Caching und Konfigurationsparametern auch die Adresse der für diese Zone verantwortlichen Person.
MX Mail Exchange. Name des Systems, welches die eingehende Post für das angegebene Ziel annimmt. Bei der Zielangabe können Jokerzeichen, wie etwa *.ATT.COM, verwendet werden, so daß ein einziger MX-Eintrag Post für einen ganzen Teilbaum umlenken kann.
HINFO Information über Betriebssystem und Maschinentyp eines Hosts.
CNAME Alternative Namen für einen Host.
PTR Umsetzung von IP-Adressen in Host-Namen
Der Namesnadreßraum von DNS ist baumförmig. Um den Betrieb zu erleichtern, können genze Teilbäume, sogenannte Zonen, an andere Server delegiert werden. Es werden zwei logisch getrennte Bäume verwendet. Der eine setzt Systemnamen wie etwa PING.CO.AT auf IP-Adressen wie 192.20.225.3 um. Es können weitere Informationen über den Host vorhanden sein, beispielweise HINFO- oder MX-Einträge. Der andere Baum enthält PTR-Datensätze und beantwortet inverse queries, also Anfragen in die Gegenrichtung, bei denen auf eine IP-Adresse mit dem Namen geantwortet wird. Zwischen beiden Bäumen wird keine Konsistenz garantiert.
Dieser Mangel an Konsistenz kann Probleme bereiten. Erlangt ein Hacker Kontrolle über den inversen DNS-Baum, kann er ihn für seine Zwecke mißbrauchen. Enthält der inverse Eintrag mit der Adresse des Angreifersystems den Namen eines Hosts, dem das System vertraut (.rhosts), so wird es einem rlogin-Versuch des Angreifers stattgeben, weil es dem gefälschten Eintrag Glauben schenkt.
Die meisten neueren Systeme sind gegen diesen Angriff immun. Nachdem sie von DNS den mutmaßlichen Host-Namen erhalten haben, prüfen sie im Gegenszug die diesem Namen zugeordneten IP-Adressen. Ist die Quelladresse der Verbindung nicht dabei, platzt der Verbindungsversuch und wird als sicherheitsrelevant protokolliert.
Eine weitere Gefahr liegt in der Eigenschaft vieler Implementierungen von DNS-Resolvern, fehldende Teile eines Namens aus dem eigenen Namen versuchsweise abzuleiten.
Beispielsweise versucht FOO.DEPT.BIG.EDU das Ziel BAR.COM anzusprechen. Der DNS-Resolver wird Teile des eigenen Namens ergänzen, um Benutzern abkürzende Schreibweisen zu erlauben, und erst
BAR.COM.DEPT.BIG.EDU,
BAR.COM.BIG.EDU
BAR.com.EDU
probieren, ehe er (korrekt) BAR.COM verwendet. Darin liegt die Gefahr: Erzeugt jemand eine Domain com.EDU, könnte er allen Datenverkehr für .COM abfangen.
Sicherheitsperspektive der Standard-Dienst
SMTP - Simple Mail Transport Protocol
SMTP ist das Standad Protokoll für den Transport von e-mail im Internet. SMTP ist ein einfaches, geheimnisumwittertes Protokoll zum Transport von 7-Bit-Zeichen des ASCII-Zeichensatzes.
Ü 220 inet.ibm.com SMTP
Þ HELO NT.Mickeysoft.COM
Ü 250 inet.ibm.com
Þ MAIL FROM:
Ü 250 OK
Þ RCPT TO:
Ü 250 OK
Þ DATA
Ü 354 Start mail input; end with .
Þ Bla Bla Bla
Þ Bla Bla
Þ Bla
Þ Billy Boy
Þ .
Þ
Ü 250 OK
Þ QUIT
Ü 221 inet.ibm.com Terminating
Die fremde Anlage NT.MICKEYSOFT.COM sendet Post an die lokale Maschine inet.ibm.com. Das Protokoll ist sichtbar einfach. Postmaster und Hacker kennen diese Befehle und geben sie gelegentlich auch selber ein.
Das fremde System gibt im "MAIL FROM\"-Befehl eine Absenderadresse an. Das lokale System hat in diesem Rahmen keine zuverlässige Möglichkeit, diese Adresse zu überprüfen. Falls Authentizität oder Vertraulichkeit notwendig ist, so ist diese auf höheren Protokollebenen zu implementieren.
Vom Sicherheitsstandpunkt aus ist SMTP an und für sich recht harmlos. Es kann aber - wie bereits erwähnt - das Einfallstor für Denial-of-Service-Angriffe sein.
Häufig werden Mail-Prozessoren auf einer Gatewaymaschine gefahren. Hier ist auch der ideale Platz um unternehmensweite Mail-Aliase für die Mitarbeiter einzurichten.
In sendmail findet sich die verbreitetste SMTP-Implementierung. Auch wenn sendmail mit den meisten UNIX-Systemen ausgeliefert wird, ist es das Geld nicht wert: es ist ein Sicherheitsalptraum. Das Programm besteht aus zehntausenden von Zeilen C-Code und läuft häufig unter root. Eine der Sicherheitslücken, die der Internet Worm ausnutzte fand sich in sendmail und war der New York Times eine Meldung wert. Privilegierte Programme sollten so klein und modular wie möglich sein. Ein SMTP-Dämon benötigt keine root Privilegien. Da es auf dem Gateway läuft, benötigt es es Schreibrechte auf ein Spool-Verzeichnis, Leserechte auf /dev/kmem, um die aktuelle Last (load average) des Systems zu bestimmen, sowie die Möglichkeit, den Port 25 zu belegen.
Auch der Inhalt der Post kann gefährlich sein. Abgesehen von möglichen Fehlern im empfangenden Mailer, ist die vertrauensselige Ausführung von Nachrichten, die nach Multipurpose Internet Mail Extensions (MIME) kodiert sind, selbst eine Gefahrenquelle. Diese können nämlich Angaben enthalten, die den Mailer zu Aktionen veranlassen.
Beispiel
Content-Type: Message/External-body;
name="angebot1.txt\";
site="PING.CO.AT\";
access-type="anon-ftp\";
directory="angebote\"
Content-Type: text/plain
Ein MIME-fähiger Mailer würde "angebot1.txt\" automatisch beschaffen.
Content-Type: Message/External-body;
name=".rhosts\";
site="PING.CO.AT\";
access-type="anon-ftp\";
directory=".\"
Content-Type: text/plain
Es besteht die Gefahr, daß der MIME-Agent sorglos die vorhandene .rhosts-Datei im aktuellen Verzeichnis überschreibt.
|
