Startseite   |  Site map   |  A-Z artikel   |  Artikel einreichen   |   Kontakt   |  
  


informatik artikel (Interpretation und charakterisierung)

Source route


1. Java
2. Viren

Source Route Diese Checkbox, die in der Firmware 2.3 nicht mehr vorhanden ist,

wird bei den Einstellungen für die Filter-Regeln im Handbuch nicht erläutert.

Gemeint ist folgendes: Source Routing ist im TCP/IP-Standard vorgesehen. Wenn

die entsprechende Option im Datenpaket gesetzt ist, gibt der Absender des Paketes

eine konkrete Route, die das Paket nehmen soll, vor. Dieses Source Routing kommt

im normalen Datenverkehr kaum zum Einsatz, wird aber von Hackern verwandt, um

Sicherheitsmaßnahmen zu umgehen (Source Routing Attacke). Gelingt es einem

Hacker, bei den ausgehenden Datenpaketen eine bestimmte Route vorzugeben, so

kann er den gesamten Datenverkehr über seinen Rechner leiten und entsprechend

auswerten. Deshalb sollten Pakete, bei denen dieses Flag gesetzt ist, von einer Firewall

verworfen wurde.

DrayTek hat diese Möglichkeit mit der Firmware 2.3 abgeschafft. Bereits vorher hatte

ein Anwender im Gästebuch der www.vigor-users.de ein Entschuldigungsschreiben

von DrayTek veröffentlicht, in dem DrayTek mitteilt, diese Option sei \"invalid\".

29

___________________________

Begriffserläuterungen

Ob es sich hierbei um ein grundsätzliches Problem gehandelt hat, weil die im Router

eingebaute Firewall die Optionen in TCP-Header gar nicht auswerten konnte, weiß

ich nicht; jedenfalls hat DrayTek die Regeln, bei denen die Source Route-Option gesetzt

war, denkbar unglücklich in den ipf-Befehlssatz (näheres zu diesem Befehlssatz

bei den Allgemeinen Hinweisen unter V.) umgesetzt, nämlich z.B. so:

block out quick from any to any with opt lsrr,ssrr

sssr steht dabei für ,Strict Source and Record Route' und lssr für ,Loose Source and

Record Route'. In der Strict-Variante gibt der Angreifer die Router, die das Paket

verwenden soll, genau vor, während bei der Loose-Variante die angegebenen Router

angesteuert werden sollen, das Paket zwischenzeitlich aber auch andere Router benutzen

darf. Dass beide Vorgaben von einem Angreifer gemacht werden (und nur

dann hätte die vom WebInterface produzierte Regel eingegriffen), gibt es nicht.

Das WebInterface hätte daher zwei Regeln erzeugen müssen, nämlich im oben wiedergegebenen

Beispiel:

block out quick from any to any with opt lsrr

block out quick from any to any with opt ssrr

Damit wären beide Angriffsformen abgewehrt worden.

DrayTek hat sich dafür entschieden, die Option ganz zu entfernen. Damit müssen wir

vorerst (?) leben.

Deshalb der folgende wichtige Hinweis:

Entfernen Sie bitte alle Regeln, bei denen die Source Route-Option gesetzt ist, bevor

Sie auf die Firmware 2.3 updaten (Sie können die Regel selbstverständlich auch

nach dem Update löschen, könnten aber Probleme haben, die Regel überhaupt zu

finden, weil die Option im WebInterface der Fw 2.3 nicht mehr angezeigt wird), und

zwar aus folgendem Grund:

Wenn Sie mit einer Vorgängerversion der Firmware 2.3 eine Regel definiert hatten,

bei der die Source Route-Option aktiviert war, passiert beim Update auf die Firmware

2.3 zunächst nichts, außer dass man die Regel nicht mehr versteht, wenn man sie

sich im WebInterface ansieht (unter Telnet wird sie mit ipf view -r unverändert angezeigt;

im WebInterface sieht man nicht, dass die Regel nur für Pakete mit den vorumschriebenen

Optionen gilt). Ändert man aber auch nur eine einzige Firewall-

Regel, so übersetzt das WebInterface alle Regeln neu und aus \"block out quick from

any to any with opt lsrr,ssrr\" wird \"block out quick from any to any\". Danach ist

Schluss mit Internet.

 
 

Datenschutz
Top Themen / Analyse
indicator Registry prüfen und Automatisch reparieren
indicator Techniken zur Vermeidung/Lösung von Deadlocks
indicator SUB
indicator Das Arpanet-
indicator Definition von Variablen
indicator Grenzen der Künstlichen Intelligenz
indicator Sicherheitpaket für das Internet
indicator Fernzugriff auf Fremdsysteme (Telnet)
indicator DPI -
indicator JavaScript und Java


Datenschutz
Zum selben thema
icon Netzwerk
icon Software
icon Entwicklung
icon Windows
icon Programm
icon Unix
icon Games
icon Sicherheit
icon Disk
icon Technologie
icon Bildung
icon Mp3
icon Cd
icon Suche
icon Grafik
icon Zahlung
icon Html
icon Internet
icon Hardware
icon Cpu
icon Firewall
icon Speicher
icon Mail
icon Banking
icon Video
icon Hacker
icon Design
icon Sprache
icon Dvd
icon Drucker
icon Elektronisches
icon Geschichte
icon Fehler
icon Website
icon Linux
icon Computer
A-Z informatik artikel:
A B C D E F G H I J K L M N O P Q R S T U V W X Y Z #

Copyright © 2008 - : ARTIKEL32 | Alle rechte vorbehalten.
Vervielfältigung im Ganzen oder teilweise das Material auf dieser Website gegen das Urheberrecht und wird bestraft, nach dem Gesetz.
dsolution