Erkennung von Eindringversuchen und DNS-Angriffen aktivieren
Die Informationen in diesem Artikel beziehen sich auf:
- Microsoft ISA Server 2004
Der ISA Server bietet neben den Firewall- und Proxyfunktionen auch eine Eindringversuchserkennung. Microsoft hat diesen Bestandteil von ISS (www.iss.net/isaserver) lizenziert; ISS bietet darüber hinaus für den ISA weitere Komponenten an, die mehr Erkennungsmuster für Angriffsversuche mitbringen. Sobald die Eindringversuchserkennung aktiviert ist, erkennt der ISA Angriffsversuche und kann darauf reagieren. Es besteht die Möglichkeit, das Ereignis nur im Ereignisprotokoll zu vermerken, z.B. dem Administrator eine E-Mail zu senden, Dienste herunter zu fahren oder Anwendungen auszuführen.
Aktiviert wird die Eindringversuchserkennung in der allgemeinen ISA Server
Verwaltung (ISA Managementkonsole -> Allgemein):
- Windows-Out-of-Band (WinNuke)
Tritt auf, wenn Angreifer einen Out-of-Band-Angriff oder Denial of Service (DoS)-Angriff gegen einen Computer ausführen. Ein DoS-Angriff ist ein Versuch, einen Computer oder ein Netzwerk lahm zu legen. Dieser Angriff kann dazu führen, dass der Computer nicht mehr antwortet oder die Netzwerkverbindung verliert. Dazu wird ein Sicherheitsloch in Windows-Betriebssystemen (für das ein Patch seit Windows NT 4.0 ServicePack 4 existiert!) ausgenutzt und an Port 139 ein leeres IP-Paket gesendet, welches das TCP Flag Urgent gesetzt hat. - Land
Damit bezeichnet man die Methode, wenn Eindringlinge eine TCP-Verbindung mit einer gefälschten Quell-IP-Adresse und Portnummer aufbauen, welche mit der Ziel-IP-Adresse und Portnummer übereinstimmt. Spoofing bezieht sich auf das Überlisten eines Computers, um Informationen zu erhalten, welche unberechtigten Zugriffe mit Hilfe einer falschen IP-Adresse erlauben. Ein Land-Angriff kann bewirken, dass Computer nicht mehr reagieren und so auch für berechtigte Benutzer nicht mehr zur Verfügung stehen. - Ping-of-Death
Mit Ping-of-Death-Angriffen wird versucht, einen Computer außer Kraft zu setzen, in dem ICMP Echo Request-Paketen große Datenmengen hinzugefügt werden. Bei dieser Attacke sendet der Angreifer ICMP-Pakete mit einer Nutzdatengröße von mindestens 65.510 Byte. Diese werden fragmentiert zum Zielsystem übertragen und dort wieder zusammengesetzt. Inklusive des ping-Headers ergibt das ein IP-Paket, das größer ist als die maximal zulässige Größe von 65.536 Byte. Bei IP-Implementierungen, die einen solchen Overflow nicht abfangen, kommt es dann zum Systemabsturz - IP-Half-Scan
Treten auf, wenn Eindringlinge wiederholt versuchen, eine Verbindung zum Zielcomputer herzustellen und die TCP-Pakete bestimmte Flags enthalten. Die bestimmten Flags sind Sync = 1. Daraufhin sendet der Ziel Server die Flags Sync=1 und zusätzlich das ACK=1 Flag. Als nächstes müsste der Angreifer ein IP Paket senden das nur noch das Ack=1 Flag gesetzt hat, das tut er aber nicht (ein halber Port Scann also). Dieser Vorgang kann darauf hindeuten, dass nach offenen Ports gesucht wird. - UDP-Bomb
Tritt auf, wenn Eindringlinge versuchen, ein illegales UDP-Paket zu senden. Ein UDP-Paket, das aus illegalen Werten in bestimmten Feldern aufgebaut ist, bringt den Computer zum Absturz, sobald das Paket empfangen wird. - Port-Scan
Ein Port-Scan (All-Port-Scan) tritt auf, wenn Angreifende versuchen, Zugriff auf mehr als die vorkonfigurierte Anzahl der Ports zu erhalten. Der Administrator definiert einen Portbereich (siehe Bild), wodurch die Anzahl der Porte festgelegt wird, die für den Zugriff verfügbar sind. Eindringlinge verwenden das Scannen von Ports, um offene Ports eines Computers zu finden. Offene Ports stellen einen Eingang in diese Computersysteme dar und dadurch kann versucht werden, einen Angriff über einen oder mehrere dieser Ports durchzuführen.
Neben der Eindringversuchserkennung auf IP-Paketfilterebene hat der ISA Server2004 auch einen DNS-Filter:
- DNS-Hostnamenüberlauf
Tritt ein, wenn eine Antwort eines DNS-Servers für einen Hostnamen eine bestimmte feste Länge überschreitet. Dieser Angriff kann bei fehlerhaft geschriebenen Anwendungen, welche die Länge des Hostnamens nicht überprüfen bewirken, dass die internen Puffer überlaufen. sobald der Hostname kopiert wird. Dieser Angriff kann es einem Angreifer ermöglichen, beliebige Befehle auf dem angegriffenen Computer auszuführen. - DNS-Längenüberlauf
Tritt ein, wenn eine IP-Adresse ein Feld enthält, dessen Wert größer als 4 Byte ist. Dieser Angriff kann bei fehlerhaft geschriebenen Anwendungen, die DNS-Suchen durchführen einen internen Pufferüberlauf bewirken. Dieser Angriff kann es einem Angreifer ermöglichen, beliebige Befehle auf dem angegriffenen Computer auszuführen. - DNS-Zonentransfer
Legt fest, dass der Filter prüfen soll, ob Eindringversuche vom Typ DNS-Zonentransfer stattgefunden haben. Ein DNS-Zonentransfer tritt auf, wenn ein Clientsystem eine DNS-Clientanwendung für die Übertragung von Zonen von einem internen DNS-Server verwendet.
Ergänzend zu den oben vorgestellten Eindringversuchserkennungsmöglichkeiten stellt der ISA Server 2004 auch einen POP-Eindringungs-Erkennungsfilter zur Verfügung.
Der POP-Eindringungs-Erkennungsfilter fängt für das interne Netzwerk bestimmten POP-Datenverkehr zum Zweck der Analyse ab. Der Anwendungsfilter überprüft insbesondere POP-Pufferüberlaufangriffe. Ein POP-Pufferüberlaufangriff tritt dann auf, wenn ein Remoteangreifer versucht, als Superuser eines POP-Servers Zugriff zu erhalten, indem ein interner Puffer auf dem Server zum Überlaufen gebracht wird.
Der POP-Eindringungs-Erkennungsfilter bietet keine Konfigurationsmöglichkeit und befindet sich - im Gegensatz zu den oberen beiden - bei den Anwendungsfiltern.
Man könnte ggfs. noch den SMTP-Filter in den Bereich Eindringversuchserkennung aufnehmen, da dieser Anwendungsfilter SMTP-Kommandos abweisen sowie den Mailverkehr überwachen kann.
Stand: Friday, 28. August 2009/DR.
