title image


Smiley 'Stealth' und warum das gefährlicher Unsinn ist...
In Netzwerken, die mit TCP/IP als Protokollfamilie betrieben werden, gibt es neben den IP-Adressen sogenannte Ports. Das kann man, ganz grob, so mit der Adresse im Reallife vergleichen: Die IP-Adresse entspricht dem Strassennamen und der Hausnummer. Die Port-Adresse ist dann die exakte Wohnung. Und nur bei einer Wohnung, in der auch jemand wohnt, kann der Postbote etwas abliefern.



Das bedeutet bei den Ports, dass ein Dienst laufen muss, der an einem Port 'lauscht' und darauf wartet, dass jemand Kontakt aufnimmt. Zu diesem Zweck gibt es die sogenannten 'Port Assignments'. Das sind Empfehlungen, in denen definiert wird, welcher Dienst standardmässig welchen Port verwendet. Etwa Port 110 für POP3. Oder Port 80 für einen Webserver. Allerdings sind diese Zuweisungen nicht absolut zwingend. Man kann im Prinzip auch einen Webserver auf Port 1237 betreiben.



Was für die Sicherheit eines Computers in einem Netzwerk bzw. bei der Internet-Verbindung hauptsächlich relevant ist, sind die Ports, an denen Dienste laufen.



Gemäss den Empfehlungen (die sogenannten 'Request for Comment' oder kurz RFC sind Dokumente, in denen diese Empfehlungen dokumentiert wurden) gibt es für Ports zwei mögliche Zustände: Offen und Geschlossen. Offen ist ein Port dann, wenn ein Dienst daran lauscht. Wenn kein Dienst läuft, ist ein Port geschlossen. Einen Zustand 'Stealth' gibt es offiziell nicht.



Nun behaupten die Hersteller von PFW, dass mit der Einstellung 'Stealth' ein Computer 'unsichtbar' werde. Das ist leider ein völliger Blödsinn. Genau das Gegenteil ist der Fall. Und zwar liegt das an der Funktionsweise eines TCP/IP-Netzwerks. Anhand des folgenden Beispiels möchte ich das erklären:



Nehmen wir an, ein Provider hat in seinem Adressbereich, den seine Kunden bei Einwahl ins Internet verwenden, die IP-Adresse X. Und nehmen wir an, ich wähle mich ins Internet ein und mache einen Portscan auf den Adressbereich dieses Providers.



Wenn die IP-Adresse X nicht in Verwendung ist, dann wird mir der letzte Router auf dem Weg ein 'Destination unreachable' melden. Also ein 'Da ist niemand'. Mein Portscanner braucht daraufhin nichts weiter zu probieren, er kann dann mit einer anderen Adresse fortfahren.



Ist die Adresse dagegen in Verwendung und der Rechner dieser Person hat offene Ports, dann findet das mein Portscanner heraus. Daraufhin kann ich versuchen, einen dieser offenen Ports zu nutzen, um auf diesen Rechner zu gelangen.



Ist die Adresse in Verwendung, jedoch auf einem Rechner, der keine Dienste nach aussen anbietet und somit alle Ports geschlossen sind, dann bekommt mein Portscanner ein 'Service unavailable' gemeldet. Ich weiss dann zwar, dass da jemand ist. Da aber kein Dienst verfügbar ist, kann ich nichts weiter damit anfangen.



Wenn jedoch die Adresse bei jemandem in Gebrauch ist, der eine PFW installiert und auf 'Stealth' konfiguriert hat, dann bekommt mein Portscanner gar nichts gemeldet. Die Anfragen werden von der PFW nämlich 'gedroppt', also fallengelassen. Nicht beantwortet. Die Anfragen verschwinden sozusagen in einem schwarzen Loch.



Der Effekt ist, dass der Portscanner weiterscannt. Allenfalls bis zum Timeout. Je nachdem kann das die Internetverbindung des betroffenen Rechners belasten, abhängig davon wie 'massiv parallel' gescannt wird.



Nun könnte man im ersten Moment meinen 'Hey, wenn der Portscanner keine Antwort bekommt, weiss er ja nicht, ob da wer ist.' - Bei genauerer Überlegung merkt man jedoch schnell, dass eben genau das ein Trugschluss ist. Wenn da nämlich niemand wäre, dann würde ein 'Destination unreachable' gemeldet. Da dies nicht der Fall ist, muss da jemand sein. Da dieser jemand aber auch keine anderweitige Antwort liefert, kann ich mir an einer Hand abzählen, dass da jemand einen wie auch immer gearteten Paketfilter laufen hat. Vermutlich eine Personal Firewall.



Das bedeutet, dass dieser Rechner erst recht meine Aufmerksamkeit erregt. Speziell Möchtegern-Hacker, Scriptkiddies etc. fühlen sich dann herausgefordert. Man kann dann die 'Box' mit diversen Exploits und anderen Sachen, die PFW überlisten können, hervorkramen und diese Sachen mal auf diese IP loslassen.



Darum ist 'Stealth' kein wirksames Mittel, um die Sicherheit zu erhöhen, im Gegenteil.



CU

Caleb
CU
Caleb




Wie man Fragen richtig stellt


geschrieben von

Login

E-Mail:
  

Passwort:
  

Beitrag anfügen

Symbol:
 
 
 
 
 
 
 
 
 
 
 
 
 

Überschrift: