Montag, 1. März 2010


Topthema

Donnerstag, 12. Januar 2006 | Topthema

About Security #39: Paketfilter- Logfiles manuell auswerten

(Link zum Artikel: http://www.entwickler.de/entwicklerde/kolumnen/026251)

Zur Unterstützung der manuellen Auswertung der Logfiles stehen, wie in About Security #38 erwähnt, verschiedene Hilfsprogramme zur Verfügung. Im Folgenden geht es aber um die Interpretation der Einträge an sich. Zuerst wird nur der Paketfilter betrachtet. Angelehnt an das Beispiel aus About Security #29 gelten folgende einfache Regeln, die den Zugriff auf einen Webserver über HTTP erlauben:

Nr. Senderadresse Port Zieladresse Port Protokoll Flags Aktion

1. beliebig >= 1024 Webserver 80 TCP permit
2. Webserver 80 beliebig >= 1024 TCP ACK permit
3. beliebig any Webserver any any any reject

Einträge in das Logfile können zum Beispiel nach folgendem Muster aufgebaut werden (Umfang der Protokollierung entsprechend About Security #37):

Datum Zeit Senderadresse Port Zieladresse Port Protokoll Flags Regel ggf. Aktion

Ein Ausschnitt aus einem fiktiven Logfile könnte dann vereinfacht so aussehen:

Datum Zeit Senderadresse Zieladresse Port Protokoll Regel

1 Jan 3 02:56:09 a.b.c.d Webserver 6711 TCP 3
2 Jan 3 02:56:10 a.b.c.d Webserver 6776 TCP 3
3 Jan 3 02:56:11 a.b.c.d Webserver 1243 TCP 3
4 Jan 3 02:56:12 a.b.c.d Webserver 7215 TCP 3

N E U ! Security aktuell
Täglich aktuelle Security-Infos!

Die Einträge in Zeile 1 bis 4 zeigen, dass der Rechner mit der IP-Adresse a.b.c.d eine Verbindung mit Port 6711, 6776, 1243 und 7215 des Webservers aufbauen wollte. Um festzustellen, was der entfernte Rechner erreichen wollte, kann man nachsehen, wofür die entsprechenden Ports verwendet werden. Entsprechende Informationen findet man zum Beispiel bei der IANA oder in der Port Knowledgebase von Internet Security Systems (ISS). Ist der entsprechende Port dort noch nicht verzeichnet, hilft meist eine Suche bei den Herstellern von Antiviren-Software.

Die Ports 6711, 6776, 1243 und 7215 werden vom Trojaner SubSeven verwendet. Ein Angreifer sucht vom Rechner mit der IP-Adresse a.b.c.d aus nach einem installierten SubSeven-Trojaner. Die Anfragen bedeuten nicht, dass sich der Trojaner auf dem Zielsystem befindet.

Auch Anfragen an "normale" Ports können zu einem Angriff gehören. Beispielsweise nutzen manche Würmer Schwachstellen in Diensten aus, um sich zu verbreiten.

Datum Zeit Senderadresse Zieladresse Port Protokoll Regel

5 Jan 3 03:16:09 e.f.g.h Webserver 135 TCP 3
6 Jan 3 06:34:49 i.j.k.l Webserver 445 TCP 3
About Security: Die komplette Serie

TCP-Port 135 ist der Endpunkt für Microsofts RPC-Dienst. Der RPC-DCOM-Wurm (Blaster) verbreitet sich zum Beispiel, indem er über eine Schwachstelle im RPC-Dienst in anfällige Windows-Systeme eindringt. Auch andere Systeme als Windows können in Mitleidenschaft gezogen werden, wenn das Distributed Computing Environment (DCE) installiert ist, das ebenfalls den TCP-Port 135 verwendet.

Der TCP-Port 445 wird von Microsoft ab Windows 2000 für SMB verwendet. Der Port wird zum Beispiel von den Würmern Nimda, Sasser und Zotob.A verwendet.

Was genau der jeweilige Verbindungsversuch bewirken sollte, kann ohne weitergehende Informationen nicht festgestellt werden.

Einige weitere willkürlich ausgewählte Beispiele für Ports:

Port Dienst
0 Anfragen an Port 0 können zur Erkennung des Betriebssystems genutzt werden, da diese unterschiedliche Antworten erzeugen.
23 Telnet Ein Angreifer kann versuchen, über eine Schwachstelle in den Telnet-Server einzudringen. Auch Informationen über das Betriebssystem können so gesammelt werden.
25 SMTP SMTP-Server ohne Authentifizierung können zum Spam-Versand genutzt werden.
32770 bis 32900 RPC Sun Solaris verwendet für RPC-Dienste Ports aus diesem Bereich. Ein Angreifer könnte nach einem Portmapper suchen, über den er auf eigentlich gesperrte Ports zugreifen kann. Auch das Ausnutzen von Schwachstellen in installierten RPC-Diensten ist möglich.

Solange der Paketfilter die hinter ihm liegenden Systeme vor Zugriffen auf gefährdete Ports schützt, besteht für diese keine Gefahr. Anders sieht es bei den Ports aus, die der Paketfilter freigibt. Die entsprechenden Dienste werden dann durch das Application Level Gateway geschützt. Beim Webserver ist dafür der HTTP-Proxy zuständig. Dessen Logfile wird in der nächsten Folge behandelt.

Hier noch einige weitere Links zum Thema:

Wenn Sie Fragen oder Themenvorschläge haben, können Sie diese gerne an die angegebene E-Mail-Adresse senden oder im Security-Forum einbringen!

Carsten Eilers

About Security – Übersicht zum aktuellen Thema "Logfiles"

Kommentare

Folgende Links könnten Sie auch interessieren