Schleichpfade

Inhaltsverzeichnis

Viele Administratoren glauben, den Verkehr zwischen Intranet und Internet unter Kontrolle zu haben. Firewall und Proxies helfen ihnen dabei, Benutzer vom direkten und womöglich unkontrollierten Zugang zum Internet fern zu halten. Das Surfen im Web ist nur über einen HTTP-Proxy und für einige URLs erlaubt, der FTP-Download darf nur über den FTP-Proxy erfolgen. Peer-to-Peer-Protokolle sind gesperrt, um Saug-Orgien auf Kosten des Unternehmens zu verhindern. Oft ist auch der POP3-Zugriff auf die eigene Mail beim privaten Provider verboten, um zu verhindern, dass Viren am zentralen Mail-Scanner vorbei auf die Rechner gelangen. Doch solche Konzepte stehen auf tönernen Füßen. Vor allem technisch versierte Anwender finden immer einen Weg durch die Firewall ins Internet zu gewünschten Diensten. Wir zeigen gängige Schleichwege und Möglichkeiten sie zu blockieren.

Seit Jahren sind Tunneling-Techniken bekannt, mit denen sich solche Restriktionen umgehen lassen. Spezielle Clients auf Intranet-PCs kommunizieren mit modifizerten Servern im Internet. Dazu betten sie in Datenpakete erlaubter Protokolle, wie HTTP, FTP, DNS und ICMP, eigene Daten ein, die ein Tunnel-Server ausliest. Prinzipiell lässt sich jedes Protokoll für einen Tunnel missbrauchen. Wichtig ist nur, das dieses Protokoll durch die Firewall hindurchgeht. Auch muss der modifizierte Server im Internet unter der eigenen Kontrolle oder der eines Beauftragten stehen und die eingebauten Daten interpretieren können. Der Server reagiert dann je nach Client-Anfrage, beispielsweise in dem er Webseiten anderer Server zurückliefert oder Mail via POP3 abfragt und zurücksendet. Wie der Client muss auch der Server die Daten so in die Antwortpakete einbauen, dass sie durch Firewall und Proxy unverändert hindurchkommen.

Heimlichtuerei

Das Unternehmen HTTP-Tunnel bietet einen kommerziellen Tunnel-Client an, der sich zu speziellen Tunnel-Servern verbindet[1]. Die Firma betreibt eigens dafür mehrere Server im Internet, so dass man sich den den Aufbau eines eigenen sparen kann. Der Client arbeitet für lokale Applikationen als SOCKS-Proxy. Dazu muss er nur in der entsprechenden Applikation als Proxy eingetragen werden. Netzwerkpakete von Applikationen packt er in HTTP-Pakete und schickt sie entweder direkt zum Tunnel-Server oder an den HTTP-Proxy im Intranet. Von dort aus gelangt das Paket zum Tunnel-Server, der die Pakete auspackt und an ihr ursprüngliches Ziel weiterschickt. Damit später die Antworten auch wieder den Weg über den Tunnel nehmen, trägt der Server sich als Absender in die Pakete ein. Später kann er diese anhand einer Tabelle wieder dem jeweiligen Client zuordnen und zuschicken. So ist es trotz Firewall bei akzeptabler Bandbreite möglich, mit einem eDonkey- oder Kazaa-Client MP3-Dateien und anderes zu saugen. Auch Chat, Instant Messaging und sogar Windows Terminal Services sind damit möglich. HTTP-Tunnel kann mit wenig Aufwand fast jede SOCKS-fähige Applikation tunneln und unterstützt sogar die CONNECT-Methode für HTTP-Proxies. Damit muss man die Pakete nicht mehr in HTTP verstecken, sondern kann sie ohne "Umverpackung" verschicken.