Gefährliche Blockade
Angreifer aus dem Internet automatisch erkennen und aussperren - so verlockend das klingt, bringt es in der Regel mehr Gefahren mit sich, als es nützt.
- Sebastian Schreiber
- Jürgen Schmidt
Intrusion Detection Systeme (IDS) und Personal Firewalls reagieren oft automatisch auf Angriffe und sperren die IP-Adresse des vermeintlichen Absenders, sodass von dessen Rechner gar keine Pakete mehr angenommen werden. Als Angriff zählt dabei häufig schon ein Port-Scan, der ein System auf verfügbare Dienste überprüft. Unter anderem Norton Internet Security 2001 und die McAfee Firewall werben mit dieser Funktion. Aber auch die Firewall-1 von Checkpoint, die vor allem LANs und Server schützt, lässt sich durch ein IDS wie Real Secure entsprechend fernsteuern. Viele Watchguard-Administratoren nutzen die ‘Block Intruder’-Funktion, die Angreifer bei einem Port-Scan auf eine schwarze Liste setzt.
Das Problem dabei ist, dass sich die Absenderadressen von Port-Scans leicht fälschen lassen (IP-Spoofing). Viele der frei verfügbaren Port-Scanner bieten entsprechende Optionen, mit denen sich ein solcher Scan von beliebigen IP-Adressen vorspiegeln lässt. Dies nutzen Angreifer entweder, um den eigentlichen Initiator in der Masse von eintreffenden Paketen zu verbergen oder um harmlose Surfer zu diskreditieren.
Ärger vorprogrammiert
Der Betreiber einer Personal Firewall mit automatischen Block-Funktionen handelt sich unter Umständen eine ganze Reihe von Problemen ein, die er ohne diese Funktion nicht hätte. Ohne spezielle Ausnahmelisten für wichtige Internet-Server kann ihm ein Angreifer durch fingierte Attacken den Internet-Zugang quasi lahm legen. So konnten wir in unserem letzten Test von Personal Firewalls [1] bei NIS und der McAfee Firewall den DNS-Server sperren lassen. Dies hatte zur Folge, dass der Benutzer zum Beispiel beim Aufruf von Webseiten nur noch Fehlermeldungen zu sehen bekam.
Betreiber von Web-Servern riskieren außerdem, dass potenzielle Kunden nicht mehr auf ihre Seiten zugreifen können, weil Angreifer durch groß angelegte Schein-Scans ganze Adressbereiche auf die schwarze Liste befördert haben.
Offensichtlich sehen das aber nicht alle Administratoren so. Auf unsere Nachfragen bestätigte beispielsweise der schweizer Provider Sunrise, der unter anderem www.microsoft.ch hostet, dass er die Absenderadressen von Port-Scans für zwanzig Minuten blockiert. Dabei aktiviert jedes Paket an spezielle, geheime Ports die Sperre. ‘Wäre diese Funktionalität auf unserer Firewall nicht aktiviert, wären die Server von Microsoft anfällig für Portscans und DoS Attacken’, erklärte der Manager Technical Services Security Peter Janki gegenüber c't.
Microsoft Schweiz antwortete auf diesbezügliche Fragen, dass sie mit dem Provider lediglich einen Vertrag über ‘Hosting mit Firewall’ abgeschlossen und keinen Einfluss auf die Firewall-Funktionen hätten. Bisher lägen jedoch keine Beschwerden über nicht zu erreichende Server vor. Der überwiegende Teil der Inhalte liege ohnehin auf dem von Microsoft administrierten Server www.microsoft.com - ohne Sperrfunktion.
Die Argumentation des Providers steht jedenfalls auf wackligen Füßen. Ein Port-Scan stellt noch keine direkte Bedrohung dar, sondern zeigt lediglich auf, welche Dienste ein Rechner anbietet. Wenn sich darunter unerwünschte oder nicht öffentliche Services befinden, sollte man diese komplett sperren oder den Zugriff durch Filterregeln auf rechtmäßige Nutzer beschränken. Der Versuch, offene Ports durch ein solches Versteckspiel zu schützen, ist schon deshalb zum Scheitern verurteilt, weil gezielte Scans im Zweifelsfall dann eben sehr langsam erfolgen.
Auch gegen Denial-of-Service-Angriffe schützt eine Sperre als Reaktion auf Port-Scans nicht vernünftig. Entweder greifen diese Attacken an den Sperrmechanismen vorbei direkt die erreichbaren Dienste an oder sie ‘überfluten’ die Systeme und legen so den regulären Verkehr lahm. Der dabei auftretende Datenmüll lässt sich durch Filter, die auf Port-Scans reagieren, ebenfalls nicht stoppen. Dafür öffnen die automatischen Sperren neuen DoS-Angriffen Tür und Tor.
Automatische Reaktionen auf Angriffe sind nur dann sinnvoll, wenn man sich sicher sein kann, dass man auch den wahren Initiator trifft. Diese Sicherheit liefert aber höchstens ein kompletter TCP-Verbindungsaufbau, der für einen Port-Scan nicht erforderlich ist. Ein solcher Verbindungsaufbau kommt nur zu Stande, wenn der Angreifer einen tatsächlich angebotenen Dienst anspricht. Dabei zwischen normalen und gefährlichen Zugriffen zu unterscheiden erfordert aber in der Regel ein aufwendig zu konfigurierendes Intrusion Detection System, das spezielle Angriffstechniken wie URLs mit ‘/../../’ erkennt. (ju)
Sebastian Schreiber ist Geschäftsführer der Security-Consulting-Firma SySS.
Literatur
[1] Patrick Brauch, Inga Rapp, Elisabeth Bauer, Brandschutz, Zehn Personal Firewalls im Test, c't 23/01, S. 174 (ju)
