Trügerische Sicherheit mit automatischen IP-Sperren

Immer mehr Personal Firewalls bieten Optionen, als Reaktion auf einen Port-Scan die Absenderadresse des Verursachers zu sperren. Doch auch Netzwerk- und Server-Administratoren reagieren auf verdächtige Anfragen immer häufiger durch automatisches Sperren von IP-Adressen.

So bestätigte beispielsweise der Schweizer Provider Sunrise, der unter anderem www.microsoft.ch hostet, dass er die Absenderadressen von Port-Scans für zwanzig Minuten blockiert. Dabei aktiviert jedes Paket an spezielle, geheime Ports die Sperre. "Wäre diese Funktion auf unserer Firewall nicht aktiviert, wären die Server von Microsoft anfällig für Port-Scans und DoS-Attacken." erklärte der Manager Technical Services Security Peter Janki gegenüber c't.

Das Problem beim automatischen Sperren von IP-Adressen ist, dass sich die Absenderadressen von Port-Scans leicht fälschen lassen (IP-Spoofing). Viele der frei verfügbaren Port-Scanner bieten entsprechende Optionen, mit denen sich ein solcher Scan von beliebigen IP-Adressen vorspiegeln lässt. Dies nutzen Angreifer entweder, um den eigentlichen Initiator in der Masse von eintreffenden Paketen zu verbergen oder um harmlose Surfer zu diskreditieren. Damit eröffnen sich aber auch eine ganze Reihe von Möglichkeiten, Denial-of-Service-Angriffe gegen die Firewall durchzuführen.

Mehr über die Gefahren, die das automatische Sperren von IP-Adressen mit sich bringt, finden Sie in Ausgabe 26/2001 von c't (seit dem heutigen Montag im Handel). (Sebastian Schreiber) / (ju)