Schleichpfade
Seite 3: Selbsttest
Selbsttest
Der schweizerische Sicherheitsdienstleister Compass Security Network Computer (CSNC) hat einen Windows-DNS-Tunnel-Client entwickelt, der sich an die in NSTX verwendeten Methoden anlehnt. Ergänzend betreibt CSNC einen eigenen DNS mit dazu passendem Tunnel-Server. CSNC bietet damit Interessierten die Möglichkeit, selbst zu testen, ob das Netzwerk für DNS-Tunnel anfällig ist.
Zum DNS-Tunnel-Test benötigt man den Tunnel-Client und einen Web-Browser zur Konfiguration des Tunnel-Servers. Vorzugsweise sollten Tester den Internet Explorer einsetzen, da es derzeit mit anderen Browsern zu Problemen kommen kann. Nach dem Start baut der Tunnel-Client mit dem Browser eine SSL-gesicherte Verbindung zum Server auf. Um auf das Konfigurationsmenü zugreifen zu können, muss man sich mit Name und Passwort einloggen. Anschließend darf man zwischen Simple, Advanced und Interactive Test auswählen. Simple Test führt recht schnell drei kurze Checks durch, um die Verwundbarkeit für DNS-Tunnel zu demonstrieren. Beim Advanced Test lädt der Client vom Server unter anderem einen EICAR-Testfile, auf den eigentlich jeder Virenscanner reagieren sollte. Im Interactive Test kann der Benutzer verschiedene Schritte und Befehle selber konfigurieren und kombinieren.
Jeder Test ist in allen Schritten beschrieben und mit übersichtlichen Bildern illustriert, die entsprechend des Test-Fortschritts farblich besonders hervorgehoben sind. Nach dem Start eines Tests tauschen Tunnel-Client und Tunnel-Server Daten per DNS Query und -Reply aus, während der Webbrowser die Ergebnisse des Tests per HTTP abfragt und anzeigt.
Der Tunnel-Client ist kostenlos erhältlich, der Tunnel-Server von CSNC steht für die Tests ebenfalls zur freien Verfügung. Um den Client benutzen zu können, muss man vorab den Nutzungsbedingungen zustimmen. Nach Angaben von Compass Security ist ein möglicher Missbrauch des Tunnel-Servers durch Dritte ausgeschlossen. Weitere Informationen zum Test finden Sie auf den Seiten von Compass Security [4], wo auch der Client zum Download bereit steht. Zur Anmeldung an den Tunnel-Server gibt man als Benutzername heise und als Passwort compass.dtt an.
Prinzipiell lassen sich auch andere Protokolle für Tunnel missbrauchen, sie müssen sich nur durch das Internet routen lassen. An ICMP-Ping-Pakete kann man beliebige Daten anhängen. Auch in FTP-Pakete lassen sich Pakete einbetten. Eine asymmetrische Kommunikation entsteht, wenn zwei unterschiedlichen Protokolle für den Hin- und Rückweg eingesetzt werden, beispielsweise SMTP und POP3 oder IMAP.
Holzpferde
Tunnel stellen für den Netzwerkverantwortlichen ein Problem dar, weil sie Einfallstore für Viren, Würmer und Trojaner bieten und die Möglichkeit, Daten unbemerkt herauszuschmuggeln. Peer-to-Peer-Netze, IRC-Clients und die private Mailabfrage sind für Schädlinge die häufigsten Verbreitungsmedien und deshalb sicherheitshalber gesperrt. Die Tunnel reißen nun wieder Löcher in das geschützte Netzwerk, wenn nicht eine gut konfigurierte Firewall die Netzübergänge mittels Content-Scanning überwacht. Denkbar sind Trojanische Pferde und Backdoors, die nach dem Befall eines Rechners Daten sammeln und nach Hause telefonieren. Bisherige Versionen öffnen eigene Server-Ports, um sich aus der Ferne steuern zu lassen. Meist blockt aber die Firewall noch solche Verbindungsversuche.
Mit IP-Tunneln durch die Firewall können die Schädlinge unerkannt arbeiten. Über spezielle Programme wie beispielsweise der Advanced Port Redirect Engine kann der Trojaner im Intranet sogar als Server arbeiten, obwohl der Verbindungsaufbau aus dem Internet nicht möglich ist. Der Redirector dreht die Richtung des Verbindungsaufbaus für Server und Client unbemerkt um, die Richtung des Datenflusses bleibt aber erhalten. Angreifer haben dann jederzeit, durch die Firewall hindurch, Zugriff auf Systeme im Intranet und können weitere Programme nachladen und starten, -- der Albtraum des Netzwerkverantwortlichen.
