Schleichpfade
Seite 4: Spurensuche
Spurensuche
Der Aufwand für einen Administrator, einen Missbrauch festzustellen, ist abhängig vom Protokoll, das zum Tunneln verwendet wird. Mit einem Netzwerk-Sniffer lassen sich die Pakete auf allen Ebenen analysieren. Verdächtig viel Netzwerkverkehr von und zu einem Rechner führt schnell zum Schuldigen. Bleibt die Netzlast im Rahmen des Normalen, hilft die Suche nach verdächtigen DNS-Anfragen mit seltsamen Hostnamen und deren aufgeblähte Antworten. ICMP-Ping-Paketen mit Nutzdaten-Anteil kommt der Administrator ebenfalls schnell auf die Spur. Bei HTTP-Tunnel muss man schon tiefer in die Pakete hineinschauen, um zu erkennen, ob da nun getunnelte Pakete drin stecken. Schwierig wird es allerdings bei verdeckten Kanälen, die zusätzliche Verschleierungsmethoden wie Steganografie einsetzen. Hier hilft nur eine Anomalie-Analyse, etwa ob eine bestimmte Verbindung logisch über einen längeren Zeitraum besteht.
Abwehr
Sich gegen die ungewollte Durch-Tunnelung der Firewall zur Wehr zu setzen ist schwer. Nur eine komplette Trennung vom Internet bringt hundertprozentigen Schutz. Normale Firewalls filtern den Verkehr nur bis auf Port-Ebene, in die Pakete schauen sie nicht hinein. Hier hilft es, die IP-Adressen oder URLs bekannter Tunnel-Server zu blocken. Allerdings bietet das nur Schutz vor Diensten, wie sie HTTP-Tunnel bietet. Zu welchen Adressen ein Trojaner Verbindungen aufbaut, wird man kaum vorhersagen können. Application Level Firewalls und Firewalls mit Intrusion Prevention inspizieren vorbeikommende Pakete zwar genauer, allerdings ist es auch für diese nicht einfach, Daten zu erkennen, die beispielsweise huckepack mit HTTP transportiert werden. DNS-Tunnel können sie eventuell an kryptischen Hostnamen und den Text-Feldern der Resource Records erkennen und blockieren. Bei DNS genügt es auch schon, die interne Zone vom Internet zu entkoppeln. Interne Rechner können dann zwar keine Namensauflösung mehr für Systeme im Internet durchführen, in der Regel ist dies aber auch gar nicht nötig. Benutzt man beim Surfen im Internet einen Proxy, so löst dieser die angeforderte URL gegen eine IP-Adresse auf.
Literatur
[1] HTTP-Tunnel
[2] GNU httptunnel
[4] Compass Security DNS-Tunnel-Test
[5] Johannes Endres, Muschel aufbohren, Tipps und Tricks zur Secure Shell, c't 1/2004, S.172 (kostenpflichtiger Download ) (dab)
