Viren, Spyware, Datenschutz 11.258 Themen, 94.807 Beiträge

Verfolgung starten Optionen

Spoofing - Firewall

axel_bangert / 10 Antworten / Baumansicht Nickles

Ich benutze zwei Firewalls -> Zyxel Router Prestige alles gesperrt und Norton Firewall 2004 mit  lokalen IP Freigaben für den DHCP IP Bereich des Routers, damit die dynamisch zugeteilten IP's an die jeweiligen Rechner von der Firewall durchgelassen werden


Ist es möglich mittels spoofing, also einer vorgetäuschten lokalen Masquerading-IP an den beiden Firewalls vorbeizukommen und eine TCP Verbindung herzustellen.


Bei netstat -a sehe ich viele  tcp Verbindungen zwischen z.B.: localhost:1600(lokal) und localhost:1486(remote) etc.. Kann es sein dass das Spoofingverbindungen sind?

bei Antwort benachrichtigen
Mario32 axel_bangert „Spoofing - Firewall“
Optionen

-a zeigt ja ganz bewußt auch die lokalen (am eigenen rechner) verbindungen. deshalb ja auch lokal und remote mit "localhost" ipname angezeigt.
Rein theoretisch ist natürlich bei maschinen alles möglich :-)
aber ein externer rechner kann in der regel bei ordentlicher firewall (und damit ist NICHT die software von Norton gemeint!!!!!) nicht in dein LAN eindringen.
Du schreibst doch selbst: dein verbindungsrouter zwischen wan und lan ist alles geschlossen!
Damit beantwortest du dir deine frage doch selbst. wenn alle externen verbindungen gespert sind sind sie es! oder du hast falsch konfiguriert und es gibt eben doch die möglichkeit von draußen eine verbindung aufzubauen!

bei Antwort benachrichtigen
axel_bangert Mario32 „-a zeigt ja ganz bewußt auch die lokalen am eigenen rechner verbindungen....“
Optionen

Hat denn der Zyxel Prestige 600 überhaupt externe Paket Filter? Ich weiß es nicht und habe deshalb gerade bei Zyxel nachgefragt.

Schau Dir mal den Artikel an:
http://ciac.llnl.gov/ciac/bulletins/f-08.shtml

Was hältst Du davon?

Dr. Axel Bangert

bei Antwort benachrichtigen
axel_bangert Mario32 „-a zeigt ja ganz bewußt auch die lokalen am eigenen rechner verbindungen....“
Optionen

Das ist die Ausgabe. Kein Fenster geöffnet. Keine lokale Verbindung
zu anderen Clients , außer Serverinterne Sockets für die Dienste.
Ist das nicht etwas seltsam?

Microsoft Windows 2000 [Version 5.00.2195]
(C) Copyright 1985-2000 Microsoft Corp.

C:\>netstat -a

Aktive Verbindungen

Proto Lokale Adresse Remoteadresse Status
TCP newyork-central:epmap newyork-central:0 ABHÖREN
TCP newyork-central:microsoft-ds newyork-central:0 ABHÖREN
TCP newyork-central:1028 newyork-central:0 ABHÖREN
TCP newyork-central:1029 newyork-central:0 ABHÖREN
TCP newyork-central:1036 newyork-central:0 ABHÖREN
TCP newyork-central:2522 newyork-central:0 ABHÖREN
TCP newyork-central:2901 newyork-central:0 ABHÖREN
TCP newyork-central:8103 newyork-central:0 ABHÖREN
TCP newyork-central:8500 newyork-central:0 ABHÖREN
TCP newyork-central:19997 newyork-central:0 ABHÖREN
TCP newyork-central:19998 newyork-central:0 ABHÖREN
TCP newyork-central:1025 newyork-central:0 ABHÖREN
TCP newyork-central:1025 newyork-central:1640 WARTEND
TCP newyork-central:1025 newyork-central:1657 WARTEND
TCP newyork-central:1025 newyork-central:1694 WARTEND
TCP newyork-central:1025 newyork-central:1697 WARTEND
TCP newyork-central:1025 newyork-central:1702 WARTEND
TCP newyork-central:1025 newyork-central:1704 WARTEND
TCP newyork-central:1025 newyork-central:1710 WARTEND
TCP newyork-central:1025 newyork-central:1716 WARTEND
TCP newyork-central:1025 newyork-central:1718 WARTEND
TCP newyork-central:1025 newyork-central:1720 WARTEND
TCP newyork-central:1025 newyork-central:1722 WARTEND
TCP newyork-central:1025 newyork-central:1731 WARTEND
TCP newyork-central:1035 newyork-central:0 ABHÖREN
TCP newyork-central:1662 newyork-central:1035 WARTEND
TCP newyork-central:1664 newyork-central:1035 WARTEND
TCP newyork-central:1666 newyork-central:1035 WARTEND
TCP newyork-central:1668 newyork-central:1035 WARTEND
TCP newyork-central:1670 newyork-central:1035 WARTEND
TCP newyork-central:1672 newyork-central:1035 WARTEND
TCP newyork-central:1674 newyork-central:1035 WARTEND
TCP newyork-central:1676 newyork-central:1035 WARTEND
TCP newyork-central:1678 newyork-central:1035 WARTEND
TCP newyork-central:1680 newyork-central:1035 WARTEND
TCP newyork-central:1682 newyork-central:1035 WARTEND
TCP newyork-central:1684 newyork-central:1035 WARTEND
TCP newyork-central:1686 newyork-central:1035 WARTEND
TCP newyork-central:1688 newyork-central:1035 WARTEND
TCP newyork-central:1690 newyork-central:1035 WARTEND
TCP newyork-central:1692 newyork-central:1035 WARTEND
TCP newyork-central:1734 newyork-central:1035 WARTEND
TCP newyork-central:1738 newyork-central:1035 WARTEND
TCP newyork-central:1740 newyork-central:1035 WARTEND
TCP newyork-central:1742 newyork-central:1035 WARTEND
TCP newyork-central:1744 newyork-central:1035 WARTEND
TCP newyork-central:1746 newyork-central:1035 WARTEND
TCP newyork-central:1748 newyork-central:1035 WARTEND
TCP newyork-central:1750 newyork-central:1035 WARTEND
TCP newyork-central:1752 newyork-central:1035 WARTEND
TCP newyork-central:1754 newyork-central:1035 WARTEND
TCP newyork-central:1756 newyork-central:1035 WARTEND
TCP newyork-central:1758 newyork-central:1035 WARTEND
TCP newyork-central:1760 newyork-central:1035 WARTEND
TCP newyork-central:1762 newyork-central:1035 WARTEND
TCP newyork-central:1764 newyork-central:1035 WARTEND
TCP newyork-central:1766 newyork-central:1035 WARTEND
TCP newyork-central:1768 newyork-central:1035 WARTEND
TCP newyork-central:1770 newyork-central:1035 WARTEND
TCP newyork-central:1772 newyork-central:1035 WARTEND
TCP newyork-central:1774 newyork-central:1035 WARTEND
TCP newyork-central:1776 newyork-central:1035 WARTEND
TCP newyork-central:1778 newyork-central:1035 WARTEND
TCP newyork-central:1780 newyork-central:1035 WARTEND
TCP newyork-central:1782 newyork-central:1035 WARTEND
TCP newyork-central:1784 newyork-central:1035 WARTEND
TCP newyork-central:1786 newyork-central:1035 WARTEND
TCP newyork-central:1788 newyork-central:1035 WARTEND
TCP newyork-central:1790 newyork-central:1035 WARTEND
TCP newyork-central:1792 newyork-central:1035 WARTEND
TCP newyork-central:1794 newyork-central:1035 WARTEND
TCP newyork-central:1796 newyork-central:1035 WARTEND
TCP newyork-central:1798 newyork-central:1035 WARTEND
TCP newyork-central:netbios-ssn newyork-central:0 ABHÖREN
TCP newyork-central:1645 www.pcom.de:http WARTEND
TCP newyork-central:1646 216.239.59.99:http WARTEND
TCP newyork-central:1651 fd05.future-data.net:http WARTEND
TCP newyork-central:1724 fd05.future-data.net:http WARTEND
TCP newyork-central:1726 fd05.future-data.net:http WARTEND
UDP newyork-central:epmap *:*
UDP newyork-central:microsoft-ds *:*
UDP newyork-central:1032 *:*
UDP newyork-central:1316 *:*
UDP newyork-central:netbios-ns *:*
UDP newyork-central:netbios-dgm *:*
UDP newyork-central:isakmp *:*

C:\>

bei Antwort benachrichtigen
axel_bangert Nachtrag zu: „Spoofing - Firewall“
Optionen

Hat denn der Zyxel Prestige 600 überhaupt externe Paket Filter? Ich weiß es nicht und habe deshalb gerade bei Zyxel nachgefragt.

Schau Dir mal den Artikel an:
http://ciac.llnl.gov/ciac/bulletins/f-08.shtml

Was hältst Du davon?

Dr. Axel Bangert

bei Antwort benachrichtigen
Mario32 axel_bangert „Spoofing - Firewall“
Optionen

also axel hast du mal auf das datum der veröffentlichung gesehen? January 23, 1995 1100 PST
Das sind infos von vor 9 jahren und die dort betreffen unix systeme und wenn ich beim ganz kurzen drüberfliegen richtig gelesen habe geht es darum das ein lokales UNIX system das rechte auf einem anderen lokalen unix bekommt verwaltet aufgrund seiner IP das dort gewisse gefahren bestanden.
Du hast da du norton benutzt vermutlich windows system! und du schreibst was von DHCP zuweisung deiner lokalen ip's. Ich möchte jetzt nicht oberlehrerhaft wirken, aber weißt du eigentlich wie das mit den datenpacketen in lan'swan's so geht und was die von dir in deiner fragestellung benutzten fachbegriffe eigentlich bedeuten? Sollte ein grundsätzlicher bedarf sein rudimentäre kenntnisse bezüglich dieser "packet geschichte" zwischen Computer aufzufrischen, gibt es einen schönen informativen animationsfilm unter:

http://www.warriorsofthe.net/movie.html



und in englisch reine textinformationen unter:

http://en.tldp.org/HOWTO/Unix-and-Internet-Fundamentals-HOWTO/internet.html

Sollte ich das gewünschte von dir jetzt jedoch total missverstanden und auf einer völlig falschen schiene sein, präzisier deine fragestellung bitte noch weiter! Mir ist jetzt nämlich aufgrund deines zurückgegebenen Links nicht klar was genau und in welcher umgebung deine Fragestellung betrifft

bei Antwort benachrichtigen
xafford axel_bangert „Spoofing - Firewall“
Optionen

Nein das ist aus mehreren Gründen nicht möglich:

1. Der Angreifer müßte Pakete mit der Loopbackadresse 127.0.0.1 spoofen, diese Adresse wird allerdings nicht geroutet, sie käme also nicht einmal über den ersten Router

2. Würde sie doch geroutet werden, so wüßte kein Router der Welt, wohin der dieses Paket schicken muß, es gibt keine Route zu einem passenden Netz, am allerwenigsten würde irgendein Router wissen, daß das Paket an deinen Rechner sollte.

3. Würde das Paket rein hypothetisch doch deinen Rechner erreichen, so würde die Antwort nie deinen Rechner verlassen, da 127.0.0.1 lokal ist, der Rechner würde es also an sich selbst schicken und da er die Anfrage nie gesendet hat würde er die Antwort verwerfen.

4. Beim Spoofing ist es im Normalfall nie möglich einen Socket aufzubauen, da die Gegenstelle entweder nicht erreichbar ist, oder die echte Gegenstelle mit einem RST antworten würde, da sie nie eine Verbindung aufgebaut hat. Spoofen ist also immer blind Pakete schicken ohne die Antwort dazu zu erhalten (mit wenigen Ausnahmen).

Letztendlich ist es nicht außergewöhnlich viele lokale Verbindungen zu haben, je nachdem welche Dienste und Anwendungen auf dem Rechner laufen, da viele Programme lokal über loopback kommunizieren.

Pauschalurteile sind immer falsch!!!
bei Antwort benachrichtigen
axel_bangert xafford „Nein das ist aus mehreren Gründen nicht möglich: 1. Der Angreifer müßte...“
Optionen

Zunächst einmal vielen Dank für die sehr fachliche Antwort.
Könnten Sie sich evtl. einmal die Verbindungen ansehen, die ich oben aufgeführt habe. Die Verbindungen bestehen nicht zum localhost, sondern zur jeweils vom Zyxel DHCP dynamisch IP für den jeweils angemeldeten Rechner. Hier NewYork-Central mit der IP 192.168.1.33 bis
192.168.1.37. Die Norton Firewall läßt dann 192.168.1.33 usw. im privaten Netzwerk durch (vertrauenswürdige Verbindung).

Das seltsame ist, dass auf einem Win 2003 Ent Server mit allen Sixcherheitspatches der ohne Softwarefirewall läuft, also nur unter der Zyxel Firewall, keine einzige Verbindung im Leerlauf angezeigt wird.

Was halten Sie davon?

mit freundlichen Grüßen
Axel Bangert

bei Antwort benachrichtigen
Mario32 axel_bangert „Spoofing - Firewall“
Optionen

1) duzen wir uns hier alle auch den Herrn xafford!!!!! :-)
2) localhost ist die bezeichnung des eigenen Rechners. und die locale loopback addy ist die 127.0.0.0 also der REchner NewYork-Central 192.168.1.33 ist LOCALHOST.

3) Die geposteten verbindungen von dir sind ja oben eben eine loobback verbindung zwischen dem eigenen rechner. Ich benutze den norten kram nicht, aber es sind vermutlich die verbindungen die deine software benutzt um die packets auf deinem rechner zu "filtern".

mach doch mal ein netstat ohne -a. damit auch wirklich nur externe verbindungen angezeigt werden ohne die localhost loopbacks!

bei Antwort benachrichtigen
TAsitO Mario32 „1 duzen wir uns hier alle auch den Herrn xafford!!!!! :- 2 localhost ist die...“
Optionen

Hallo.
1) Sind Sie sich sicher ??? Kenne ich Sie ?
Grinsegruss.
Tschau.

http://www.talk-about.org/leben-ist-mehr/default.asp
bei Antwort benachrichtigen
Rika axel_bangert „Spoofing - Firewall“
Optionen

Spoofing ist in diesem Falle uninteressant - aber man könnte mal schauen ob man mit IP Defragmentation Header Rewrite am Router vorbeikommt, bei NPF klappt das jedenfalls problemlos. 6 Jahre nach TearDrop und Symantec checkt's immer noch nicht...

bei Antwort benachrichtigen