computerwoche.de

Freiberufler & Gründer

Linux-Admins aufgepasst

Neuer Hacker-Trick: Über Linux in Windows-Systeme eindringen

13.05.2008
Von Marco Preuß

Linux als Windows-Türsteher

Die klassische Trennung der einzelnen Bereiche mit Komponenten lässt sich grundsätzlich auch auf komplexere Umgebungen projizieren: Gateway-Bereich mit Firewall und Proxy-Server, Server-Bereich mit Mail-(Kommunikations-) und Fileserver und Client-Bereich mit den Workstations.

Eine Firewall dient in erster Linie zur Sicherung gegen Hacker-Angriffe von außen und auch zur Restriktion von Diensten, die von intern nach außen genutzt werden dürfen. Eine Firewall kann aber auch schon das erste Schutzsystem gegen Malicious Codes sein. Richtig konfiguriert, können schon hier Würmer abgefangen werden, die sich über »normale« Netzwerkverbindungen verbreiten. Der Netzwerk-Wurm lovesan.a beispielsweise attackiert Systeme über Port 135 TCP und 4444 TCP. Auch wenn Clients intern mit Trojanern, Backdoors oder auch Bots infiziert worden sind, kann die Verbindungsaufnahme nach außen oder vom Angreifer nach innen unterbrochen werden.

Schutz eingeklinkt: Über ICAP lassen sich Virenscanner in einen Proxy integrieren.
Schutz eingeklinkt: Über ICAP lassen sich Virenscanner in einen Proxy integrieren.

Eine Festlegung der benutzbaren Dienste und das Blockieren der entsprechenden restlichen Ports kann also das Infektionsrisiko bereits minimieren. Dabei können sich aber durch getunnelte Verbindungen immer noch unerwünschte Pakete schleichen.
Mit GNU-httptunnel können beispielsweise beliebige Protokolle mit HTTP getunnelt werden. Derartige Mechanismen in Schadsoftware implementiert, können durch einfache Firewalls fast nicht unterdrückt werden. Um sich auch dagegen zur Wehr zu setzen, ist es sinnvoll, intelligentere Zusatzsysteme, etwa ein Intrusion-Detection-System (IDS) oder ein Intrusion-Prevention-System (IPS), zu benutzen ? oder eine Application Level Firewall. In einigen Antiviren-Produkten sind IPS-Funktionen enthalten, um automatisierte Attacken von Malware abzuwehren.

Proxy-Server sind in vielen Netzwerken vertreten und können im Kampf gegen Schadsoftware wichtige Arbeit leisten. Squid hat sich in diesem Bereich etabliert und bietet hierfür die ICAP-Schnittstelle an (Internet Content Adaption Protocol). Über diese können Content-Filter wie Virenscanner angebunden werden, um den über Squid laufenden Traffic im Hintergrund zu scannen, Schädlinge direkt zu erkennen und automatisch auszufiltern.

Der Ablauf sieht wie folgt aus: Squid erhält Webtraffic über HTTP, der gecached und an den ICAP-Client übergeben wird. Über das ICAP-Protokoll werden dann diese Daten an den ICAP-Server weitergegeben, wobei der ICAP-Server ein Virenscanner ist, der die Daten prüft und sie, je nach Konfiguration, über den ICAP-Client an Squid zurückgibt und damit zum Benutzer, der die Daten aufgerufen hat.