Desktop Firewall / Firewallmodul umgehen

aus HaBo WiKi, der freien Wissensdatenbank von http://www.hackerboard.de
Wechseln zu: Navigation, Suche
Das Firewallmodul umgehen (IP-Sperrlisten, Port- und Protokollregeln Außerkraftsetzen)


zurück zum Artikel „Angriffsmethoden auf Desktopfirewalls“


  • Der IP-Filter einer Desktopfirewall lässt sich bei einigen Modellen durch eine übermäßige Fragmentierung der Nutzdaten umgehen. Dank einer Tiny- bzw. Overlapping-Fragment-Attack kann es somit gelingen, mit einer vermeintlich gesperrten IP-Adresse Zugriff auf einen freigegebenen Dienst des Rechners zu erlangen.

    Diese Methode gehört zur Sicherheitskategorie 1


  • Eine virtuelle Netzwerkkarte (IP-Aliasing) schafft einen eigenen TCP/IP-Stack, der im ungünstigsten Fall einfach an der Desktopfirewall vorbei sendet. Vor allem ältere Desktopfirewalls, die nur eine einzige Netzwerkkarte verwalten können, lassen sich dadurch umgehen. Aber auch einige neue Modelle haben damit Probleme, wenn die virtuelle Netzwerkkarte nicht schon beim Start der Firewallsoftware vorhanden ist.

    K1 (PC->Internet): Diese Methode gehört zur Sicherheitskategorie 1A / in Ausnahmefällen auch zur Sicherheitskategorie 2A (siehe hier)
    K2 (Internet->PC): Diese Methode gehört zur Sicherheitskategorie 2 (der PC ist zwar infiziert, aber die Kommunikation kommt nicht zustande, solange der Malwareport von der externen Firewall nicht auf den PC geleitet wird)


  • Es ist auch möglich über angepasste Geräte- oder Filtertreiber eine Kommunikation mit dem Netz aufzubauen, ohne dass sich eine Applikation sichtbar an einen Port bindet. Bildlich gesehen wird ein Bypass für die Netzwerkkommunikation verwendet, was dazu führen kann, das der Port- und Adressfilter der Desktopfirewall nicht erkennt, dass hier Pakete übertragen werden. Alternativ dazu kann eine Malware je nach Art der Überwachung des Datenverkehrs die Systemmeldung derart manipulieren, dass die Firewall selbst ohne Bypass nichts von dem Datentransfer erfährt.

    K1 (PC->Internet): Diese Methode gehört zur Sicherheitskategorie 1A / in Ausnahmefällen auch zur Sicherheitskategorie 2A (siehe hier)
    K2 (Internet->PC): Diese Methode gehört zur Sicherheitskategorie 2 (der PC ist zwar infiziert, aber die Kommunikation kommt nicht zustande, solange der Malwareport von der externen Firewall nicht auf den PC geleitet wird)


  • Genau wie bei externen Firewall ist es auch bei Desktopfirewalls möglich, die Portregeln indirekt durch das Tunneln erlaubter Protokolle zu umgehen.

    Diese Methode gehört zur Sicherheitskategorie 1B


  • Manchmal ist es möglich, die Desktopfirewall und damit die Portregeln durch unsanftes Beenden einfach auszuhebeln. Die Malware könnte auch den Aufruf des Firewallmoduls aus der Registry löschen bzw. durch ähnlich aussehende Programme ersetzen. Zudem lässt sich manchmal das User-Frontends mit dem Dateinamen eines entsprechend präparierten Programms überschreiben. Auch ist es bei einigen Desktopfirewalls möglich, die Portregeln durch die Malware direkt zu manipulieren.

    Alle Methoden zur direkten Umgehung von Portregeln einer Desktopfirewall (nicht Tunneln) gehören zur Sicherheitskategorie 2C

siehe auch

zurück zum Artikel „Angriffsmethoden auf Desktopfirewalls“
Von „http://wiki.hackerboard.de/index.php?title=Desktop_Firewall_/_Firewallmodul_umgehen&oldid=5593
Computer Forum
Computer Forum
Meine Werkzeuge
Namensräume
Varianten
Aktionen
Navigation
Werkzeuge