Abwehr Von Einbruchsversuchen: Intrusion Detection; Beispiele Für Einbruchsversuche; Portscan-Erkennung - Lancom Systems LCOS 9.10 Referenzhandbuch

Referenzhandbuch
8 Firewall
in das lokale Netzwerk gelangen. Die Auswirkungen einiger Viren und Würmer werden zwar unterbunden, weil die
Kommunikation über die benötigten Ports gesperrt ist, aber einen echten Schutz vor Viren bietet die Firewall allein nicht.
Auch das Abhören von sensiblen Daten im Internet wird durch die Firewall nicht verhindert. Sind die Daten erst einmal
über die Firewall hinaus in das unsichere Netz gelangt, stehen sie dort weiterhin den bekannten Gefahren gegenüber.
Vertrauliche Informationen wie Verträge, Passwörter, Entwicklungsinformationen etc. sollten daher auch bei Einsatz
einer Firewall nur geschützt übertragen werden, z. B. durch den Einsatz geeigneter Verschlüsselungsverfahren oder über
VPN-Verbindungen.

8.8 Abwehr von Einbruchsversuchen: Intrusion Detection

Die Firewall hat die Aufgabe, den Datenverkehr über die Grenzen zwischen den Netzwerken hinweg zu prüfen und
diejenigen Datenpakete, die keine Erlaubnis für die Übertragung mitbringen, zurückzuweisen bzw. zu verwerfen. Neben
dem Ansatz, direkt auf einen Rechner im geschützten Netzwerk zuzugreifen, gibt es aber auch Angriffe auf die Firewall
selbst oder Versuche, die Firewall mit gefälschten Datenpaketen zu überlisten.
Solche Versuche werden über ein Intrusion-Detection-System (IDS) erkannt, abgewehrt und protokolliert. Dabei kann
zwischen Protokollierung im Gerät (Logging), E-Mail-Benachrichtigung, SNMP-Traps oder SYSLOG-Alarmen gewählt
werden. Das IDS prüft den Datenverkehr auf bestimmte Eigenschaften hin und erkennt so auch neue Angriffe, die nach
auffälligen Mustern ablaufen.
8.8.1 Beispiele für Einbruchsversuche
Als typische Einbruchsversuche kann man gefälschte Absender-Adressen ("IP-Spoofing") und Portscans ansehen, sowie
den Missbrauch spezieller Protokolle wie z. B. FTP, um einen Port im angegriffenen Rechner und der davor hängenden
Firewall zu öffnen.
IP-Spoofing
Beim IP-Spoofing gibt sich der Absender eines Pakets als ein anderer Rechner aus. Dies geschieht entweder, um Firewalls
zu überlisten, die Paketen aus dem eigenen Netz mehr Vertrauen schenken als Paketen aus fremden Netzen, oder um
den Urheber eines Angriffs (z. B. Smurf) zu verschleiern.
Die Geräte-Firewall schützt sich davor durch Routenprüfung, d.h. sie überprüft, ob das Paket überhaupt über das Interface
empfangen werden durfte, von dem es empfangen wurde.

Portscan-Erkennung

Das Intrusion-Detection System versucht Portscans zu erkennen, zu melden und geeignet auf den Angriff zu reagieren.
Dies geschieht ähnlich der Erkennung eines 'SYN Flooding'-Angriffs (siehe
hier die "halboffenen" Verbindungen gezählt, wobei ein TCP-Reset, das vom gescannten Rechner gesendet wird, die
"halboffene" Verbindung weiterhin offen lässt.
Wenn eine bestimmte Anzahl von halboffenen Verbindungen zwischen dem gescannten und dem scannenden Rechner
existiert, so wird dies als Portscan gemeldet.
Ebenso wird der Empfang von leeren UDP-Paketen als versuchter Portscan interpretiert
536
SYN Flooding auf Seite 539): Es werden auch