Vortrag Firewall - Nachfrage Durchstossen von Firewalls
Peter Voigt
peter.voigt1 at gmx.net
Di Nov 17 12:41:20 CET 2009
Im Nachgang zum Thema Firewalls tauchte die Frage auf, ob es möglich
ist, zwischen zwei Rechnern eine Verbindung aufzubauen, die jeweils
hinter einer Firewall stehen, obwohl beide Firewalls eingehende Ver-
bindungen generell blockieren. Gibt es Sicherheitslücken?
Auf den ersten Blick schützt die Firewall. Denn beide Firewalls
lassen Verbindungen nur nach aussen zu, aber keine Verbindungen
von aussen nach innen.
D.h. jeder Rechner hinter der Firewall kann zwar versuchen, seinen
Gegenüber zu kontaktieren. Denn seine Firewall läßt die Verbindung
nach aussen durch. Aber sein Gegenüber kann auf den Kontaktversuch
nicht antworten, weil seine Firewall die eingehende Verbindung
blockiert.
Aber man kann den Umstand ausnutzen, dass *beide* Rechner für sich
alleine nach draussen gehen können. Hier tritt die Sicherheits-
lücke in Erscheinung.
Ein dritter Rechner, der zwischen beiden Firewalls steht, kann so
eingerichtet werden, dass er auf Kontakversuche von beiden Seiten
wartet und ihnen anschliessend als Vermittler dient.
Die Vorgehensweise wird 'Hole Punching' genannt und hier näher
erläutert:
http://www.brynosaurus.com/pub/net/p2pnat/
Firewalls, die UPnP ermöglichen, öffnen wegen der fehlenden Authen-
tifizierung dieses Protokolles weitergehende Möglichkeiten:
http://www.upnp-hacks.org/
http://www.gnucitizen.org/blog/hacking-the-interwebs/
Diese Techniken werden von etlichen "seriösen" Anwendungen eingesetzt,
insbesondere von VoIP und P2P-Spielen. Erläuterungen finden sich hier:
http://www.h-online.com/security/features/How-Skype-Co-get-round-firewalls-747197.html
Hacker nutzen diese Technik, um an Hotspots kostenlos surfen zu können:
http://blog.gauner.org/2007/12/01/hotspot-und-firewall-piercing/
Mit anderen Worten:
Erneut zeigen sich die Grenzen des Schutzes, den eine Stateful-
Inspection-Firewall bieten kann.
Möglicherweise bieten Firewalls mehr Schutz, die mit Proxies oder
Deep Packet Inspection arbeiten. Sie zu konfigurieren ist jedoch
trickreich und fehleranfällig.
Anmerkung: Das Durchstossen von Firewalls ohne ausdrückliche Erlaubnis
des betroffenen Netzbetreibers stellt im Regelfall eine strafbare Hand-
lung dar. In Arbeitsverhältnissen führt das nicht erlaubte Durchstossen
einer Firewall schnell zur fristlosen Kündigung.
pv
Mehr Informationen über die Mailingliste Lugrav