Vortrag Firewall - Nachfrage Durchstossen von Firewalls
Peter Voigt
peter.voigt1 at gmx.net
Di Nov 17 12:41:20 CET 2009
Im Nachgang zum Thema Firewalls tauchte die Frage auf, ob es m�glich
ist, zwischen zwei Rechnern eine Verbindung aufzubauen, die jeweils
hinter einer Firewall stehen, obwohl beide Firewalls eingehende Ver-
bindungen generell blockieren. Gibt es Sicherheitsl�cken?
Auf den ersten Blick sch�tzt die Firewall. Denn beide Firewalls
lassen Verbindungen nur nach aussen zu, aber keine Verbindungen
von aussen nach innen.
D.h. jeder Rechner hinter der Firewall kann zwar versuchen, seinen
Gegen�ber zu kontaktieren. Denn seine Firewall l��t die Verbindung
nach aussen durch. Aber sein Gegen�ber kann auf den Kontaktversuch
nicht antworten, weil seine Firewall die eingehende Verbindung
blockiert.
Aber man kann den Umstand ausnutzen, dass *beide* Rechner f�r sich
alleine nach draussen gehen k�nnen. Hier tritt die Sicherheits-
l�cke in Erscheinung.
Ein dritter Rechner, der zwischen beiden Firewalls steht, kann so
eingerichtet werden, dass er auf Kontakversuche von beiden Seiten
wartet und ihnen anschliessend als Vermittler dient.
Die Vorgehensweise wird 'Hole Punching' genannt und hier n�her
erl�utert:
http://www.brynosaurus.com/pub/net/p2pnat/
Firewalls, die UPnP erm�glichen, �ffnen wegen der fehlenden Authen-
tifizierung dieses Protokolles weitergehende M�glichkeiten:
http://www.upnp-hacks.org/
http://www.gnucitizen.org/blog/hacking-the-interwebs/
Diese Techniken werden von etlichen "seri�sen" Anwendungen eingesetzt,
insbesondere von VoIP und P2P-Spielen. Erl�uterungen finden sich hier:
http://www.h-online.com/security/features/How-Skype-Co-get-round-firewalls-747197.html
Hacker nutzen diese Technik, um an Hotspots kostenlos surfen zu k�nnen:
http://blog.gauner.org/2007/12/01/hotspot-und-firewall-piercing/
Mit anderen Worten:
Erneut zeigen sich die Grenzen des Schutzes, den eine Stateful-
Inspection-Firewall bieten kann.
M�glicherweise bieten Firewalls mehr Schutz, die mit Proxies oder
Deep Packet Inspection arbeiten. Sie zu konfigurieren ist jedoch
trickreich und fehleranf�llig.
Anmerkung: Das Durchstossen von Firewalls ohne ausdr�ckliche Erlaubnis
des betroffenen Netzbetreibers stellt im Regelfall eine strafbare Hand-
lung dar. In Arbeitsverh�ltnissen f�hrt das nicht erlaubte Durchstossen
einer Firewall schnell zur fristlosen K�ndigung.
pv
Mehr Informationen über die Mailingliste Lugrav