Eine Firewall sollte das dahinter liegende Netzwerk beschützen, und tut dies so gut es ihre Regelbasis zulässt. Demnach ist eine Firewall nur so gut wie ihr Administrator. In der Literatur wird immer wieder von zwei Regeln gesprochen, die quasi als obligatorisch angesehen werden. Unbestritten ist die „Cleanup Rule“ eine solche Regel. Sie stellt im Allgemeinen den Abschluss der Regelbasis dar, und blockt jedwede Kommunikation, die bis dahin nicht erlaubt wurde. Die zweite dieser Standardregeln ist oft eine der ersten, die so genannte „Stealth Rule“. Sie verbietet jede direkte Kommunikation mit der Firewall selbst, so das diese quasi unsichtbar wird. Natürlich muss der Administrator dafür Sorge tragen, das er sich damit nicht selbst aussperrt. Bei vielen Produkten geschieht dies über vordefinierte implizierte Regeln, die den Verbindungsaufbau zum Firewallmanagement von bestimmten Rechnern aus erlauben.
Nun, ich sehe diese Regel durchaus kritisch. Natürlich sollte man kein unnötiges Risiko eingehen, und zum Beispiel ssh „von außen“ verbieten, wenn man ohnehin nicht vorhat, es derart zu nutzen. Schließlich muss man einem Angreifer nicht die Chance geben, das Passwort dafür zu erraten. Das auf der Firewall keine weiteren Dienste laufen sollten, welche nicht unbedingt notwendig sind, bedarf eigentlich keiner weiteren Erwähnung. Bleibt noch ICMP. Ist dessen Sperrung notwendig? Mit, wie es bei Planetopia hieße, „einschlägigen Tools“ (ping, nmap) lässt sich eine Menge über das System in Erfahrung bringen. In der Vergangenheit wurde ICMP auch für Angriffe genutzt, wobei der „Ping of Death“ wohl die bekannteste Attacke ist. Wieso also solche Risiken auf sich nehmen, und dem Angreifer einige Ansatzpunkte für Angriffe liefern? Es gibt aber auch Stimmen, welche ICMP als derart essentiell ansehen, das dessen Einschränkung für sie einen nicht hinnehmbaren Verlust darstellt. In der Tat ist Netzwerkdiagnose ohne ICMP gelinde gesagt ein Ding der Unmöglichkeit. Ich möchte mit dieser Einleitung gern eine kleine Diskussion über das Für und wieder der „Stealth Rule“ beginnen. Wohlgemerkt geht es dabei um Verbindungen zur Firewall, ob, wie und wo ICMP im restlichen Netz behandelt wird soll hier zweitrangig sein.
Tja. Ich weiß auch nicht recht.
Was wenn ich ein UDP-Paket schicke. Ist der Port zu, erwarte ich ein ICMP port unreachable. Greift mehrfach der timeout, weiß ich doch auch schon mehr. Klar, noch weiß ich nicht, ob der Server oder die Firewall keine Lust auf ICMP hat. Aber was würde es mir nutzen, dass zu wissen? Mit ein bissl Glück kenn ich irgendeine Schwachstelle in dem Firewall-System und bau mir ein crafted packet. Gut. Imho ist aber nur ein ICMP p.u. RFC-konform (Korrigiert mich wenn ich falsch liege!). Und außerdem. Wie zuverlässig ist den eine Sys-Erkennung anhand von ICMP (zumindest anhand von p.u.)? Und außerdem, so ein IDS/IPS (i.e. snort_inline) sollte ja (wenigstens bekannte) exploits wegfischen. Angriffsvektoren wären damit drastisch minimiert und das Ganze immer noch RFC-konform.
Aber wie gesagt, ich bin nicht sicher. Alles imho halt.
ralle am 15. November 2006