F

Firewall-Systeme auf Sicherheitslücken sowie Schwachstellen testen und absichern

Mit Open-Source-Tools können Sie die Sicherheit von Firewall-Systemen testen. Das gilt auch für Firewall-Appliances und deren Betriebssystem.

Dieser Artikel behandelt

Netzwerk-Sicherheits-Tools

Meine Firma setzt Security-Appliances wie zum Beispiel Web-Gateways und Firewalls ein. Wir wollten damit die allgemeine...

Sicherheit verbessern. Allerdings haben Sicherheits-Experten von Black Hat Europe herausgefunden, dass solche Appliances mit Sicherheitslücken gespickt sind. Wie viele Sorgen sollte sich eine Firma bezüglich Firewall-Schwachstellen und -Sicherheitslücken machen? Wie kann man die Firewall-Appliances testen und gegen die häufigsten Probleme absichern?

Eine Firewall-Schwachstelle bedeutet in der Regel, dass eine Firewall nicht den Traffic blockiert, den sie eigentlich ausfiltern sollte. Ein Administrator könnte die Firewall zum Beispiel so konfigurieren, dass alles mit Telnet im Zusammenhang stehende nicht zugelassen ist. Dann findet der System-Administrator später über die Logs heraus, dass immer noch Telnet-Traffic durch die Firewall gelassen wird. Das würde man als Schwachstelle in der Firewall bezeichnen.

Allerdings haben die Security-Experten auf der Black Hat Europe dieses Jahr enthüllt, dass sie einige Sicherheitslücken in den Betriebssystemen der Firewall-Systeme gefunden haben. Das ist etwas anderes und natürlich schwerwiegend.

Im Grunde genommen sind die meisten Firewalls nicht viel mehr als ein kleiner Linux-Server. In den vergangenen Jahren haben mehr und mehr Hersteller diesen Systemen einen Webserver und grafische Oberflächen spendiert, damit die Administratoren die Firewall via Browser bequem verwalten können. Scheinbar hat man dabei recht wenig Aufwand betrieben, um diese Software-Komponenten abzusichern. Die Sicherheits-Experten haben viele Firewall-Systeme mit aktivierten Webservern gefunden, die anfällig für Cross-Site Scripting, Einspeisung von Befehlen (Command Injection), Brute-Force-Angriffe auf Passwörter und Ausweitung der Rechte (Privilege Escalation) sind. Erschwerend kommt hinzu, dass viele Firewall-Systeme veraltete und ungepatchte Linux-Kernel im Einsatz haben.

Unternehmen sollten sich über solche Sicherheitslücken in Firewall-Systemen den Kopf zerbrechen und wenn möglich sofort entsprechende Tests durchführen. Hat sich ein Cyberkrimineller Zugriff auf das administrative Konto des Firewall-Systems ergaunert, oder im schlimmsten Fall root-Zugriff erlangt, ist das nicht zu unterschätzen. Ein böswilliger Anwender mit root-Rechten kann die Firewall-Regeln zu seinem Vorteil manipulieren.

Es gibt einige Open-Source-Tools, mit denen Administratoren die Netzwerkgeräte auf offene Ports scannen können. Viele dieser Werkzeuge finden Sie in speziellen Penetrations-Distributionen wie Kali Linux (früher BackTrack Linux). Ein Untersuchen der Betriebssysteme und ein Scan nach anderen bekannten Sicherheitslücken sind damit ebenfalls möglich. Ich rate Ihnen, diese Tools umgehend einzusetzen. Vor allen Dingen dann, wenn das letzte Update des entsprechenden Betriebssystems schon eine Weile zurückliegt oder Sie nicht wissen, wann es zum letzten Mal aktualisiert wurde. Besonders erwähnenswert ist in diesem Zusammenhang John the Ripper. Es handelt sich hier um ein Passwort-Cracking-Tool. Um John the Ripper nutzen zu können, brauchen Sie Zugriff auf die Shadow-Datei des Systems. Nmap ist einer der populärsten Port-Scanner. Damit können Sie ebenfalls Schwachstellen aufdecken. Sie sind mithilfe des Tools in der Lage, offene Ports zu finden und welche Dienste damit im Zusammenhang stehen. Weiterhin gibt es Aufschluss über das Betriebssystem und den verwendeten Kernel.

Artikel wurde zuletzt im Dezember 2013 aktualisiert

Pro+

Premium-Inhalte

Weitere Pro+ Premium-Inhalte und andere Mitglieder-Angebote, finden Sie hier.

Erfahren Sie mehr über Best Practice: Netzwerk-Sicherheit und -Tools

Diskussion starten

Schicken Sie mir eine Nachricht bei Kommentaren anderer Mitglieder.

Mit dem Absenden dieser Daten erklären Sie sich bereit, E-Mails von TechTarget und seinen Partnern zu erhalten. Wenn Ihr Wohnsitz außerhalb der Vereinigten Staaten ist, geben Sie uns hiermit Ihre Erlaubnis, Ihre persönlichen Daten zu übertragen und in den Vereinigten Staaten zu verarbeiten. Datenschutz

Bitte erstellen Sie einen Usernamen, um einen Kommentar abzugeben.

- GOOGLE-ANZEIGEN

SearchSecurity.de

SearchStorage.de

SearchDataCenter.de

SearchEnterpriseSoftware.de

Close