Zur Unterstützung der manuellen Auswertung der Logfiles stehen, wie in About Security #38 erwähnt, verschiedene Hilfsprogramme zur Verfügung. Im Folgenden geht es aber um die Interpretation der Einträge an sich. Zuerst wird nur der Paketfilter betrachtet. Angelehnt an das Beispiel aus About Security #29 gelten folgende einfache Regeln, die den Zugriff auf einen Webserver über HTTP erlauben:
| Nr. | Senderadresse | Port | Zieladresse | Port | Protokoll | Flags | Aktion |
|---|---|---|---|---|---|---|---|
|
|
|||||||
| 1. | beliebig | >= 1024 | Webserver | 80 | TCP | permit | |
| 2. | Webserver | 80 | beliebig | >= 1024 | TCP | ACK | permit |
| 3. | beliebig | any | Webserver | any | any | any | reject |
Einträge in das Logfile können zum Beispiel nach folgendem Muster aufgebaut werden (Umfang der Protokollierung entsprechend About Security #37):
| Datum | Zeit | Senderadresse | Port | Zieladresse | Port | Protokoll | Flags | Regel | ggf. Aktion |
Ein Ausschnitt aus einem fiktiven Logfile könnte dann vereinfacht so aussehen:
| Datum | Zeit | Senderadresse | Zieladresse | Port | Protokoll | Regel | |
|---|---|---|---|---|---|---|---|
|
|
|||||||
| 1 | Jan 3 | 02:56:09 | a.b.c.d | Webserver | 6711 | TCP | 3 |
| 2 | Jan 3 | 02:56:10 | a.b.c.d | Webserver | 6776 | TCP | 3 |
| 3 | Jan 3 | 02:56:11 | a.b.c.d | Webserver | 1243 | TCP | 3 |
| 4 | Jan 3 | 02:56:12 | a.b.c.d | Webserver | 7215 | TCP | 3 |
N E U ! Security
aktuell
Täglich aktuelle Security-Infos!
Die Einträge in Zeile 1 bis 4 zeigen, dass der Rechner mit der IP-Adresse a.b.c.d eine Verbindung mit Port 6711, 6776, 1243 und 7215 des Webservers aufbauen wollte. Um festzustellen, was der entfernte Rechner erreichen wollte, kann man nachsehen, wofür die entsprechenden Ports verwendet werden. Entsprechende Informationen findet man zum Beispiel bei der IANA oder in der Port Knowledgebase von Internet Security Systems (ISS). Ist der entsprechende Port dort noch nicht verzeichnet, hilft meist eine Suche bei den Herstellern von Antiviren-Software.
Die Ports 6711, 6776, 1243 und 7215 werden vom Trojaner SubSeven verwendet. Ein Angreifer sucht vom Rechner mit der IP-Adresse a.b.c.d aus nach einem installierten SubSeven-Trojaner. Die Anfragen bedeuten nicht, dass sich der Trojaner auf dem Zielsystem befindet.
Auch Anfragen an "normale" Ports können zu einem Angriff gehören. Beispielsweise nutzen manche Würmer Schwachstellen in Diensten aus, um sich zu verbreiten.
| Datum | Zeit | Senderadresse | Zieladresse | Port | Protokoll | Regel | |
|---|---|---|---|---|---|---|---|
|
|
|||||||
| 5 | Jan 3 | 03:16:09 | e.f.g.h | Webserver | 135 | TCP | 3 |
| 6 | Jan 3 | 06:34:49 | i.j.k.l | Webserver | 445 | TCP | 3 |
TCP-Port 135 ist der Endpunkt für Microsofts RPC-Dienst. Der RPC-DCOM-Wurm (Blaster) verbreitet sich zum Beispiel, indem er über eine Schwachstelle im RPC-Dienst in anfällige Windows-Systeme eindringt. Auch andere Systeme als Windows können in Mitleidenschaft gezogen werden, wenn das Distributed Computing Environment (DCE) installiert ist, das ebenfalls den TCP-Port 135 verwendet.
Der TCP-Port 445 wird von Microsoft ab Windows 2000 für SMB verwendet. Der Port wird zum Beispiel von den Würmern Nimda, Sasser und Zotob.A verwendet.
Was genau der jeweilige Verbindungsversuch bewirken sollte, kann ohne weitergehende Informationen nicht festgestellt werden.
Einige weitere willkürlich ausgewählte Beispiele für Ports:
| Port | Dienst | |
|---|---|---|
| 0 | Anfragen an Port 0 können zur Erkennung des Betriebssystems genutzt werden, da diese unterschiedliche Antworten erzeugen. | |
| 23 | Telnet | Ein Angreifer kann versuchen, über eine Schwachstelle in den Telnet-Server einzudringen. Auch Informationen über das Betriebssystem können so gesammelt werden. |
| 25 | SMTP | SMTP-Server ohne Authentifizierung können zum Spam-Versand genutzt werden. |
| 32770 bis 32900 | RPC | Sun Solaris verwendet für RPC-Dienste Ports aus diesem Bereich. Ein Angreifer könnte nach einem Portmapper suchen, über den er auf eigentlich gesperrte Ports zugreifen kann. Auch das Ausnutzen von Schwachstellen in installierten RPC-Diensten ist möglich. |
Solange der Paketfilter die hinter ihm liegenden Systeme vor Zugriffen auf gefährdete Ports schützt, besteht für diese keine Gefahr. Anders sieht es bei den Ports aus, die der Paketfilter freigibt. Die entsprechenden Dienste werden dann durch das Application Level Gateway geschützt. Beim Webserver ist dafür der HTTP-Proxy zuständig. Dessen Logfile wird in der nächsten Folge behandelt.
Hier noch einige weitere Links zum Thema:
- Von Kurt Seifried gibt es eine Liste von TCP- und UDP-Ports, die auch auf bekannte Schwachstellen eingeht.
- Von Richard Akerman gibt es als Bestandteil seiner Seiten über TCP/IP eine Liste mit Informationen über Trojaner-Ports.
- Robert Grahams FAQ über Firewall Forensics (What am I seeing?)
ist auf der
offiziellen Seitezurzeit nicht erreichbar. Die im Web verfügbaren Kopien sind inzwischen etwas veraltet, liefern aber trotzdem noch nützliche Informationen. - Die erste Ausgabe des Buchs Firewalls and Internet Security: Repelling the Wily Hacker von William R. Cheswick und Steven M. Bellovin ist online verfügbar.
Wenn Sie Fragen oder Themenvorschläge haben, können Sie diese gerne an die angegebene E-Mail-Adresse senden oder im Security-Forum einbringen!
About Security – Übersicht zum aktuellen Thema "Logfiles"
- About Security #37: Logfiles – Welche Daten speichern?
- About Security #38: Logfiles – Wie auswerten?
- About Security #39: Paketfilter-Logfiles manuell auswerten
- About Security #40: HTTP-Proxy-Logfiles manuell auswerten, 1
- About Security #41: HTTP-Proxy-Logfiles manuell auswerten, 2
Kommentare