6
Authentifizierung mittels Paketfilter
Hallo,
es ist ja bekannt, dass Paketfilter so ihre Schwächen haben (Tunneling etc.). Allerdings gibt es ja auch einfachere Methoden, um einen Paketfilter überlisten zu können. Man benützt quasi die IP-Adresse eines Hosts, von dem man weiß, diesem werden mehr Rechte vom Paketfilter gewährt als einem selbst.
Nun stellt sich mir die Frage, ob es eine Möglichkeit gibt, diesen einfachen Angriff z.B. durch eine Authentifizierung am Paketfilter abwehren zu können?
LG
es ist ja bekannt, dass Paketfilter so ihre Schwächen haben (Tunneling etc.). Allerdings gibt es ja auch einfachere Methoden, um einen Paketfilter überlisten zu können. Man benützt quasi die IP-Adresse eines Hosts, von dem man weiß, diesem werden mehr Rechte vom Paketfilter gewährt als einem selbst.
Nun stellt sich mir die Frage, ob es eine Möglichkeit gibt, diesen einfachen Angriff z.B. durch eine Authentifizierung am Paketfilter abwehren zu können?
LG
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 228478
Url: https://administrator.de/contentid/228478
Printed on: April 16, 2024 at 04:04 o'clock
6 Comments
Latest comment
Diese lapidare Aussage gilt aber nur für einfache, statische Paketfilter und ist nur sehr bedingt richtig. Bei einer SPI Firewall oder einem Router der SPI States in den Filtern mit berücksichtigt ist das dann nicht mehr so einfach... Schon gar nicht bei Content aware Firewalls oder Routern, da ist dann auch mit Tunneling usw. Schicht im Schacht !
Du kannst aber auch eine Authentisierung erzwingen um überhaupt aus einem Segment rauszukommen. Bessere Switches und auch Router machen das mit 802.1x oder einer Web Authentisierung so quasi wie ein Hotspot.
Näheres zu diesen Verfahren erklären dir diese Forumstutorials:
Netzwerk Zugangskontrolle mit 802.1x und FreeRadius am LAN Switch
bzw.
WLAN oder LAN Gastnetz einrichten mit einem Captive Portal (Hotspot Funktion)
Du kannst aber auch eine Authentisierung erzwingen um überhaupt aus einem Segment rauszukommen. Bessere Switches und auch Router machen das mit 802.1x oder einer Web Authentisierung so quasi wie ein Hotspot.
Näheres zu diesen Verfahren erklären dir diese Forumstutorials:
Netzwerk Zugangskontrolle mit 802.1x und FreeRadius am LAN Switch
bzw.
WLAN oder LAN Gastnetz einrichten mit einem Captive Portal (Hotspot Funktion)
Zitat von @aqui:
Diese lapidare Aussage gilt aber nur für einfache, statische Paketfilter und ist nur sehr bedingt richtig. Bei einer SPI
Firewall oder einem Router der SPI States in den Filtern mit berücksichtigt ist das dann nicht mehr so einfach...
Diese lapidare Aussage gilt aber nur für einfache, statische Paketfilter und ist nur sehr bedingt richtig. Bei einer SPI
Firewall oder einem Router der SPI States in den Filtern mit berücksichtigt ist das dann nicht mehr so einfach...
Aus welchem Grund soll das dann nicht mehr so einfach sein? Wir reden hier ja von ausgehendem Datenverkehr, nicht von eingehendem...
Du kannst aber auch eine Authentisierung erzwingen um überhaupt aus einem Segment rauszukommen.
Klar, 802.1X wäre sicherlich eine der besten Möglichkeiten. Allerdings auch nur um einen Host/User generell für das Netzwerk/VLAN zu authentifizieren. Ist der Host bzw. User allerdings erstmal autorisiert, dann wird immer noch nicht geprüft, ob der Host mit der IP-Adresse xy tatsächlich der Host ist, der die IP-Adresse normalerweise haben sollte.
Aus welchem Grund soll das dann nicht mehr so einfach sein?
Weil du dann z.B. als Angreifer die TCP Connection States mitberücksichtigen musst und dann ist das Faken einer IP oder Mac bzw. 2 Wege Datenstrom nicht mehr ganz so einfach. Ganz unterbinden kannst du es nicht, das ist richtig.Allerdings auch nur um einen Host/User generell für das Netzwerk/VLAN zu authentifizieren
802.1x geht soweit das du pro User auch dynamische Port Accesslisten auf diese User vergeben kannst. Es hat den Vorteil das bei online Änderung der IP oder der Mac der EaPoL Sitzungsschlüssel verworfen wird und eine Neuauthentisierung erforderlich ist.Eine 100% wasserdichte Lösung gibt es mit .1x aber nur wenn du mit Client Zertifikaten arbeitest, allerdings schützt das auch nicht direkt vor dem Überlisten von ACLs durch Fake IPs.
Wie immer ist nur die Kombination mehrer Verfahren erfolgreich unter anderem auch das Detektieren von Duplicate IPs durch dynmasiches Auswerten von doppelten ARPs oder Gratious ARPs mit einem IDS System und dem Distribuieren von Logout ACLs.
Damit würdes du ein Netzwerk wasserdicht machen. Rein mit Packet ACLs ist es nicht zu 100% zu machen.
Du könntest nur Hosts vorbeilassen, die per IPsec mit dir kommunizieren (Host-to-Host-Konfiguration).
lks
Wäre auch zu einfach gewesen... Gibt es vielleicht Paketfilter die nicht nur auf Schicht 3/4 aktiv sind, sondern auch auf Schicht 2 (MAC-Adressen)? Dann wäre es zumindest nicht ganz so einfach wie rein IP-basierte ACL's.
Zitat von @Lochkartenstanzer:
Du könntest nur Hosts vorbeilassen, die per IPsec mit dir kommunizieren (Host-to-Host-Konfiguration).
Du könntest nur Hosts vorbeilassen, die per IPsec mit dir kommunizieren (Host-to-Host-Konfiguration).
Und das unterstützen Paketfilter? Oder welche Art von Firewallmechanismus meinst du damit?