Kann man eine Firewall "overflowen" (buffer overflow)?

W

WGL_novarulez4u

fühlt sich hier wohl
kan man "overflowen" einen firewall?

hallo, hallo,
ich bin neu hier und hoffe das ich das hier jetzt recht mache. lol diese nachricht zu schicken.
ich habe gerade gehört, das man einen firewall "overflowen " kann.
så das det computer glaubt, ein fil ist kleiner as in wirklichkeit. und dann ein teil des files ueber den firewall "rinnt" rein in den computer (ein trojan, zum beispiel.
stimmt das wirklich? und wenn, wie kann man sich schützen?
danke im voraus für eure antwort''

viele grüsse, Nova
 
Grundsätzlich: Jeder Computer und jedes Program hat Fehler.
Derartige Fehler in Programmen können zu einen "Bufferoverflow" führen:
Das wiederrum kann dazu verwendet werden, Programme (z.B. Viren) in den Arbeitsspeicher des Rechners (also z.B. der Firewall) zu schleusen und diesen auszuführen.

Hat es in der Vergangenheit immer wieder bei so ziemlich jedem OS und jeder Firewall gegeben.
Schützen?
Einen 100%igen Schutz gibt es da nicht.
Man kann nur versuchen, bei den Updates am Ball zu bleiben und so kritische Fehler möglichst bald nach dem bekanntwerden auf dem eigenen System zu beheben.
 
Zuletzt bearbeitet:
Original geschrieben von Bio-logisch
Wenn Du das noch mal auf deutsch schreibst, kann man es vielleicht verstehen.
Zum Vergrößern anklicken....

Aber aber... wenn Nova wirklich aus Schweden kommt, ist sein Deutsch garantiert besser als dein Schwedisch, oder ;)?
Ansonsten hast du es ja schon ausreichend beantwortet (und somit verstanden)...

Gruß
Jensus
 
Original geschrieben von JensusUT
Aber aber... wenn Nova wirklich aus Schweden kommt, ist sein Deutsch garantiert besser als dein Schwedisch, oder ;)?
Ansonsten hast du es ja schon ausreichend beantwortet (und somit verstanden)...
Zum Vergrößern anklicken....

Sorry, das habe ich überlesen :)
Schwedisch?
Ich habe einen Kommolitonen, der hat mal einen Anfängerkurs besucht, zählt das auch *g*?
 
Sorry, o und i liegen direkt nebeneinander auf meiner Tastatur...

Ja, ich gehe schon in die Ecke und schäme mich eine Runde....
anon.gif
:( :lachweg

@ WGL_novarulez4u
Du siehst, eigentlich sind wir hier ganz lustig und wenn einer mal was dummes von sich gibt, dann wird er von den anderen gleich ganz lieb darauf hingewiesen :boxer
hausfrau.gif
 
Hab' den Threadtitel ein wenig korrigiert.
An sich hat ein buffer overflow bei einer FW wenig Sinn.
Denn in einem solchen Fall wird, nach Feststellen der Attacke, einen Virenscan gemacht - zumindest sollte man das.
Spätestens jetzt wird ein eingeschleuster Trojaner oder Virus erkannt.

Grüße
arcanoa
 
Re: kan man "overflowen" einen firewall?

Original geschrieben von WGL_novarulez4u
ich habe gerade gehört, das man einen firewall "overflowen " kann.
så das det computer glaubt, ein fil ist kleiner as in wirklichkeit. und dann ein teil des files ueber den firewall "rinnt" rein in den computer (ein trojan, zum beispiel.
stimmt das wirklich? und wenn, wie kann man sich schützen?
danke im voraus für eure antwort''

viele grüsse, Nova
Zum Vergrößern anklicken....
Hallo Nova,

ich habe noch nicht ganz verstanden, was du genau meinst.
Geht es um eine Firewall, also ein eigenes Gerät, an das dein Computer via Netzwerk angeschlossen ist...(packet filter, stateful inspection, application layer gateway)?
Oder meinst du ein Stück Software (-> personal firewall), das auf deinem Computer läuft und neben Paketfilter noch eine Zuordnung zu der lokalen Applikation beachtet?

Bei ersterem sollte das beschriebene Problem - zumindest für die Funktionen packet filter und stateful inspection eigentlich nicht auftauchen können, da hierbei lediglich die Header der Pakete ausgewertet werden. Der Inhalt ist der Firewall egal.
Beim ALG, der einen Proxy für ausgewählte Applikationen darstellt, könnte ich mir grundsätzlich eine solche Schwachstelle vorstellen. Hier hilft der Rat von Bio-logisch, mit Patches immer am Ball zu bleiben ;)

Bei der Personal Firewall kommt es sehr auf die implementierten Funktionen an, ob sich Schwachstellen ergeben oder nicht.
Eine in die PFw integrierte Inhaltsüberprüfung ließe sich unter Umständen (also wenn eine Schwachstelle in der entsprechenden Software vorhanden ist) missbrauchen, um das Ding zum Absturz zu bringen oder einen Bufferoverrun (oder Bufferoverflow) zu erreichen. Ob man dann aber noch viele kB aus dem Netz nachladen und ebenfalls ausführen kann... kann ich nicht sagen .

Problematischer ist es (unter Windows), wenn man nicht die PFw selbst angreift, sondern die PFw provoziert, einen angreifbaren Windowsdienst aufzurufen. (Beispiel: Windows Messaging)


Anderes Thema:
Oder meintest du vielleicht weniger "Firewall" als vielmehr "Virenscanner"? Die ließen sich in der Vergangenheit (und heute?) durch die advanced data streams (ADS) austricksen, bei denen eine Datei neben dem primären Stream (beispiel: readme.txt mit ein paar Bytes Text) noch weitere Daten enthält.

Hier ein paar Links zu dem Thema:
(search.microsoft.com ...)
How To Use NTFS Alternate Data Streams
Multiple Data Streams
again...
File Streams
How to Detect the: $DATA Attack in IIS Log Files
FIX: ": $DATA" Data Stream name of a file may return the script code for the file

[Edit]
Ich darf nicht zwei Stunden an einer Antwort basteln...
Ich darf nicht zwei Stunden an einer Antwort basteln...
Ich darf nicht zwei Stunden an einer Antwort basteln...
...
[/Edit]

cu
 
Re: kan man "overflowen" einen firewall?

Original geschrieben von WGL_novarulez4u
ich habe gerade gehört, das man einen firewall "overflowen " kann.
Zum Vergrößern anklicken....
Was Du meinst ist ein Buffer Overflow
Ja, das gab es auch schon bei Personal Firewalls:
Z.B. Kerio 2, Norton Internetsecurity.
Eine Lücke in Black ICE wurde vom Witty Wurm ausgenützt.


wie kann man sich schützen?
Zum Vergrößern anklicken....
1. Keine Software verwenden, in der Fehler bekannt sind.
(Updates möglichst rasch einspielen, http://www.heise.de/security/ verfolgen, ...)

2. Die Angriffsfläche klein halten: Fernwartungszugang deaktivieren,
wenn Du ihn nicht benötigst. Keine unnötige Analyse des Datenverkehrs.
Warum z.B. versuchen eine mögliche Attacke auf ICQ zu erkennen,
wenn ICQ nicht installiert ist.
 
lol ja ich bin schwedin.
wie ich hierher gefunden habe?
men pappa war oder ist immer mitglied hier.
Gambloore ist sein nick.
ja ich habe gehört das ihr ein lustiges folk seid.
danke für alle eure antworten, lol .
ich habe ein bischen schwierigkeiten alles hier zu verstehen. wie alles funktionier. doch es eine coole seite.
und ich bin sehr dankbar fuer inetwash . den daumen hoch !
wenn ihr wundert was WGL vor meinem nick bedeutet, ganz einfach.
das bedeutet World Gammon League. ich spiele back gammon online in einem team, und gerade nach einer turnering dachte ich das ich endlich mal hier reinschauen muss.
deshalb. sonst nennen mich alle meine freunde Nova, oder Saskia was mein richtiger nahme ist.
grüsse gott wenn ihr ihn seht

Saskia
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
Oben