Re: kan man "overflowen" einen firewall?
Original geschrieben von WGL_novarulez4u
ich habe gerade gehört, das man einen firewall "overflowen " kann.
så das det computer glaubt, ein fil ist kleiner as in wirklichkeit. und dann ein teil des files ueber den firewall "rinnt" rein in den computer (ein trojan, zum beispiel.
stimmt das wirklich? und wenn, wie kann man sich schützen?
danke im voraus für eure antwort''
viele grüsse, Nova
Hallo Nova,
ich habe noch nicht ganz verstanden, was du genau meinst.
Geht es um eine Firewall, also ein eigenes Gerät, an das dein Computer via Netzwerk angeschlossen ist...(packet filter, stateful inspection, application layer gateway)?
Oder meinst du ein Stück Software (-> personal firewall), das auf deinem Computer läuft und neben Paketfilter noch eine Zuordnung zu der lokalen Applikation beachtet?
Bei ersterem sollte das beschriebene Problem - zumindest für die Funktionen
packet filter und
stateful inspection eigentlich nicht auftauchen können, da hierbei lediglich die Header der Pakete ausgewertet werden. Der Inhalt ist der Firewall egal.
Beim ALG, der einen Proxy für ausgewählte Applikationen darstellt, könnte ich mir grundsätzlich eine solche Schwachstelle vorstellen. Hier hilft der Rat von Bio-logisch, mit Patches immer am Ball zu bleiben
Bei der Personal Firewall kommt es sehr auf die implementierten Funktionen an, ob sich Schwachstellen ergeben oder nicht.
Eine in die PFw integrierte Inhaltsüberprüfung ließe sich unter Umständen (also wenn eine Schwachstelle in der entsprechenden Software vorhanden ist) missbrauchen, um das Ding zum Absturz zu bringen oder einen Bufferoverrun (oder Bufferoverflow) zu erreichen. Ob man dann aber noch viele kB aus dem Netz nachladen und ebenfalls ausführen kann... kann ich nicht sagen .
Problematischer ist es (unter Windows), wenn man nicht die PFw selbst angreift, sondern die PFw provoziert, einen angreifbaren Windowsdienst aufzurufen. (Beispiel: Windows Messaging)
Anderes Thema:
Oder meintest du vielleicht weniger "Firewall" als vielmehr "Virenscanner"? Die ließen sich in der Vergangenheit (und heute?) durch die advanced data streams (ADS) austricksen, bei denen eine Datei neben dem primären Stream (beispiel:
readme.txt mit ein paar Bytes Text) noch weitere Daten enthält.
Hier ein paar Links zu dem Thema:
(search.microsoft.com ...)
How To Use NTFS Alternate Data Streams
Multiple Data Streams
again...
File Streams
How to Detect the: $DATA Attack in IIS Log Files
FIX: ": $DATA" Data Stream name of a file may return the script code for the file
[Edit]
Ich darf nicht zwei Stunden an einer Antwort basteln...
Ich darf nicht zwei Stunden an einer Antwort basteln...
Ich darf nicht zwei Stunden an einer Antwort basteln...
...
[/Edit]
cu