Firewalls: Wie die Netzwerkhüter Angriffe aus dem Web abwehren

Bei einigen Firmen stellten die Sensoren von Symantec im Mai 2005 bis zu 35.000 Angriffe innerhalb von 24 Stunden fest. Dabei wird nicht die Firewall direkt angegriffen, sondern der Eindringling möchte an die Dienste dahinter gelangen, den Webserver, Mailserver oder die SQL-Datenbank zum Beispiel. Dazu muss er erst einmal überprüfen, welche Ports an der Firewall offen sind, um ein Schlupfloch zu finden: Er scannt. Hierbei kann er möglicherweise auch schon sehen, welche Systeme hinter der Firewall stehen. Entsprechend richtet er seine Angriffsstrategie ein, denn jedes System hat seine bekannten Schwachstellen.

Für welches Firewall-System man sich entscheidet, hängt vor allem davon ab, was geschützt werden soll und wie viel Zeit der Administrator investieren kann.

Betrachtet man Symantecs Statistiken, gesammelt von 20.000 Sensoren weltweit, versuchen Angreifer besonders häufig, durch den Port 139 mit NetBIOS-Attacken in Netze einzudringen. Port 139 nutzen Windows-Computer im Netzwerk untereinander als Kommunikationskanal – er sollte eigentlich geschlossen sein, ist aber bei falsch konfigurierten Computern über das Internet erreichbar. Ebenso beliebt sind SQL-Attacken über die Eingabefelder von Datenbanken. Diese gehen oft an der Firewall vorbei, weil es Pakete von der eigenen Anwendung sind – hier hilft dann nur noch ein Intrusion Detection System weiter, das verdächtige Eingaben in den Paketen erkennt und zurückweist.

Auch den Port 443, also HTTPS-Attacken, sieht man häufig. Hierbei handelt es sich um eine ‚Man in the Middle‘-Attacke, bei der der Angreifer sich zwischen zwei miteinander kommunizierende Systeme A und B stellt. Er fälscht seine IP-Adresse und gaukelt A vor, er sei B und B vor, er sei A. Auf diese Weise kann er den gesamten Datenverkehr zwischen den beiden kopieren oder verändern, ohne dass die Beteiligten etwas merken.