Sicherheitsproblem "Aktives FTP"

Forum zum Thema Firewall

Moderator: Lancom-Systems Moderatoren

Antworten
Fourty2
Beiträge: 104
Registriert: 06 Jan 2005, 13:56

Sicherheitsproblem "Aktives FTP"

Beitrag von Fourty2 »

Hallo zusammen,

laut Test auf http://www.bedatec.de/ftpnat/dotest.html und Kontrolle per LANmonitor hat die Lancom Firmware (6.30) meines 1811 die ein heftiges Sicherheitsloch im FTP-NAT Modul.

Sowohl Verbindungen an die eigene interne, wie an andere lokale IPs werden angenommen. Wie kann man dies am sinnvollsten abstellen?


Grüße,
42
Nach oben
backslash
Moderator
Moderator
Beiträge: 7129
Registriert: 08 Nov 2004, 21:26
Wohnort: Aachen

Beitrag von backslash »

Hi Fourty2
Wie kann man dies am sinnvollsten abstellen?
letztendlich gar nicht - es sei denn du verbietest deinem Browser Java zu verwenden. Für solche Seiten recht es aus, in der Firewall die Ports 20 und 21 zu sperren - nur kannst du dann keinen FTP-Server mehr auf dem Standardport erreichen...

Das Problem ist, daß ein aktives FTP nunmal zulässig ist - genau so wie Site-To-Site-Transfers (=> Stichwort FXP). Alle Welt würde jammern, wenn das LANCOM das nicht könnte, mit dem Verweis, daß das selbst der 50 EUR Router aus dem Blöd-Markt kann

Das gleiche Problem besteht z.B. beim Dateiaustausch über IRC - auch hier wird ein lokaler Port geöffnet, was durch eine entsprechend manipulierte Webseite ausgenutzt werden kann...

Oder auch bei H.323...
oder...
oder...
oder...

Gruß
Backslash
Nach oben
Fourty2
Beiträge: 104
Registriert: 06 Jan 2005, 13:56

Beitrag von Fourty2 »

Hallo backslash,
backslash hat geschrieben:
Wie kann man dies am sinnvollsten abstellen?
Das Problem ist, daß ein aktives FTP nunmal zulässig ist - genau so wie Site-To-Site-Transfers (=> Stichwort FXP). Alle Welt würde jammern, wenn das LANCOM das nicht könnte, mit dem Verweis, daß das selbst der 50 EUR Router aus dem Blöd-Markt kann
Vielleicht könnte man dies ja abschaltbar gestalten (in einer nächsten Version)?

So kann dieser "Test" (und damit auch jedes Schadprogramm), auf Rechner 192.168.1.3 gestartet, problemlos eine Verbindung zu 192.168.1.x auf einem beliebigen Port aufbauen und die "Deny All"-Regel problemfrei tunneln. (x=1...254, also auch zu anderen Rechnern!)
:-(

Übrigens, nur Java abzuschalten, wird nicht helfen...


Grüße,
Stefan
Nach oben
Benutzeravatar
Dilbert
Beiträge: 86
Registriert: 29 Mai 2005, 13:02

Beitrag von Dilbert »

Hi!
backslash hat geschrieben:letztendlich gar nicht - es sei denn du verbietest deinem Browser Java zu verwenden. Für solche Seiten recht es aus, in der Firewall die Ports 20 und 21 zu sperren - nur kannst du dann keinen FTP-Server mehr auf dem Standardport erreichen...
Meiner Meinung nach wäre es schon sinnvoll, aktives FTP per Option zu unterbinden (oder evtl. über einen transparenten Proxy auf dem LANCOM zu realisieren).

Eine einfache Maßnahme wäre aber, für aktive FTP-Transfers nur Ports > 1024 zuzulassen.
backslash hat geschrieben:Das Problem ist, daß ein aktives FTP nunmal zulässig ist - genau so wie Site-To-Site-Transfers (=> Stichwort FXP). Alle Welt würde jammern, wenn das LANCOM das nicht könnte, mit dem Verweis, daß das selbst der 50 EUR Router aus dem Blöd-Markt kann
OK, das stimmt leider. Es gibt immer noch genügend Kunden die LANCOMs mit Routern aus dem blöden Markt vergleichen. Es ist nicht immer einfach, einem Kunden zu vermitteln, warum ein LANCOM so viel mehr kostet als eine F...box die ja inzwischen auch schon VPN kann. Wenn dann irgendwas nicht einfach funktioniert, dann bekommt man vom Kunden immer die Frage "Das hat mit dem Billig-Router für 50 EUR funktioniert, warum funktioniert das mit dem 500 EUR teuren LANCOM nicht?" gestellt. Um Firewalls machen sich die Kunden hier (leider) wenig Gedanken.

Es gibt aber auch noch mehr Wege, Löcher (Pinholes) in NAT-Router aller Art zu bohren. Es hilft da wenig, nur FTP zu verbieten.

- Dilbert -
Bild

LC1823 mit DSL16000 (T-Online), L54g
Nach oben
Antworten

Zurück zu „Fragen zum Thema Firewall“