Source Route Diese Checkbox, die in der Firmware 2.3 nicht mehr vorhanden ist,
wird bei den Einstellungen für die Filter-Regeln im Handbuch nicht erläutert.
Gemeint ist folgendes: Source Routing ist im TCP/IP-Standard vorgesehen. Wenn
die entsprechende Option im Datenpaket gesetzt ist, gibt der Absender des Paketes
eine konkrete Route, die das Paket nehmen soll, vor. Dieses Source Routing kommt
im normalen Datenverkehr kaum zum Einsatz, wird aber von Hackern verwandt, um
Sicherheitsmaßnahmen zu umgehen (Source Routing Attacke). Gelingt es einem
Hacker, bei den ausgehenden Datenpaketen eine bestimmte Route vorzugeben, so
kann er den gesamten Datenverkehr über seinen Rechner leiten und entsprechend
auswerten. Deshalb sollten Pakete, bei denen dieses Flag gesetzt ist, von einer Firewall
verworfen wurde.
DrayTek hat diese Möglichkeit mit der Firmware 2.3 abgeschafft. Bereits vorher hatte
ein Anwender im Gästebuch der www.vigor-users.de ein Entschuldigungsschreiben
von DrayTek veröffentlicht, in dem DrayTek mitteilt, diese Option sei \"invalid\".
29
___________________________
Begriffserläuterungen
Ob es sich hierbei um ein grundsätzliches Problem gehandelt hat, weil die im Router
eingebaute Firewall die Optionen in TCP-Header gar nicht auswerten konnte, weiß
ich nicht; jedenfalls hat DrayTek die Regeln, bei denen die Source Route-Option gesetzt
war, denkbar unglücklich in den ipf-Befehlssatz (näheres zu diesem Befehlssatz
bei den Allgemeinen Hinweisen unter V.) umgesetzt, nämlich z.B. so:
block out quick from any to any with opt lsrr,ssrr
sssr steht dabei für ,Strict Source and Record Route' und lssr für ,Loose Source and
Record Route'. In der Strict-Variante gibt der Angreifer die Router, die das Paket
verwenden soll, genau vor, während bei der Loose-Variante die angegebenen Router
angesteuert werden sollen, das Paket zwischenzeitlich aber auch andere Router benutzen
darf. Dass beide Vorgaben von einem Angreifer gemacht werden (und nur
dann hätte die vom WebInterface produzierte Regel eingegriffen), gibt es nicht.
Das WebInterface hätte daher zwei Regeln erzeugen müssen, nämlich im oben wiedergegebenen
Beispiel:
block out quick from any to any with opt lsrr
block out quick from any to any with opt ssrr
Damit wären beide Angriffsformen abgewehrt worden.
DrayTek hat sich dafür entschieden, die Option ganz zu entfernen. Damit müssen wir
vorerst (?) leben.
Deshalb der folgende wichtige Hinweis:
Entfernen Sie bitte alle Regeln, bei denen die Source Route-Option gesetzt ist, bevor
Sie auf die Firmware 2.3 updaten (Sie können die Regel selbstverständlich auch
nach dem Update löschen, könnten aber Probleme haben, die Regel überhaupt zu
finden, weil die Option im WebInterface der Fw 2.3 nicht mehr angezeigt wird), und
zwar aus folgendem Grund:
Wenn Sie mit einer Vorgängerversion der Firmware 2.3 eine Regel definiert hatten,
bei der die Source Route-Option aktiviert war, passiert beim Update auf die Firmware
2.3 zunächst nichts, außer dass man die Regel nicht mehr versteht, wenn man sie
sich im WebInterface ansieht (unter Telnet wird sie mit ipf view -r unverändert angezeigt;
im WebInterface sieht man nicht, dass die Regel nur für Pakete mit den vorumschriebenen
Optionen gilt). Ändert man aber auch nur eine einzige Firewall-
Regel, so übersetzt das WebInterface alle Regeln neu und aus \"block out quick from
any to any with opt lsrr,ssrr\" wird \"block out quick from any to any\". Danach ist
Schluss mit Internet.
|