Network Security

AERAsec
Network Security
Aktuelle Sicherheitsmeldungen


Die meisten Links führen direkt auf die entsprechende Datei der meldenden Organisation, damit Sie die Original-Meldung ebenfalls lesen können. Die Meldungen sind meist auf Englisch.

Übrigens: Wenn für Systeme Risiken veröffentlicht werden, heißt dieses nicht, daß die Systeme, für die keine Risiken veröffentlicht werden automatisch sicherer sind!

Die AERAsec Network Services and Security GmbH stellt ein:
IT Security Consultant (m/w)
in Hohenbrunn b. München

Weitere Informationen bei Dr. Matthias Leu - hr@aerasec.de

AERAsec

Hier finden Sie unsere Suchmaschine zur Netzwerk-Sicherheit!


Sie übermitteln u.a. folgende Informationen:

Ihr Browser

CCBot/2.0 (http://commoncrawl.org/faq/)

Ihre Absenderadresse

ec2-54-167-29-254.compute-1.amazonaws.com [54.167.29.254]

Ihr Referer

(gefiltert oder nicht vorhanden)

Aktueller Monat, Letzter Monat, Letzte 10 Meldungen, Letzte 20 Meldungen (nur Index)

Ausgewählt wurde Meldung mit ID ae-200202-051

System: Diverse Firewall, Caching & Antivirus Proxy Software
Topic: Umgehen von Sperren bzw. Antivirus-Filtern durch Benutzung der HTTP/CONNECT-Methode
Links: Squid-Cache/FAQ, SecurityFocus#4131, SecurityFocus/Info-Finjan, CERT VU#150227, CERT VU#868219
ID: ae-200202-051

Es wurde bei diverser Firewall-, Caching- und Antivirus Proxy-Software festgestellt, dass das HTTP/CONNECT Feature nicht genügend eingeschränkt wird. Es sieht derzeit so aus, als ob manche Software durch ihr Design eine Einschränkung nicht zulässt.
Es ist möglich, sich dadurch zu beliebigen Ports zu verbinden. Hierzu wird HTTP/CONNECT genutzt, wobei zum Teil auch Verbindungen zu Ports unter 1024 möglich sind.
Ein Beispiel schaut folgendermaßen aus:
$ telnet your.local.proxy 3128
Trying 1.2.3.4...
Connected to your.local.proxy.
Escape character is '^]'.
CONNECT wwwspecial.domain.example:44444 / HTTP/1.0

HTTP/1.0 200 Connection established

GET /eicar.com
X5************CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*Connection closed by foreign host.

Wenn Sie die Testdatei eicar.com im Klartext sehen, existiert ein zweites Problem, wenn Sie einen Antivirus-Proxy benutzen: Dieser scannt, wenn HTTP/CONNECT benutzt wird, nicht den Verkehr - auch wenn es sich um eine unverschlüsselte Übertragung handelt.

Wenn Sie sich auch noch zu Ports unter 1024 verbinden können, existiert ein drittes Problem. Zu testen mit z.B:
CONNECT mail.domain.example:25 / HTTP/1.0
Wenn dieses klappt, kann man sich möglicherweise zu allen Ports zwischen 1 und 65535 von innen nach außen verbinden, was eventuell der vorhandenen Security Policy widerspricht.

Als letztes noch ein Test zu Port 80 mit:
CONNECT www.domain.example:80 / HTTP/1.0
Auch dies sollte eigentlich nicht funktionieren.

Lösungen:
1) Vollständiges Deaktivieren der Methode CONNECT, falls es die Software und die Security Policy erlaubt (dies sperrt allerdings auch jeglichen HTTPS-Verkehr)
2) Einschränken der Ports, die bei der Methode CONNECT verwendet werden dürfen, z.B. nur auf 443 (https) (Squid-Cache-Software hat das in der Standard-Konfiguration so aktiviert und erlaubt nur Verbindungen zu den Ports 443 und 563 [NNTP über SSL])
3) Einschränken des ausgehenden Verkehrs vom Proxy aus zu nur erlaubten Ports unter Benutzung von lokalem Firewalling oder entsprechenden Regeln auf einer nahen Firewall (z.B. nur Port 80 und 443).
4) Wenn die Antivirus-Software übergangen wird, sollten Sie schnellstens den Hersteller Ihrer Software kontaktieren.



(c) 2000-2016 AERAsec Network Services and Security GmbH