AERAsec - Network Security - Aktuelle Sicherheits-Meldungen

Die meisten Links führen direkt auf die entsprechende Datei der meldenden Organisation, damit Sie die Original-Meldung ebenfalls lesen können. Die Meldungen sind meist auf Englisch.

Übrigens: Wenn für Systeme Risiken veröffentlicht werden, heißt dieses nicht, daß die Systeme, für die keine Risiken veröffentlicht werden automatisch sicherer sind!

Sie setzen eine Firewall von
Check Point, Cisco, Juniper, Fortinet oder Palo Alto Networks ein?!

Sie haben bereits von Tufin SecureTrack und SecureChange gehört?
Sie möchten weitere Informationen dazu und jetzt ein Training besuchen?

Zertifizierungslehrgänge zum TCSE
(Tufin Certified Security Expert)
Ab sofort sind diese Trainings buchbar!
Bitte kontaktieren Sie uns, damit wir Ihnen weitere Informationen zum Training und Termine zukommen lassen können.

Hier finden Sie unsere Suchmaschine zur Netzwerk-Sicherheit!

Sie übermitteln u.a. folgende Informationen:
Ihr Browser	CCBot/2.0
Ihre Absenderadresse	ec2-54-242-240-200.compute-1.amazonaws.com [54.242.240.200]
Ihr Referer	(gefiltert oder nicht vorhanden)

Aktueller Monat, Letzter Monat, Letzte 10 Meldungen, Letzte 20 Meldungen (nur Index)

Ausgewählt wurde Meldung mit ID ae-200202-051

System:	Diverse Firewall, Caching & Antivirus Proxy Software
Topic:	Umgehen von Sperren bzw. Antivirus-Filtern durch Benutzung der HTTP/CONNECT-Methode
Links:	Squid-Cache/FAQ, SecurityFocus#4131, SecurityFocus/Info-Finjan, CERT VU#150227, CERT VU#868219
ID:	ae-200202-051

Es wurde bei diverser Firewall-, Caching- und Antivirus Proxy-Software festgestellt, dass das HTTP/CONNECT Feature nicht genügend eingeschränkt wird. Es sieht derzeit so aus, als ob manche Software durch ihr Design eine Einschränkung nicht zulässt.
Es ist möglich, sich dadurch zu beliebigen Ports zu verbinden. Hierzu wird HTTP/CONNECT genutzt, wobei zum Teil auch Verbindungen zu Ports unter 1024 möglich sind.
Ein Beispiel schaut folgendermaßen aus:
$ telnet your.local.proxy 3128 Trying 1.2.3.4... Connected to your.local.proxy. Escape character is '^]'. CONNECT wwwspecial.domain.example:44444 / HTTP/1.0 HTTP/1.0 200 Connection established GET /eicar.com X5************CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*Connection closed by foreign host.
Wenn Sie die Testdatei eicar.com im Klartext sehen, existiert ein zweites Problem, wenn Sie einen Antivirus-Proxy benutzen: Dieser scannt, wenn HTTP/CONNECT benutzt wird, nicht den Verkehr - auch wenn es sich um eine unverschlüsselte Übertragung handelt.

Wenn Sie sich auch noch zu Ports unter 1024 verbinden können, existiert ein drittes Problem. Zu testen mit z.B:
CONNECT mail.domain.example:25 / HTTP/1.0
Wenn dieses klappt, kann man sich möglicherweise zu allen Ports zwischen 1 und 65535 von innen nach außen verbinden, was eventuell der vorhandenen Security Policy widerspricht.

Als letztes noch ein Test zu Port 80 mit:
CONNECT www.domain.example:80 / HTTP/1.0
Auch dies sollte eigentlich nicht funktionieren.

Lösungen:
1) Vollständiges Deaktivieren der Methode CONNECT, falls es die Software und die Security Policy erlaubt (dies sperrt allerdings auch jeglichen HTTPS-Verkehr)
2) Einschränken der Ports, die bei der Methode CONNECT verwendet werden dürfen, z.B. nur auf 443 (https) (Squid-Cache-Software hat das in der Standard-Konfiguration so aktiviert und erlaubt nur Verbindungen zu den Ports 443 und 563 [NNTP über SSL])
3) Einschränken des ausgehenden Verkehrs vom Proxy aus zu nur erlaubten Ports unter Benutzung von lokalem Firewalling oder entsprechenden Regeln auf einer nahen Firewall (z.B. nur Port 80 und 443).
4) Wenn die Antivirus-Software übergangen wird, sollten Sie schnellstens den Hersteller Ihrer Software kontaktieren.