durch eine UNIX firewall routen?!

[RaistlinMajere]

das folgende ist ein zitat aus dem buch "hacking exposed" (5. auflage, s. 215, wen es interessiert):

Route throug a UNIX system: Your UNIX firewall was circumvented by attackers. "How is this possible? We don't allow any inbound services, " you say. In many instances, attackers circumvent UNIX firewalls by source-routing packets through the firewall to internal systems. This feat is possible because the UNIX kernel had IP forwarding enabled when the firewall application should have been performing this function. In most of these cases, the attackers never actually broke through into the firewall; they simply used it as a router.

ich frage mich, wie das möglich ist. wenn eine UNIX firewall traffic durchlässt, dann liegt das doch nur daran, weil IP forwarding aktiviert wurde, oder? das heißt aber auch, da die FW mit deaktiviertem forwarding gar nicht funktionieren (weil immer sperren) würde, sowie es einem angreifer meinem verständnis nach auch nicht möglich sein sollte, sie auf dem beschriebenen weg zu "umgehen".

könnte mir jemand bitte erklären, wie sowas möglich ist?

[xandl33]

wenn dafür source routing verwendet wird liegt der entstprechende host innerhalb einer vorgegebenen route die für ein datagramm festgelegt ist.
anscheinend dürfte dann die firewall denn traffic durchlassen wenn die ziel ip der source route nicht der ip adresse des aktuellen hosts entspricht, der fungiert in diesem als router und versucht den verkehr weiterzurouten ( port forwarding dürfte dann anscheinend den rest erledigen, da ja hier frei wählbare ports weitergeleitet durchgelassen werden ).

so oder so ähnlich stell ich mir das vor, ich schätz aber mal dass die frei wählbaren ports fürs forwarding durch die fw nicht gesperrt sind (--> leider steht das nicht genauer im text).

lg
xandl

ps: is das buch empfehlenswert bzw. wieviel kostets?

[RaistlinMajere]

Zitat:

Original geschrieben von xandl33
wenn dafür source routing verwendet wird liegt der entstprechende host innerhalb einer vorgegebenen route die für ein datagramm festgelegt ist.
anscheinend dürfte dann die firewall denn traffic durchlassen wenn die ziel ip der source route nicht der ip adresse des aktuellen hosts entspricht, der fungiert in diesem als router und versucht den verkehr weiterzurouten ( port forwarding dürfte dann anscheinend den rest erledigen, da ja hier frei wählbare ports weitergeleitet durchgelassen werden ).

so oder so ähnlich stell ich mir das vor, ich schätz aber mal dass die frei wählbaren ports fürs forwarding durch die fw nicht gesperrt sind (--> leider steht das nicht genauer im text).

lg
xandl

ps: is das buch empfehlenswert bzw. wieviel kostets?

danke für deine antwort, mittlerweile kenne ich schon die antwort auf meine frage. bei aktiviertem source-routing wird auf kernel-basis die FW komplett umgangen, sofern die angegebene route tatsächlich existiert (ansonsten wird das paket verworfen).
in diesem fall schaut dann der host, auf dem die FW läuft, nach, ob source-routing möglich ist, wenn ja (und die route tatsächlich existiert), lässt er das entsprechende paket passieren, ohne daß es anhand der FW-regeln geprüft wird (wie "normale" pakete).

das lässt sich entweder dadurch verhindern, daß im kernel source-routing deaktiviert wird oder in dem man

/proc/sys/net/ipv4/conf/all/accept_source_route

auf 0 setzt.

das buch kann ich absolut empfehlen, aber an einigen stellen (wie eben auch hier) werden dinge angesprochen, die schon ein etwas tiefergehenderes wissen voraussetzen, das im buch selbst nicht vermittelt wird.
wenn du auf der suche nach einem guten buch bist, kann ich dir diesbzgl. auch noch ed skoudis' "counter hack reloaded" empfehlen. das setzt weniger wissen voraus und richtet sich daher eher an anfänger, ist aber sehr gut geschrieben und wirklich interessant.
ich habe beide bücher über den amazon marketplace gekauft.