Hallo Andreas, On Tuesday 02 December 2003 19:49, Andreas Kretschmer wrote: > ,----[ Zitat ] [...] > | Unterstützung für ladbare Kernel-Module. Es bietet eine per > | Passwort geschützte entfernt nutzbare Shell, die durch ein > | gefälschtes Paket (das die meisten Firewall-Konfigurationen umgeht) > | gestartet wird, und versteckt Prozesse, Dateien und Verbindungen. > > `---- > > Mich interessiert der letzte Satz. Ich interpretiere ihn so, daß auch > iptables löchrig ist, oder wird es nur löchrig durch das Root-Kit?
es gibt rootkits, die ihre backdoor erst aktivieren, nachdem sie ein speziell präpariertes ICMP-Paket (oder ein anderes Paket mit einer speziellen Signatur in der payload) im Netzwerkverkehr bemerkt haben. Andere fungieren gar nicht als Server, sondern bauen von sich aus eine Verbindung auf, was auch durch ein solches "Trigger-Paket" ausgelöst werden kann. In vielen Privat-Setups, wo jede Verbindung nach außen erlaubt ist und nur nach innen gefiltert wird, funktioniert das perfekt. Ich meine auch, vor einiger Zeit etwas über "sniffer based rootkits" gelesen zu haben, von denen ich allerdings nicht weiß, ob sie in der Praxis auch existieren oder nur ein Konzept sind. Auch hier lauscht das rootkit im Netzwerkverkehr. Um den kompromittierten Host zu erreichen, schickt man ein präpariertes Paket an einen beliebigen Host im Segment. Das rootkit kriegt das mit und antwortet darauf, allerdings mit dem Absender, den aus auslösende Paket zu erreichen versuchte. Der Effekt ist die Verschleierung des kompromittierten Rechners (naja, nicht so effizient, auf MAC-Ebene wird da nix verschleiert). Also auf Deine Frage: Du bist doch häufig in dcsf zu lesen und kennst die Möglichkeiten von iptables. Ich würde nicht sagen, dass iptables löchrig ist sondern behaupte als Arbeitshypothese, dass man bei entsprechend restriktiver policy gute Karten hat, wenngleich es wahrscheinlich nicht ganz einfach ist, die ganzen Szenarien durch entsprechende Regeln (und unter Verwendung der passenden Module) abzudecken. Schöne Grüße, Stephan -- /* Stephan Hakuli // http://www.hakuli.net // GPG-ID 4006A977 Encryption with GPG or PGP is strongly encouraged, my public key is available on my website or on common public keyservers. */ -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)