TCP Stealth vs. Five Eyes

Mit Technik gegen staatliche Geheimdienst-Botnetze

Praxis & Tipps | Praxis

Die großflächigen Portscans durch Geheimdienste und die Umfunktionierung verwundbarer Systeme machen es notwendig, neu über das Internetprotokoll TCP nachzudenken. Gegen die Besetzung des Internet hilft aber zumindest teilweise Technik: eine Anleitung zur partiellen Abwehr der Botnetze westlicher Geheimdienste.

Portscans sind ein bekanntes Tool und werden regelmäßig eingesetzt, um Schwachstellen in lokalen Systemen zu finden. Die Analyse des Vorgehens des britischen Geheimdienstes GCHQ und seiner Partner im Five-Eyes-Club (siehe den Artikel „Das Five-Eyes-Botnetz“ auf Seite 166) zeigt aber auch deutlich, dass Geheimdienste das Scannen offener Ports in den Netzen ganzer Länder als Standardtool einsetzen, um das Internet zu besetzen und Botnetze für die eigenen Überwachungs- und Sabotagezwecke zu bilden. Das Schließen offener Ports – wo immer möglich – gilt seit Langem als unerledigte Aufgabe vieler Netzadministratoren. „Port Knocking“, das Anklopfen beim TCP-Verbindungsaufbau, und die hier vorgeschlagene Erweiterung TCP Stealth bieten darüber hinaus eine erste direkte Antwort auf das Absaugen von Informationen durch die Scans westlicher Geheimdienste.

TCP Stealth als neuer Vorschlag zur Verschleierung von Ports ging an die Internet Engineering Task Force (IETF). Dies geschah mit der ersten Veröffentlichung der Hintergründe zu Hacienda, Mugshot, Operational Relay Boxes und weiterer Dokumente der Five-Eyes-Geheimdienste aus den USA, Großbritannien, Kanada, Australien und Neuseeland (siehe „Das-HACIENDA-Programm-zur-Kolonisierung-des-Internet“, http://heise.de/-2292574). TCP Stealth ist derzeit für Linux implementiert; damit können Netzwerkadministratoren dafür sorgen, dass ihre Server gegenüber Portscans abgeschirmt werden. Die Abwehr gegen gezielte Angriffe auf unbekannte Schwachstellen in öffentlichen Netz-Diensten ist schwierig. Einfacher ist es, den sichtbaren „Fußabdruck“ und damit die Angriffsfläche von administrativen Diensten zu verkleinern.

TCP-Schwachstelle

TCP, das Transmission Control Protocol, ist das am weitesten verbreitete Protokoll im Internet. Portscanner machen sich ein strukturelles Problem von TCP zunutze, um zu bestimmen, welche Dienste auf einem System aktiv sind. Seit Urzeiten werden die Scans daher von Angreifern genutzt, um verwundbare Server zu finden. ...

Sie möchten wissen, wie es weitergeht?

Als c't-Plus-Abonnent gratis lesen

Anmelden als c't-Plus-Abonnent

weiterführende Links

Anzeige
Anzeige