Wie läuft ein Firewall-Pentest ab?

Eine Firewall ist die erste Verteidigungslinie gegen Cyberangriffe auf die IT-Infrastruktur. Sie muss es Angreifern nahezu unmöglich machen, Exploits auszuführen, die die Sicherheit eines Netzwerks gefährden.

Ein Firewall-Pentest umfasst 13 Schritte: die Lokalisierung der Firewall, Traceroute, Port-Scanning, Banner-Grabbing, die Aufzählung der Zugriffskontrollen, die Identifikation der Firewall-Architektur, das Testen der Firewall-Richtlinien, Firewalking, Port-Redirection, interne und externe Tests, die Prüfung auf verdeckte Kanäle, HTTP-Tunneling sowie das Identifizieren firewallspezifischer Schwachstellen.

Was ist eine Firewall?

Eine Firewall ist eine Software, die den ein- und ausgehenden Datenverkehr in einem Netzwerk überwacht. Anhand vordefinierter Richtlinien, Regeln oder einer Zugriffskontrollliste (ACL) filtert und blockiert sie alle Verbindungen, die gegen diese Regeln verstoßen. Die Hauptaufgabe einer Firewall besteht darin, vertrauenswürdige Netzwerke vom externen Netzwerk oder dem Internet zu trennen.

Dazu wird eine Firewall in der Regel in der DMZ (Demilitarized Zone) platziert. Weitere Firewalls können vor dem internen Netzwerk oder Intranet eines Unternehmens eingesetzt werden -- oder vor SCADA-Systemen (Supervisory Control and Data Acquisition), die industrielle Anlagen wie etwa Kraftwerke steuern.

Was ist eine Next Generation Firewall (NGFW)?

Es gibt viele Arten von Firewalls, und jede verfügt über unterschiedliche Funktionen. Der bedeutendste Fortschritt in der Firewall-Technologie ist die Einführung von Next Generation Firewalls (NGFW).

Herkömmliche Firewalls konnten keine zustandsbehaftete Paketprüfung (Stateful Packet Inspection) durchführen. Sie analysierten den Netzwerkverkehr lediglich anhand von IP-Adresse und Portnummer, ohne den bisherigen Datenverkehr zu berücksichtigen.

Mit der Einführung von NGFW wurde die dynamische Paketfilterung Realität: Alle aktiven Verbindungen lassen sich zusammen mit ihrem jeweiligen Zustand überwachen. Diese zusätzlichen Informationen fließen direkt in die Zugriffsentscheidungen ein.

Firewall-Richtlinien

Beim Einsatz einer Firewall müssen Richtlinien und Regeln konfiguriert werden, um die Sicherheit des Netzwerk-Perimeters zu gewährleisten. Diese Regeln legen fest, welche Arten von Netzwerkverkehr blockiert oder zugelassen werden.

Die definierten Richtlinien lassen sich auch auf weitere Firewalls im gesamten Netzwerk übertragen. Zusätzlich kann eine rollenbasierte Zugriffskontrolle über Active Directory integriert werden, die sämtliche Benutzerrollen und deren Berechtigungen in der Firewall abbildet.

Schritte zum Durchführen eines Firewall-Pentests

Beim Firewall-Penetrationstest wird eine bestimmte Firewall lokalisiert, analysiert und gezielt angegriffen, um das interne Netzwerk zu erreichen. In der Regel ist der Firewall-Test ein zentraler Bestandteil des externen Infrastruktur-Pentests. Er zählt zu den wichtigsten Netzwerktests überhaupt, da Firewalls die erste Verteidigungslinie gegen Angriffe von außen darstellen.

Im Folgenden finden Sie die Schritte, die ein umfassender Firewall-Penetrationstest umfassen sollte.

Schritt 1. Lokalisierung der Firewall

Jeder Firewall-Pentest beginnt mit der Lokalisierung der Firewall. Mithilfe einer Packet-Crafting-Software erstellt der Tester spezifische IP-Pakete mit UDP-, TCP- oder ICMP-Payloads.

Die gängigsten Tools hierfür sind Hping und Nmap. Beide bieten ähnliche Funktionen, unterscheiden sich jedoch in einem wesentlichen Punkt: Nmap kann ganze IP-Adressbereiche scannen, während Hping jeweils nur eine einzelne IP-Adresse verarbeitet.

Je nachdem, wie unauffällig der Scan ablaufen soll, ist Hping die bessere Wahl, um eine Erkennung durch Anomalie-Detektion zu vermeiden. Durch wiederholtes Scannen lässt sich so die Liste der erlaubten Dienste auf der Firewall ermitteln.

Schritt 2. Durchführen von Traceroute

Die Netzwerkreichweite lässt sich ermitteln, indem ein Traceroute-Befehl gegen die zuvor identifizierte Firewall ausgeführt wird. Dieser Schritt liefert Informationen über den Weg, den die Pakete zwischen den Systemen nehmen, und identifiziert alle beteiligten Router und Netzwerkgeräte.

Darüber hinaus können Informationen über die Geräte, die den Datenverkehr filtern, sowie über die eingesetzten Protokolle gewonnen werden.

Schritt 3. Port-Scanning

Der dritte Schritt in der Firewall-Pentest-Methodik ist das Port-Scanning. Das am häufigsten verwendete Tool ist Nmap, da es umfangreiche Anpassungsmöglichkeiten bietet.

In diesem Schritt identifizieren Sie nicht nur offene Ports auf der Firewall, sondern auch die Dienste, die auf diesen Ports laufen. Mit Nmap lässt sich ein Scan konfigurieren, der den gewünschten Scan-Typ, spezifische Optionen, das Timing und vieles mehr umfasst. Eine Anleitung zum Port-Scanning bietet Nmap.

Schritt 4. Banner-Grabbing

Durch Banner-Grabbing auf der Firewall erhalten Sie Informationen über die eingesetzte Firmware- oder Softwareversion. Diese Informationen lassen sich anschließend nutzen, um bekannte Exploits zu identifizieren, die die Firewall potenziell angreifbar machen.

Mit Netcat stellt der Penetrationstester eine Verbindungsanfrage, die die entsprechenden Versionsinformationen zurückliefert.

Schritt 5. Aufzählung der Zugriffskontrolle

Jede Firewall verwendet Zugriffskontrolllisten (ACLs), um festzulegen, welcher Datenverkehr zugelassen oder blockiert wird. Der wichtigste Indikator, den ein Pentester bei der Analyse der ACL auswerten kann, ist der Zustand der Ports auf der Firewall.

Schritt 6. Identifizieren der Firewall-Architektur

Aufbauend auf dem vorherigen Schritt sendet der Pentester gezielt manipulierte Pakete (Crafted Packets) an die bereits identifizierten Firewall-Ports, um eine vollständige Übersicht über den Portstatus zu erhalten. Durch das gezielte Auslösen von Antworten auf bestimmten Ports lässt sich das Verhalten der Firewall ermitteln und eine Zuordnung offener Ports erstellen. Die Antworten der Firewall verraten zudem, ob eine Verbindung abgelehnt, unterbrochen oder stillschweigend verworfen wurde.

Schritt 7. Testen der Firewall-Richtlinie

Das Testen der Firewall-Richtlinien kann auf zwei Arten erfolgen, die teils auch als Bestandteil des internen Infrastruktur-Pentests betrachtet werden:

• Der Penetrationstester vergleicht die exportierte Firewall-Konfiguration mit der erwarteten Soll-Konfiguration, um potenzielle Lücken zu identifizieren.
• Der Tester führt gezielte Aktionen an der Firewall durch, um die erwartete Konfiguration praktisch zu verifizieren.

Schritt 8. Firewalking

Firewalking ist eine Technik zur Kartierung der Netzwerkgeräte hinter einer Firewall. Das Netzwerk-Auditing-Tool Firewalk analysiert die von der Firewall zurückgegebenen Pakete mithilfe von Traceroute-Techniken. Dabei werden offene Ports identifiziert, indem Geräte hinter der Firewall überprüft werden -- so lässt sich feststellen, welcher Datenverkehr die Firewall passieren kann. Ein bewährtes Tool für diesen Zweck ist auf kali.org verfügbar.

Schritt 9. Port-Redirection

Die Prüfung auf Port-Redirection ist ein wichtiger Schritt, der eine weitergehende Kompromittierung des Netzwerks ermöglichen kann. Wenn ein gewünschter Port nicht direkt erreichbar ist, lassen sich Port-Weiterleitungstechniken nutzen, um die Zugriffsbeschränkung zu umgehen.

Gelingt es dem Tester, ein Zielsystem zu kompromittieren und die Firewall zu umgehen, kann er ein Port-Forwarding-Tool wie Fpipe oder Datapipe installieren, um auf bestimmten Ports zu lauschen.

Schritt 10. Externe und interne Prüfung

Externe und interne Penetrationstests sind beim Firewall-Test nicht immer erforderlich, liefern jedoch ein realistischeres Bild davon, wie ein Angreifer Ihre Systeme tatsächlich attackieren könnte.

Schritt 11. Test für verdeckte Kanäle

Ein verdeckter Kanal (Covert Channel) ist eine verborgene Kommunikationsverbindung, die Angreifern ermöglicht, unentdeckt zu agieren. Verdeckte Kanäle dienen in der Regel dazu, Aktivitäten zu verschleiern und sensible Daten aus einem Unternehmen zu exfiltrieren. Sie entstehen durch die Installation einer Backdoor auf einem kompromittierten System innerhalb des Netzwerks.

Ist die Backdoor einmal installiert, kann über eine Reverse Shell eine Verbindung zum externen System des Angreifers hergestellt werden. Ein häufig genutztes Tool hierfür ist die Hacking-Plattform Metasploit.

Um zu prüfen, ob die Einrichtung eines verdeckten Kanals möglich ist, geht der Penetrationstester wie folgt vor:

• Mithilfe von Firewalk die Firewall-Regeln identifizieren.
• Versuchen, Systeme hinter der Firewall zu erreichen.
• Die Antworten der eingehenden Pakete analysieren.

Schritt 12. HTTP-Tunneling

Beim HTTP-Tunneling wird der Datenverkehr in das HTTP-Protokoll eingekapselt. Diese Technik kommt häufig zum Einsatz, wenn der Zugriff auf ein Gerät hinter einer Firewall oder einem Proxy eingeschränkt ist.

In diesem Szenario kann das Tool HTTPort verwendet werden, um POST-Anfragen mit Angabe von Hostname, Portnummer und Pfad an den HTTP-Server zu senden. Da HTTPort in der Lage ist, HTTP-Proxys zu umgehen, bleibt als einziges Hindernis die auf dem Proxy konfigurierten Verbindungsmethoden.

Schritt 13. Firewallspezifische Schwachstellen identifizieren

Die wichtigste Maßnahme, um Schwachstellen in Ihrer Firewall zu vermeiden, ist die Sicherstellung einer korrekten Konfiguration. Fehlkonfigurationen sind der häufigste Grund dafür, dass es Angreifern gelingt, in ein Netzwerk einzudringen.

In manchen Fällen bleiben Druck- oder Dateifreigabedienste auf bestimmten Ports aktiviert und ermöglichen es Angreifern, die Firewall über diesen Vektor zu umgehen. Die Deaktivierung nicht benötigter Dienste und eine regelmäßige Überprüfung der Firewall-Konfiguration sind daher unverzichtbar.

Fazit

Das Hauptziel eines Firewall-Pentests ist es, den unbefugten Zugriff auf das interne Netzwerk aus dem Internet heraus zu verhindern. Je nach Typ handelt es sich dabei um eine traditionelle zustandslose Firewall oder um eine Next Generation Firewall, die den Zustand aller Verbindungen verfolgt.

Der Erfolg eines Firewall-Pentests hängt von mehreren Faktoren ab. Eine korrekte Konfiguration der Firewall-Richtlinien und -Regeln reduziert die Angriffsfläche erheblich und verhindert die meisten unautorisierten Verbindungsversuche.

Mithilfe von Tools wie Nmap, Hping und Netcat gewinnt der Pentester Informationen über die Zugriffskontrollen und den Portstatus der Firewall. Die meisten Entscheidungen und Aktionen im Rahmen des Tests basieren auf diesen Firewall-Reaktionen.