tools - Hackner Security Intelligence

Weitere Magazine

Empfehlungen

Info

SICHERHEITSANWENDUNGEN Windows Filtering Platform Netzwerkdatenfilterung unter Windows René Espenhahn Beginnend mit Windows Vista hat Microsoft die Windows Filtering Platform in ihr Betriebssystem integriert. Sie soll die vielen über Jahrzehnte entstandenen Teillösungen zur Filterung der ein- und ausgehenden Netzwerkdaten ersetzen und eine einheitliche Basis zur Filterung bereitstellen. In diesem Artikel werden die Grundlagen der Windows Filtering Platform vorgestellt. Darauf aufbauend wird ein Beispiel aus dem Windows Driver Kit näher erläutert. IN DIESEM ARTIKEL ERFAHREN SIE… • Grundlagen der Windows Filtering Platform. • Entwicklung eines Netzwerkfilters mittels der Windows Filtering Platform WAS SIE VORHER WISSEN SOLLTEN… • Aufbau des TCP/IP-Stack. • Grundlagen zur Kerneltreiberentwicklung. Einführung Mit der Veröffentlichung von Windows Vista im Jahr 2007 hatte Microsoft unter dem Namen Next generation network driver stack den Netzwerkstack des Betriebssystems nahezu komplett erneuert. Zu den Neuerungen gehörte unter anderem die Windows Filtering Platform [1] (WFP). Sie sollte spätestens ab Windows 7 die verwendeten Filter-Treiber des Transport Driver Interface (TDI), die TCP/IP-Filter- und Firewall-Hook-Treiber, die Winsock Layered Service Provider (LSP) und teilweise die Intermediate-Treiber der Network Driver Interface Specification (NDIS) durch eine einheitliche Plattform zum Filtern der ein- und ausgehenden Netzwerkdaten vollständig ablösen. Unter Windows Vista hatte die WFP allerdings noch einige Kinderkrankheiten, die dazu führten, dass viele Sicherheitsfirmen sie in ihren Produkten bis Windows 7 nicht produktiv einsetzten. Einhergehend mit Windows 7 hat Microsoft die WFP verbessert und die Kinderkrankheiten weitestgehend beseitigt. Weiterhin haben sie den alten Technologien noch einen letzten zeitlichen Aufschub gegeben und nicht, wie in den Fußnoten [2] im MSDN vermerkt, deren Unterstützung mit der Veröffentlichung von Windows 7 eingestellt. Nichts desto trotz kann Microsoft TDI & Co. nun jederzeit aus ihrem Betriebssystem entfernen. Es ist somit spätestens an der Zeit auf die Windows Filtering Platform umzusteigen. Architektur der WFP Die WFP besteht aus vier Teilen, die in Abbildung 1 farblich hervor gehoben sind. Von den vier Teilen befindet sich einer im User-Mode und drei im Kernel-Mode des Betriebssystems. User-Mode und Kernel-Mode sind dabei Ausführungsebenen des Betriebssystems. Im User-Mode werden alle normalen Programme wie beispielsweise Office ausgeführt, während im Kernel- Mode die Treiber sowie Betriebssystem-interne Funktionen ausgeführt werden. Seitens der WFP ist die Base Filter Engine (BFE) im User-Mode angesiedelt. Sie bietet verwaltende Schnittstellen zur Installation, Konfiguration und Deinstallation von WFP-Komponenten sowie Schnittstellen zur Statusabfrage der installierten Komponenten. Zu den Komponenten der WFP zählen hauptsächlich Filter. Damit ein Filter Netzwerkdaten filtern kann, muss er um weitere Komponenten, die in Abbildung 2 um den Filter dargestellt sind, ergänzt werden. Hierbei sind vor allem die pink dargestellten Komponenten wichtig, denn sie sind zwingend für den Betrieb eines Filters notwendig. Sie werden im späteren Verlauf detaillierter erklärt. Dadurch, dass die BFE im User-Mode angesiedelt ist, lassen sich Filter innerhalb normaler Programme erstellen und konfigurieren ohne, dass zwingend ein Kernel-Mode-Treiber entwickelt werden muss. Wird ein Filter mittels der Schnittstelle der BFE installiert, landet dieser, falls er nicht auf dem Internet Key Exchange (IKE)-, IPsec- oder User-Mode Remote Procedure Call (RPC) Layer operiert, in der Kernel- Mode Filter Engine (KMFE) und somit im Kernel des Betriebssystems. 10 1/2011
Windows Filtering Platform Netzwerkdatenfilterung unter Windows Die KMFE ist das Herzstück der WFP. Sie steuert die Anwendung sämtlicher installierter Filter. Wie in Abbildung 2 ersichtlich muss jeder Filter zwingend eine Layer-Komponente besitzen. Die Layer-Komponente definiert, auf welchem WFP-Layer der Filter arbeitet und somit, welche Daten der Filter von der KMFE zur Filterung übermittelt bekommt. In Abbildung 1 werden innerhalb der orange hervorgehobenen KMFE lediglich die zum TCP/IP- Stack passenden Filter-Layer dargestellt. Insgesamt besitzt die KMFE über 70 verschiedene Layer [4] , an denen Filter hinzugefügt werden können, um die dort eintreffenden Netzwerkdaten zu filtern. Die hohe Zahl an Filter-Layer ergibt sich größten Teils daraus, dass viele Filter-Layer bis zu viermal vorhanden sind. Viermal deswegen, da die WFP oft zwischen IPv4 und IPv6 sowie ein- und ausgehender Richtung der Netzwerkdaten unterscheidet. Die Netzwerkdaten bezieht die KMFE mittels der in Abbildung 1 grün dargestellten Shim-Komponenten aus dem TCP/IP-Stack. Die Shim-Komponenten sind hierbei auf den verschiedenen Layern des TCP/IP-Stack installiert und leiten die bei ihnen ankommenden Netzwerkdaten zur KMFE um. Die KMFE reicht die Daten ihrerseits weiter zu den Filtern, die auf den betreffenden WFP-Layern installiert sind und diese können die Netzwerkdaten nach ihren Kriterien filtern. Die KMFE sammelt alle Entscheidungen der Filter (Block oder Permit) und sendet das Endergebnis zurück zur ursprünglichen Shim-Komponente. Wird der Shim-Komponente von der KMFE ein Block übermittelt, blockiert und verwirft sie die Netzwerkdaten. Bei einem Permit können die Daten ihren Weg zum nächsten TCP/IP-Layer und somit zur nächsten Shim-Komponente bzw. zum Ziel fortsetzen. Abbildung 3 veranschaulicht dies. Filter können, wie in Abbildung 2 dargestellt, optional Bedingungen enthalten. Eine Bedingung kann beispielsweise sein, dass ein Filter nur Netzwerkdaten von einem speziellen Quellport filtern soll. Obwohl mit Windows 7 die Anzahl der unterschiedlichen Bedingungen gestiegen ist, beschränken sie sich weiterhin auf die Metadaten des Payload der Netzwerkdaten. Soll hingegen untersucht werden, ob das Wort rainy im Payload der Netzwerkdaten enthalten ist, so ist dieses mit einer Bedingung nicht realisierbar. Es muss ein Callout verwendet werden. Callouts sind benutzerdefinierte Routinen im Kernel-Mode. Besitzt ein Filter eine Callout-Referenz, so leitet der Filter alle Netzwerkdaten zur Entscheidungsfindung an den Callout weiter. Innerhalb des Callout kann ein Entwickler die Netzwerkdaten Abbildung 1. Architektur der Windows Filtering Platform. Quelle: [3] hakin9.org/de 11
Seite 2 und 3: SSL-Zertifikate Einkaufen ist Vertr
Seite 4 und 5: 1/2011 INHALTSVERZEICHNIS ANGRIFF 0
Seite 6 und 7: ANGRIFF Angriffe in Lichtgeschwindi
Seite 8: ANGRIFF Abbildung 4. Hardware-Versc
Seite 13 und 14: Windows Filtering Platform Netzwerk
Seite 20 und 21: PRAXIS Schwachstellen bei der Resso
Seite 22 und 23: PRAXIS Unternehmen genutzt wird, ha
Seite 24 und 25: PRAXIS werden. Da auf ihm mehrere v
Seite 26 und 27: Malware-Scan mittels Comodo HackerP
Seite 28 und 29: • Täglicher Malware-Scan Das Ver
Seite 30 und 31: und dem autoritativen DNS-Server se
Seite 32 und 33: TOOLS Das Metasploit Framework als
Seite 34 und 35: TOOLS den . Dafür wird der in Meta
Seite 36 und 37: TOOLS Ncrack - Netzwerkauthentifizi
Seite 38 und 39: TOOLS Schaltern auch über Dateien
Seite 40 und 41: TOOLS Connection Delay: cd Einstel
Seite 42 und 43: TOOLS Admin verwendet. Da es sich h
Seite 44 und 45: INTERVIEW „Zu aller erst sollte m
Seite 46 und 47: INTERVIEW kaufte damals mein erstes
Seite 48 und 49: Recommended Companies Mabunta Die m
Seite 50: HACKER SIND ANGRIFFSLUSTIG. Besuche

tools - Hackner Security Intelligence

Erfolgreiche ePaper selbst erstellen

Template löschen?

Als Template speichern?