 |
Startseite ▼ Sicherheits
Überprüfungs ▼
Verwaltetes
DNS ▼
Info
Bestellen/Erneuern
FAQ
AUP
Dynamic DNS Clients
Domaine konfigurieren Dyanmic DNS Update Password Netzwerk
Überwachung ▼
Enterprise
Erweiterte
Standard
Gratis Test
FAQ
Preis/Funktionszusammenfassung
Bestellen
Beispiele
Konfigurieren/Status Alarm Profile Webseiten
Analysator ▼
StartSeite
Erweiterte Analyse
Standard Analyse
Basis Analyse
Preis/Funktions Übersicht
Bestellung
FAQ
Analyse durchführen Berichte Warteschlange einsehen Erinnerer | ||
| Survey Data Mining: Home | FAQ | Archive | Glossary |
|
| Die Untersuchung |
 |
Dieser Bericht beschreibt Systeme, von denen wir durch eine konventionelle http-Anfrage herausgefunden haben, dass es sich um IIS Server handelt, die durch eine Art NAT (Network Address Translation) Firewall-geschützt werden.
| Was ist NAT? |
|
IP V4 Network Address Translation findet wachsende Anwendung im Internet aus verschiedenen Gründen. NAT wird benutzt, um ein privates Netzwerk, das aus unregistrierten IP-Adressen besteht, mit einem globalen IP Netzwerk zu verbinden, und dafür eine begrenzte Anzahl registrierter IP Adressen zu verwenden. NAT werden auch verwendet, um Umnumerierungen in einem privaten Netzwerk zu vermeiden, falls sich die Topologie außerhalb dieses privaten Netzes aus irgendeinem Grund ändern sollte. Es gibt viele weitere Anwendungsbeispiele für NAT.
Im Kontext eines Web Servers, den ein Browser besucht, könnte mit anderen Worten also die IP-Adresse, die wir besuchen eine Sache sein, während der Server, der die gewünschten Daten liefert an einer völlig anderen IP-Adresse zu finden ist. Zwischen beiden sitzt eine Vorrichtung (oft ein Firewall), die die notwendigen Übersetzungen vornimmt um den Datenaustausch zu ermöglichen. Wenn NAT in Gebrauch ist, verwenden die Administratoren üblicherweise eine von drei möglichen Skalen von IP-Adressen, die man private oder non-routable (etwa: nicht verbindbare) Adressen nennt. Diese Bereiche sind für den privaten Gebrauch bestimmt und können nicht direkt vom Internet erreicht werden. Eine separate Vorrichtung, etwa ein Firewall, kann so konfiguriert werden, dass Verkehr von aussen, der in einem bestimmten Anschluss ankommt (z.B. in http Port 80), an eine interne, private Adresse umgeleitet wird, und kann so den Anschein erwecken, dass der Web Server selbst eine öffentliche Adresse besitzt.
Die drei Skalen privater Adressen, wie sie von der IANA (Internet AssignedNumbers Authority) vorgeschrieben werden, sind:
10.0.0.0 - 10.255.255.255 (10/8 prefix)
172.16.0.0 - 172.31.255.255 (172.16/12 prefix)
192.168.0.0 - 192.168.255.255 (192.168/16 prefix)
| Wie kann man den Gebrauch von NAT herausfinden? |
|
Wenn eine Browser nach einer Internet Seite anfrägt, benutzt er http. http-Anfragen bestehen aus Instruktionen, welche Seite zurückgeschickt werden soll, während http-Antworten aus Informationen über den Server und das Dokument, das geschickt wird, und dem Dokument selbst bestehen, sei es nun ein html-, text-, gif- oder ein anderes Dokument.
Eine Anfrage an einen typischen Web Server könnte folgendermaßen aussehen:
$ telnet www2.securityspace.com 80
Trying 216.201.108.18...
Connected to www2.securityspace.com.
Escape character is '^]'.
GET /sample.html HTTP/1.0
Nachdem die Anfrage gestellt worden ist, die Seite sample.html zurückzusenden, antwortet der Server mit dem http-Header und einem html-Dokument:
HTTP/1.1 200 OK
Date: Fri, 04 May 2001 20:08:11 GMT
Server: Apache/1.3.12 (Unix)
Connection: close
Content-Type: text/html
<HTML>
<HEAD></HEAD>
<BODY>Sample Page</BODY>
</HTML>
Connection closed by foreign host.
$
Betrachten wir nun dieselbe Antwort, die wir von einem schlecht konfigurierten IIS-Server erhalten:
HTTP/1.1 200 OK
Server: Microsoft-IIS/4.0
Content-Location: http://10.1.1.1/sample.html
Date: Wed, 11 Apr 2001 07:22:38 GMT
Content-Type: text/html
Accept-Ranges: bytes
Last-Modified: Tue, 09 Jan 2001 21:41:34 GMT
ETag: "b43f97ef847ac01:4096"
Content-Length: 55
<HTML>
<HEAD></HEAD>
<BODY>Sample Page</BODY>
</HTML>
Connection closed by foreign host.
$
Das obige Beispiel zeigt, dass der IIS Server dann ein Header-Feld namens Content-Location zurückschickt, und dass der Eintrag in diesem Feld den Speicherort des angefragten Dokumentes enthält, und zwar aus der Sicht des Web Servers. In diesem Fall offenbart der Eintrag, dass der Web Server durch die private Class A - Adresse 10.1.1.1 angesprochen wird, was einen sicheres Indiz dafür ist, dass zwischen Web Server und dem Internet eine NAT-Vorrichtung sitzt, und dass diese Vorrichtung sehr wahrscheinlich eine Art Firewall ist.
| Ist das wirklich ein Problem? |
|
Eine generelle Faustregel ist,niemals mehr Information preiszugeben, als unbedingt nötig.
| Was können wir dagegen tun? |
|
Die Prozedur unterscheidet sich bei den IIS Versionen 4.0 und 5.0. Zusätzlich gibt es aber auch eine alternative Methode, die beinhaltet, statische Internet Seiten mit dem Suffix .asp zu benennen und dann einen eigenen http-Header zu schreiben, der einen expliziten Eintrag in 'Content Location' vornimmt.
| Die Statistik |
|
| Beschreibung | Anzahl | Prozentual |
| Anzahl der untersuchten IIS Server | 1,021,589 | 100.00% |
| Anzahl der IIS Server, deren 'Content-Location' - Feld die IP Adresse enthielt | 12 | 0.00% |
| Anzahl der IIS Server, deren 'Content-Location' - Feld eine IP Adresse enthielt, die sich von der IP, die die Verbindung aufgebaut hatte, unterschied | 311 | 0.03% |
| Anzahl der IIS Server, die eine private, non-routable IP im Content-Location - Feld enthielten | 295 | 0.03% |
| Anzahl der IIS Server, die ein privates Class A (10.*.*.*) Netzwerk benutzten | 119 | 0.01% |
| Anzahl der IIS Server, die ein privates Class B (172.16-31.*.*) Netzwerk benutzten | 57 | 0.01% |
| Anzahl der IIS Server, die ein privates Class C (192.168.*.*) Netzwerk benutzten | 119 | 0.01% |