Die unendliche Leichtigkeit des Mappings
Marc Ruef | 19.01.2006

Auf eine Empfehlung eines deutschen Buchautoren hin, habe ich eine Dozentur an der Universität Luzern bekommen. Eher unspektakulär aber nicht minder mit Enthusiasmus unterrichte ich dort zwei Tage im Jahr zum Thema Computersicherheit. Die Besucher des Masterstudienlehrgangs kommen dabei aus allen Studien- und Berufsrichtungen, weshalb es mir besonders Spass bereitet, die interessantesten Themen des Computerzeitalters mit unterhaltsamen Diskussionen zu illustrieren.

Es war früher Morgen eines Freitag im März - ich bereitete mich gerade auf die erste Stunde vor -, als einer der neuen Studenten an mein Pult trat. Zurückhaltend berichtete er mir davon, dass er eine Vielzahl meiner Publikationen gelesen habe und sich sehr auf meine Vorlesung freuen würde. Selbstverständlich freue ich mich ab derlei Dinge, zeigen sie mir doch auf, dass meine geschriebenen Worte doch vom einen oder anderen gelesen werden und als Inspiration für eigene Entwicklungen herhalten können.

Wir diskutierten über die aktuelle Landschaft an Büchern zum Thema Computersicherheit. Dabei nahm er die Position ein, dass er der Kapitel über Mapping überdrüssig sei. Stets das gleiche und absolut langweilig sei es für ihn zu lesen, wie man die Erreichbarkeit eines Hosts verifizieren könne. Für ihn sei es bis dato schleierhaft, was dies mit Computersicherheit zu tun habe und welchen praktischen Nutzen ein Angreifer aus dieser primitiven Information erlangen könne. Da sich mittlerweile die Studenten eingefunden hatten verwies ich ihn mit einem Lächeln darauf, dass wir auch heute das eine oder andere Wort zum Thema Mapping verlieren werden...

Ich hatte nicht gerade einen tollen Tag, was aber gar nichts mit meiner Vorlesung ansich zu tun hatte. Eigentlich ziemlich routiniert und gar nicht nervös richtete ich mein Wort an die Zuhörer, denen ich mich und meine Arbeiten als erstes vorstellte. Dass ich schon beim einen oder anderen Buch mitgewirkt habe, erwähne ich dabei nur beiläufig, bin ich doch nicht der Meinung, dass es sich hierbei um einen Auftritt zum Verkauf meiner Werke, an denen ich im übrigen praktisch nichts verdiene, handelt.

Nach der Vorstellung meiner Person und der kurzen Darlegung des Ablaufs der Vorlesung beschäftigten wir uns mit den psychologischen und soziologischen Hintergründen der Computerkriminalität. Neben einem historischen Abriss werden ebenfalls kulturellen Facetten des Genres betrachtet. Ein Einstieg den die meisten Studenten schätzen, fürchten sie doch oftmals einen enorm trockenen und vorwiegend mathematisch ausgelegten Ablauf.

Das erste wirklich technische Kapitel (das Thema Footprinting fällt bei mir eher spielerisch aus) war sodann das unliebsame Mapping. Wie überall erklärte ich, dass es sich beim Mapping um eine Technik handelt, mit der die Existenz und Erreichbarkeit von Systemen festgestellt werden kann. Dies sei unerlässlich, um weitere Tests effizient und effektiv durchzuführen. Nachdem ich die klassischen Beispiele mit ICMP echo request (Ping) gezeigt hatte, ging ich zu den exotischen Techniken und ihren Vorteilen über.

Ich merkte, wie das Interesse zunahm, als ich darüber berichtete, dass in lokalen Netzen das ARP-Mapping die mit Abstand effizienteste Technik sei. Zudem sei es den meisten Sicherheitselementen nicht möglich, ein solches Mapping zu erkennen, da viele von ihnen lediglich auf der Transport- (TCP/UDP/ICMP) und Vermittlungsschicht (IP) arbeiten würden. Selbstverständlich trat ich unverzüglich den Beweis an, bei dem ich einen entsprechenden Mapping-Zugriff auf einige der bekannten Intrusion Detection-Systeme umsetzte.

Das Erstaunen war zwar da, wich aber bei der Frage, inwiefern dies bei Zugriffen über verschiedene Segmente - zum Beispiel das Internet - nützlich sei. Ich war mir dessen vollkommen bewusst, dass diese Frage kommen würde. Und natürlich liess ich mir es nicht nehmen, darauf mit einem knappen "Nichts" zu antworten. Ich mag diese Leere, die in einem Raum herrscht, zerstört man die Vorfreude des Fragestellers auf eine nützliche Antwort.

Ich meinte jedoch in den Augen der Zuhörer sehen zu können, dass sie es vermuteten, dass dies noch nicht die ganze Antwort gewesen sei. "Selbstverständlich", so fuhr ich weiter, "gibt es aber einige andere Techniken, die den gleichen Effekt bei der Gleichbleibung der Vorteile des klassischen Ping-Mappings aufweisen." Sodann zeigte ich auf, wie mit einfachen Tricks spezielle ICMP- oder TCP-Pakete generiert werden können, die nur von den wenigsten Schutzmechanismen entdeckt werden. Möglichst kurze Segmente, eine erhöhte Fragmentierung, korrupte Paket-Optionen oder angepasste Datenteile waren die Dinge, die nun plötzlich interessant schienen.

Für mich war das ungebrochene Interesse der Studierenden der Beweis dafür, dass Mapping halt eben doch nicht so langweilig ist, wie es in mancherlei Publikationen vorgetragen wird. Mit ein bisschen Einfallsreichtum und Witz kann nämlich selbst eine primitive Geschichte wie das Erkennen der Erreichbarkeit eines Systems zu einem "Hack" werden.

Am Schluss der Vorlesung kam der Student zu mir und sagte, dass ihm ganz besonders der Mapping-Teil gefallen habe. Es sei endlich mal etwas Neues diskutiert worden und damit die Nützlichkeit des ursprünglich als überflüssig abgehandelten Themas erwiesen worden. Ich verwies voller Freude darauf, dass an jenem Buch, an dem ich zur Zeit arbeite (Arbeitstitel "Die Kunst des Penetration Testing") ein umfassendes Kapitel dem Thema Mapping gewidmet werden. Es gäbe nämlich noch die eine oder andere Möglichkeit, wie man mit einem simplen ICMP-Paket einen Zaubertrick ansetzen könne...