sysiphus.de

auth - der harmlose TCP-Port 113

Kommt Dir das bekannt vor? Du hast gerade frisch eine Firewall in Betrieb genommen, und plötzlich dauert der Verbindungsaufbau zum IRC-Server um die Ecke oder zum Mailserver des Internetproviders eine halbe oder eine Minute länger. Gleichzeitig meldet die Firewall einen Angriff auf TCP port 113. Du fragst Dich, ob der Server vielleicht von einem Hacker übernommen wurde, oder ob Dein Provider Dich ausspionieren will.

Du hast ein bekanntes Problem: Deine Firewall ist unpassend konfiguriert. TCP Port 113 gehört zum in RFC 1413 beschriebenen auth-Protokoll. auth kommt aus der guten alten Zeit, in der fast ausschliesslich grosse Rechner am Netz waren, auf denen viele Benutzer gleichzeitig gearbeitet haben. Somit war es notwendig, bei ausgehenden Verbindungen festzustellen, welcher der vielen Benutzer des Rechners die aktuell vorliegende ausgehende Verbindung aufgebaut hat.

Wenn ein Server S wissen möchte, welcher Benutzer eines Client-Rechners C eine Verbindung öffnen möchte, benutzt S hierfür das auth-Protokoll, bei dem eine Verbindung zu TCP Port 113 des Ausgangsrechners aufgebaut wird. Ungeeignet konfigurierte Firewalls verwerfen diese Anfrage ohne jegliche Antwort. Das führt dazu, dass der S bis zu 60 Sekunden auf diese Antwort wartet, bevor er die von C gewünschte Verbindung annimmt. Auf diese Weise entstehen die oben beschriebenen Verzögerungen.

Es kommt aber noch schlimmer: Manche Firewalls melden die Verbindung auf TCP Port 113 als Angriff, was den unerfahrenen Firewall-Admin in Angst und Schrecken versetzt. Hier sei versichert: Die Anfrage ist völlig ungefährlich.

Wie verhält man sich als Firewall-Admin richtig? Das ist eigentlich ganz einfach: Man muss einfach nur sicher stellen, dass S auf seine auth-Anfrage eine Antwort erhält - das kann auch ein simples "kein Kommentar" in Form einer "port unreachable"-Nachricht oder eines TCP-Resets sein. Viele Firewalls bezeichnen dieses Verhalten als "REJECT" oder als "CLOSED" im Gegensatz zum hier ungeeigneten "DROP" oder "STEALTH".

Mailserver geben sich in aller Regel mit einem "kein Kommentar" zufrieden. Andere Dienste, besonders IRC-Server bestehen auf einer sinnvollen Antwort und lassen sonst keine Kommunikation zu. In dieser Situation muss auf der Firewall ein identd installiert werden, der die Anfrage selbst sinnvoll beantwortet, oder die Anfrage an den eigentlichen Client-Rechner weiterleitet, damit dieser eine Antwort erzeugt.

Marc Haber, 2002-04-19