Netzwerksicherheit. Teil 4: Absichern von Netzwerken. Martin Mauve, Björn Scheuermann und Philipp Hagemeister

Transkript

1 Netzwerksicherheit Teil 4: Absichern von Netzwerken Martin Mauve, Björn Scheuermann und Philipp Hagemeister Sommersemester 2015 Heinrich-Heine-Universität Düsseldorf Netzwerksicherheit Absichern von Netzwerken 1

2 Ziele und Vorgehen in diesem Kapitel Verstehen, wie man ein Netzwerk absichern kann: Welche Architektur sollte ein sicheres Netzwerk haben? Aus welchen Komponenten besteht eine solche Architektur typischerweise? Wie funktionieren diese Komponenten? Vorgehen: Verstehen der Probleme anhand eines Beispiels Erklären der einzelnen Komponenten Aufsetzen eines sicheren Netzwerkes (Praktikumsaufgabe) Netzwerksicherheit Absichern von Netzwerken 2

3 Sie sollen ein sicheres Netzwerk für ein kleines mittelständisches Unternehmen entwerfen. Das Unternehmen besteht aus drei Abteilungen: Buchhaltung und Personal (BP), Produktentwicklung (PE) und Vertrieb (VT). Das Unternehmen betreibt einen Web-Server und einen -Server. Einige Mitarbeiter in PE haben ein Home-Office und arbeiten häufig von zu Hause aus. Mitarbeiter des Vertriebs sind häufig beim Kunden vor Ort und benötigen dann Zugriff auf interne Daten. Welchen Anforderungen sollte ein sicheres Netzwerk für diese Problemstellung genügen? Netzwerksicherheit Absichern von Netzwerken 3

4 Anforderungsanalyse Wichtige Sicherheitsziele, Netzwerksicht: Schutz des internen Netzwerkes vor unberechtigtem Zugriff aus dem Internet Feststellen von und Benachrichtigung bei Angriffsversuchen Trennung sensibler Systemen von öffentlich zugänglichen Systemen Trennung der Abteilungen voneinander Keine unverschlüsselten Daten über unsichere Netzwerke übertragen Abwägen: Sicherheit-Nutzen-Kosten Authentifikation, Zugriffsrechte (später) s/Spam filtern (später) Netzwerksicherheit Absichern von Netzwerken 4

5 Anforderungsanalyse Andere Sicherheitsziele (hier nicht betrachtet): Umgang mit Angreifern innerhalb des Unternehmens Ausfallsicherheit Virenscanner (wenn sinnvoll) einsetzen Schutz der Daten bei Hardware-Diebstahl Benutzerfreundlichkeit, Schulungen von Benutzern Regelmäßige Updates, aktuelle Sicherheitsinformationen Notfallpläne/Reaktionen im Notfall Policy bezüglich Einspielen von Software, eigener Hardware Netzwerksicherheit Absichern von Netzwerken 5

6 Sie sollen ein sicheres Netzwerk für ein kleines mittelständisches Unternehmen entwerfen. Das Unternehmen besteht aus drei Abteilungen: Buchhaltung und Personal (BP), Produktentwicklung (PE) und Vertrieb (VT). Das Unternehmen betreibt einen Web-Server und einen -Server. Einige Mitarbeiter in PE haben ein Home-Office und arbeiten häufig von zu Hause aus. Mitarbeiter des Vertriebs sind häufig beim Kunden vor Ort und benötigen dann Zugriff auf interne Daten. Bilden Sie Gruppen von 4 6 Personen. Entwickeln Sie in Ihrer Gruppe einen Vorschlag für eine Architektur (Komponenten, Aufbau) für das Netzwerk. Sie haben 8 Minuten Zeit. Netzwerksicherheit Absichern von Netzwerken 6

7 Eine mögliche Architektur Netzwerksicherheit Absichern von Netzwerken 7

8 Weiterer Ablauf Firewalls IDS VPN Netzwerksicherheit Absichern von Netzwerken 8

9 Begriffsdefinition Firewall Eine Firewall soll zwei Bereiche eines Netzwerkes voneinander trennen Manches darf durch, anderes nicht gar nichts durchlassen (= Stecker raus) ist nicht das, was man üblicherweise will alles durchlassen aber auch nicht... die Kunst ist also, zu definieren, was durch darf Diese Funktionalität kann man auf unterschiedlichen Protokollschichten realisieren auf der Anwendungsschicht durch Proxies oder Application Level Gateways auf der Transportschicht durch einen SOCKS-Proxy auf der Netzwerk- (+ ggf. Transport-)schicht durch eine klassische Firewall Netzwerksicherheit Absichern von Netzwerken 9

10 Anwendungsschicht-Proxies Proxies (oder auch: Application Level Gateways) vermitteln zwischen einem Client-Programm und einem Server, mit dem es sich verbindet Der Proxy arbeitet anwendungsprotokollspezifisch separate Proxies für jedes Anwendungsschichtprotokoll müssen (i. d. R.) vom Client-Programm unterstützt werden Statt direkt zum Server baut der Client eine Verbindung zum Proxy auf...und teilt diesem mit, zu welchem Server er sich verbinden soll Der Proxy reicht dann die Daten dann durch Netzwerksicherheit Absichern von Netzwerken 10

11 Anwendungsschicht-Proxies Der Proxy kann Filterregeln anwenden Da der Proxy das Anwendungsschichtprotokoll versteht, können die Regeln sehr detailliert und mächtig sein z. B. Zugriff auf bestimmte externe Server nur für bestimmte Nutzer nach vorheriger Anmeldung z. B. bei HTTP: Erlaube von Server X den Download beliebiger HTML-Dateien, aber keine JPEG-Bilder, usw. Sogar tiefe Eingriffe in den Datenstrom sind möglich Privoxy beispielsweise ist ein HTTP-Proxy, der sensible Informationen aus HTTP-Anfragen ausfiltert und die angefragten Seiten vor dem Weiterreichen an den Client von Werbung säubern kann Web Caches (z. B. Squid) sind HTTP-Proxies, die Daten (Webseiten, Bilder,...) zwischenspeichern und bei späteren Anfragen direkt zurückgeben, statt sie vom Server zu holen Netzwerksicherheit Absichern von Netzwerken 11

12 Hausaufgabe (Übungsblatt 4) (a) Installieren Sie bei sich den HTTP-Proxy Squid. (b) Konfigurieren Sie einen Web-Browser auf demselben Rechner so, dass er Ihren Squid als HTTP-Proxy verwendet. (c) Vergleichen Sie mit Wireshark den Datenverkehr (auf der Anwendungsschicht) beim direkten Aufruf einer Webseite mit dem Aufruf über den Proxy (sowohl auf dem Loopback-Interface lo als auch auf dem Netzwerkinterface zum Internet hin). Netzwerksicherheit Absichern von Netzwerken 12

13 Transportschicht-Proxies: SOCKS Proxies gibt es auch auf der Transportschicht Transportschicht-Proxies sprechen in der Regel das SOCKS-Protokoll [RFC 1928] Ursprünglich für TCP, inzwischen auch UDP Vorgehen mehr oder weniger wie erwartet: Client verbindet sich zum SOCKS-Proxy authentifiziert sich (falls gefordert) teilt dann mit, mit wem (Adresse, Port) er sprechen möchte Proxy baut die Verbindung auf bestätigt dem Client den erfolgreichen Verbindungsaufbau (oder sendet einen Fehlercode...) leitet danach alle Daten zwischen Client und Server unverändert durch SOCKS muss also (wie Anwendungsschicht-Proxies) vom Anwendungsprogramm unterstützt werden Netzwerksicherheit Absichern von Netzwerken 13

14 Paketfilter-Firewalls Die einfachste Form von Firewalls sind sog. Paketfilter Paketfilter arbeiten auf der Netzwerk- und Transportschicht (seltener auch: Sicherungsschicht) Idee: betrachte jedes Paket für sich wende nacheinander eine Reihe von Regeln an eine Regel überprüft zunächst, ob sie auf das Paket passt z. B. durch Vergleiche von Adressen, Portnummern, Sequenznummern, Flags usw. als Kriterium in Frage kommt hier alles, was im Netzwerkoder Transportschicht-Header steht wenn die Regel passt, wird eine Aktion ausgeführt meist: entweder Durchlassen oder Verwerfen des Paketes Netzwerksicherheit Absichern von Netzwerken 14

15 Paketfilter-Firewalls In diesem Netz soll die Firewall nur der Empfang und Versand von s per SMTP über den Mailserver ermöglichen. Wie könnten entsprechende Firewall-Regeln aussehen? Entwerfen Sie einen Regelsatz in Ihrer Gruppe. Sie haben 5 Minuten Zeit. Netzwerksicherheit Absichern von Netzwerken 15

16 Ganz kurz: SMTP SMTP ist das Protokoll zur Übermittlung von s im Internet Um eine Mail zuzustellen, wird zum zuständigen SMTP-Server eine TCP-Verbindung (Port 25) aufgebaut Darüber wird die Mail dann übertragen In unserem Beispiel müssen also durchgelassen werden: eingehende TCP-Verbindungen von außen zu Port 25 des Mailservers ausgehende TCP-Verbindungen zum Mailserver zu Port 25 auf anderen Rechnern jeweils einschließlich der Antwort-/ACK-Pakete Netzwerksicherheit Absichern von Netzwerken 16

17 Paketfilter-Firewalls Erlaubte Pakete müssen vom Mailserver kommen oder zum Mailserver laufen, TCP-Pakete sein und von Port 25 (SMTP) kommen oder an Port 25 gehen Ein Regelsatz könnte z. B. so aussehen: 1 Quelle= und Ziel-Port=25 durchlassen 2 Ziel= und Quell-Port=25 durchlassen 3 Ziel= und Ziel-Port=25 durchlassen 4 Quelle= und Quell-Port=25 durchlassen 5 sonst: verwerfen Netzwerksicherheit Absichern von Netzwerken 17

18 Linux iptables Der Linux-Kernel unterstützt mit dem iptables-framework schon seit langem die Verarbeitung von Firewall-Regeln Wird ein Linux-Rechner als Router eingesetzt, dann kann er auch als Firewall arbeiten iptables ist sehr mächtig (und deswegen auf den ersten Blick auch ein bisschen kompliziert) genauer hinschauen lohnt sich aber! In der Vorlesung: grober erster Überblick Für die praktische Übung: selbständig etwas tiefer einarbeiten [Andreasson: Iptables Tutorial. [Manpage zum Befehl iptables] Netzwerksicherheit Absichern von Netzwerken 18

19 iptables-grundlagen: Tables In iptables werden Regeln in mehreren unterschiedlichen Tables definiert Die Tables werden zu unterschiedlichen Zeitpunkten während der Verarbeitung eines Paketes im Kernel aktiv und haben unterschiedliche Zielsetzungen Für uns hier am wichtigsten: die filter-table Hauptzweck: Klassische Firewall Pakete durchlassen oder verwerfen Außerdem: mangle, nat und raw speziellere Aufgaben: Veränderungen an Paketen, NAT, Sonderbehandlung für bestimmte Pakete, Performance-Optimierungen,... Netzwerksicherheit Absichern von Netzwerken 19

20 iptables-grundlagen: Chains In jeder Table gibt es mehrere Chains Z. B. in der filter-table: INPUT: hier werden Pakete untersucht, die von außen kommen und an einen lokalen Prozess gerichtet sind OUTPUT: hier werden ausgehende Pakete von lokalen Programmen untersucht FORWARD: hier werden Pakete untersucht, die beim Routing durchgereicht werden Außerdem können benutzerdefinierte Chains zusätzlich angelegt werden Welche Chain benötigen wir (hauptsächlich) in unserem Mailserver-Beispiel? Netzwerksicherheit Absichern von Netzwerken 20

21 iptables-grundlagen: Regeln Beispiel Jede Chain besteht aus einer Folge von Regeln Eine Regel hat eine Menge von Kriterien, die erfüllt sein müssen, damit die Regel aktiv wird ( Match ) eine Aktion, die ausgeführt wird, falls die Regel zutrifft ( Target ) Regeln können mit dem Kommando iptables angelegt, gelöscht, verändert, angezeigt usw. werden iptables Table { }} { -t filter Kommando: Regel anfügen {}}{ -A -d p tcp --dport 25 } {{ } Match Chain { }} { FORWARD -j ACCEPT } {{ } Target Dieser Befehl fügt eine neue Regel ans Ende der FORWARD-Chain in der filter-table an. Netzwerksicherheit Absichern von Netzwerken 21

22 iptables-grundlagen: Matches und Targets Einige gängige Match-Kriterien: -s, -d: Quell- bzw. Ziel-IP-Adress(bereich) (z. B oder /16) -i, -o: ein- bzw. ausgehendes Interface (eth0, wlan0,...) -p: Transportschicht-Protokoll (tcp, udp, icmp,...) --sport, --dport: Quell- bzw. Ziel-Port dieser Test muss den Transportschicht-Header lesen und funktioniert natürlich nur bei Protokollen, die Ports kennen deswegen nur in Kombination mit z. B. -p tcp gültig! Die wichtigsten Targets: DROP: Paket verwerfen, Regelverarbeitung abbrechen ACCEPT: Paket annehmen, Regelverarbeitung abbrechen LOG: Systemprotokoll-Eintrag über das Paket erstellen, danach mit der Regelverarbeitung fortfahren auch möglich: benutzerdefinierte Chain als Target Vollständige Liste: iptables-dokumentation! Netzwerksicherheit Absichern von Netzwerken 22

23 iptables Beispiel Ein iptables-skript zum Setzen der FORWARD-Regeln für unseren Mailserver-Paketfilter könnte so aussehen: iptables -F FORWARD # alle Regeln in FORWARD löschen iptables -P FORWARD DROP # Paket verwerfen, wenn keine Regel passt iptables -A FORWARD -d p tcp --dport 25 -j ACCEPT iptables -A FORWARD -s p tcp --sport 25 -j ACCEPT iptables -A FORWARD -s p tcp --dport 25 -j ACCEPT iptables -A FORWARD -d p tcp --sport 25 -j ACCEPT (Wir müssen nicht jedesmal -t filter angeben, da filter die standardmäßig verwendete Table ist.) Netzwerksicherheit Absichern von Netzwerken 23

24 Betrachten wir nochmal das Netzwerk von vorhin: Jetzt sollen unsere internen Clients beliebige Verbindungen ins Internet aufbauen dürfen (von außen kommende Verbindungen zu den Clients sollen aber verboten bleiben!). Wie müssten entsprechende Regeln aussehen? Welches Problem ergibt sich? Netzwerksicherheit Absichern von Netzwerken 24

25 Probleme von Paketfiltern Problem: Im vorangegangenen Beispiel müssen wir Pakete mit beliebigen Quell- und Zielports von und an unsere internen Clients erlauben...also eigentlich alles Auch unser Mailserver-Beispiel hatte einen schweren Bug: ein Angreifer könnte eine Verbindung zu einem beliebigen Dienst (Port) auf dem Mailserver aufbauen, wenn er als eigene Quell-Portnummer 25 wählt! das verkaufen wir also besser keinem Kunden... Mögliche Abhilfe für TCP: SYN-Pakete nur von innen erlauben auch nicht wirklich überzeugend: man kann immer noch Pakete von außen durch die Firewall bringen Netzwerksicherheit Absichern von Netzwerken 25

26 Stateful Firewalls Die Firewall müsste wissen, ob ein Paket von außen eine Antwort auf ein zuvor von innen verschicktes ist Das kann man einem einzelnen Paket für sich genommen aber in der Regel nicht ansehen! Eine Stateful Firewall beobachtet deshalb die durch sie laufenden Verbindungen Enthält eine Tabelle existierender Verbindungen Jeder dieser Verbindungen ist ein Zustandswert zugeordnet, z. B. für eine TCP-Verbindung SYN gesendet, aber noch keine Antwort ( halboffen ) Verbindung von beiden Seiten bestätigt ( offen )... Es ist dann beispielsweise möglich zu entscheiden, ob ein Paket zu einer existierenden Verbindung gehört Netzwerksicherheit Absichern von Netzwerken 26

27 Stateful Firewalls Jetzt sollen unsere internen Clients beliebige Verbindungen ins Internet aufbauen dürfen (von außen kommende Verbindungen zu den Clients sollen aber verboten bleiben!). Entwickeln Sie in Ihrer Gruppe Regeln für eine Stateful Firewall! Sie haben 5 Minuten Zeit. Netzwerksicherheit Absichern von Netzwerken 27

28 Stateful Firewalls Wir müssen durchlassen: beliebige Pakete von innen nach außen Pakete von außen, die zu einer existierenden Verbindung gehören außerdem Pakete von außen, die an Port 25 unseres Mailservers gehen Netzwerksicherheit Absichern von Netzwerken 28

29 Stateful Firewalls mit iptables iptables unterstützt den Aufbau von Stateful Firewalls Wichtigstes Werkzeug: Match-Kriterium --state Zunächst mit -m state das State-Modul laden, danach --state in den Regeln verwenden Mögliche Zustandswerte: --state ESTABLISHED: Paket gehört zu einer vollständig und korrekt aufgebauten Verbindung --state INVALID: Paket gehört zu keiner vorhandenen Verbindung und sieht fehlerhaft/problematisch aus --state RELATED: Paket startet einen neue Verbindung, steht aber in Beziehung zu einer bereits existierenden --state NEW: erstes Paket einer Verbindung oder die Verbindung hat noch keine Pakete in beiden Richtungen gesehen Verbindung umfasst auch UDP-/ICMP-Kommunikation! Netzwerksicherheit Absichern von Netzwerken 29

30 Stateful Firewalls mit iptables Für unser Beispiel könnte ein (recht minimalistisches) Konfigurationsskript für die FORWARD-Chain so aussehen: iptables -F FORWARD iptables -P FORWARD DROP iptables -A FORWARD -m state --state INVALID -j DROP iptables -A FORWARD -s /24 -i eth1 -o eth0 -j ACCEPT iptables -A FORWARD -d i eth0 -o eth1 -p tcp \ --dport 25 -j ACCEPT iptables -A FORWARD -d /24 -i eth0 -o eth1 -m state \ --state RELATED,ESTABLISHED -j ACCEPT (Wir geben hier immer mit -i und -o das ein- und ausgehende Interface explizit an; dies hilft gegen Angriffe mit gefälschten IP-Adressen.) Netzwerksicherheit Absichern von Netzwerken 30

31 Hausaufgabe (Übungsblatt 5) Im auf der nächsten Seite abgebildeten Netzwerk sollen die Clients im internen Netz (nur) auf den Web-Proxy (TCP-Port 3128) und auf den Mail-Server (per SMTP und IMAP, TCP-Ports 25 und 143) zugreifen dürfen der Mailserver von außen per SMTP (TCP-Port 25) erreichbar sein und selbst SMTP-Verbindungen nach außen aufbauen können der Web-Proxy beliebige TCP-Verbindungen (alle Ports) nach außen aufbauen können die DNS-Namensauflösung (UDP und TCP Port 53) für Web-Proxy und Mailserver funktionieren (a) Entwickeln Sie (zunächst ohne bestimmte Syntax, also als Beschreibung in Stichworten) Regelsätze für die beiden Stateful Firewalls. (b) Schreiben Sie iptables-konfigurationsskripte für die FORWARD- Chains in den filter-tables. Netzwerksicherheit Absichern von Netzwerken 31

32 Netzwerkschema zur Hausaufgabe Netzwerksicherheit Absichern von Netzwerken 32

33 Zustand RELATED Der Zustand RELATED scheint etwas ungewöhnlich, denn er bedeutet, dass eine Verbindung neu ist... aber gleichzeitig mit einer bereits existierenden Verbindung zusammenhängt Dies tritt bei bestimmten Anwendungsprotokollen auf, die auf Anwendungsschicht den Aufbau zusätzlicher Verbindungen aushandeln Das bekannteste Beispiel ist die aktive Variante des FTP-Protokolls Die Firewall braucht also Anwendungswissen, um dies entscheiden zu können! Für einige gängige Anwendungsprotokolle (z. B. FTP) ist entsprechende Unterstützung für iptables verfügbar Netzwerksicherheit Absichern von Netzwerken 33

34 Stateful Firewalls: Vor- und Nachteile Erst mit Stateful-Regeln werden Firewalls mächtig genug für die meisten praktischen Einsatzbereiche Allerdings sind Stateful Firewalls auch sehr viel aufwändiger (= langsamer, CPU-intensiver) als reine Paketfilter In der Praxis werden Stateful Firewalls oft mit NAT-Mechanismen (Network Address Translation) kombiniert Das ist naheliegend: Beides benötigt eine Tabelle über den Zustand offener Verbindungen! iptables beispielsweise nutzt dieselbe Tabelle für NAT- und Stateful-Firewall-Mechanismen Netzwerksicherheit Absichern von Netzwerken 34

35 Erinnerung: Network Address Translation NAT versteckt die internen Adressen vor dem Internet Dafür ersetzt ein NAT-Router in ausgehenden Paketen die Quelladresse durch seine eigene...und in eingehenden Paketen dann die Zieladresse entsprechend (Wenn das nicht klar ist: bitte nachlesen!) Netzwerksicherheit Absichern von Netzwerken 35

36 NAT als Sicherheitsmechanismus? NAT ist ein Hack, um mit dem zu knappen Adressraum im Internet umzugehen Obwohl man das immer wieder hört und liest: NAT ist kein Sicherheitsfeature! Viele NAT-Router lassen viel mehr durch, als man denkt Eine gut und sinnvoll konfigurierte (Stateful) Firewall ist unverzichtbar egal, ob mit oder ohne NAT! Netzwerksicherheit Absichern von Netzwerken 36

37 Transparente Proxies Eine interessante Kombination von Firewall-Techniken und Proxies sind sogenannte Transparente Proxies Häufig vor allem für HTTP eingesetzt Idee: eine Firewall fängt ausgehende HTTP-Verbindungen ab...und leitet sie an einen speziellen HTTP-Proxy um (ersetzt Zieladdr.+Port) der Proxy tut so, als wäre er der Webserver aus den HTTP/1.1-Headern der Anfrage kann der Proxy ablesen, mit wem der Browser eigentlich sprechen wollte...und kann die entsprechenden Daten dann anfordern und an den Client ausliefern der Client merkt davon nichts! Netzwerksicherheit Absichern von Netzwerken 37

38 Host-basierte Firewalls Bisher haben wir Firewalls betrachtet, die als Geräte im Netzwerk arbeiten und Datenverkehr auf Basis der Informationen in den Netzwerkpaketen filtern Solche Firewalls können nicht entscheiden von welchem Programm/Prozess ein Paket erzeugt wurde von welchem Benutzer ein Paket kommt... Oft wollen wir aber zum Beispiel daran eine Entscheidung festmachen! Das geht nur mit Host-basierten Firewalls, die direkt auf den Endgeräten laufen Sollten wir Firewalls im Netzwerk oder Host-basierte Firewalls einsetzen? Wann immer möglich: Beides! Netzwerksicherheit Absichern von Netzwerken 38

39 Richtlinien für den Firewall-Entwurf Lieber erst mal zu wenig als zu viel erlauben zu wenig fällt auf, zu viel erst mal nicht! nie darauf verlassen, dass eine bestimmte Regel alles erwischt ( doppelt hält besser so viele Kriterien wie möglich nutzen!) Bewährtes Vorgehen in der Praxis: 1 Firewall zunächst so dicht wie möglich konfigurieren, nur das erlauben, was garantiert und unbedingt offen sein muss 2 Einsatz testen, verwendete Software ausprobieren 3 Geht nicht? Log-Dateien auf der Firewall überprüfen: Welche Pakete/Verbindungen wurden geblockt? 4 Nachdenken: Wäre es richtig und wichtig gewesen, die geblockten Pakete durchzulassen? 5 Wenn ja (und nur wenn keine Sicherheitsbedenken): Regeln entsprechend erweitern 6 zurück zu (2) Netzwerksicherheit Absichern von Netzwerken 39

40 Richtlinien für den Firewall-Entwurf (2) Niemals den eigenen Fähigkeiten zu sehr vertrauen es gibt viele gemeine Fallstricke im Detail auch unsere Beispiele in diesem Kapitel waren/sind sehr stark vereinfacht! es gibt viele gute Beispielkonfigurationen: lesen, verstehen, und an eigene Bedürfnisse anpassen Niemals anderen zu sehr vertrauen Beispiele sind gut, aber nur, wenn man sie nachvollzieht und nicht blind übernimmt keine Regeln und Konstruktionen einsetzen, die man nicht vollständig verstanden hat! So einfach wie möglich Komplexität erhöht die Fehlerwahrscheinlichkeit! Netzwerksicherheit Absichern von Netzwerken 40

41 Tools zum Untersuchen von Netzen und Firewalls Es gibt eine ganze Reihe von Werkzeugen zur Untersuchung von Netzwerken: zum Finden offener Ports zum Bestimmen von Eigenschaften des Rechners, Softwareversionen usw.... Diese Werkzeuge sind sehr mächtig und können erstaunlich detaillierte Informationen gewinnen Ausprobieren lohnt sich hier unbedingt aber nur mit eigenen Rechnern als Ziel! Netzwerksicherheit Absichern von Netzwerken 41

42 Port-Scanner: nmap Ein bekannter sogenannter Port-Scanner ist nmap Idee eines Portscanners: versuche Verbindungsversuche zu allen Ports erstelle so eine Liste erreichbarer Netzwerkdienste nmap ist darüber inzwischen deutlich hinausgewachsen unterschiedliche Verfahren zum Bestimmen offener Ports (z. B. Stealth Scans, die keinen vollständigen Verbindungsaufbau machen und so in vielen Logdateien nicht auftauchen) detaillierte Analyse des Verhaltens von Rechnern auf bestimmte Pakete (kann z. B. Rückschlüsse auf das Betriebssystem ermöglichen) Ermitteln von laufenden Programmen und ihren Versionen... [nmap-homepage, Netzwerksicherheit Absichern von Netzwerken 42

43 nmap: Beispiel $ nmap scanme.nmap.org Starting Nmap 5.21 ( ) at :14 CEST Nmap scan report for scanme.nmap.org ( ) Host is up (0.16s latency). Not shown: 993 filtered ports PORT STATE SERVICE 22/tcp open ssh 25/tcp closed smtp 53/tcp open domain 70/tcp closed gopher 80/tcp open http 113/tcp closed auth 31337/tcp closed Elite Nmap done: 1 IP address (1 host up) scanned in seconds (Praktisches Beispiel) Netzwerksicherheit Absichern von Netzwerken 43

44 Vulnerability-Scanner Noch einen Schritt weiter gehen Vulnerability-Scanner Solche Tools bringen eine Datenbank bekannter Sicherheitslücken mit Können so automatisiert testen, ob Rechner anfällig sind für bestimmte Exploits Bekannte Beispiele: nessus: Kommerzielle Software, aber frei für den rein privaten Einsatz zuhause OpenVAS: Freier nessus-fork W3AF: Freier Web Application Scanner metasploit: Weit verbreitet, Fokus auf exploits statt nur Erkennung Netzwerksicherheit Absichern von Netzwerken 44

45 Intrusion Detection Systeme Häufig möchte man erkennen, ob das eigene Netzwerk gerade angegriffen wird Idee: Beobachten des Netzwerkverkehrs Untersuchen auf bekannte Angriffsmuster Anomalien mitprotokollieren bei erkannten Angriffen: Alarm auslösen Intrusion Detection Systeme (IDS) Implementierung auf Endsystemen: Host IDS (HIDS) Implementierung als Packetsniffer: Network IDS (NIDS) Intrusion Prevention Systeme (IPS) IDS + direkter Eingriff in das Weiterleiten von Paketen [Bundesamt für Sicherheit in der Informationstechnik (BSI): Einführung von Intrusion-Detection-Systemen.] Netzwerksicherheit Absichern von Netzwerken 45

46 NIDS Funktionsweise Beobachten des Netzwerkverkehrs Stateless: Auf Basis einzelner Pakete Stateful: Auf Basis von Verbindungen/Sitzungen Analyse des Verkehrs ein NIDS besitzt eine Menge von Regeln einzelne Pakete, bzw. Verbindungen werden anhand dieser Regeln geprüft ähnlich zu Signaturen bei Anti-Viren Software Wenn Auffälligkeiten vorkommen Protokollieren Alarm auslösen (z. B. per ) bei IPS: Gegenmaßnahmen einleiten Netzwerksicherheit Absichern von Netzwerken 46

47 IDS-Architektur Ein IDS besteht typischerweise aus folgenden Komponenten: Netzsensoren: dedizierte Systeme, die den Netzwerkverkehr an einer Stelle des eigenen Netzwerkes überwachen Hostsensoren: Software auf einem produktiven Host, die den dort ankommenden Netzwerkverkehr überwacht IDS Management Station: Sammelstelle für die Daten der Sensoren, Auswertung der Daten von mehreren Sensoren Datenbank: Häufig werden viele Daten gesammelt, d. h. Verwenden einer Datenbank ist sinnvoll Netzwerksicherheit Absichern von Netzwerken 47

48 Platzierung von Sensoren Wo würden Sie Sensoren platzieren? Je nachdem, was man überwachen möchte, sind unterschiedliche Platzierungen sinnvoll Häufig verwendete Orte vor der ersten eigenen Firewall hier ist noch nichts gefiltert worden interessant, um den Kontext von Angriffen zu untersuchen in der DMZ im privaten Netzwerk auf wichtigen Hosts (z. B. Fileserver) Netzwerksicherheit Absichern von Netzwerken 48

49 IDS Anpassen Ein IDS muss an seine Umgebung angepasst werden Typische Entscheidungen, die zu treffen sind: tolerierbare Anzahl an Fehlalarmen akzeptabler Ressourcenverbrauch Wenn man dabei einen Fehler macht: Mailbox voll Netzwerkverkehr wird verzögert... oder teilweise nicht untersucht Bisher viel Erfahrung, Experimente nötig Aktuelle Forschung: automatisches Anpassen des IDS [Dreger, Feldmann, Paxson, Sommer: Predicting the Resource Consumption of Network Intrusion Detection Systems, Recents Advance in Intrusion Detection, Springer, 2008] Netzwerksicherheit Absichern von Netzwerken 49

50 Snort als Beispiel für ein NIDS Snort ist ein bekanntes Open-Source-NIDS Zwei für uns relevante Betriebsweisen: NIDS mode (über libpcap): beobachtet Netzwerkverkehr und erzeugt Warnungen anhand von Regeln Inline mode (über iptables): in den Netzwerkverkehr eingebunden, kann das Weiterleiten von Paketen unterbinden oder den Inhalt von Paketen verändern Wir betrachten hier den NIDS mode [Snort-Homepage. Netzwerksicherheit Absichern von Netzwerken 50

51 Snort Snort kann im NIDS Modus wie folgt gestartet werden:./snort -d -h /24 -l./log -c snort.conf -d loggen der Nutzdaten (nicht nur der TCP/IP Header) -h /24 Angabe des Heimatnetzes -l./log Verzeichnis für die Logdaten -c snort.conf Datei mit Regeln Netzwerksicherheit Absichern von Netzwerken 51

52 Snort Regeln Für jedes Paket überprüft Snort alle Regeln Trifft eine der Regeln zu, dann wird eine Aktion ausgeführt und das Paket in eine Logdatei geschrieben Eine möglich Aktion: Alert je nach Konfiguration: Ausgabe auf der Konsole Übergabe an einen Socket zur Weiterverarbeitung... Beispiel für eine Regel (Quelle: Snort-Handbuch) alert tcp any any -> / \ (content:" a5 "; msg:"mountd access"; \ sid: ; rev:1) Suche nach TCP-Paketen von beliebigen Adressen und Ports an /24:111 Überprüft ob darin die Bytes a5 vorkommen Falls ja: Löse einen Alert mit der Nachricht mountd access aus Netzwerksicherheit Absichern von Netzwerken 52

53 nmap & IDS: Hausaufgabe Hausaufgabe (Übungsblatt 5) (a) Scannen Sie Ihren eigenen Computer mit nmap, wenn möglich sowohl lokal als auch von einem anderem Computer aus. Welche UDP- und TCP-Ports sind aus welcher Sicht geöffnet? (b) In der VM unter ~/04-ids/ids.py oder unter finden Sie ein einfaches IDS. Testen Sie, ob das IDS eine Meldung beim Scan mit nmap ausgibt. Konfigurieren Sie nmap ggf. so, dass das IDS nicht anschlägt. Warum wählt nmap nicht immer die weniger auffallende Scan- Variante? (c) Finden Sie mit nmap die Python-Version heraus, auf der das IDS läuft. Scannen Sie nur eigene und explizit freigegebene Systeme! Netzwerksicherheit Absichern von Netzwerken 53

54 Standortübergreifende Kommunikation Angenommen eine Firma/Organisation/... betreibt mehrere Zweigstellen. Netzwerkkommunikation soll auch zwischen den Zweigstellen möglich sein. Wie können wir das erreichen? Netzwerksicherheit Absichern von Netzwerken 54

55 Lösung 1: Leitungen legen Eine Lösungsmöglichkeit: eigene Leitungen legen (oder Leitungen anmieten) Probleme: teuer nicht immer möglich Netzwerksicherheit Absichern von Netzwerken 55

56 Lösung 2: Internetanbindung verwenden Alternativer Ansatz: Firewalls so konfigurieren, dass Pakete von IP-Quelladressen der anderen Zweigstellen reindürfen Sehen Sie Probleme? (hoffentlich!) Bitte nicht so! Netzwerksicherheit Absichern von Netzwerken 56

57 Lösung 3: virtuelle Leitungen übers Internet Idee: Erfinde ein Paar von zusätzlichen, virtuellen Netzwerkkarten in Router in Zweigstellen A und B Über diese virtuellen Netzwerkschnittstellen verschickte Pakete landen nicht auf einem Übertragungsmedium, sondern in einer speziellen Software Diese Software verschlüsselt das Paket und schickt die so entstehenden Daten über das Internet an ihr Gegenstück in der anderen Zweigstelle Netzwerksicherheit Absichern von Netzwerken 57

58 Lösung 3: virtuelle Leitungen übers Internet Dort wird es entschlüsselt und wird danach über die dortige virtuelle Netzwerkkarte empfangen Statt einer physikalischen Leitung zwischen den virtuellen Netzwerkkarten wird also eine Verbindung über ein anderes Netzwerk als Übertragungsmedium verwendet So eine Verbindung nennt man Tunnel, das Konzept heißt Virtual Private Network (VPN) Netzwerksicherheit Absichern von Netzwerken 58

59 Routing über VPNs Wie könnte im oben abgebildeten Netzwerk die Routing-Tabelle der Firewall am Standort A aussehen? Ziel Gateway Interface /16 - eth /24 - tun / tun0 default eth0 Netzwerksicherheit Absichern von Netzwerken 59

60 Umsetzung von Tunneln/VPNs Es gibt sehr viele Möglichkeiten, Tunnel bzw. VPNs technisch zu realisieren Das Prinzip ist immer ähnlich, die Details z. T. sehr verschieden Unterschiede gibt es z. B. bei dem Protokoll, über das der Tunnel läuft den verwendeten Verfahren für Verschlüsselung und Authentifizierung werden Sicherungs- oder Netzwerkschicht-Pakete getunnelt? Möglichkeit der Kommunikation mit einer einzelnen oder mit mehreren Gegenstellen Preis... Netzwerksicherheit Absichern von Netzwerken 60

61 Layer-2- vs. Layer-3-Tunnel Bisher hatten wir angenommen, dass über den Tunnel IP-Pakete übertragen werden Der Tunnel verhält sich dann also wie ein eigenes IP-Netzwerksegment man spricht von einem Layer-3-Tunnel bzw. einem IP-over-xyz-Tunnel, wenn IP-Pakete innerhalb von Paketen des Protokolls xyz übertragen werden Man kann statt IP-Paketen aber genausogut auch z. B. Ethernet-Rahmen verschicken in der gängigen Terminologie wäre das also ein Layer-2- bzw. Ethernet-over-xyz-Tunnel Solch ein Tunnel würde sich verhalten wie ein Ethernet-Link zwischen zwei Switches oder Bridges Netzwerksicherheit Absichern von Netzwerken 61

62 Tunnel-Transportprotokolle Der Begriff Layer-2-Tunnel bzw. Layer-3-Tunnel sagt aus, was innerhalb der Tunnel-Pakete übertragen wird Aber worin sollte man die übertragenen Pakete verpacken? Sie sollen einen Tunnel zwischen zwei Standorten A und B aufsetzen. Über was für eine Verbindung schicken Sie die (verschlüsselten) Pakete von A nach B? (Oder anders: In was für eine Hülle stecken Sie ihre verschlüsselten Pakete?) Netzwerksicherheit Absichern von Netzwerken 62

63 Tunnel-Transportprotokolle: TCP vs. UDP Betrachten wir die möglichen Kandidaten TCP und UDP (es gibt noch mehr!) TCP hat Zuverlässigkeitsmechanismen (Daten kommen sicher an) Überlastkontrolle UDP hat beides nicht Was sollten wir also verwenden? Besser: UDP! Warum? Zuverlässigkeit und Überlastkontrolle wird ja schon von den Protokollen, die durch den Tunnel laufen, erledigt soweit diese das benötigen! Netzwerksicherheit Absichern von Netzwerken 63

64 Interaktionen bei TCP-über-TCP-Tunneling Angenommen, ein TCP-Datenstrom läuft durch einen TCP-basierten Tunnel dann wird ein TCP-Strom (mit AIMD-Überlastkontrolle) über eine Leitung geleitet, deren Kapazität selbst von einem weiteren AIMD-Überlastkontrollmechanismus über die Zeit verändert wird das Ergebnis sind (fiese!) Interaktionen zwischen den beiden Überlastkontrollmechanismen......und in der Praxis % weniger Durchsatz! Trotzdem tunneln erschreckend viele praktische VPN-Lösungen die Daten über eine TCP-Verbindung... Netzwerksicherheit Absichern von Netzwerken 64

65 Praktisch häufig eingesetzte Tunnel-Lösungen Einige gängige VPN-Tunnel-Lösungen sind z. B.: OpenVPN (platformübergreifend, Tunnel über TCP oder UDP, sehr flexibel) IPSec (ist ein eigenes Protokoll oberhalb von IP) Tunneln von IP-Paketen über SSH, SSL- oder TLS-verschlüsselte TCP-Verbindungen (z. B. mit OpenSSH) Point-to-Point Tunnelling Protocol (PPTP) (TCP-Kontrollverbindung plus GRE-Tunnel für die Daten) meist in Verbindung mit MPPE (Microsoft Point-to-Point Encryption) für die Verschlüsselung... Netzwerksicherheit Absichern von Netzwerken 65

66 Exkurs: DNS-Tunnel Das Tunneln von IP-Datenverkehr ist nicht nur über TCP oder UDP möglich Es ist genauso denkbar, die Daten in ein Anwendungsschichtprotokoll zu packen Besonders originell: IP-Tunnel über DNS speziell präparierter DNS-Client (= Tunnel-Endpunkt) verpackt IP-Datagramme in DNS-Hostnamen in einer speziellen Domain der für die Domain zuständige DNS-Server (= anderes Ende des Tunnels) packt sie aus den eingehenden Anfragen wieder aus Pakete in die andere Richtung werden in die DNS-Antwortnachrichten hineincodiert Netzwerksicherheit Absichern von Netzwerken 66

67 Exkurs: DNS-Tunnel (2) Kommunikation über einen DNS-Tunnel zwischen dem Client und dem präparierten DNS-Server funktioniert, sobald der Client DNS-Hostnamen auflösen kann Wofür ist sowas gut? DNS-Datenverkehr zum betreibereigenen DNS-Server wird fast überall durchgelassen (auch von restriktiven Firewalls, kommerziellen Internet-Hotspots vor dem Bezahlen,...) damit lassen sich also Sicherheitsrichtlinien häufig unterwandern Implementation: iodine ( Und wieder einmal lernen wir: Vertraue niemals darauf, dass Sicherheitsmechanismen immer zuverlässig greifen! Netzwerksicherheit Absichern von Netzwerken 67

68 Hausaufgabe (Übungsblatt 6) Über einen DNS-Tunnel wird eine Webseite aufgerufen. Die getunnelten Pakete werden an einer Stelle über einen Ethernet- Link übertragen. Sie fangen dort eine der DNS-Nachrichten ab. (a) Welche Protokolle (Header) sind in welcher Reihenfolge in dem Paket vorhanden? (b) Wenn der Tunnel verschlüsselt ist: Welche Teile der Nachricht können Sie lesen, welche sind verschlüsselt? Netzwerksicherheit Absichern von Netzwerken 68

69 Schutz vor Denial of Service (DoS) Angriffen Ziel eines DoS-Angriffs: Verhindern, dass Ressourcen genutzt werden können! Wie würden Sie als Angreifer vorgehen? Welche Ressource würden Sie angreifen? Wie würden Sie einen Angriff realisieren? Was könnte man ausnutzen? Netzwerksicherheit Absichern von Netzwerken 69

70 Ziele von DoS-Angriffen Typische Ziele eines DoS-Angriffs: Netzwerk oder Systeme überlasten Systeme zum Absturz bringen Systeme manipulieren (z. B. Routingtabellen) Systeme dauerhaft beschädigen (PDoS = Permanten DoS) Jetzt: nur Angriffe, die Netzwerke/Systeme überlasten Alles andere: analog zu Kapitel 2 Netzwerksicherheit Absichern von Netzwerken 70

71 DoS Grundlagen Was zeichnet einen guten DoS-Angriff aus? Ziel des DoS-Angriffs: Erzeugen von Überlast bei minimaler Auslastung eigener Ressourcen möglichst schwer zu identifizieren möglichst schwer zu blockieren Mögliche Vorgehensweisen asymmetrischen Ressourcenverbrauch ausnutzen eigene Ressourcen vergrößern (Botnetze schon betrachtet) mehr Ressourcen als das Opfer besitzen (nicht weiter betrachtet) Netzwerksicherheit Absichern von Netzwerken 71

72 DoS durch asymmetrischen Ressourcenverbrauch Alle Operationen, die beim Opfer mehr Ressourcen verbrauchen als beim Angreifer, können verwendet werden! Drei im Folgenden betrachtete Beispiele SYN Flood Smurf Attack DNS Amplification Netzwerksicherheit Absichern von Netzwerken 72

73 SYN Flood Das Opfer: Server, der auf eingehende TCP Verbindungen wartet Der Angriff: sende ein SYN-Paket an den Server ignoriere die Antwort wiederhole dies häufig Warum ist dies ein guter DoS-Angriff? Netzwerksicherheit Absichern von Netzwerken 73

74 SYN Flood Der Effekt: der Server muss eine zunehmende Zahl halboffener Verbindungen verwalten dafür werden Ressourcen (mindestens Speicher) benötigt der Angreifer muss sich gar nichts merken: Asymmetrie! als Resultat werden TCP-Verbindungen von anderen Clients abgewiesen Alternative Variante: zufällige Absenderadresse beim Senden des SYN verschleiert die Identität macht das Filtern von Angriffen schwerer Was kann man dagegen tun? Netzwerksicherheit Absichern von Netzwerken 74

75 SYN-Cookies Was muss sich der Server bei einer halboffenen Verbindung merken? eindeutige Kennzeichnung der Verbindung IP-Adressen von Client und Server Portnummer von Client und Server Zeitpunkt des SYN-Empfangs Löschen des Eintrags, wenn für eine bestimmte Zeit keine Antwort kommt MSS (Maximum Segment Size) für die Verbindung initiale Sequenznummer der Gegenseite Idee: Server merkt sich diese Informationen nicht!...sondern schickt sie als Cookie an den Client der Client schickt sie dann mit dem ersten ACK zurück Wie kommt das Cookie zum Client und zurück, ohne eine neue TCP-Version auf der Clientseite vorauszusetzen? Netzwerksicherheit Absichern von Netzwerken 75

76 SYN-Cookies Das einzige Datenfeld, welches der Server bei einem SYN-ACK frei wählen kann, ist seine initiale Sequenznummer Idee: Cookie in der initialen Sequenznummer des Servers codieren 5 Bit: Zeitstempel mod 32 Uhrzeit darf sich nur langsam erhöhen (typisch: 1 Tick alle 64 Sekunden) 3 Bit: MSS 24 Bit: Kryptographischer Hash über IP Adressen von Client und Server Port Nummer von Client und Server Zeitstempel mod 32 Client schickt diese Informationen automatisch mit seinem ersten ACK zurück der um eins erhöhte Wert steht im ACK-Nummernfeld Netzwerksicherheit Absichern von Netzwerken 76

77 SMURF-Angriff Früher haben Router gerichtete Broadcasts per Standardeinstellung weitergeleitet. Ein gerichteter Broadcast ist ein IP-Paket mit einer besonderen Zieladresse: diese muss eine gültige Broadcast-Adresse für ein Subnetzwerk sein, welches nicht das Subnetzwerk des Absenders ist. Außerdem haben Hosts auf ICMP-Echo-Request-Pakete geantwortet, die sie per Broadcast empfangen haben. Entwickeln Sie, basierend auf diesen Informationen, einen guten DoS-Angriff. Sie haben 5 Minuten Zeit. Netzwerksicherheit Absichern von Netzwerken 77

78 SMURF-Angriff Vorgehen bei einem SMURF-Angriff: schicke ICMP-Echo-Request-Pakete als gerichteten Broadcast verwende als Absendeadresse die IP Adresse des Opfers Dies ist ein sogenannter Reflection-Angriff der Angreifer kommuniziert nicht direkt mit dem Opfer Die ausgenutzen Systeme nennt man auch Amplifier sie verstärken den Angriff um ein Vielfaches Schutz vor SMURF-Angriffen gerichtete Broadcasts nicht weiterleiten Firewalls, Ingress Filtering nicht auf ICMP-Pakete antworten, die per Broadcast empfangen werden Netzwerksicherheit Absichern von Netzwerken 78

79 DNS Amplification Angreifer wollen Ziel mit Paketen fluten Aber: Angreifer-Bandbreite ist auch beschränkt! Darum: Angriff verstärken Z.B. bei Attacke auf Spamhaus verwendet (2013, 10 GB/s) [Deep Inside a DNS Amplification DDOS Attack, deep-inside-a-dns-amplification-ddos-attack] Netzwerksicherheit Absichern von Netzwerken 79