Computer-Sicherheit WS 06/07 Kapitel 6: Sicherheitsmechanismen

Transkript

1 Seite 1 Computer-Sicherheit WS 06/07 Kapitel 6: Sicherheitsmechanismen

2 Folie 2 Überblick Sicherheitsmechanismen 1. Sicherheits-Richtlinien Was verstehe ich unter sicher? Entwicklung und Umsetzung von Sicherheits-Richtlinien 2. Host Security Wie kann ich einen Rechner absichern? Installation und OS Hardening Lokales Scanning (nessus) Sichere Systeme (SELinux) 3. Netzwerk Security Wie sichere ich Netzwerke ab? Firewalls (iptables) Intrusion Detection Systeme (snort, honey pots) Penetration Testing 4. User Security Wie schütze ich meine Benutzer vor sich selbst? 5. Programm Security Wie entwickle ich sichere Programme?

3 Folie 3 Sicherheits-Richtlinien (1) Beschreibt den Sicherheitsanspruch eines Systembetreibers Ziel: Erreichen der in den Sicherheits-Richtlinien definierten Sicherheitsziele Sicherheitsrichtlinien müssen alle Bereiche der Sicherheit regeln Formale Definitionen [aus Bishop Computer Security ] A security policy is a statement that partitions the states of the system into a set of authorized, or secure, states and a set of unauthorized, or non-secure, states. A secure system is a system that starts in an authorized state and cannot enter an unauthorized state. A security mechanism is an entity or procedure that enforces some part of the security policy Unterschiedliche (Haupt-)Ziele bestimmen die Policy Vertraulichkeit (z.b. beim Militär) Integrität (z.b. Banktransaktionen) Verfügbarkeit (z.b. ISP)

4 Folie 4 Sicherheits-Richtlinien (2) Aspekte bei der Erstellung von (top-level) Sicherheits-Richtinien [nach BSI Grundschutz Katalog] Stellenwert der IT-Sicherheit und Bedeutung der IT für die Institution IT-Sicherheitsziele und Bezug der IT-Sicherheitsziele zu den Geschäftszielen und Aufgaben der Institution Kernelemente der IT-Sicherheitsstrategie Leitungsebene dokumentiert, dass IT-Sicherheitsleitlinie von ihr getragen und durchgesetzt wird Leitaussagen zur Erfolgskontrolle geben Beschreibung der für die Umsetzung des IT-Sicherheitsprozesses etablierten Organisationsstruktur Bekanntgabe der Sicherheits-Richtlinie und Schulung der Mitarbeiter Kontinuierliche Anpassung

5 Folie 5 IT-Sicherheitskonzept Umsetzung der Sicherheits-Richtlinien [z.b. nach BSI Standard 100-2] Geltungsbereich innerhalb eines IT-Verbundes Bezug auf Fachaufgaben, Geschäftsprozesse oder Oranisationseinheiten Umfasst infrastrukturelle, organisatorische, personelle und technische Komponenten Beschreibung der zu schützenden Informationen und Geschäftsprozesse (technische Komponenten, IT-Anwendungen, verarbeitete Informationen, räumliche Infrastruktur, Vernetzung, etc.) Risikobewertung Gefährdungen und Risiken Mögliche Schäden Auswirkungen auf die Geschäftstätigkeit oder Aufgabenerfüllung Identifikation konkreter IT-Sicherheitsmaßnahmen Analyse der existierenden bzw. noch zu treffenden Maßnahmen durch Sicherheitsprüfung Umsetzungsplan Priorisierung unter Berücksichtigung von Abhängigkeiten und kritischen Maßnahmen Zeitplanung Festlegung der Verantwortlichkeit für Initialisierung, Umsetzung und Kontrolle Notwendige Ressourcen (Geld, Personal, ) Gegebenenfalls externe Zertifizierung/Review Kontinuierliche Anpassung

6 Folie 6 Sicherheitsstrategien Klassische Entwicklung in einer Organisation: Keine Sicherheitsstrategie Security through Obscurity Host-/System-Security Network-Security Kombinationen der letzten drei sinnvoll

7 Folie 7 Security through Obscurity Verstecken von Sicherheitsmängeln hat noch nie funktioniert Aber es macht dem Angreifer das Leben etwas schwerer Keine alleinige Alternative zu echter Sicherheit Beispiel: LAVC Protokoll VMS Hack Reverse Engineering oder Angriffe gesetzlich verbieten?

8 Folie 8 Host-Security (1) Absichern jedes einzelnen Hosts Sehr zeitintensiv Für große Anzahl von Systemen nicht zu realisieren Einschränkungen für Benutzer Querbeziehungen zwischen Systemen Trotzdem notwendig: Schutz vor internen Angriffen Insider Malware Anforderungen der Anwendung Web-Applikation DB Server Bequemlichkeit der Benutzer Single-Sign-On Lösungen

9 Folie 9 Host-Security (2) Saubere Grundinstallation Arbeiten als eingeschränkter User (!root) Nur das Nötigste wird installiert/aktiviert OS-Hardening Skripte/Anleitungen für viele Unix Derivate Bastille Linux (

10 Folie 10 Host-Security (3) Sichere Add-on Software: Bessere Zugangskontrolle (z.b. tcp_wrapper & identd, s/key) Verschlüsselung (z.b. ssh statt telnet) Sicherere Alternativen zu OS (z.b. HP Trusted Linux, SELinux ) Virenscanner, Spyware-Detection/-Removel, Personal Firewalls (?) Überprüfen (lokales / Netzwerk Auditing) Security Local Audit Daemon (SLAD) Microsoft Security Baseline Analyzer Nessus (seit Version 3 nicht mehr GPL, freie Ableger) BOSS (BSI OSS Security Suite, enthält nessus und SLAD)

11 Folie 11 Windows Host-Security Replace with Unix ;-) Automatische Updates Aktuellen Virenscanner Integrierte Firewall Personal Firewall Diskussion OS Hardening Windowsdienste abschalten Nicht als Admin arbeiten (c t 15/04, 18/04, Vista) Vista User Account Control (UAC) Integrity Levels bei Benutzer Prozessen Windows Defender (Spyware Control) Verbesserungen in IE 7 (z.b. Phishing Schutz) Address Space Layout Randomization Laden von Binaries an zufällige Adressen (256 Möglichkeiten) XOR von Funktionszeigern, Heap Metadaten Heap Checksums Kernel Patch Protection (Patch Guard) Data Execution Prevention

12 Folie 12 Security Enhanced Linux (1) Zitat des NSA Security-enhanced Linux Team: NSA Security-enhanced Linux is a set of patches to the Linux kernel and some utilities to incorporate a strong, flexible mandatory access control (MAC) architecture into the major subsystems of the kernel. It provides a mechanism to enforce the separation of information based on confidentiality and integrity requirements, which allows threats of tampering and bypassing of application security mechanisms to be addressed and enables the confinement of damage that can be caused by malicious or flawed applications. It includes a set of sample security policy configuration files designed to meet common, general-purpose security goals. (Update: SELinux ist mittlerweile Bestandteil der 2.6 Kernels, Patches sind damit überflüssig)

13 Folie 13 Security Enhanced Linux (2) Via Linux Security Modul (LSM) in den Kernel integriert

14 Folie 14 Security Enhanced Linux (3) Mandatory Access Control Type Enforcement Subjekte und Objekte erhalten Security Labels Zentrale Security Policy bestimmt Zugriffe Process Sandboxing Prozesse werden Domänen zugeordnet Festlegung, welche Objekte eine Domäne zugreifen darf Policy Types Targeted: nur bestimmte Prozesse in eingeschränkten Domänen, Rest in unconfined_t Strict: Eigene Domäne pro Programm/User Enforcing oder Permissive Mode Enforcing: setzt durch Permissive: logged lediglich Daneben Role-based Access Control (RBAC) Multi-Level/Category Security (MLS/MCS) später

15 Folie 15 Security Enhanced Linux (4) Files werden mit Security-Labels getagged Aufbau <SELinux User-Identität>:<Rolle>:<Type oder Domäne> Ersten beiden Felder: RBAC Letztes Feld: TE (Objekt: Type, Prozess: Domäne) Beispiel # ls lz /var/www/htdocs/index.html -rw-r r-- root root system_u:object_r:httpd_sys_content_t / /index.html # ps AZ grep httpd system_u:system_r:httpd_t 4854? 00:00:00 httpd system_u:system_r:httpd_t 4856? 00:00:00 httpd system_u:system_r:httpd_t 4857? 00:00:00 httpd Policies regeln den Zugriff # cat /etc/selinux/targeted/src/policy/policy.conf allow httpd_t httpd_sys_conent_t:file { getattr read write append } Verschiedene Objektklassen (file, link, device, socket) und Zugriffsrechte pro Klasse (z.b. ioctl, lock, relabelfrom, unlink, )

16 Folie 16 Security Enhanced Linux (5) Weitere Möglichkeiten: Rollen Konfigurationdatei users legt mögliche Rollen fest user user_u roles { user_r }; user fkargl roles { user_r staff_r sysadm_r } user root roles { sysadm_r staff_r secadm_r } Auswahl der Rolle bei Login oder über newrole Anwendungsbeispiel: Beschränkung der Möglichkeiten des Superusers # cat /etc/selinux/targeted/src/policy/policy.conf role sysadm_r types ping_t; domain_auto_trans(sysadm_t, ping_exec_t, ping_t) # id Z root:staff_r:sysadm_t # ping bash: /bin/ping: Keine Berechtigung # newrole r sysadm_r Password: **** # ping PING ( ) 56(84) bytes of data.

17 Folie 17 Security Enhanced Linux (6) Weitere Möglichkeiten: Multi Category Security (MCS) Zusätzliches Feld im Security Label: eine oder mehrere Kategorien Beispiele: IT-Abteilung, Management, Verkauf Category c0 - c255 Multi Level Security (MLS) Kategorien plus zusätzliche Schutzstufen Sensitivity s0-s15 No Read Up, No Write Down Mögliche Anwendungen $ lpr -P ReceptionistPrinter /opt/patients/fkargl.pdf Error: You are not allowed to print this doc on ReceptionistPrinter $ lpr -P LabTech /opt/patients/fkargl.pdf <printing> $ mail S Company Secrets bill@microsoft.com < companysecrets.doc Error: You are not allowed to send this document to domain microsoft.com

18 Folie 18 Informationsquellen zu Host Security Herstellerinfos Weitere Informationsquellen: Viele weitere Listen: SELinux ix SELinux-Tutorial ix 8-10/2006

19 Folie 19 Netzwerk-Security (1) Host Security kann bei einer großen Anzahl von Systemen (mit verschiedenen Admins, Anwendungen, Vertrauensbeziehungen...) nur schwer realisiert werden. Die Zone of Risk umfasst das gesamte Netzwerk Internet LAN

20 Folie 20 Netzwerk-Security (2) Bei der Installation einer Firewall verringert man den unmittelbar gefährdeten Bereich auf ein einzelnes System (oder eine kleine Gruppe von Systemen): die Firewall Internet Firewall LAN

21 Folie 21 Netzwerk-Security (3) Weitere Komponenten von Netzwerk-Security Intrusion Detection / Reaction Systeme Schutz des Netzwerkzugangs und der aktiven Netzwerkkomponenten Management von routers, switches etc. Physikalischer Zugang zu Ports, Schränken etc. Überwachung z.b. mit arpwatch Content-Security Automatische Virenfilter für s, am Web-Proxy, etc. Automatische Verschlüsselung von s, etc. Wireless Security, Mobilgeräte, etc.

22 Folie 22 Firewalls (1) Was ist eine Firewall? Eine Netzwerkkomponente, welche mindestens zwei Netzwerksegmente voneinander trennt und dabei den Netzwerkverkehr gemäß einer Sicherheitsrichtlinie kontrolliert und gegebenenfalls unerwünschte Kommunikation unterbindet. Wozu dient eine Firewall? Schafft klar definierten Zugangspunkt für Verbindungen von extern Schafft klar definierten Zugangspunkt für Verbindungen von intern Setzt Security-Policy bzgl. Netzwerkdatenverkehr um

23 Folie 23 Weitere Möglichkeiten bei Firewall Einsatz Logging und Accounting der Internet-Aktivitäten Wer greift wann auf was zu? (Datenschutz beachten) Authentifizierung von und Rechtevergabe an einzelne Mitarbeiter Wer darf wann auf welche Dienste zugreifen? Bessere datenschutzrechtliche Kontrolle Wie können personenbezogene Daten mein Netz verlassen? Virus-/Java-/ActiveX Filter für s, HTTP, Zentrales Filtering an einer Stelle mit garantiert aktuellen Signaturen Umgehung des Filters durch ungewöhnliche Kompressionsverfahren, etc. möglich Inhaltsfilter Scannen auf Zieladressen, Schlüsselworte, Great Firewall of China Vortrag beim 23C3 [ Network Address Translation Adressumsetzung zwischen privaten und öffentlichen Adressen Anti-Spoofing Regeln entfernen Pakete mit gefälschten oder Broadcast-Adressen VLAN Gateway

24 Folie 24 Firewalls (2) Eine Firewall ist mehr als nur ein Rechner oder ein Stück Software! Zu einer Firewall gehören z.b.: Sicherheitsrichtlinien (Security Policy) Router Paketfilter Circuit Level Gateways Application Level Gateways Fortgeschrittene Authentisierungsmaßnahmen Mechanismen für Logging, Authentisierung, uvm. Firewall-System

25 Folie 25 Firewall Security Policy Basis Policy Default-Deny Zugriff ist generell verboten, sofern er nicht explizit in der Security Policy erlaubt wird Nur wirklich benötigte Dienste werden freigegeben Default-Allow Zugriff ist generell erlaubt, sofern er nicht explizit in der Security Policy verboten wird Gefährliche Dienste werden gesperrt Diskussion Nachteil Default-Allow Woher weiß der Administrator, was unsicher ist und gesperrt werden soll? Nachteil Default-Deny Benutzer sind evtl. verärgert, weil sie Anwendungen nicht frei nutzen können Freischaltung neuer Dienste und Anwendungen aufwändig Aufgabe Diskutieren Sie Vor- und Nachteile der Firewall-Policy an der Uni Ulm Infos:

26 Folie 26 Filterung des Netzwerkverkehrs Network-level Filtering Layer 3: Filterung auf Basis von IP Paketen (Sender/Empfänger) Layer 4: zusätzliche Filterung auf Basis von UDP/TCP Ports und Richtung des Verbindungsaufbaus (SYN/ACK Flags) bei TCP Application-level Filtering Proxies Deep Packet Inspection (s.u.)

27 Folie 27 Paketfilter (1) Einfache Paketfilter (Shallow Paket Inspection) Regeln basieren auf Protokollen, IP Adressen, Port Nummern und Richtung des Verbindungsaufbaus bei TCP (SYN-Flag auswerten) Kann jeder Router Extrem schnell implementierbar TCP TCP / / UDP UDP IP / ICMP IP / ICMP INTERNET Regeln Regeln Port-Numern Port-Numern IP-Adressen IP-Adressen Paketfilter LAN

28 Folie 28 Weitere Arten der Paketfilterung Stateful Inspection Zusätzliche Kenntnis des Verbindungszustand in der Firewall Identifikation von Paket Flows Beispiele Aufgebaute TCP Verbindungen UDP Verbindungen Zusammenhängende FTP Kontroll- und Datenverbindung Deep Packet Inspection (DPI) Arbeitet bis OSI Layer 7 Betrachtet auch die jeweiligen Anwendungsprotokolle in den Paketen Beispiele Nur bestimmte HTTP Methoden oder URLs erlaubt s an bestimmte Domain verboten

29 Folie 29 Application Gateway / Proxy Server Regeln basieren auf Diensten, Protokollen, Benutzerauthentisierung, Zielen und Richtung Einfache Form: TCP Circuit Level Gateway (z.b. SOCKS) Proxies Proxies / / Relays Relays ftp-proxy ftp-proxy telnet-proxy telnet-proxy http-proxy http-proxy smtp-relay smtp-relay dns-relay dns-relay TCP TCP / / UDP UDP IP IP / / ICMP ICMP INTERNET Regeln Regeln Benutzer Benutzer Ports Ports IP-Adressen IP-Adressen LAN Firewall

30 Folie 30 Vor- und Nachteile einzelner Ansätze Paket Filter In vielen Routern verfügbar + Vollständig transparent, unabhängig vom Benutzer + Hohe Geschwindigkeit - Keine user-basierte Authentifizierung - Schlechte Logging Möglichkeiten - Filter Regeln oft schwer festzulegen - Manche Protokolle lassen sich schlecht filtern (z.b. ftp, http) Verbesserung: stateful inspection - Keine Interpretation des Datenstroms Verbesserung: DPI

31 Folie 31 Vor- und Nachteile einzelner Ansätze Application Layer Gateways / Proxies + Default Deny automatisch realisiert: Was nicht explizit erlaubt wurde, ist verboten + Authentifizierung mit Username und Passwort möglich + Autorisierung für jeden Benutzer getrennt festlegbar + Interpretation von Kommandos und des Datenstroms möglich + Detailliertes Logging + Filter Regeln komfortabel festlegbar - Der Verbindungsaufbau ist für den Benutzer nicht transparent - Für jeden Dienst wird ein eigener Proxy Server benötigt - Geringere Geschwindigkeit

32 Folie 32 Firewall Architekturen (1) Typische Firewall Architekturen Packet Filtering Router Heute vorwiegend im Heimbereich (z.b. DSL Router) oder bei kleinen Firmen Screened Host Dual-homed Host Gängige Firmenkonfigurationen Screened Subnet Mehrstufiges Firewall-System Firmen mit komplexen Internet-Systemen

33 Folie 33 Packet Filtering Router Internet Packet Filtering Router Firewall

34 Folie 34 Screened Host Application Gateway De-Militarisierte Zone (DMZ) Internet Screening Router Firewall

35 Folie 35 Dual-Homed Host Internet Dual-Homed Host Firewall

36 Folie 36 Screened Subnet Application Gateway De-Militarisierte Zone (DMZ) Internet Exterior Router Interior Router Firewall

37 Folie 37 Mehrstufiges Firewall System (Beispiel) External Servers (SMTP, DNS, WWW) DMZ Server Remote-Access (DB, (VPN, Dial-In) Content Filter) Internet Exterior Router Intermediate Router Firewall Interior Router Externe DMZ Interne DMZ

38 Folie 38 Firewall Architekturen (2) Weitere Aspekte beim Aufbau eines Firewall Systems Logging und Auditing Administrativer Zugriff Offene Probleme beim Einsatz von Firewalls Eingeschränkter Zugriff legitimer Benutzer Kein Schutz vor Insider-Attacken Keine Kontrolle von Hintertüren (z.b. Modems, WLANs, ) evtl. Akzeptanzprobleme

39 Folie 39 IP Tables (1) Paketfilter-Architektur von Linux netfilter: beliebige Manipulationen von Netzwerk-Paketen im Linux- Kernel z.b. neue Header hinzufügen/entfernen MANET Routingprotokolle iptables: Basiert auf Netfilter Pakete filtern (Firewall) Network Address Translation (NAT, Masquerading) Pakete modifizieren ( mangle )

40 Folie 40 IP Tables Architektur Interface (eth0, ppp0, ) PREROUTING mangle, nat INPUT mangle, filter An lokalen Proz.? Lokaler Prozess FORWARD mangle, filter OUTPUT mangle, nat, filter <CHAIN> <tables> POSTROUTING mangle, nat Interface (eth0, ppp0, )

41 Folie 41 IP Tables: Chains und Tables Chains: wann wird gefiltert? PREROUTING: alle eingehenden Pakete INPUT: Pakete an diesen Host OUTPUT: Pakete von diesem Host FORWARDING: Pakete, die nur weitergeleitet werden POSTROUTING: alle ausgehenden Pakete User-defined Chains Tables: wie wird gefiltert? filter: Firewall Funktion nat: Network Address Translation mangle: Veränderungen an Paketen, z.b. für QoS

42 Folie 42 IP Tables Konfiguration (1) Kommando iptables Zur Manipulation der Kernel Tabellen iptables [-t table] <command> <chain> <match> -j <target> <command>: Hinzufügen, Löschen, von Regeln <chain>: Welche Chain ist betroffen? <match>: Für welche Pakete gilt die Regel? <target>: Was passiert mit diesen Paketen?

43 Folie 43 IP Tables Konfiguration (2) <command> -A add, -I insert, -D delete, -L list, -F flush <chain> PREROUTING, INPUT, OUTPUT, FORWARD, POSTROUTING <match> -s <ip>, -d <ip>, -sport <port>, -dport <port>, -p <prot>, -i <if> Erweiterbar mit Modulen (-m <module>) <target/jump> filter: ACCEPT, DROP, REJECT, LOG nat: SNAT, DNAT, MASQUERADE mangle: TOS, TTL, MARK Eigene chains weitere Targets (REDIRECT, QUEUE, ULOG, )

44 Folie 44 IP Tables Konfiguration (3) Matching Module state: Statefull Inspection NEW, ESTABLISHED, RELATED, INVALID owner: Filter auf Prozessbesitzer limit: Ratenlimits iplimit: Limitiert Zahl der parallelen Verbindungen string: Filter auf Nutzdaten quota: Filter auf Datenmenge mac: MAC Adressen tos: Type of Service ttl: Time to Live viele weitere auch eigene Module möglich

45 Folie 45 IP Tables Beispiele iptables F INPUT iptables P INPUT DROP iptables -A INPUT -s /24 -j DROP iptables -A INPUT -p tcp --dport 1:1023 -j DROP iptables -A INPUT -d! /24 -j DROP iptables -A FORWARD -m state --state NEW -i eth0 -j ACCEPT iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT iptables -A OUTPUT -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT iptables -A INPUT -m state --state ESTABLISHED, RELATED -j ACCEPT iptables -A OUTPUT -m owner --uid-owner 0 -j LOG iptables -A OUTPUT -m owner --uid-owner ftp -j DROP iptables A INPUT m limit --limit 10/second --limit-burst 20 j DROP iptables -A INPUT -p tcp --dport http -m iplimit --iplimit-above 4 -j REJECT iptables -A INPUT -p tcp --dport http -m string --string ".exe?/c+tftp" -j DROP iptables -A FORWARD -p tcp --dport 80 -m quota --quota j ACCEPT iptables -t nat -A POSTROUTING -p TCP -j MASQUERADE --to-ports

46 Folie 46 Firewall Builder Zu kompliziert? Firewall Builder grafisches UI für IPTables (und andere Paketfilter) Grafisches Erstellen der Policy und Upload auf Firewall-Systeme

47 Folie 47 IP Tables Weitere Infos

48 Folie 48 Intrusion Detection Systeme (1) Ziel: Erkennung von Angriffen auf ein Computersystem oder Computernetz Unterscheidung Ort der Installation Host-basiert (Hosts-based IDS; HIDS) Wird auf zu überwachendem Zielsystem installiert Wertet Informationen des OS aus (Logfiles, Kernel, ) Erkennt Angriff auf dieses System Netzwerk-basiert (Network IDS; NIDS) Wird an einer oder mehreren zentrale(n) Stelle(n) mit dem Netzwerk verbunden Wertet Netzwerkverkehr aus Erkennt Angriff auf das Netzwerk Hybrid HIDS + NIDS

49 Folie 49 Intrusion Detection Systeme (2) Unterscheidung Art der Erkennung Signatur-basiert Erkennt bestimmte vor-definierte Angriffssignaturen Vorteil Wenige Fehlalarme (geringe Zahl falsch-positiver Erkennungen) Nachteil keine Erkennung unbekannter Angriffe (evtl. falsch-negative Erkennungen) Anomalie-basiert Erkennt anomale Abweichungen vom Normalzustand Benötigt Trainingsphase Vorteil Kann auch bisher unbekannte Angriffe erkennen Nachteile Saubere Trainingsphase notwendig Keine Garantie, dass ein Angriff erkannt wird Spezifikations-basiert Erkennt Abweichung von spezifiziertem Verhalten des Systems Spezifikation z.b. Protokoll RFC Vorteil Kann korrektes Verhalten sehr genau erkennen Nachteil System muss vollständig spezifiziert sein Was passiert bei spezifikations-konformem Angriff?

50 Folie 50 Intrusion Detection Systeme (3) Intrusion Prevention Systeme (IPS) fügen der Erkennung eine zusätzliche Reaktion hinzu Verbindung unterbrechen Firewall umkonfigurieren Pakete modifizieren (z.b. Schadcode ausfiltern)

51 Folie 51 Snort Open Source NIDS Signatur-basiert mit Regeln (Rules) Basiert auf Aho-Corasick-Algorithmus Prüft ob Inhalt eines Wörterbuchs (Signatur) in Eingabe (Datenpaket) vorkommt; lineare Laufzeit Beispiele für Regeln alert tcp $EXTERNAL_NET any -> $HOME_NET 80 (msg:"ids228 - CVE Guestbook CGI access attempt";flags:pa; content:"/cgi-bin/guestbook.cgi"; nocase;) alert icmp $EXTERNAL_NET any -> $HOME_NET any (msg:"ids184 - DDoS - TFN client command BE"; itype: 0; icmp_id: 456; icmp_seq: 0;) alert udp $EXTERNAL_NET any -> $HOME_NET any (ipopts: ssrr; msg: "Source routed packet";)

52 Folie 52 Honeypots Bietet im Netz einen oder mehrere Dienste an und zeichnet Zugriffe/Angriffe darauf auf Low-Interaction-Honeypot Simulation der Dienste/ganzer Netzwerke Von menschlichen Angreifern meist leicht zu erkennen Gut zur Protokollierung automatischer Angriffe Variante: Tarpits bremsen automatisierte Würmer aus, indem sie große Netzwerke simulieren, die der Wurm scanned. High-Interaction-Honeypot Vollständige Server, die komplette Dienste anbieten Aktionen des Angreifers werden von vorgeschaltetem Rechner oder aus dem Kernel (z.b. mit Sebek) protokolliert

53 Folie 53 Benutzer-Sicherheit Welche Richtlinien gelten für Benutzer? Wie ist die Zugangskontrolle geregelt? Sind die Zugriffsrechte minimal gesetzt? (Need to know/need to use Prinzip) Files Anwendungen Verhaltensregeln z.b. abends ausloggen, keine fremde Software auf Notebooks installieren, usw. Mail-Policy Training und Sensibilisierung Warum soll ich das happy99.exe Attachment nicht starten? Ich schicke mir den Finanzbericht der Firma an meine GMX Adresse und arbeite Abends von zu Hause aus weiter.

54 Folie 54 Programm Security Error: Design- oder Programmierfehler eines Entwicklers Fault/Bug: Manifestation eines Errors in einem Programm Failure: Abweichen eines Programms vom spezifizierten Verhalten Testing: Soll Failure schon während der Programmentwicklung provozieren, um danach den Fault zu beheben Bugs können zu Sicherheitsproblemen führen! Besonders kritisch Programme, die mit Administratorrechten laufen oder über das Netzwerk erreichbar sind Programme, die Eingaben von potentiellen Angreifern akzeptieren Eingabe kann sein Direkte Benutzereingabe Kommandozeilenargumente Konfigurationsfiles Daten aus Netzwerkverbindung Umgebungsvariablen uvm.

55 Folie 55 Design-Richtlinien für sicheres Programmieren 1. Sorgfältiges Design des Programms 2. Dokumentieren des Programmverhaltens 3. Kritische Teile so einfach und klein wie möglich halten 4. Keine unnötigen Funktionen hinzufügen 5. Standardfunktionen verwenden 6. Race Conditions vermeiden Deadlocks, Lockfiles, etc. 7. Prinzip des Least privilege 1. Jede Aktion wird nur auf dem minimal notwendigen Privilegienlevel ausgeführt 2. Verhindert Privilege Escalation (Failure)

56 Folie 56 Coding-Richtlinien für sicheres Programmieren 1. Alle Eingabe ins Programm prüfen! Länge, Format, Sonderzeichen wie Shell-Metazeichen, HTML Markup, Javascript, Am Besten explizit auf erlaubte Zeichen prüfen 2. Prüfen aller Rückgabewerte 3. Interne Konsistenz-Checks einbauen assert 4. Logging zur Kontrolle der Programmfunktionen 5. Sicheres Erzeugen/Öffnen von Files Vollständige Pfadnamen verwenden Erzeugen mit O_EXCL O_CREAT, prüfen mit lstat(), Reihenfolge beachten: stat + open + chown vs. stat + chown + open tmpfile() / mkstemp() für temporäre Files verwenden 6. Auf Sicherheit der verwendeten Bibliotheken achten 7. Tools und Compiler nutzen

57 Folie 57 Tools für sicheres Programmieren Verwenden von Compiler-Warnings gcc Wall, lint, Zusätzliche Tools nutzen Buffer overflow scanner Heuristische Überprüfung von C-Programmen z.b. rats/ratscan, pscan, Weitere Tools libsafe (ersetzt anfällige Funktionen durch eigene) Typsichere Sprachen vermeiden viele Angriffsmöglichkeiten

58 Folie 58 Zu vermeiden sind Kein Aufruf unsicherer Funktionen Kein gets, strcpy, strcat, sprintf, vsprintf Stattdessen fget, strncpy, strncat, snprintf, vsnprintf Vorsicht bei: scanf, fscanf, sscanf, realpath, Nicht auf Umgebungsvariablen oder sonstige Annahmen über die Umbegung verlassen Signals, Umask, Working Directory, Environment explizit löschen (neuen envp + exec) File Descriptoren prüfen / schließen Keine Shell Escapes, kein system/popen Keine Files in World-Writeable Directories erzeugen Keine Core Dumps erzeugen

59 Folie 59 Programm Security (3) Literatur Ausschnitte aus Practical Unix & Internet Security [ [ [ [