Angriffe auf die Internet-Sicherheit

Transkript

1 Angriffe auf die Internet-Sicherheit Netzsicherheit Angriffe auf die Vertraulichkeit Sniffing-Attacks Angriffe auf die Integrität Spoofing-Attacks Angriffe auf die verfügbarkeit Denial-of-Service-Attacks Rechnersicherheit Viren, Würmer, Trojanische Pferde Universelles Trojanisches Pferd Computerviren und transitive Trojanische Pferde Firewalls Typen Architekturen Grenzen

2 Sniffing-Angriffe: Funkionsweise Kommunikationsnetz Rechner A und D kommunizieren miteinander: a) im Ethernet b) im Switched Ethernet B A A B C E D E D Switch C Ausbreitung der übertragenen Daten alle Stationen erhalten alle Datenpakete (im Ethernet) lokale Filterfunktion Abschalten des Filters möglich:»promiscuous mode«sniffing im Switched Ethernet erschwert Datenpaket (Ethernet) Hardware-Adresse des Empfängers Payload

3 Sniffing-Angriffe: Vorgehen 1. Schritt Beschaffung der Daten Konfiguration der Netzwerkschnittstelle (promiscuous mode) Auslesen sämtlicher Datenpakete 2. Schritt Informationsgewinnung Auswahl der»interessanten«pakete anhand der Protokoll- Informationen (Sender- bzw. Empfängeradresse, TCP-Port etc.) 3. Schritt Auswertung des Datenteils Im Beispiel ASCII-Textdarstellung eines Ethernet-Datenpaketes gewählt (Punkte stehen für U...tmpReview...U...Form MemoU...Type.. --B=U...Sign..liU...DefaultMailSaveOptions..lrU. D...ReplyToa..U...Body...Hallo,......,...das ist ein Test f.r unsere Sneaker THE MAGIC WORDS ARE FEEBLE GIBBERISH......Gru.,...Matthias Mueller...U...ReminderDate..U...Dele tiondate..u...encrypts..otu...$folders..u......preparedtosend..o U...DeliveryPriority..NMU.....$KeepPrivate..U...Subject..Testmail fuer SniffingU.E SendTo..CN=Andreas enu.e...copyto..u.d...blindcopyto..u.e.../...fr om..cn=matthias Mueller/OU=DuD/OU=Datenschutz/O=TUD.EU...Po P...w...%m...]i.u...;,..ys}.}...4]..yl.)....c... ohi<'.5l.r..b...

4 Sniffing-Angriffe: Abwehr schwacher Angreifer Physischer Schutz incl. physischer Schutz des Übertragungsmediums Netzwerkadapter ohne»promiscuous mode«signalisierung des Umschaltens in»promiscuous mode«switched networks Schutz gegen einen relativ starken Angreifer starker Angreifer kann Datentransfer über das Medium ablauschen Einsatz von Verschlüsselungsverfahren

5 Sniffing - Angriffe: Beispiel Lotus Notes Nicht veröffentlichtes Protokoll Verwendung von TCP-Port 1352 Bestandteile einer Lotus Notes Header (Schlüsselworte: From, To, Subject etc.) Body (Text, Attachment etc.) Verschlüsselungsfunktion vorhanden, standardmäßig nicht aktiviert Schlüsselworte immer im Klartext

6 Spoofing Was ist Spoofing? Vortäuschen falscher Information Angriffe gegen die Integrität auch mit dem Ziel, schließlich die Vertraulichkeit zu verletzen Arten von Spoofing Mail-Spoofing DNS-Spoofing IP-Spoofing ARP-Spoofing

7 Einordnung ARP, IP, DNS DNS: Domain Name System Abbildung des Rechnernamens auf IP-Adresse Anfrage an Nameserver typischerweise in WANs ARP: Address Resolution Protocol Abbildung von IP-Adresse auf Hardwareadresse Anfrage an das lokale Netz (Broadcast) nur in lokalen Netzen ithif76.inf.tu-dresden.de DNS 00:10:4B:70:BD:FC ARP

8 ARP: Address Resolution Protocol An alle! Wer hat die Ethernet- Adresse MAC1 zu der IP-Adresse IP1? Ich habe sie! Anbei schicke ich meine Ethernetadresse MAC1. ARP-Anfrage Anfrage wird an das gesamte lokale Netz gestellt (Broadcast) Rechner B teilt mit, von welchem Rechner (IP1) die Hardwareadresse gesucht wird Mitteilen der eigenen Adresse(n) in der Anfrage ARP-Antwort Antwort gezielt an den anfragenden Rechner Adresse des Zielrechners wurde in der ARP-Anfrage mitgeteilt

9 ARP-Spoofing A B Rechner A Rechner B Ich bin Rechner B. Wie heißt D? Angreifer C Ich bin Rechner A. Wie heißt Du? A B Rechner A Rechner B Angreifer Nachricht von Rechner B an Rechner A C Rechner C Nachricht von Rechner B an Rechner A

10 Denial of Service Angriffe auf die Verfügbarkeit Vorher Nachher DoS-Angriffe auf Schwachstellen im System Mail-Bombing Spamming Broadcast-Storm SYN-Flooding Angriffe auf einen Switch DoS-Angriffe auf Implementationsfehler Ping of Death WinNuke Teardrop und Nachfahren

11 Distributed Denial-of-Service Angriffe im Internet Smurf IP Denial-of-Service Attack (CERT Advisory CA ) basiert auf Fooding-Angriff mit Ping-Paketen Ping: Management-Service zur Überprüfung der Empfangsbereitschaft eines Rechners Ping-Pakete werden mit gefälschter Absender-Adresse an eine schlecht administriertes LAN/Intranet geschickt. Konfigurationsfehler im LAN vervielfacht Ping: Weiterleitung an alle Rechner des LAN hinter dem Gateway Jeder Rechner des LAN antwortet mit Pong Angreifer gefälschte Quelladresse (Adresse des Opfers) Zieladresse (Adresse des»helfers«) Datenfeld Ping-Requests ungewollte»helfer«vervielfachte Pong-Responses Opfer bricht unter der Last zusammen

12 Viren Würmer Trojanische Pferde Virus Programmcode, der eine ungewollte (Schadens)-Funktion ausführt kein eigenständiges Programm, benötigt einen»wirt«enthält Replikationsmechanismus zur Fortpflanzung auf andere (lokale) Programme Schutz: keine unbekannten Programme ausführen/ keine unnötigen Schreibrechte vergeben Wurm eigenständiges Programm, z.b. ein Visual Basic Script, das eine ungewollte (Schadens)-Funktion ausführt enthält Funktionen zur Replikation auf andere Rechner eines Netzes Schutz: keine unbekannten Programme ausführen/ keine unnötigen Rechte (insb. Ausführungsrechte) vergeben Trojanisches Pferd Programm, das eine offen sichtbare Nutzfunktion ausführt, und zusätzlich eine verdeckte Schadensfunktion nicht notwendigerweise Fortpflanzung Transitives Trojanisches Pferd pflanzt sich über mehrere Enwicklungsschritte fort Beispiel: Compiler enthält Trojanisches Pferd; jedes neu compilierte Programm enthält ebenfalls wieder das trojanische Pferd

13 Universelles Trojanisches Pferd Handlungsanweisung (verdeckter) Eingabe-Kanal (verdeckter) Ausgabe-Kanal unbefugter Informationsgewinn universelles Trojanisches Pferd Schreibzugriff unbefugte Modifikation von Informationen Schreibzugriff, Nichtterminieren, Betriebsmittelverbrauch unbefugte Beeinträchtigung der Funktionalität

14 Computer-Viren und transitive Trojanische Pferde Fehlerausbreitung: Computerviren Programm 1 Infektion unnötiges Schreibzugriffsrecht z.b. für Spielprogramm Programm 2 Fehlerausbreitung:transitives trojanisches Pferd Programm 1 nötiges Schreibzugriffsrecht z.b. für Compiler und Editor Programm 2 Beschränkung der Angriffsausbreitung durch geringstmögliche Privilegierung: Keine unnötigen Zugriffsrechte gewähren > Keine Computerviren, nur noch transitive trojanische Pferde

15 Firewalls Zweck Abschottung eines Intranets bzw. eines sicherheitsempfindlichen Teilnetzes vor unberechtigten Zugriffen von außen alle Datenpakete zum und vom Intranet müssen Firewall passieren regelbasierte Filtersysteme Typen von Firewalls Paketfilter überprüfen anhand der IP-Adresse des Absenders und Empfängers und Portnummer (TCP oder UDP), ob Datenpakete die Firewall passieren dürfen teilweise auch Analyse des Inhalts der Datenpakete Circuit Level Gateways überprüfen TCP- oder UDP-Verbindungen Verbindung: viele Datenpakete Firewall ersetzt bei gehenden Verbindungen die ursprüngliche Absenderadresse durch die eigene IP-Adresse verbirgt somit interne Netzstruktur Application Level Gateways (auch: Proxies) implementieren die Schnittstelle des Clients als auch des Servers eines Dienstes

16 Firewalls Merkmale Paketfilter und Circuit Level Gateways: können transparent für Enbenutzer eingesetzt werden Anwender im Intranet muss von existenz nichts mitbekommen Proxies: Anwendungsunterstützung notwendig: Anwendungen müssen proxy-tauglich sein existieren für fast alle relevanten Anwendungen (Web, Filetransfer, News) Problem: > für jede Anwendung (bzw. deren Protokoll) muss eigener Proxy vorhanden sein Lösung: > SOCKS-Proxy > universelle Proxy-Schnittstelle (anwendungsunabhängig) bereitstellt.

17 Proxies Schutz vor Beobachtung im Internet A A Quelladresse Zieladresse Datenfeld A S Intranet Internet Server R B Firewall/Proxy P B B T P R Server S P S C C C R P T Beobachter Server T

18 Firewall-Architekturen Viele Varianten, sicherste ist eine Komination aus innerem und äußerem Paketfilter mit dazwischenliegender demilitarisierter Zone (DMZ) und Gateway (Bastion Host) Bastion-Host innerer Paketfilter äußerer Paketfilter Angreifer Firewall Intranet DMZ: Demilitarisierte Zone Internet Idee Paketfilter erlauben jweils nur Kommunikation mit bastion Host Eindringling, der äußeren Paketfilter überwunden hat, kann zwar Bastion Host angreifen, aber keinen Rechner im Intranet Schwächere Varianten Verzicht auf inneren Paketfilter sehr selten Verzicht auch auf äußeren Paketfilter

19 Grenzen von Firewalls Firewalls sind eine typische best-practice -Technik Kompromiß zwischen Schutz und Kosten besser aber teurer: jeden einzelnen Rechner im Intranet mit entsprechenden Filterfunktionen ausstatten kein Schutz vor Angriffen von innen defensive Konfiguration hemmt Produktivität -> Aufweichen der restriktionen selbst bei defensivster Konfiguration ist Überbrücken möglich, Beispiel HTTP-Tunneling kein perfekter Schutz vor Viren (verschlüsselte Kommunikation) und überhaupt kein Schutz vor trojanischen Pferden

20 Untertunneln einer Firewall durch ein Trojanisches Pferd Firewall Angegriffener 2000 Anstelle eines auffälligen User- Ports wird ein unaffälliger Port, z.b. http (80) verwendet Angreifer Verdeckter Eingabekanal: Web-Response, die keine ist. 80 http-request, der in Wirklichkeit den Steuerbefehl abholt oder vertrauliche Daten versendet Vorarbeit angegriffener Rechner muß Trojanisches Pferd»runterladen«Meldung des Trojanischen Pferds anstelle eines user-ports (z.b. 2000) wird Port für freigeschalteten Standarddienst verwendet, z.b. http (80) (Verdeckter) Eingabekanal (Angreifer >Angegriffener)»Webseite«, die keine ist Firewall verhindert nicht die Wirkung des Trojanischen Pferdes