Thomas Macht Internet Security SS 10

Transkript

1 1 Einführung Definitionen nach DIN: Sicherheit: Risiko < Grenzrisiko, absolute Sicherheit gibt es nicht Grenzrisiko: größtes noch vertretbares Risiko eines technischen Vorgangs/Zustands Risiko: Schaden * Eintrittswahrscheinlichkeit Sicherheitsziele: Vertraulichkeit Integrität Verfügbarkeit Authentizität Nichtabstreitbarkeit Bedrohungs- und Risikoanalyse: Typisierung von Bedrohungen o Zielobjekt o Urheber o Motivation/Absicht o Wahrscheinlichkeit o Auswirkungen/Kosten Auflistung der Bedrohungen Risikoanalyse/-bewertung Maßnahmen Restrisikoabschätzung Kosten-/Nutzenanalyse: o Investitionen für Management sichtbar, Ergebnisse bei guter Arbeit nicht o Aufwand/Nutzen schwer zu messen o Erfahrungswerte für Kosten/Wahrscheinlichkeit von Angriffen Herausforderungen: für Anwender Funktionalität wichtig, nicht Sicherheit Sicherheitsgruppe sagt immer nein Termindruck Komplexität (Zusammenspiel vieler Komponenten, Systeme wachsen) Security Usability Know-how jede Software prinzipiell betroffen Vernetzung, kabellose Übertragung, Mobilität Kreativität der Angreifer Weakest Link (Mistkübel schützen) Seite 1 von 22

2 Top Cyber Secruity Risks 2009: nicht gepatchte Client-Software angreifbare Websites Betriebssysteme haben weniger remote ausnutzbare Sicherheitslücken (Computerwurm: Programm/Skript kann sich nach Ausführung selbst vervielfältigen, infiziert im Gegensatz zum Virus keine fremden Dateien) mehr Zero-Day-Exploits: andere Personen erfahren davon vor dem Hersteller (hat 0 Tage um sie zu schließen) Angriffsphasen: 1. Sammeln von Daten (zb verwendete Systeme, User-Kennungen) 2. Ausnutzen gefundener Sicherheitslücken (Zugriff, Ausweiten der Rechte, zb SQL Injection) 3. Aufrechterhaltung des Zugriffs (zb Anlegen eines Benutzer-Accounts) 4. Verwischen von Spuren (zb Logfiles) Angriffe über das Internet: Automatisierung kann entfernt stattfinden Verbreitung von Angriffstechniken (vermeintliche) Anonymität unterschiedliche Rechtssysteme Offline-Angriffe: Social Engineering: Ausnutzen zwischenmenschlicher Beeinflussungen (zb sich als Administrator ausgeben und Passwort verlangen, Phishing: über gefälschte Websites an Nutzerdaten gelangen) Dumpster Diving (Containern) Designprinzipien: Security bereits beim Design berücksichtigen genau definierte Aufgaben genau definierte Schnittstellen Verwendung von Standards Technische Lösungen: Zugriffskontrolle Verschlüsselung Signaturen Eingabeüberprüfung Sicherheitstests Härtung von Systemen Seite 2 von 22

3 Sichere Passwörter: Klein- und Großbuchstaben, Ziffern, Sonderzeichen, Mindestlänge grafische Passwörter (etwas Zeichnen auf einem Touchscreen) leichter zu merken, aber schwieriger zu erraten Wechsel in bestimmten Abständen Organisatorische Lösungen: Management: Wichtigkeit der IT-Sicherheit begreifen Security Policy Best Practice-Lösungen Aufbau von Know-how, Fortbildungen Mitarbeiter-Sensibilisierung Seite 3 von 22

4 2 Public Key Infrastructure Kerckhoff s Prinzip: Sicherheit darf nur von Geheimhaltung des Schlüssels, nicht des Algorithmus abhängen Schutzziele: Vertraulichkeit Verschlüsselung Integrität Prüfsumme Authentizität Signatur Hash-Verfahren: Hash = eindeutiger Fingerabdruck des Dokuments Einwegfunktion (mit wenig Aufwand zu berechnen, Umkehrfunktion nicht/schwer anwendbar) MD5, SHA-1 (bereits unsicher), SHA-2 Kryptographie: symmetrisch: o Verschlüsselung und Entschlüsselung mit selbem Schlüssel o Problem: Schlüsselaustausch (insbesondere bei vielen Teilnehmern) asymmetrisch: o Verschlüsselung mit Public Key, Entschlüsselung mit Private Key o Signieren mit Private Key, Signatur prüfen mit Public Key o Problem: rechenintensiv Hybridverschlüsselung: o Verschlüsseln mit symmetrischem Schlüssel o symmetrischen Schlüssel mit öffentlichem Schlüssel verschlüsseln und an Dokument anhängen Probleme: Komplexität (Implementierungsfehler) Alterung von Algorithmen/Schlüssellängen (Brute-Force: Ausprobieren aller möglichen Fälle) regelmäßig neue Algorithmen/längere Schlüssel Verlust des privaten Schlüssels Verlust der verschlüsselten Daten (Backup) Schlüssel enthält keine Informationen zum Besitzer Verwendung von Zertifikaten mit zusätzlichen Informationen Integritätsschutz für Schlüssel (Man in the Middle kann Schlüssel manipulieren) Zertifikate enthalten digitale Signatur Sicherung des privaten Schlüssels: Chipkarte, Hardware Security Module Seite 4 von 22

5 2.1 Public Key Infrastructure Registration Authority (RA): Registrierung neuer Anwender (Überprüfung der Identität), Weiterleitung an Certification Authority zur Ausstellung von Zertifikaten Sperren von Zertifikaten/Benutzern definiert Protokolle für Zertifikatsantrag/-austausch Certification Authority (CA): Ausstellung und Verwaltung der Zertifikate (optional auch Schlüsselerzeugung für Endbenutzer, Personalisierung von Chipkarten, Versenden der Infos an Endbenutzer) Endbenutzer-Zertifikate durch CA-Zertifikat signiert Erstellung/Signieren von Sperrinformationen sichere Betriebsumgebung erforderlich (Speicherung und Zugriff auf private Schlüssel) Kompromittierung (Daten evtl. manipuliert) des privaten Schlüssel einer CA alle ausgestellten Zertifikate und damit signierte Dokumente unsicher Verzeichnisdienst (DIR): Zugriff zu öffentlichen Zertifikaten (zur Prüfung von Signaturen) beliebige Schnittstellen möglich Festlegung eindeutiger Identifizierungsmerkmale, um Zertifikate zu finden Sperrinformationen: wenn Vertraulichkeit des privaten Schlüssels nicht mehr gegeben Sperre des Zertifikats erforderlich Anwendung muss Sperrstatus eines empfangen Zertifikats prüfen Protokolle zum Verteilen von Sperrinfos: o Certificate Revocation Lists (CRL): ungültige in Liste eingetragen (Zeitstempel, signiert) nur Aussage über Vergangenheit, keine Aussage über Gültigkeit o Online Certificate Status Protocol (OCSP): Weiterentwicklung liefert Status des Zertifikats (Antwort signiert) nicht nur ob ungültig aktueller falls aktuelle Datenbasis verwendet Seite 5 von 22

6 Zertifikate: Zuordenbarkeit Public Key Identität Bestätigung durch Zertifizierungsstelle öffentlich Zertifikatskette Zertifikatserweiterungen: Flexibilität Erweiterung kritisch? Key Usage: Einsatzzweck des Zertifikats: o digitalsignature (0) o nonrepudiation = Nichtabstreitbarkeit (1) o keyencipherment (2) o dataencipherment (3) o keyagreement (4) o keycertsign (5) o crlsign (6) o encipheronly (7) o decipheronly (8) Extended Key Usage: o ip-kp-serverauth: für TLS-Server zur Authentifikation o ip-kp-clientauth: für TLS-Clients zur Authentifikation o ip-kp-codesigning: Signieren von Applikationen Object Identifier: o IDs für Objekte wie Algorithmen, Extensions o hierarchische Struktur, Registrierung bei Gremien o zb (Key Usage-Extension) Vertrauensmodell Web of Trust: direkte Vertrauensstellung (zb Pretty Good Privacy) Kommunikationsteilnehmer muss Zugehörigkeit des Schlüssels zur Identität des Kommunikationspartners überprüfen (Key Signing) bei vielen Partnern nicht praktikabel Seite 6 von 22

7 Vertrauensmodell Hierarchische Struktur: Vertrauensstellung über Root-CA Cross-Zertifizierung zwischen zwei CAs möglich Vertrauensmodell Bridge CA: zb Trusted-service Status List (TSL) Integration von Root-CAs in eine (TSL) Vertrauensstellung über Root-CA TSL wird signiert Pfadvalidierung: Überprüfung der Gültigkeit eines Zertifikats Verwendung eines Zertifikats Überprüfen der Vertrauensstellung Ermittlung des gesamten Pfads/der gesamten Pfade zum Root-Zertifikat Überprüfung des Sperrstatus, Gültigkeit der Zertifikate, Auswertung kritischer Zertifikatserweiterungen Gültigkeitsmodelle: Regeln für Signaturüberprüfung Integrieren des gesamten Zertifikatspfads Schalenmodell: zum Prüfungszeitpunkt alle Zertifikate im Pfad gültig Kettenmodell: zum Erstellungszeitpunkt jeweils signierendes Zertifikat gültig Hybridmodell: zum Erstellungszeitpunkt der zu prüfenden Signatur alle Zertifikate im Pfad gültig Rechtsverbindlichkeit von Signaturen: Elektronische Signatur: keine besonderen Anforderungen, auch Absenderangabe ohne digitale Signatur Fortgeschrittene elektronische Signatur: zb PGP-Signatur mit Web of Trust Qualifizierte elektronische Signatur: ersetzt Unterschrift Seite 7 von 22

8 3 Web Application Security Kategorien von Bedrohungen: Spoofing: Identitätsdiebstahl Tampering: Datenmanipulation Repudiation: Ablehnung Information Disclosure: Offenlegung von Informationen Denial of Service (DoS): Dienstverweigerung Evelation of Privilege / Authorisation Bypassing: Erweiterung der Berechtigung OWAP (Open Web Application Security Project) Top , RC 1: Injection Cross Site Scripting Broken Authentication and Session Management Insecure Direct Object Reference Cross Site Request Forgery = Fälschung (CSRF) Security Misconfiguration Failure to Restrict URL Access Unvalidated Redirects and Forwards Insecure Cryptographic Storage Insufficient Transport Layer Protection 3.1 Injection Flaws (Fehler) unvertrauenswürdige Daten an Interpreter gesendet und ausgeführt Einschleusen von Befehlen über Anwendung Beeinflussung ausgeführter Befehle durch interpretierte Sonderzeichen SQL Injection: Ausnutzen von Sicherheitslücken direkter Datenbankzugang Einschleusen eigener Datenbankbefehle Zeichen, die für SQL-Interpreter Sonderfunktion besitzen (\, ", ', ;) Suche nach Schwachstellen aufgrund von Fehlermeldungen (außer bei Blind SQL Injection) Ziel: Daten verändern, Kontrolle über Server erhalten Ändern vorhandener Daten (INSERT, DELETE, UPDATE) Ändern der Datenbankstruktur, Löschen der DB (ALTER TABLE, DROP TABLE, CREATE PROCEDURE) ausführen von Systembefehlen durch spezielle Datenbank-Funktionen (zb SQLServer exec()) Ausführen beliebiger Programme über DB Schreiben von Dateien durch Datenbankbefehle ermöglicht Datenexport, wird Datei in Web-Freigabe erstellt, kann sie über Web-Server vom Angreifer abgefragt werden Seite 8 von 22

9 Blind SQL-Injection: fehlende Fehlermeldungen Generierung durch Web-Server: typischer weise 500: Internal Server Error aufgrund falscher SQL-Syntax Generierung durch Applikation: Indikator für bessere Programmierung, angepasste Fehlermeldungen (zb no such product) 1. Fehler erkennen: Senden einiger invalider Requests, um herauszufinden, wie Applikation mit Fehlern umgeht 2. Fehler lokalisieren: o Verwenden von Key-Wörtern (zb OR, AND) und Meta-Zeichen o individuelles Testen jedes Parameters (restlicher Teil des Request muss gültig sein) o Identifizierung von Redirects und anderen vermutlich versteckten Fehlern mittels Intercepting Proxy o jeder Parameter, der Error zurückgibt könnte durch SQL- Injection angreifbar sein 3. Angreifbare Parameter identifizieren: o Number String Date o SELECT * FROM Products WHERE ProdID = chaira // ein Ergebnis o SELECT * FROM Products WHERE ProdID = chaira and a = a // selbes Ergebnis 4. Angriff durchführen: o Generieren einer syntax-validen Anfrage (AND, OR, 1 = 2, 1 = 1, ) o Datenbankserver (Oracle, MSSql, MySql) identifizieren (+ vs., sysdate vs. getdate()) o Exploit zusammenstellen Extended Stored Procedures: o MS-SQL-Server, Implementierung als DLLs o xp_cmdshell Ausführen von Befehlen auf OS-Ebene o xp_servicecontrol Starten/Stoppen von Diensten o zb EXEC master.xp_servicecontrol stop, schedule SQL Injection-Gegenmaßnahmen: Prepared Statements verwenden (Parameterized Queries) Stored Procedures verwenden Escapen von User-Eingaben Principle of least privilege Whitelist benutzen (Eingabenvalidierung) Seite 9 von 22

10 3.2 Cross Site Scripting, XSS Ausführung beliebigen Codes (meist JavaScript) im Browserkontext kann zu totaler Systemübernahme führen Angriff auf Benutzersystem, nicht Anwendung selbst (als Träger missbraucht) bösartiger Skriptcode von vertrauenswürdiger Seite geladen fundamentale Fehler, die XSS erlauben: fehlende Eingabeüberprüfung, nicht-encodete Ausgabe Ziel: sensible Benutzerdaten Identitätsdiebstahl, Entführung von User-Sessions, Phishing Stored XSS: injezierter Code dauerhaft gespeichert (DB, XML), Opfer lädt bösartigen Code beim Abfragen dieses Codes zb Foren, Kommentare, Besucher-Logs Reflected XSS: unvalidierte Eingabe in Response an Browser zurückgeschickt Angreifer können bösartige URLs erstellen und verschicken, mailen, auf anderen Websites zur Verfügung stellen XSS-Gegenmaßnahmen: gesamten Input filtern/validieren Escapen von Output Whitelist-Filterung anstelle von Blacklist-Filterung Verwenden von in der Praxis bewährten Lösungen an Namenskonventionen halten (zb $clean für gefilterten Input) Seite 10 von 22

11 3.3 Broken Authentication and Session Management oft unzureichender Schutz von Zugangsdaten oder Session-Tokens Angreifer kompromittieren Passwörter, Keys, Autorisierungstoken um User-Identität zu übernehmen große Angriffsfläche: Passwort vergessen, Passwort ändern, Account-Update, Session- Fixation Gegenmaßnahmen: Proper Design Anzahl falscher Logins begrenzen Passwortstärke SessionID schützen (SSL/TLS für gesamte Session) Passwörter mit angemessenem Verfahren verschlüsseln SessionID sollte nie clientseitig änderbar sein immer altes Passwort bei Passwortänderungen verlangen SessionIDs nie über URL übertragen User Enumeration unterbinden 3.4 Insecure Direct Object Reference Entwickler stellen direkte Referenz eines Objekts bereit (zb File, Directory, Datenbankeintrag, ID) Angreifer können Referenzen manipulieren, unautorisiert auf andere Objekte zugreifen Gegenmaßnahmen: Vermeiden direkter Objektreferenzen (Indizes) Validieren privater Objektreferenzen (Whitelist-Validierung) Autorisation checken und bestätigen Seite 11 von 22

12 3.5 Cross-Site Request Forgery = Fälschung CSRF/XSRF umgekehrte Angriffsart gegenüber XSS o XSS: Missbrauch des Vertrauens des Users gegenüber Applikation o CSRF: Missbrauch des Vertrauens der Anwendung gegenüber dem User verwendet kompromittiertes HTTP-Request Gegenmaßnahmen: Benutzen eines Anti-CSRF-Token (Shared Secret) Applikation darf nicht für XSS angreifbar sein, sonst könnte Shared Secret wieder ausgelesen werden Verifizierung einer Aktion anfordern erschwert nur Angriff nur POST-Anfragen akzeptieren erschwert nur Angriff Referrer überprüfen oft nicht möglich (zb Filterung des Referrer Head durch Proxys) Seite 12 von 22

13 4 The other side 4.1 PC-Überwachung Rechtliche Grundlage: präventiv anlassbezogen Schwere des vermuteten Delikts konkrete Hinweise auf mögliche Verdächtige Interessensabwägung, berechtigtes Interesse, Notwehr Betriebsrat, MA-Vereinbarungen Möglichkeiten: serverbasiert (Logfiles) Hardware-Keylogger: o einfach installierbar o nur Tastatureingaben o mühsam auszuwerten o typischerweise nur für erste Phase o Miniaturversion verfügbar o mit GSM-Abfrage für Behörden o Erkennung: in Tastaturkabel eingeschleift Software-Keylogger: o Zugang zum Rechner erforderlich (Hardware-Keylogger) o alternativ Trojanisches Pferd o automatischer -Versand, Screenshots o teilweise Fernsteuerung o sehr gut auswertbar o eventuell Probleme mit Antivirensoftware o Erkennung: Softwarestart, Ports/Connections (W-)LAN-Sniffer: o Standard-PC oder Hardware-Lösungen o trivial bei nicht/schwach verschlüsselten Funk-LANs o extrem große Datenmengen o schwer zu erkennen Videoaufzeichnung Abstrahlung optisch/elektromagnetisch Trojaner: verpackter Software-Keylogger Seite 13 von 22

14 5 Network Security Angriffe/Bedrohungen: technisch nicht-technisch Vertraulichkeit: o Google Hacking o Covert Channels: parasitärer Kommunikationskanal, benutzt Bandbreite von einem legitimierten um Infos zu übermitteln (zb Pixel in Bildern, Datei öffnen/schließen) o Sniffing Integrität, Authentizität, Nichtabstreitbarkeit (Spoofing) Verfügbarkeit (Session Hijacking, Denial of Service, Distributed Denial of Service) Google Hacking: Google liest für Suche gesamte Websites ein Suche zb nach o Passwörtern von Web- oder FTP-Servern o privaten Webcams, Netzwerkdruckern o -Adressen o webbasierten Terminal Service-Zugängen o VPN-Gateways o anfälligen Dateien Recherchetechniken in Netzwerken: Firmenwebsites und Stellenausschreibungen Social Websites Usenet Foren, Support-Foren Suchmaschinen Caching-Funktionen Physical Layer: Sniffing Werkzeug zur Netzwerkanalyse mitlesen des gesamten Traffics (Kollisionsdomäne), einfacher in WLANs Programme: o Wireshark/tshark o tcpdump o airodump/airhack Interface im Promiscuous Mode: liest gesamten Datenverkehr mit Seite 14 von 22

15 ARP Address Resolution Protocol: Umwandlung IP-Adressen MAC-Adressen (nur Ethernet mit IPv4) Reverse ARP TCP/IP: Network Layer ARP-Cache: Speichern eigener und fremder Anfragen ARP Poisoning/ Spoofing: Senden gefälschter ARP-Pakete o Black Hole o Man in the Middle IPv4: unzuverlässig, verbindungslos IP-Adressen für Routing TCP/IP: Internet Layer Address Spoofing: gefälschter Absender, DoS-Attacken Fragmentation: o Fragment Overlap Attack (falscher Offset, 1. Fragment teilweise/gänzlich von 2. überschrieben oft Fehler im System, Teardrop DoS-Attacken) o Tiny Fragment Attack: anderes als letztes Paket < 400 Bytes, DoS-Attacken, Erkennung/Sicherheitsmaßnahmen überwinden o Ping of Death: zusammengesetztes IP-Paket zu groß (> Bytes, Offset und Fragmentgröße beim letzten Paket entsprechend manipuliert, beim Empfänger evtl. interne Variable überschrieben, System zum Absturz gebracht) Internet Control Message Protocol (ICMP): Fehlermeldungen: Port/Host Unreachable diverse andere Infos: Subnetzmaske, Uhrzeit Angriffe: o ICMP echo request/reply o Inverse Mapping: interne Geräte herausfinden, die normal nicht erreichbar wären (an vermutete IPs, interner Router gibt für alle, die es nicht gibt Host unavailable zurück) o Destination Unreachable, TTL Exceeded o Source Quench: Empfänger ausgelastet, langsamer senden o Route Redirect: Gateway empfängt IP-Paket von einem Host und nächster Gateway auf der Route ist im selben Netzwerk wie der Host, Man in the Middle o lt. Spezifikation zu große Pakete (zb mit ping Ping of Death) o ICMP Flood: DoS, evtl. kombiniert mit Spoofing o Smurf-Attacke: Angreifer spooft die IP-Adresse des Opfers und schickt große Zahl an IP echo requests an die Broadcast-Adresse eines dazwischen liegenden Netzwerks, diese Hosts antworten mit einem ICMP reply request an das Opfer Seite 15 von 22

16 User Datagram Protocol (UDP): verbindungslos, schnell Broadcast-Empfänger möglich zb DNS, Multimedia Angriffe (DoS): o UDP Packet Storm: unter Umständen an Broadcast-Adresse, möglich weil kein Verbindungsaufbau wie bei TCP erforderlich o UDP Flood Attack: an zufällige Ports (schauen welche Anwendung an diesem Port horcht keine ICMP Destination Unreachable senden) Transmission Control Protocol (TCP): Transport Layer verbindungsorientiert (Three-Way-Handshake) verläßlich (Timeout, Retransmission) Flow Control Zustände: listen, established, closed keine Broadcast-Empfänger möglich Angriffe: o SYN-Flooding: halb offene Verbindung belegt Ressourcen o Low-Rate DoS o ACK senden bevor Daten empfangen o TCP Session Poisoning: Opfer baut TCP-Verbindung mittels Three Way Handshake auf, Angreifer versucht nach Authentifizierung zu übernehmen, indem er Antwort- Pakete ACK manipuliert und schneller sendet als das Opfer o Land-Attacke: Source Adress/Port = Destination Adress/Port o Christmas Tree Packet: jede mögliche Option für jedes benutzte Protokoll gesetzt o TCP Sequence Number Prediction: durchnummeriert um sie wieder zusammensetzen zu können, Angreifer muss Nummer erraten, die noch nicht empfangen wurde, daraufhin dann echte Pakete verworfen o TCP Session Hijack: Sniffing + Spoofing Seite 16 von 22

17 Vorbereitungen für Angriffe auf Computersysteme: Host Scan Port Scan OS Detection Vulnerability Scan Scanning: oft auffällig, daher Slow Scan, Ablenkung Netzwerk-Scans: nmap o Portscans o Fingerprinting (OS) o Services o man nmap Lösungsansätze: Absicherung der Clients/Server Separation von Netzwerksegmenten (physisch/logisch) o VLAN: Virtual Local Area Network, innerhalb eines Switches (keine Weiterleitung an andere) o Firewalls o DMZ: Demilitarized Zone sicherheitstechnisch kontrollierte Zugriffsmöglichkeiten auf daran angeschlossene Server durch Firewalls gegen andere Netze abgeschirmt (ein- oder zweistufig) Zugriff auf öffentlich erreichbare Dienste gestattet, internes LAN vor unberechtigten Zugriffen geschützt o NAT: Network Address Translation Sicherung des Übertragungsweges (Internet, WLAN), zb via VPN, SSL/TLS Sicherung des Netzwerkzugangs (Firewalls) Sicherung der Nutzdaten (zb -Verschlüsselung) zusätzliche Maßnahmen wie Intrusion Detection Systems, Intrusion Prevention Systems WLAN: potentiell unsicher (Angreifer haben Zugriff auf Übertragungsmedium) War Driving, öffentliche Orte, Nachbarn Angriffe: o Sniffing o Angreifer spooft einen AP, Client o Denial of Service Absicherung: o WEP (unsicher) o WPA, WPA2 o VPNs: Verschlüsselung auf Applikationsebene o sicherer Schlüssel (Wechsel) o AP abschalten, wenn nicht verwendet o Standard-Passwörter ändern Seite 17 von 22

18 Firewalls: Unterbindung unerlaubter Zugriffe Arten: o Paketfilter: einfache Filterung anhand von Zielport, Quell-, Zieladresse (Headerinformationen auf OSI-Layer 2 4) o Stateful Inspection: erweiterte Paketfilterung, kurze Headeranalyse auf OSI- Schichten 2 4 um Statustabelle aller Netzwerkverbindungen zu erstellen (zb nur angeforderte Daten zulassen) o Proxy Firewall: betrachtet zusätzlich Inhalt der OSI-Schicht 7 (Malwarescan) Positionierung ia an der Grenze zwischen zwei Netzwerkzonen (DMZ) Intrusion Detection System (IDS): Signatur Anomalie-Erkennung Senden eines Alarms host-, netzwerkbasiert oder hybrid zb Snort, Prelude Intrusion Prevention System (IPS): zusätzlich Ergreifen von Maßnahmen Seite 18 von 22

19 6 Hardening Systems Sicherstellung von: o Vertraulichkeit o Integrität o Verfügbarkeit Gefährdungen durch: o Sicherheitslücken o falsche Konfiguration o unsichere Konfiguration 6.1 Härtung von Systemen Entfernung von zur Erfüllung der vorgesehenen Aufgabe nicht zwingend nötigen Softwarebestandteilen und Funktionen Verringerung der Angriffsmöglichkeiten prinzipiell auf allen Systemen möglich zusätzliche Maßnahme, kein Ersatz für andere Grundgedanken: nicht installiertes Service nicht angreifbar nicht vorhandenes Tool nicht für Angriff verwendbar nicht vorhandenes Recht kann nicht mißbraucht werden Methoden zur Minimierung der Anzahl von Angriffsvektoren: nur erforderliche Services installieren nur erforderliche Tools installieren nur erforderliche Benutzer anlegen Rechte restriktiv vergeben Positive Effekte: Beschäftigung mit installierter Software Lernen des Verhaltens der Software Doku lesen Logfiles lesen Informationen über Updates Steigerung der IT-Sicherheit Begleitende Sicherheitsmaßnahmen: Boot Settings, BIOS-Passwort Seite 19 von 22 Autorun Windows Direct Memory Access (Firewire, PCMIA, USB) organisatorische Maßnahmen Server-Schrank (versperrt) Lockpicking (ohne Schlüssel und Beschädigung öffnen) Server-Raum (Zugriffskontrolle, Doku)

20 Ideal Erstellung eines Minimal-Systems: sichere Hardware Services Admin Utilities Support Librarys Betriebsystem System Monitoring zb Linux From Scratch (LFS) Einschränkungen: fehlendes Know-how Budget Zeit 3 rd Party Software proprietäre Systeme Praxis: erforderliche Funktionen festlegen System installieren, updaten nicht erforderliche Software entfernen nicht erforderliche Dienste deaktivieren Zugriffsrechte strenger setzen Default-Passwörter ändern Dokumentation Backups Firewalls Testen umgesetzter Härtungsmaßnahmen Unix Security Concepts: Berechtigungen (ls, chmod, chown, chgrp) Chroot/Jailroot suid/sgid weitere Konzepte o erweiterte Berechtigungen (lsattr, chattr) o ACL granulare Berechtigungen o SELinux/AppArmor alle Benutzer sind diesen unterworfen, ia ausgenommen root Berechtigungen: Principle of Least Privilege mindestens nicht privilegierte User-Accounts, privilegierter Admin (root in Linux) Seite 20 von 22

21 Berechtigungen von root: Wechsel der UID Prozesssteuerung Änderung von Systemparametern (Limits für Prozesse, Filesysteme) User-Management System-Management (Shutdown, Reboot) Filesysteme (un)mounten chroot Linux-Berechtigungen: d: Directory u (User): rwx g (Group): rwx o (Others): rwx Shell Injection: Eingabeparameter von Programm nicht kontrolliert Angreifer versuchen Befehl mit ; abzuschließen und anderen auszuführen Pseudocode: o read(eingabe) o exec( cat +eingabe) Angriff: eingabe = /etc/fstab; rm -rf / suid: mit Rechten des Besitzers, nicht des aktuellen Users ausgeführt von vielen Systemprogrammen genutzt praktisch oft fehlerhaft implementiert (Buffer Overflows, keine Eingabeüberprüfung) suid oft nicht erforderlich -rws--x--x chroot: change root: / wird geändert (nur für aktuellen Prozess und Kindprozesse) kein Zugriff auf Dateien außerhalb des Verzeichnisses Anwendungen in ein Jail sperren Linux: Paketverwaltung: viele Varianten einfache (De-)Installation von Softwarepaketen verwaltet Abhängigkeiten Windows 2003: Updates, Entfernen nicht erforderlicher Software Access Control List-Rechte-Konzept einsetzen Seite 21 von 22

22 Anwendungen: Deaktivieren nicht erforderliche Funktionalität Löschen nicht erforderlicher und Default-Dateien/Verzeichnisse in Freigaben (HTTP; FTP) chroot aktivieren Benutzer für Applikation anlegen, Applikation unter dieser Benutzerkennung laufen lassen herausgegebene Informationen minimieren/abändern (System, Kernel, Applikationsname, Versionsnummer) erforderliche Ports nur auf erforderliche Interfaces binden unsichere Protokolle, Verschlüsselungs- und Hash-Algorithmen deaktivieren (zb Webserver) Sicherheitstests: nach Umsetzung der Härtungsmaßnahmen Überprüfung: o wirksam? o auch nach Neustart? o funktionieren Services weiterhin? o werden bei Netzwerk-Scans weiterhin Zugriffe zugelassen? (Firewall) Penetrationstest (Phasen 1, 2 evtl. auch 3) Praxis: Systeme sind grundgehärtet bei funktionalen Problemen prinzipiell immer Härtungsmaßnahmen Schuld Seite 22 von 22