Arbeitsweise und Verwendung von Penetrationswerkzeugen

Größe: px
Ab Seite anzeigen:

Download "Arbeitsweise und Verwendung von Penetrationswerkzeugen"

Transkript

1 Arbeitsweise und Verwendung von Penetrationswerkzeugen Tim Gottwald Projektarbeit Juli 2004 Betreuung: Prof. Dr. Rainer Oechsle Fachbereich Design und Informatik Fachhochschule Trier University of Applied Sciences

2 Autor: Titel: Studiengang: Betreuung: Tim Gottwald Arbeitsweise und Verwendung von Penetrationswerkzeugen Informatik Master of Science Prof. Dr. Rainer Oechsle Juli 2004 Es wird hiermit der Fachhochschule Trier (University of Applied Sciences) die Erlaubnis erteilt, die Arbeit zu nicht-kommerziellen Zwecken zu verteilen und zu kopieren. Unterschrift des Autors c Copyright: Tim Gottwald (2004) ii

3 Kurzfassung Hacker treiben ihr Unwesen seit es Computer gibt. Mit der steigenden Anzahl an Internetnutzern steigt auch die Anzahl ihrer potentieller Opfer. Dabei ist die Informationsgewinnung über die Opfer der erste Schritt eines erfolgreichen Angriffs. In dieser Arbeit werden die sogenannten Penetrationswerkzeuge, die zur Informationsgewinnung verwendet werden, untersucht. Der Schwerpunkt liegt dabei auf deren Verwendung und Arbeitsweise. Im Hinblick auf den Nutzen dieser Werkzeuge werden zunächst einige Angriffsmethoden von Hackern beleuchtet, die Aufschluss über die Ziele und Möglichkeiten von Hackern geben sollen. Darunter fallen Methoden zum Eindringen in fremde Systeme und Angriffe, die diese Systeme zum Opfer fallen können. Da es nur wenig Literatur zu eigentlichen Hackerwerkzeugen gibt, werden Werkzeuge untersucht, die den Hackern entgegen wirken wollen. Darunter fallen Sicherheitsscanner, die zwar ähnlich arbeiten, wie Werkzeuge, die für Angriffe benötigt werden, die Angriffe aber in erster Linie verhindern sollen, indem bekannte Schwachstellen aufgedeckt werden. Ein Schwerpunkt von Penetrationswerkzeugen liegt in der Erkennung von offenen Ports auf fremden Systemen, um vorhandene Hintertürchen zu finden und zu nutzen. Ein Portscanner, der viele Techniken umsetzt, die vorwiegend von Hackern verwendet werden, ist Nmap, welches in dieser Arbeit genauer untersucht wird. Eine grosse Sicherheitslücke in Windowssystemen ist die Datenfreigabe. Diese Lücke ist vor allem so gravierend, da viele Benutzer gar nichts von diesem Dienst wissen und entsprechend unfreiwillig ihre persönlichen Daten der Welt preisgeben. In einer kleinen Studie, die im Rahmen dieser Projektarbeit gemacht wurde, wird eine Hochrechnung der Internetnutzer in Deutschland erstellt, die über Freigaben verfügen. iii

4 Inhaltsverzeichnis 1 Einleitung 1 2 Angriffsmethoden von Hackern Social Engineering Passwortattacken Programmfehler Sicherheitslücken in den Netzwerkprotokollen Versagen der Authentifikationsmechanismen Denial of Service Computervandalismus Informationsgewinnung Scanner Die ersten Scanner Arbeitsweise Eigenschaften von Sicherheitsscannern Beispiel: Nmap Scantypen Generelle Optionen Timing Optionen Studie - Freigaben 21 Literaturverzeichnis 23 iv

5 1 Einleitung Einleitung Seit es Computer gibt treiben Hacker ihr Unwesen. Es gibt unterschiedliche Definitionen, die einen Hacker beschreiben. Dabei spielen Fähigkeiten und Zielrichtung eine Rolle. In der Regel trifft man auf Bezeichnungen wie Hacker, Cracker, Black Hats, White Hats oder die mittlerweile überhand nehmenden Scriptkids. Nicht alle Hacker verfolgen eine bösartige Absicht, oft geht es ihnen um das Auffinden und Beseitigen von Sicherheitslücken. Andere werden von niederen Beweggründen wie Eitelkeit, Niederträchtigkeit oder Zerstörungswut geleitet. Wieder andere wollen ihre politische Meinung kundtun oder sie haben kriminelle Motive wie Diebstahl. In dieser Arbeit wird kein Unterschied zwischen all den einzelnen Gruppierungen gemacht, sondern alle werden dem Oberbegriff Hacker untergeordnet (vgl. [Anonymous 2003] S. 220f, S. 229ff, [Thaller 1993] S. 62f). In dieser Arbeit werden zunächst einige Angriffsmethoden von Hackern untersucht (Kapitel 2), um deren Ziele heraus zu finden. Dabei wird ein breites Spektrum der Möglichkeiten aufgefechert, die ein Hacker zum Eindringen in fremde Systeme anwendet. Anschließend wird auf Attacken eingegangen, die auf infiltrierten Systemen durchgeführt werden könnten. Der Schwerpunkt dieser Arbeit liegt bei den Penetrationswerkzeugen, wie z.b. Portscanner. Da es aber gerade zu den Werkzeugen, die für kriminelle Machenschaften eingesetzt werden kaum Informationen und Literatur gibt, werden Sicherheitsscanner untersucht. Diese haben die Aufgabe Sicherheitslücken von Systemen aufzudecken. Ihre Arbeitsweise ähnelt der von Hackerwerkzeugen obwohl sie eine entgegengesetzte Zielrichtung verfolgen. Die Entstehungsgeschichte dieser Scanner und deren Eigenschaften werden in Kapitel 3 erläutert. Um in die Arbeitsweise von Penetrationswerkzeugen einzutauchen wird in Kapitel 4 der verbreitete Portscanner Nmap untersucht. Dieses Programm realisiert viele Funktionen und Methoden, um fremde Systeme auszukundschaften. Das Kapitel geht auf die einzelnen Methoden und Taktiken ein, die das Programm ermöglicht. Im Laufe dieser Projektarbeit wurde eine Studie über die Freigaben auf Windowssystemen durchgeführt. Dabei wurden Teilnetze der grossen deutschen Internet Service Provider Deutsche Telekom und Mannesmann Arcor untersucht und die Anzahl der Benutzer mit Freigaben erfasst. Vorgehensweise und Ergebnisse dieser Studie finden sich in Kapitel 5.

6 2 Angriffsmethoden von Hackern Angriffsmethoden von Hackern Wie gelingt es einem Hacker, Zugriff auf ein System zu erlangen? Ist ein solches Eindringen gelungen, welche Möglichkeiten werden dann einem Hacker geboten, dieses System anzugreifen und zu manipulieren? Antworten auf diese Fragen sollen in diesem Kapitel gegeben werden. Dabei werden die Methoden zum Eindringen in Computersysteme und die gefährlichsten und bekanntesten Angriffsmethoden vorgestellt. 2.1 Social Engineering Social Engineering unterscheidet sich grundlegend von den anderen hier vorgestellten Methoden. Hierbei wird im Normalfall kein Rechner benötigt, sondern der physikalische Kontakt mit dem Opfer steht im Vordergrund. Da diese Art des Angriffs aber weiterhin sehr wirkungsvoll und verbreitet ist, soll sie hier kurz Erwähnung finden. Eine Form des Social Engineering ist das Ausfindigmachen von Informationen, wie Passwörter, Benutzerdaten oder ähnliches. Diese Informationen finden sich z.b. auf Zetteln an Monitoren oder rund um einen Arbeitsplatz, im Papiermüll oder anderen Abfällen. Dass diese Methode nicht nur grobe Theorie ist, zeigt, welche Grenzen Hacker bereit sind zu überschreiten. Noch dreister ist der persönliche Kontakt des Angreifers mit seinen Opfern. Dieser Kontakt könnte über ein Telefongespräch, eine oder sogar durch einen Besuch hergestellt werden. Dabei werden häufig psychologische Methoden angewandt, die in Verkaufsgesprächen ihren Ursprung haben, um eine gewisse Vertrauensbasis zu dem Opfer aufzubauen. Ein Beispiel einer solchen Situation in Form eines Telefonats könnte wie folgt aussehen: Angreifer: Hallo, ich bin der neue Systemadministrator und wollte mich vorstellen... irgendwelche Probleme mit dem Rechner? (und wer hat die nicht...) Opfer: Hallo! Ja, da wäre ein kleines Problem... Angreifer: Ah, ja... nein, das kann ich so jetzt nicht beheben, könnte ich vielleicht ihr Passwort haben?... Auf diesen oder anderen Wegen gelingt es Hackern, Zugriff auf fremde Systeme zu erhalten, wo sie dann ihr Unwesen treiben können (vgl. [Fuhrberg 2000] S. 56f, [Cheswick, Bellovin 1996] S.192ff).

7 2.2 Passwortattacken Passwortattacken Der einfachste Weg, so Cheswick und Bellovin, ist der Vordereingang. Dieser ist in Computersystemen der Login, also die Anmeldung über Benutzername und Passwort. Eine Möglichkeit, an fremde Passwörter zu kommen, wurde ja bereits in Abschnitt 2.1, Social Engineering, vorgestellt. Im Laufe der Jahre hat sich die Art der Anmeldung immer weiter entwickelt. In den ersten Versionen einer Anmeldung konnten beliebig viele Fehlversuche gemacht werden. Durch die langsamen Modemverbindungen zu dieser Zeit wurde das Raten der Passwörter aber gebremst, da nur wenige Passwörter in einem längeren Zeitraum getestet werden konnten. Später kamen die Passwort-Dateien auf, die die Passwörter als Klartext gespeichert haben. Das System hat dann die Aufgabe, diese Dateien in Verzeichnisauflistungen zu verbergen. Über Systemaufrufe konnte die Datei trotzdem erkannt werden. Unter Unix wurden diese Passwort-Dateien durch die Shadow-Datei ersetzt. Diese beinhaltet die Passwörter der einzelnen Benutzer in einer Einwege-Verschlüsselung. Allerdings wurde diese Datei oft schlecht implementiert, was eine weitere Angriffsfläche bot. Nachdem die Systemanmeldung immer sicherer wurde, fanden sich ähnliche Routinen, natürlich gesondert implementiert, in Programmen wie z.b. FTP wieder, die erneut die Chance geben, an die Passwörter des Systems zu gelangen. Das zeigt, dass das eigentliche Ziel des Hacker nicht ein Einbruch ist, sondern das Erhaschen der Passwort-Datei. Durch Fehler in Diensten und Programmen wie FTP, TFTP, Mail-System, NIS, rsh, finger, uucp, X11 usw. ist dies möglich (vgl. [Cheswick, Bellovin 1996] S. 191f). 2.3 Programmfehler Eine der beliebtesten Methoden, in fremde Systeme einzudringen, sind Fehler oder Hintertürchen in Programmen. Die meisten dieser Fehler werden in Programmen gesucht, die Netzwerk- oder Internetdienste anbieten. Während der Entwicklung bauen viele Programmierer Hintertürchen in ihr Programm ein, um spezielle Sachen zu testen. Und oft werden diese nach Fertigstellung nicht wieder entfernt. Werden solche Hintertürchen bekannt, ist es ein leichtes für einen Hacker diese auszunutzen. Die am häufigsten verwendete Angriffsmethode ist der Pufferüberlauf (Buffer overflow). Dabei wird ein oft auftretender Programmierfehler ausgenutzt, der

8 2.3 Programmfehler gerade in C oder C++ auftritt. Die Methode des Pufferüberlaufs nutzt dabei das Versäumnis des Programmierers eine Eingabe nach ihrer Größe zu überprüfen. Um dieses Verfahren genauer zu verstehen, muss auf die Arbeitsweise von Computern (i.d.r. von Neumann-Architekturen) eingegangen werden. Für jede Variable in einem Programm wird ein Bereich im Arbeitsspeicher bereitgestellt (siehe Abbildung 2.1). Wird nun einer solchen Variablen ein Wert zugewiesen,... andere Variablen Nichtüberprüfte Variable Rücksprungadresse... Anwendungsdaten Speicherblöcke Abbildung 2.1: Verteilung des Arbeitsspeichers den der Benutzer übergeben muss, kann es passieren, dass die Länge der Eingabe die vorgesehene Länge überschreitet und den im Speicher nachfolgenden Bereich überschreibt. Nun ist es möglich, in diesen Bereich Programmcode einzufügen, der anschließend ausgeführt wird (siehe Abbildung 2.2). In der Regel wird versucht mit Hilfe eines solchen Pufferüberlaufs eine Shell mit Administratorrechten zu öffnen. Ein weiterer Angriffspunkt von Hackern sind Programme, die während der Laufzeit erweiterte Privilegien erhalten und mit diesen erhöhten Privilegien Änderungen an Systemdateien vornehmen. Für solche Fälle werden häufig Temporärdateien verwendet, dessen Inhalt später auf die Systemdateien übertragen wird. Durch Unachsamkeit eines Programmierers kann es jetzt passieren, dass zwischen dem Erstellen dieser Temporärdatei, der Übertragung des Inhalts auf die Systemdatei und dem Entfernen der Temporärdatei ein Zeitfenster entsteht, in dem ein Hacker versuchen kann die Temporärdatei zu manipulieren, da dieser Zugriff keine höheren Privilegien benötigt. Ein solches Zeitfenster beschreibt

9 2.4 Sicherheitslücken in den Netzwerkprotokollen andere Variablen bösartiger Code f o o b a r Rücksprungadresse... Speicherblöcke Nichtüberprüfte Variable Anwendungsdaten Abbildung 2.2: Pufferüberlauf eine typische Rennsituation (Race Condition). Der Versuch eine solche Rennsituation auszunutzen gestaltet sich wie folgt. Der Hacker startet die Anwendung, die die Temporärdatei anlegt; parallel dazu wird ein Programm gestartet, dass versuchen soll diese Temporärdatei zu manipulieren. Wechselt das Betriebssystem in dem oben beschriebenen Zeitfenster den Prozess auf das Programm des Hackers, kann dieser die geplante Manipulation durchführen und hat damit das Rennen gewonnen (siehe Abbildung 2.3). Verliert er, kann er das Rennen beliebig oft wiederholen (vgl. [Fuhrberg 2000] S. 77f, [Cheswick, Bellovin 1996] S.194ff, [Wikipedia]). 2.4 Sicherheitslücken in den Netzwerkprotokollen Als Ende der 1960er die Protokolle TCP, IP usw. entwickelt wurden, dachte wohl keiner daran, dass sie einmal die Säule einer weltweiten Kommunikationsund Handelsplattform werden würden. Aus diesem Grund sind wohl auch die Sicherheitskonzepte dieser Protokolle unzureichend konzipiert worden.

10 2.4 Sicherheitslücken in den Netzwerkprotokollen kriminelle Anwendung legitime Anwendung Temporärdatei erstellen/öffnen Dateioperation Race Condition Manipulation Temporärdatei löschen Abbildung 2.3: Race Condition durch Temporärdatei Kryptographische Verfahren könnten diese Konzeptionsfehler eventuell aufheben, allerdings würden auch diese wiederum auf die unsicheren Protokolle zurückgreifen müssen; denn die Verteilung eines öffentlichen Schlüssels würde beispielsweise über NIS erfolgen, was ein unsicherer Dienst ist. Der private Schlüssel würde ebenfalls über NIS oder RPC eingesetzt werden und ist von aussen über das Betriebssystem auch nur mit dem Passwort geschützt. Die mangelnde Sicherheit von Passwörtern wurde oben (Abschnitt 2.2) bereits erläutert. Im Folgenden sollen ein paar mögliche Fehler oder Hintertüren von Protokollen vorgestellt werden, die für einen Angriff ausgenutzt werden können. Mit Hilfe der IP-Fragmentierung ist es z.b. möglich, TCP-Pakete an einer Firewall vorbeizuschleusen, obwohl diese gefiltert werden sollten. Das gelingt, indem der TCP-Header in verschiedenen IP-Fragmenten gesendet wird. Filter einer Firewall überprüfen häufig die Flags des Pakets. Befinden sich diese Informationen aber in einem zweiten IP-Fragment hat die Firewall höchstwahrscheinlich schon das erste Fragment durchgelassen. ICMP wird häufig für DoS Attacken (Denial of Service, siehe auch Abschnitt

11 2.5 Versagen der Authentifikationsmechanismen ) missbraucht. Aber es kann auch auf anderen Wegen Tür und Tor für Hacker öffnen. So ist es möglich, mit dem ICMP-Befehl redirect einen Rechner dazu zu bewegen, seine Routing-Tabelle zu aktualisieren. Der Angreifer überträgt dann einfach eine falsche Route an sein Opfer und bewirkt damit, dass dieser seine gesamte Kommunikation über den Rechner des Angreifers durchführt. Das TCP Hijacking bezeichnet die Übernahme einer bereits bestehenden TCP-Verbindung von einem Opfer. Hierbei wird zunächst der Verkehr zwischen den beiden Angriffspunkten belauscht und die Sequenznummern der Pakete verfolgt. Schließlich wird Client und Server in einen unsynchronisierten Zustand gebracht, indem der Angreifer dem Server gefälschte Pakete schickt, die nur die Aufgabe haben, die Sequenznummer zu erhöhen. Versucht der Client nun, ein Paket zu senden, wird dieses verworfen. Der Angreifer ist nun in der Lage, gefälschte Pakete des geblockten Rechners zu simulieren. Dieser Abschnitt zeigt, dass selbst Protokolle, auf denen sich das gesamte Internet aufbaut, unter diversen Sichertslücken leiden (vgl. [Fuhrberg 2000] S. 67ff, [Cheswick, Bellovin 1996] S.197f). 2.5 Versagen der Authentifikationsmechanismen Wie im vorangegangenen Abschnitt erklärt, haben selbst die Protokolle, auf denen sich das Internet stützt, einige Makel vorzuweisen. Im Folgenden wird gezeigt, wie diese Protokolle auch für ein Eindringen in ein fremdes System ausgenutzt werden können. Häufig werden Funktionalitäten und Zugriffsrechte mit Hilfe der (IP) Adresse des Anfragenden gelöst. Befindet sich dieser z.b. in einem bestimmten Adressraum oder wird er durch eine bestimmte Adresse identifiziert, entscheidet das System, ob ein Zugriff auf bestimmte Programme oder Ressourcen gestattet ist oder nicht. Meist handelt es sich dabei um Adressen aus dem eigenen Netz. Um nun in ein solches System einzudringen, genügt es, diesem vorzugaukeln, eine autorisierte Adresse zu besitzen. Eine Möglichkeit, dies zu erreichen, sind Portmapper. Aber die bekannteste und verbreitetste Methode ist der Maskerade-Angriff oder Spoofing. Spoofing bezeichnet das Vortäuschen einer falschen Identität. Dabei werden drei unterschiedliche Methoden unterschieden: 1. IP-Spoofing: funktioniert im Grunde wie TCP Hijacking (Abschnitt 2.4). Der Angreifer blockiert den eigentlichen Sender und fälscht Pakete mit dessen Adresse. Das Spoofing über UDP ist für den Angreifer noch einfacher,

12 2.6 Denial of Service da in diesem Fall keine Sequenz- oder Quittungsnummern erraten werden müssen. 2. DNS-Spoofing: erfolgt eine DNS-Abfrage auf dem DNS-Server des Angreifers, kann dieser seine IP-Adresse für jeden beliebigen DNS-Namen übermitteln. 3. Web-Spoofing: bezeichnet das Versenden von Daten oder Dateien, die eigentlich von einem anderen Server angeboten werden. Dabei kann auf DNSoder IP-Spoofing zurückgegriffen werden. Mit gefälschten Zertifikaten ist es sogar möglich, eine SSL-Verbindung zu spoofen. Für diese Art des Angriffs wird oft Sniffing verwendet. Unter Sniffing versteht man das Mitlesen der Daten einer TCP/IP Verbindung (vgl. vgl. [Fuhrberg 2000] S. 61ff, [Cheswick, Bellovin 1996] S.196f, [Anonymous 2003] S. 161ff). 2.6 Denial of Service Bisher wurden Methoden vorgestellt, die gezeigt haben, wie ein Hacker in ein System eindringen kann. Ist ihm dies gelungen, stellt sich die Frage, was macht er mit diesem infiltrierten System? Ein Angriff, der aus reiner Böswilligkeit geschieht, ist die Denial of Service (DoS) Attacke. Ziel einer solchen Attacke ist es, einen Dienst oder sogar ein ganzes System lahmzulegen. Ein anderer Begriff hierfür ist Computervandalismus. Eine der weitverbreitetsten und bekanntesten Methoden dies zu erreichen, ist das Versenden von Mail-Bomben. Eines der ersten und dadurch wohl bekannteste Beispiel einer DoS-Attacke war der Morris-Wurm, der sein Unwesen im November 1988 in den USA trieb. Opfer dieses Angriffes wurden neben anderen die Rechenzentren der grossen Hochschulen wie das MIT oder Berkeley. Gerade heutzutage stehen DoS-Attacken auf der Tagesordnung. Hervorgerufen durch im Baukasten entstandene Würmer sogenannter Skriptkids (vgl. [Fuhrberg 2000] S. 78ff, [Cheswick, Bellovin 1996] S.199f, [Thaller 1993] S. 34ff).

13 2.7 Computervandalismus Computervandalismus Der Begriff Systemanomalien umschreibt Programme, die - harmlos ausgedrückt - unerwünschte Funktionalitäten aufweisen. In diese Kategorie fallen: Trojanische Pferde; benannt nach der wohl berühmtesten Kriegslist führen diese Programme neben ihrer eigentlichen Aufgabe Funktionen aus, die dem Anwender nicht bekannt und in der Regel auch nicht erkennbar für ihn sind. Ein bekanntes Beispiel für ein Trojanisches Pferd ist Back Orifice, mit dem der Angreifer Kontrolle über einige Funktionen des Betriebssystem erhält. Viren, die ein ähnliches Verhalten wie ihre irdischen Vorbilder an den Tag legen. Sie reproduzieren sich selbst, sind nicht eigenständig lauffähig (analog lebensfähig) und führen Manipulationen an Sytembereichen, Programmen oder deren Umgebung durch. Viren werden in drei Kategorien unterteilt, die gleichzeitig den Wirt des Virus spezifizieren: 1. File-Viren hängen sich an Programmdateien an und werden beim Start dieses Programms ausgeführt. 2. Boot-Viren befinden sich im Boot-Sektor einer Diskette, einer Partition oder einer Festplatte und beginnen ihr zerstörerisches Treiben beim Start des Systems. 3. Makroviren beschränken sich auf Microsoft-spezifische Programme wie z.b. Office. Würmer, die ein ähnliches Verhalten wie Viren besitzen, aber selbständig arbeiten. Vor allem Viren und Würmer sind wohl die verbreitetsten Angriffe, die Hacker vornehmern (vgl. [Fuhrberg 2000] S. 59f, [Thaller 1993] S. 81ff, 87ff). 2.8 Informationsgewinnung Vor einem erfolgreichen Angriff auf ein System steht die Phase der Auskundschaftung des Opfers an. Dabei soll festgestellt werden, auf welchem Weg ein Eingriff möglich ist und wie sicher das System ist, um sich schnellstmöglich und unerkannt zurückziehen zu können. Das unglaubliche dabei ist, dass viele Informationen frei zugänglich sind.

14 2.8 Informationsgewinnung Es ist erschreckend, wie viele Informationen von Firmen und Personen über das Internet frei und legal zugänglich sind. Darunter fallen vor allem Programme und Dienste wie finger oder whois mit denen Informationen über einzelne Adressen oder Adressräume erhältlich sind. Gerade aus diesem Grund finden sich auch kaum noch Rechner oder Netze, die den finger-dienst anbieten. Der Aufruf einer telnet-sitzung auf einem Rechner könnte genügen um zu erfahren, um welches Betriebssystem es sich handelt. Um bekannte Programmierfehler im Rahmen eines Speicherüberlaufs auszunutzen, sind meistens die Versionsnummern der Programme nötig, da dieser Fehler in höheren Version oft schon behoben wurden. Aber gerade Versionsnummern werden häufig von Programmen wie Webservern übertragen. Häufig lassen sich Versionsnummern über Fehlermeldungen rückschließen. Mit diesem Hintergrundwissen sollte man sich genau Überlegen welche Informationen man über welche Dienste veröffentlichen will. In Büchern oder Artikeln finden sich oft genug Versuche, jemanden, der sich z.b. rege in Newsgroups beteiligt, auszukundschaften. Neben oben genannten Diensten können Webangebote wie oder dazu genutzt werden, sich bis vor die Haustür des Opfers durchzufragen ( [Fuhrberg 2000] S. 60f, [Anonymous 2003] S. 179ff).

15 3 Scanner Scanner Einem Hackerangriff geht eine Phase der Informationsgewinnung (Abschnitt 2.8) voraus. Eine wichtige Methode dabei ist das Scannen des Objekts der Begierde, dem Rechner des Opfers. In diesem Kapitel wird auf die Geschichte von Sicherheitsscannern eingegangen, sowie deren Arbeitsweise und den daraus resultierenden Stärken und Schwächen. 3.1 Die ersten Scanner Die ersten Scanner sind nicht entstanden, um Rechner anzugreifen, sondern um deren Schwachstellen aufzudecken, damit diese schnellstmöglich behoben werden können. Pionier auf diesem Gebiet war Chris Klaus, der im Jahr 1992 den Internet Security Scanner, kurz ISS, entwickelte. Ziel des Programms war es, eine Fernanalyse von Unix-Systemen bezüglich häufig auftretender Sicherheitslücken durchzuführen. Über dieses Produkt hat Klaus eine Firma gegründet, die den ISS heute noch vertreibt und weiterentwickelt entwickelte Dan Farmer das Security Administration Tool for Analysing Networks (SATAN). Vielleicht lag es an dem unkonventionellen Namen, dass dieses Werkzeug sogar in der Presse seine Erwähnung fand. Das Time-Magazin hatte einen Artikel über SATAN veröffentlicht und löste damit einen riesigen Hype um das Programm aus. Der Unterschied zum ISS war ein ausgereifterer Erkennungsalgorithmus und eine webbasierte Oberfläche. Der Entstehungshintergrund dieser ersten bekannten Scanner lässt erkennen, dass das eigentliche Einsatzgebiet im Verhindern von Hackerangriffen liegt. Allerdings werden ähnliche Werkzeuge auch von der anderen Seite verwendet, wodurch die Sicherheitsscanner dazu gezwungen werden, auf diese bösartigen Techniken zurückzugreifen. 3.2 Arbeitsweise Die Arbeitsweise eines Scanners lässt sich in 5 Teilschritte untergliedern: 1. welche Ports sind offen?

16 3.2 Arbeitsweise welche Dienste laufen auf diesen Ports? Da liegen die Lücken bei den sogenannten well-known Ports (z.b. HTTP auf Port 80). 3. welches Programm bietet diesen Dienst an? 4. welche Version dieses Programms wird genutzt? 5. welche Fehler dieses Programms sind unter dieser Version bekannt? Diese Teilschritte werden im Folgenden genauer beschrieben Portscan Einer der wichtigsten Mechanismen, um mögliche laufende Dienste zu lokalisieren, ist der Portscan. Dabei muss nur festgestellt werden, auf welchem Port ein Rechner lauscht. Dabei muss zwischen TCP und UDP unterschieden werden. Um festzustellen, ob ein bestimmter TCP-Port offen ist, kann versucht werden eine Verbindung mit diesem Port über den üblichen Three-Way-Handshake (SYN, SYN/ACK, ACK) zu öffnen, wobei aus Sicht des Scanners auf das letzte Paket verzichtet werden kann (halb-offene Verbindung/half-open). Diese Vorgehensweise ist allerdings sehr auffällig. Um einen Scan zu tarnen, genügt es auch ein FIN-Paket an den betreffenden Port zu senden. Falls dieser Port geöffnet ist, wird dieses Paket nicht beantwortet. Ist er geschlossen, wird die Anfrage mit einem RST-Paket beantwortet. Letzteres Verfahren wird auch in abgeänderter Form für UDP verwendet. Da UDP verbindungslos ist, würden erhaltene Pakete kommentarlos angenommen werden. Allerdings ist UDP häufig so konfiguriert, dass eine Anfrage an einen geschlossenen Port mit der ICMP-Meldung Port unreachable beantwortet wird. Auf diese Weise können mittels Umkehrschluss auch die offenen UDP-Ports erkannt werden. Eine detailtere Beschreibung des wohl bekanntesten und verbreitetsten Portscanners findet sich in Kapitel 4, in dem das Programm Nmap vorgestellt wird Diensterkennung Nachdem herausgefunden wurde, welche Ports geöffnet sind, muss ein Angreifer festlegen, welche Dienste auf dem entsprechenden Rechner laufen. Dabei wird in der Regel auf die well-known-ports zurückgegriffen, denn erst in der nächsten Phase beginnt die eigentliche Schwachstellenprüfung. Einige Scanner sind nicht in der Lage, Dienste zu finden, die nicht auf dem für sie reservierten Port laufen. Eine grossartige Verbesserung der Sicherheit wird dadurch allerdings nicht erreicht, denn die meisten Scanner finden auch die Dienste, die nicht auf dem dafür vorgesehenen well-known-port lauschen.

17 3.3 Eigenschaften von Sicherheitsscannern Dienstanbieter Der nächste Schritt ist, herauszufinden, welches Programm den entsprechenden Dienst anbietet. In Abschnitt 2.8 wurde bereits angedeutet, wie so etwas ablaufen kann. Häufig genügt ein einfacher telnet-aufruf, oder im Fall des HTTP-Dienstes eine GET-Anfrage. In der Antwort findet sich dann häufig schon der Name des Servers und sogar die Version Version des Programms Programm und Versionsnummer finden sich üblicherweise gemeinsam. Wobei es hier mitlerweile die Möglichkeit gibt, dies zu unterbinden oder zu fälschen. Z.B. kann bei einem FTP-Dienst die Begrüssung (sog. Banner) geändert werden, bei der üblicherweise das Programm und die Versionsnummer übertragen werden. Aber auch durch solche Aktionen ist man nicht unbedingt auf der sicheren Seite. Ebenso können bestimmte Diensteigenschaften auf verschiedene Programme und Versionen hinweisen Fehler im Programm Der letzte Schritt vor dem Angriff ist, herauszufinden, ob und, wenn ja, wo Fehler und Schwachstellen in einem Programm liegen. Diese Information findet sich bereits wenige Stunden nach dem Auffinden eines solchen Fehlers im Web. Das stellt für Sicherheitsscanner ein grosses Problem dar, denn diese sollten, wie die Hacker, immer auf dem neuesten Stand sein. Die Scanner sind in der Regel aber immer einen Schritt hinterher. Denn für diese muss eine Lösung des Problems gefunden und ein Update angeboten werden. Häufig werden solche Updates aber erst mit einer neuen Version oder nur Quartalsweise ausgegeben. 3.3 Eigenschaften von Sicherheitsscannern Aus Sicht des Sicherheitsexperten müssen Sicherheitsscanner über folgende Fähigkeiten verfügen: Vollständigkeit: möglichst alle Schwachstellen müssen untersucht werden. Dabei greifen die meisten Scanner auf eine umfangreiche Datenbank zurück.

18 3.3 Eigenschaften von Sicherheitsscannern Umfang: es sollen interne/lokale sowie externe Fehler untersucht werden. Die Suche lokaler Fehler ist dabei allerdings weit umfangreicher. Aktualität: möglichst schnelle Integration neuester Schwachstellen. Genauigkeit: möglichst alle vorhandenen Schwachstellen aufdecken und dabei möglichst keine Fehlalarme auslösen. Report: die Resultate eines Sicherheitsscans sollten in umfangreicher und verständlicher Form präsentiert werden. Dabei können Probleme z.b. in Klassen eingeteilt werden. Reparatur: im Idealfall kümmert sich ein Sicherheitsscanner selbst um die Behebung einer Sicherheitslücke, indem er entsprechende Patches runterlädt und installiert. Die Entwicklung solcher Sicherheitsscanner ist mittlerweile soweit fortgeschritten, dass sogar schon versucht wird über heuristische Ansätze oder künstliche Intelligenz noch unbekannte Schwachstellen zu finden (vgl. [Fuhrberg 2000] S. 60f, [Anonymous 2003] S. 267ff).

19 4 Beispiel: Nmap Beispiel: Nmap Nmap gehört zur Zeit zu den verbreitetsten Portscannern. Die Gründe für diese Popularität liegen sicherlich an der hohen Geschwindigkeit, dem grossen Funktionsumfang und der Tatsache, dass die Quellen des Programms allen zugänglich sind, was die Entwicklung enorm vorangetrieben hat. Zudem ist Nmap für viele Betriebssysteme verfügbar. Entwickelt wurde Nmap für Systemadministratoren und kuriosen Individuen, um bereitgestellte Dienste in grossen Netzwerken zu identifizieren. Dieses Kapitel beschäftigt sich intensiv mit den wichtigsten Funktionen und Methoden von Nmap. 4.1 Scantypen Nmap bietet viele unterschiedliche Arten von Scans, die dazu dienen, Firewalltechniken zu umgehen und die Scans möglichst unauffällig durchzuführen. TCP connect() Die klassische Methode zum scannen eines Ports ist die vom Betriebssystem bereitgestellte connect()-funktion. Diese ist nötig, wenn der Benutzer keine privilegierten Rechte besitzt. Allerdings wird diese Methodik sehr einfach entdeckt und mit hoher Wahrscheinlichkeit vom Zielsystem protokolliert. TCP SYN-Scan Die Technik des TCP SYN-Scans wird auch als halb-offen bezeichnet. Dabei wird eine TCP-Verbindung angesetzt, aber auf das letzte Paket (ACK) des Drei-Wege-Handschlags (SYN, SYN/ACK, ACK) wird verzichtet. Statt dessen wird ein RST-Paket gesendet. Der Vorteil dieser Methode liegt darin, dass viele Systeme nur vollständig etablierte Verbindungen protokollieren und der Scan auf diese Weise nicht nachzuvollziehen wäre. Allerdings benötigt ein Benutzer gewisse Privilegien (z.b. root- Rechte), um diese Technik anwenden zu dürfen. FIN-, Xmas-Tree-, Null-Scan In manchen Fällen sind SYN-Scans nicht heimlich genug und können durch Firewalls über Paketfilter oder SYN-logger erkannt werden. Hier kann auf die FIN-, Xmas-Tree- oder Null-Scan Methode zurückgegriffen werden. Die Idee hinter diesen Methoden ist ein rückschlüssiges Vorgehen, indem herausgefunden wird, welche Ports bei dem Zielsystem geschlossen sind. Denn eine Anfrage an einen geschlossenen Port, sollte ein System mit einem RST-Paket antworten. Die drei Methoden verwenden daher auch eine ähnliche Vorgehensweise:

20 4.1 Scantypen Beim FIN-Scan wird das FIN-Flag im Paketkopf gesetzt, beim Xmas-Tree-Scan werden sowohl das FIN- als auch das URGund PSH-Flag gesetzt und beim Null-Scan wird auf alle optionalen Flags verzichtet. Leider sind diese Methoden nicht auf Microsoft-Systemen einsetzbar, da sich hier nicht an das RFC gehalten wird. Allerdings erleichtert dieses Verhalten das Erraten des Betriebssystems, was ebenfalls von Nmap unterstützt wird. Werden mit Hilfe dieser Methoden offene Ports entdeckt, handelt es sich schon einmal nicht um ein Microsoft-System. Ping Scanning Das Ping Scanning soll dazu dienen herauszufinden, welche Rechner aus dem gewählten Adressbereich online sind. In der Regel wird hierzu der ICMP echo request verwendet, doch manche Firewalls filtern ICMP Anfragen. In diesen Fällen gibt es zwei Alternativen, die auf TCP basieren. 1. Ein Paket mit gesetztem ACK-Flag wird an einen potentiell offenen Port (z.b. 80) gesendet. Wird diese Anfrage mit einem RST-Paket beantwortet, ist das Zielsystem online. 2. Ein SYN-Paket wird an einen beliebigen Port gesendet. Wird diese Anfrage mit einem RST- oder SYN/ACK-Paket beantwortet, ist der Zielrechner erreichbar. UDP-Scan Da UDP ein verbindungsloses Protokoll ist und nicht sichergestellt wird, ob gesendete Daten empfangen wurden, verwendet Nmap hier das Rückschluss-Prinzip, wie bereits bei FIN-, Xmas-Tree- oder Null-Scan gesehen. Es wird Datagramm mit 0 Byte Nutzdaten versendet. Geschlossene Ports senden dann ein port unreachable zurück. IP-Protokol-Scan Mit dem IP-Protokoll-Scan versucht Nmap herauszufinden, welche Protokolle vom Zielsystem unterstützt werden. Dabei werden für jedes Protokoll RAW IP-Pakete mit fehlendem Header versendet. Wird ein Protokoll nicht unterstützt, antwortet ein System mit einer ICMP protocoll unreachable Nachricht. Dieser Scan geht relativ schnell von statten, da für das IP-Protokollfeld nur 8 Bit verwendet werden und sich dieser Test auf 256 Protokolle beschränkt. Idlescan Der Idlescan ist wohl die eleganteste Methode, ein fremdes System auszuhorchen, da kein einziges Paket an das eigentliche Opfer geschickt wird. Statt dessen wird ein Rechner (Zombie genannt) verwendet, der zur Zeit untätig (idle) ist. Ein solcher Rechner hat die Eigenschaft, dass die

21 4.1 Scantypen IDs seiner IP-Pakete immer um eins erhöht werden. Um nun herauszufinden, ob auf einem Rechner ein bestimmter Port geöffnet ist, sendet Nmap ein SYN-Paket mit der Adresse des Zielrechners an den Zombie, der wiederum versucht den damit begonnen Verbindungsaufbau abzuschließen. Anschließend tauscht Nmap erneut eine Nachricht mit dem Zombie aus, um die ID des IP-Pakets zu überprüfen. Taucht jetzt ein Sprung in der ID-Aufzählung auf, ist der getestete Port auf dem Zielrechner erreichbar (siehe Abbildung 4.1). Zombie Kontinuierlicher IP-ID-Check Hacker SYN/ACK RST Victim SYN SRC-IP-Adresse: Zombie Abbildung 4.1: Idle-Scan: offener Port ACK-Scan Um herauszufinden, ob ein Zielsystem von einer Firewall geschützt ist und welche Ports von dieser blockiert werden, wird der ACK-Scan verwendet. Dabei werden ACK-Pakete mit zufälligen Sequenz- und Bestätigungsnummern versendet. Wird eine solche Anfrage mit einem RST-Paket beantwortet, kann dieser als ungefiltert eingestuft werden. Gefilterte Anfragen werden mit einem ICMP port unreachable beantwortet. Nmap listet bei einem ACK-Scan die gefilterten Ports auf. Window-Scan Der Window-Scan verfolgt ähnliche Ziele wie der ACK-Scan. In diesem Fall werden allerdings Anomalien der Betriebssysteme, die in der Window-Size erkennbar sind, verwendet, um zu entscheiden, ob ein Port gefiltert wird oder nicht. RPC-Scan Der RPC-Scan dient dazu, vom Zielsystem bereit gestellte RPC- Dienste zu finden. Dabei wird auf einige schon vorgestellte Scan-Techniken zurückgegriffen, um herauszufinden, welche TCP- oder UDP-Ports geöffnet sind. Diese werden dann mit einer Vielzahl von SunRPC-Nullkommandos

22 4.2 Generelle Optionen überflutet. Sollte ein RPC-Dienst gefunden werden, können Programmname und Version abgefragt werden, falls diese Informationen zur Verfügung gestellt werden. List-Scan Der List-Scan liefert eine Auflistung aller verfügbaren Adressen und Hostnamen. Dies geschieht über verschiedene Ping-Techniken. FTP-Bounce-Attack Für die FTP-Bounce-Attacke wird ein feature des FTP- Protokolls verwendet. Dieses sieht die Unterstützung einer FTP- Proxy - Verbindung vor, die es ermöglicht, von einem Rechner über einen anderen Rechner Daten überall hin zu schicken. Diese Scan-Methode sieht vor, über einen als Proxy fungierenden FTP-Server ein anderes System zu scannen. Dadurch ist es zusätzlich möglich, interne, von einer Firewall geschützte Ports, zu lokalisieren. 4.2 Generelle Optionen Die unterschiedlichen Scantypen können zusätzlich durch verschiedene Optionen erweitert und verfeinert werden, um bestimmte Sicherheitsmechanismen zu umgehen. Pingtypen Nmap unterstützt unterschiedliche Pingmechanismen, die die Verfügbarkeit von Rechnern überprüfen: Kein Pingen: die Überprüfung der Verfügbarkeit wird unterbunden. Klassischer Ping mit ICMP echo request TCP-Ping mit ACK-Paketen kann für Zielsysteme verwendet werden, die keine ICMP-Nachrichten durchlassen. Dabei wird ein TCP-Paket mit gesetztem ACK-Flag gesendet, worauf ein verfügbarer Rechner mit RST antwortet. Hier kann ein beliebiger Port angesprochen werden, ansonsten versucht Nmap den Port 80 anzusprechen. TCP Ping mit SYN-Paketen. Diese Methode steht nur privilegierten Benutzern zur Verfügung. Hierbei kann erneut der Zielport gewählt werden. ICMP timestamp-nachricht. ICMP address mask request.

23 4.2 Generelle Optionen Betriebssystemerkennung Nmap versucht vor allem durch unterschiedliche TCP/IP Fingerabdrücke herauszufinden, welches Betriebssystem sich auf den Zielrechnern befindet. Hierzu greift das Programm auf eine Datenbank, eine lokalen Textdatei, mit den bisher bekannten Fingerabdrücken zurück. Zusätzlich kann die Laufzeit des Systems über ICMP timestamp Nachrichten abgefragt werden. Letztendlich wird ein Test zur Berechenbarkeit der Sequenznummern durchgeführt, um zu überprüfen, ob ein TCP Hijacking möglich ist. IPv6 Nmap unterstützt teilweise auch schon das IPv6-Protokoll. Dieses kann bei TCP connect() oder Ping Scans eingesetzt werden. TCP reverse ident-scanning Über das ident-protokoll ist es möglich, den Besitzer eines laufenden Dienstes zu bekommen. Nmap ist in der Lage zu prüfen, ob der indentd-dienst (ident-demon) auf dem Zielrechner läuft. IP Fragmentierung Um einen SYN-, FIN- oder Null-Scan durch eine Firewall zu schleusen oder diese für ein Intrusion Detection System schwerer erkennbar zu machen, können die entsprechenden TCP Header auf mehrere IP-Fragmente verteilt werden. Allerdings haben viele Netzwerkanwendung mit dieser Art Datenverkehr ihre Schwierigkeiten. Ausgabe Nmap bietet mehrere Ausgabeformate an, um die Ergebnisse zu speichern. Unter anderem werden ein XML-Format und eine grep-freundliche Ausgabe angeboten. Protokoll- und Portwahl Die zu testenden Ports und deren Protokoll (TCP oder UDP) können angegeben werden. Lockvogelangriff Um eine Identifikation des eigenen Rechners zu erschweren, ist Nmap in der Lage, einen so genannten Lockvogelangriff durchzuführen. Hierzu verwendet Nmap mehrere gefälschte IP-Adressen, die alle den gleichen Scan durchführen. Die hierfür verwendeten Adressen sollten allerdings vom Zielsystem erreichbar sein, da sonst die Gefahr eines SYN-floods besteht. Eine weitere Gefahr des Zielrechners besteht in Portscan-Detektoren, die einen eingebauten Firewallmechanismus beinhalten. Diese könnten dem Zielrechner wichtige Adressen (z.b. ein Gateway) blockieren. Diese Art des Scannens ist natürlich um ein Vielfaches langsamer. Spoofing Nmap kann eine falsche IP-Adresse für die Scans verwenden. Quellport Der Quellport eines Scans kann ebenfalls gewählt werden. Diese Einstellung könnte aber den Prozess verlangsamen.

24 4.3 Timing Optionen Datenlänge Es kann eine bestimmte Datenmenge angegeben werden, die übertragen werden soll. Dadurch wird ein Scan unauffälliger, könnte aber auch wieder verlangsamen. DNS Um einen Scan zu beschleunigen, kann auf die reverse DNS-Auflösung verzichtet werden. Reihenfolge Um Netzwerk-Monotoring-Werkzeugen die Arbeit zu erschweren, einen Scan zu entdecken, kann die Reihenfolge, der zu scannenden Rechner zufällig durcheinander gebracht werden. maximale Socketanzahl Die Anzahl der TCP-Verbindungen kann beschränkt werden, wodurch ein Scan zwar verlangsamt, aber unauffälliger ist. 4.3 Timing Optionen Einer der herausragendsten Eigenschaften von Nmap ist seine Geschwindigkeit. Diese kann durch unterschiedliche Einstellungen noch weiter erhöht werden. Timing Richtlinien Nmap bietet vordefinierte Timing Richtlinien an, die die Abstände zwischen den einzelnen Paketen definieren. Zur Auswahl stehen Einstellungen von paranoid über höflich bis zu wahnsinnig. Timeout Der Timeout bezeichnet die Zeitspanne zwischen zwei Hostscans. Wartezeit Um einen Scan zu beschleunigen, arbeitet Nmap stets mit der geringsten Antwortzeit des Zielsystems als Zeitlimit. Dabei können aber unter Umständen Pakete verloren gehen. Um das zu vermeiden, kann eine Mindestwartezeit angegeben werden. Zeitraum Die Zeit, die Nmap verwendet, um einen einzelnen Rechner zu scannen, kann festgelegt werden. Nach Ablauf dieses Zeitraums wird der nächste Rechner gescannt. Anzahl Ports Die maximale oder minimale Anzahl Portscans kann angegeben werden, wobei die Unzuverlässigkeit mit der Anzahl paralleler Scans steigt. (vgl. [Fyodor 2002], [Fyodor 2000], [Schmitt 2003])

25 5 Studie - Freigaben Studie - Freigaben Im Verlauf dieser Projektarbeit wurde eine Studie für das ZDF-Magazin Frontal 21 durchgeführt, welches am 1. Juni 2004 einen Bericht über Internetsicherheit gesendet hat. Inhalt des Beitrags waren Freigaben auf der Festplatte. Dabei wurden Internetanschlüsse von Berliner Firmen überprüft und deren Freigaben kopiert. Diese wurden den Firmen unter Staunen und Entsetzen vorgelegt, denn unter den öffentlich zugänglichen Daten fanden sich Briefe an Finanzämter, Steuerrechnungen, Liebesbriefe, elektronisch gespeicherte Unterschriften, Arbeitsverträge, Darlehensverträge, geheime Postbank PIN-Nummern, Zeugnisse und Firmenbuchhaltung (vgl. [Frontal ]). Um nun zu zeigen, dass das Risiko, an sensible Daten zu gelangen, nicht nur für Firmen besteht, sondern auch für jeden, der von zu Hause aus ins Internet gelangt, wurden zahlreiche Anschlüsse der grossen deutschen Internet Service Provider Mannesmann Arcor und Deutsche Telekom (T-Online) auf Freigaben überprüft. Für diese Studie wurde eine Kombination von Werkzeugen und Skripten verwendet, die bereits bei einem vergleichbaren Bericht des Schweizer Magazins Kassensturz in Zusammenarbeit mit der Hochschule Rapperswil eingesetzt wurden (vgl [Kassensturz 2004]). Zunächst müssen die Adressräume der Provider gefunden werden. Diese sind online bei Ripe verfügbar. Ripe ist eine Organisation, die für die Vergabe der IP-Adressen verantwortlich ist. Um herauszufinden, welche dieser zahlreichen Adressen verwendet werden, also verfügbar sind, wird Nmap (Kapitel 4) eingesetzt. Ergebnis dieses Scans ist eine Liste mit den verfügbaren Adressen. Die Ergebnisse des nmap-scans werden zunächst von nbtscan überprüft, um sicher zu gehen, dass der entsprechende Rechner noch online ist. Ist dies der Fall wird der Rechner mit dem Programm smbclient auf Freigaben untersucht. Dabei wird der Port 139 untersucht, der unter anderem für diese Freigaben unter Windows verwendet werden. Der Port 445, der ebenfalls eine wesentliche Rolle bei Freigaben spielt, wurde in diesem Versuch nicht beachtet. Hier besteht folglich noch der Bedarf, die Genauigkeit des Versuchs zu erhöhen. Abschließend wird protokolliert, wie viele Rechner online waren und wie viele von ihnen Freigaben besaßen. Dieser Versuch wurde eine Woche lang stündlich durchgeführt. Ein Tagesergebnis eines Adressbereichs der Deutschen Telekom ist in Abbildung 5.1 dargestellt. Dabei wird deutlich, dass die Anzahl der Rechner innerhalb dieses Subnetzes gegen Nachmittag steigt. Ebenfalls deutlich gering fällt der prozentuale Anteil der Benutzer auf, die

26 5 Studie - Freigaben Scanresultate 2500 Anzahl Rechner Rechner online Rechner mit Freigaben 0:00h 3:00h 6:00h 9:00h 12:00h 15:00h 18:00h 21:00h Uhrzeit Abbildung 5.1: Scanresultat Freigaben besitzen. In der Regel bleibt es bei unter einem Prozent. Hochgerechnet auf das gesamte Internet ergibt sich dabei aber eine erschreckend hohe Anzahl. Von den ca. 5 Millionen Internetnutzern in Deutschland geben hochgerechnet einen Einblick auf ihre persönlichen Daten. Um diesen Versuch noch detaillierter zu gestalten, müsste zusätzlich noch eine Überprüfung des Ports 445 berücksichtigt werden, der vorwiegend für die Datenfreigabe verwendet wird. Was bei diesen Ergebnissen auch noch nicht beachtet wurde, ist, dass Freigaben auch passwortgeschützt sein können. Folglich wäre es interessant den Versuch unter Einbeziehung dieser Aspekte zu wiederholen. Letztendlich ist es interessant zu beobachten, wie viele Nutzer scheinbar unwissend Informationen bereitstellen und wie einfach es ist, sich dieser Daten zu bemächtigen. Das Zusammenwirken der verschiedenen Werkzeuge für diese Studie hat zusätzlich einen kleinen Einblick in die Verwendung und die Arbeitsweise von Penetrationswerkzeugen gegeben.

27 Literaturverzeichnis Literaturverzeichnis [Anonymous 2003] Anonymous (2003): Hacker s Guide - Sicherheit im Internet und im lokalen Netz, Markt und Technik, ISBN [Cheswick, Bellovin 1996] William R. Cheswick, Steven M. Bellovin (1996): Firewalls und Sicherheit im Internet, Addison-Wesley, ISBN x [Fuhrberg 2000] Kai Fuhrberg (2000): Internet-Sicherheit - Browser, Firewalls und Verschlüsselung, Hanser, ISBN [Thaller 1993] Georg Erwin Thaller (1993): Computersicherheit, Vieweg, ISBN [Frontal ] Frontal 21 (2004): Sicherheitsrisiko Internet, ZDF, [Fyodor 2000] Fyodor (2002): Idle Scanning and related IPID games, Insecure, [Fyodor 2002] Fyodor (2002): Nmap network security scanner man page, Insecure, [Kassensturz 2004] Kassensturz (2004): Sicherheitslücken im Internet: Freier Zugang auf private Daten, SF-DRS, index.php?url=/content/highlights/kassensturz/ kassensturz/beitrag.php3?beitragid=730 [Schmitt 2003] Jürgen Schmitt (2003): Heimliche Scans und falsche Fährten, Heise, [Wikipedia] Wikipedia: Buffer Overflow, Wikipedia,

Vortrag im Rahmen der Lehrveranstaltung Sicherheit in Netzen Studiengang MSc Computer Science Fachhochschule Bonn-Rhein-Sieg. Nmap

Vortrag im Rahmen der Lehrveranstaltung Sicherheit in Netzen Studiengang MSc Computer Science Fachhochschule Bonn-Rhein-Sieg. Nmap Vortrag im Rahmen der Lehrveranstaltung Sicherheit in Netzen Studiengang MSc Computer Science Fachhochschule Bonn-Rhein-Sieg Nmap Evaluierung des Portscanners Nmap von Goran Galunic Mittwoch, 12.01.05

Mehr

Angriffsmethoden von Hackern. A. Verschiedene Angriffsmethoden

Angriffsmethoden von Hackern. A. Verschiedene Angriffsmethoden 1 Angriffsmethoden von Hackern A. Verschiedene Angriffsmethoden 1. IP-Spoofing IP-Spoofing bedeutet das Vortäuschen einer bestimmten IP-Adresse als Absender-Adresse. Er kann Access-Listen von Routern überlisten

Mehr

Einleitung Sniffing, Analyzing, Scanning Scanning. Netzwerke. Bierfert, Feresst, Günther, Schuster. 21. März 2006

Einleitung Sniffing, Analyzing, Scanning Scanning. Netzwerke. Bierfert, Feresst, Günther, Schuster. 21. März 2006 Sniffing, Analyzing, 21. März 2006 Sniffing, Analyzing, Sniffing, Analyzing, Transmission Control Protocol (RFC 793) Zwei Endpunkte, bezeichnet mit Server und Client Server und Client aus je einem geordneten

Mehr

Reale Angriffsszenarien Typische Regellücken bei Firewalls,, Testtools

Reale Angriffsszenarien Typische Regellücken bei Firewalls,, Testtools IT-Sicherheit heute - Angriffe, Schutzmechanismen, Umsetzung Reale Angriffsszenarien Typische Regellücken bei Firewalls,, Testtools jochen.schlichting@secorvo.de Seite 1 Inhalt Einführung: Typische Angriffe

Mehr

Hacker. unberechtigter Zugang zu Systemen und insbesondere: Wie man das verhindert! Situationen

Hacker. unberechtigter Zugang zu Systemen und insbesondere: Wie man das verhindert! Situationen Hacker unberechtigter Zugang zu Systemen und insbesondere: Wie man das verhindert! Situationen physikalischer Zugang möglich im LAN des Opfers außerhalb physikalischer Zugang wie kriegt man den? Diebstahl

Mehr

TCP SYN Flood - Attack. Beschreibung Auswirkungen Zuordnung zu Gefährdungskategorie und Attacken-Art Gegenmaßnahmen Quellen

TCP SYN Flood - Attack. Beschreibung Auswirkungen Zuordnung zu Gefährdungskategorie und Attacken-Art Gegenmaßnahmen Quellen TCP SYN Flood - Attack Beschreibung Auswirkungen Zuordnung zu Gefährdungskategorie und Attacken-Art Gegenmaßnahmen Quellen TCP SYN Flood - Beschreibung TCP SYN Flood Denial of Service Attacke Attacke nutzt

Mehr

Sinn und Unsinn von Desktop-Firewalls

Sinn und Unsinn von Desktop-Firewalls CLT 2005 Sinn und Unsinn von Desktop-Firewalls Wilhelm Dolle, Director Information Technology interactive Systems GmbH 5. und 6. März 2005 1 Agenda Was ist eine (Desktop-)Firewall? Netzwerk Grundlagen

Mehr

Sicherheit im Internet

Sicherheit im Internet Sicherheit im Internet Was ist Sicherheit - das Vokabular Angriff und Verteidigung Zugriff verweigert - drei A s Lücken und Löcher - man kommt doch rein Lauschangriff und Verschluesselung DoS - nichts

Mehr

(Distributed) Denial-of-Service Attack. Simon Moor Felix Rohrer Network & Services HS 12

(Distributed) Denial-of-Service Attack. Simon Moor Felix Rohrer Network & Services HS 12 (Distributed) Denial-of-Service Attack Network & Services Inhalt 2 Was ist ein DDoS Angriff? Verschiedene Angriffsmethoden Mögliche Angriffs-Strategien Abwehrmassnahmen Historische DDoS-Attacken Nationale

Mehr

Intrusion Detection Basics

Intrusion Detection Basics Intrusion Detection Basics Ziele von Angriffen Formen von Angriffen Vorgehensweise von Eindringlingen Überwachungsmöglichkeiten Tools: tripwire, iptraf, tcpdump, snort Ziele von Angriffen (Auswahl) Sport:

Mehr

Authentication Header: Nur Datenauth. (Exportbeschränkungen) Empfehlung: Nicht mehr umsetzen

Authentication Header: Nur Datenauth. (Exportbeschränkungen) Empfehlung: Nicht mehr umsetzen IP Security Zwei Mechanismen: Authentication : Nur Datenauth. (Exportbeschränkungen) Empfehlung: Nicht mehr umsetzen Encapsulating Security Payloads (ESP): Verschl., Datenauth. Internet Key Exchange Protokoll:

Mehr

Grundlagen TCP/IP. C3D2 Chaostreff Dresden. Sven Klemm sven@elektro-klemm.de

Grundlagen TCP/IP. C3D2 Chaostreff Dresden. Sven Klemm sven@elektro-klemm.de Grundlagen TCP/IP C3D2 Chaostreff Dresden Sven Klemm sven@elektro-klemm.de Gliederung TCP/IP Schichtenmodell / Kapselung ARP Spoofing Relaying IP ICMP Redirection UDP TCP Schichtenmodell Protokolle der

Mehr

Seminar: Konzepte von Betriebssytem- Komponenten

Seminar: Konzepte von Betriebssytem- Komponenten Seminar: Konzepte von Betriebssytem- Komponenten Denial of Service-Attacken, Firewalltechniken Frank Enser frank.enser@web.de Gliederung Was sind DoS Attacken Verschiedene Arten von DoS Attacken Was ist

Mehr

Informationsbeschaffung des zu Angreifenden Systems mit Nmap 7. Adrian Janotta November 2015 www.dotcomsecurity.de

Informationsbeschaffung des zu Angreifenden Systems mit Nmap 7. Adrian Janotta November 2015 www.dotcomsecurity.de Informationsbeschaffung des zu Angreifenden Systems mit Nmap 7 Adrian Janotta November 2015 www.dotcomsecurity.de Allgemeine Informationen zu Version 7 Die Version 7 des Sicherheitstools Nmap steht zum

Mehr

Phishing und Pharming - Abwehrmaßnahmen gegen Datendiebstahl im Internet

Phishing und Pharming - Abwehrmaßnahmen gegen Datendiebstahl im Internet Phishing und Pharming - Abwehrmaßnahmen gegen Datendiebstahl im Internet Beispiel für eine gefälschte Ebay-Mail Unterschiede zu einer echten Ebay-Mail sind nicht zu erkennen. Quelle: www.fraudwatchinternational.com

Mehr

Schwachstellenanalyse 2013

Schwachstellenanalyse 2013 Schwachstellenanalyse 2013 Sicherheitslücken und Schwachstellen in Onlineshops Andre C. Faßbender Schwachstellenforschung Faßbender 09.01.2014 Inhaltsverzeichnis 1. Abstract... 3 2. Konfiguration der getesteten

Mehr

ICMP Internet Control Message Protocol. Michael Ziegler

ICMP Internet Control Message Protocol. Michael Ziegler ICMP Situation: Komplexe Rechnernetze (Internet, Firmennetze) Netze sind fehlerbehaftet Viele verschiedene Fehlerursachen Administrator müsste zu viele Fehlerquellen prüfen Lösung: (ICMP) Teil des Internet

Mehr

DOSNET SMURF ATTACK EVIL TWIN

DOSNET SMURF ATTACK EVIL TWIN DOSNET SMURF ATTACK EVIL TWIN Michael Armstorfer Roland Eisenhuber Mathias Fink ITS2005 / FH-Salzburg / 2007-01-14 DOSNET Gefahrenkategorie Störung Attackenkategorie Art: aktiv Ausgangspunkt: von außen

Mehr

Domain Name Service (DNS)

Domain Name Service (DNS) Domain Name Service (DNS) Aufgabe: den numerischen IP-Adressen werden symbolische Namen zugeordnet Beispiel: 194.94.127.196 = www.w-hs.de Spezielle Server (Name-Server, DNS) für Listen mit IP-Adressen

Mehr

9.3 Firewalls. HW/SW-System, oft auf separatem Rechner (oder mehreren Rechnern),

9.3 Firewalls. HW/SW-System, oft auf separatem Rechner (oder mehreren Rechnern), 9.3 Firewalls (firewall = Brandmauer) Firewall: HW/SW-System, oft auf separatem Rechner (oder mehreren Rechnern), typischerweise an der Übergangsstelle zwischen einem Teilnetz und dem Rest des Internet

Mehr

Zugangsschutz: Packet Filter und Firewalls

Zugangsschutz: Packet Filter und Firewalls Zugangsschutz: Packet Filter und Firewalls (1) Motivation Das Internet hat sich von einem rein akademischen Netzverbund zu einer Informationsquelle entwickelt, die auch für kommerzielle Zwecke von Interesse

Mehr

Personal Firewall (PFW) und Virenscanner. Präsentation von Gunawati A.-Tillmann, Miguel Lopez und Andreas Angelkorte

Personal Firewall (PFW) und Virenscanner. Präsentation von Gunawati A.-Tillmann, Miguel Lopez und Andreas Angelkorte Personal Firewall (PFW) und Virenscanner Präsentation von Gunawati A.-Tillmann, Miguel Lopez und Andreas Angelkorte Gliederung Personal Firewall Virenscanner 1. Zweck einer Firewall 2. Funktionsweise einer

Mehr

Scan-Techniken Ein Überblick

Scan-Techniken Ein Überblick Scan-Techniken Ein Überblick Klaus Möller DFN-CERT GmbH Februar 2002 Agenda Was sind Scans? Scan-Techniken ICMP Scans TCP Scans UDP Scans Weitere Scan-Techniken Umgang mit Scans Was sind Scans? Einbruchszyklus:

Mehr

Werkzeuge zur Netzwerkdiagnose

Werkzeuge zur Netzwerkdiagnose Werkzeuge zur Netzwerkdiagnose Markus Dahms BraLUG e.v. 16. Januar 2008 Überblick 1 Einführung 2 Netzzugangsschicht Ethernet 3 Vermittlungsschicht Internet Protocol 4 Namensauflösung 5 Firewall-Troubleshooting

Mehr

Praktikum IT-Sicherheit. Firewall

Praktikum IT-Sicherheit. Firewall IT-Sicherheit Praktikum IT-Sicherheit - Versuchshandbuch - Einrichten von Firewallsystemen mit IPtables Firewall In diesem Versuch lernen Sie den Umgang mit Paketfiltern im Zusammenhang von Servern und

Mehr

Praktikum IT-Sicherheit

Praktikum IT-Sicherheit Praktikum IT-Sicherheit - Versuchshandbuch - Aufgaben Bevor ein Angreifer in ein System eindringen kann, muss er sich Informationen über dieses System beschaffen. Er muss wissen, welche Ports offen sind,

Mehr

Sicherheit im Internet Empfehlungen für den Aufbau von sicheren E-Commerce Systemen

Sicherheit im Internet Empfehlungen für den Aufbau von sicheren E-Commerce Systemen Sicherheit im Internet Empfehlungen für den Aufbau von sicheren E-Commerce Systemen Prof. Dr. Bernhard Stütz Leiter Real-World-Labs an der Fachhochschule Stralsund Prof. Dr. Bernhard Stütz Security 1 Übersicht

Mehr

Ist Ihr Netzwerk sicher? 15 Fragen die Sie sich stellen sollten

Ist Ihr Netzwerk sicher? 15 Fragen die Sie sich stellen sollten Ist Ihr Netzwerk sicher? 15 Fragen die Sie sich stellen sollten Innominate Security Technologies AG Rudower Chaussee 29 12489 Berlin Tel.: (030) 6392-3300 info@innominate.com www.innominate.com Die folgenden

Mehr

Grundlagen Firewall und NAT

Grundlagen Firewall und NAT Grundlagen Firewall und NAT Was sind die Aufgaben einer Firewall? Welche Anforderungen sind zu definieren? Grundlegende Funktionsweise Technische Varianten NA[P]T Portmapping Übungsaufgabe Quellen im WWW

Mehr

Sicherheit für Karteninhaber- und Transaktionsdaten/Schutz vor Hackerangriffen

Sicherheit für Karteninhaber- und Transaktionsdaten/Schutz vor Hackerangriffen Sicherheit für Karteninhaber- und Transaktionsdaten/Schutz vor Hackerangriffen Neue Programme von MasterCard und VISA: SDP Side Data Protection MasterCard AIS Account Information Security VISA Zielgruppen

Mehr

Resolver! DNS: Liefert 173.194.112.111 Resolver cached Antwort (mit Flag Time To Life, TTL)

Resolver! DNS: Liefert 173.194.112.111 Resolver cached Antwort (mit Flag Time To Life, TTL) Domain Name System (DNS) Hauptfunktion Namensauflösung: google.de! 173.194.112.111 Beispiel (Auflösung von google.de). Client! Resolver: Auflösung google.de Resolver! Rootserver: Liefert Toplevel Domain

Mehr

Sicherheitsaspekte unter Windows 2000

Sicherheitsaspekte unter Windows 2000 Sicherheitsaspekte unter Windows 2000 Margarete Kudak Sascha Wiebesiek 1 Inhalt 1. Sicherheit 1.1 Definition von Sicherheit 1.2 C2 - Sicherheitsnorm 1.3 Active Directory 2. Sicherheitslücken 3. Verschlüsselung

Mehr

Produktbeschreibung Penetrationstest

Produktbeschreibung Penetrationstest Produktbeschreibung Penetrationstest 1. Gestaltungsmöglichkeiten Ein Penetrationstest stellt eine Möglichkeit zum Test der IT-Sicherheit dar. Um die vielfältigen Möglichkeiten eines Penetrationstests zu

Mehr

Penetrationstest Extern Leistungsbeschreibung

Penetrationstest Extern Leistungsbeschreibung Schneider & Wulf EDV-Beratung 2013 Penetrationstest Extern Leistungsbeschreibung Schneider & Wulf EDV-Beratung GmbH & Co KG Im Riemen 17 64832 Babenhausen +49 6073 6001-0 www.schneider-wulf.de Einleitung

Mehr

CSMA/CD: - keine Fehlerkorrektur, nur Fehlererkennung - Fehlererkennung durch CRC, (Jabber) Oversized/Undersized

CSMA/CD: - keine Fehlerkorrektur, nur Fehlererkennung - Fehlererkennung durch CRC, (Jabber) Oversized/Undersized 1.1.: MAC-Adressen für CSMA/CD und TokenRing bestehen jeweils aus 48 Bits (6 Bytes). Warum betrachtet man diese Adressräume als ausreichend? (im Gegensatz zu IP) - größer als IP-Adressen (48 Bits 32 Bits)

Mehr

Forensische Analyse einer Online Durchsuchung

Forensische Analyse einer Online Durchsuchung Forensische Analyse einer Online Durchsuchung Felix C. Freiling Universität Mannheim Lehrstuhl für Praktische Informatik 1 Es war einmal... Tag der Informatik, Universität Erlangen, 25. April 2008 4/21

Mehr

TCP. Transmission Control Protocol

TCP. Transmission Control Protocol TCP Transmission Control Protocol Wiederholung TCP-Ports Segmentierung TCP Header Verbindungsaufbau-/abbau, 3 - WayHandShake Timeout & Retransmission MTU maximum transfer Unit TCP Sicher Verbunden? Individuelle

Mehr

Lösungen zu 978-3-8045-5387-3 Informations- und Telekommunikationstechnik Arbeitsheft, 3. Auflage

Lösungen zu 978-3-8045-5387-3 Informations- und Telekommunikationstechnik Arbeitsheft, 3. Auflage Lösungen zu ---- Informations- und Telekommunikationstechnik Arbeitsheft,. Auflage. HANDLUNGSSCHRITT a) Aufgabe Die TCP/IP-Protokollfamilie verwendet logischen Adressen für die Rechner (IP-Adressen), die

Mehr

TCP/IP-Protokollfamilie

TCP/IP-Protokollfamilie TCP/IP-Protokollfamilie Internet-Protokolle Mit den Internet-Protokollen kann man via LAN- oder WAN kommunizieren. Die bekanntesten Internet-Protokolle sind das Transmission Control Protokoll (TCP) und

Mehr

Verbreitete Angriffe

Verbreitete Angriffe Literatur Verbreitete Angriffe Univ.-Prof. Dr. Christoph Meinel Hasso-Plattner-Institut Universität Potsdam, Deutschland DoS und DDoS Angriffe (1/2) 2 Denial-of-Service Angriff mit dem Ziel der Störung

Mehr

Hacker Hackerprofile in amerikanischer Terminologie

Hacker Hackerprofile in amerikanischer Terminologie Hacker Hackerprofile in amerikanischer Terminologie Trainspotter ist ein Hacker, der besessen ist, zu so vielen Systeme wie möglich Zugang zu erlangen. Kehrt selten nach einem geglückten hack zurück. Georges

Mehr

LaMa-Creation Portscanner

LaMa-Creation Portscanner LaMa-Creation Portscanner Seite 1 von 12 Seite 2 von 12 Inhaltsverzeichnis Einleitung...4 Systemanforderung...5 Hardware:...5 Software:...5 Unterstützte Clientbetriebssysteme:... 5 Unterstützte Serverbetriebssysteme:...5

Mehr

crypta.net email System Quickstart Guide für Benutzer

crypta.net email System Quickstart Guide für Benutzer crypta.net email System Quickstart Guide für Benutzer support@crypta.net, Version 20.11.2007 Inhaltsverzeichnis 1. Kurzübersicht...3 1.1. Zugriff auf Postfächer...3 1.2. Persönliche Einstellungen...3 1.3.

Mehr

Beispiel TCP-/IP-Datenübertragung

Beispiel TCP-/IP-Datenübertragung TCP/IP Beispiel TCP-/IP-Datenübertragung Einfach mal Sniffen (im Raum LAN/Filius) --> Installieren Sie das Programm WireShark http://www.wireshark.org/ Lauschen Sie Ihre Netzwerkkarte aus! (10 Sek) Vorsicht!

Mehr

Referat: Jan Pape Mai 2003 Internetsicherheit mit Norton Internet Security

Referat: Jan Pape Mai 2003 Internetsicherheit mit Norton Internet Security Referat: Jan Pape Mai 2003 Internetsicherheit mit Norton Internet Security 1. Einführung Im folgenden wird die Handhabung des Programmes Norton Internet Security erklärt. NIS ist ein umfassendes Programm,

Mehr

Benutzerhinweise IGW/920-SK/92: Einsatz als VPN-Client

Benutzerhinweise IGW/920-SK/92: Einsatz als VPN-Client Benutzerhinweise IGW/920-SK/92: Einsatz als VPN-Client Beachten Sie bitte bei der Benutzung des Linux Device Servers IGW/920 mit einem DIL/NetPC DNP/9200 als OpenVPN-basierter Security Proxy unbedingt

Mehr

Domain Name Service (DNS)

Domain Name Service (DNS) Domain Name Service (DNS) Aufgabe: den numerischen IP-Adressen werden symbolische Namen zugeordnet Beispiel: 194.94.127.196 = www.w-hs.de Spezielle Server (Name-Server, DNS) für Listen mit IP-Adressen

Mehr

IT - Sicherheit und Firewalls

IT - Sicherheit und Firewalls IT - Sicherheit und Firewalls C. Lenz, B. Schenner, R. Weiglmaier 24. Jänner 2003 IT-Sicherheit & Firewalls C. Lenz, B. Schenner, R. Weiglmaier Seite 1 TEIL 1 o Grundlegendes o Cookies o Web-Log o Spoofing

Mehr

ZMI Benutzerhandbuch Sophos. Sophos Virenscanner Benutzerhandbuch

ZMI Benutzerhandbuch Sophos. Sophos Virenscanner Benutzerhandbuch ZMI Benutzerhandbuch Sophos Sophos Virenscanner Benutzerhandbuch Version: 1.0 12.07.2007 Herausgeber Zentrum für Medien und IT ANSCHRIFT: HAUS-/ZUSTELLADRESSE: TELEFON: E-MAIL-ADRESSE: Zentrum für Medien

Mehr

TCP/IP Protokollstapel

TCP/IP Protokollstapel TCP/IP Protokollstapel IP: Hauptaufgabe ist das Routing (Weglenkung) und Adressierung IP ist ein ungesichertes, verbindungsloses Protokoll Arbeitet auf Schicht 3 UDP: User Datagram Protocol UDP ist ein

Mehr

Sicherheit in Netzen- Tiny-Fragment

Sicherheit in Netzen- Tiny-Fragment Bonn-Rhein Rhein-Sieg Thema: Bearbeiter: - Tiny-Fragment Fragment-Attacke Distributed Denial of Service (DDoS( DDoS) Veranstaltung Dozent Inhalt Tiny-Fragment-Attacke Funktionsweise Protokolltechnische

Mehr

The Cable Guy März 2004

The Cable Guy März 2004 The Cable Guy März 2004 Local Server-Less DNS-Namensauflösung für IPv6 von The Cable Guy Alle auf Deutsch verfügbaren Cable Guy-Kolumnen finden Sie unter http://www.microsoft.com/germany/ms/technetdatenbank/ergebnis.asp?themen=&timearea=3j&prod=

Mehr

P R A X I S A R B E I T. Portscanner

P R A X I S A R B E I T. Portscanner BERUFSAKADEMIE LÖRRACH STAATLICHE STUDIENAKADEMIE UNIVERSITY OF COOPERATIVE EDUCATION P R A X I S A R B E I T Portscanner Verfasser: Kurs: Fachrichtung: Fachbereich: Firma: Abgabetermin: Sebastian Galenski

Mehr

Aktuelle Sicherheitsprobleme im Internet: Angriffe auf Web-Applikationen

Aktuelle Sicherheitsprobleme im Internet: Angriffe auf Web-Applikationen Aktuelle Sicherheitsprobleme im Internet: Angriffe auf Web-Applikationen Dr. Marc Rennhard Institut für angewandte Informationstechnologie Zürcher Hochschule Winterthur marc.rennhard@zhwin.ch Angriffspunkt

Mehr

Folgende Voraussetzungen für die Konfiguration müssen erfüllt sein:

Folgende Voraussetzungen für die Konfiguration müssen erfüllt sein: 7. Intrusion Prevention System 7.1 Einleitung Sie konfigurieren das Intrusion Prevention System um das Netzwerk vor Angriffen zu schützen. Grundsätzlich soll nicht jeder TFTP Datenverkehr blockiert werden,

Mehr

NAS-Server Eine Möglichkeit der dezentralen Datenspeicherung

NAS-Server Eine Möglichkeit der dezentralen Datenspeicherung NAS-Server Eine Möglichkeit der dezentralen Datenspeicherung Anton Sparrer email: antonsparrer@gmx.de Zugang zu den Computern Benutzername: Passwort: Was erwartet Sie? Tipps zum Kauf eines NAS Einbau einer

Mehr

Referat von Sonja Trotter Klasse: E2IT1 Datum Jan. 2003. Subnetting

Referat von Sonja Trotter Klasse: E2IT1 Datum Jan. 2003. Subnetting Referat von Sonja Trotter Klasse: E2IT1 Datum Jan. 2003 Subnetting Einleitung Thema dieser Ausarbeitung ist Subnetting Ganz zu Beginn werden die zum Verständnis der Ausführung notwendigen Fachbegriffe

Mehr

Gefahren aus dem Internet 6 Aktive Angriffe April 2010

Gefahren aus dem Internet 6 Aktive Angriffe April 2010 6 Aktive Angriffe Lernziele Sie können grob erklären, wie ein Angreifer in Ihren Computer eindringen kann. Sie können herausfinden, welche Ports auf Ihrem Computer offen sind. Sie wissen, warum der Einsatz

Mehr

Klaus Gerhardt Linux Seiten

Klaus Gerhardt Linux Seiten Klaus Gerhardt Linux Seiten iptables und Stealth Scans Klaus Gerhardt, 08.2005, Version 0.11 (Copyright, Nutzungsbedingungen, Haftungsausschluss, s.u.) In diesem Dokument verwendete eingetragene Warenzeichen,

Mehr

Sicherheitsdienste für große Firmen => Teil 2: Firewalls

Sicherheitsdienste für große Firmen => Teil 2: Firewalls Seite 21 Sicherheitsdienste für große Firmen => Teil 2: Firewalls Sicherer Zugang zum World Wide Web (HTTP, FTP etc.) Sicherer Übergang zum Internet: Firewalls und Intrusion Detection Verzeichnisdienste

Mehr

Carsten Eilers. Ajax Security. Sichere Web-2.0-Anwendungen. ntwickier

Carsten Eilers. Ajax Security. Sichere Web-2.0-Anwendungen. ntwickier Carsten Eilers Ajax Security Sichere Web-2.0-Anwendungen ntwickier Ajax, aber sicher! Geschichte Der Aufbau des Buchs Danksagung und Widmung Der Autor Ajax - Grundlagen Vom Web 1.0 zum Web 2.0 XMLHttp

Mehr

NET 4: Security. Begleitmaterial zur Vorlesung NET 4 des FH-Studiengangs. Bioinformatik, in Hagenberg Sommersemester 2004

NET 4: Security. Begleitmaterial zur Vorlesung NET 4 des FH-Studiengangs. Bioinformatik, in Hagenberg Sommersemester 2004 NET 4: Security Begleitmaterial zur Vorlesung NET 4 des FH-Studiengangs Bioinformatik, in Hagenberg Sommersemester 2004 FH-Prof. Dipl.-Ing. Dr. Gerhard Jahn email: Gerhard.Jahn@fh-hagenberg.at 28. Mai

Mehr

Lösungen zu 978-3-8045-5387-3 Informations- und Telekommunikationstechnik - Arbeitsheft

Lösungen zu 978-3-8045-5387-3 Informations- und Telekommunikationstechnik - Arbeitsheft Lösungen zu ---- Informations- und Telekommunikationstechnik - Arbeitsheft Handlungsschritt Aufgabe a) Die TCP/IP-Protokollfamilie verwendet logischen Adressen für die Rechner (IP- Adressen), die eine

Mehr

Grundlagen DNS 1/5. DNS (Domain Name System)

Grundlagen DNS 1/5. DNS (Domain Name System) Grundlagen DNS 1/5 DNS (Domain Name System) Weltweit gibt es 13 zentrale DNS-Server (Root-Nameserver), auf denen die verschiedenen Domains abgelegt sind. Der Domönennamensraum bzw. das Domain Name Space

Mehr

Dies ist eine Schritt für Schritt Anleitung wie man den Router anschließt und mit dem Internet verbindet.

Dies ist eine Schritt für Schritt Anleitung wie man den Router anschließt und mit dem Internet verbindet. Schnellinstallations Anleitung: Dies ist eine Schritt für Schritt Anleitung wie man den Router anschließt und mit dem Internet verbindet. 1) Verkabeln Sie Ihr Netzwerk. Schließen Sie den Router ans Stromnetz,

Mehr

TimeMachine. Time CGI. Version 1.5. Stand 04.12.2013. Dokument: time.odt. Berger EDV Service Tulbeckstr. 33 80339 München

TimeMachine. Time CGI. Version 1.5. Stand 04.12.2013. Dokument: time.odt. Berger EDV Service Tulbeckstr. 33 80339 München Time CGI Version 1.5 Stand 04.12.2013 TimeMachine Dokument: time.odt Berger EDV Service Tulbeckstr. 33 80339 München Fon +49 89 13945642 Mail rb@bergertime.de Versionsangaben Autor Version Datum Kommentar

Mehr

VPN Tunnel Konfiguration. VPN Tunnel Konfiguration IACBOX.COM. Version 2.0.2 Deutsch 11.02.2015

VPN Tunnel Konfiguration. VPN Tunnel Konfiguration IACBOX.COM. Version 2.0.2 Deutsch 11.02.2015 VPN Tunnel Konfiguration Version 2.0.2 Deutsch 11.02.2015 Dieses HOWTO beschreibt die Konfiguration eines VPN Tunnels zu einem (zentralisierten) OpenVPN Server. VPN Tunnel Konfiguration TITEL Inhaltsverzeichnis

Mehr

SZENARIO. ausgeführt Command Injection: Einschleusen (Injizieren) bösartiger Befehle zur Kompromittierung der Funktionsschicht

SZENARIO. ausgeführt Command Injection: Einschleusen (Injizieren) bösartiger Befehle zur Kompromittierung der Funktionsschicht SZENARIO Folgenden grundlegende Gefahren ist ein Webauftritt ständig ausgesetzt: SQL Injection: fremde SQL Statements werden in die Opferapplikation eingeschleust und von dieser ausgeführt Command Injection:

Mehr

Schwachstellenanalyse 2012

Schwachstellenanalyse 2012 Schwachstellenanalyse 2012 Sicherheitslücken und Schwachstellen in Onlineshops Andre C. Faßbender Schwachstellenforschung Faßbender 13.01.2012 Inhaltsverzeichnis 1. Abstract... 3 2. Konfiguration der getesteten

Mehr

Datensicherheit. Vorlesung 5: 15.5.2015. Sommersemester 2015 h_da. Heiko Weber, Lehrbeauftragter

Datensicherheit. Vorlesung 5: 15.5.2015. Sommersemester 2015 h_da. Heiko Weber, Lehrbeauftragter Datensicherheit Vorlesung 5: 15.5.2015 Sommersemester 2015 h_da, Lehrbeauftragter Inhalt 1. Einführung & Grundlagen der Datensicherheit 2. Identitäten / Authentifizierung / Passwörter 3. Kryptografie 4.

Mehr

Wie funktioniert das WWW? Sicher im WWW

Wie funktioniert das WWW? Sicher im WWW Wie funktioniert das WWW? Sicher im WWW Der normale Aufruf 1. Browserprogramm starten 2. Adresse eintippen, z.b. : ich-hab-doch-nichts-zu-verbergen.de 3. Der Browser ändert die Adresse auf: http://ich-hab-doch-nichts-zu-verbergen.de/

Mehr

Port-Knocking. Referat im Fach Datenschutz / -sicherheit von Stefan Macke. http://www.stefan. www.stefan-macke.com

Port-Knocking. Referat im Fach Datenschutz / -sicherheit von Stefan Macke. http://www.stefan. www.stefan-macke.com Port-Knocking Referat im Fach Datenschutz / -sicherheit von Stefan Macke http://www.stefan www.stefan-macke.com 1 Agenda des Port-Knockings knockd webknocking durch Port-Knocking? 2 2 Was ist Port-Knocking?

Mehr

IT-Sicherheit heute (Teil 4) Diesen und andere Vorträge bieten wir Ihnen als kostenlose Downloads an. www.networktraining.

IT-Sicherheit heute (Teil 4) Diesen und andere Vorträge bieten wir Ihnen als kostenlose Downloads an. www.networktraining. IT-Sicherheit heute (Teil 4) Diesen und andere Vorträge bieten wir Ihnen als kostenlose Downloads an. www.networktraining.de/download Agenda Grundlagen: Fakten, Zahlen, Begriffe Der Weg zu mehr Sicherheit

Mehr

Linux als File- und Printserver - SAMBA

Linux als File- und Printserver - SAMBA Linux als File- und Printserver - SAMBA Wolfgang Karall karall@mail.zserv.tuwien.ac.at 18.-21. März 2002 Abstract Durchführung der Installation, Konfiguration und Administration eines File- und Printservers

Mehr

UDP-, MTU- und IP- Fragmentierung

UDP-, MTU- und IP- Fragmentierung UDP-, MTU- und IP- Fragmentierung Jörn Stuphorn stuphorn@rvs.uni-bielefeld.de Universität Bielefeld Technische Fakultät Stand der Veranstaltung 13. April 2005 Unix-Umgebung 20. April 2005 Unix-Umgebung

Mehr

Byte-Taxi. Bedienungsanleitung. Seite 1 von 8

Byte-Taxi. Bedienungsanleitung. Seite 1 von 8 Byte-Taxi Bedienungsanleitung Seite 1 von 8 Inhaltsverzeichnis 1. Beschreibung 3 2. Systemvoraussetzungen 4 3. Installationsanleitung 5 4. Bedienung 6 5. Infos & Kontakt 8 Seite 2 von 8 1. Beschreibung

Mehr

Security-Webinar. Februar 2015. Dr. Christopher Kunz, filoo GmbH

Security-Webinar. Februar 2015. Dr. Christopher Kunz, filoo GmbH Security-Webinar Februar 2015 Dr. Christopher Kunz, filoo GmbH Ihr Referent _ Dr. Christopher Kunz _ CEO Hos4ng filoo GmbH / TK AG _ Promo4on IT Security _ X.509 / SSL _ Vorträge auf Konferenzen _ OSDC

Mehr

Konzepte von Betriebssystem-Komponenten Schwerpunkt Authentifizierung. Das Kerberos-Protokoll

Konzepte von Betriebssystem-Komponenten Schwerpunkt Authentifizierung. Das Kerberos-Protokoll Konzepte von Betriebssystem-Komponenten Schwerpunkt Authentifizierung Das Kerberos-Protokoll Guido Söldner guido@netlogix.de. Überblick über das Kerberos-Protokoll Ein Standardvorgang in der Computersicherheit

Mehr

Aktuelle Sicherheitsprobleme im Internet: Angriffe auf Web-Applikationen

Aktuelle Sicherheitsprobleme im Internet: Angriffe auf Web-Applikationen FAEL-Seminar Aktuelle Sicherheitsprobleme im Internet: Angriffe auf Web-Applikationen Prof. Dr. Marc Rennhard Institut für angewandte Informationstechnologie InIT ZHAW Zürcher Hochschule für Angewandte

Mehr

1 Hochverfügbarkeit. 1.1 Einführung. 1.2 Network Load Balancing (NLB) Quelle: Microsoft. Hochverfügbarkeit

1 Hochverfügbarkeit. 1.1 Einführung. 1.2 Network Load Balancing (NLB) Quelle: Microsoft. Hochverfügbarkeit 1 Hochverfügbarkeit Lernziele: Network Load Balancing (NLB) Failover-Servercluster Verwalten der Failover Cluster Rolle Arbeiten mit virtuellen Maschinen Prüfungsanforderungen von Microsoft: Configure

Mehr

ecadfem Hinweise zum Setup Christian Meyer Stefan Halbritter 12/2012

ecadfem Hinweise zum Setup Christian Meyer Stefan Halbritter 12/2012 ecadfem Hinweise zum Setup Christian Meyer Stefan Halbritter 12/2012 Inhalt Voraussetzungen Funktion Freischaltung Software Netzwerkverbindung Installation Freischaltung User-Kennung IP-Kennung lokaler

Mehr

IT-Sicherheit im Fakultätsnetz

IT-Sicherheit im Fakultätsnetz IT-Sicherheit im Fakultätsnetz 16.12.2013 Falk Husemann, IRB -1- IT-Sicherheit im Fakultätsnetz Sicherheitsmaßnahmen seit Existenz Seit 2011 eigenes Projekt Secops Unterstützung des operativen Betriebs

Mehr

GeoShop Netzwerkhandbuch

GeoShop Netzwerkhandbuch Technoparkstrasse 1 8005 Zürich Tel.: 044 / 350 10 10 Fax.: 044 / 350 10 19 GeoShop Netzwerkhandbuch Zusammenfassung Diese Dokumentation beschreibt die Einbindung des GeoShop in bestehende Netzwerkumgebungen.

Mehr

zur WinIBW Version 2.3

zur WinIBW Version 2.3 zur WinIBW Version 2.3 Stand: 14. Dezember 2001 18. Januar 2002 BW Installation (lokal) Technische Voraussetzungen Softwarebeschaffung Installation Start Pica-Schriften Probleme Technische Voraussetzungen

Mehr

Vortrag am 06.06.2002. in Hannover (DVG) Arbeitskreis Informationstechnologie IHK Uni Hildesheim Prof. Dr. E. Schwarzer. 16.01.2006 IT-Sicherheit 1

Vortrag am 06.06.2002. in Hannover (DVG) Arbeitskreis Informationstechnologie IHK Uni Hildesheim Prof. Dr. E. Schwarzer. 16.01.2006 IT-Sicherheit 1 IT-Sicherheit Vortrag am 06.06.2002 in Hannover (DVG) Arbeitskreis Informationstechnologie IHK Uni Hildesheim Prof. Dr. E. Schwarzer 16.01.2006 IT-Sicherheit 1 Literatur O. Kyas, M. a Campo, IT-Crackdown

Mehr

3 Analyse der Informationen und Auswertung von Schwachstellen

3 Analyse der Informationen und Auswertung von Schwachstellen 3 Analyse der Informationen und Auswertung von Schwachstellen Webquellen: http://www.packetstormsecurity.org http://www.2600.com http://www.theregister.co.uk/content/55/16725.html Nessus, ISS Scanner Empfehlenswerte

Mehr

Sicherheit in Webanwendungen CrossSite, Session und SQL

Sicherheit in Webanwendungen CrossSite, Session und SQL Sicherheit in Webanwendungen CrossSite, Session und SQL Angriffstechniken und Abwehrmaßnahmen Mario Klump Die Cross-Site -Familie Die Cross-Site-Arten Cross-Site-Scripting (CSS/XSS) Cross-Site-Request-Forgery

Mehr

Wurm-Lizenzserver Internetverbindung über Port 80 (http) Bei aktiver Firewall muss die Ausnahme für die URL http://ls.wurm.de eingerichtet werden

Wurm-Lizenzserver Internetverbindung über Port 80 (http) Bei aktiver Firewall muss die Ausnahme für die URL http://ls.wurm.de eingerichtet werden Der Wurm Lizenzmanager Der Wurm Lizenzmanager dient als Lizenzserver für Software der Firma Wurm. Die Installation erfolgt auf einem Rechner innerhalb des jeweiligen Intranets. Dadurch kann auf separate

Mehr

INFORMATION GATHERING

INFORMATION GATHERING Jan P. Heußner INFORMATION GATHERING SAMMLUNG VON INFORMATIONEN 04.02.11 Port Scanning, OS Fingerprinting, Banner Grabbing, Google Hacking Inhalt 2 1. Definition 2. Motivation 3. Arten 1. Social Engineering

Mehr

Hacker Methoden. für den Angriff auf IT-Systeme. Dortmund, Oktober 2004

Hacker Methoden. für den Angriff auf IT-Systeme. Dortmund, Oktober 2004 Hacker Methoden für den Angriff auf IT-Systeme Dortmund, Oktober 2004 Prof. Dr. Heinz-Michael Winkels, Fachbereich Wirtschaft FH Dortmund Emil-Figge-Str. 44, D44227-Dortmund, TEL.: (0231)755-4966, FAX:

Mehr

ENDPOINT SECURITY FOR MAC BY BITDEFENDER

ENDPOINT SECURITY FOR MAC BY BITDEFENDER ENDPOINT SECURITY FOR MAC BY BITDEFENDER Änderungsprotokoll Endpoint Security for Mac by Bitdefender Änderungsprotokoll Veröffentlicht 2015.03.11 Copyright 2015 Bitdefender Rechtlicher Hinweis Alle Rechte

Mehr

DriveLock 6. DriveLock und das Windows Sicherheitsproblem mit LNK Dateien. CenterTools Software GmbH

DriveLock 6. DriveLock und das Windows Sicherheitsproblem mit LNK Dateien. CenterTools Software GmbH 6 DriveLock und das Windows Sicherheitsproblem mit LNK Dateien CenterTools Software GmbH 2010 Copyright Die in diesen Unterlagen enthaltenen Angaben und Daten, einschließlich URLs und anderen Verweisen

Mehr

1. Interface. Wireshark (Ehtereal)

1. Interface. Wireshark (Ehtereal) Wireshark (Ehtereal) Das Programm Wireshark Network Protocol Analyzer dient dazu, wie der Name schon sagt, ersichtlich zu machen, welche Datenpakete die Netzwerkkarte empfängt bzw. sendet. In Form von

Mehr

Tutorium Fortgeschrittene

Tutorium Fortgeschrittene Tutorium Fortgeschrittene Netzwerk Einleitung Um sich sicher in einem Netzwerk zu bewegen, muss man es kennen. Zu diesem Zwecke existieren unter Linux einige nützliche Tools, welche es ermöglichen, herauszufinden

Mehr

Firmware-Update, CAPI Update

Firmware-Update, CAPI Update Produkt: Modul: Kurzbeschreibung: Teldat Bintec Router RT-Serie Firmware-Update, CAPI Update Diese Anleitung hilft Ihnen, das nachfolgend geschilderte Problem zu beheben. Dazu sollten Sie über gute bis

Mehr

Client-Server mit Socket und API von Berkeley

Client-Server mit Socket und API von Berkeley Client-Server mit Socket und API von Berkeley L A TEX Projektbereich Deutsche Sprache Klasse 3F Schuljahr 2015/2016 Copyleft 3F Inhaltsverzeichnis 1 NETZWERKPROTOKOLLE 3 1.1 TCP/IP..................................................

Mehr

DATEIÜBERTRAGUNGS- PROTOKOLLE

DATEIÜBERTRAGUNGS- PROTOKOLLE DATEIÜBERTRAGUNGS- PROTOKOLLE KV Sicherheit in Applikationsprotokollen Florian Ströbitzer 11 Inhalt 1. TFTP Trivial File Transfer Protocol... 2 1.1. Übertragungsmodi... 2 1.2. Das Protokoll... 3 2. FTP

Mehr

OpenCom 100 Nr.: 004 Stand: 12/04

OpenCom 100 Nr.: 004 Stand: 12/04 OpenCom 100 Nr.: 004 Stand: 12/04 Bestell-Nr. und Land alle Hard- und Software Firmware/Release: Hardware mit / ohne M100-ADSL Treiber und Applikationen Thema: IP-Paket DSL einrichten am PC DSL - Modembaugruppe

Mehr

Wozu sind Firewalls und VPN gut?

Wozu sind Firewalls und VPN gut? Wozu sind Firewalls und VPN gut? Wo wir hin wollen Einführung Was sind und wie funktionieren IP, TCP und UDP? Wie passt eine Firewall in dieses Bild? VPN, Verschlüsselung und ihre Auswirkungen Aktuelle

Mehr

Rechnernetzwerke. Rechnernetze sind Verbünde von einzelnen Computern, die Daten auf elektronischem Weg miteinander austauschen können.

Rechnernetzwerke. Rechnernetze sind Verbünde von einzelnen Computern, die Daten auf elektronischem Weg miteinander austauschen können. Rechnernetzwerke Rechnernetze sind Verbünde von einzelnen Computern, die Daten auf elektronischem Weg miteinander austauschen können. Im Gegensatz zu klassischen Methoden des Datenaustauschs (Diskette,

Mehr