Arbeitsweise und Verwendung von Penetrationswerkzeugen

Größe: px
Ab Seite anzeigen:

Download "Arbeitsweise und Verwendung von Penetrationswerkzeugen"

Transkript

1 Arbeitsweise und Verwendung von Penetrationswerkzeugen Tim Gottwald Projektarbeit Juli 2004 Betreuung: Prof. Dr. Rainer Oechsle Fachbereich Design und Informatik Fachhochschule Trier University of Applied Sciences

2 Autor: Titel: Studiengang: Betreuung: Tim Gottwald Arbeitsweise und Verwendung von Penetrationswerkzeugen Informatik Master of Science Prof. Dr. Rainer Oechsle Juli 2004 Es wird hiermit der Fachhochschule Trier (University of Applied Sciences) die Erlaubnis erteilt, die Arbeit zu nicht-kommerziellen Zwecken zu verteilen und zu kopieren. Unterschrift des Autors c Copyright: Tim Gottwald (2004) ii

3 Kurzfassung Hacker treiben ihr Unwesen seit es Computer gibt. Mit der steigenden Anzahl an Internetnutzern steigt auch die Anzahl ihrer potentieller Opfer. Dabei ist die Informationsgewinnung über die Opfer der erste Schritt eines erfolgreichen Angriffs. In dieser Arbeit werden die sogenannten Penetrationswerkzeuge, die zur Informationsgewinnung verwendet werden, untersucht. Der Schwerpunkt liegt dabei auf deren Verwendung und Arbeitsweise. Im Hinblick auf den Nutzen dieser Werkzeuge werden zunächst einige Angriffsmethoden von Hackern beleuchtet, die Aufschluss über die Ziele und Möglichkeiten von Hackern geben sollen. Darunter fallen Methoden zum Eindringen in fremde Systeme und Angriffe, die diese Systeme zum Opfer fallen können. Da es nur wenig Literatur zu eigentlichen Hackerwerkzeugen gibt, werden Werkzeuge untersucht, die den Hackern entgegen wirken wollen. Darunter fallen Sicherheitsscanner, die zwar ähnlich arbeiten, wie Werkzeuge, die für Angriffe benötigt werden, die Angriffe aber in erster Linie verhindern sollen, indem bekannte Schwachstellen aufgedeckt werden. Ein Schwerpunkt von Penetrationswerkzeugen liegt in der Erkennung von offenen Ports auf fremden Systemen, um vorhandene Hintertürchen zu finden und zu nutzen. Ein Portscanner, der viele Techniken umsetzt, die vorwiegend von Hackern verwendet werden, ist Nmap, welches in dieser Arbeit genauer untersucht wird. Eine grosse Sicherheitslücke in Windowssystemen ist die Datenfreigabe. Diese Lücke ist vor allem so gravierend, da viele Benutzer gar nichts von diesem Dienst wissen und entsprechend unfreiwillig ihre persönlichen Daten der Welt preisgeben. In einer kleinen Studie, die im Rahmen dieser Projektarbeit gemacht wurde, wird eine Hochrechnung der Internetnutzer in Deutschland erstellt, die über Freigaben verfügen. iii

4 Inhaltsverzeichnis 1 Einleitung 1 2 Angriffsmethoden von Hackern Social Engineering Passwortattacken Programmfehler Sicherheitslücken in den Netzwerkprotokollen Versagen der Authentifikationsmechanismen Denial of Service Computervandalismus Informationsgewinnung Scanner Die ersten Scanner Arbeitsweise Eigenschaften von Sicherheitsscannern Beispiel: Nmap Scantypen Generelle Optionen Timing Optionen Studie - Freigaben 21 Literaturverzeichnis 23 iv

5 1 Einleitung Einleitung Seit es Computer gibt treiben Hacker ihr Unwesen. Es gibt unterschiedliche Definitionen, die einen Hacker beschreiben. Dabei spielen Fähigkeiten und Zielrichtung eine Rolle. In der Regel trifft man auf Bezeichnungen wie Hacker, Cracker, Black Hats, White Hats oder die mittlerweile überhand nehmenden Scriptkids. Nicht alle Hacker verfolgen eine bösartige Absicht, oft geht es ihnen um das Auffinden und Beseitigen von Sicherheitslücken. Andere werden von niederen Beweggründen wie Eitelkeit, Niederträchtigkeit oder Zerstörungswut geleitet. Wieder andere wollen ihre politische Meinung kundtun oder sie haben kriminelle Motive wie Diebstahl. In dieser Arbeit wird kein Unterschied zwischen all den einzelnen Gruppierungen gemacht, sondern alle werden dem Oberbegriff Hacker untergeordnet (vgl. [Anonymous 2003] S. 220f, S. 229ff, [Thaller 1993] S. 62f). In dieser Arbeit werden zunächst einige Angriffsmethoden von Hackern untersucht (Kapitel 2), um deren Ziele heraus zu finden. Dabei wird ein breites Spektrum der Möglichkeiten aufgefechert, die ein Hacker zum Eindringen in fremde Systeme anwendet. Anschließend wird auf Attacken eingegangen, die auf infiltrierten Systemen durchgeführt werden könnten. Der Schwerpunkt dieser Arbeit liegt bei den Penetrationswerkzeugen, wie z.b. Portscanner. Da es aber gerade zu den Werkzeugen, die für kriminelle Machenschaften eingesetzt werden kaum Informationen und Literatur gibt, werden Sicherheitsscanner untersucht. Diese haben die Aufgabe Sicherheitslücken von Systemen aufzudecken. Ihre Arbeitsweise ähnelt der von Hackerwerkzeugen obwohl sie eine entgegengesetzte Zielrichtung verfolgen. Die Entstehungsgeschichte dieser Scanner und deren Eigenschaften werden in Kapitel 3 erläutert. Um in die Arbeitsweise von Penetrationswerkzeugen einzutauchen wird in Kapitel 4 der verbreitete Portscanner Nmap untersucht. Dieses Programm realisiert viele Funktionen und Methoden, um fremde Systeme auszukundschaften. Das Kapitel geht auf die einzelnen Methoden und Taktiken ein, die das Programm ermöglicht. Im Laufe dieser Projektarbeit wurde eine Studie über die Freigaben auf Windowssystemen durchgeführt. Dabei wurden Teilnetze der grossen deutschen Internet Service Provider Deutsche Telekom und Mannesmann Arcor untersucht und die Anzahl der Benutzer mit Freigaben erfasst. Vorgehensweise und Ergebnisse dieser Studie finden sich in Kapitel 5.

6 2 Angriffsmethoden von Hackern Angriffsmethoden von Hackern Wie gelingt es einem Hacker, Zugriff auf ein System zu erlangen? Ist ein solches Eindringen gelungen, welche Möglichkeiten werden dann einem Hacker geboten, dieses System anzugreifen und zu manipulieren? Antworten auf diese Fragen sollen in diesem Kapitel gegeben werden. Dabei werden die Methoden zum Eindringen in Computersysteme und die gefährlichsten und bekanntesten Angriffsmethoden vorgestellt. 2.1 Social Engineering Social Engineering unterscheidet sich grundlegend von den anderen hier vorgestellten Methoden. Hierbei wird im Normalfall kein Rechner benötigt, sondern der physikalische Kontakt mit dem Opfer steht im Vordergrund. Da diese Art des Angriffs aber weiterhin sehr wirkungsvoll und verbreitet ist, soll sie hier kurz Erwähnung finden. Eine Form des Social Engineering ist das Ausfindigmachen von Informationen, wie Passwörter, Benutzerdaten oder ähnliches. Diese Informationen finden sich z.b. auf Zetteln an Monitoren oder rund um einen Arbeitsplatz, im Papiermüll oder anderen Abfällen. Dass diese Methode nicht nur grobe Theorie ist, zeigt, welche Grenzen Hacker bereit sind zu überschreiten. Noch dreister ist der persönliche Kontakt des Angreifers mit seinen Opfern. Dieser Kontakt könnte über ein Telefongespräch, eine oder sogar durch einen Besuch hergestellt werden. Dabei werden häufig psychologische Methoden angewandt, die in Verkaufsgesprächen ihren Ursprung haben, um eine gewisse Vertrauensbasis zu dem Opfer aufzubauen. Ein Beispiel einer solchen Situation in Form eines Telefonats könnte wie folgt aussehen: Angreifer: Hallo, ich bin der neue Systemadministrator und wollte mich vorstellen... irgendwelche Probleme mit dem Rechner? (und wer hat die nicht...) Opfer: Hallo! Ja, da wäre ein kleines Problem... Angreifer: Ah, ja... nein, das kann ich so jetzt nicht beheben, könnte ich vielleicht ihr Passwort haben?... Auf diesen oder anderen Wegen gelingt es Hackern, Zugriff auf fremde Systeme zu erhalten, wo sie dann ihr Unwesen treiben können (vgl. [Fuhrberg 2000] S. 56f, [Cheswick, Bellovin 1996] S.192ff).

7 2.2 Passwortattacken Passwortattacken Der einfachste Weg, so Cheswick und Bellovin, ist der Vordereingang. Dieser ist in Computersystemen der Login, also die Anmeldung über Benutzername und Passwort. Eine Möglichkeit, an fremde Passwörter zu kommen, wurde ja bereits in Abschnitt 2.1, Social Engineering, vorgestellt. Im Laufe der Jahre hat sich die Art der Anmeldung immer weiter entwickelt. In den ersten Versionen einer Anmeldung konnten beliebig viele Fehlversuche gemacht werden. Durch die langsamen Modemverbindungen zu dieser Zeit wurde das Raten der Passwörter aber gebremst, da nur wenige Passwörter in einem längeren Zeitraum getestet werden konnten. Später kamen die Passwort-Dateien auf, die die Passwörter als Klartext gespeichert haben. Das System hat dann die Aufgabe, diese Dateien in Verzeichnisauflistungen zu verbergen. Über Systemaufrufe konnte die Datei trotzdem erkannt werden. Unter Unix wurden diese Passwort-Dateien durch die Shadow-Datei ersetzt. Diese beinhaltet die Passwörter der einzelnen Benutzer in einer Einwege-Verschlüsselung. Allerdings wurde diese Datei oft schlecht implementiert, was eine weitere Angriffsfläche bot. Nachdem die Systemanmeldung immer sicherer wurde, fanden sich ähnliche Routinen, natürlich gesondert implementiert, in Programmen wie z.b. FTP wieder, die erneut die Chance geben, an die Passwörter des Systems zu gelangen. Das zeigt, dass das eigentliche Ziel des Hacker nicht ein Einbruch ist, sondern das Erhaschen der Passwort-Datei. Durch Fehler in Diensten und Programmen wie FTP, TFTP, Mail-System, NIS, rsh, finger, uucp, X11 usw. ist dies möglich (vgl. [Cheswick, Bellovin 1996] S. 191f). 2.3 Programmfehler Eine der beliebtesten Methoden, in fremde Systeme einzudringen, sind Fehler oder Hintertürchen in Programmen. Die meisten dieser Fehler werden in Programmen gesucht, die Netzwerk- oder Internetdienste anbieten. Während der Entwicklung bauen viele Programmierer Hintertürchen in ihr Programm ein, um spezielle Sachen zu testen. Und oft werden diese nach Fertigstellung nicht wieder entfernt. Werden solche Hintertürchen bekannt, ist es ein leichtes für einen Hacker diese auszunutzen. Die am häufigsten verwendete Angriffsmethode ist der Pufferüberlauf (Buffer overflow). Dabei wird ein oft auftretender Programmierfehler ausgenutzt, der

8 2.3 Programmfehler gerade in C oder C++ auftritt. Die Methode des Pufferüberlaufs nutzt dabei das Versäumnis des Programmierers eine Eingabe nach ihrer Größe zu überprüfen. Um dieses Verfahren genauer zu verstehen, muss auf die Arbeitsweise von Computern (i.d.r. von Neumann-Architekturen) eingegangen werden. Für jede Variable in einem Programm wird ein Bereich im Arbeitsspeicher bereitgestellt (siehe Abbildung 2.1). Wird nun einer solchen Variablen ein Wert zugewiesen,... andere Variablen Nichtüberprüfte Variable Rücksprungadresse... Anwendungsdaten Speicherblöcke Abbildung 2.1: Verteilung des Arbeitsspeichers den der Benutzer übergeben muss, kann es passieren, dass die Länge der Eingabe die vorgesehene Länge überschreitet und den im Speicher nachfolgenden Bereich überschreibt. Nun ist es möglich, in diesen Bereich Programmcode einzufügen, der anschließend ausgeführt wird (siehe Abbildung 2.2). In der Regel wird versucht mit Hilfe eines solchen Pufferüberlaufs eine Shell mit Administratorrechten zu öffnen. Ein weiterer Angriffspunkt von Hackern sind Programme, die während der Laufzeit erweiterte Privilegien erhalten und mit diesen erhöhten Privilegien Änderungen an Systemdateien vornehmen. Für solche Fälle werden häufig Temporärdateien verwendet, dessen Inhalt später auf die Systemdateien übertragen wird. Durch Unachsamkeit eines Programmierers kann es jetzt passieren, dass zwischen dem Erstellen dieser Temporärdatei, der Übertragung des Inhalts auf die Systemdatei und dem Entfernen der Temporärdatei ein Zeitfenster entsteht, in dem ein Hacker versuchen kann die Temporärdatei zu manipulieren, da dieser Zugriff keine höheren Privilegien benötigt. Ein solches Zeitfenster beschreibt

9 2.4 Sicherheitslücken in den Netzwerkprotokollen andere Variablen bösartiger Code f o o b a r Rücksprungadresse... Speicherblöcke Nichtüberprüfte Variable Anwendungsdaten Abbildung 2.2: Pufferüberlauf eine typische Rennsituation (Race Condition). Der Versuch eine solche Rennsituation auszunutzen gestaltet sich wie folgt. Der Hacker startet die Anwendung, die die Temporärdatei anlegt; parallel dazu wird ein Programm gestartet, dass versuchen soll diese Temporärdatei zu manipulieren. Wechselt das Betriebssystem in dem oben beschriebenen Zeitfenster den Prozess auf das Programm des Hackers, kann dieser die geplante Manipulation durchführen und hat damit das Rennen gewonnen (siehe Abbildung 2.3). Verliert er, kann er das Rennen beliebig oft wiederholen (vgl. [Fuhrberg 2000] S. 77f, [Cheswick, Bellovin 1996] S.194ff, [Wikipedia]). 2.4 Sicherheitslücken in den Netzwerkprotokollen Als Ende der 1960er die Protokolle TCP, IP usw. entwickelt wurden, dachte wohl keiner daran, dass sie einmal die Säule einer weltweiten Kommunikationsund Handelsplattform werden würden. Aus diesem Grund sind wohl auch die Sicherheitskonzepte dieser Protokolle unzureichend konzipiert worden.

10 2.4 Sicherheitslücken in den Netzwerkprotokollen kriminelle Anwendung legitime Anwendung Temporärdatei erstellen/öffnen Dateioperation Race Condition Manipulation Temporärdatei löschen Abbildung 2.3: Race Condition durch Temporärdatei Kryptographische Verfahren könnten diese Konzeptionsfehler eventuell aufheben, allerdings würden auch diese wiederum auf die unsicheren Protokolle zurückgreifen müssen; denn die Verteilung eines öffentlichen Schlüssels würde beispielsweise über NIS erfolgen, was ein unsicherer Dienst ist. Der private Schlüssel würde ebenfalls über NIS oder RPC eingesetzt werden und ist von aussen über das Betriebssystem auch nur mit dem Passwort geschützt. Die mangelnde Sicherheit von Passwörtern wurde oben (Abschnitt 2.2) bereits erläutert. Im Folgenden sollen ein paar mögliche Fehler oder Hintertüren von Protokollen vorgestellt werden, die für einen Angriff ausgenutzt werden können. Mit Hilfe der IP-Fragmentierung ist es z.b. möglich, TCP-Pakete an einer Firewall vorbeizuschleusen, obwohl diese gefiltert werden sollten. Das gelingt, indem der TCP-Header in verschiedenen IP-Fragmenten gesendet wird. Filter einer Firewall überprüfen häufig die Flags des Pakets. Befinden sich diese Informationen aber in einem zweiten IP-Fragment hat die Firewall höchstwahrscheinlich schon das erste Fragment durchgelassen. ICMP wird häufig für DoS Attacken (Denial of Service, siehe auch Abschnitt

11 2.5 Versagen der Authentifikationsmechanismen ) missbraucht. Aber es kann auch auf anderen Wegen Tür und Tor für Hacker öffnen. So ist es möglich, mit dem ICMP-Befehl redirect einen Rechner dazu zu bewegen, seine Routing-Tabelle zu aktualisieren. Der Angreifer überträgt dann einfach eine falsche Route an sein Opfer und bewirkt damit, dass dieser seine gesamte Kommunikation über den Rechner des Angreifers durchführt. Das TCP Hijacking bezeichnet die Übernahme einer bereits bestehenden TCP-Verbindung von einem Opfer. Hierbei wird zunächst der Verkehr zwischen den beiden Angriffspunkten belauscht und die Sequenznummern der Pakete verfolgt. Schließlich wird Client und Server in einen unsynchronisierten Zustand gebracht, indem der Angreifer dem Server gefälschte Pakete schickt, die nur die Aufgabe haben, die Sequenznummer zu erhöhen. Versucht der Client nun, ein Paket zu senden, wird dieses verworfen. Der Angreifer ist nun in der Lage, gefälschte Pakete des geblockten Rechners zu simulieren. Dieser Abschnitt zeigt, dass selbst Protokolle, auf denen sich das gesamte Internet aufbaut, unter diversen Sichertslücken leiden (vgl. [Fuhrberg 2000] S. 67ff, [Cheswick, Bellovin 1996] S.197f). 2.5 Versagen der Authentifikationsmechanismen Wie im vorangegangenen Abschnitt erklärt, haben selbst die Protokolle, auf denen sich das Internet stützt, einige Makel vorzuweisen. Im Folgenden wird gezeigt, wie diese Protokolle auch für ein Eindringen in ein fremdes System ausgenutzt werden können. Häufig werden Funktionalitäten und Zugriffsrechte mit Hilfe der (IP) Adresse des Anfragenden gelöst. Befindet sich dieser z.b. in einem bestimmten Adressraum oder wird er durch eine bestimmte Adresse identifiziert, entscheidet das System, ob ein Zugriff auf bestimmte Programme oder Ressourcen gestattet ist oder nicht. Meist handelt es sich dabei um Adressen aus dem eigenen Netz. Um nun in ein solches System einzudringen, genügt es, diesem vorzugaukeln, eine autorisierte Adresse zu besitzen. Eine Möglichkeit, dies zu erreichen, sind Portmapper. Aber die bekannteste und verbreitetste Methode ist der Maskerade-Angriff oder Spoofing. Spoofing bezeichnet das Vortäuschen einer falschen Identität. Dabei werden drei unterschiedliche Methoden unterschieden: 1. IP-Spoofing: funktioniert im Grunde wie TCP Hijacking (Abschnitt 2.4). Der Angreifer blockiert den eigentlichen Sender und fälscht Pakete mit dessen Adresse. Das Spoofing über UDP ist für den Angreifer noch einfacher,

12 2.6 Denial of Service da in diesem Fall keine Sequenz- oder Quittungsnummern erraten werden müssen. 2. DNS-Spoofing: erfolgt eine DNS-Abfrage auf dem DNS-Server des Angreifers, kann dieser seine IP-Adresse für jeden beliebigen DNS-Namen übermitteln. 3. Web-Spoofing: bezeichnet das Versenden von Daten oder Dateien, die eigentlich von einem anderen Server angeboten werden. Dabei kann auf DNSoder IP-Spoofing zurückgegriffen werden. Mit gefälschten Zertifikaten ist es sogar möglich, eine SSL-Verbindung zu spoofen. Für diese Art des Angriffs wird oft Sniffing verwendet. Unter Sniffing versteht man das Mitlesen der Daten einer TCP/IP Verbindung (vgl. vgl. [Fuhrberg 2000] S. 61ff, [Cheswick, Bellovin 1996] S.196f, [Anonymous 2003] S. 161ff). 2.6 Denial of Service Bisher wurden Methoden vorgestellt, die gezeigt haben, wie ein Hacker in ein System eindringen kann. Ist ihm dies gelungen, stellt sich die Frage, was macht er mit diesem infiltrierten System? Ein Angriff, der aus reiner Böswilligkeit geschieht, ist die Denial of Service (DoS) Attacke. Ziel einer solchen Attacke ist es, einen Dienst oder sogar ein ganzes System lahmzulegen. Ein anderer Begriff hierfür ist Computervandalismus. Eine der weitverbreitetsten und bekanntesten Methoden dies zu erreichen, ist das Versenden von Mail-Bomben. Eines der ersten und dadurch wohl bekannteste Beispiel einer DoS-Attacke war der Morris-Wurm, der sein Unwesen im November 1988 in den USA trieb. Opfer dieses Angriffes wurden neben anderen die Rechenzentren der grossen Hochschulen wie das MIT oder Berkeley. Gerade heutzutage stehen DoS-Attacken auf der Tagesordnung. Hervorgerufen durch im Baukasten entstandene Würmer sogenannter Skriptkids (vgl. [Fuhrberg 2000] S. 78ff, [Cheswick, Bellovin 1996] S.199f, [Thaller 1993] S. 34ff).

13 2.7 Computervandalismus Computervandalismus Der Begriff Systemanomalien umschreibt Programme, die - harmlos ausgedrückt - unerwünschte Funktionalitäten aufweisen. In diese Kategorie fallen: Trojanische Pferde; benannt nach der wohl berühmtesten Kriegslist führen diese Programme neben ihrer eigentlichen Aufgabe Funktionen aus, die dem Anwender nicht bekannt und in der Regel auch nicht erkennbar für ihn sind. Ein bekanntes Beispiel für ein Trojanisches Pferd ist Back Orifice, mit dem der Angreifer Kontrolle über einige Funktionen des Betriebssystem erhält. Viren, die ein ähnliches Verhalten wie ihre irdischen Vorbilder an den Tag legen. Sie reproduzieren sich selbst, sind nicht eigenständig lauffähig (analog lebensfähig) und führen Manipulationen an Sytembereichen, Programmen oder deren Umgebung durch. Viren werden in drei Kategorien unterteilt, die gleichzeitig den Wirt des Virus spezifizieren: 1. File-Viren hängen sich an Programmdateien an und werden beim Start dieses Programms ausgeführt. 2. Boot-Viren befinden sich im Boot-Sektor einer Diskette, einer Partition oder einer Festplatte und beginnen ihr zerstörerisches Treiben beim Start des Systems. 3. Makroviren beschränken sich auf Microsoft-spezifische Programme wie z.b. Office. Würmer, die ein ähnliches Verhalten wie Viren besitzen, aber selbständig arbeiten. Vor allem Viren und Würmer sind wohl die verbreitetsten Angriffe, die Hacker vornehmern (vgl. [Fuhrberg 2000] S. 59f, [Thaller 1993] S. 81ff, 87ff). 2.8 Informationsgewinnung Vor einem erfolgreichen Angriff auf ein System steht die Phase der Auskundschaftung des Opfers an. Dabei soll festgestellt werden, auf welchem Weg ein Eingriff möglich ist und wie sicher das System ist, um sich schnellstmöglich und unerkannt zurückziehen zu können. Das unglaubliche dabei ist, dass viele Informationen frei zugänglich sind.

14 2.8 Informationsgewinnung Es ist erschreckend, wie viele Informationen von Firmen und Personen über das Internet frei und legal zugänglich sind. Darunter fallen vor allem Programme und Dienste wie finger oder whois mit denen Informationen über einzelne Adressen oder Adressräume erhältlich sind. Gerade aus diesem Grund finden sich auch kaum noch Rechner oder Netze, die den finger-dienst anbieten. Der Aufruf einer telnet-sitzung auf einem Rechner könnte genügen um zu erfahren, um welches Betriebssystem es sich handelt. Um bekannte Programmierfehler im Rahmen eines Speicherüberlaufs auszunutzen, sind meistens die Versionsnummern der Programme nötig, da dieser Fehler in höheren Version oft schon behoben wurden. Aber gerade Versionsnummern werden häufig von Programmen wie Webservern übertragen. Häufig lassen sich Versionsnummern über Fehlermeldungen rückschließen. Mit diesem Hintergrundwissen sollte man sich genau Überlegen welche Informationen man über welche Dienste veröffentlichen will. In Büchern oder Artikeln finden sich oft genug Versuche, jemanden, der sich z.b. rege in Newsgroups beteiligt, auszukundschaften. Neben oben genannten Diensten können Webangebote wie oder dazu genutzt werden, sich bis vor die Haustür des Opfers durchzufragen ( [Fuhrberg 2000] S. 60f, [Anonymous 2003] S. 179ff).

15 3 Scanner Scanner Einem Hackerangriff geht eine Phase der Informationsgewinnung (Abschnitt 2.8) voraus. Eine wichtige Methode dabei ist das Scannen des Objekts der Begierde, dem Rechner des Opfers. In diesem Kapitel wird auf die Geschichte von Sicherheitsscannern eingegangen, sowie deren Arbeitsweise und den daraus resultierenden Stärken und Schwächen. 3.1 Die ersten Scanner Die ersten Scanner sind nicht entstanden, um Rechner anzugreifen, sondern um deren Schwachstellen aufzudecken, damit diese schnellstmöglich behoben werden können. Pionier auf diesem Gebiet war Chris Klaus, der im Jahr 1992 den Internet Security Scanner, kurz ISS, entwickelte. Ziel des Programms war es, eine Fernanalyse von Unix-Systemen bezüglich häufig auftretender Sicherheitslücken durchzuführen. Über dieses Produkt hat Klaus eine Firma gegründet, die den ISS heute noch vertreibt und weiterentwickelt entwickelte Dan Farmer das Security Administration Tool for Analysing Networks (SATAN). Vielleicht lag es an dem unkonventionellen Namen, dass dieses Werkzeug sogar in der Presse seine Erwähnung fand. Das Time-Magazin hatte einen Artikel über SATAN veröffentlicht und löste damit einen riesigen Hype um das Programm aus. Der Unterschied zum ISS war ein ausgereifterer Erkennungsalgorithmus und eine webbasierte Oberfläche. Der Entstehungshintergrund dieser ersten bekannten Scanner lässt erkennen, dass das eigentliche Einsatzgebiet im Verhindern von Hackerangriffen liegt. Allerdings werden ähnliche Werkzeuge auch von der anderen Seite verwendet, wodurch die Sicherheitsscanner dazu gezwungen werden, auf diese bösartigen Techniken zurückzugreifen. 3.2 Arbeitsweise Die Arbeitsweise eines Scanners lässt sich in 5 Teilschritte untergliedern: 1. welche Ports sind offen?

16 3.2 Arbeitsweise welche Dienste laufen auf diesen Ports? Da liegen die Lücken bei den sogenannten well-known Ports (z.b. HTTP auf Port 80). 3. welches Programm bietet diesen Dienst an? 4. welche Version dieses Programms wird genutzt? 5. welche Fehler dieses Programms sind unter dieser Version bekannt? Diese Teilschritte werden im Folgenden genauer beschrieben Portscan Einer der wichtigsten Mechanismen, um mögliche laufende Dienste zu lokalisieren, ist der Portscan. Dabei muss nur festgestellt werden, auf welchem Port ein Rechner lauscht. Dabei muss zwischen TCP und UDP unterschieden werden. Um festzustellen, ob ein bestimmter TCP-Port offen ist, kann versucht werden eine Verbindung mit diesem Port über den üblichen Three-Way-Handshake (SYN, SYN/ACK, ACK) zu öffnen, wobei aus Sicht des Scanners auf das letzte Paket verzichtet werden kann (halb-offene Verbindung/half-open). Diese Vorgehensweise ist allerdings sehr auffällig. Um einen Scan zu tarnen, genügt es auch ein FIN-Paket an den betreffenden Port zu senden. Falls dieser Port geöffnet ist, wird dieses Paket nicht beantwortet. Ist er geschlossen, wird die Anfrage mit einem RST-Paket beantwortet. Letzteres Verfahren wird auch in abgeänderter Form für UDP verwendet. Da UDP verbindungslos ist, würden erhaltene Pakete kommentarlos angenommen werden. Allerdings ist UDP häufig so konfiguriert, dass eine Anfrage an einen geschlossenen Port mit der ICMP-Meldung Port unreachable beantwortet wird. Auf diese Weise können mittels Umkehrschluss auch die offenen UDP-Ports erkannt werden. Eine detailtere Beschreibung des wohl bekanntesten und verbreitetsten Portscanners findet sich in Kapitel 4, in dem das Programm Nmap vorgestellt wird Diensterkennung Nachdem herausgefunden wurde, welche Ports geöffnet sind, muss ein Angreifer festlegen, welche Dienste auf dem entsprechenden Rechner laufen. Dabei wird in der Regel auf die well-known-ports zurückgegriffen, denn erst in der nächsten Phase beginnt die eigentliche Schwachstellenprüfung. Einige Scanner sind nicht in der Lage, Dienste zu finden, die nicht auf dem für sie reservierten Port laufen. Eine grossartige Verbesserung der Sicherheit wird dadurch allerdings nicht erreicht, denn die meisten Scanner finden auch die Dienste, die nicht auf dem dafür vorgesehenen well-known-port lauschen.

17 3.3 Eigenschaften von Sicherheitsscannern Dienstanbieter Der nächste Schritt ist, herauszufinden, welches Programm den entsprechenden Dienst anbietet. In Abschnitt 2.8 wurde bereits angedeutet, wie so etwas ablaufen kann. Häufig genügt ein einfacher telnet-aufruf, oder im Fall des HTTP-Dienstes eine GET-Anfrage. In der Antwort findet sich dann häufig schon der Name des Servers und sogar die Version Version des Programms Programm und Versionsnummer finden sich üblicherweise gemeinsam. Wobei es hier mitlerweile die Möglichkeit gibt, dies zu unterbinden oder zu fälschen. Z.B. kann bei einem FTP-Dienst die Begrüssung (sog. Banner) geändert werden, bei der üblicherweise das Programm und die Versionsnummer übertragen werden. Aber auch durch solche Aktionen ist man nicht unbedingt auf der sicheren Seite. Ebenso können bestimmte Diensteigenschaften auf verschiedene Programme und Versionen hinweisen Fehler im Programm Der letzte Schritt vor dem Angriff ist, herauszufinden, ob und, wenn ja, wo Fehler und Schwachstellen in einem Programm liegen. Diese Information findet sich bereits wenige Stunden nach dem Auffinden eines solchen Fehlers im Web. Das stellt für Sicherheitsscanner ein grosses Problem dar, denn diese sollten, wie die Hacker, immer auf dem neuesten Stand sein. Die Scanner sind in der Regel aber immer einen Schritt hinterher. Denn für diese muss eine Lösung des Problems gefunden und ein Update angeboten werden. Häufig werden solche Updates aber erst mit einer neuen Version oder nur Quartalsweise ausgegeben. 3.3 Eigenschaften von Sicherheitsscannern Aus Sicht des Sicherheitsexperten müssen Sicherheitsscanner über folgende Fähigkeiten verfügen: Vollständigkeit: möglichst alle Schwachstellen müssen untersucht werden. Dabei greifen die meisten Scanner auf eine umfangreiche Datenbank zurück.

18 3.3 Eigenschaften von Sicherheitsscannern Umfang: es sollen interne/lokale sowie externe Fehler untersucht werden. Die Suche lokaler Fehler ist dabei allerdings weit umfangreicher. Aktualität: möglichst schnelle Integration neuester Schwachstellen. Genauigkeit: möglichst alle vorhandenen Schwachstellen aufdecken und dabei möglichst keine Fehlalarme auslösen. Report: die Resultate eines Sicherheitsscans sollten in umfangreicher und verständlicher Form präsentiert werden. Dabei können Probleme z.b. in Klassen eingeteilt werden. Reparatur: im Idealfall kümmert sich ein Sicherheitsscanner selbst um die Behebung einer Sicherheitslücke, indem er entsprechende Patches runterlädt und installiert. Die Entwicklung solcher Sicherheitsscanner ist mittlerweile soweit fortgeschritten, dass sogar schon versucht wird über heuristische Ansätze oder künstliche Intelligenz noch unbekannte Schwachstellen zu finden (vgl. [Fuhrberg 2000] S. 60f, [Anonymous 2003] S. 267ff).

19 4 Beispiel: Nmap Beispiel: Nmap Nmap gehört zur Zeit zu den verbreitetsten Portscannern. Die Gründe für diese Popularität liegen sicherlich an der hohen Geschwindigkeit, dem grossen Funktionsumfang und der Tatsache, dass die Quellen des Programms allen zugänglich sind, was die Entwicklung enorm vorangetrieben hat. Zudem ist Nmap für viele Betriebssysteme verfügbar. Entwickelt wurde Nmap für Systemadministratoren und kuriosen Individuen, um bereitgestellte Dienste in grossen Netzwerken zu identifizieren. Dieses Kapitel beschäftigt sich intensiv mit den wichtigsten Funktionen und Methoden von Nmap. 4.1 Scantypen Nmap bietet viele unterschiedliche Arten von Scans, die dazu dienen, Firewalltechniken zu umgehen und die Scans möglichst unauffällig durchzuführen. TCP connect() Die klassische Methode zum scannen eines Ports ist die vom Betriebssystem bereitgestellte connect()-funktion. Diese ist nötig, wenn der Benutzer keine privilegierten Rechte besitzt. Allerdings wird diese Methodik sehr einfach entdeckt und mit hoher Wahrscheinlichkeit vom Zielsystem protokolliert. TCP SYN-Scan Die Technik des TCP SYN-Scans wird auch als halb-offen bezeichnet. Dabei wird eine TCP-Verbindung angesetzt, aber auf das letzte Paket (ACK) des Drei-Wege-Handschlags (SYN, SYN/ACK, ACK) wird verzichtet. Statt dessen wird ein RST-Paket gesendet. Der Vorteil dieser Methode liegt darin, dass viele Systeme nur vollständig etablierte Verbindungen protokollieren und der Scan auf diese Weise nicht nachzuvollziehen wäre. Allerdings benötigt ein Benutzer gewisse Privilegien (z.b. root- Rechte), um diese Technik anwenden zu dürfen. FIN-, Xmas-Tree-, Null-Scan In manchen Fällen sind SYN-Scans nicht heimlich genug und können durch Firewalls über Paketfilter oder SYN-logger erkannt werden. Hier kann auf die FIN-, Xmas-Tree- oder Null-Scan Methode zurückgegriffen werden. Die Idee hinter diesen Methoden ist ein rückschlüssiges Vorgehen, indem herausgefunden wird, welche Ports bei dem Zielsystem geschlossen sind. Denn eine Anfrage an einen geschlossenen Port, sollte ein System mit einem RST-Paket antworten. Die drei Methoden verwenden daher auch eine ähnliche Vorgehensweise:

20 4.1 Scantypen Beim FIN-Scan wird das FIN-Flag im Paketkopf gesetzt, beim Xmas-Tree-Scan werden sowohl das FIN- als auch das URGund PSH-Flag gesetzt und beim Null-Scan wird auf alle optionalen Flags verzichtet. Leider sind diese Methoden nicht auf Microsoft-Systemen einsetzbar, da sich hier nicht an das RFC gehalten wird. Allerdings erleichtert dieses Verhalten das Erraten des Betriebssystems, was ebenfalls von Nmap unterstützt wird. Werden mit Hilfe dieser Methoden offene Ports entdeckt, handelt es sich schon einmal nicht um ein Microsoft-System. Ping Scanning Das Ping Scanning soll dazu dienen herauszufinden, welche Rechner aus dem gewählten Adressbereich online sind. In der Regel wird hierzu der ICMP echo request verwendet, doch manche Firewalls filtern ICMP Anfragen. In diesen Fällen gibt es zwei Alternativen, die auf TCP basieren. 1. Ein Paket mit gesetztem ACK-Flag wird an einen potentiell offenen Port (z.b. 80) gesendet. Wird diese Anfrage mit einem RST-Paket beantwortet, ist das Zielsystem online. 2. Ein SYN-Paket wird an einen beliebigen Port gesendet. Wird diese Anfrage mit einem RST- oder SYN/ACK-Paket beantwortet, ist der Zielrechner erreichbar. UDP-Scan Da UDP ein verbindungsloses Protokoll ist und nicht sichergestellt wird, ob gesendete Daten empfangen wurden, verwendet Nmap hier das Rückschluss-Prinzip, wie bereits bei FIN-, Xmas-Tree- oder Null-Scan gesehen. Es wird Datagramm mit 0 Byte Nutzdaten versendet. Geschlossene Ports senden dann ein port unreachable zurück. IP-Protokol-Scan Mit dem IP-Protokoll-Scan versucht Nmap herauszufinden, welche Protokolle vom Zielsystem unterstützt werden. Dabei werden für jedes Protokoll RAW IP-Pakete mit fehlendem Header versendet. Wird ein Protokoll nicht unterstützt, antwortet ein System mit einer ICMP protocoll unreachable Nachricht. Dieser Scan geht relativ schnell von statten, da für das IP-Protokollfeld nur 8 Bit verwendet werden und sich dieser Test auf 256 Protokolle beschränkt. Idlescan Der Idlescan ist wohl die eleganteste Methode, ein fremdes System auszuhorchen, da kein einziges Paket an das eigentliche Opfer geschickt wird. Statt dessen wird ein Rechner (Zombie genannt) verwendet, der zur Zeit untätig (idle) ist. Ein solcher Rechner hat die Eigenschaft, dass die

21 4.1 Scantypen IDs seiner IP-Pakete immer um eins erhöht werden. Um nun herauszufinden, ob auf einem Rechner ein bestimmter Port geöffnet ist, sendet Nmap ein SYN-Paket mit der Adresse des Zielrechners an den Zombie, der wiederum versucht den damit begonnen Verbindungsaufbau abzuschließen. Anschließend tauscht Nmap erneut eine Nachricht mit dem Zombie aus, um die ID des IP-Pakets zu überprüfen. Taucht jetzt ein Sprung in der ID-Aufzählung auf, ist der getestete Port auf dem Zielrechner erreichbar (siehe Abbildung 4.1). Zombie Kontinuierlicher IP-ID-Check Hacker SYN/ACK RST Victim SYN SRC-IP-Adresse: Zombie Abbildung 4.1: Idle-Scan: offener Port ACK-Scan Um herauszufinden, ob ein Zielsystem von einer Firewall geschützt ist und welche Ports von dieser blockiert werden, wird der ACK-Scan verwendet. Dabei werden ACK-Pakete mit zufälligen Sequenz- und Bestätigungsnummern versendet. Wird eine solche Anfrage mit einem RST-Paket beantwortet, kann dieser als ungefiltert eingestuft werden. Gefilterte Anfragen werden mit einem ICMP port unreachable beantwortet. Nmap listet bei einem ACK-Scan die gefilterten Ports auf. Window-Scan Der Window-Scan verfolgt ähnliche Ziele wie der ACK-Scan. In diesem Fall werden allerdings Anomalien der Betriebssysteme, die in der Window-Size erkennbar sind, verwendet, um zu entscheiden, ob ein Port gefiltert wird oder nicht. RPC-Scan Der RPC-Scan dient dazu, vom Zielsystem bereit gestellte RPC- Dienste zu finden. Dabei wird auf einige schon vorgestellte Scan-Techniken zurückgegriffen, um herauszufinden, welche TCP- oder UDP-Ports geöffnet sind. Diese werden dann mit einer Vielzahl von SunRPC-Nullkommandos

22 4.2 Generelle Optionen überflutet. Sollte ein RPC-Dienst gefunden werden, können Programmname und Version abgefragt werden, falls diese Informationen zur Verfügung gestellt werden. List-Scan Der List-Scan liefert eine Auflistung aller verfügbaren Adressen und Hostnamen. Dies geschieht über verschiedene Ping-Techniken. FTP-Bounce-Attack Für die FTP-Bounce-Attacke wird ein feature des FTP- Protokolls verwendet. Dieses sieht die Unterstützung einer FTP- Proxy - Verbindung vor, die es ermöglicht, von einem Rechner über einen anderen Rechner Daten überall hin zu schicken. Diese Scan-Methode sieht vor, über einen als Proxy fungierenden FTP-Server ein anderes System zu scannen. Dadurch ist es zusätzlich möglich, interne, von einer Firewall geschützte Ports, zu lokalisieren. 4.2 Generelle Optionen Die unterschiedlichen Scantypen können zusätzlich durch verschiedene Optionen erweitert und verfeinert werden, um bestimmte Sicherheitsmechanismen zu umgehen. Pingtypen Nmap unterstützt unterschiedliche Pingmechanismen, die die Verfügbarkeit von Rechnern überprüfen: Kein Pingen: die Überprüfung der Verfügbarkeit wird unterbunden. Klassischer Ping mit ICMP echo request TCP-Ping mit ACK-Paketen kann für Zielsysteme verwendet werden, die keine ICMP-Nachrichten durchlassen. Dabei wird ein TCP-Paket mit gesetztem ACK-Flag gesendet, worauf ein verfügbarer Rechner mit RST antwortet. Hier kann ein beliebiger Port angesprochen werden, ansonsten versucht Nmap den Port 80 anzusprechen. TCP Ping mit SYN-Paketen. Diese Methode steht nur privilegierten Benutzern zur Verfügung. Hierbei kann erneut der Zielport gewählt werden. ICMP timestamp-nachricht. ICMP address mask request.

23 4.2 Generelle Optionen Betriebssystemerkennung Nmap versucht vor allem durch unterschiedliche TCP/IP Fingerabdrücke herauszufinden, welches Betriebssystem sich auf den Zielrechnern befindet. Hierzu greift das Programm auf eine Datenbank, eine lokalen Textdatei, mit den bisher bekannten Fingerabdrücken zurück. Zusätzlich kann die Laufzeit des Systems über ICMP timestamp Nachrichten abgefragt werden. Letztendlich wird ein Test zur Berechenbarkeit der Sequenznummern durchgeführt, um zu überprüfen, ob ein TCP Hijacking möglich ist. IPv6 Nmap unterstützt teilweise auch schon das IPv6-Protokoll. Dieses kann bei TCP connect() oder Ping Scans eingesetzt werden. TCP reverse ident-scanning Über das ident-protokoll ist es möglich, den Besitzer eines laufenden Dienstes zu bekommen. Nmap ist in der Lage zu prüfen, ob der indentd-dienst (ident-demon) auf dem Zielrechner läuft. IP Fragmentierung Um einen SYN-, FIN- oder Null-Scan durch eine Firewall zu schleusen oder diese für ein Intrusion Detection System schwerer erkennbar zu machen, können die entsprechenden TCP Header auf mehrere IP-Fragmente verteilt werden. Allerdings haben viele Netzwerkanwendung mit dieser Art Datenverkehr ihre Schwierigkeiten. Ausgabe Nmap bietet mehrere Ausgabeformate an, um die Ergebnisse zu speichern. Unter anderem werden ein XML-Format und eine grep-freundliche Ausgabe angeboten. Protokoll- und Portwahl Die zu testenden Ports und deren Protokoll (TCP oder UDP) können angegeben werden. Lockvogelangriff Um eine Identifikation des eigenen Rechners zu erschweren, ist Nmap in der Lage, einen so genannten Lockvogelangriff durchzuführen. Hierzu verwendet Nmap mehrere gefälschte IP-Adressen, die alle den gleichen Scan durchführen. Die hierfür verwendeten Adressen sollten allerdings vom Zielsystem erreichbar sein, da sonst die Gefahr eines SYN-floods besteht. Eine weitere Gefahr des Zielrechners besteht in Portscan-Detektoren, die einen eingebauten Firewallmechanismus beinhalten. Diese könnten dem Zielrechner wichtige Adressen (z.b. ein Gateway) blockieren. Diese Art des Scannens ist natürlich um ein Vielfaches langsamer. Spoofing Nmap kann eine falsche IP-Adresse für die Scans verwenden. Quellport Der Quellport eines Scans kann ebenfalls gewählt werden. Diese Einstellung könnte aber den Prozess verlangsamen.

24 4.3 Timing Optionen Datenlänge Es kann eine bestimmte Datenmenge angegeben werden, die übertragen werden soll. Dadurch wird ein Scan unauffälliger, könnte aber auch wieder verlangsamen. DNS Um einen Scan zu beschleunigen, kann auf die reverse DNS-Auflösung verzichtet werden. Reihenfolge Um Netzwerk-Monotoring-Werkzeugen die Arbeit zu erschweren, einen Scan zu entdecken, kann die Reihenfolge, der zu scannenden Rechner zufällig durcheinander gebracht werden. maximale Socketanzahl Die Anzahl der TCP-Verbindungen kann beschränkt werden, wodurch ein Scan zwar verlangsamt, aber unauffälliger ist. 4.3 Timing Optionen Einer der herausragendsten Eigenschaften von Nmap ist seine Geschwindigkeit. Diese kann durch unterschiedliche Einstellungen noch weiter erhöht werden. Timing Richtlinien Nmap bietet vordefinierte Timing Richtlinien an, die die Abstände zwischen den einzelnen Paketen definieren. Zur Auswahl stehen Einstellungen von paranoid über höflich bis zu wahnsinnig. Timeout Der Timeout bezeichnet die Zeitspanne zwischen zwei Hostscans. Wartezeit Um einen Scan zu beschleunigen, arbeitet Nmap stets mit der geringsten Antwortzeit des Zielsystems als Zeitlimit. Dabei können aber unter Umständen Pakete verloren gehen. Um das zu vermeiden, kann eine Mindestwartezeit angegeben werden. Zeitraum Die Zeit, die Nmap verwendet, um einen einzelnen Rechner zu scannen, kann festgelegt werden. Nach Ablauf dieses Zeitraums wird der nächste Rechner gescannt. Anzahl Ports Die maximale oder minimale Anzahl Portscans kann angegeben werden, wobei die Unzuverlässigkeit mit der Anzahl paralleler Scans steigt. (vgl. [Fyodor 2002], [Fyodor 2000], [Schmitt 2003])

25 5 Studie - Freigaben Studie - Freigaben Im Verlauf dieser Projektarbeit wurde eine Studie für das ZDF-Magazin Frontal 21 durchgeführt, welches am 1. Juni 2004 einen Bericht über Internetsicherheit gesendet hat. Inhalt des Beitrags waren Freigaben auf der Festplatte. Dabei wurden Internetanschlüsse von Berliner Firmen überprüft und deren Freigaben kopiert. Diese wurden den Firmen unter Staunen und Entsetzen vorgelegt, denn unter den öffentlich zugänglichen Daten fanden sich Briefe an Finanzämter, Steuerrechnungen, Liebesbriefe, elektronisch gespeicherte Unterschriften, Arbeitsverträge, Darlehensverträge, geheime Postbank PIN-Nummern, Zeugnisse und Firmenbuchhaltung (vgl. [Frontal ]). Um nun zu zeigen, dass das Risiko, an sensible Daten zu gelangen, nicht nur für Firmen besteht, sondern auch für jeden, der von zu Hause aus ins Internet gelangt, wurden zahlreiche Anschlüsse der grossen deutschen Internet Service Provider Mannesmann Arcor und Deutsche Telekom (T-Online) auf Freigaben überprüft. Für diese Studie wurde eine Kombination von Werkzeugen und Skripten verwendet, die bereits bei einem vergleichbaren Bericht des Schweizer Magazins Kassensturz in Zusammenarbeit mit der Hochschule Rapperswil eingesetzt wurden (vgl [Kassensturz 2004]). Zunächst müssen die Adressräume der Provider gefunden werden. Diese sind online bei Ripe verfügbar. Ripe ist eine Organisation, die für die Vergabe der IP-Adressen verantwortlich ist. Um herauszufinden, welche dieser zahlreichen Adressen verwendet werden, also verfügbar sind, wird Nmap (Kapitel 4) eingesetzt. Ergebnis dieses Scans ist eine Liste mit den verfügbaren Adressen. Die Ergebnisse des nmap-scans werden zunächst von nbtscan überprüft, um sicher zu gehen, dass der entsprechende Rechner noch online ist. Ist dies der Fall wird der Rechner mit dem Programm smbclient auf Freigaben untersucht. Dabei wird der Port 139 untersucht, der unter anderem für diese Freigaben unter Windows verwendet werden. Der Port 445, der ebenfalls eine wesentliche Rolle bei Freigaben spielt, wurde in diesem Versuch nicht beachtet. Hier besteht folglich noch der Bedarf, die Genauigkeit des Versuchs zu erhöhen. Abschließend wird protokolliert, wie viele Rechner online waren und wie viele von ihnen Freigaben besaßen. Dieser Versuch wurde eine Woche lang stündlich durchgeführt. Ein Tagesergebnis eines Adressbereichs der Deutschen Telekom ist in Abbildung 5.1 dargestellt. Dabei wird deutlich, dass die Anzahl der Rechner innerhalb dieses Subnetzes gegen Nachmittag steigt. Ebenfalls deutlich gering fällt der prozentuale Anteil der Benutzer auf, die

26 5 Studie - Freigaben Scanresultate 2500 Anzahl Rechner Rechner online Rechner mit Freigaben 0:00h 3:00h 6:00h 9:00h 12:00h 15:00h 18:00h 21:00h Uhrzeit Abbildung 5.1: Scanresultat Freigaben besitzen. In der Regel bleibt es bei unter einem Prozent. Hochgerechnet auf das gesamte Internet ergibt sich dabei aber eine erschreckend hohe Anzahl. Von den ca. 5 Millionen Internetnutzern in Deutschland geben hochgerechnet einen Einblick auf ihre persönlichen Daten. Um diesen Versuch noch detaillierter zu gestalten, müsste zusätzlich noch eine Überprüfung des Ports 445 berücksichtigt werden, der vorwiegend für die Datenfreigabe verwendet wird. Was bei diesen Ergebnissen auch noch nicht beachtet wurde, ist, dass Freigaben auch passwortgeschützt sein können. Folglich wäre es interessant den Versuch unter Einbeziehung dieser Aspekte zu wiederholen. Letztendlich ist es interessant zu beobachten, wie viele Nutzer scheinbar unwissend Informationen bereitstellen und wie einfach es ist, sich dieser Daten zu bemächtigen. Das Zusammenwirken der verschiedenen Werkzeuge für diese Studie hat zusätzlich einen kleinen Einblick in die Verwendung und die Arbeitsweise von Penetrationswerkzeugen gegeben.

27 Literaturverzeichnis Literaturverzeichnis [Anonymous 2003] Anonymous (2003): Hacker s Guide - Sicherheit im Internet und im lokalen Netz, Markt und Technik, ISBN [Cheswick, Bellovin 1996] William R. Cheswick, Steven M. Bellovin (1996): Firewalls und Sicherheit im Internet, Addison-Wesley, ISBN x [Fuhrberg 2000] Kai Fuhrberg (2000): Internet-Sicherheit - Browser, Firewalls und Verschlüsselung, Hanser, ISBN [Thaller 1993] Georg Erwin Thaller (1993): Computersicherheit, Vieweg, ISBN [Frontal ] Frontal 21 (2004): Sicherheitsrisiko Internet, ZDF, [Fyodor 2000] Fyodor (2002): Idle Scanning and related IPID games, Insecure, [Fyodor 2002] Fyodor (2002): Nmap network security scanner man page, Insecure, [Kassensturz 2004] Kassensturz (2004): Sicherheitslücken im Internet: Freier Zugang auf private Daten, SF-DRS, index.php?url=/content/highlights/kassensturz/ kassensturz/beitrag.php3?beitragid=730 [Schmitt 2003] Jürgen Schmitt (2003): Heimliche Scans und falsche Fährten, Heise, [Wikipedia] Wikipedia: Buffer Overflow, Wikipedia,

Vortrag im Rahmen der Lehrveranstaltung Sicherheit in Netzen Studiengang MSc Computer Science Fachhochschule Bonn-Rhein-Sieg. Nmap

Vortrag im Rahmen der Lehrveranstaltung Sicherheit in Netzen Studiengang MSc Computer Science Fachhochschule Bonn-Rhein-Sieg. Nmap Vortrag im Rahmen der Lehrveranstaltung Sicherheit in Netzen Studiengang MSc Computer Science Fachhochschule Bonn-Rhein-Sieg Nmap Evaluierung des Portscanners Nmap von Goran Galunic Mittwoch, 12.01.05

Mehr

Angriffsmethoden von Hackern. A. Verschiedene Angriffsmethoden

Angriffsmethoden von Hackern. A. Verschiedene Angriffsmethoden 1 Angriffsmethoden von Hackern A. Verschiedene Angriffsmethoden 1. IP-Spoofing IP-Spoofing bedeutet das Vortäuschen einer bestimmten IP-Adresse als Absender-Adresse. Er kann Access-Listen von Routern überlisten

Mehr

Einleitung Sniffing, Analyzing, Scanning Scanning. Netzwerke. Bierfert, Feresst, Günther, Schuster. 21. März 2006

Einleitung Sniffing, Analyzing, Scanning Scanning. Netzwerke. Bierfert, Feresst, Günther, Schuster. 21. März 2006 Sniffing, Analyzing, 21. März 2006 Sniffing, Analyzing, Sniffing, Analyzing, Transmission Control Protocol (RFC 793) Zwei Endpunkte, bezeichnet mit Server und Client Server und Client aus je einem geordneten

Mehr

Reale Angriffsszenarien Typische Regellücken bei Firewalls,, Testtools

Reale Angriffsszenarien Typische Regellücken bei Firewalls,, Testtools IT-Sicherheit heute - Angriffe, Schutzmechanismen, Umsetzung Reale Angriffsszenarien Typische Regellücken bei Firewalls,, Testtools jochen.schlichting@secorvo.de Seite 1 Inhalt Einführung: Typische Angriffe

Mehr

Sinn und Unsinn von Desktop-Firewalls

Sinn und Unsinn von Desktop-Firewalls CLT 2005 Sinn und Unsinn von Desktop-Firewalls Wilhelm Dolle, Director Information Technology interactive Systems GmbH 5. und 6. März 2005 1 Agenda Was ist eine (Desktop-)Firewall? Netzwerk Grundlagen

Mehr

Authentication Header: Nur Datenauth. (Exportbeschränkungen) Empfehlung: Nicht mehr umsetzen

Authentication Header: Nur Datenauth. (Exportbeschränkungen) Empfehlung: Nicht mehr umsetzen IP Security Zwei Mechanismen: Authentication : Nur Datenauth. (Exportbeschränkungen) Empfehlung: Nicht mehr umsetzen Encapsulating Security Payloads (ESP): Verschl., Datenauth. Internet Key Exchange Protokoll:

Mehr

TCP SYN Flood - Attack. Beschreibung Auswirkungen Zuordnung zu Gefährdungskategorie und Attacken-Art Gegenmaßnahmen Quellen

TCP SYN Flood - Attack. Beschreibung Auswirkungen Zuordnung zu Gefährdungskategorie und Attacken-Art Gegenmaßnahmen Quellen TCP SYN Flood - Attack Beschreibung Auswirkungen Zuordnung zu Gefährdungskategorie und Attacken-Art Gegenmaßnahmen Quellen TCP SYN Flood - Beschreibung TCP SYN Flood Denial of Service Attacke Attacke nutzt

Mehr

Intrusion Detection Basics

Intrusion Detection Basics Intrusion Detection Basics Ziele von Angriffen Formen von Angriffen Vorgehensweise von Eindringlingen Überwachungsmöglichkeiten Tools: tripwire, iptraf, tcpdump, snort Ziele von Angriffen (Auswahl) Sport:

Mehr

(Distributed) Denial-of-Service Attack. Simon Moor Felix Rohrer Network & Services HS 12

(Distributed) Denial-of-Service Attack. Simon Moor Felix Rohrer Network & Services HS 12 (Distributed) Denial-of-Service Attack Network & Services Inhalt 2 Was ist ein DDoS Angriff? Verschiedene Angriffsmethoden Mögliche Angriffs-Strategien Abwehrmassnahmen Historische DDoS-Attacken Nationale

Mehr

Scan-Techniken Ein Überblick

Scan-Techniken Ein Überblick Scan-Techniken Ein Überblick Klaus Möller DFN-CERT GmbH Februar 2002 Agenda Was sind Scans? Scan-Techniken ICMP Scans TCP Scans UDP Scans Weitere Scan-Techniken Umgang mit Scans Was sind Scans? Einbruchszyklus:

Mehr

Grundlagen TCP/IP. C3D2 Chaostreff Dresden. Sven Klemm sven@elektro-klemm.de

Grundlagen TCP/IP. C3D2 Chaostreff Dresden. Sven Klemm sven@elektro-klemm.de Grundlagen TCP/IP C3D2 Chaostreff Dresden Sven Klemm sven@elektro-klemm.de Gliederung TCP/IP Schichtenmodell / Kapselung ARP Spoofing Relaying IP ICMP Redirection UDP TCP Schichtenmodell Protokolle der

Mehr

Gefahren aus dem Internet 6 Aktive Angriffe April 2010

Gefahren aus dem Internet 6 Aktive Angriffe April 2010 6 Aktive Angriffe Lernziele Sie können grob erklären, wie ein Angreifer in Ihren Computer eindringen kann. Sie können herausfinden, welche Ports auf Ihrem Computer offen sind. Sie wissen, warum der Einsatz

Mehr

Domain Name Service (DNS)

Domain Name Service (DNS) Domain Name Service (DNS) Aufgabe: den numerischen IP-Adressen werden symbolische Namen zugeordnet Beispiel: 194.94.127.196 = www.w-hs.de Spezielle Server (Name-Server, DNS) für Listen mit IP-Adressen

Mehr

Seminar: Konzepte von Betriebssytem- Komponenten

Seminar: Konzepte von Betriebssytem- Komponenten Seminar: Konzepte von Betriebssytem- Komponenten Denial of Service-Attacken, Firewalltechniken Frank Enser frank.enser@web.de Gliederung Was sind DoS Attacken Verschiedene Arten von DoS Attacken Was ist

Mehr

Aktuelle Sicherheitsprobleme im Internet: Angriffe auf Web-Applikationen

Aktuelle Sicherheitsprobleme im Internet: Angriffe auf Web-Applikationen Aktuelle Sicherheitsprobleme im Internet: Angriffe auf Web-Applikationen Dr. Marc Rennhard Institut für angewandte Informationstechnologie Zürcher Hochschule Winterthur marc.rennhard@zhwin.ch Angriffspunkt

Mehr

ICMP Internet Control Message Protocol. Michael Ziegler

ICMP Internet Control Message Protocol. Michael Ziegler ICMP Situation: Komplexe Rechnernetze (Internet, Firmennetze) Netze sind fehlerbehaftet Viele verschiedene Fehlerursachen Administrator müsste zu viele Fehlerquellen prüfen Lösung: (ICMP) Teil des Internet

Mehr

Praktikum IT-Sicherheit

Praktikum IT-Sicherheit Praktikum IT-Sicherheit - Versuchshandbuch - Aufgaben Bevor ein Angreifer in ein System eindringen kann, muss er sich Informationen über dieses System beschaffen. Er muss wissen, welche Ports offen sind,

Mehr

Produktbeschreibung Penetrationstest

Produktbeschreibung Penetrationstest Produktbeschreibung Penetrationstest 1. Gestaltungsmöglichkeiten Ein Penetrationstest stellt eine Möglichkeit zum Test der IT-Sicherheit dar. Um die vielfältigen Möglichkeiten eines Penetrationstests zu

Mehr

9.3 Firewalls. HW/SW-System, oft auf separatem Rechner (oder mehreren Rechnern),

9.3 Firewalls. HW/SW-System, oft auf separatem Rechner (oder mehreren Rechnern), 9.3 Firewalls (firewall = Brandmauer) Firewall: HW/SW-System, oft auf separatem Rechner (oder mehreren Rechnern), typischerweise an der Übergangsstelle zwischen einem Teilnetz und dem Rest des Internet

Mehr

INFORMATION GATHERING

INFORMATION GATHERING Jan P. Heußner INFORMATION GATHERING SAMMLUNG VON INFORMATIONEN 04.02.11 Port Scanning, OS Fingerprinting, Banner Grabbing, Google Hacking Inhalt 2 1. Definition 2. Motivation 3. Arten 1. Social Engineering

Mehr

Aktuelle Sicherheitsprobleme im Internet

Aktuelle Sicherheitsprobleme im Internet Herbst 2014 Aktuelle Sicherheitsprobleme im Internet Wirtschaftsinformatik: 5. Semester Dozenten: Rainer Telesko / Martin Hüsler Fachhochschule Nordwestschweiz FHNW / Rainer Telesko - Martin Hüsler 1 Inhalt

Mehr

Schwachstellenanalyse 2013

Schwachstellenanalyse 2013 Schwachstellenanalyse 2013 Sicherheitslücken und Schwachstellen in Onlineshops Andre C. Faßbender Schwachstellenforschung Faßbender 09.01.2014 Inhaltsverzeichnis 1. Abstract... 3 2. Konfiguration der getesteten

Mehr

Werkzeuge zur Netzwerkdiagnose

Werkzeuge zur Netzwerkdiagnose Werkzeuge zur Netzwerkdiagnose Markus Dahms BraLUG e.v. 16. Januar 2008 Überblick 1 Einführung 2 Netzzugangsschicht Ethernet 3 Vermittlungsschicht Internet Protocol 4 Namensauflösung 5 Firewall-Troubleshooting

Mehr

Hacker Hackerprofile in amerikanischer Terminologie

Hacker Hackerprofile in amerikanischer Terminologie Hacker Hackerprofile in amerikanischer Terminologie Trainspotter ist ein Hacker, der besessen ist, zu so vielen Systeme wie möglich Zugang zu erlangen. Kehrt selten nach einem geglückten hack zurück. Georges

Mehr

Datensicherheit. Vorlesung 5: 15.5.2015. Sommersemester 2015 h_da. Heiko Weber, Lehrbeauftragter

Datensicherheit. Vorlesung 5: 15.5.2015. Sommersemester 2015 h_da. Heiko Weber, Lehrbeauftragter Datensicherheit Vorlesung 5: 15.5.2015 Sommersemester 2015 h_da, Lehrbeauftragter Inhalt 1. Einführung & Grundlagen der Datensicherheit 2. Identitäten / Authentifizierung / Passwörter 3. Kryptografie 4.

Mehr

Port-Knocking. Referat im Fach Datenschutz / -sicherheit von Stefan Macke. http://www.stefan. www.stefan-macke.com

Port-Knocking. Referat im Fach Datenschutz / -sicherheit von Stefan Macke. http://www.stefan. www.stefan-macke.com Port-Knocking Referat im Fach Datenschutz / -sicherheit von Stefan Macke http://www.stefan www.stefan-macke.com 1 Agenda des Port-Knockings knockd webknocking durch Port-Knocking? 2 2 Was ist Port-Knocking?

Mehr

Sicherheit im Internet Empfehlungen für den Aufbau von sicheren E-Commerce Systemen

Sicherheit im Internet Empfehlungen für den Aufbau von sicheren E-Commerce Systemen Sicherheit im Internet Empfehlungen für den Aufbau von sicheren E-Commerce Systemen Prof. Dr. Bernhard Stütz Leiter Real-World-Labs an der Fachhochschule Stralsund Prof. Dr. Bernhard Stütz Security 1 Übersicht

Mehr

P R A X I S A R B E I T. Portscanner

P R A X I S A R B E I T. Portscanner BERUFSAKADEMIE LÖRRACH STAATLICHE STUDIENAKADEMIE UNIVERSITY OF COOPERATIVE EDUCATION P R A X I S A R B E I T Portscanner Verfasser: Kurs: Fachrichtung: Fachbereich: Firma: Abgabetermin: Sebastian Galenski

Mehr

Personal Firewall (PFW) und Virenscanner. Präsentation von Gunawati A.-Tillmann, Miguel Lopez und Andreas Angelkorte

Personal Firewall (PFW) und Virenscanner. Präsentation von Gunawati A.-Tillmann, Miguel Lopez und Andreas Angelkorte Personal Firewall (PFW) und Virenscanner Präsentation von Gunawati A.-Tillmann, Miguel Lopez und Andreas Angelkorte Gliederung Personal Firewall Virenscanner 1. Zweck einer Firewall 2. Funktionsweise einer

Mehr

Ist Ihr Netzwerk sicher? 15 Fragen die Sie sich stellen sollten

Ist Ihr Netzwerk sicher? 15 Fragen die Sie sich stellen sollten Ist Ihr Netzwerk sicher? 15 Fragen die Sie sich stellen sollten Innominate Security Technologies AG Rudower Chaussee 29 12489 Berlin Tel.: (030) 6392-3300 info@innominate.com www.innominate.com Die folgenden

Mehr

Wozu sind Firewalls und VPN gut?

Wozu sind Firewalls und VPN gut? Wozu sind Firewalls und VPN gut? Wo wir hin wollen Einführung Was sind und wie funktionieren IP, TCP und UDP? Wie passt eine Firewall in dieses Bild? VPN, Verschlüsselung und ihre Auswirkungen Aktuelle

Mehr

Praktikum IT-Sicherheit. Firewall

Praktikum IT-Sicherheit. Firewall IT-Sicherheit Praktikum IT-Sicherheit - Versuchshandbuch - Einrichten von Firewallsystemen mit IPtables Firewall In diesem Versuch lernen Sie den Umgang mit Paketfiltern im Zusammenhang von Servern und

Mehr

NET 4: Security. Begleitmaterial zur Vorlesung NET 4 des FH-Studiengangs. Bioinformatik, in Hagenberg Sommersemester 2004

NET 4: Security. Begleitmaterial zur Vorlesung NET 4 des FH-Studiengangs. Bioinformatik, in Hagenberg Sommersemester 2004 NET 4: Security Begleitmaterial zur Vorlesung NET 4 des FH-Studiengangs Bioinformatik, in Hagenberg Sommersemester 2004 FH-Prof. Dipl.-Ing. Dr. Gerhard Jahn email: Gerhard.Jahn@fh-hagenberg.at 28. Mai

Mehr

Phishing und Pharming - Abwehrmaßnahmen gegen Datendiebstahl im Internet

Phishing und Pharming - Abwehrmaßnahmen gegen Datendiebstahl im Internet Phishing und Pharming - Abwehrmaßnahmen gegen Datendiebstahl im Internet Beispiel für eine gefälschte Ebay-Mail Unterschiede zu einer echten Ebay-Mail sind nicht zu erkennen. Quelle: www.fraudwatchinternational.com

Mehr

IT-Sicherheit im Fakultätsnetz

IT-Sicherheit im Fakultätsnetz IT-Sicherheit im Fakultätsnetz 16.12.2013 Falk Husemann, IRB -1- IT-Sicherheit im Fakultätsnetz Sicherheitsmaßnahmen seit Existenz Seit 2011 eigenes Projekt Secops Unterstützung des operativen Betriebs

Mehr

Grundlagen Firewall und NAT

Grundlagen Firewall und NAT Grundlagen Firewall und NAT Was sind die Aufgaben einer Firewall? Welche Anforderungen sind zu definieren? Grundlegende Funktionsweise Technische Varianten NA[P]T Portmapping Übungsaufgabe Quellen im WWW

Mehr

UDP-, MTU- und IP- Fragmentierung

UDP-, MTU- und IP- Fragmentierung UDP-, MTU- und IP- Fragmentierung Jörn Stuphorn stuphorn@rvs.uni-bielefeld.de Universität Bielefeld Technische Fakultät Stand der Veranstaltung 13. April 2005 Unix-Umgebung 20. April 2005 Unix-Umgebung

Mehr

Sicherheit für Karteninhaber- und Transaktionsdaten/Schutz vor Hackerangriffen

Sicherheit für Karteninhaber- und Transaktionsdaten/Schutz vor Hackerangriffen Sicherheit für Karteninhaber- und Transaktionsdaten/Schutz vor Hackerangriffen Neue Programme von MasterCard und VISA: SDP Side Data Protection MasterCard AIS Account Information Security VISA Zielgruppen

Mehr

DOSNET SMURF ATTACK EVIL TWIN

DOSNET SMURF ATTACK EVIL TWIN DOSNET SMURF ATTACK EVIL TWIN Michael Armstorfer Roland Eisenhuber Mathias Fink ITS2005 / FH-Salzburg / 2007-01-14 DOSNET Gefahrenkategorie Störung Attackenkategorie Art: aktiv Ausgangspunkt: von außen

Mehr

DATEIÜBERTRAGUNGS- PROTOKOLLE

DATEIÜBERTRAGUNGS- PROTOKOLLE DATEIÜBERTRAGUNGS- PROTOKOLLE KV Sicherheit in Applikationsprotokollen Florian Ströbitzer 11 Inhalt 1. TFTP Trivial File Transfer Protocol... 2 1.1. Übertragungsmodi... 2 1.2. Das Protokoll... 3 2. FTP

Mehr

LaMa-Creation Portscanner

LaMa-Creation Portscanner LaMa-Creation Portscanner Seite 1 von 12 Seite 2 von 12 Inhaltsverzeichnis Einleitung...4 Systemanforderung...5 Hardware:...5 Software:...5 Unterstützte Clientbetriebssysteme:... 5 Unterstützte Serverbetriebssysteme:...5

Mehr

Resolver! DNS: Liefert 173.194.112.111 Resolver cached Antwort (mit Flag Time To Life, TTL)

Resolver! DNS: Liefert 173.194.112.111 Resolver cached Antwort (mit Flag Time To Life, TTL) Domain Name System (DNS) Hauptfunktion Namensauflösung: google.de! 173.194.112.111 Beispiel (Auflösung von google.de). Client! Resolver: Auflösung google.de Resolver! Rootserver: Liefert Toplevel Domain

Mehr

Aktuelle Sicherheitsprobleme im Internet: Angriffe auf Web-Applikationen

Aktuelle Sicherheitsprobleme im Internet: Angriffe auf Web-Applikationen FAEL-Seminar Aktuelle Sicherheitsprobleme im Internet: Angriffe auf Web-Applikationen Prof. Dr. Marc Rennhard Institut für angewandte Informationstechnologie InIT ZHAW Zürcher Hochschule für Angewandte

Mehr

Desktop Personal Firewall und Virenscanner

Desktop Personal Firewall und Virenscanner Desktop Personal Firewall und Virenscanner Desktop Personal Firewall Was ist eine Firewall und wie kann diese unterschieden werden? Wie funktioniert eine Firewall? Was ist zu beachten? Virenscanner Was

Mehr

IT-Sicherheit heute (Teil 4) Diesen und andere Vorträge bieten wir Ihnen als kostenlose Downloads an. www.networktraining.

IT-Sicherheit heute (Teil 4) Diesen und andere Vorträge bieten wir Ihnen als kostenlose Downloads an. www.networktraining. IT-Sicherheit heute (Teil 4) Diesen und andere Vorträge bieten wir Ihnen als kostenlose Downloads an. www.networktraining.de/download Agenda Grundlagen: Fakten, Zahlen, Begriffe Der Weg zu mehr Sicherheit

Mehr

3 Analyse der Informationen und Auswertung von Schwachstellen

3 Analyse der Informationen und Auswertung von Schwachstellen 3 Analyse der Informationen und Auswertung von Schwachstellen Webquellen: http://www.packetstormsecurity.org http://www.2600.com http://www.theregister.co.uk/content/55/16725.html Nessus, ISS Scanner Empfehlenswerte

Mehr

Sicherheitsaspekte unter Windows 2000

Sicherheitsaspekte unter Windows 2000 Sicherheitsaspekte unter Windows 2000 Margarete Kudak Sascha Wiebesiek 1 Inhalt 1. Sicherheit 1.1 Definition von Sicherheit 1.2 C2 - Sicherheitsnorm 1.3 Active Directory 2. Sicherheitslücken 3. Verschlüsselung

Mehr

Hacker Methoden. für den Angriff auf IT-Systeme. Dortmund, Oktober 2004

Hacker Methoden. für den Angriff auf IT-Systeme. Dortmund, Oktober 2004 Hacker Methoden für den Angriff auf IT-Systeme Dortmund, Oktober 2004 Prof. Dr. Heinz-Michael Winkels, Fachbereich Wirtschaft FH Dortmund Emil-Figge-Str. 44, D44227-Dortmund, TEL.: (0231)755-4966, FAX:

Mehr

LAN Schutzkonzepte - Firewalls

LAN Schutzkonzepte - Firewalls LAN Schutzkonzepte - Firewalls - Allgemein Generelle Abschirmung des LAN der Universität Bayreuth - Lehrstuhlnetz transparente Firewall - Prinzip a) kommerzielle Produkte b) Eigenbau auf Linuxbasis - lokaler

Mehr

Vortrag am 06.06.2002. in Hannover (DVG) Arbeitskreis Informationstechnologie IHK Uni Hildesheim Prof. Dr. E. Schwarzer. 16.01.2006 IT-Sicherheit 1

Vortrag am 06.06.2002. in Hannover (DVG) Arbeitskreis Informationstechnologie IHK Uni Hildesheim Prof. Dr. E. Schwarzer. 16.01.2006 IT-Sicherheit 1 IT-Sicherheit Vortrag am 06.06.2002 in Hannover (DVG) Arbeitskreis Informationstechnologie IHK Uni Hildesheim Prof. Dr. E. Schwarzer 16.01.2006 IT-Sicherheit 1 Literatur O. Kyas, M. a Campo, IT-Crackdown

Mehr

Verlässliche Verteilte Systeme 1. Prof. Dr. Felix Gärtner

Verlässliche Verteilte Systeme 1. Prof. Dr. Felix Gärtner Verlässliche Verteilte Systeme 1 Angewandte IT-Robustheit und IT-Sicherheit Vorlesung im Wintersemester 2004/2005 Prof. Dr. Felix Gärtner Teil 14: Schwächen von und Angriffe auf die Internet-Protokolle

Mehr

Verlässliche Verteilte Systeme 1. Prof. Dr. Felix Gärtner. Teil 16: Sichern von TCP- und UDP-Diensten (System Management)

Verlässliche Verteilte Systeme 1. Prof. Dr. Felix Gärtner. Teil 16: Sichern von TCP- und UDP-Diensten (System Management) Verlässliche Verteilte Systeme 1 Angewandte IT-Robustheit und IT-Sicherheit Vorlesung im Wintersemester 2004/2005 Prof. Dr. Felix Gärtner Teil 16: Sichern von TCP- und UDP-Diensten (System Management)

Mehr

Backtrack 5. Effektive Sicherheitstests selbst durchführen. Autor: Martin Schagerl. Letzte Änderung am 17.07.2012. Version 1.2

Backtrack 5. Effektive Sicherheitstests selbst durchführen. Autor: Martin Schagerl. Letzte Änderung am 17.07.2012. Version 1.2 Effektive Sicherheitstests selbst durchführen Autor: Martin Schagerl Letzte Änderung am 17.07.2012 Version 1.2 Lexon e.u., Inh. Martin Schagerl, Holzing 52, A 3252 Bergland T: +43 / 676 / 7119622, E: office@lexon.at,

Mehr

Intrusion Detection / Intrusion Prevention. Technologie zwischen Anspruch und Wirklichkeit

Intrusion Detection / Intrusion Prevention. Technologie zwischen Anspruch und Wirklichkeit Intrusion Detection / Intrusion Prevention Technologie zwischen Anspruch und Wirklichkeit IDS Bisher Zwei Bereiche Netzwerk basiert Host basiert Erkennung von Angriffen aufgrund von Mustern / Signaturen

Mehr

Kapitel 6 Internet 1

Kapitel 6 Internet 1 Kapitel 6 Internet 1 Kapitel 6 Internet 1. Geschichte des Internets 2. Datenübertragung mit TCP/IP 3. Internetadressen 4. Dynamische Zuteilung von Internetadressen 5. Domain-Namen 6. Internetdienste 2

Mehr

Zugangsschutz: Packet Filter und Firewalls

Zugangsschutz: Packet Filter und Firewalls Zugangsschutz: Packet Filter und Firewalls (1) Motivation Das Internet hat sich von einem rein akademischen Netzverbund zu einer Informationsquelle entwickelt, die auch für kommerzielle Zwecke von Interesse

Mehr

Material zum Praktikumsversuch

Material zum Praktikumsversuch Material zum Praktikumsversuch Stand: Mai. 2005, zusammengestellt von: Ulrich Greveler (Lehrstuhl NDS) Version 1.1 Grundpraktikum zur IT-Sicherheit Benutzung der Softwaretools Nessus und nmap zum Aufspüren

Mehr

SZENARIO. ausgeführt Command Injection: Einschleusen (Injizieren) bösartiger Befehle zur Kompromittierung der Funktionsschicht

SZENARIO. ausgeführt Command Injection: Einschleusen (Injizieren) bösartiger Befehle zur Kompromittierung der Funktionsschicht SZENARIO Folgenden grundlegende Gefahren ist ein Webauftritt ständig ausgesetzt: SQL Injection: fremde SQL Statements werden in die Opferapplikation eingeschleust und von dieser ausgeführt Command Injection:

Mehr

Sicherheitsmaßnahmen bei modernen Multifunktionsgeräten (Drucker, Kopierer, Scanner, FAX)

Sicherheitsmaßnahmen bei modernen Multifunktionsgeräten (Drucker, Kopierer, Scanner, FAX) Sicherheitsmaßnahmen bei modernen Multifunktionsgeräten (Drucker, Kopierer, Scanner, FAX) Sommerakademie 2008 Internet 2008 - Alles möglich, nichts privat? Die Situation Multifunktionsgeräte (Drucker,

Mehr

Payment Card Industry Data Security Standard (PCI DSS)

Payment Card Industry Data Security Standard (PCI DSS) Payment Card Industry Data Security Standard (PCI DSS) Verfahren für Sicherheitsscans Version 1.1 Veröffentlichung: September 2006 Inhaltsverzeichnis Zweck... 1 Einführung... 1 Umfang von PCI-Sicherheitsscans...

Mehr

1. Interface. Wireshark (Ehtereal)

1. Interface. Wireshark (Ehtereal) Wireshark (Ehtereal) Das Programm Wireshark Network Protocol Analyzer dient dazu, wie der Name schon sagt, ersichtlich zu machen, welche Datenpakete die Netzwerkkarte empfängt bzw. sendet. In Form von

Mehr

Internet-Sicherheit. Browser, Firewalls und Verschlüsselung. von Kai Fuhrberg. 2. Auflage

Internet-Sicherheit. Browser, Firewalls und Verschlüsselung. von Kai Fuhrberg. 2. Auflage Internet-Sicherheit Browser, Firewalls und Verschlüsselung von Kai Fuhrberg 2. Auflage Internet-Sicherheit Fuhrberg schnell und portofrei erhältlich bei beck-shop.de DIE FACHBUCHHANDLUNG Hanser München

Mehr

Angriffe auf Windowssysteme

Angriffe auf Windowssysteme Angriffe auf Windowssysteme von Markus Diett Ruhr-Universität Bochum Lehrstuhl Kommunikationssicherheit Seminar: IT-Sicherheit Wintersemester 2003/2004 Fachsemster: 5 Matrikel-Nr.: 108 001 21522 6 Betreut

Mehr

Computerviren, Würmer, Trojaner

Computerviren, Würmer, Trojaner Computerviren, Würmer, Trojaner Computerviren, Würmer und Trojaner zählen zur Familie unerwünschter bzw. schädlicher Programme, der so genannten Malware. Diese Programme können sich selbst verbreiten und

Mehr

Gateway für netzwerkfähige Komponenten ewon kann als Gateway für alle netzwerkfähigen Komponenten dienen

Gateway für netzwerkfähige Komponenten ewon kann als Gateway für alle netzwerkfähigen Komponenten dienen ewon - Technical Note Nr. 005 Version 1.3 Gateway für netzwerkfähige Komponenten ewon kann als Gateway für alle netzwerkfähigen Komponenten dienen 08.08.2006/SI Übersicht: 1. Thema 2. Benötigte Komponenten

Mehr

web(in)securities CISCO Academy Day 11/12.05.2012 Mark Hloch Montag, 14. Mai 12

web(in)securities CISCO Academy Day 11/12.05.2012 Mark Hloch Montag, 14. Mai 12 Hochschule Niederrhein University of Applied Sciences Elektrotechnik und Informatik Faculty of Electrical Engineering and Computer Science web(in)securities CISCO Academy Day 11/12.05.2012 Mark Hloch Inhalt

Mehr

Security-Webinar. Februar 2015. Dr. Christopher Kunz, filoo GmbH

Security-Webinar. Februar 2015. Dr. Christopher Kunz, filoo GmbH Security-Webinar Februar 2015 Dr. Christopher Kunz, filoo GmbH Ihr Referent _ Dr. Christopher Kunz _ CEO Hos4ng filoo GmbH / TK AG _ Promo4on IT Security _ X.509 / SSL _ Vorträge auf Konferenzen _ OSDC

Mehr

STUDIENARBEIT. Institut für Datennetze. Thema: Portscanner und Fingerprinting WS 2001/2002. Fachhochschule Köln 09 Fachbereich Nachrichtentechnik

STUDIENARBEIT. Institut für Datennetze. Thema: Portscanner und Fingerprinting WS 2001/2002. Fachhochschule Köln 09 Fachbereich Nachrichtentechnik 2 2 2 2 2 2 2 2 2 2 2 2 2 2 2 2 2 2 2 2 2 2 2 Fachhochschule Köln 09 Fachbereich Nachrichtentechnik Institut für Datennetze STUDIENARBEIT Thema: scanner und Fingerprinting WS 2001/2002 Studenten: Gruppe

Mehr

PCI Security Scan. Beweisen Sie Ihre Sicherheit! Ihre Vorteile auf einen Blick:

PCI Security Scan. Beweisen Sie Ihre Sicherheit! Ihre Vorteile auf einen Blick: Beweisen Sie Ihre Sicherheit! Unser Security Scan ist eine Sicherheitsmaßnahme, die sich auszahlt. Systeme ändern sich ständig. Selbst Spezialisten kennen nicht alle Schwachstellen im Detail. Der PCI Scan

Mehr

IP routing und traceroute

IP routing und traceroute IP routing und traceroute Seminar Internet-Protokolle Dezember 2002 Falko Klaaßen fklaasse@techfak.uni-bielefeld.de 1 Übersicht zum Vortrag Was ist ein internet? Was sind Router? IP routing Subnet Routing

Mehr

Folgende Voraussetzungen für die Konfiguration müssen erfüllt sein:

Folgende Voraussetzungen für die Konfiguration müssen erfüllt sein: 7. Intrusion Prevention System 7.1 Einleitung Sie konfigurieren das Intrusion Prevention System um das Netzwerk vor Angriffen zu schützen. Grundsätzlich soll nicht jeder TFTP Datenverkehr blockiert werden,

Mehr

Einsatz des flypaper-dämons zur effektiven Abwehr von Portscan-Angriffen

Einsatz des flypaper-dämons zur effektiven Abwehr von Portscan-Angriffen Einsatz des flypaper-dämons zur effektiven Abwehr von Portscan-Angriffen Johannes Franken Abbildung: Klebefalle (engl.: flypaper) Auf dieser Seite beschreibe ich, wie man Linux-Firewalls

Mehr

Vortrag Rechnernetze. Thema: Arp Spoofing. Stev Eisenhardt / Inf04. Seite 1

Vortrag Rechnernetze. Thema: Arp Spoofing. Stev Eisenhardt / Inf04. Seite 1 Vortrag Rechnernetze Thema: Arp Spoofing Von: Stev Eisenhardt / Inf04 Seite 1 Übersicht: Definitionen Seite 3 Arten von Spoofing Seite 4 Praktische Beispiele.. Seite 7 Spoofing von SSL Verbindungen.. Seite

Mehr

Sniffer. Electronic Commerce und Digitale Unterschriften. Proseminar Leiter: Dr. Ulrich Tamm Vortragender: Stefan Raue Datum: 29.06.2004.

Sniffer. Electronic Commerce und Digitale Unterschriften. Proseminar Leiter: Dr. Ulrich Tamm Vortragender: Stefan Raue Datum: 29.06.2004. Sniffer Proseminar: Electronic Commerce und Digitale Unterschriften Proseminar Leiter: Dr. Ulrich Tamm Vortragender: Stefan Raue Datum: 29.06.2004 Gliederung Was sind Sniffer? Einführung Ethernet Grundlagen

Mehr

Lösungen zu 978-3-8045-5387-3 Informations- und Telekommunikationstechnik - Arbeitsheft

Lösungen zu 978-3-8045-5387-3 Informations- und Telekommunikationstechnik - Arbeitsheft Lösungen zu ---- Informations- und Telekommunikationstechnik - Arbeitsheft Handlungsschritt Aufgabe a) Die TCP/IP-Protokollfamilie verwendet logischen Adressen für die Rechner (IP- Adressen), die eine

Mehr

TCP/IP-Protokollfamilie

TCP/IP-Protokollfamilie TCP/IP-Protokollfamilie Internet-Protokolle Mit den Internet-Protokollen kann man via LAN- oder WAN kommunizieren. Die bekanntesten Internet-Protokolle sind das Transmission Control Protokoll (TCP) und

Mehr

Sicherheit in Netzen- Tiny-Fragment

Sicherheit in Netzen- Tiny-Fragment Bonn-Rhein Rhein-Sieg Thema: Bearbeiter: - Tiny-Fragment Fragment-Attacke Distributed Denial of Service (DDoS( DDoS) Veranstaltung Dozent Inhalt Tiny-Fragment-Attacke Funktionsweise Protokolltechnische

Mehr

Uni-Firewall. Absicherung des Überganges vom Hochschulnetz zum Internet am Wingate (Helmut Celina)

Uni-Firewall. Absicherung des Überganges vom Hochschulnetz zum Internet am Wingate (Helmut Celina) Uni-Firewall Absicherung des Überganges vom Hochschulnetz zum Internet am Wingate (Helmut Celina) Was ist eine Firewall? oder 2 Was ist eine Firewall? Eine Firewall muss ein Tor besitzen Schutz vor Angriffen

Mehr

Malware - Viren, Würmer und Trojaner

Malware - Viren, Würmer und Trojaner Department of Computer Sciences University of Salzburg June 21, 2013 Malware-Gesamtentwicklung 1984-2012 Malware-Zuwachs 1984-2012 Malware Anteil 2/2011 Malware Viren Würmer Trojaner Malware Computerprogramme,

Mehr

Dr. Uwe Köhler E-Commerce Sicherheit Die drei e-mythen über Sicherheit Inhalt Definition IT-Sicherheit Zustand eines lt-systems, in dem die Risiken,

Dr. Uwe Köhler E-Commerce Sicherheit Die drei e-mythen über Sicherheit Inhalt Definition IT-Sicherheit Zustand eines lt-systems, in dem die Risiken, Dr. Uwe Köhler Practice Manager ATS Security & intermedia Oracle Consulting E-Commerce Sicherheit Mit Linux Die drei e-mythen über Sicherheit 1. Hacker verursachen den größten Schaden. Fakt: 80% der Datenverluste

Mehr

Grundlagen DNS 1/5. DNS (Domain Name System)

Grundlagen DNS 1/5. DNS (Domain Name System) Grundlagen DNS 1/5 DNS (Domain Name System) Weltweit gibt es 13 zentrale DNS-Server (Root-Nameserver), auf denen die verschiedenen Domains abgelegt sind. Der Domönennamensraum bzw. das Domain Name Space

Mehr

Ankündigungen 11.12.2006

Ankündigungen 11.12.2006 Ankündigungen 11.12.2006 E-Mail von bush@whitehouse.gov Terminplan: Montag 11.12.: Management von Netzwerkdiensten Dienstag 12.12.: Integritätskontrolle, sicheres Booten Dienstag 12.12. (Übung): Probeklausur

Mehr

The Cable Guy März 2004

The Cable Guy März 2004 The Cable Guy März 2004 Local Server-Less DNS-Namensauflösung für IPv6 von The Cable Guy Alle auf Deutsch verfügbaren Cable Guy-Kolumnen finden Sie unter http://www.microsoft.com/germany/ms/technetdatenbank/ergebnis.asp?themen=&timearea=3j&prod=

Mehr

Sicherheitsaspekte im Internet

Sicherheitsaspekte im Internet Kryptographie im Internet Sicherheitsaspekte im Internet Helmut Tessarek, 9427105, E881 Einleitung / Motivation Das Internet ist in den letzten Jahren explosionsartig gewachsen. Das Protokoll, daß im Internet

Mehr

Ich will raus! Tunnel durch die Firewall

Ich will raus! Tunnel durch die Firewall Ich will raus! Tunnel durch die Firewall Konstantin Agouros SLAC 07/Berlin Übersicht Wo ist das Problem? HTTPS SSH OpenVPN Skype/MSN ICMP DNS Alternativen zum Arbeiten draußen Wo ist das Problem? Viele

Mehr

http://www.cis.upenn.edu/~bcpierce/unison/download/stable/unison- 2.9.1/

http://www.cis.upenn.edu/~bcpierce/unison/download/stable/unison- 2.9.1/ Einführung Was ist Unison? Unison ist ein Dateisynchronisationsprogramm für Windows und Unix. Es teilt sich viele Funktionen mit anderen Programmen, wie z.b. CVS und rsync. Folgend einige Vorteile des

Mehr

Inhaltsverzeichnis. 1 Einleitung 1

Inhaltsverzeichnis. 1 Einleitung 1 xi 1 Einleitung 1 2 TCP/IP-Grundlagen 11 2.1 TCP/IP... 11 2.1.1 Geschichtliches zu TCP/IP und zum Internet... 11 2.1.2 Internet-Standards und RFCs... 12 2.1.3 Überblick... 14 2.1.4 ARP... 21 2.1.5 Routing...

Mehr

Intrusion Prevention mit IPTables. Secure Linux Administration Conference, 6. / 7. Dec 2007. Dr. Michael Schwartzkopff. iptables_recent, SLAC 2007 / 1

Intrusion Prevention mit IPTables. Secure Linux Administration Conference, 6. / 7. Dec 2007. Dr. Michael Schwartzkopff. iptables_recent, SLAC 2007 / 1 Intrusion Prevention mit IPTables Secure Linux Administration Conference, 6. / 7. Dec 2007 Dr. Michael Schwartzkopff iptables_recent, SLAC 2007 / 1 Übersicht Grundlagen Linux Firewalls: iptables Das recent

Mehr

Zielgerichtete getarnte Angriffe (Eng. Advanced Evasion Techniques)

Zielgerichtete getarnte Angriffe (Eng. Advanced Evasion Techniques) Zielgerichtete getarnte Angriffe (Eng. Advanced Evasion Techniques) Intrusion Detection und Prevention Systeme IT-Sicherheitssysteme wie ein Intrusion Detection System bzw. Intrusion Prevention System

Mehr

NAS-Server Eine Möglichkeit der dezentralen Datenspeicherung

NAS-Server Eine Möglichkeit der dezentralen Datenspeicherung NAS-Server Eine Möglichkeit der dezentralen Datenspeicherung Anton Sparrer email: antonsparrer@gmx.de Zugang zu den Computern Benutzername: Passwort: Was erwartet Sie? Tipps zum Kauf eines NAS Einbau einer

Mehr

Netzwerkadministration unter SuSE Linux. Daniel Willmann. Stefan Schmidt. Begrüßung. Inhalt. Zeitplan 2005-04-28

Netzwerkadministration unter SuSE Linux. Daniel Willmann. Stefan Schmidt. Begrüßung. Inhalt. Zeitplan 2005-04-28 Begrüßung Inhalt Zeitplan Willmann 2005-04-28 Begrüßung Begrüßung Inhalt Zeitplan Wer sind wir? Studenten der TU Braunschweig, Diplom Informatik Wissenschaftliche Hilfskräfte im Rechenzentrum der TU Wer

Mehr

Internet & Sicherheit

Internet & Sicherheit Internet & Sicherheit Klaus-Peter Hahn Mac Club Aschaffenburg Termin: 9. Januar 2003 Einführung Daten / Datenpakete Datenübertragung Paketorientierte Datenübertragung Serielle Datenströme (synchron) IP-Adressen

Mehr

Testen von System- & Netzwerksicherheit. Seminar IT-Security HU Berlin 2004, Andreas Dittrich & Philipp Reinecke

Testen von System- & Netzwerksicherheit. Seminar IT-Security HU Berlin 2004, Andreas Dittrich & Philipp Reinecke 1 Testen von System- & Netzwerksicherheit 2 Gliederung Sicherheit im Allgemeinen Testbereiche Methodik und Standards Hilfsmittel im Speziellen nessus nmap Szenario im praktischen Teil 3 Fragen zur Sicherheit

Mehr

Batch-Programmierung-Netzwerkumgebung

Batch-Programmierung-Netzwerkumgebung Batch-Programmierung-Netzwerkumgebung Inhaltsverzeichnis 1 ping 2 ipconfig o 2.1 ipconfig /all o 2.2 ipconfig /renew o 2.3 ipconfig /flushdns 3 tracert 4 netstat 5 NET o 5.1 NET USE - Netzlaufwerke verbinden

Mehr

Inhaltsverzeichnis. Die Grundlagen. Vorwort zur 2. Ausgabe. Vorwort zur Erstausgabe

Inhaltsverzeichnis. Die Grundlagen. Vorwort zur 2. Ausgabe. Vorwort zur Erstausgabe Vorwort zur 2. Ausgabe Vorwort zur Erstausgabe xv xix I Die Grundlagen 1 Einführung 3 1.1 Sicherheitsgemeinplätze.......................... 3 1.2 Auswahl eines Sicherheitskonzepts.....................

Mehr

Referat von Sonja Trotter Klasse: E2IT1 Datum Jan. 2003. Subnetting

Referat von Sonja Trotter Klasse: E2IT1 Datum Jan. 2003. Subnetting Referat von Sonja Trotter Klasse: E2IT1 Datum Jan. 2003 Subnetting Einleitung Thema dieser Ausarbeitung ist Subnetting Ganz zu Beginn werden die zum Verständnis der Ausführung notwendigen Fachbegriffe

Mehr

GeoShop Netzwerkhandbuch

GeoShop Netzwerkhandbuch Technoparkstrasse 1 8005 Zürich Tel.: 044 / 350 10 10 Fax.: 044 / 350 10 19 GeoShop Netzwerkhandbuch Zusammenfassung Diese Dokumentation beschreibt die Einbindung des GeoShop in bestehende Netzwerkumgebungen.

Mehr

Netzwerksicherheit Übung 9 Websicherheit

Netzwerksicherheit Übung 9 Websicherheit Netzwerksicherheit Übung 9 Websicherheit David Eckhoff, Tobias Limmer, Christoph Sommer Computer Networks and Communication Systems Dept. of Computer Science, University of Erlangen-Nuremberg, Germany

Mehr

Intelligence Gathering

Intelligence Gathering Intelligence Gathering Max, Johannes Team 1 20.04.2015 Outline 1. Motivation 2. Typen der Informationsbeschaffung 3. Technische Systeme 4. Personen / Firmen 5. Gegenmaßnahmen Motivation Überblick über

Mehr

Denial of Service-Attacken, Firewalltechniken

Denial of Service-Attacken, Firewalltechniken Konzepte von Betriebssystem-Komponenten: Denial of Service-Attacken, Firewalltechniken Frank Enser frank.enser@web.de 08.07.2002 1. (D)DoS Attacken 1.1.DoS Attacken DoS steht für Denial of Service und

Mehr