Rekapitulation der Internet- Protokolle und Diskussion ihrer Schwachstellen

Transkript

1 Rekapitulation der Internet- Protokolle und Diskussion ihrer Schwachstellen H. Lubich Sicherheit in Datennetzen Schwachstellen in TCP/IP 1

2 Inhaltsübersicht Architektur des Internet Adressierung Die Basisprotokolle der Netzwerkund Transportschicht Hilfsprotokolle Diskussion von Sicherheitsaspekten Anwendungsprotokolle H. Lubich Sicherheit in Datennetzen Schwachstellen in TCP/IP 2

3 Designziele des Internet Confidentiality Vertraulichkeit Integrity Integrität Availability Verfügbarkeit H. Lubich Sicherheit in Datennetzen Schwachstellen in TCP/IP 3

4 Angriffspunkt: Physischer Eingriff in Komponenten gefährdete Komponenten Workstation, PC auf Router auf Übertragungsmedien (z.b. LAN-Kabel, Telefonleitungen, drahtlose Übertragungstrecken, Satelliten-Links) Server, "Hosts" Eingriff ausserhalb des Netzes einer Institution Eingriff innerhalb des Netzes einer Institution H. Lubich Sicherheit in Datennetzen Schwachstellen in TCP/IP 4

5 Art der Attacke passiv: Teile des Systemzustandes (inkl. Benutzerdaten) werden gelesen aktiv: Systemzustand wird verändert H. Lubich Sicherheit in Datennetzen Schwachstellen in TCP/IP 5

6 Wie erfolgt der Systemzugang? "legal" angeschlossene Benutzerworkstation unberechtigt ans interne LAN angeschlossene Workstation Workstation auf dem externen Internet Systemkonsole über einen X.25-PAD Zugang über eine Wählleitung (Modem) oder ISDN auf Ebene IP oder Applikation H. Lubich Sicherheit in Datennetzen Schwachstellen in TCP/IP 6

7 Konzept und Architekturmodell des Internet I Das Internet beruht auf dem Zusammenschluss von teilautonomen Subnetzen mittels Vermittlungsrechnern (Routern). Router leiten den Datenverkehr gemäss einer Netzwerkadresse, nicht einer Endsystemadresse. Diese Form der Datenweiterleitung ist transparent für Benutzer. Netzwerk 1 R1 Netzwerk 2 R2 Netzwerk 3 H. Lubich Sicherheit in Datennetzen Schwachstellen in TCP/IP 7

8 Konzept und Architekturmodell des Internet II "The TCP/IP internet protocols treat all networks equally. A local area network like an Ethernet, a wide area network like the NSFNET backbone, or a point-to-point link between two machines each count as one network." (D. Comer) Internet Internet Physikalisches Netz Router Rechner Rechner H. Lubich Sicherheit in Datennetzen Schwachstellen in TCP/IP 8

9 Namen und Adressen im Internet Namen: Identifikation eines Objekts, z.b. "Zürich" Adressen: Ort bezüglich eines Kontextes, z.b. "PLZ 8000" Routen: Weg zum Objekt, z.b. aufgrund einer Landkarte Im Internet werden von Benutzern Rechner oder Rechnernetze benannt (DNS) oder adressiert (IP-Adressen). Alle Internetadressen sind 32-Bit Werte, die in eine Netznummer und eine Rechnernummer bezüglich dieses Netzes unterteilt sind. H. Lubich Sicherheit in Datennetzen Schwachstellen in TCP/IP 9

10 Adresstypen im Internet Klasse A 0 NetzID RechnerID Klasse B 10 NetzID RechnerID Klasse C 110 NetzID RechnerID Klasse D 1110 Multicast Adresse H. Lubich Sicherheit in Datennetzen Schwachstellen in TCP/IP 10

11 OSI-Modell User AP Application Presentation Session Transport Die Schichtenarchitektur von TCP/IP Anwendungsdienst und -protokoll: TELNET: Interaktiver Zugriff FTP: File Transfer Protocol SMTP: Simple Mail Transfer Protocol DNS: Domain Name System NFS: Network File System TCP: Transmission Control Protocol UDP: User Datagram Protocol 3 Network Internet Protocol ICMP 2 Data link Physikalische Subnetze 1 Physical lokal: Alle Arten von lokalen Netzen weiträumig: Mietleitungen, öffentliche X.25-Netze H. Lubich Sicherheit in Datennetzen Schwachstellen in TCP/IP 11

12 Potentielle Schwachstellen Internet Protocol Routing-System Address Resolution Protocol Interior Gateway Protocols (RIP, Hello) Exterior Gateway Protocols Transportprotokolle Netzverwaltung / Bootstrap Anwendungsprotokolle H. Lubich Sicherheit in Datennetzen Schwachstellen in TCP/IP 12

13 Format eines IP-Datengramms IP basiert auf Paketvermittlung, ist unzuverlässig und verbindungslos Fragmentierung, Optionen, Diensttyp, Lebenszeit Vers HLEN Lebenszeit Diensttyp Identifikation Protokoll IP-Adresse des Senders IP-Adresse des Empfängers IP-Optionen (falls vorhanden) Daten Flags Gesamtlänge Kopf-Prüfsumme Fragment-Offset "Padding" H. Lubich Sicherheit in Datennetzen Schwachstellen in TCP/IP 13

14 Abbildung von IP-Adressen auf physikalische Adressen Gegeben 2 Rechner, die am selben physikalischen Subnetz angeschlossen sind. Beide Rechner haben je eine IP-Adresse, und je eine physikalische Adresse bezüglich ihres gemeinsamen Netzes (z.b. eine Ethernet-Adresse). Will Rechner A Daten an Rechner B senden, so muss er anhand der IP-Adresse von Rechner B die Ethernet-Adresse von Rechner B herausfinden, um die Daten über das gemeinsame Netz zu senden. H. Lubich Sicherheit in Datennetzen Schwachstellen in TCP/IP 14

15 Wege zur Abbildung von IP-Adressen auf physikalische Adressen Direkte Abbildung durch Berechnung aus der IP-Adresse: dies ist nur in bestimmten Netzen möglich, und auch nur, solange das Adressierschema in beiden Adressräumen eingehalten wird. Suche der physikalischen Adresse in einem Verzeichnisdienst anhand der IP-Adresse. Dynamische Bindung durch Nachfragen auf dem lokalen Netz mittels des "Address Resolution Protocol": Rechner A sendet ein spezielles Broadcast-Paket auf das lokale Netz, in dem die IP- Adresse von Rechner B angegeben ist, und in dem nach der physikalischen Adresse von Rechner B gefragt wird. Rechner B füllt die gesuchte Adresse ein und sendet das Paket zurück. H. Lubich Sicherheit in Datennetzen Schwachstellen in TCP/IP 15

16 Angriffe auf das Address Resolution Protocol (ARP) Maskerade (spoofing) Unbefugter Anschluss einer Workstation/eines Routers unter einer schon vergebenen Adresse falsche Antwort auf ARP-Requests Absichtliches Belasten der echten Komponente Gegenmassnahmen Schutz des physischen Mediums Schutz der angeschlossenen Komponenten Einsatz einer (bislang unbekannten) gesicherten Version von ARP H. Lubich Sicherheit in Datennetzen Schwachstellen in TCP/IP 16

17 Verursachen eines Broadcast Storm Szenario: Angreifer sendet IP-Datengramm an nichtexistente Adresse als Broadcast Frame Alle Router antworten mit ARP-request Angreifer antwortet mit ARP-reply mit Broadcast-Adresse Paket wird mit Broadcast an alle Stationen geschickt Gegenmassnahme: Intelligente Implementationen von ARP (die ARP-Spezifikation in RFC 826 hilft leider nicht!) H. Lubich Sicherheit in Datennetzen Schwachstellen in TCP/IP 17

18 Source-Routing-Attacke (2) R2 S T (1) R2,R1 Angreifer A R a A T S R1,R2 Server S R1 R3 R4 trusted host R5 T A, S und T stellen IP-Adressen dar H. Lubich Sicherheit in Datennetzen Schwachstellen in TCP/IP 18

19 Routing innerhalb eines Autonomen Systems Attacke auf RIP / HELLO Routing-Info: (Absender, Dest1, Distanz1, Dest2, Distanz2,..., DestN, DistanzN) Distanzvektor-Routing liebt gut verbundene Router Ein Router unter Kontrolle eines Angreifers kann Verkehr an sich ziehen Gegenmassnahmen Firewall, blockiert RIP Plausibilitätsprüfung von Routing-Info OSPF? Routing zwischen Autonomen Systemen (EGP, BGP) ist weniger gefährdet H. Lubich Sicherheit in Datennetzen Schwachstellen in TCP/IP 19

20 Transportprotokolle: UDP UDP implementiert einen unzuverlässigen, nicht sequenzerhaltenden, verbindungslosen Transportdienst "So sicher wie IP" Port des Absenders Port des Empfängers Länge des UDP DG UDP-Prüfsumme Nutzdaten (gerade Anzahl) Port des Absenders : optional für Antworten, 0 falls nicht benutzt UDP-Prüfsumme : optional, 0 falls nicht benutzt Nutzdaten: mit Füll-Oktett, falls notwendig H. Lubich Sicherheit in Datennetzen Schwachstellen in TCP/IP 20

21 Transportprotokolle: TCP TCP implementiert ein verbindungsorientiertes, zuverlässiges Transportprotokoll, aufbauend z.b. auf dem IP-Dienst Port des Senders Port des Empfängers Sequenznummer im Bytestrom des Senders Bestätigungsnummer (ACK in Gegenrichtung) HLEN Reserviert Code Bits Grösse des Emfängerfensters Prüfnummer (auch über Daten) Optionen (falls vorhanden) Daten Eindringen in eine aktive TCP-Verbindung Dringlichkeitszeiger "Padding" H. Lubich Sicherheit in Datennetzen Schwachstellen in TCP/IP 21

22 Verbindungserstellung bei TCP: 3-Way Handshaking Sende SYN seq=x Empf. SYN + ACK Sende ACK y+1 Empf. SYN Sende SYN seq=y, ACK x+1 Empf. ACK TCP SYN Flooding Attack H. Lubich Sicherheit in Datennetzen Schwachstellen in TCP/IP 22

23 TCP: Voraussage von TCP-Folgenummern Sendet SYN seq=x, Src=T Errät y Sendet SYN ACK y+1 Src=T Sendet Daten seq=x+1 Src=T Angreifer Trusted Host T?????? Server Empf. SYN Sendet SYN seq=y, ACK x+1 Dest=T Empf. ACK Interpretiert Daten als solche von T H. Lubich Sicherheit in Datennetzen Schwachstellen in TCP/IP 23

24 ICMP Netzverwaltung / Bootstrap ICMP-Meldungen (z.b. dest. unreachable) beziehen sich auf eine Kommunikationbeziehung; ältere Implementationen reagierten pauschal auf alle Verbindungen zwischen zwei Hosts - denial of service-attacke möglich Konsequenz für Firewall-Design Missbrauch eines ICMP-Redirect Zweiter Schritt nach einer ARP-Attacke: Angreifer etabliert sich als first-hop Router Bei korrekter Implementation nur gefährlich, wenn Angreifer auf dem eigenen Subnet aktiv ist. H. Lubich Sicherheit in Datennetzen Schwachstellen in TCP/IP 24

25 DNS Netzverwaltung / Bootstrap Absaugen grosser Mengen von Information mittels zone-transfer request Maskierung als DNS-Server Info für Name->Adressabbildung getrennt von Info für inverse queries Authentisierung über Konsistenz von Name und Addresse ist unzuverlässig. SNMP: Keine Authentisierungsmechansimen RARP, BOOTP: Maskerade als Bootstrap-Server TFTP: Keine Authentisierung. Alle für den TFTPdaemon zugänglichen Dateien sind manipulierbar. H. Lubich Sicherheit in Datennetzen Schwachstellen in TCP/IP 25

26 Distributed Denial of Service Attack (DDoS) Tribe Flood Network (TFN) Mehrstufige Attacke Angriff auf einige 10 schwach geschützte Rechner Installation von Ddos Software auf diesen Rechnern Konzertierte Denial of Service Attacke (TCP SYN, ICMP oder UDP Flooding) auf eigentliche Zielsysteme Beispiele: ETH Zürich, Univ. Zürich Dezember 1999 Yahoo, e-bay, etc. Februar 2000 H. Lubich Sicherheit in Datennetzen Schwachstellen in TCP/IP 26

27 Anwendungsprotokolle Terminalemulation zu entfernten Rechnern (TELNET) Dateitransfer (FTP) Elektronische Post (SMTP) Zugriff auf entfernte Dateien (NFS) Netzwerk-Fenstersysteme (X-Windows) Einfaches Netzwerk-Management (SNMP) Informationsdienste (Gopher, WWW, NetNews, X.500) Suchdienste (archie, netfind, WAIS) Verbesserte elektronische Post (POP, MIME) Pilotanwendungen (Videokonferenzen, Teleshopping, ) H. Lubich Sicherheit in Datennetzen Schwachstellen in TCP/IP 27

28 Anwendungeprotokolle: Telnet Telnet: Passworte werden im Klartext eingegeben und übertragen Über die Schulter gucken Modifizierte Telnet-Clients oder Servers geben userid/pw an Angreifer weiter können Session nach der Arbeit aufrechterhalten / umleiten Sammeln von userid/pw auf dem Übertragungsweg (LAN, Router, Hosts) Einmalpassworte, Challenge/Response-Verfahren Telnet authentication option (RFC 1416) Secure RPC authentication for Telnet and FTP (Safford et. al. 1993) H. Lubich Sicherheit in Datennetzen Schwachstellen in TCP/IP 28

29 Anwendungsprotokolle: FTP Passworte werden im Klartext übertragen Aufpassen beim Betrieb eines "anonymous FTP Servers": ~ftp/ darf nicht schreibbar sein kein File oder Directory im anon. FTP- Baum sollte schreibbar sein oder ftp gehören /etc/passwd gehört nicht in diesen Bereich FTP-daemon muss zeitweise als root laufen (login, bind zu Port 20) H. Lubich Sicherheit in Datennetzen Schwachstellen in TCP/IP 29

30 SMTP - Simple Mail Transfer Protocol R: 220 BBN-UNIX.ARPA Simple Mail Transfer Service Ready S: HELO USC-ISIF.ARPA R: 250 BBN-UNIX.ARPA S: MAIL FROM: <Smith@USC-ISIF.ARPA> R: 250 OK S: RCPT TO: <Jones@BBN-UNIX.ARPA> R: 250 OK S: RCPT TO: <Green@BBN-UNIX.ARPA> R: 550 No such user here S: RCPT TO: <Brown@BBN-UNIX.ARPA> R: 250 OK S: DATA R: 354 Start mail input; end with <CRLF>.<CRLF> S: Blah blah blah... S:...etc. etc. etc. S:. R: 250 OK S: QUIT R: 221 BBN-UNIX.ARPA Service closing transmission channel Fehlende Authentisierung von Client, Server und ( ) Absenderadressen H. Lubich Sicherheit in Datennetzen Schwachstellen in TCP/IP 30

31 SMTP Szenario für Denial of Service-Attacke? VRFY <postmaster>, VRFY <root> EXPN - Expansion von Verteilerlisten Sendmail unübersichtliche Konfiguration läuft oft als root ist vorbestraft Cheswick/Bellovin: Sendmail is a security nightmare MIME s automatische Ausführung von Ablage im Filesystem, Ausführung von Programmen und Postscript-Files H. Lubich Sicherheit in Datennetzen Schwachstellen in TCP/IP 31

32 Zusammenfassung Viele Protokolle basieren ihre Sicherheit auf die angenommene Authentizität von IP-Adressen. Aufgrund der eingangs gemachten Annahme, dass an das Netz angeschlossene Systeme existieren, die von ihrem Benutzer vollständig beherrscht werden, kann jedoch nicht davon ausgegangen werden, dass auch nur ein Informationselement in einem IP-Datengramm nicht fälschbar oder für Unberechtigte nicht lesbar ist. Dies bedeutet, dass auf die Authentizität einer Absenderadresse kein Verlass ist. Die meisten Protokolle (oft sind dies Anwendungsprotokolle), die einen Schutz basierend auf Benutzeridentifikation und Passwort verwenden, übertragen das Passwort unverschlüsselt. Einmalpassworte werden selten oder gar nicht verwendet. Daraus folgt, dass Sicherheitslücken in den unteren Protokollschichten, die einem Angreifer das Lesen der übertragenen Daten ermöglichen, für Attacken auf Applikationsprogramme und Benutzerbereiche genutzt werden können. H. Lubich Sicherheit in Datennetzen Schwachstellen in TCP/IP 32

33 Literatur (allgemein zu TCP/IP) D. Comer, "Internetworking with TCP/IP Vol. I", Prentice Hall, 3. Auflage, Radia Perlman: Interconnections - Bridges and Routers, Addison-Wesley, 1992, ISBN W. Richard Stevens, "TCP/IP Illustrated, Vol. 1", Addison-Wesley, 1994, ISBN W. Richard Stevens, "UNIX Network Programming", Prentice Hall, Engelwood Cliffs, NJ, 1990, ISBN H. Lubich Sicherheit in Datennetzen Schwachstellen in TCP/IP 33

34 Literatur (Sicherheitin TCP/IP) W.R. Cheswick,S.M. Bellovin, "Firewalls and Internet Security: Repelling the Wily Hacker", Addison-Wesley Professional Computing Series, 1994, ISBN S.M. Bellovin, Security Problems in the TCP/IP Protocol Suite, Computer Communication Review, Vol. 19, No. 2, pp , April Mark W. Eichin, Jon A. Rochlis, With Microscope and Tweezers: An Analysis of the Internet Virus of November 1988, M.I.T., 77 Massachusetts Avenue, E40-311, Cambridge, MA 02139, February 1989 David K. Hess, David R. Safford, Udo W. Pooch, A Unix Network Protocol Security Study: Network Information Service, ACM SIGCOMM Computer Communication Review, Vol. 22, No. 5, October 1992, ACM Press, New York Safford, Hess, Schales: Secure RPC authentication (SRA) for Telent and FTP, Proc. 4th Usenix UNIX Security Symp., pp , Santa Clara, CA, Oct H. Lubich Sicherheit in Datennetzen Schwachstellen in TCP/IP 34