IT-Sicherheit: Netzsicherheit

Transkript

1 IT-Sicherheit: Netzsicherheit Cartoon by Peter Steiner. The New Yorker, July 5, 1993 issue (Vol.69 (LXIX) no. 20) page 61 Software im Netz! Server sitzen da und warten auf Verbindungen! Meist identifiziert über IP-Adresse und Port-Nummer! Client stellt Verbindung her, stellt Anfrage! Remote exploit : Anfrage an Server, die unmittelbar zum unkontrollierten Zugriff führt! Local exploit : Angriff wird erst nach Authentisierung und Erlangung eigener Zugriffsrechte (Programmausführung) möglich 2

2 Angriffe auf verschiedenen Schichten: Schicht 1! Ethernet-Repeater, jede Art von Kommunikationsleitung:! Abhören (Angriff auf Vertraulichkeit)! Verändern, Einschleusen! (allerdings meist einfacher auf höheren Schichten)! Gegenmittel: Quantenkryptographie! Beobachtung verändert Phänomen! Angriff kann erkannt werden! Nützlich vor allem zur Übertragung von Schlüsselmaterial 3 Angriffe auf verschiedenen Schichten: Schicht 2! Switches: Verunreinigen der Switch-Datenbank! Verkehr wird an alle Ports verteilt! ARP-Spoofing! Abhören (Angriff auf Vertraulichkeit), verfälschen! Tools: Dsniff, Ettercap! Vortäuschen einer fremden MAC-Adresse! Umgehung Zugriffsschutz (z.b. WLAN)! Tools: ifconfig ether 4

3 Angriffe auf verschiedenen Schichten: Schicht 3! Router: Verunreinigen des Routing-Protokolls! Verkehr wird umgeleitet! Abhören (Angriff auf Vertraulichkeit)! Verkehr wandert in schwarzes Loch! Vortäuschen einer fremden IP-Adresse! Umgehung Zugriffsschutz (z.b. bei NFS)! Einschleusen von Daten (Session Hijacking)! Loose-Source-Routing! Paket wird nicht an eigentliche Adresse zurückgeschickt, sondern via umgedrehter Source-Route! Hebelt TCP-Handshake aus 5 Scanning! Aufklärungsphase: Finden potentiell verwundbarer Hosts! IPv4 ist stark besetzt! Von ca. 4.3E9 IPv4-Adressen sind ca. 3.7E9 als Unicast-Adressen nutzbar, davon sind ca. 2.4E9 alloziert (63.7 %)! Davon werden ca. 1.4E9 global geroutet (37.8 % des nutzbaren, 59.4 % des allozierten Adreßraums)! Allein mehr als 0.3E9 davon haben Webserver (netcraft.com)! IPv6 erschwert Scanning erheblich! 1.3E33 Adressen alloziert ( % des heute nutzbaren Bereichs)! Einfaches Enumerieren mit 1 Gbit/s dauert ca. 1.3E19 Jahre 6

4 Angriffe auf verschiedenen Schichten: Schicht 4! RST-Attacks! Abbrechen einer TCP-Verbindung! Kann Routing-System (BGP) empfindlich stören (DoS)! SYN-Flooding! Aufbau von Zustand! Überlastung stört normale Verbindungen (DoS) 7 Angriffe auf verschiedenen Schichten: Schicht 7! DNS-Spoofing! Verunreinigen der Caches von DNS-Servern! -Spoofing! Web-Spoofing, Phishing! Angriffe auf Programme: Buffer Overflows etc. 8

5 Gemeinsamkeiten! On-Path-Angreifer kann abhören! Durch gezielte Angriffe kann man on-path gelangen! Abhilfe: Verschlüsselung (Kryptographie)! Identitätsbehauptungen können gefälscht werden! Abhilfe: Authentisierung! Muß resistent gegen Abhören sein! Kryptographische Authentisierung 9 Man-in-the-middle-Angriff! Man-in-the-middle täuscht jedem Kommunikationspartner vor, der andere zu sein:! Nachrichten können auf dem Weg beliebig abgehört oder verfälscht werden Alice Charlie Bob Alice Bob! Abhilfe: Kryptographie (Authentisierung/Verschlüsselung) 10

6 DoS-Angriffe! Außer Gefecht setzen (Absturz, fehlerhafter Zustand)! Überwältigen (viel Verkehr)! Erleichtert durch Zombies/Botnets (DDoS)! Amplifier-Angriffe: z.b. Smurf! Paket mit gefälschter Absenderadresse (Opfer) an directed broadcast! Alle Zielsysteme schicken ICMP-Antwort nicht erreichbar an Opfer! Directed broadcast aus Routern heute praktisch verschwunden! Nebeneffekt: ICMP gilt bei vielen Admins als bösartig (vgl. auch ping of death )! Probleme mit Path MTU discovery 11 SQL-Slammer/Sapphire! 25. Januar 2003: Korea praktisch offline! UDP-Paket mit 376 Bytes Nutzlast! Wird mit maximaler Geschwindigkeit an zufällig generierte IP-Adressen versendet! Warhol-Wurm: infizierte die meisten der! 75!000 Opfer innerhalb von 10 Minuten! Verdopplung alle 8.5 Sekunden! Trotz Bug in PRNG! Basis: Verwundbarkeit in MSSQL-Server! seit bekannt! Abhilfe: Port 1434 (MSSQL) schließen 12

7 Internet Background Radiation! Würmer wie SQL-Slammer sind immer aktiv! Hintergrundstrahlung : Ca. 0,5 4 Bytes/s/IP-Adresse! Ungepatchtes Windows-System ans Internet anschließen?! Infektionen innerhalb von Minuten (Sekunden?)! Kompletter Absturz nach ca. 30 Minuten! + Absichtliche Angriffe! Unternehmensnetze brauchen nicht unbedingt volle Internet-Konnektivität " Firewalls 13 Geschützte Werkstätten (Unternehmensnetze und Firewalls)

8 Firewall! Perimeterschutz: Crunchy outside, mushy inside! Unternehmensnetze und Internet werden nicht direkt verbunden, sondern über Firewall! Nur erwünschte Kommunikation wird durchgelassen! Problem: wie identifiziert man diese?! Interne Systeme werden vor Angriffen von außen geschützt! Sinnvoll: Auch umgekehrt! Gefahr: trügerische Sicherheit! Schützt nicht gegen Insider! 15 Packet Filter Corporate Intranet R Internet Packet filter spec Source, destination IP address Protocol (UDP, TCP, ICMP) Source, destination port... May be dynamically configured. 16

9 Kriterien für Paketfilter! Keine merkwürdigen Pakete, Protokollverletzungen! Keine IP-Optionen wie loose source routing! Evtl. auch Fragmente ausschließen (oder reassemblieren!)! Keine Martians/Bogons/Pakete von außen mit innerer IP-Src! 5-Tupel (IP-Src, IP-Dst, IP-Protokoll, Src-Port, Dst-Port)! access-list 115 deny udp any any eq 1434 (SQL-Slammer)! Besser: explizit nur gewünschte Kommunikation zulassen! Problem: IPsec verdeckt Port-Nummern (nur noch IP-Src/IP-Dst)! TCP: Aufbauversuche (SYN ohne ACK) evtl. nur in eine Richtung zulassen! access-list 120 permit tcp any any established 17 Application Layer Gateway (Proxy) Corporate Intranet H Internet Access policies ftp server ftp proxy ftp client Web browser http proxy http server client / server... client / server 18

10 Aufgaben eines ALG! Kann tief in Anwendungsflüsse hineinsehen! Protokollverletzungen nicht durchlassen! Anwendungsregeln realisieren! Kein Zugriff auf bestimmte Websites! Kein unerwünschter Inhalt (Viren/Trojanische Pferde)! Bekannte Angriffe abwehren (Buffer overflows etc.)! Anwendungsprotokolle terminieren! Z.B. Mail von außen entgegennehmen, dann intern ausliefern (und umgekehrt)! SPF (stateful packet filter): ALG für Arme 19 Classical Firewall Arrangement Corporate Intranet R R Internet Mail Web DMZ Log 20

11 DMZ (Grenznetz)! Von außen sichtbare Dienste! Proxies/ALGs! Bastion Hosts! Paket-Filter nach außen schützt DMZ! Paket-Filter nach innen schützt internes Netz! Kombination läßt kein Paket durch 21 Network Address Translator (NAT) H x H2 Corporate Intranet R Internet H3 Translation table H1: ftp H2: ftp H2: telnet H3: http / / / /32006 Host IP Address, Port Fixed IP Address, Port / / / /20004 ftp server ftp server telnetd web server 22

12 NAT: kein Firewall! NAT löst Adreßraumprobleme! Nebeneffekt: verhindert kommende Verbindungen! Krude Firewall-Funktionalität! Kommerzielle Firewalls meist um Paketfilter erweitert (5-Tupel)! Keine weiteren Analyse-/Logging-Funktionen 23 Logging! Was ist passiert?! Logfile: Meldungen mitschreiben! Ereignisse rekonstruieren! Eindringlinge erkennen! Logfile vor Angreifern schützen! 24

13 Der Einfluß von Firewalls auf das Internet! Neue Dienste lassen sich nur nach Firewall-Upgrade ausrollen! Hindernisse! Neue Software-Versionen erforderlich! Schulung der Admins; Fortschreiben der Betriebsregeln,! Ergebnis: Viele Protokolle heute benutzen HTTP, um durch die Firewalls zu kommen! Web-Services! SSH over HTTP, IP over HTTP!! Firewalls müßten nun eine Stufe höher einsetzen 25 firewall friendly! Neue Protokolle müssen Firewall-freundlich sein! Oberflächlich: Alles über HTTP! Wirklich: Flüsse müssen selbstbeschreibend sein! Politiken müssen allein auf den Flüssen realisiert werden können! Trennung Steuerung/Datenflüsse erschwert (vgl. SIP)! Fallback: Middlebox-Steuerung! Z.B. via UPnP! Fallback: HTTP-Proxy authentication, SOCKS! Authentisierter Zugriff auf Proxy 26

14 Nächste Termine Mo, Uhr: Pfingsten (schönen Feiertag!) Do, Uhr: Kryptographische Algorithmen Mo, Uhr: Vertiefung Krypto Übungsblatt 4 bald auf Stud.IP, s.: 27