Verwundbarkeitsanalyse von Netzwerken

Transkript

1 Verwundbarkeitsanalyse von Netzwerken Stefan Wentz Projektarbeit im Juli 2004 AG Integrierte Kommunikationssysteme (ICSY) Fachbereich Informatik Universität Kaiserslautern Betreuer: Dipl.Phys. Brian Worden Dipl.Inform. Claudia Baltes 1

2 Inhalt Seite 1 Einführung 5 2 Netzwerkattacken und Techniken zum Missbrauch fremder Computer Klassifizierungen von Attacken Klassifizierung nach Neumann und Parker Systematische Klassifizierung von Schutzzielverletzungen (Intrusions) Klassifizierung über Sicherheitsfehler (Bugs) 2.2 Werkzeuge für Attacken Klassische Werkzeuge Klassische Attacken Mechanismen und Programme zum Schutz eines Netzwerkes Firewall Logische Firewall - Strukturen Network Address Translation (NAT) Network Masquerading Proxy Server IP Paketfilter Virtual Private Network (VPN) Physikalische Firewall - Strukturen Router mit Firewall Funktionalitäten Firewall - Rechner mit Router - Funktion Firewall - Rechner hinter Router Firewall Rechner mit Demilitarisierter Zone (DMZ) Zwei Firewall - Rechner getrennt durch DMZ (Screened Subnet) 3.2 Host System Protection Anti-Virus Software Viren Trojaner Würmer Anti-Spyware Software Adware Spytools Phonehome Dialer

3 3.3 Intrusion Detection Systeme (IDS) Intrusion Detection Erkennungsmethoden Probleme bei der Erkennung von Angriffen False Positive Fail Open Common Intrusion Detection Framework IDS Erweiterungen und Entwicklungen Honey Pots Application Protection Systeme (APS) Intrusion Protection Systeme (IPS) Werkzeuge zur Verwundbarkeitsanalyse eines Netzwerkes Betriebsystemspezifische Werkzeuge COPS (Computer Oracle and Password System) Tripwire AIDE Symantec Host IDS 4.2 Netzwerkspezifische Werkzeuge SATAN NMap: Network-Mapper Nessus SuperScan Auflistung weiterer Werkzeuge th Sphere Portscanner MingSweeper ISS Internet Scanner LANguard Symantec Netrecon Realisierung einer Verwundbarkeitsanalyse eines Netzwerkes mit Nessus Installation von Nessus Komponenten der Linux- Distribution Installation der Nessus - Komponenten 5.2 Konfiguration von Nessus Konfiguration des Nessus Servers Nessus Client Verbindung 5.3 Ausführen von Nessus Auswahl der Plugins Konzept der sicheren Tests und der Optimierung Sichere Tests Safe checks Optimierung Optimize the test Port-Scanning: Identifikation der Ziele Starten eines Scans

4 6 Auswertung der Verwundbarkeitsanalyse mit Nessus Sammeln von Daten 6.2 Erstellen eines Berichtes ( Scan Report) Berichte des Linux Clients Berichte des Windows Clients Detached Scan 6.3 Analyse eins Berichtes ( Scan Report) Ursachen für Falschmeldungen (false positives) Erkennen von Falschmeldungen (false positives) Risiko - Einschätzung Darstellung einer Analyse Graphische Reports Host Reports Finden von Lösungen Resümee, Ausblick 92 Anhang A: Nessus Optionen - Edgeos Nessus Knowledge Base 93 Command Line Options GTK GUI Client Options Configuration File Options Anhang B: Nessus Attack Scripting Language (NASL) Einleitung 2 Grundlagen: NASL Syntax 3 NASL Netzwerkfunktionen 4 Zeichenketten Manipulationsfunktionen 5 Schreiben eines Nessus Security Tests 6 Zusammenfassung Quellenangaben 179 4

5 1 Einführung Angriffe auf Netzwerke gibt es, seit es das Internet gibt. Erschreckend ist allerdings das Ausmaß, das mittlerweile erreicht ist. Maßgeblich dafür sind Programme und Anleitungen, die im Internet leicht zu finden sind und die es praktisch jedem Laien ermöglichen, Viren, Würmer und Trojaner zu erzeugen oder den großen Hacker zu spielen. Die Achtung und Aufmerksamkeit, die vor allen Dingen Kinder und Jugendliche als coole Hacker bei gleichaltrigen erhalten, trägt das Übrige dazu bei. Aber auch Angriffe mit schwer kriminellem oder gar terroristischem Hintergrund nehmen immer mehr zu. Leider unterschätzen selbst heute noch viele Netzwerkbetreiber die Gefahren, die von möglichen Angriffen ausgehen. In ihren Köpfen hält sich meist sehr hartnäckig das in den der 80ziger Jahren durch pressewirksame Negativbeispiele, wie Karl Koch und Kevin Mitnick geprägte Bild vom bösen Hacker, der wichtige Daten stehlen will. Hinzu kommen die meist hohen Kosten für IT- Sicherheit, wodurch die Sicherheitsverantwortlichen sehr viel Überzeugungsarbeit leisten müssen, um die, für die Sicherheit notwendigen Gelder zu erhalten. Auch das rechtliche Risiko ist den meisten Netzwerkbetreibern gar nicht bewusst. Angreifer sind nur in den seltensten Fällen darauf aus, Informationen zu stehlen. Vielmehr sind sie daran interessiert, fremde Ressourcen für illegale Aktionen, wie z.b. für illegale Musik, Video, Software oder sogar Kinderporno Server und auch für Angriffe auf weitere Netze zu nutzen. Der Netzwerkbetreiber muss dann nachweisen können, dass er für diese Aktionen nicht verantwortlich ist. Kann er dies nicht, ist er für den entstanden Schaden rechtlich und finanziell Verantwortlich. So ist es für die Netzwerkbetreiber heute wichtiger, den je, ihre Netze adäquat zu schützen. Daher sollte ein Netzwerkbetreiber wissen, wogegen er sein Netz schützen muss, womit er sein Netz schützen kann und welche Sicherheitslücken in seinem Netzwerk bestehen. Nur mit diesem Wissen kann ein Netzwerk, den aktuellen Anforderungen entsprechend, Geschütz werden. Genau mit diesen Punkten befassen sich die folgenden Kapitel. 5

6 2 Netzwerkattacken und Techniken zum Missbrauch fremder Computer Es gibt viele Möglichkeiten, Computer zu missbrauchen. Hier wird nun ein genauerer Blick auf die Techniken geworfen, die benutzt werden um in fremde Computersysteme einzudringen. Bezeichnend ist dabei auch die Entwicklung in der Art der Computereinbrüche. Wie in der unten aufgeführten Grafik schon zu erkennen ist hat sich das Bild des potenziellen Angreifers im Lauf der Zeit zunehmend geändert. Der ursprüngliche Angreifer, der geschickt Systemfehler und Sicherheitslücken für sein Eindringen in ein fremdes System nutzt, ist heute kaum noch zu finden. An seine Stelle sind dafür die so genannten Script Kiddies getreten Angreifer, die, ohne viel eigenes Know how Angriffswerkzeuge, die im Internet (leicht) zu finden sind, benutzen, um in fremde Systeme einzudringen. Während sich die Angriffe weiterentwickeln, lässt die Raffinesse der einzelnen Angreifer immer mehr nach. (aus: Technical Report CMU/SEI-99-TR-028, Carnegie Mellon,Software Engineering Institute, Januar 2000) Diese Entwicklung wird immer bedenklicher, da die Zahl der Script Kiddies mittlerweile exponentiell steigt und auch die benutzten Angriffswerkzeuge immer raffinierter werden. Während sich die steigende Zahl der Script Kiddies meistens noch mit jugendlichem Leichsinn, gepaart mit einem geringen Entdeckungsrisiko, erklären lässt, ist die steigende Zahl der hoch entwickelten Werkzeuge, die zum Eindringen in fremde Systeme benutzt werden, sehr bedenklich. Es gibt viele Spekulationen darüber, wie diese Werkzeuge zustande kommen, da für sie ein enormes Grundwissen der Materie vorhanden sein muss. Da dieses Grundwissen den meisten Script Kiddies fehlt, müssen diese Werkzeuge den wenigen von Leuten entwickelt und weiterentwickelt werden, die genügend von dieser Materie verstehen. 6

7 Etwas im Widerspruch dazu steht allerdings die Tatsache, das die früheren Angreifer, mit entsprechendem Wissen, heute meistens in der Sicherheitsbranche tätig sind und die Zahl der Nachfolger mit dem nötigen Know How sehr stark gesunken ist. Die einfache Erklärung, das ein Hacker ein solches Werkzeug entwickelt oder mitentwickelt, um sich zu profilieren ( Ich tue es, weil ich es kann ), reicht für die heutige Entwicklung nicht mehr aus. Es müssen daher auch noch andere Interessensgruppen, mit den nötigen finanziellen Mitteln, die entsprechenden Leute dafür zu bezahlen, hinter der Entwicklung solcher Werkzeuge stehen. Über die Motivation dieser Gruppen kann allerdings nur spekuliert werden! 2.1 Klassifizierungen von Attacken Die erste bekanntere Klassifizierung, welche nach der Art des verwendeten Missbrauchs klassifiziert, wurde von P. G. Neumann und, D. B. Parker in ihrer Arbeit [1] A summary of computer misuse techniques erstellt und am auf der 12. Nationalen Sicherheitskonferenz in Baltimore vorgestellt. Diese Klassifizierung war als eine der wenigen darauf ausgelegt, alle Formen und Techniken von Missbrauch zu erfassen. Die meisten anderen Klassifizierungen setzen bestimmte Bedingungen voraus, oder beschränken sich nur auf einen spezielleren Teilbereich. So wird z.b. bei der, später noch vorgestellten Systematischen Klassifikation von Schutzzielverletzungen davon ausgegangen, dass eine Person, die in einem System Missbrauch betreibt, schon irgendeinen Zugang (Account) zu dem System besitzt Klassifizierung nach Neumann und Parker Neumann und Parker unterteilten in Ihrer Arbeit A summary of computer misuse techniques die verschiedenen Techniken zum Missbrauch von Computern in neun (Neumann und Parker NP) Klassen: NP1 Externer Missbrauch: Informationen werden nicht am Computer oder einer Netzverbindung sondern etwa durch visuelle Beobachtung eines Bildschirms gewonnen. NP2 Hardware Missbrauch: Missbrauch durch physikalischen Zugriff auf Computer oder Netze. Hierbei werden noch die Fälle unterschieden: 1. passiv (d.h. man benutzt z.b. Kenntnisse über die vorhandene Hardware) 2. aktiv (mit Seiteneffekten wie z.b. Veränderungen einer Netzwerkstruktur) 7

8 NP3 Masquerading: d.h. hier, sich ohne erkennbare oder gar mit falscher Identität in einem Netzwerk bewegen, zu welchem Zweck auch immer (z.b. IP-Spoofing) NP4 Vorbereiten weiterer Missbräuche: z.b. Installation von Hintertüren, Trojaner, etc. NP5 Umgehung von Zugriffskontrollen: Überlisten von existierenden Kontrollen oder ausnutzen von unzureichend gesicherten, aber normalerweise verbotenen Diensten. Hierunter fällt auch das Knacken von Passwörtern. NP6 Aktiver Missbrauch von Ressourcen: Etwa Ressourcen-Erschöpfung oder das Ausnutzen unbeabsichtigter Schreibrechte (z.b. zum Verändern fremder Daten) NP7 Passiver Missbrauch von Ressourcen: Hierunter fällt manuelles oder automatisches Durchsuchen z.b. nach Daten und Informationen, die nicht für einen bestimmt sind. NP8 Missbrauch wegen Inaktivität: Fehler bei der Abwendung eines potentiell zeitkritischen Problems oder Unterlassung einer eigentlich notwenigen Aktion. Eine gerade allgemein bekannt gewordene Sicherheitslücke eines Systems, die man schließen könnte, nicht zu schließen, wäre ein Beispiel hierfür. NP9 Unterstützung für einen anderen Missbrauch: Etwa Hilfsmittel zur Planung eines Computer Missbrauchs oder kriminellen oder unethischen Aktivitäten. Diese Art der Klassifizierung ist sehr umfassend. Dennoch wird sie, wie auch hier, nur dazu benutzt, um auf die vielfältigen Möglichkeiten von Computermissbrauch aufmerksam zu machen. Für speziellere Betrachtungen im Computer-Sicherheitsbereich ist diese Art der Klassifizierung viel zu umfassend und daher ungeeignet. Andere, weniger umfassende Klassifizierungen haben sich als effizienter erwiesen, um Missbrauchmethoden, orientiert an dem jeweiligen Bedarf, zu kategorisieren. Zwei weitere Klassifizierungen, die wesentlich häufiger Verwendung finden werden hier noch vorgestellt. 8

9 2.1.2 Systematische Klassifizierung von Intrusions Diese häufig verwendete Klassifizierung unterteilt nach den Missbrauchs - Techniken und nach den damit erzielten Resultaten. Sie wurde von Ulf Lindqvist und Erland Jonsson in ihren Werk [2]: How to Systematically Classify Computer Security Intrusions vorgestellt. Ihre Klassifizierung beruht auf einer Studie, die mit Studenten eines Kurses über Computersicherheit durchgeführt wurde. Dabei war eine der Voraussetzungen, dass die Studenten bereits einen gültigen Benutzer Account für das lokale Netz besitzen. Wie schon zuvor erwähnt, wurden somit keine Techniken und Resultate untersucht, die sich mit dem Erlangen eines Benutzer Accounts von unbefugten Personen beschäftigen. Nachdem die Studenten die Zahl von 50 erfolgreichen Angriffen erreicht hatten, wurden diese von Lindqvist und Jonsson einer Matrixstruktur organisiert, wobei eine Achse die verwendete Technik, die andere Achse das Resultat des Angriffs repräsentierte. Bei der Kategorisierung wurde besonderer Wert darauf gelegt, dass jedem eingetretenen Vorfall durch diese Unterteilung genau eine Technik und genau ein Resultat zugeordnet werden kann. Dies führte dazu, dass sowohl die Techniken, als auch die Resultate in je drei Kategorien unterteilt wurden. Die drei Kategorien der Missbrauchs Techniken sind: 1. Umgehung von Zugriffskontrollen (siehe NP5) 2. Aktiver Missbrauch von Ressourcen (siehe NP6) 3. Passiver Missbrauch von Ressourcen (siehe NP7) Diese Kategorien werden dann wie folgt weiter unterteilt: 1. Umgehung von Zugriffskontrollen: - Passwort - Attacken - Vortäuschen privilegierter Rechte oder Programme - Ausnutzen von schwacher Authentifizierung 2. Aktiver Missbrauch von Ressourcen: - Ausnutzung unbeabsichtigter Schreibrechte - Ressourcenerschöpfung 3. Passiver Missbrauch von Ressourcen: - manuelles Durchsuchen - automatisches Durchsuchen - mittels eines eigenen Werkzeugs - mittels eines allgemein zugänglichen Werkzeugs 9

10 Die drei Kategorien der Missbrauchs Resultate sind: 1. Enthüllung (exposure) 2. Zugriffsverweigerung (denial of service) 3. Fehlerhafte Ausgaben (erroneous output) Diese Kategorien werden dann wie folgt weiter unterteilt: 1. Enthüllung: - Enthüllung von vertraulichen Informationen - Nur Informationen eines Benutzers enthüllt - Informationen des Systems (und der Benutzer) enthüllt - Dienste stehen unautorisierten Personen (entities) zur Verfügung - mit Zugriff als normalem Benutzer (user account) - mit Zugriff als Systembenutzer (special system account) - mit Zugriff als Root auf einem Netzwerkrechner (client) - mit Zugriff als Root auf einem Server 2. Zugriffsverweigerung: - selektiv - betrifft nur einen Benutzer zu einer bestimmten Zeit - betrifft eine Gruppe von Benutzern - nicht selektiv - betrifft alle Benutzer auf dem System - übertragend - betrifft Benutzer auf anderen Systemen 3. Fehlerhafte Ausgaben: - selektiv - betrifft nur einen Benutzer zu einer bestimmten Zeit - betrifft eine Gruppe von Benutzern - nicht selektiv - betrifft alle Benutzer auf dem System - übertragend - betrifft Benutzer auf anderen Systemen Erwähnt werden sollte noch, vielleicht auch um diese Art der Klassifizierung noch zu verdeutlichen, dass bei dieser Untersuchung auch Modifikationen an Dateien in die Rubrik fehlerhafte Ausgaben fallen, da diese Dateien irgendwann direkt oder indirekt zu einer Ausgabe führen. Diese Art der Klassifizierung, wird häufig für Arbeiten verwendet, die nur innere Sicherheitsstrukturen eines LANs untersuchen. Gehen die Sicherheitsuntersuchungen darüber hinaus, sind anpassende Modifikationen dieser Struktur kaum möglich, weshalb dann wiederum auf andere Klassifikationen zurückgegriffen wird. 10

11 2.1.3 Klassifizierung über Sicherheitsfehler (Bugs) Wie die Überschrift schon besagt, klassifiziert man hier über die Sicherheitsfehler [3], die dazu benutzt werden können, ein System zu missbrauchen. Hier wird lediglich zwischen Programmierfehlern und Installationsfehlern unterschieden. Programmierfehler: Bei Programmierfehlern handelt es sich um Fehler oder Nachlässigkeiten bei der Implementierung oder beim Design von Programmen. Die häufigsten sind dabei fehlende Überprüfungen auf gültige Eingaben, was sowohl den Inhalt als auch die Länge (Buffer Overflow) betrifft. Es kann auch eine Prüfung der Zugriffsrechte fehlen. Außerdem fallen in diese Kategorie auch Synchronisationsfehler, wobei durch ein geschicktes Timing beim Aufruf von Programmen eigentlich nicht erlaubte Operationen ausgeführt werden können. Installationsfehler: Installationsfehler können sich etwa auf einen falschen Pfad oder falsche Zugriffsrechte bei der Installation oder falsche Parameter bei der Kompilierung beziehen. Häufig haben Programme auch eine Konfigurationsdatei, die bei fehlerhaften Einträgen einen Missbrauch des Programms ermöglicht. Manchmal sorgt auch das Zusammenspiel von mehreren Programmen, die in diesen Versionen nicht zusammen passen, für die entsprechenden Fehler. Diese einfache Klassifizierung ist sehr effektiv, da die meisten der Rechner spezifischen Sicherheitsprobleme auch auf solche Fehler zurückzuführen sind. Ihre Mächtigkeit wird deutlich, dass sie z.b., im Gegensatz zu anderen Klassifizierungen zulässt und berücksichtigt, dass eine, durch einen Fehler ausgelöste Verwundbarkeit möglicherweise durch Verschiedene Angriffe ausgenutzt werden könnte. Daher bietet diese Klassifizierung eine solide Basis zur einfachen, die mit meist nur geringfügigen Erweiterungen oder Modifikationen an das jeweilige Sicherheitsproblem angepasst werden kann. 11

12 2.2 Werkzeuge für Attacken Es gibt eine Vielzahl von Werkzeugen (Programmen) die Netzwerkattacken ermöglichen. Zu diesen Werkzeugen gehören auch Programme, die entwickelt wurden, um den Netzwerkbetreibern mögliche Sicherheitslücken aufzuzeigen. Nun benutzen aber auch Angreifer genau diese Programme um Sicherheitslücken für einen möglichen Angriff zu finden. Diese Sicherheitslücken, welche meistens durch Fehler (Bugs) in Programmen und Betriebsystemen entstehen, und dann für Attacken benutzt werden können, werden, sobald sie bekannt werden, im Internet auf so genannten Bugtraq-Mailinglisten (z.b.: veröffentlicht. Meist werden dort auch gleichzeitig die Programme bekannt gegeben, die diese Fehler für Attacken ausnutzen können. Attacken, die auf dieser Basis beruhen, werden als Exploits bezeichnet, in deutschen Texten oft auch als Schutzzielverletzungen Klassische Werkzeuge Hier werden einige der schon klassischen Programme, die zum vorbereiten von Angriffen oder für Angriffe selbst benutzt werden, vorgestellt. Da die meisten davon als Security Tools entwickelt wurden, sind sie auch z.b. in der Top Security Tools Liste von InSecure.Org unter zu finden: nmap: Dieses Werkzeug (erhältlich unter: ) ist einer der bekanntesten Portscanner und kann zur Sicherheitsüberprüfung einzelner Rechner oder ganzer Netze verwendet werden. Dazu benutzt es RAW-IP Pakete um herauszufinden welche Rechner im Netz vorhanden sind, welche Dienste diese anbieten und welches Betriebssystem vermutlich auf Ihnen läuft. Außerdem wird auch noch versucht herauszufinden, ob auf dem jeweiligen Rechner Paketfilter oder eine Firewall in Benutzung sind. Die Software ist frei im Quellcode unter der GNU GPL verfügbar. whisker: Dieses Programm bietet sich speziell an um Webserver zu scannen ( ), da es auf das Auffinden von Sicherheitslücken in cgi-skripten ausgerichtet ist. Hping2: Weit über den normalen Ping hinausgehende Fähigkeiten bietet dieses Programm ( )an. Es unterstützt nicht nur ICMP sondern auch TCP, UDP und RAW-IP und hat Funktionalitäten wie Traceroute ebenfalls eingebaut. 12

13 Firewalk: Mittels einer ähnlichen Technik wie bei Traceroute stellt dieses Programm ( ) die Fähigkeit bereit, viele Firewalls zu untersuchen und die konfigurierten Regeln zu erraten. Vetescan: Dieser Vulnerability Scanner ( ) bietet die Möglichket, Angriffe (Exploits) auf Rechner unter Ausnutzung von Sicherheitslücken in der installierten Software zu fahren. Dabei werden schon automatisch eine ganze Reihe von bekannten Sicherheitslücken von häufig installierten Programmen gesucht. Nemesis: Das Programm ( ) erlaubt es, gezielt bestehende Verbindungen zu stören indem Pakete unter falschem Absender gesendet werden (Spoofing) und so aussehen, als würden sie zu der gerade laufenden Kommunikation gehören. Es werden folgende Dienste unterstützt: TCP, UDP, ICMP, ARP/RARP, IGMP, DNS, RIP und OSPF. Dies ist nur eine kleine Auswahl an Programmen die auch heute noch häufig zum vorbereiten von Angriffen oder für Angriffe selbst benutzt werden. Bei der Vielzahl von Werkzeugen, die in irgendeiner Form für Angriffe missbraucht werden können, sind die hier genannten Werkzeuge noch nicht einmal die Spitze des Eisberges Klassische Angriffe Auch hier wird nur eine kleine Auswahl von Attacken vorgestellt, die mittlerweile wohlbekannt sind, aber leider immer noch nichts von ihrer Gefährlichkeit eingebüßt haben [5]. Ping of Death: sendet ein fragmentiertes IP- Paket, dessen Offset und Länge zusammen die maximale IP- Paketgröße von 64k überschreiten. Dadurch kommt es bei einigen TCP/IP Implementierungen zu einem Buffer Overflow. SynFlood: sendet in kurzem Abstand viele TCP SYN Pakete, so dass das Zielsystem dadurch überlastet ist bzw. keine TCP Verbindungen mehr entgegennehmen kann (Denial of Service Attack). Poink: sendet falsche ARP-Meldungen ins Ethernet und verhindert so die korrekte Zuordnung zwischen IP-Nummern und Ethernet-Adressen. 13

14 3 Mechanismen und Programme zum Schutz eines Netzwerkes Der Schutz und die Sicherheit eines Netzwerkes ist heute ein Thema von zentraler Bedeutung [6]. Daher werden viele Programme und Werkzeuge angeboten, mit denen versucht wird, die gewünschte Sicherheit eines Netzwerkes zu erreichen. Mit diesen Werkzeugen, die heute zur Verfügung stehen könnte auch in den meisten Fällen ein genügend ausreichendes Maß an Sicherheit für das zu schützende Netzwerk erreicht werden. Leider beschränkt sich der Schutz der meisten Netzwerke allein auf eine Firewall. Zwar ist eine Firewall eines der grundlegendsten Werkzeuge zum Schutz eines Netzwerkes, jedoch ist auch sie nur ein Sicherheitswerkzeug von vielen. Die wichtigste Grundlage für einen effektiven Einsatz beliebiger Sicherheitsmechanismen ist eine sauber erarbeitete Struktur mehrerer Sicherheitswerkzeuge, die auf den, für das jeweilige Netzwerk für notwendig erachteten Sicherheitsbedarf abgestimmt sein muss. Eine vernünftige Sicherheitspolitik für ein Netzwerk sollte aber auch andere im Prinzip alle Aspekte der Sicherheit berücksichtigen. Solche Aspekte wären, neben dem sinnvollen und strukturierten Einsatz von Werkzeugen und Programmen, die ein Netzwerk vor Angriffen, unerlaubten Zugriffen oder gar Zerstörungen aus dem Internet und auch aus dem eigenen Netzwerk schützen, zum Beispiel auch technische Defekte oder menschliche Fehler. Wie weit nun eine Sicherheitspolitik ins Detail geht und welche Sicherheitsaspekte berücksichtigt werden, hängt von den Sicherheitsanforderungen der jeweiligen Institution ab, die das Netzwerk betreibt. In jedem Fall sollten im Wesentlichen vor dem Einsetzen Netzwerk sichernder Maßnahmen die folgenden Punkte geklärt worden sein: - Bestimmung des Sicherheitsniveaus des Netzwerkes - Etablierung eines Sicherheitsmanagements für das Netzwerk - Definieren der Sicherheitspolitik für das Netzwerk Weitergehende Informationen zur Sicherheitspolitik für Netzwerke findet man im IT - Grundschutzhandbuch des Bundesamtes für Sicherheit in der Informationstechnik Für die Verwundbarkeitsanalyse von Netzwerken stehen hier Mechanismen und Programme in Vordergrund, die vorwiegend für den Schutz des eigenen Netzwerkes vor An- und Übergriffen aus dem Internet gedacht sind. Einige dieser Werkzeuge werden hier nun vorgestellt. 14

15 3.1 Die Firewall Um ein definiertes Sicherheitsniveau zu erreichen, muss der genaue Aufbau einer Firewall bestimmt werden. Man unterscheidet hier zwischen physikalischen und logischen Aufbau. Der physikalische Aufbau beschreibt die im Netzwerk zu Grunde liegende Struktur der Firewall (Hardware), der logische Aufbau befasst sich mit den jeweils eingesetzten Schutzmechanismen (Software) und Strukturen Die verschiedenen Möglichkeiten, Sicherheit mit Hilfe von Firewalls zu realisieren, sollen im Folgenden beschrieben werden Logische Firewall - Strukturen Es ist hier sinnvoll die logischen Firewall Strukturen zuerst zu erläutern, da viele davon benötigt werden, um den Sinn, der hinter dem physischen Aufbau der später vorgestellten physischen Strukturen steht, besser zu verstehen. Auch sind einige der logischen Strukturen mittlerweile auch als Hardwarelösung in Routern enthalten. Daher sollte man die wichtigsten davon am besten auch schon kennen Network Address Translation (NAT) NAT ist eigentlich eine Routerfunktion, die eingesetzt wird um kleine Netze mit nur einer einzigen (offiziellen) IP-Adresse an das Internet anzubinden. Anfragen an das Internet von einem Rechner des lokalen Netzwerks werden mit einer vorher bestimmten IP-Adresse weitergeroutet. Somit kann man die Zuordnung offizieller Adressen zu allen lokalen Rechnern sparen. Von einem Rechner im Internet erscheint dann das gesamte LAN als ein einziger Rechner (der Router selbst). Hierin liegt auch der Sicherheitsaspekt, da nur zum Router eine Verbindung aufgebaut werden kann. Dieser kann seinerseits wieder bestimmte Dienste (z.b. well known ports) auf andere Rechner umleiten. Wird NAT auf einem getrennten Router eingesetzt, ist zudem noch der IP- Stack vorhandener Server geschützt, da Angriffe vorher abgefangen werden. 15

16 Network Masquerading Unter Maskieren eines Netzwerks versteht man das Austauschen der Quelladresse und Portnummer in jedem Paket, welches den Router nach außen passiert. Antwortpakete in der entgegengesetzten Richtung werden symmetrisch behandelt, damit sie wieder am Ausgangspunkt ankommen. Man verwendet diese Technik, um nach außen andere IP- Adressen vorzugaukeln, als tatsächlich verwendet werden. Auch bei dieser Lösung wird normalerweise ein eigener Router mit eigenständigem IP- Stack verwendet (siehe NAT) Proxy Server Ein Proxy Server fungiert als Mittelsmann zwischen lokalen Anwendungen und Servern im Internet. Client Applikationen, die einen Proxy verwenden, stellen nicht direkt eine Verbindung zum Internet her. Sie adressieren den Proxy und übergeben ihm die Vollmacht (engl.: proxy), ihre Anfrage durchzuführen. Wenn direkte Verbindungen der einzelnen Rechner nicht erlaubt sind, sondern nur vom Proxy aus, kann der gesamte Datenverkehr an einer Stelle kontrolliert und protokolliert werden. Diese Zentrale Stellung des Servers gibt die Möglichkeit, damit eine weitere Funktion (in diesem Fall ein Nebeneffekt) zu verbinden. Man kann den Rechner mit entsprechender Speicherkapazität ausstatten und ihn als Puffer verwenden. Somit werden Anfragen an das Internet, z.b. der Abruf einer WWW-Seite, schneller beantwortet, da keine externe Verbindung aufgebaut werden muss. Stattdessen erhält der Client die temporär gespeicherten Daten einer vorangegangenen Verbindung eines anderen Users. Bei langsamen Verbindungen ins Internet kann dies zu drastischen Leistungssteigerungen führen wenn viele Benutzer dieselben Dienste nutzen. Wie bereits angedeutet, ist ein Proxy eine so genannte "Application Level Firewall". Dies bedeutet, dass für jeden Dienst (www, ftp, etc.) eine spezielle Proxy Software installiert werden muss. Man kann diese Eigenschaft als Nachteil (erhöhter Administrationsaufwand) aber auch als Vorteil (restriktivere Kontrolle) betrachten. Je nach Einsatzgebiet muss entschieden werden, ob sich ein Einsatz lohnt, oder ob auf andere Mechanismen zurückgegriffen werden sollte IP Paketfilter Beim IP filtering wird der Datenverkehr aufgrund der Informationen in den einzelnen IP- Packet- Headern geregelt. Dabei werden Quell- und Zieladresse als Hauptkriterium für die Filterung verwendet. So werden z.b. Pakete vom äußeren Netz kommend mit einer Quelladresse aus dem inneren Netz abgelehnt, um Angriffe abzuwehren. Auch die 16

17 angesprochenen Ports (source und destination) werden blockiert um einzelne Dienste zu verbieten oder zuzulassen. Man unterscheidet zwei Arten der Filterung: 1. Statische Filterung Filterung aufgrund genau festgelegter Regeln bezüglich der IP-Header 2. Stateful Inspection Filterung kann abhängig sein von älteren Paketen, die mit dem aktuellen in Verbindung stehen. Hiermit werden Antwortpakete bei verschiedenen Diensten akzeptiert, welche bei statischer Filterung nicht erlaubt wären. Trifft auf ein eintreffendes Paket eine Filterregel zu, so wird es entweder einfach fallengelassen, oder dem Absender signalisiert, dass es abgelehnt wurde. Die Reaktion kann bei jeder Filterregel angegeben werden. Abgelehnte Pakete werden nach der ausgelösten Filterregel sortiert und aufgezeichnet, um später eventuelle Angriffe zu analysieren. Das Problem bei dieser Lösung ist, dass man nicht bestimmen kann, wer erfolgreich die Netzgrenzen passiert hat Virtual Private Network (VPN) Mehrere lokale Netzwerke können mit Hilfe des Internets verbunden werden. Diese Verbindung liegt jedoch offen und ist für jeden abhörbar. Mit einem so genannten IP- Tunnel zwischen zwei LANs kann diese Verbindung nach außen geschützt werden. Zuerst wird eine IP- Verbindung erstellt, bei der sich die Endstellen (Firewall oder Router) authentifizieren und einen Session Key für die Übertragung festlegen. Alle Datenpakete, die die beiden Netzwerke danach austauschen, werden mit dem Session Key verschlüsselt und auf dieser Verbindung übertragen. Diese Technik hat mehrere Vorteile: - Die Verschlüsselte Verbindung sorgt für vertraulichen Datentransfer - Authentifizierung stellt sicher, dass nur der entsprechende Partner die Verbindung aufbauen kann - Die beiden Netzwerke werden völlig transparent kombiniert - Es sind keine WAN- Direktverbindungen nötig, da die Verbindung mit jeweils einem (meist Ortsnetz-) Zugang ins Internet funktioniert Nachteilig wirken sich der erhöhte Administrationsaufwand (z.b. Schlüsselverwaltung) und die unsichere Übertragungskapazität des Internets aus. 17

18 3.1.2 Physikalische Firewall - Strukturen Um eine Firewall sinnvoll in ein Netzwerk integrieren zu können müssen die Netztopologien, die dafür verwendet werden können, bekannt sein Router mit Firewall Funktionalitäten Viele Hersteller von Routern haben in ihre Geräte bereits Firewall Funktionalitäten integriert Dies sind meistens IP- Filter, die mehr oder weniger detailliert konfiguriert werden können. Manche Geräte aus der höheren Preisklasse bieten weitergehende Funktionen wie IP- Tunneling (VPN) oder Stateful Inspection an. Solche Screening Router werden jedoch sehr oft als Teil einer Firewall eingesetzt. Aktuelle hochwertige Router können mittlerweile auch als alleinige Firewall -Einrichtung genutzt werden, da alle üblichen Firewall- Strukturen integriert sind und diese auch vollständig konfigurierbar sind. Router können allerdings nie die Möglichkeit einer Application Level Firewall bieten Firewall - Rechner mit Router - Funktion Eine Konfiguration dieser Art bietet die gesamte Palette der Schutzmöglichkeiten einer Firewall. Durch die Konzentration aller Einrichtungen auf einem Rechner bietet diese Topologie aber zu viele Möglichkeiten für Angreifer, z.b. bei einer Fehlkonfiguration. Auch Fehler (Bugs) der verwendeten Programme führen zu möglichen Sicherheitslücken, die z.b. durch mehrstufige Firewalls geschlossen werden könnten. Daher ist diese Topologie nicht für Hochsicherheit geeignet. Einen solchen Rechner, der besonders gesichert ist und der als Bollwerk gegen Eindringlinge eingesetzt wird, nennt man Bastion Host. Als dem Verteidiger des lokalen Netzwerkes sollte ihm besondere Aufmerksamkeit des Administrators gelten (in der Form von regelmäßigen Audits und Sicherheits- Patches) 18

19 Firewall - Rechner hinter Router In den häufigsten Fällen ist der Firewall- Rechner im lokalen Netz und der Router lässt nur Verkehr vom Internet zum Bastion Host zu. Dieser überprüft die Zulässigkeit der Verbindung und kann sie erlauben oder abblocken. Wenn der Router mit Packet Filtering Rules ausgestattet ist, wird die dahinter liegende Firewall zusätzlich geschützt. Der Router arbeitet mit seinem eigenen TCP/IP Stack, welcher oft wesentlich stabiler ist als der einer Software Implementierung. DOS-Angriffe (z.b. Ping of Death, SYN-Flooding) werden somit vom Firewall - Rechner abgehalten und die Down - Zeiten verringert, da ein Router schneller wieder online ist als ein neu zu startender Rechner Firewall Rechner mit Demilitarisierter Zone (DMZ) Für viele (Internet-)Anwendungen ist es notwendig, oder zumindest von Vorteil, die Sicherheitseinstellungen der Firewall zu lockern. Um durch solche Sicherheitseinschränkungen nicht das gesamte Netzwerk zu gefährden, bietet es sich an, zusätzlich ein nur begrenzt sicheres Netz einzuführen. Auf diesem werden dann die Applikationen ausgeführt, die gelockerte Sicherheitseinstellungen fordern. Außerdem erhöht das Entfernen solcher Anwendungen aus dem eigentlichen LAN, dessen Sicherheit. Dieses zusätzliche Netz entspricht nicht den hohen Sicherheitsanforderungen des eigentlichen LANs, wird aber dennoch durch die Firewall überwacht und abgeschirmt. Ein solches zusätzliches Netzwerk nennt man "Demilitarisierte Zone" (DMZ). Es wird im Allgemeinen dafür benutzt, Dienste für das externe Netz zur Verfügung zu stellen. 19

20 Zwei Firewall - Rechner getrennt durch DMZ (Screened Subnet) Ein Screened Subnet ist eine Erweiterung der oben genannten Methoden, da zwischen zwei Firewall - Router ein Abgeschirmtes Netzwerk geschalten wird. Diesem wird nicht völlig vertraut, aber es hat auch nicht mehr einen so feindlichen Charakter wie das externe Netz. Im Gegensatz zu den obigen Methoden müssen hier zwei Firewall - Systeme überwunden werden, um an das LAN zu gelangen. Sind diese noch von verschiedenen Herstellern und eventuell sogar auf verschiedenen Plattformen erhöht sich der notwendige Aufwand für den potentiellen Eindringling, diese Struktur zu überwinden. In dieser DMZ stehen oft Dienste für das externe Netz zur Verfügung und auch das lokale Netz kann auf die DMZ zugreifen. Eine Application Level Firewall auf einem Bastion Host kann Verbindungen für spezielle Dienste ermöglichen. Direkter Verkehr zwischen den beiden Netzen wird jedoch unterbunden. Dies geschieht z.b. durch die Nutzung eines DMZ Rechners als Dual Homed Host / Gateway.. So wird ein Rechner genannt, der Teil von zwei Netzen ist, wobei jedes dieser Netze mit einer eigenen Netzwerkkarte an den Rechner angeschlossen ist. Um eine hohe Sicherheit zu erlangen wird die Routing - Funktion des Rechners deaktiviert. Durch die Gateway Funktionen des Rechners können dann lokale und Internet Hosts mit diesem Rechner als Gateway kommunizieren. Ein direkter Datenfluss wird aber unterbunden. Es existieren sicherlich noch weiter Möglichkeiten, Firewall - Strukturen zur Sicherung eines Netzwerkes zu erstellen und zu nutzen. Doch werden die meisten davon nur Kombinationen der hier vorgestellten Topologien sein. Am wichtigsten ist es, die richtige Topologie für den jeweiligen Bedarf zu finden und dann auch zu nutzen. 20

21 3.2 Host System Protection Ein sehr wichtiger Punkt zum Schutz eines Netzwerkes ist die Absicherung der einzelnen, in einem Netzwerk verbundenen Betriebssysteme gegen Sicherheitsuntergrabende oder gar destruktive Applikationen und Werkzeuge (Malware). Die wohl bekanntesten Vertreter dieser Art sind Computerviren. Es gibt aber auch noch eine Vielzahl anderer Werkzeuge, die zu Sicherheitslücken in einem Betriebssystem und dem damit verbundenen Netzwerk führen. Da auch Kombinationen solcher Werkzeuge denkbar sind, ist eine Klassifizierung nur schwer möglich. Daher werden hier nun die wichtigsten Typen von Schutzapplikationen vorgestellt, die auf keinem Betriebssystem fehlen sollten Anti-Virus Software Anti- Viren Software [7] ist die wohl bekannteste Software, zum Schutz eines Host- Computers. Zuerst entwickelt zum Aufspüren von meist destruktiven Computerviren, wurde der Aufgabenbereich dieser Software schon sehr bald für den Schutz vor weiteren unerwünschten Werkzeugen erweitert. Diese Werkzeuge dienten üblicherweise dem ausspionieren und gegebenenfalls sogar der Kontrollübername über den Host- Computer. Solch Werkzeuge, wie z.b. Trojanische Viren (Trojan Horses) oder Würmer (Worms) versucht man ebenfalls mit der Anti-Viren Software zu entdecken und deren Auswirkungen zu verhindern oder zumindest zu mindern. Dieser klassische Einsatzbereich von Anti-Virus Software ist heute bei den meisten Produkten dieser Art noch um einige Sparten erweitert. So suchen aktuelle Produkte dieser Art auch bedingt nach so genannter Spyware. Dar Grund hierfür ist, dass bei den Angriffswerkzeugen auch viel Kombinationswerkzeuge aus den verschiedenen Sparten befinden. Dennoch ersetzt die Anti-Viren Software keinesfalls andere Host-Schutz Software. Am besten beschreibt man Anti- Virus Software, indem man die Angriffswerkzeuge beschreibt, vor denen sie schützen soll Computerviren Ein Virus ist ein Programm, oder ein Programmfragment, welches sich, indem es eine Kopie von sich an andere Programme anhängt, reproduziert. Bevor es die tun kann, muss das Virusprogramm bzw. ein mit einem Virus infiziertes Programm einmal ausgeführt werden. Der signifikante Reproduktionsalgorithmus der Viren ermöglicht es aber auch den Antiviren Programmen die Viren daran zu erkennen. Diese Merkmale 21

22 werden Signaturen der Viren genannt. Durch die Weiterentwicklung der Scan Technologie nach speziellen Signaturen können Antiviren Programme mittlerweile auch andere Malware wie z.b. Trojaner entdecken. Leider mutieren bekannte Viren oftmals Script Kiddies nehmen einen Virus und versuchen ihn so zu modifizieren, dass seine Signatur von den aktuellen Antiviren Programmen nicht mehr erkannt werden kann. An dieser Stelle sollte man erwähnen, das in der Öffentlichkeit z.b. in Nachrichtensendungen fast jede Malware als Computervirus bezeichnet wird Trojaner (Trojanische Pferde, Trojanische Viren) Trojanische Pferde, benannt nach dem Trojanischen Pferd aus Homers Ilias, verursachen auch heute noch die meisten Computereinbrüche. Wie Computerviren werden auch Trojaner über Programme mit einem Code unterlegt, der z.b. Passwörter übermittelt (password-grabber) oder Fernadministration des angegriffenen Computers erlaubt (remote admin trojan). Rein technisch gesehen ist ein Trojaner kein Virus, da der Trojaner allein sich nicht selbst auf andere Programme überträgt. Dennoch kann das das Virus Prinzip genutzt werden um Trojaner auf andere Programme zu übertragen. Diese Kombination ist dann auch ein echter Trojanischer Virus. Sie ist aber nur sehr selten zu finden, da sie durch die Virus Eigenschaften meist zu auffällig sind. Trojaner sind im Allgemeinen so programmiert, dass sie einem existierenden Programm subversive Funktionen hinzufügen. Es gibt z.b. Trojaner die bestimmte Login Programme derart verändern, das dieses ein bestimmtes Passwort für jeden beliebigen Benutzer akzeptiert. So kann sich dann der Angreifer jederzeit in dieses System einloggen. Am meisten fürchtet man transitive Trojaner einem Trojaner, der andere Trojaner erzeugt. Das Beste Beispiel dafür ist ein von einem Hacker namens Ken Thompson geschaffene Trojaner. Er setzte einen Trojaner in den UNIX C Compiler, der den Login Code immer so compiliert hat, das dieser immer ein bestimmtes Passwort akzeptierte. Die übliche Technik, um sich vor einem solchen Trojaner zu schützen, war die Recompilierung des Compilers selbst. Thompsons Trojaner schaffte es aber, den Compiler so zu modifizieren, dass dieser auch beim Recompilieren wieder den Trojaner zu erzeugen. So war es nicht möglich, diesen Trojaner zu entfernen. Seit dem besteht immer die Angst, das ein Compiler Entwickler einen solchen Trojaner seinem Compiler hinzufügen könnte, wodurch Produkte, die mit einem solchen Compiler erzeugt würden, dann einen Zugang zu dem System schaffen, auf dem sie installiert werden. Einen solchen Zugang bezeichnet man als Backdoor Hintertür - zu dem System. 22

23 Würmer (Worms) Würmer sind Programme, die selbsttätig andere Rechner angreifen, und sich bei erfolg auf den angegriffenen Rechner kopiert, um dann von dort wieder andere Rechner zu attackieren. Ein Beispiel dafür ist der Morris Worm, der Ende der 80ger das Internet für mehrere Tage lahm legte. Er benutzte auch zu dieser Zeit schon allgemein bekannte Fehler des Unix sendmail Programms, die es Hackern erlaubten, in Rechner einzubrechen. Der Wurm hatte nur die Aufgabe, Rechner nach diesen Sicherheitslücken zu scannen, sich dort zu installieren und dann weitere Rechner nach diesen Sicherheitlücken zu scannen. Allerdings hatte dieser Wurm selbst einen Programmierfehler. Er konnte nicht erkennen, ob er schon auf einem Rechner installiert war. So installierten sich immer neue Instanzen des Wurms auf schon bereits gehackten Rechner solange, bis diese zusammenbrachen. Dieses Beispiel zeigt deutlich, dass bekannte Sicherheitslücken schnellst möglich geschlossen werden sollten Anti-Spyware Software Mittlerweile steigen aber auch immer mehr die Probleme mit einer anderen Form von Software, der Spyware [8], deren negativen Auswirkungen durch Anti-Spyware Software entgegnet werden soll. Diese Spyware Software wird aus sehr unterschiedlichen Gründen entwickelt und eingesetzt. Spyware, die z.b. im administrativen Bereich eines Netzwerkes mit Zustimmung der Netzwerkpolicy eingesetzt wird, dient üblicherweise dazu, Computermissbrauch zu vermeiden, andere z.b. Werbezwecken Im Groben könnte man den gemeinsamen Nenner der Spyware ungefähr wie folgt umschreiben: Man versteht darunter jegliche Art von Software, die in ihrer ursprünglichen Form nicht der so genannten Malware zugehörig ist, die aber dazu geeignet ist, Informationen über einen oder mehreren Benutzer eines Systems zu sammeln und diese Informationen an befugte Dritte weitergibt. Dabei spiel es hier erst einmal keine Rolle, von welcher Art diese Informationen sind, und wer sie wofür einsetzt. Da viele dieser Werkzeuge neben ihren Spy-Funktionen oft noch andere, oft lästige Eigenschaften haben, wird als Überbegriff die Bezeichnung Pests immer gebräuchlicher. Am besten beschreibt man auch hier die bekanntesten Sparten von diesen Werkzeugen um deren Wirkungsweise zu verdeutlichen. Wie auch im vorangegangenen Kapitel sind auch hier spartenübergreifende Kombinationen denkbar. 23

24 Adware Die als Adware bekannt gewordene Software entwickelte sich, als neben Webseiten, Providern und anderen Anbietern auch Programmautoren die Einnahmequelle der Werbung für sich entdeckt. Geschürt durch eine abnehmende Zahlungsmoral im Sharewarebereich, aber auch als neues Konzept, dient Adware in erster Linie dazu Softwareentwicklung zu finanzieren. Wogegen im Prinzip nichts einzuwenden ist, kann der Nutzer doch selbst entscheiden, in welchem Maße für ihn Werbung akzeptabel ist bzw. ab wann er ein derartiges Programm nicht mehr nutzen mag. Am häufigsten werden als Adware zu den Wirtsprogrammen Roboter-Programme, auch Spybots genannt, benutzt, die Werbung automatisch herunterladen und in dem Maße anzeigen, wie dafür bezahlt wird. Leider erfolgt die Installation des Roboters oft unerkannt vom Nutzer und bleibt sogar meistens nach der Deinstallation des Wirtsprogramms" erhalten. Die Roboter starten automatisch mit dem System oder dem Browser, auch ohne dass das Wirtsprogramm jemals aktiv war, um stets im Hintergrund Werbung herunterladen zu können. Legale Roboter werden zwar erst nach Aufnahme einer Internetverbindung aktiv, können diese aber unter Umständen aufrechterhalten, wenn sie nicht explizit getrennt wird. Durch diesen Umstand und die dabei empfangenen Datenmengen können gegebenenfalls hohe Kosten entstehen. Auch konnten schon negative Einflusse dieser Roboter auf die Systemstabilität beobachtet werden Es wird auch nachweislich von den meisten dieser Spybots eine nicht unerhebliche Datenmenge vom eigenen Rechner zum Server des Werbeanbieters gesendet. Da es sich um selbsttätige Programme handelt, greifen die üblichen Schutzmechanismen der Browser normalerweise nicht. Daher kann nicht ausgeschlossen werden, dass solche Roboter zur Spionage oder als Trojaner benutzt werden Spytools Spytools sind Werkzeuge, die das Verhalten eines Benutzers protokollieren und so gewonnenen Daten entweder an den Netwerkadministrator oder an den Programmhersteller übermittelt. Netzwerkadministratoren benutzen solch Werkzeuge meist, um Verstöße gegen eine bestehende Netzwerkpolicy zu ermitteln. Programmhersteller benutzen diese Werkzeuge meist in als Adware installierten Roboter Programmen, um z.b. die bei einer Internetverbindung besuchten Seiten zu protokollieren und an Marketing-Firmen zu versenden. So kann aus den gewonnenen Daten ein Profil des Benutzers erstellt werden und die durch einen Spybot übertragene Werbung auf den jeweiligen Benutzer abgestimmt werden. 24

25 Rechtlich ist die auf jeden Fall eine Verletzung der Privatsphäre. Dies gilt auch für den Einsatz solcher Werkzeuge durch einen Netzwerkadministrator, sofern ein Benutzer nicht über die Möglichkeit einer solchen Überprüfung informiert ist. Die meisten Firmen, die heute ein Netzwerk betreiben, haben einen entsprechenden Hinweis in ihren Netzwerkbestimmungen, um gegebenenfalls die Netzwerkaktivitäten ihrer Mitarbeiter überprüfen zu können. Kleine, aber sehr effektive und gefährliche Werkzeuge dieser Sparte sind die so genannten Keylogger. Diese Programme schreiben alle Tastaturanschläge eines Benutzers mit. Problematisch ist dabei, dass diese Werkzeuge auch Passwörter protokollieren, welche dann an unbefugte übermittelt werden können Phonehome - Dialer Das Phonehome Prinzip wurde ursprünglich erdacht, um das Benutzen von illegalen Softwarekopien ermitteln zu können. Bei der Softwareinstallation sollte das Programm dem Hersteller die Daten übermitteln, die dieser benötigte, um eine illegale Benutzung seines Programms feststellen zu können. Die Tatsache, das diese Programme selbsttätig eine Internetverbindung oder eine Modem-Telefon-Verbindung zum Programmhersteller herstellten, gab diesem Prinzip seinen Namen (E.T. nach Hause telefonieren ). Durch die zu dieser Zeit durchgeführte Digitalisierung des Telefonnetzen und der Einführung von ISDN wurden auch Werkzeuge entwickelt, die dafür die Digitale Rufnummerübermittelung mit einer erweiterten Telefonnummer benutzten. So konnte man, ohne das eine tatsächliche Telefonverbindung hergestellt wurde, Daten, in einer Zahl codiert, übermitteln. Auch blieb diese Übertragungsart meist unbemerkt. Da das eigenständige Aufbauen einer Verbindung zum Hersteller aus rechtlichen Gründen nicht haltbar war, können legale Programme nur bei einer schon bestehenden Internetverbindung solche Daten zum Hersteller übertragen. Bisher erwies sich diese Art der Überprüfung durch den Hersteller als nicht sehr effektiv, da ihnen meist eine ausreichende Referenzliste zur Identifizierung legaler Softwarebenutzer fehlt. Legale Software mit Phonehome Eigenschaften kann daher meist schon allein daran erkannt werden, das sie nur mit einer entsprechenden Benutzerregistrierung erworben werden kann, oder auch dadurch, das der Hersteller versucht, eine Benutzerregistrierung zu erzwingen. Rasant hingegen entwickelte sich der illegale Einsatz von Software mit Phonehome Eigenschaften. Am bekanntesten sind die so genannten Dialer [7]. Diese Software verbindet betroffene Benutzer selbständig mit dem Internet oder dem Telefonnetz, meistens mit dem Ziel, teuere Internet- oder Telefondienste anzuwählen. Aber auch viele andere Missbrauchsmöglichkeiten sind denkbar. Aus all diesen Gründen sollte jedes System grundsätzlich vor Adware, Spyware und Dialern geschützt werden. 25

26 3.3 Intrusion Detection Systems Intrusion Detection Systems entwickelten sich aus der Überlegung, dass sich ein Angreifer von einem legitimen Benutzer aufgrund seiner abweichenden Systemnutzung unterscheiden müsste. Es wurden Methoden entwickelt, um sich diesen Umstand im Bereich der Sicherheitsanalyse nutzbar zu machen, woraus der Rahmen für Intrusion Detection Systems entstand Intrusion Detection Intrusion Detection [9] kann im Allgemeinen als Prozess des Erkennens und Reagierens auf böswillige und nicht erlaubte Aktivität auf Computern und Netzwerken angesehen werden. Intrusion Detection versucht nicht, vor Angriffen zu schützen, sondern versucht diese bewusst und gegebenenfalls kontrollierbar zu machen. Ein Schutz wird durch andere Methoden erreicht. Allenfalls können durch zeitnahe Meldungen und Reaktionen eventuell weitere Angriffe verhindert werden. Nur wenn ein IDS schnell und intelligent genug wäre, schon den Vorboten eines Angriffs zu erkennen und zu melden, könnte es zur Angriffsvermeidung beitragen. Ein ideales IDS kann zu mehreren Zwecken genutzt werden: Die offensichtliche Anwendung ist die Erkennung von Intrusions aller Art. Hier sollte das IDS still und leise arbeiten und keine besondere Aufmerksamkeit verlangen. Die Fehlalarmrate sollte so gering wie möglich sein. Im besten Fall schaltet man das IDS ein und bemerkt es erst wieder, wenn es einen großen Fang gemacht hat. Darüber hinaus kann ein IDS, zumindest theoretisch, vorzüglich zur aktiven Überwachung eingesetzt werden. Es bietet die zentrale Stelle, von der aus Benutzer und Datenbewegungen analysiert und beurteilt werden können. Dieser Betriebszustand wird nach gewählt, wenn ein Verdachtsmoment vorliegt. Er wird jedoch nicht von allen Systemen unterstützt. Zu guter Letzt kann und muss ein IDS zur forensischen Arbeit eingesetzt werden. Die gesammelten Daten müssen so dargestellt werden können, dass eine schlüssige Beweisführung mit dem Ziel einer eindeutigen Überführung des Verursachers möglich ist. Ein gutes IDS muss jeden der drei Arbeitsmodi unterstützen. So muss es z.b. bei jedem Ereignis genügend Beweismittel sammeln und bewahren, um diese später präsentieren zu können. 26