Benutzer, Passwörter und Authentifikation

Transkript

1 Übersicht Benutzer, Passwörter und Authentifikation Was ist Authentifikation? Stärken und Schwächen von Passwörtern Einmal-Passwörter und Public-Key-Authentifikation PAM (Pluggable Authentication Modules) Zugriffsschutz auf Dateiebene Benutzer, Gruppen und der Superuser Dateisysteme und Dateirechte in Unix Dateirechte in Windows NTFS SIDs und ACLs 43

2 Windows NTFS Originales FAT32-Dateisystem (Win9x) Kennt keine Zugriffsrechte NT-File-System (NTFS) Für Windows NT entwickelt Keinerlei Verpflichtungen zur Rückwärtskompatibilität Großes und komplexes Dateisystem Unterstützt mehrere Byteströme pro Datei Ströme können eigene Namen haben Beispiel: Strom bar in Datei foo foo:bar Unbenannter (default) Hauptstrom Abgeguckt vom Apple Macintosh Anwendungsbeispiel: Bildverarbeitung Hauptstrom: Bilddaten Nebenstrom: kleine Voransicht Ströme teilen sich Dateinamen, Sicherheitseinstellungen etc. 44

3 Struktur des Dateisystems Jede Partition beinhaltet eine lineare Sequenz von Blöcken Blöcke können 512 Byte bis 64 KB groß sein Meistens 4 KB Blöcke Kompromiss zwischen effizientem Datentransfer und interner Fragmentierung Blöcke werden durch 64-Bit-Adresse (Offset von Beginn des Volumes) referenziert Wichtigste Datenstruktur: Master File Table (MFT) Lineare Sequenz von 1 KB-großen Einträgen Jeder Eintrag beschreibt eine Datei oder ein Verzeichnis Enthält Attribute der Datei (Name, Zeitstempel, Adressen der Datenblöcke) Große Dateien können auch mehrere MFT-Einträge belegen Ersten 16 MFT-Einträge sind für NTFS-Metadaten reserviert MFT ist selbst eine Datei (kann irgendwo auf der Platte stehen) 45

4 NTFS Master File Table 46

5 Erläuterungen $Mft Beschreibt Attribute der MFT $MftMirr Kopie der MFT $LogFile Logdatei für Wiederherstellung $Volume Infos über die Partition (Name, Größe,...) $ Wurzelverzeichnis $Bitmap Bitmap der belegten Blöcke $BadClus Liste aller fehlerhaften Blöcke $Secure Security Informationen (siehe später) Ab Eintrag 16: Benutzerdateien Jeder Eintrag ist eine Folge von (Attributkopf, Wert)- Paaren Attribute sind in $AttrDef definiert 47

6 Gebräuchliche Attribute Standardinformationen: Zeitstempel etc. Dateiname: Dateiname in Unicode Objekt-ID: 64 Bit Dateiidentifizierung Daten: Datenstrom, eventuell mehrmals vorhanden Direkte Liste mit Blockadressen (für kleine Dateien) Verweis auf Blöcke mit Blockadressen (ausgelagerte Attribute, für große Dateien) Infos über Datenblöcke werden in Serien abgelegt Serie = Folge von aufeinanderfolgenden Datenblöcken auf der Platte 48

7 Beispiel: Verzeichnis und kleine Datei 49

8 Benutzer und Gruppen Ab Windows NT gibt es auch Benutzer und Gruppen (und Domänen) Identifiziert über die SID (Security ID) Beispiel: SID of a system `foo': S SID of a user `johndoe' of the system `foo': S SIDs auf unterschiedlichen Systemen sind verschieden, trotz gleicher Kennung und gleichem Passwort Relative ID (RID, hier 1023) kann als UID auf einem System angesehen werden 50

9 Well-known Groups Vordefinierte Gruppen Gibt es nicht in Unix Beispiele: everyone S creator/owner S batch process (via `at') S authenticated users S system S

10 Security Deskriptor (SD) Objekte (Dateien, Prozessen, etc.) besitzen einen Security Deskriptor (SD) SD beinhaltet: SID des Besitzers des Objekts SID der Gruppe des Objekts Liste mit SIDs und deren Rechten (Zugriffskontrollliste, ACL) Unix kennt nur drei verschiedene Arten von Rechten: Rechte für den Besitzer, die Gruppe, und andere Windows hat potentiell unendlich viele Jeder Eintrag der ACL ist ein Access Control Element (ACE) ACE beinhaltet: Typ: ALLOW oder DENY Rechte (Lesen, Schreiben, Löschen, etc.) als Bitmap SID, auf den sich das ACE bezieht 52

11 Beispiel: SD und ACEs 53

12 Rechteüberprüfung Ein Prozess P will Operation X auf Objekt Y ausführen Prozess P hat Access Token (enthält seine SID) Windows betrachtet den SD von Y Geht nacheinander die ACEs durch Sucht so lange bis erster Treffer den Zugriff verweigert, oder Alle Zugriffsrechte erlaubt wurden Gemäß Windows-Dokumentation sollten alle DENY- Einträge vor allen ALLOW-Einträgen kommen 54

13 Simulation der Unix-Rechte Wie soll man rw-r-xrw- simulieren? Erster Versuch (Bitmap steht für rwx): UserAllow: 110 GroupAllow: 101 OthersAllow: 110 Benutzer hat SID User und SID Group. Darf er ausführen? 55

14 Zweiter Versuch Zweiter Versuch für rw-r-xrw- UserDeny: 001 GroupAllow: 101 OthersAllow: 110 User kann nun lesen, schreiben, aber nicht ausführen Aber darf die Gruppe schreiben? 56

15 Dritter Versuch Simulation von rw-r-x-rw- UserDeny: 001 GroupDeny: 010 GroupAllow: 001 OthersAllow: 110 Gruppe darf nicht mehr schreiben. Aber User darf auch nicht mehr schreiben! Wie kann man das Problem lösen? 57

16 Lösung Simulation von rw-r-x-rw- UserDeny: 001 UserAllow: 010 GroupDeny: 010 GroupAllow: 001 OthersAllow: 110 Hier hat man aber ein Allow vor einem Deny Intern werden ACLs nicht umsortiert NT4 GUI kann mit Deny nicht umgehen Win2K sortiert beim Aufruf der ACL alles um (speichert aber nicht, wenn man Cancel drückt) 58

17 Weitere Themen und Quellen Nicht behandelte Themen zu Windows: Dateikompression Verschlüsselte Dateisysteme Quellen: Tanenbaum: Moderne Betriebssysteme, 2. Auflage, 2003, Kapitel 11 Dokumentation zum Programm cygwin cygwin.com/cygwin-ug-net/ 59

18 Zusammenfasung und Ausblick Hier behandelt: Authentifikation Benutzer, Gruppen und der Superuser Dateisysteme und Dateirechte in Unix Dateirechte in Windows Als nächstes: Softwaresicherheit 60

19 Angewandte IT-Sicherheit Vorlesung im Herbstsemester 2006 Universität Mannheim Prof. Dr. Felix Freiling Teil 9: Softwaresicherheit 1

20 Motivation: Privilegeskalation Typischer Angriffsweg: Verschaffen von lokalem User-Zugriff durch brechen eines schwachen Passwortes Ausnutzen einer lokalen Schwachstelle des Systems zur Erlangung von root-rechten Installation einer Hintertür und Verwischen der Spuren Dieses Kapitel: Ausnutzen lokaler Schwachstellen buffer overflows, etc. Merke: Prüfe Deine Eingabedaten! 2

21 Übersicht Race Conditions Buffer Overflows Heap Overflows Stack Overflows Integer Overflows Format-String-Angriffe (SQL) Injection Cross Site Scripting 3

22 Kritische Abschnitte Multitasking Betriebssystem: nebenläufige Prozesse, die sich den Prozessor (und andere Ressourcen) teilen Unterbrechungen (Interrupts) können laufenden Prozess jederzeit unterbrechen Beispiele: Taste wird gedrückt, Festplatte hat Daten gelesen, Zeitscheibe ist abgelaufen Interrupt-Handler wird ausgeführt (wie Unterprogramm-Aufruf) Codesequenz, die ununterbrochen ausgeführt werden muss = kritischer Abschnitt Beispiel: Einfügen eines neuen Prozesses in die ready- Warteschlange im Kernel 4

23 Implementierung kritischer Abschnitte Auf Prozessorebene: Unterbrechungssperren privilegierte Maschinenbefehle Unterbrechungen sollten nicht zu lange ausgestellt bleiben In der Zwischenzeit auflaufende Interrupts könnten verloren gehen Auf Prozess-Ebene: Synchronisationskonzepte busy waiting (TAS-Schleife), Sperren (locks), Semaphore, Monitore (Java synchronized) Realisierung eines Synchronisationsprotokolls Annahme: jeder beteiligte Prozess führt das Protokoll aus, bevor er in den kritischen Abschnitt eintritt Intelligentes Warten: keine Blockierung anderer Prozesse (die nicht die gemeinsame Ressource brauchen) Kritische Abschnitte treten auch in "normalen Code" auf... 5

24 Beispiel Zugriff auf eine Datei if (access("filename", R_OK) == 0) { fp = fopen("filename", "r"); } Rechteüberprüfung und Zugriff auf Datei sind nicht wechselseitig ausgeschlossen! TOC: time of check TOU: time of use 6