Verlässliche Verteilte Systeme 1. Prof. Dr. Felix Gärtner. Teil 16: Sichern von TCP- und UDP-Diensten (System Management)

Transkript

1 Verlässliche Verteilte Systeme 1 Angewandte IT-Robustheit und IT-Sicherheit Vorlesung im Wintersemester 2004/2005 Prof. Dr. Felix Gärtner Teil 16: Sichern von TCP- und UDP-Diensten (System Management) Lehr- und Forschungsgebiet Informatik 4, RWTH Aachen, 1

2 Ankündigungen 2

3 Motivation Sicheres Aufsetzen eines Rechners ist der erste Schritt Der Rechner muss auch während des Betriebs überwacht werden Drei Orte, an denen das System überwacht werden kann: Rechner selbst muss überwacht werden Entweder am Netzwerkinterface (z.b. durch einen Paketfilter) Oder die Dienste selbst überwachen (z.b. mit Wrappern, Logging beim xinetd) Lokales Netz muss überwacht werden Anschluss eines weiteren Rechners mit Sniffer am Hub Am Switch verwenden des monitor port (haben oft nur die teureren Switches) Verkehr an der Netzgrenze muss überwacht werden Hier meist dezidierte Firewalls, die etwas mehr können als einfache Paketfilter In der Praxis wird an mehreren Orten gleichzeitig überwacht 3

4 Übersicht Netzwerverbindungen: netstat Netzwerkverkehr: tcpdump Netzwerkscanner: nmap, nessus Quellen: Garfinkel, Spafford, Schwartz: Kapitel 12 Sven Henkel, Michael Becher: Intrusion Detection Systeme & Vulnerability Scanner. Material aus dem Hacker Seminar

5 netstat Mit dem netstat Befehl kann man alle offenen TCP/IP- Netzwerkverbindungen zwischen einem Rechner und anderen Rechnern auflisten...wenn man wissen will, ob jemand von aussen gerade auf den eigenen Rechner zugreift Netstat zeigt an: alle offenen Sockets: Quell-Port, Zielrechner, Zielport UID, PID des relevanten Prozesses Anzahl der Bytes in der receive queue (angekommen aber vom Programm noch nicht abgeholt) Anzahl der Bytes in der transmit queue (abgeschickt aber noch nicht bestätigt) Anzeigen können auf Adressfamilien eingeschränkt werden (z.b. inet = RAW, TCP, UDP) Zustand des Sockets: z.b. ESTABLISHED, SYN_SENT, etc. und noch viel mehr 5

6 Beispielaufrufe von netstat netstat -t Aktive Internetverbindungen (ohne Server) Proto Recv-Q Send-Q Local Address Foreign Address State tcp 0 0 localhost:pcg-radar localhost:ssh VERBUNDEN tcp 0 0 localhost:ssh localhost:1035 TIME_WAIT tcp 0 0 localhost:ssh localhost:pcg-radar VERBUNDEN Was ist in diesem Beispiel passiert? Im Zustand TIME_WAIT wartet die geschlossene Verbindung noch eine Weile auf eventuell noch nachkommende Pakete Optionen (auf meinem Rechner): -t (TCP): zeigt nur TCP-Verbindungen an -u (UDP): zeigt nur UDP-Verbindungen an -n (numeric): gibt Nummern statt symbolischer Namen an -p (processes): zeigt PID des Eigentümers vom Socket an (darf nur root machen) Selbst ausprobieren! 6

7 Anwendungen von netstat Mit netstat kann man verdächtige Netzwerkverbindungen entdecken herausbekommen, welcher Prozess den lokalen Teil der Verbindung bedient anschliessend mit ps herausbekommen, welcher Benutzer den Prozess verantwortet Beispiel (von meinem Rechner): ps p PID -F gibt volle Informationen über Prozess mit PID alle Sockets auflisten lassen, an denen Programme aktiv horchen netstat -t -a : zeigt alle aktiven IP-Sockets an Bei Verwendung von symbolischen Namen werden manchmal verwirrende Namen aus /etc/services verwendet besser Option -n verwenden 7

8 Einschränkungen von netstat Gefahr bei unerwünschten lokalen Servern: Hintertür, Denial of Service, lokale Manipulation Nicht alle Programme, die auf Input "von aussen" warten, müssen tatsächlich von netstat angezeigt werden: Programme können sich an einen IRC channel anhängen und auf ein spezielles Kommando warten Programme können periodisch eine entfernte Webseite abfragen oder eine spezielle DNS-Anfrage starten Antworten können Befehle enthalten Programme können direkt an der Netzwerkkarte mitsniffen und auf bestimmte Pakete reagieren Programme können im Kernel laufen und dort den Netzwerkverkehr mitlesen (und ggf. reagieren) Programme können regelmäßig die Logdateien (z.b. des Webservers) scannen und reagieren, wenn eine bestimmte URL heruntergeladen worden ist Netstat selbst kann verändert worden sein (Trojaner)! 8

9 tcpdump Mit tcpdump kann man den Netzverkehr mitlesen hängt sich an ein Netzwerkinterface an und liest alle Pakete mit, die dort vorbeikommen kann Suche auf bestimmte Pakete einschränken (mit Filtern) kann Ergebnisse in Datei speichern oder direkt auf dem Bildschirm ausgeben Unter Solaris gibt es snoop mit ähnlicher Funktionalität (man kann aber auch tcpdump unter Solaris verwenden) Spezielle Optionen: -i (interface): Auswahl des Netzwerkinterfaces, normalerweise eth0, aber auch lo möglich (siehe ifconfig -a) -w (write): Schreibt die "rohe" Information in eine Datei (oder nach stdout) -n (numeric): Verwenden von Nummern statt symbolischen Namen Selbst ausprobieren! 9

10 Verwendung von tcpdump Verkehr eine Zeitlang mitschneiden, um sich einen Überblick zu verschaffen Beispiele: tcpdump -i eth0 -c 16 liest die nächsten 16 Pakete auf eth0 und gibt header Informationen aus tcpdump -i eth0 -c 10 dst port 80 liest die nächsten 10 Pakete mit Ziel-Port 80 Um mitzulesen, was tatsächlich an Inhalt über die Leitung geht: Pakete in eine Datei schreiben und mit strings analysieren snapsize beachten (Pakete werden normal nach 64 Byte abgeschnitten); Beispiel: tcpdump -i eth0 -c 16 -s w packets.dmp strings packets.dmp Vorsicht bei der Verwendung von tcpdump: Privatsphäre der Benutzer beachten 10

11 Weiterführende Werkzeuge tcpdump ist sehr low level Analyse ist größtenteils Aufgabe des Benutzers spezielle Werkzeuge erleichtern die Analyse: snort: open source Intrusion Detection System überwacht und analysiert online den Netzverkehr enthält regelbasiertes System zur Erkennung von Angriffsmustern und Warnung des Systemverwalters verfügbar auch für Windows kann auch DoS und Portscans erkennen durch Methoden von Anomalieerkennung und Datenflussanalyse kommerzielle Netzwerkforensiktools Vorteil: übersichtliche Analysen, grafische Schnittstelle, aktuelle Schwachstellendatenbank Nachteil: teuer 11

12 Netzwerkscanner Netzwerkscanner klopfen das Netzwerk nach bekannten Schwachstellen ab sind Standardwerkzeuge von Angreifern, also am besten selbst zuerst benutzen Verfügbare Systeme: kommerziell, Beispiel: Internet Security Scanner (ISS) verbindet sich systematisch mit allen Ports und analysiert die erhaltenen Banner Prüft anhand einer großen Datenbank, ob der Dienst eine bekannte Schwachstelle enthält Freeware security scanner: frühes Beispiel: SATAN aktuelles Beispiel: nessus Freeware port scanner: überprüfen systematisch jeden Port aktuelles Beispiel: nmap nmap kann sehr gut das verwendete Betriebssystem erkennen 12

13 Port Scanning Hat ein Angreifer die aktiven Rechner in einem Netz bestimmt, müssen die aktiven TCP/UDP-Ports gefunden werden finden von Schnittstellen zu verwundbaren Servern Port ist offen/aktiv, wenn auf ein Paket mit gesetztem SYN- Flag ein Paket mit gesetzten SYN- und ACK-Flags geantwortet wird Port ist geschlossen/inaktiv, wenn auf ein SYN-Paket ein RST- Paket geantwortet wird Häufigste Methode des Port Scanning: Versuch eines TCP-connect() mit allen Ports des Rechners sehr auffällig, leicht in Logdateien und durch einfache regelbasierte IDSs erkennbar Port scanning kann unauffälliger geschehen... 13

14 Unaufälliges Port Scanning Halboffenes SYN-Scanning: TCP-Verbindungsaufbau nicht mit ACK abschliessen sondern mit RST abbrechen Andere Kombinationen von TCP-Flags: FIN-Scan: gesetztes FIN-Flag Null-Scan: kein gesetztes Flag Xmas-Scan: gesetzte FIN, URG, PSH-Flags gemäß RFC 793 muss auf alle Pakete bei geschlossenem Port mit RST geantwortet werden bei offenen Port müssen die Pakete ignoriert werden TCP-Stack von Microsoft irgnoriert beides man kann also per Port-Scan auch das Betriebssystem herausbekommen Zeit zwischen dem Testen einzelner Ports erhöhen über den Schwellwert der IDSs: kein Alarm ausserdem: Verstecken des eigenen Portscans in mehreren gespooften Portscans möglich (decoy scanning) 14

15 Decoy Scanning Angreifer führt drei Portscans durch pro Port drei Pakete, zwei davon mit gespoofter IP Zielrechner kann schwer feststellen, wer der Urheber des Portscans ist gespoofte IP muss von einem aktiven Rechner sein andernfalls ist Urheber leicht erkennbar 15

16 Idle Scanning Möglichkeit eines Portscans ohne dass die IP-Adresse des Angreifers direkt ermittelt werden kann Hintergrund: IPID-Feld im IP-Header IPID = Identification-Feld im IP-Header genutzt für die eindeutige Identifikation des IP-Paketes bei Fragmentierung beim Senden vom Start zum Ziel kann ein IP-Paket fragmentiert werden wenn mehrere Pakete fragmentiert werden m ü ssen die Fragmente beim Ziel in der richtigen Zuordnung zusammengesetzt werden Bei vielen heutigen Implementierungen wird die IPID bei jedem gesendeten IP-Paket voraussagbar inkrementell erhöht (meist um 1) wenn man so einen Rechner im Netz kennt, kann man idle scanning machen 16

17 Idle Scanning (Beispiel) Angreifer A, Zielrechner B, Zombie Z 17

18 nmap bekanntester Port Scanner beherrscht alle genannten Methoden des port scanning und vieles mehr erkennt, ob der Port offen (open), durch Firewall geschützt (filtered) oder geschlossen ist (closed) nützliche Option: -v (verbose) Beispiel für Mächtigkeit: nmap -sx -p 22,53,110,143, * macht einen Xmas-Scan auf den genannten Ports auf den genannten Adressbereichen nmap -v -O host Versuch, das Betriebssystem des Zielrechners zu erraten 18

19 Remote Host Identification bei nmap Beispielausgabe für nmap -O localhost explorer:~ # nmap -O localhost Starting nmap 3.30 ( ) at :09 CET [...] Running (JUST GUESSING) : Linux 2.4.X 2.5.X 2.3.X (97%), Lexmark embedded (87%) Aggressive OS guesses: Linux Kernel (97%), Linux Kernel (95%), Gentoo 1.2 linux (Kernel gentoo-rc5) (95%), Linux or Gentoo 1.2 Linux rc1-rc7) (95%), Linux Kernel (X86) (92%), Linux Kernel w/o tcp_timestamps (92%), Linux w/grsecurity patch (92%), Linux (92%), Linux x86 (92%), Linux pre2 x86 (92%) No exact OS matches for host (test conditions non-ideal). Uptime days (since Thu Jan 20 00:53: ) Nmap run completed -- 1 IP address (1 host up) scanned in seconds explorer:~ # uname -a Linux explorer smp4G #1 SMP Thu Aug 12 15:32:27 UTC 2004 i686 i686 i386 GNU/Linux 19

20 nessus Bekanntester Netzwerk-Vulnerability Scanner sehr gut dokumentiert kann auch Portscans machen, identifiziert bekannte Dienste auch an nicht-standard Ports testet auf bekannte Schwachstellen, auch wenn der Dienst über die gegebene Bannerinformation bereits identifiziert ist nicht auf Produktivsysteme anwenden! jedenfalls keine genauen Scans je aggressiver die Scans, desto genauer die Informationen über Anf ä lligkeiten der Dienste 20

21 Zusammenfassung und Ausblick Einen Rechner sicher aufzusetzen ist leicht verglichen mit der Aufgabe, einen Rechner sicher zu managen Tools zur eigenen Anwendung: netstat, tcpdump, nmap, nessus Problembereiche, die noch vertieft werden: Software Updates Integritätskontrolle Logging 21