3. Schwachstellen. LAN TCP/IP Anwendungsprotokolle WWW-Sicherheitsrisiken Protokollunabhängige Gefahren Angriff

Transkript

1 3. Schwachstellen LAN TCP/IP Anwendungsprotokolle WWW-Sicherheitsrisiken Protokollunabhängige Gefahren Angriff

2 Projekte (LV RN Projekt, Auswahl) WS 2005/2006 Christian Telle WLAN Security Stephan Trebs OpenSSL Sven Diesendorf - Intrusion Detection WS 2006/2007 Christian Ender - Security Konzepte Frank Oehlschlaeger Netzwerkmanagement Jan Hollburg - OpenVPN Lars Gelbke - Apache LDAP Mario Weber - VPN Gateway Mathias Lafeld HSM Steffen Doehler VLAN Stev Eisenhardt - ARP Spoofing Tobias Voetisch Nessus Tobias Wawryniuk - Raw Sockets Wolfgang Christ Firewalls SS 2007 Sebastian Kraft - IEEE 802.1x WS 2007/2008 Jan-Peter Hashagen Snort Linh Pham Hoang - SSL und TLS Marco Weilepp SSH Thomas Stanek - Security in.net 2.0 Thomas Vollmer RADIUS SS 2008 Jens Greifendorff - WS-Security in.net 2.0 Andreas Endtmann - Netzwerk Mointoring System Zappix Nico Scheithauer - SOCKS vs. Proxy SS 2009 Oliver Plewnia - Security Tools (BackTrack - Linux Distribution) Tobias Weise - DomainKeys Identified Mail (Anti-SPAM und Phishing) Michael Schlinke - Managed WLAN

3 Abschlussarbeiten (Auswahl) Steffen Pankratz, 01INF Parallelisierbarkeit kryptographischer Algorithmen. Andre Schika, 02INF Realisierung eines Identity Management Systems für das Universitätsklinikum Halle Chris Niederhausen, 03INF Konzeption und Testumsetzung eines Prozess-/Netzwerküberwachungssystems Mathias Lafeldt, 03INF Entwicklung eines XKMS-basierten Schlüsselmanagement-Systems Martin Klisch, 02INF Untersuchung von Sicherheitsgefährdungen bei Voice-over-IP, insbesondere bei SIP Harald Spähte, 03INF Design und Implementierung eines Sicherheitskonzepts. Sicherstellung der Hochverfügbarkeit wichtiger Dienste sowie Minimierung der Fehleranfälligkeit Marco Weilepp, 04INF Untersuchung und Implementierung des Standards Server-based Certificate Validation protocol (RFC5055) Filip van Lerberge, Erasmus 2005 Securing XML Web Services with WSE 2.0 and cryptographic hardware. Filippe Bortels, Erasmus 2008 Einsatz kryptografischer Hardware bei Service-orientierten Anwendungen unter Verwendung von WCF und.net 3.5. Andreas Endtmann, 06BAIN Konzeption und Implementierung einer zertifikatsbasierten Authentifizierung mittels 802.1X zur Absicherung der Anmeldung in einem policy-based VLAN Dirk Enke, 06BAIN Automatisierte Ver- und Entschlüsselung von s sowie Erzeugung und Prüfung digitaler Signaturen im S/MIME Format mit Filter in.net unter Exchange Daniel Schossig, 05BAIN Intrusion Prevention mit Open Source Werkzeugen Alexander Winkler, BAIN07 Überwachung eines Intranets mittels Snort Oliver Plewnia, BAIN07 Netzwerkanalyse und Dokumentation nach ISO27001, Empfehlung und Umsetzung von Netzwerksicherheitsmechanismen auf Open Source Basis

4 Netzwerkschichten - ein Beispiel Manager X möchte mit Manager Y kommunizieren Anwendung ( ) Englisch wird als Kommunikationssprache gewählt Sekretärin kennt Adresse und Abteilung Darstellung (MIME, S/MIME) Sitzung (Socket) Offizieller Briefkopf hinzugefügt Adresse hinzugefügt Transport (Abteilung = Port) (Seite = Sequenz) Vermittlung (Adresse = IP) Postbote Sicherung (Ethernet) Luftpost Übertragung (Ethernet)

5 Datenübertragung Sendeprozess Daten Empfängerprozess AL AH Daten AL PL PH Daten PL SL SH Daten SL TL TH Daten TL NL NH Daten NL DL PHY DH Daten DT Bits DL PHY

6 Rechtliches Der Hackerparagraph ist eine umgangssprachliche Bezeichnung für den Ende Mai 2007 mit großer Mehrheit im Bundestag verabschiedeten Zusatzparagrafen 202c des Strafgesetzbuches. Die offizielle Bezeichnung lautet Einundvierzigstes Strafrechtsänderungsgesetz zur Bekämpfung von Computerkriminalität (41. StrÄndG). Er erlangte am 11. August 2007 Gültigkeit. Das Gesetz stellt unter anderem die Herstellung und die Verbreitung von so genannten Hackertools unter bestimmten Umständen unter Strafe. Durch das Gesetz wird das Übereinkommen des Europarats über Computerkriminalität vom 23. November 2001 (Cybercrime Convention, ETS No.185) sowie des Rahmenbeschlusses des Rates der Europäischen Union 24. Februar 2005 über Angriffe auf Informationssysteme (Abl. EU Nr. L 69 S. 67) umgesetzt.

7 Der Hackerparagraph Text: Vorbereiten des Ausspähens und Abfangens von Daten Wer eine Straftat nach 202a oder 202b vorbereitet, indem er Passwörter oder sonstige Sicherungscodes, die den Zugang zu Daten ( 202a Abs. 2) ermöglichen, oder Computerprogramme, deren Zweck die Begehung einer solchen Tat ist, herstellt, sich oder einem anderen verschafft, verkauft, einem anderen überlässt, verbreitet oder sonst zugänglich macht, wird mit Freiheitsstrafe bis zu einem Jahr oder mit Geldstrafe bestraft. 149 Abs. 2 und 3 gilt entsprechend. Kritik: Welche Software sind Hackertools? keine Ausnahmeregelungen, die den Einsatz für legale Zwecke erlaubt. Es wurde gegen das Bundesamt für Sicherheit in der Informationstechnik Strafanzeige erstattet, da das Amt streng genommen selbst gegen das Gesetz verstößt. viele Hersteller verlagern ihr Angebot auf ausländische Webseiten bzw. publizieren im Ausland. Reaktionen Der Rechtsausschuss des Deutschen Bundestages hat daraufhin in einem Bericht (Bundestags-Drucksache 16/5449) darauf hingewiesen, dass der gutwillige Umgang mit Hackertools durch IT- Sicherheitsexperten nicht vom 202c StGB erfasst werde.

8 Der Hackerparagraph Text: Vorbereiten des Ausspähens und Abfangens von Daten Wer eine Straftat nach 202a oder 202b vorbereitet, indem er Passwörter oder sonstige Sicherungscodes, die den Zugang zu Daten ( 202a Abs. 2) ermöglichen, oder Computerprogramme, deren Zweck die Begehung einer solchen Tat ist, herstellt, sich oder einem anderen verschafft, verkauft, einem anderen überlässt, verbreitet oder sonst zugänglich macht, wird mit Freiheitsstrafe bis zu einem Jahr oder mit Geldstrafe bestraft. 149 Abs. 2 und 3 gilt entsprechend. Kritik: Welche Software unter Hackertools fallen, ist im Gesetzestext sehr vage formuliert und stößt daher auf erhebliche Kritik insbesondere von Sicherheitsexperten und IT- Branchenverbänden. Vor allem wird kritisiert, dass allein entscheidend sei, dass ein Programm oder eine Information genutzt werden könnte, in fremde Computer einzudringen und keine Ausnahmeregelungen bestehen, die den Einsatz für legale Zwecke erlaubt. So wurde unter anderem gegen das Bundesamt für Sicherheit in der Informationstechnik Strafanzeige erstattet, da das Amt angeblich selbst gegen das Gesetz verstoße. Die Staatsanwaltschaft Bonn stellte das Ermittlungsverfahren ein, da der Tatbestand gemäß 202c StGB nicht erfüllt sei. Fraglich ist auch die Rechtslage für die Hersteller von Hackertools, wenn sie ihre Software beispielsweise im Internet verbreiten und diese von Kriminellen tatsächlich für Straftaten missbraucht werden. Aus diesem Grund verlagern viele Hersteller ihr Angebot auf ausländische Webseiten bzw. publizieren im Ausland. Reaktionen Der Rechtsausschuss des Deutschen Bundestages hat daraufhin in einem Bericht (Bundestags-Drucksache 16/5449) ausdrücklich darauf hingewiesen, dass der gutwillige Umgang mit Hackertools durch IT-Sicherheitsexperten nicht vom 202c StGB erfasst werde. Auch die Bundesjustizministerin Brigitte Zypries verwies im Juli 2007 mehrfach darauf, dass dieser Paragraph nur die Vorbereitungshandlungen zu Computerstraftaten unter Strafe stelle.

9 3.1 LAN Physischer Zugang Dose, Patchfeld, Switch (Netzwerkschrank) Shared LAN (Repeater, Hub) WLAN Abhören Physisch (z.b. elektromagnetische Strahlung) Logisch Sniffer (alle Netzwerkschichten) Täuschen MAC-Spoofing ARP-Spoofing (WLAN)-AP-Spoofing STP-Spoofing

10 Physischer Schutz Die physische Ebene muss vor Sabotage und unbefugtem Zugang geschützt werden. Geeignete Maßnahmen sind: Verlegung von Kabeln in Schächten und Kanälen, die gegen unbefugtes Eindringen gesichert sind. Geschützte Aufstellung von Netzkomponenten, die nicht unmittelbaren Benutzerzugang brauchen: Server, Gateways, Bridges,.... Abschließbare Installationsschränke für Verteilereinrichtungen wie Spleißboxen, Patchfelder, Repeater, Multiplexer usw. Keine frei zugänglichen unbenutzten Anschlusspunkte. Die elektromagnetische Abstrahlung kann durch physische Schutzmaßnahmen verhindert werden: Elektromagnetische Abschirmung von Metallkabeln, Elektromagnetische Abschirmung von Bildschirmen, Verwendung von Lichtwellenleitern. Das Anzapfen von Kabeln lässt sich zusätzlich erschweren durch: Ummantelung von Lichtwellenleitern, die nicht ohne Beschädigung des Kabels aufgetrennt werden kann, Verlegung von Kabeln in Gasdruckrohren.

11 Ethernet IEEE Tagged MAC Frame VLAN-Tag optional PAD-Feld, um Mindestgröße von 64 Byte zu gewährleisten

12 Sniffing (1) Softwarelösungen (kommerzielle und freie) und früher auch Hardwarelösungen (heute zu teuer) Freie Tools Ettercap Tcpdump Wireshark Ein Sniffer kennt den so genannten nonpromiscuous mode und den promiscuous mode. Im non-promiscuous mode wird der ankommende und abgehende Datenverkehr des eigenen Computers gesnifft. Im promiscuous mode sammelt der Sniffer den gesamten Datenverkehr an die in diesen Modus geschaltete Netzwerkschnittstelle. Es werden also nicht nur die an ihn adressierten Frames empfangen, sondern auch die nicht an ihn adressierten.

13 Sniffing (2) Weiterhin ist es von der Netzwerkstruktur abhängig, welche Daten ein Sniffer sehen kann. Werden die Computer mit Hubs verbunden, kann sämtlicher Traffic von den anderen Hosts mitgeschnitten werden. Wird ein Switch verwendet, ist nur wenig oder gar kein Datenverkehr zu sehen (Broadcast und teilweise Multicast), der nicht für das sniffende System selbst bestimmt ist. Allerdings gibt es in diesem Fall mehrere Möglichkeiten, um trotzdem die Frames zu empfangen, wie: ARP-Spoofing ICMP Redirects DHCP Spoofing MAC-Flooding. Ein Switch allein darf also nicht als Sicherheitsfeature gesehen werden!

14 Wireshark Viele Plattformen (Windows, Unix, ) Unzählige Protokolle Filterung, Follow Stream (TCP, UDP), Statistiken, VoIP,

15 Spoofing - Definition Unter Spoofing versteht man im traditionellen Sinn die Kunst eines Angreifers Pakete so zu fälschen, dass sie die Absenderadresse eines anderen (manchmal vertrauenswürdigen) Hosts tragen. Die alte Definition wurde erweitert und umfasst nun alle Methoden, mit denen sich Authentifizierungs- und Identifikationsverfahren untergraben lassen, die auf der Verwendung vertrauenswürdiger Adressen oder Hostnamen beruhen.

16 MAC Spoofing Bessere (managed) Switchtechnik unterstützt sog. Port Level Security. Dabei werden die physischen Ports eines Switches an feste MAC-Adressen gebunden MAC Filter (auch üblich bei WLAN). Falschen MAC-Adressen wird der Zugang zum LAN (VLAN) verwehrt. Gelingt es einem Angreifer, die erlaubte MAC-Adresse in Erfahrung zu bringen, sich physischen Zugang zu dem entsprechenden Switchport zu verschaffen und der eigenen Netzwerkkarte die erlaubte MAC-Adresse zu vergeben, so wird er Teil des LANs/VLANs.

17 MAC Spoofing - bebildert

18 MAC Spoofing - Gegenmaßnahmen MAC Filter (schwach) IEEE 802.1x Authentifizierung (stark)

19 IEEE 802.1x Port Based Authentication Auch bei WLAN möglich

20 802.1x Rollen 3 Rollen bei einer Authentifizierung Supplicant: System, welches Zugang zum Netzwerk erhalten möchte und sich authentifizieren will Authenticator: System, das den Zugangspunkt zum Netz kontrolliert und die Authentifizierung ermöglicht Authentication Server: stellt dem Authenticator einen Authentifizierungsdienst zur Verfügung. Dieser Dienst entscheidet anhand der vom Supplicant zur Verfügung gestellten Identifikationsdokumente (Credentials), ob der Zugang zum Netz gewährt werden darf.

21 802.1x - Ablauf RADIUS: Remote Authentication Dial-In User Service

22 802.1x - Kommunikation EAP: Extensible Authentication Protocol

23 802.1x im Labor

24 802.1x - Ergebnis oder

25 ARP Das Address Resolution Protocol dient der Zuordnung von Netzwerkadressen (z.b. IP) zu Hardwareadressen (MAC).

26 ARP Spoofing Gehört zu den sogenannten Man in the Middle Attacken. Ziel ist auch hier, den Netzwerkverkehr von zwei Rechnern (B,C) über einen Angriffsrechner (A) zu leiten. Beim ARP Spoofing wird die Zuordnung zwischen IP und MAC Adresse im ARP Cache der angegriffenen Rechner (B,C) gefälscht. Im gefälschte ARP Eintrag zeigt die gewünschte IP auf die MAC Adresse des Angreifers (A). Dies wird erreicht, indem man die beiden Zielsysteme mit ARP Replys bombardiert (Änderung der entsprechenden Einträge in ihrem ARP Cache). Beim Bombardieren eines Switches mit vielen MACs schalten viele Switche in den Hub Modus. Bei Hubs wird grundsätzlich jedes Paket an jeden Port geschickt; ARP Spoofing ist hier somit gar nicht nötig. Hauptangriffsziel: Standardgateway

27 ARP Spoofing - bebildert A versendet ungefragt gefälschte ARP Antwortpakete, die C vorgaukeln, dass sich hinter der MAC von A die IP von B verbirgt. C adressiert im Verlauf die L2-Frames an B mit der MAC von A (Umleitung) Quelle: Raepple (MAC Adressen verkürzt dargestellt!)

28 ARP Spoofing - Werkzeuge Arpspoof, Fragrouter und Ettercap Umleiten im arpspoof (Teil der Toolsammlung dsniff) Routing der umgeleiteten Pakete Ettercap ist Open-Source-Werkzeug für Man-In-The-Middle-Angriffe. Cain & Abel

29 ARP Spoofing Beispiel arpspoof Es werden hier 3 fiktive Systeme verwendet, die mit einem Netzwerk-Switch verbunden sind: -das System gate mit der IP-Adresse fungiert als Standardgateway -das System evil mit der IP-Adresse fungiert als Angreifer -das System victim mit der IP-Adresse fungiert als Opfer Als erstes benötigt der Angreifer (evil) die Hardwareadressen der Systeme gate und victim, welche zur Ausführung von arpspoof notwendig sind. Um dies zu erreichen, muss evil ( ) zwei Ping-Befehle ausführen: [evil] ping gate PING from : 56(84) bytes of data. 64 bytes from : icmp_seq=0 ttl=128 time=1.3 ms [evil] ping victim PING from : 56(84) bytes of data. 64 bytes from : icmp_seq=0 ttl=128 time=5.1 ms Bevor der Angreifer nun beginnen kann, sollte sein System evil die Fähigkeit haben, alle Daten weiterzuleiten, damit die abgefangenen Daten doch noch ihr Ziel erreichen. Mit dem Tool fragrouter und der B1-Option kann eine einfache IP-Weiterleitung aktiviert werden. [evil] fragrouter -B1 Der Angreifer führt nun folgenden Befehl aus: [evil] arpspoof -t Durch diesen Befehl wird der ganze Datenverkehr von victim ( ) an gate ( ) an das System des Angreifers (evil) weitergeleitet. Dieser kann nun mit dem Sniffer seiner Wahl den Datenverkehr aufzeichnen und so z.b. an Passwörter gelangen.

30 ARP Spoofing Beispiel Cain & Abel 1. Scannen des Subnetzes nach IP Adressen und den zugehörigen Mac Adressen 3. Anzeige der Verbindungen des Zielrechners 4. Das Programm liest automatisch durchlaufende Passwörter aus und listet sie entsprechend dem zugehörigen Protokolltyp auf 2. Angabe des Zielrechners und des Hosts, dessen Netzwerkverkehr gesnifft werden soll

31 ARP Spoofing TLS Verbindungen Zum Spoofing einer TLS/SSL Verbindung (oft HTTPs) muss der Datenverkehr wieder über den Angriffsrechner laufen (alternativ zum ARP ge-spoof-ten Default Gateway lässt sich hier auch gut DNS-Spoofing bzw. DHCP Spoofing verwenden). Der Clientrechner fordert nun das Zertifikat an, um seine vermeintlich sichere Verbindung zum eigentlich gewünschten Webserver aufzubauen. Der Schönheitsfehler: Der Client bekommt i.d.r. eine Warnmeldung (Zertifikat ist nicht vertrauenswürdig o.ä.), aber die meisten User ignorieren das. Moderne Ausnahme: Hash-Kollision bei der Verwendung schwacher Hash- Algorithmen (z.b. MD5) bei der Signatur von Zertifikaten ermöglicht Konstruktion valider Signaturen einer CA

32 TLS so nicht

33 HoMe-Hinweise 2.0

34 ARP Spoofing - Gegenmaßnahmen Statische Zuordnung (IP/MAC) nicht praktikabel in größeren und dynamischen Umgebungen intelligente (teure) Netzwerktechnik (inkl. intelligenter (teurer) Admin) mittels DHCP snooping: Track the physical location of hosts. Ensure that hosts only use the IP addresses assigned to them. Ensure that only authorized DHCP servers are accessible. Werkzeuge, wie Arpwatch (Open Source by LBL Network Research Group) Arpwatch is a tool that monitors ethernet activity and keeps a database of ethernet/ip address pairings. It also reports certain changes via . Arpwatch uses libpcap, a system-independent interface for user-level packet capture. Arpwatch -Network-Appliances bzw. Softwarelösungen Personal Firewall. Manche Firewalls erkennen derartige unaufgefordert eingehende ARP Pakete. (ergänzende Maßnahme). Allgemein: Intrusion Detection Systems (IDS)

35 Intrusion Detection Systems NIDS (Network ) Überwachte Informationen Netzwerk-spezifisch (Host-spezifisch) (Anwendungsspezifisch) Ereignisanalyse Signaturerkennung Anomalieerkennung Passive Reaktion Aktive Reaktion ( Fight back ) Z.B. Snort

36 WLAN AP Spoofing Beim AP Spoofing wird dem Rechner ein gefälschter Access Point vorgegaukelt. Der Rechner muss dazu gebracht werden, zum gefälschten AP zu wechseln, entweder automatisch falls stärkeres Signal vorhandenoder manuell - durch DeAuth Pakete. DeAuth Pakete sind Management Nachrichten vom AP, die der AP bei einem Neustart verschickt (die Clients dieses AP wissen dann, dass sie sich trennen sollen). Die Verbindung zwischen Access Point und Rechner wird unterbrochen und eine Verbindung zwischen Rechner und Fake AP kann aufgebaut werden. Nur bei ungesicherten WLANs!

37 WLAN AP Sicherheit Sichtbarkeit MAC Filter

38 WLAN AP Sicherheit Verschlüsselung Algorithmus

39 WEP vs. WPA Es dauert je nach Schlüssellänge bei WEP ein paar Sekunden (z.b. 1s bei 64Bit, 3s bei 128Bit!), um aus hinreichend vielen WLAN-Paketen den WEP-Schlüssel zu berechnen Linux-Live-CD Distributionen, wie Auditor und Backtrack, helfen

40 WEP Entschlüsselung den Rest erledigt Wireshark/Ethereal

41 3.2 TCP/IP Täuschen IP-Spoofing ICMP-Spoofing UDP-Spoofing Router Attacken (RIP und OSPF Spoofing) Angreifen Tiny-Fragment-Attacke Source-Routing-Attacke DoS ICMP-Attacken Broadcast Storms (ggf. auch LAN) Raten Sequence Number Guessing Session Hijacking

42 Protokolle IPv4 TCP

43 IP Spoofing Als IP Spoofing wird das Versenden von IP- Paketen mit gefälschter Quell-IP- Adresse bezeichnet. Dabei werden die Kopfdaten des IP Pakets geändert. Verwendet werden kann dieses Verfahren zur Authentifizierung bei auf IP basierenden Sicherheitssystemen. Oft in Verbindung mit weiteren Attacken (z.b. TCP-Sequenznummer Attacke) Schwierig bis unmöglich bei Verwendung von TCP (3-Wege-Handshake). Gegenmaßnahme: Firewall mit Eingangsfilter, die WAN-Pakete auf falsche (z.b. LAN) Quelladressen filtert und verwirft

44 IP Spoofing - Beispiel Zielsystem A nimmt die Verbindung in dem Glauben an, Pakete von Rechner C zu empfangen Obwohl Antworten von A immer an C gehen, kann B bei Kenntnis des zeitlichen Ablaufs des Protokolls Befehle auf A absetzen Quelle: Raepple

45 Tiny-Fragment-Attacke Angreifer verkürzt erstes IP Fragment auf minimale IP-Headerlänge (5*4 Byte + 8 Byte Daten) hinter der Sequenznummer bei TCP ist Schluss. Problem: Zugangskontrolle anhand der IP-Kopf-Informationen (typisch bei Firewalls) Sicherheitsrelevante Zugangsinformationen der Anwendungsprotokolle befinden sich deshalb im zweiten Fragment, welches manche Paketfilter dann nicht mehr prüfen unerlaubte Zugriffe auf Applikationen im Firmennetz Lösung: Stateful Packet Inspection jedes Datenpaket wird einer bestimmten aktiven Session zugeordnet

46 Source-Routing-Attacke IP bietet die Möglichkeit, den Weg der Datenpakete vom Quell- zum Zielknoten explizit vorzuschreiben (Optionen im IP Header) Mechanismus kann vom Angreifer missbraucht werden, um die Antworten des Opfers über beliebige Knoten umzuleiten Routingtechnik sollte Source Routing unterbinden!

47 ICMP Protokoll zur Steuerung und Verwaltung des Internets Typische Aufgaben: Koordination zwischen Routern und Endsystemen Fehlererkennung und -korrektur Überwachung und Messung des Verkehrsaufkommens 24

48 ICMP Gefahren Wenn möglich, sollten ICMP Pakete an der Firewall unterbunden werden. Typ Beschreibung Schwachstellen 0 Echo Reply Auskunft über interne Netzwerkstrukturen 3 Destination Unreachable Auskunft über Portbelegung einer Maschine. Bestehende Verbindungen unterbrechen (DoS). 4 Source Quench Senderate heruntersetzen (DoS). 5 Redirect Konfiguration unerwünschter Routen (Umleiten und DoS). 8 Echo Request Gefahr von Ping-Flooding. Wenn nötig, nur zu wenigen Hosts erlauben. 11 Time Exceeded Auskunft über Router im internen Netz (traceroute) Address Mask Request Address Mask Reply Auskunft über Netzwerkstruktur. Weitere OS-abhängige ICMP-Probleme, z.b.: Ping-of-Death (überdimensionierte ICMP Echo requests)

49 ICMP Tunneling Für viele Firewalls ist der Inhalte der ICMP Pakete nicht interessant. Wenn es dem Angreifer im Vorfeld gelungen ist, den ICMP Server auf dem Zielsystem durch eine modifizierte Version zu ersetzen, lassen sich quasi unbemerkt Befehle (und Antworten) in anscheinend harmlosen Paketen absetzen. Quelle: Raepple

50 Allgemein: Tunneling Tunneltechniken: SSL/TLS SSH VPN Proxyprotokolle Quelle: Wikipedia

51 DoS Z.B. SYN-Flooding (Angreifer überflutet den Server mit sinnlosen Verbindungsanfragen)

52 DDoS Den steigenden Netzwerk- und Systemkapazitäten geschuldet Verteilte Systeme Bekannte Opfer der Vergangenheit: 2000: Yahoo, ebay, amazon 2005: heise (c t, ix) Oft gekoppelt mit Erpressungsversuch Auch auf Anwendungsprotokollebene (DNS, Mail- Bombing) Quelle: Raepple

53 TCP sequence number guessing Quelle: Raepple

54 Session Hijacking

55 3.3 Anwendungsprotokolle Angreifen Buffer-Overflow-Angriffe DoS via DNS DoS via Mail-Bombing Täuschen DNS-Spoofing DHCP-Spoofing Mail-Spoofing Ungewünschte Kommunikation Tunneln (SSH, HTTP Proxy, DNS, )

56 Buffer-Overflow Quelle: Raepple

57 Heap-Überlauf

58 Buffer-Overflow-Gegenmaßnahmen Sauberes Programmieren Moderne CPUs und Betriebssysteme bieten teilweise Speicherschutz Verwendung von Frameworks, wie Java oder.net mit integriertem Speichermanagement

59 DNS Spoofing Das Domain Name System (DNS) ist für die Zuweisung von IP-Adressen zu Hostnamen und umgekehrt zuständig. Schwachstelle: UDP Zwei Arten: eigene DNS Response DNS-Server Update

60 DNS Spoofing Typ 1 Beim DNS Spoofing wird eine DNS Abfrage so gefälscht, dass der Name auf die (eine) IP des Angreifers zeigt. Dabei beantwortet der Angreifer jeden DNS Query des Zielrechners mit einem eigenen DNS Response und trägt als Reply-Adresse seine IP-Adresse ein. Da der eigentliche DNS Response des DNS-Servers in der Regel erst nach der Antwort des angreifenden Rechners auf dem Zielsystem ankommt, wird er dort ignoriert (oft in Verbindung mit L2- Angriffen).

61 DNS Spoofing Typ 2 Alternativ (aber schwieriger) dringt der Angreifer in den DNS-Server ein und ändert dort die Zuordnungstabellen von Hostnamen und IP-Adressen. Diese Änderungen werden in die Datenbanken mit den Übersetzungstabellen auf dem DNS- Server geschrieben. Fordert nun ein Client die Auflösung eines Hostnamens an, so erhält er eine gefälschte Adresse, welche die IP- Adresse eines Rechners ist, der sich unter der Kontrolle des Angreifers befindet.

62 DNS Spoofing - Gegenmaßnahmen Gegenmaßnahme: Einsatz eines Domain Obscenity Control Tools (eine Art Leimtopf für DNS Spoofing im LAN) Alternativ: DNS Security Extensions (Verfahren, mit dem Authentizität und Datenintegrität von DNS-Transaktionen gewährleistet werden) Gefährdet (gefährlich) ist auch die Datei /etc/hosts! (Übersteuerung von DNS)

63 DHCP Spoofing Da DHCP auf UDP basiert, ist es leicht manipulierbar (außerdem startet es mit L2- Broadcast!). Das Ziel des Angreifers ist es, selbst als DHCP Server zu fungieren. Alternativen: Zunächst werden alle IP Adressen beim korrekten DHCP Server reserviert. Anschließend liefert dieser DHCP Server keine IPs mehr aus. Es reicht aber bereits schon aus, einfach schneller zu antworten. Bei DHCP-Anfragen von Clients wird u.a. nun als Default Gateway die IP des Angriffsrechners übergeben. Somit wird der gesamte Verkehr über den Angriffsrechner geleitet.

64 3.4 WWW-Sicherheitsrisiken HTTP Web-Spoofing (URL Spoofing) CGI SQL-Injection Browsererweiterungen Plugins ActiveX Java-Applets Javascript Cookies

65 3.5 Protokollunabhängige Gefahren Zugang OS Schadsoftware Soziale Gefahren

66 Protokollunabhängige Gefahren Zugang BIOS Boot-Devices (FDD, CD/DVD, Netz) HDD Schnittstellen (z.b. Firewire Treiber mit DMA im Kernelmode per Standard) Eingabegeräte (insb. bei drahtlose Tastaturen, etc.) Ausgabegeräte (Drucker, Monitore) OS Allg. Schwachstellen Filesystem (auch in Verbindung mit Netzwerkprotokollen r -Kommandos, kryptografische Schlüssel) Umgebungsvariablen (Reihenfolge der Suche. -PATH-Problem) Administrative Rechte Autoplay

67 Protokollunabhängige Gefahren Schadsoftware Viren Boot-Record-Viren Makro-Viren Hoaxes (Scherze, verbreitete Halb- oder Unwahrheiten, ggf. Teil des Social Engineering) Würmer Trojanische Pferde Rootkits Soziale Gefahren Social Engineering (u.a. Pfishing) Backdoors (gewollt und ungewollt z.b. Modem, etc.) Schwache Passwörter

68 3.6 Angriff Angriffszyklus Fingerprinting (Protokolle, Ports, TTL, Window Size) Rückschlüsse auf OS und Patchstand Kenntnis über Schwachstellen (geeignete Informationen im Web inkl. Exploits und Tools) Nach erfolgreichem Angriff in aller Regel Etablierung geeigneter Hintertüren (i.d.r. geht Nutzung vor Zerstörung) Quelle: Raepple

69 Bedrohungen vs. Sicherheitsdienst Sicherheitsdienst Vertraulichkeit Integrität Verfügbarkeit Authentifikation Zugriffskontrolle Verbindlichkeit Bedrohung Sniffing, CGI-Angriffe, Trojanische Pferde, Malicious Applets, Social Engineering, Backdoors, Password Cracking Attack Applets, Viren, Session Hijacking, Web Spoofing SYN-Flooding, DoS, Viren, Würmer, Ping-ofdeath, ICMP Source-Quench- und redirect- Attacken, -Bombing, Broadcast Storms Mail Spoofing, ARP Spoofing, IP Spoofing, DNS Spoofing, UDP Spoofing, Backdoors Session-Hijacking, Sequenznummern- Attacke, CGI-Angriffe, Buffer-Overflow- Angriffe, ICMP-Tunneling, Backdoors, Tiny- Fragment-Attacke Ablehnung von Bestellungen, Ablehnung von Empfangsbestätigungen und Vereinbarungen

70 Windows Bordmittel netstat Ressourcenmonitor

71 Werkzeuge (Auswahl) Portscanner Nmap Angriffssimulatoren Nessus (kommerziell) OpenVAS Securityscanner Windows Defender Microsoft Baseline Security Analyzer (MBSA) Secunia Personal Software Inspector (PSI) Portokollanalysatoren Wireshark

72 Portscanner - nmap Kommt aus dem Unix-Umfeld Unter Windows mittlerweile mit grafischer Oberfläche Zenmap

73 TCP-Scanning-Techniken Connect-Scan Basiert auf Socket-Funktion connect() Erweckt schnell Aufmerksamkeit von Firewalls (Netzwerk und Host) Werden von Anwendungen oft protokolliert SYN-Scan Abbruch des Verbindungsaufbaus SYN, SYN/ACK, RST Root-Rechte unter Unix bzw. Windows-OS vor XP SP2 notwendig (raw sockets) bzw. Treiberschicht wie winpcap FIN-Scan (Stealth-Scan) RFC 793 (TCP) definiert, dass bei geschlossenem Port auf ein FIN mit einem RST geantwortet wird (offene Ports ignorieren den unzulässigen Verbindungsabbau)

74 Nessus The Nessus vulnerability scanner, is the world-leader in active scanners, featuring high speed discovery, configuration auditing, asset profiling, sensitive data discovery and vulnerability analysis of your security posture. Nessus scanners can be distributed throughout an entire enterprise, inside DMZs, and across physically separate networks.

75 Nessus Angriffssimulator Verfügbar für alle wichtigen OS Client/Server-Architektur (Client steuert Server, der die eigentlichen Angriffe durchführt) i.d.r. werden auch hier zunächst Informationen (z.b. offene Ports) gesammelt, um Schwachstellen zu identifizieren Anschließend Angriffe, u.a.: Buffer-Overflows DoS CGI NFS Erweiterbar über Plug-Ins (Skriptsprache Nessus Attack Scripting Language - NASL) Verhalten: Friedlich nur öffentliche Informationen sammeln Aggressiv Schwachstellen ausnutzen Zerstörend Zielsystem ausschalten Reports und Lösungsvorschläge

76 OpenVAS NVTs (Network Vulnerability Tests)

77 Software Security Scanner