Reaktive Sicherheit Teil 3

Transkript

1 Reaktive Sicherheit Teil 3 Verwundbarkeitsanalyse Ulrich Flegel Lehrstuhl 6 Informationssysteme und Sicherheit Fachbereich Informatik Universität Dortmund 2. November 2006 c Ulrich Flegel Reaktive Sicherheit Teil 3 1 / 48

2 Prozeß Zyklus der Netzwerk-Verwundbarkeitsanalyse c Ulrich Flegel Reaktive Sicherheit Teil 3 4 / 48

3 Zielnetzwerksuche Öffentliche Informationen I Auswertung öffentlicher Quellen Suchmaschinen: Kontaktdaten in der Zielorganisation: + example.org +tel +fax + Web-Server des Ziels: example site:example.org sichtbare Verzeichnisse: allintitle: index of / site:.example.org Newsgroups: Rückschlüsse auf z.b. Abteilungen s in Foren: Header verraten Mail-Server und deren Software Informationen über Web-Dienste: Netz-Registration: ARIN, APNIC, RIPE: registrierte Netze eines Ziels whois/samspade: Netze, physische Adressen, Routing, DNS-Namen, Kontaktdaten c Ulrich Flegel Reaktive Sicherheit Teil 3 7 / 48

4 Zielnetzwerksuche Öffentliche Informationen II Auswertung öffentlicher Quellen Domain Name System: Namensauflösung Adreßauflösung: ggf. sprechende Funktionsnamen Plattform-Information/Betriebssystem Nameserver-Adressen (ggf. verwundbar) Mailserver-Adressen (ggf. verwundbar) (Sub-)Domänen-Struktur ggf. interne Adreßräume Zone-Transfer: komplette DNS-Information zum Ziel Programme: nslookup, host, dig, ghba c Ulrich Flegel Reaktive Sicherheit Teil 3 8 / 48

5 Rechner- und Dienst-Suche im Zielnetzwerk Abtastung (Scanning) Abtastung ICMP-Scan: IP- und Subnetz-/Broadcast-Adressen Port-Scan, ggf. mit Diensterkennung (Nmap, Amap, Vmap) Fingerprinting, u.a. Sequenznummern (für Blind-Spoofing), IP-ID (für Idle-Scan) durch Firewalls/IDS hindurch (TCP): Quell-Ports: 53 (DNS), 20 (FTP), 80 (HTTP), 88 (Kerberos) Quell-Adreßmaskierung mit Source-Routing (Lsrtest, Lsrtunnel) Stealth-Scans: FIN, NULL, XMAS, ACK (Nmap) Fragmentierung (Fragtest, Fragrouter, Nmap) hinter Firewall: FTP-Bounce-Scan (Nmap) Firewall-Filterregeln bestimmen: Antworten ICMP/TCP-Flags auswerten (Hping2, Firewalk) Herkunft verschleiern: Idle-, Bounce- oder Proxy-Scan (Nmap, Ppscan) Quell-Adreßmaskierung: von außen mit Source-Routing (Lsrtest, Lsrtunnel) von innen mit Abhören (Spoofscan) zusätzliche Dummy-Absender (Nmap) c Ulrich Flegel Reaktive Sicherheit Teil 3 11 / 48

6 Rechner- und Dienst-Suche im Zielnetzwerk Abfrage von Informationsdiensten Abfrage von Informationsdiensten I Systat (TCP-Port 11): Prozesse Netstat (TCP-Port 15): Verbindungen, Ports telnet Port 15 Finger (TCP-Port 79): (Finger) eingewählte Nutzer vorhandene Accounts Rückschluß auf OS Anfrage weiterleitbar an interne Rechner Rwho (TCP-Port 513): eingewählte Nutzer Ident (TCP-Port 113): Nutzer, dem ein an Port gebundener Prozeß gehört (Finger) (Nmap) DNS (UDP/TCP-Port 53): (Nslook, Dig, Ghba) Bind Version (ggf. verwundbar) Zone-Transfer (auch Windows SRV-Einträge) Inverse Auflösung (IP-Adressen ohne ICMP-Scan) c Ulrich Flegel Reaktive Sicherheit Teil 3 13 / 48

7 Rechner- und Dienst-Suche im Zielnetzwerk Abfrage von Informationsdiensten Abfrage von Informationsdiensten II SNMP (UDP-Port 161): (ADMsnmp, Snmpwalk) nur geschützt über einen String/Paßwort, Rate-Angriff auf Standard-Einstellungen detaillierte, umfangreiche Information, z.b. Adressen, Nutzer, Dienste, exportierte Dateisysteme Fernkonfiguration, z.b. von Routern LDAP (TCP-Port 389, Windows: 3268): (Ldapsearch, Bf_ldap) Politiken, Server, Nutzerdaten, z.b. -Adresse,... Rate-Angriff RPC Portmapper (TCP/UDP-Port 111): RPC-Dienste, z.b. Rusers: eingewählte Nutzer (Rpcinfo) c Ulrich Flegel Reaktive Sicherheit Teil 3 14 / 48

8 Suche nach verwundbaren Diensten Problemkind FTP I FTP Implementierung identifizieren, ggf. verwundbar Rate-Angriff (Hydra) Aktives FTP: FTP-Server initiiert Verbindung zu vorgegebener Adresse/Port Bounce-Port-Scanning, ggf. hinter Firewall Daten an Ziel senden, ggf. hinter Firewall Durchgang von Innen nach Außen in zustandsbehaftetem Paketfilter öffnen c Ulrich Flegel Reaktive Sicherheit Teil 3 17 / 48

9 Suche nach verwundbaren Diensten Problemkind FTP II FTP Passives FTP: sogar ohne Login! in Kontrollverbindung Port-Anfrage senden (mit Padding, noch vor Login) dabei MTU=100, so daß zustandsbehafteter Paketfilter nur Port-Anfrage sieht öffnet Durchgang von Außen nach Innen c Ulrich Flegel Reaktive Sicherheit Teil 3 18 / 48

10 Suche nach verwundbaren Diensten Fernwartungs-Werkzeuge I Fernwartungswerkzeuge Secure Shell (TCP-Port 22): Rate-Angriff Version identifizieren, ggf. verwundbar X11-Tunnel problematisch (Guess-who) Telnet (TCP-Port 23): Implementierung identifizieren, ggf. verwundbar (Telnetfp) Rate-Angriff (Brutus, Hydra) Standard-Paßwörter (Liste bei Phenoelit) R-Dienste, Rexec, Rlogin, Rshell (TCP-Ports ): (ADMrsh) PAM-Authentisierung für vertrauenswürdige Rechner abgeschaltet dann IP-Adreß-Authentisierung, siehe Blinde TCP-Maskerade c Ulrich Flegel Reaktive Sicherheit Teil 3 20 / 48

11 Suche nach verwundbaren Diensten Fernwartungs-Werkzeuge II Fernwartungswerkzeuge X Windows (TCP-Port MaxDisplay-1): xhost-authentisierung: IP-Adressen, * = alle (Xscan) xauth-cookies: ggf Zugriff über NFS, etc. weitreichender Zugriff auf X-Server: Screenshots (Xwd, Xwatchwin) Fenster abfragen (Xwininfo) Tastatureingaben lesen, generieren (Xsnoop, Xspy, Xpusher, Xtester) MS Remote Desktop Protocol (RDP) (TCP-Port 3389): Rate-Angriff (Tsgrinder) VNC (TCP-Ports 5800, 5900): Rate-Angriff (Phoss, Vncrack) c Ulrich Flegel Reaktive Sicherheit Teil 3 21 / 48

12 Suche nach verwundbaren Diensten Schichtung von Web-Diensten Web-Dienste c Ulrich Flegel Reaktive Sicherheit Teil 3 23 / 48

13 Suche nach verwundbaren Diensten Web-Dienste Fingerprinting: Implementierung identifizieren, ggf. verwundbar Web-Server (WebServerFP, Hmap, 404print) ASP.NET (Dnascan.pl) Erkennung von WebDAV, MS FrontPage, MS Outlook Web Access (OWA), IIS ISAP Erweiterungen, PHP, OpenSSL diverse versionsspezifische Exploits und Patches verfügbar automatisiertes Testen auf bekannte Verwundbarkeiten (Nikto, N-Stealth) Testen von (offenen) HTTP-Proxies (Pxytest) Rate-Angriffe auf Basic HTTP Authentication (Hydra, Brutus) Fehlannahme in vielen Web-Anwendungen: Eingabeformat-Validität wird von Formularen, Client-Side-Code und Cookies durchgesetzt Injektion unerwarteter Eingaben für Executable, Datei- und Datenbank-Zugriffe (Web Sleuth) manuelles Testen über HTTP-Anfrage-Modifikation: Proxy hält Anfrage editierbar zurück WebProxy, Exodus, SPIKE Proxy) c Ulrich Flegel Reaktive Sicherheit Teil 3 24 / 48

14 CGI Suche nach verwundbaren Diensten Web-Dienste c Ulrich Flegel Reaktive Sicherheit Teil 3 25 / 48

15 Beispiel Injection Suche nach verwundbaren Diensten Web-Dienste CGI-Skript #!/usr/local/bin/perl print "Content-Type: text/html \n\n"; $MAILTO = $ENV{ QUERY_STRING }; $MAILTO =~s/\+/ /g; # + in umwandeln print "<HTML><HEAD><TITLE>Test</TITLE></HEAD>"; print "<BODY><H1>Mail send</h1></body></html>"; open (MAIL," /usr/bin/mail $MAILTO"); close MAIL; Eingabe des Angreifers angreifer@anydomain+</etc/shadow c Ulrich Flegel Reaktive Sicherheit Teil 3 27 / 48

16 Suche nach verwundbaren Diensten Cross Site Scripting I (XSS) Web-Dienste c Ulrich Flegel Reaktive Sicherheit Teil 3 28 / 48

17 Suche nach verwundbaren Diensten Cross Site Scripting II (XSS) Web-Dienste Link auf der Web-Seite des Angreifers <A HREF= mycomment=<script> Schadens-Code </SCRIPT> > Click here </A> c Ulrich Flegel Reaktive Sicherheit Teil 3 30 / 48

18 Suche nach verwundbaren Diensten Cross Site Scripting III (XSS) Web-Dienste c Ulrich Flegel Reaktive Sicherheit Teil 3 31 / 48

19 Mobiler Code Suche nach verwundbaren Diensten Web-Dienste c Ulrich Flegel Reaktive Sicherheit Teil 3 32 / 48

20 Suche nach verwundbaren Diensten SQL-Datenbanken Web-Dienste MS SQL Server (TCP-Ports 1433, 2433) Version identifizieren, ggf. verwundbar Rate-Angriff (Sqlping) (Forcesql, Sqlbf) Oracle (TCP-Ports 1521, 1526, 1541) Version und OS identifizieren, ggf. verwundbar (Tnscmd.pl) Authentifikation abfragen (Tnscmd.pl, MetaCoretex) Standard-Paßwörter (Liste bei Phenoelit) TCP-Bounce-Scanning (MetaCoretex) MySQL (TCP-Port 3306) Version identifizieren, ggf. verwundbar (Sqlping) ggf. kein root-pw: Nutzer mit PW-Hashes abfragen (Finger_mysql) Rate-Angriff (Hydra) Alle: bekannte Konfigurationsfehler finden (MetaCoretex) c Ulrich Flegel Reaktive Sicherheit Teil 3 33 / 48

21 Suche nach verwundbaren Diensten Unix RCP-Dienste I Unix Remote-Procedure-Call-Dienste RPC-Dienste identifizieren außergewöhnlich viele Exploits für RPC-Dienste (Rpcinfo, Nmap) kann Anfragen an Dienst weiterreichen, Dienst sieht dann nur den Portmapper-Rechner als Absender, dem er evtl. vertraut (Pmapmount) in der Regel ungesicherte Kommunikation (außer SecureRPC) NIS, unverschlüsselt Authentisierung über Domain-String / Paßwort Domain-String vom Bootparamd erfragbar (Ypsnarf) NIS-Maps abfragen, z.b. Paßwort-Shadow-Datei (Ypsnarf, Ypx) Angreifer kann NIS-Antworten fälschen und ggf. schneller Antworten (Ypfake) Paßwort-Datei um privilegierte Accounts erweitern Rate-Angriff über Yppasswd (Ypbreak) c Ulrich Flegel Reaktive Sicherheit Teil 3 35 / 48

22 Suche nach verwundbaren Diensten Unix RCP-Dienste II Unix Remote-Procedure-Call-Dienste NFS, unverschlüsselt exportierte Dateisysteme identifizieren (Showmount) Dateihandle für Dateisystem anfragen/abhören (Askhandle, Pmapmount, Sniff_nfs_fh, Fhsnif, Wireshark) freier Dateizugriff über Handle (Nfsmenu, Nfsshell) c Ulrich Flegel Reaktive Sicherheit Teil 3 36 / 48

23 Suche nach verwundbaren Diensten Windows Netzwerkdienste I ebenso SAMBA Windows Netzwerkdienste MS RPC Services (TCP/UDP-Port 135, 445): Abfrage von Systeminformation, z.b. IP-Adressen, Interfaces (Edump, Rpcdump, Rpcscan) Abfrage von Nutzern, Gruppen, Rechteänderungen, Abfrage, Einrichten und Löschen von Domänen und deren Nutzern und Gruppen (Rpcclient) SAMR-Interface (139): Nutzerkonto-Daten (Walksam) Rate-Angriff auf Administrator (WMICracker, Venom) Programme entfernt ausführen (Remoxec) NetBIOS Name Service (UDP-Port 137, 445): Abfragen von Hostname, Domäne, eingewählte Nutzer, MAC-Adressen (Nbtstat) c Ulrich Flegel Reaktive Sicherheit Teil 3 38 / 48

24 Suche nach verwundbaren Diensten Windows Netzwerkdienste II ebenso SAMBA Windows Netzwerkdienste NetBIOS Session Service (TCP-Port 139, 445): Abfrage von Nutzernamen, Rechnernamen, NetBIOS-Namen, Shares, Paßwort-Politik, Gruppen und Mitglieder, lokale Sicherheitspolitik, Vertrauensbeziehungen zwischen Domänen und Rechnern (Enum, Winfo, GetAcct) Rate-Angriff (SMBCrack, SMB-AT) Kommandos ausführen, Registry lesen und schreiben (nach Authentifikation) (Net, At, Regdmp, Regini, Reg) Paßwort-Hashes auslesen (Pwdump3) Common Internet File System (CIFS) (TCP/UDP-Port 445): Abfrage von Nutzerdetails (Smbdumpusers) Rate-Angriff (Smbbf) c Ulrich Flegel Reaktive Sicherheit Teil 3 39 / 48

25 Suche nach verwundbaren Diensten SMTP (TCP-Port 25): Implementierung identifizieren, ggf. verwundbar (Smtpmap) Sendmail: Nutzer und -Adressen identifizieren: EXPN, VRFY, RCPT TO (Brutus, Mailbrute) POP-2/-3 (TCP-Ports 109, 110): Rate-Angriff (Hydra, Brutus) IMAP (TCP-Ports 143): Rate-Angriff (Hydra, Brutus) c Ulrich Flegel Reaktive Sicherheit Teil 3 41 / 48

26 IPSec VPNs Suche nach verwundbaren Diensten IPSec VPNs IPSec (UDP-Port 500): IPSec-Geräte finden (Nmap, Ipsecscan) Implementierung identifizieren, ggf. verwundbar (Ike-scan) bei PSK in Aggressive Mode zwingen (Ikeprobe) Rate-Angriff auf PSK-Hash (Cain&Abel, Ikecrack) c Ulrich Flegel Reaktive Sicherheit Teil 3 43 / 48

27 Verwundbarkeitsanalyse in der Praxis Vorgehensweise in der Praxis nach McNab c Ulrich Flegel Reaktive Sicherheit Teil 3 45 / 48

28 Verwundbarkeitsanalyse in der Praxis Informationen zu Verwundbarkeiten I Mailverteiler: BugTraq: VulnWatch: NTBugTraq: Full Disclosure: Pen-Test: Web Application Security: Honeypots: CVE Announce: Nessus: Nmap Hackers: c Ulrich Flegel Reaktive Sicherheit Teil 3 46 / 48

29 Verwundbarkeitsanalyse in der Praxis Informationen zu Verwundbarkeiten II Datenbanken: CVE: ISS X-Force: OSVDB: Bugtraq: CERT: Secunia: c Ulrich Flegel Reaktive Sicherheit Teil 3 47 / 48

30 Ende Nächste Vorlesung und Übung Übung zur Vorlesung Teil 3 Montag, 6. November :15-18:00 Uhr Campus Süd, Geschoßbau IV, Raum 318 Übungszettel liegt aus (auch auf Web-Seite verfügbar) bis Montag bearbeiten Vorlesung Teil 4 Donnerstag, 9. November :15-16:00 Uhr Campus Süd, Hörsaalgebäude 1, Hörsaal 3 Aktuelle Informationen zur Vorlesung und Übung teaching/lectures/06ws/reaktivesicherheit/ c Ulrich Flegel Reaktive Sicherheit Teil 3 48 / 48

31 Literatur Anhang Literatur Chris McNab. Network Security Assessment. O Reilly, Gescannte Abbildungen aus McNab, Network Security Assessment, O Reilly Eckert, IT-Sicherheit, Oldenbourg c Ulrich Flegel Reaktive Sicherheit Teil 3 49 / 48