Reaktive Sicherheit. III. Verwundbarkeiten und Verwundbarkeitsanalyse im Netz. Dr. Michael Meier. technische universität dortmund

Transkript

1 Reaktive Sicherheit III. Verwundbarkeiten und Verwundbarkeitsanalyse im Netz Dr. Michael Meier technische universität dortmund Fakultät für Informatik Lehrstuhl VI, Informationssysteme und Sicherheit 28. Oktober 2009

2 Überblick Verwundbarkeiten im Netz Abhörbarkeit IPv4 ICMP UDP TCP DNS Verwundbarkeitsanalyse Prozess Zielnetzwerksuche Zielrechner- und Dienstsuche Suche nach verwundbaren Diensten Vorgehensweise in der Praxis Informationsquellen zu Verwundbarkeiten 2/49

3 Abhörbarkeit Abhörbarkeit Ethernet ist ein Broadcast-Medium Teilnehmer benötigen physischen Zugangspunkt Kopplung von Kollisionsdomänen (Teilnetzen) innerhalb einer Kollisionsdomäne hören alle Netzknoten alles WLAN abhörbar wie Ethernet kein physischer Zugangspunkt notwendig Abhörprogramme Ethernet: u.a. Wireshark, TCPDUMP, Dsniff (extrahiert Passwörter) WLAN: Kismet, NetStumbler Programmbibliothek libpcap bzw. winpcap 3/49

4 Abhörbarkeit Abhörwerkzeuge 4/49

5 Abhörbarkeit Hubs und Repeater Netzwerk-Kopplungselemente verschmelzen zwei oder mehr Kollisionsdomänen zu einer Kollisionsdomäne Kollisionsdomäne 1 C trennen Kollisionsdomänen A HUB mittels Filter-Logik B Switches und Bridges Switch lernt/beobachtet an welchen Ports A, B und C sind und unterdrückt Weiterleitung an andere Ports KD1 Router trennen Kollisionsdomänen mittels Filter-Logik Filter-Logik lässt sich manipulieren! Switch KD2 z.b. vortäuschen eines anderen Switch-Ports durch ARP-Manipulation A KD3 C B 5/49

6 Abhörbarkeit Grundprinzip Switch-Tabellen In Tabelle merken, welche Adressen an einem Port beobachtet wurden (anhand Absender-Adresse und ARP-Anfragen/Antworten) Zieladresse in keiner Tabelle an alle Port weiterleiten Zieladresse in einer (oder mehreren) Tabellen an entsprechende Ports weiterleiten MACA, MACB, MACC, MACD A B C D Rechner mit MAC-Adresse MACD Switch E F G H W X Y Z 6/49

7 IPv4 Internet Protocol version 4 - Paketformat Header 7/49

8 IPv4 ARP IP-Adressen sind logische Adressen, die dynamisch durch ARP auf physische MAC-Adressen abgebildet werden müssen. ARP Address Resolution Protocol benutzt um zu einer IP-Adresse die MAC-Adresse zu ermitteln. Rechner mit IP1 möchte an Rechner mit IP2 senden. 1. An Alle! Wer hat IP2 und wie lautet die MAC? Switch IP2 MAC2 2. An IP1/MAC1! Ich habe IP2 und MAC2? IP1 MAC1 IP3 MAC3 8/49

9 IPv4 ARP-Spoofing Angreifer C will Kommunikation zwischen A und B belauschen 1. An Alle! Wer hat IP2 und wie lautet die MAC? A Switch B IP2 MAC2 IP1 MAC1 C IP3 MAC3 2. Ich habe IP2 und MAC3! 3. abgefangene Nachricht an B weiterleiten, um unerkannt zu bleiben Variante: C behauptet ich habe MAC2 MAC2 wird in Switch-Tabelle für Port zu C aufgenommen Daten für MAC2 werden an Port zu C weitergeleitet Werkzeuge: Ettercap, Cain & Abel 9/49

10 IPv4 Verwundbarkeit von IPv4 im Normalfall (kein IPv6 oder IPsec) kein Schutz von: Vertraulichkeit, Integrität, Verfügbarkeit, Zurechenbarkeit, Authentizität Anonymität Paketinhalte einschließlich Header vom Absender frei wählbar insbesondere Absender, Wegewahl zum Ziel davon unabhängig (IP- Spoofing) Ziele der Absendermanipulation Ausnutzen von Vertrauensbeziehungen zum vorgegebenen Absender Verbergen des Absenders Antwort an Absender möglich mittels loose source routing in den Optionen im IP-Header vorgegebene Wegstationen Werkzeug: lsrtunnel Programmierbibliothek: libnet 10/49

11 IPv4 Fragmentierung Header 600 Bytes 600 Bytes 600 Bytes Fragment- Header Bytes Fragment 1 (Offset 0) Fragment- Header Bytes Fragment 2 (Offset 600) Fragment- Header Bytes Fragment 3 (Offset 1200) 11/49

12 IPv4 De-Fragmentierung Überlappende Fragmentierung oder Minimales 1. Fragment Beschränkte Ausdrucksfähigkeit von Paketfiltern, die TCP-Header nur in Fragment 1 prüfen Flasche Angaben in Fragment 1, die richtigen erst in Fragment 2 Werkzeuge: fragrouter, nmap Fragment- Header Bytes Fragment 2 (Offset 500) Fragment- Header Bytes Fragment 1 (Offset 0) Header 600 Bytes 600 Bytes 12/49

13 IPv4 De-Fragmentierung Echte und unechte überlange (>64KB) Pakete Softwarefehler im TCP/IP-Stack führen zum Absturz bei Defragmentierung überlanger Fragmente DoS Denial of Service diverse Varianten: Ping of Death, Teardrop, newtear Fragment- Header Bytes Fragment 2 (Offset 70500) Fragment- Header Bytes Fragment 1 (Offset 0) Header 600 Bytes 600 Bytes > 64 K 13/49

14 IPv4 Distributed Denial of Service Saturierung der Ressourcen (z.b. Netzleitung) eines Opfers 14/49

15 ICMP ICMP - Internet Control Message Protocol zum Austausch von Status- und Fehlermeldungen Programm ping Missbrauch für Verbindungsabbruch durch manipulierte ICMP- Nachrichten Nachrichtentyp: Destination unreachable Erhöhen der Netzlast Anfordern einer Ping-Anwort von allen Subnetz-Knoten Nachrichtentyp: echo request mit Absenderadresse eines Opfers, das alle Antworten bekommen Belastung von Netz und Opfer-Rechner 15/49

16 ICMP ICMP (2) Erhöhen der Netzlast (Fortsetzung) Anfordern von Fragmentierung mit minimaler Fragmentgröße Nachrichtentyp: fragmentation needed and DF set erzeugt künstlichen Overhead durch IP-Header für jedes Fragment Anfordern der Reduktion der Senderate Nachrichentyp: source quench Senden wird künstlich verlangsamt Ungültige Netzadressmasken verkünden Nachrichtentyp: address mask reply Senden von Broadcasts wird gestört 16/49

17 ICMP ICMP (3) Ziel-Umleitung, um Angreiferrechner zwischen zwei Opfern platzieren Während des Verbindungsaufbaus mit Opfer 1 wird der Angreiferrechner als nächster Router auf dem Weg zu Opfer 2 propagiert Nachrichtentyp: Redirect ggf. analog für Opfer 2 wenn Opfer 1 an Opfer 2 sendet, werden Pakete tatsächlich an den Angreifer gesendet 17/49

18 UDP UDP User Datagram Protocol Verbindungsloses Transportprotokoll Angriff auf die Verfügbarkeit mit Ping-Pong-Verkehr Standardnetzwerkdienste chargen: character generator generiert ein Zeichen für Tests; Port 19 echo: für Tests und Messungen der Round-Trip-Time; Port 7 Angreiferaktion: Paket an Opfer1-Adresse Chargen-Dienst senden Variante 1 Absender fälschen auf localhost und Echo-Port lokale Endlosschleife belegt CPU-Zyklen Variante 2 Absender fälschen auf Adresse von Opfer2 und Echo-Port Endlosschleife zwischen Opfern (endet bei Paketverlust) Variante 3 Absender auf Broadcast-Adresse setzten und Echo-Port Endlosschleife zwischen Opfer und Subnetz (allen Rechnern) 18/49

19 UDP UDP (2) Ausspähen verfügbarer Dienste UDP Scan Client UDP Paket an Port X Server ICMP port unreachable inaktiv Programme: nmap, scanudp 19/49

20 TCP TCP - Transmission Control Protocol 20/49

21 TCP Drei-Wege-Handshake TCP-Verbindungsaufbau Client SYN Server SYN/ACK ACK 21/49

22 TCP Angriffe auf die Verfügbarkeit SYN Flooding vielfacher unvollständiger Verbindungsaufbau Angreifer SYN SYN/ACK SYN SYN/ACK SYN SYN/ACK Opfer Verbindungsdaten Verbindungsdaten Verbindungsdaten 22/49

23 TCP Angriffe auf die Verfügbarkeit SYN Flooding (2) Setzten nicht existenter Absenderadresse verhindert Antworten an Angreifer (RST-Backscatter) SYN-Packete an Server-Port senden Verbindungswarteschlange wird aufgefüllt (je nach OS bis zu 128) bei Erschöpfung können keine neuen Verbindungsanfragen entgegengenommen werden Timeout der Warteschlangeneinträge abwarten keine hohe Datenübertragungsrate notwendig Erneutes Senden 23/49

24 TCP Verbindungsstörung Gezielte Manipulation der Verbindungsparameter im TCP-Header Verbindungsaufbau verhindern SYN-Pakete abhören, SEQ-Nr. auslesen zum Empfänger RST-Paket schicken mit ACK-Nr:=SEQ-Nr+1 Ausgeben als Sender des SYN-Pakets Etablierte Verbindung abbrechen ACK-Pakete abhören, SEQ-Nr und ACK-Nr auslesen zum Sender RST-Paket schicken mit SEQ-Nr:=ACK-Nr zum Sender FIN-Paket schicken mit SEQ-Nr:=ACK-Nr und ACK-Nr.=SEQ-Nr+sizeof(Nutzlast) Ausgeben als Empfänger des ACK-Pakets 24/49

25 TCP Verbindungsstörung (2) Etablierte Verbindung drosseln ACK-Pakete abhören, SEQ-Nr und ACK-Nr auslesen zum Sender ACK-Paket schicken mit WIN:=0 und SEQ-Nr:=ACK-Nr und ACK-Nr:=SEQ-Nr Ausgeben als Empfänger des ACK-Pakets 25/49

26 TCP Ausspähen verfügbarer Dienste TCP-Scan Vollständiger Verbindungsaufbau Client SYN Server SYN/ACK ACK Filterbar z.b. in Firewall; auf Applikationsebene sichtbar (Log-File) 26/49

27 TCP Ausspähen verfügbarer Dienste Half-Open-/SYN-Scan Unvollständiger Verbindungsaufbau Client SYN Server SYN/ACK RST Filterbar z.b. in Firewall; bleibt auf Transportschicht 27/49

28 TCP Ausspähen verfügbarer Dienste Half-Open-/FIN-Scan Unvollständiger Verbindungsaufbau Client FIN Server RST inaktiv ggf. nicht gefiltert; bleibt auf Transportschicht 28/49

29 TCP Ausspähen über Dritte FTP Bounce Scan 1. Verbindung zum FTP Control Port (21) aufbauen. 2. Passiven FTP-Modus aktivieren 1., 2., 3., 4 a) 3. Maßgeschneidertes PORT Kommando legt fest wohin FTP Verbindung aufbaut (z.b. Opfer Port 23) 4. a) LIST-Kommando an FTP-Server b) FTP- Server baut Verbindung auf verwundbarer FTP Server 4 b) Angreifer 5. Response des LIST- Kommandos zeigt Angreifer an, ob Port X bei Opfer offen ist oder nicht. Opfer 29/49

30 TCP Ausspähen verfügbarer Dienste und Betriebssysteme weitere Port-Scan-Varianten: ACK-, NULL-, XMAS-Scan Loose-Source-Route-Scan ICMP-echo/timestamp/mask Fragment-Scan Programme: Firewalk, Hping2/3, Nmap, Vmap, Lsrscan, Sing, Fragtest OS-Fingerprinting aktiv: stimuliere und analysiere Antwortverkehr passiv: analysiere gegebenen Verkehr analysiere Folgen von Belegungen für gegebene Paket-Felder unterscheide Betriebssysteme anhand charakteristischer Belegungen der Paket-Felder Programme: Nmap, SinFP, P0t, Ettercap 30/49

31 DNS DNS Spoofing Domaine Name Service ordnet IP-Adressen symbolische/textuelle Namen zu DNS-Spoofing: Mit einem manipulierten DNS-Eintrag einem DNS- Namen eine falsche IP-Adresse zuordnen Beispiel angenommen einige Dienste (z.b. rsh, rlogin) erlauben host.meinefreunde.de uneingeschränkten Zugriff DNS-Eintrag ordnet host.meine-freunde.de der IP-Adresse des Angreifers zu da Angreifer-IP dem DNS-Namen host.meine-freunde.de zugeordnet ist wird dem Angreifer Zugriff gewährt 31/49

32 Netzwerk-Verwundbarkeitsanalyse 32/49

33 Zyklus zur Netzwerk-Verwundbarkeitsanalyse Network Enumeration IP-Adressen und DNS-Namen Network Scanning Zugreifbare TCP und UDP Dienste weitere IP-Adressen und DNS-Namen Network Service Assessment Accounts, Nutzernamen Zugriff gewährt? Ja Erfolgreicher Angriff Nein Brute Force Passwort Ermittlung 33/49

34 Öffentliche Netzwerkinformationen Suchmaschinen und Suchoptionen: Kontaktdaten in der Zielorganisation: + example.org +tel +fax + Web-Server des Ziels: example site:example.org sichtbare Verzeichnisse: allintitle: index of / site:example.org Newsgroups: Rückschlüsse auf z.b. Abteilungen s in Foren: Header verraten Mail-Server und deren Software Informationen über Web-Dienste: Netzwerkinformationszentren: ARIN.net (American Registry for Internet Numbers) RIPE.net (Réseaux IP Européens) WHOIS Network Enumeration 34/49

35 Öffentliche Netzwerkinformationen (II) Domain Name System: Network Enumeration Namensauflösung Adressauflösung: ggf. sprechende Funktionsnamen Plattform-Information/Betriebssystem Nameserver-Adressen (ggf. verwundbar) Mailserver-Adressen (ggf. verwundbar) (Sub-)Domänen-Struktur ggf. interne Adressräume Zone-Transfer: komplette DNS-Information zum Ziel Programme: nslookup, host, dig, ghba 35/49

36 Netzwerkabtastung (Scanning) ICMP-Scan: IP- und Subnetz-/Broadcast-Adressen Network Scanning Port-Scan, ggf. mit Diensterkennung (Nmap, Amap, Vmap) Durch Firewalls/IDS hindurch (TCP): Quell-Ports: 53 (DNS), 20 (FTP), 80 (HTTP), 88 (Kerberos) Quell-Adressfälschung mit Source-Routing (Lsrtest, Lsrtunnel) Stealth-Scans: FIN, NULL, XMAS, ACK (Nmap) Fragmentierung (Fragtest, Fragrouter, Nmap) hinter Firewall: FTP-Bounce-Scan (Nmap) Firewall-Filterregeln bestimmen: Antworten ICMP/TCP-Flags auswerten (Hping2, Firewalk) Herkunft verschleiern: Idle-, Bounce- oder Proxy-Scan (Nmap, Ppscan) Quell-Adressfälschung: von außen mit Source-Routing (Lsrtest, Lsrtunnel) von innen mit Abhören (Spoofscan) zusätzliche Dummy-Absender (Nmap) 36/49

37 Abfrage von Informationsdiensten Network Enumeration/Scanning Systat (TCP-Port 11): Prozesse Netstat (TCP-Port 15): Verbindungen, Ports telnet Port 15 Finger (TCP-Port 79): aktive Nutzer, Accounts, OS (Finger) Rwho (TCP-Port 513): aktive Nutzer (Finger) Ident (TCP-Port 113): Nutzer an Port gebundener Prozesse (Nmap) DNS (UDP/TCP-Port 53): (Nslook, Dig, Ghba) 37/49

38 Abfrage von Informationsdiensten (II) SNMP (UDP-Port 161): (ADMsnmp, Snmpwalk) Simple Network Management Protocol nur über einen String/Passwort geschützt, Rate-Angriff auf Standard- Einstellungen detaillierte, umfangreiche Information, z.b. Adressen, Nutzer, Dienste, exportierte Dateisysteme Fernkonfiguration, z.b. von Routern LDAP (TCP-Port 389, Windows: 3268): (Ldapsearch, Bf_ldap) Lightweight Directory Access Protocol Politiken, Server, Nutzerdaten, z.b. -Adresse,... Rate-Angriff 38/49

39 Web-Dienst-Abtastung Fingerprinting: Implementierung identifizieren, ggf. verwundbar Web-Server (WebServerFP, Hmap, 404print) ASP.NET (Dnascan.pl) Erkennung von WebDAV, MS FrontPage, MS Outlook Web Access (OWA), IIS ISAP Erweiterungen, PHP, OpenSSL diverse versionsspezifische Exploits und Patches verfügbar Network Service Assessment automatisiertes Testen auf bekannte Verwundbarkeiten (Nikto, N- Stealth) Testen von (offenen) HTTP-Proxies (Pxytest) Rate-Angriffe auf Basic HTTP Authentication (Hydra, Brutus) Test auf Verwundbarkeit per Datenbank-Zugriff (Web Sleuth) manuelles Testen über HTTP-Anfrage-Modifikation WebProxy, Exodus, SPIKE Proxy) 39/49

40 Netzdienst-Abtastung MS SQL Server (TCP-Ports 1433, 2433) Version identifizieren, ggf. verwundbar (Sqlping) Rate-Angriff (Forcesql, Sqlbf) Oracle (TCP-Ports 1521, 1526, 1541) Version und OS identifizieren, ggf. verwundbar (Tnscmd.pl) Authentifikation abfragen (Tnscmd.pl, MetaCoretex) Standard-Passwörter (Liste bei Phenoelit) TCP-Bounce-Scanning (MetaCoretex) MySQL (TCP-Port 3306) Network Service Assessment Version identifizieren, ggf. verwundbar (Sqlping) ggf. kein root-pw: Nutzer mit PW-Hashes abfragen (Finger_mysql) Rate-Angriff (Hydra) Alle: bekannte Konfigurationsfehler finden (MetaCoretex) 40/49

41 Unix-RPC-Dienste Network Service Assessment RPC-Dienste identifizieren (Rpcinfo, Nmap) außergewöhnlich viele Exploits für RPC-Dienste kann Anfragen an Dienst weiterreichen, Dienst sieht dann nur den Portmapper-Rechner als Absender, dem er evtl. vertraut (Pmapmount) in der Regel ungesicherte Kommunikation (außer SecureRPC) NIS (Network Information Service), unverschlüsselt früher yellow pages (yp) Authentisierung über Domain-String / Passwort NIS-Maps abfragen, z.b. Passwort-Shadow-Datei (Ypsnarf, Ypx) Angreifer kann NIS-Antworten fälschen und ggf. schneller Antworten (Ypfake) Passwort-Datei um privilegierte Accounts erweitern Rate-Angriff über Yppasswd (Ypbreak) 41/49

42 Unix RPC-Dienste II NFS (Network File System), unverschlüsselt Network Service Assessment exportierte Dateisysteme identifizieren (showmount) Dateihandle für Dateisystem anfragen/abhören (Askhandle, Pmapmount, Sniff_nfs_fh, Fhsnif, Wireshark) freier Dateizugriff über Handle (Nfsmenu, Nfsshell) 42/49

43 Windows Netzwerkdienste I (auch SAMBA) MS RPC Service (TCP/UDP-Port 135, 445) Network Service Assessment Abfrage von Systeminformation, z.b. IP-Adressen, Interfaces (Edump, Rpcdump, Rpcscan) Abfrage von Nutzern, Gruppen, Rechteänderungen, Abfrage, Einrichten und Löschen von Domänen und deren Nutzern und Gruppen (Rpcclient) SAMR-Interface (139): Nutzerkonto-Daten (Walksam) Rate-Angriff auf Administrator (WMICracker, Venom) Programme entfernt ausführen (Remoxec) NetBIOS Name Service (UDP-Port 137, 445) Abfragen von Hostname, Domäne, eingewählte Nutzer, MAC-Adressen (Nbtstat) 43/49

44 Windows Netzwerkdienste II (auch SAMBA) NetBIOS Session Service (TCP-Port 139, 445) Network Service Assessment Abfrage von Nutzernamen, Rechnernamen, NetBIOS-Namen, Shares, Passwort-Politik, Gruppen und Mitglieder, lokale Sicherheitspolitik, Vertrauensbeziehungen zwischen Domänen und Rechnern (Enum, Winfo, GetAcct) Rate-Angriff (SMBCrack, SMB-AT) Kommandos ausführen, Registry lesen und schreiben (nach Authentifikation) (Net, At, Regdmp, Regini, Reg) Passwort-Hashes auslesen (Pwdump3) Common Internet File System (CIFS) (TCP/UDP-Port 445) Abfrage von Nutzerdetails (Smbdumpusers) Rate-Angriff (Smbbf) 44/49

45 SMTP (TCP-Port 25) Network Service Assessment Implementierung identifizieren, ggf. verwundbar (Smtpmap) Sendmail: Nutzer und -Adressen identifizieren: EXPN, VRFY, RCPT TO POP-2/-3 (TCP-Ports 109, 110) (Brutus, Mailbrute) Rate-Angriff (Hydra, Brutus) IMAP (TCP-Ports 143) Rate-Angriff (Hydra, Brutus) 45/49

46 Informationen zu Verwundbarkeiten Common Vulnerability Enumeration (CVE): ISS X-Force: Open Source Vulnerability Database (OSVDB): SecurityFocus: CERT: Secunia: 46/49

47 Vorgehensweise in der Praxis (nach McNab) Initialer Netzwerk-Scan ICMP-Pings und Test populärer Dienste (SMTP, HTTP, ) Grundlegende Dienst- und Hostinformationen Vollständiger Netzwerk-Scan Identifizieren offener, geschlossener und gefilterter Ports Zugreifbare TCP und UDP Dienste Netzwerkdienstidentifikation Fingerprinting-Tools, manuelle Tests zur Bestimmung zugreifbarer Dienstversionen und Plattforminformationen Zugreifbare TCP und UDP Dienste Untersuchung bekannter Verwundbarkeiten Recherche entsprechender Datenbanken und Webseiten Zugreifbare TCP und UDP Dienste Vollständige Scan-Ergebnisse Low-Level Netzwerktests IP-Finger-Printing, hping2, passive Tools: TCPDUMP Wissen über Firewallund Zielhost-Konfiguration Test auf Verwundbarkeiten Werkzeuge und manuelle Techniken zur Beurteilung des Verwundbarkeitspotentials zugreifbarer Dienste Bericht zu Schwachstellen und Empfehlungen 47/49

48 Weitere Richtlinien und Methoden NIST s Technical Guide to Information Security Testing and Assessment OSSTMM - Open Source Security Testing Methodology Manual ISSAF - Information Systems Security Assessment Framework 48/49

49 Literatur Chris McNab: Network Security Assessment. O Reilly, First Edition 2004 Second Edition /49