Entfernte Analyse von Netzen

Transkript

1 Entfernte Analyse von Netzen - ich weiss was du weisst - Torsten Höfler htor@unixer.de TU-Chemnitz Entfernte Analyse von Netzen p.1/31

2 Motivation Spionage Faszination der Macht Begeisterung für technische Möglichkeiten Geltungsdrang - sportlicher Ehrgeiz Zerstörungswille Rachsucht (ehemalige Mitarbeiter)... Entfernte Analyse von Netzen p.2/31

3 typische Angriffsziele Router / Firewalls / Packetfilter Intrusion Detection Systeme Loghosts (um Spuren zu verwischen) nach aussen erreichbare Server (DMZ?) Clientsysteme Hardwaresysteme (z.b. Access Points...) Entfernte Analyse von Netzen p.3/31

4 Allgemeiner Aufbau eines Firewallsystems Intranet einfache Variante: PF Internet Entfernte Analyse von Netzen p.4/31

5 Allgemeiner Aufbau eines Firewallsystems komplexere Varianten: IDS Log... DMZ Intranet PF PF Internet Application Gate Entfernte Analyse von Netzen p.5/31

6 Angriffsvektoren aus dem Internet Angreifer (wir) im Internet passive remote Analyse (z.b. sniffing) aktive remote Anaylse (z.b. scanning) Analyse aktiver Komponenten (z.b. fingerprinting) Topologieanalyse (z.b. firewalking, tracing) social engineering Entfernte Analyse von Netzen p.6/31

7 passive Analyse verscheidene Möglichkeiten: sniffing Headeranalyse passive fingerprinting payload Analyse (z.b. Softwareversionen) Server FW Internet Clients Angreifer Entfernte Analyse von Netzen p.7/31

8 passive Analyse - Headeranalyse bringt Verständnis der Topologie z.b.: TTL: OS generiert normalerweise runden Startwert (255, 128, 64...) -> Abweichung bestimmt Hopcount Ausnahmen (z.b. traceroute) beachten! angebotene bzw. genutzte Dienste z.b.: Source- bzw. Dest.-Ports auswerten Entfernte Analyse von Netzen p.8/31

9 passive Analyse - Headeranalyse Informationsgehalt im TCP/IP Paket (nutzbar für Analyse) hoch mittel Vers IHL TOS Total Length Identification FLag Fragment Offset TTL Proto Header Checksum Source Address Destination Address niedrig/kein Source Port Options Padding Destination Port Sequence Number Acknowledgment Number Offset Reserv. UAPRSF Checksum Options Window Size Urgent Pointer Padding Payload Data Entfernte Analyse von Netzen p.9/31

10 passive Analyse - Headeranalyse aus Headerfeldern ist einiges ableitbar: Feld Ort Tools? Was? TTL IP x OS + Topologie Fragmentation IP x OS Header Length IP x OS TOS IP - OS ID IP - OS + Traffic Source Port TCP - OS + Traffic Window Size TCP/Opt x OS Max. Segmentgr. TCP/Opt x OS OS Entfernte Analyse von Netzen p.10/31

11 passive Analyse - Headeranalyse SYN/ACK Header von TOS IP-Flags TTL Options Window Options 0x4 0x5 0x00 0x003c (60) 0x0000 DF 0x0 0x38 (56) 0x06 (TCP) 0xacf not used - - empty - 0x0050 (80) 0xe120 (57632) 0x14efd116 ( ) 0xb0a20b85 ( ) (40) 0x0. SYN/ACK. 0x16a0 (5792) 0xd437 0x0000 MSS: 1412; SACK perm; Timestamp ( ); NOP; Window Scale Entfernte Analyse von Netzen p.11/31

12 passive Analyse - Headeranalyse SYN/ACK Header von TOS IP-Flags TTL Options Window Options 0x4 0x5 0x00 0x0040 (64) 0xa0c1-0x0 0x7b (123) 0x06 (TCP) 0xeec not used - - empty - 0x0050 (80) 0xd47e (54398) 0x0352b4c0 ( ) 0xdd3e5e96 ( ) (44) 0x0. SYN/ACK. 0xfaf0 (64240) 0xc249 0x0000 MSS: 1412; NOP; Window Scale; NOP; NOP; Timestamp (0); NOP; NOP; SACK perm Entfernte Analyse von Netzen p.12/31

13 passive Analyse - passive fingerprinting fingerprinting ohne den Versand von Paketen beruht auf Abweichungen des OS vom Standard (RFC) kumulative Analyse verschiedener Headerfelder von Hand fast unmöglich, da umfangreiche Datenbanken ( Signaturen ) automatisierte Tools (ettercap, siphon, p0f) ABER: sehr langsam! aktive Analyse Entfernte Analyse von Netzen p.13/31

14 passive Analyse - passive fingerprinting Beispiele (p0f - SYN/ACK Auswertung): - Linux recent 2.4 (1) (up: 866 hrs) gulliver.hrz.tu-chemnitz.de:22 - UNKNOWN (up: 4760 hrs) rotuma.informatik.tuc.de:22 - Linux older 2.04 (up: 703 hrs) - Windows 2000 (SP1+) (firewall!) - Solaris 7 (up: 2533 hrs) - Windows 2000 SP4 - Windows 2000 SP4 - Linux recent 2.4 (1) (up: 5664 hrs) - Linux recent 2.4 (1) (up: hrs)... Entfernte Analyse von Netzen p.14/31

15 aktive Analyse - active fingerprinting fingerprinting mit Paketversand und Analyse der Antwort Layer 4 - klassischer Ansatz : banner grabbing - z.b. FTP, HTTP, POP, IMAP, SMTP, SSH, NNTP, Finger... binary analyse, z.b. /bin/ls von FTP Server (welches Binary Format (ELF, COFF) OS) leicht zu verhindern Layer 2/3: senden spezieller präparierter Pakete und Analyse der Antwort leicht festzustellen (vgl. Portscan) Packetfilter kann Ergebnisse blocken bzw. verfälschen Entfernte Analyse von Netzen p.15/31

16 aktive Analyse - active fingerprinting Standardtools quasi-standard: nmap von Fyodor viele aktive fingerprinting Techniken (FIN to open port, ISN Sampling, ICMP Tests, TCP Options, Fragmentation Handling...) wird jedoch von IDS oder Packetfilter als Standard-Tool erkannt und kann gefiltert werden nmap braucht 1 offenen und geschlossenen TCP-Port + 1 geschl. UDP-Port (praktisch nicht anzufinden wegen firewall) man muss andere Metriken finden weitere: xprobe2 - fuzzy logic, sonst ähnlich nmap queso - keine Weiterentwicklung Entfernte Analyse von Netzen p.16/31

17 fingerprinting - neue Ansätze RING (Remote Identification Next Generation) TCP Retransmissioncount und -time wird verwendet! Abweichungen von RFC2988 (definiert einen Retransmission Algorithmus) Attacker Victim SYN SYN/ACK SYN/ACK dt SYN/ACK SYN/ACK SYN/ACK Time Entfernte Analyse von Netzen p.17/31

18 RING - Beispiele snacktime Auswertung: pontius.hrz.tu-chemnitz.de:80 - HP-UX 11i 11.x gulliver.hrz.tu-chemnitz.de:22 - SunOS rotuma.informatik.tuc.de:22 - Linux no Retransmission - SunOS Windows DotNet RC Windows 2000 Server SP2 - no Retransmission - Linux Alpha... Entfernte Analyse von Netzen p.18/31

19 advanced scanning Inverse Mapping normale unauffällige Pakete an verschiedene IP-Adressen z.b. FIN, ACK, DNS-Reply nicht existierende Rechner: Router generiert ICMP host unreachable -> Angreifer schlussfolgert Netzstruktur/belegte IP Bereiche Slow Scan Scanrate < 1 Paket/Stunde sind automatisiert nur schwer erkennbar Entfernte Analyse von Netzen p.19/31

20 advanced scanning Idle Scan kein Paket direkt Versand über Zombie Hosts Ausnutzung der vorhersagbaren Fragmentnummer im IP-Paket auch zum Test von IP-basierten Filtern IDS meldet den Zombie als Angreifer Gegenmaßnahmen: eingehende Pakete von unlogischen Adressen droppen (z.b. internes Netz) stateful firewall OS mit schwer vorhersagbaren IP IDs Entfernte Analyse von Netzen p.20/31

21 advanced scanning IP ID Test z.b. S/A Paket RST IP ID=2187 Angreifer Angreifer 3. Zombie Zombie SYN Source="Zombie" SYN/ACK RST (offen) ID=2188 Ziel RST (geschlossen) IP ID Test RST IP ID=2189 (open) RST IP ID=2188 (closed) Angreifer Zombie Entfernte Analyse von Netzen p.21/31

22 advanced scanning Gefahr als Zombie genutzt zu werden ist gross! z.b. an der TUC verfügbare Zombies (von extern): gulliver.hrz.tu-chemnitz.de (Solaris) pontius.hrz.tu-chemnitz.de (HP-UX) sunnyboy.informatik.tu-chemnitz.de (Solaris) rotuma.informatik.tu-chemnitz.de (Linux) sogar geschützte Rechner sind nutzbar: zucker.informatik.tu-chemnitz.de ( )... Entfernte Analyse von Netzen p.22/31

23 firewalking = Analyse des Netzes einer Firewall (packetfilter) z.b. Testen ob IP erreichbar: SYN-Pakete werden von FW verworfen SYN/ACK nicht (nur stateful FWs) mittels SYN/ACK Paketen kann man IPs (hinter FW) scannen ruleset der FW kann ermittelt werden Entfernte Analyse von Netzen p.23/31

24 firewalking z.b. Portscan auf wald.informatik.tu-chemnitz.de ( ) von extern: archimedes: # hping2 wald.informatik.tu-chemnitz.de -p 22 -A HPING wald.informatik.tu-chemnitz.de (eth ): A set... len=46 ip= ttl=55 DF id=0 sport=22 flags=r seq=0 win=0 rtt=64.3 ms len=46 ip= ttl=55 DF id=0 sport=22 flags=r seq=1 win=0 rtt=64.8 ms Port 22 (ssh) offen archimedes: # hping2 wald.informatik.tu-chemnitz.de -p 81 -A HPING wald.informatik.tu-chemnitz.de (eth ): A set... ICMP Port Unreachable from ip= name=wald ICMP Port Unreachable from ip= name=wald Port 81 closed Laufen die Poolrechner am Wochenende? HPING donau.hrz.tu-chemnitz.de (eth ): SA set... len=46 ip= ttl=55 DF id=0 sport=82 flags=r seq=0 win=0 rtt=62.5 ms len=46 ip= ttl=55 DF id=0 sport=82 flags=r seq=1 win=0 rtt=65.4 ms ja ;o) Entfernte Analyse von Netzen p.24/31

25 firewalking lt. Cambridge Technology Partners: A Traceroute-Like Analysis of IP Packet Responses to determine Gateway Access Control Lists. neuere Entwicklung 1. Phase: Hopcount bis FW (Gateway) wird ermittelt = HC(FW) 2. Phase: Pakete mit TTL=HC(GW)+1 zum SYN Scan wenn HC(target) > HC(GW)+2 kein Paket erreicht target offener Port: ICMP Time exceed geschl. Port: keine Antwort (Timeout) Abhilfe: ausgehende ICMP Time exceed verwerfen application proxy Entfernte Analyse von Netzen p.25/31

26 Abhilfe (Client) auf Linux bezogen (Anpassen von Kernel-Parametern): /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts = 1 /proc/sys/net/ipv4/conf/*/accept_source_route = 0 /proc/sys/net/ipv4/conf/*/rp_filter = 1 (Pakete für lokal die auf einem Interface reinkommen und auf einem anderen rausgehen werden gedroppt spoofing) /proc/sys/net/ipv4/ipfrag_high_thresh =? (ab diesem Wert werden Fragmente verworfen - Rose Attacks?) /proc/sys/net/ipv4/ipfrag_low_thresh =? (ab diesem Wert werden Fragmente wieder akzeptiert) /proc/sys/net/ipv4/conf/*/log_martians (Pakete mit illegalen Adressen werden geloggt) /proc/sys/net/ipv4/ip_default_ttl =? (verwirrt OS detection) Entfernte Analyse von Netzen p.26/31

27 Abhilfe (Client) auf Linux bezogen ( - features): Larger entropy pools (bessere Zufallszahlen) Randomized TCP Initial Sequence Numbers (erschwert OS detection) Randomized IP IDs (verhindert Zombie -Scan) Randomized TCP source ports (erschwert OS detection) eigene Anpassungen im Sourcecode z.b. keine Antwort auf illegale Pakete: /usr/src/linux/net/ipv4/* ändern der Window Size: /usr/src/linux/include/net/tcp.h (MAX_TCP_WINDOW)... Entfernte Analyse von Netzen p.27/31

28 deep packet inspection Firewall Evolution Firewall - Schutzfunktion IDS - Überwachungsfunktion derzeit: manuelles Einschreiten notwendig Problem: schnelle Attacken (Code Red, Nimda) deep packet inspection = FW + IDS Exploits können beim Versuch (automatisch) verhindert werden z.b. Überwachung auch auf Applikationsebene (vgl. PIX fixup Befehl) nächste Folie Entfernte Analyse von Netzen p.28/31

29 deep packet inspection Client FW State Table: SMTP: client: SMTP:25 SMTP Protokoll (SMTP): Helo Nice to meet you VRFY: root Entfernte Analyse von Netzen p.29/31

30 Fragen? Vielen Dank für Ihre Aufmerksamkeit! Torsten Höfler Entfernte Analyse von Netzen p.30/31

31 Quellen eigene Erfahrung :o) Laurent Joncheray: Simple Active Attack Against TCP, 1995 Kevin Timm: Passive Network Traffic Analysis, 2003 Lance Spitzner: Passive Fingerprinting, 2000 Fyodor: Remote OS detection via TCP/IP Stack FingerPrinting, 1998 Intranode Research: RING - Full Paper, 2002 Synnergy Networks: Advanced Host Detection, 2001 Cambridge Technology Partners: Firewalking, 1998 Ido Dubrawsky: Firewall Evolution - Deep Packet Inspection, 2003 Entfernte Analyse von Netzen p.31/31