Seminar: Konzepte von Betriebssytem- Komponenten

Transkript

1 Seminar: Konzepte von Betriebssytem- Komponenten Denial of Service-Attacken, Firewalltechniken Frank Enser

2 Gliederung Was sind DoS Attacken Verschiedene Arten von DoS Attacken Was ist eine Firewall Verschiedene Firewall-Konzepte Einige typische Firewall-Architekturen 2002 Frank Enser 2

3 DoS Attacken Was sind Denial-of-Service Angriffe? Beispiel: Webserver Einige DoS Programme: Blitzkrieg Fornax Stacheldraht 2002 Frank Enser 3

4 DDoS Attacken Unterschied zu DDoS Angriffen Angriff von mehreren Computern (Zombies) Zombies werden mittels Trojanischen Pferden ferngesteuert 2002 Frank Enser 4

5 Flood Attacks (1) SYN Flood Verbindungsaufbau wird vorgetäuscht Der Zielrechner hält die Verbindung bis zum Timeout Der Angreifer sendet andauernd diese Pakete und überlastet den Zielrechner 2002 Frank Enser 5

6 Flood Attacks (2) Smurf Attack Angreifer sendet gefälschtes ICMP Echo Request Paket an eine Broadcast IP Alle Rechner in diesem Netzwerk antworten Netzwerkanbindung des Zielrechnern wird dadurch überlastet 2002 Frank Enser 6

7 Flood Attacks (3) Fraggle/UDP Flood Angriff Basiert auf dem Smurf Angriff Verwendet aber keine ICMP Echo Request Pakete, sondern UDP Echo Pakete 2002 Frank Enser 7

8 Flood Attacks (4) ICMP Flood Angriff Einfachster Angriff Angreifer sendet nur ICMP Echo Request Pakete zum Ziel Angreifer muss mehr Bandbreite als das Ziel besitzen 2002 Frank Enser 8

9 Logic/Software Attacks (1) Ping of Death Angriff Angreifer sendet überlanges ICMP Echo Paket (> Bytes) Land Angriff Paket mit gleicher Target- und Sourceadresse sowie gleichen Ports 2002 Frank Enser 9

10 Logic/Software Attacks (2) Teardrop Angriff Nutzt einen Fehler beim Zusammenfügen von IP Fragmenten Falscher Offset Wert im IP Header führt zu Bufferüberlauf 2002 Frank Enser 10

11 Logic/Software Attacks (3) Echo/Chargen Angriff Eine Art von UDP Flood Angriff Die zwei Zielrechner schalten sich gegenseitig aus 2002 Frank Enser 11

12 Echo/Chargen Angriff (1) Angreifer sendet gefälschtes UDP Echo Paket an Ziel Frank Enser 12

13 Echo/Chargen Angriff (2) Zielrechner 1 antwortet mit einem Paket an den Zielrechner Frank Enser 13

14 Echo/Chargen Angriff (3) Zielrechner 2 sendet daraufhin ein Echo Paket an Zielrechner Frank Enser 14

15 Firewalltechniken Definition: Firewall Filter, den Netzwerkpakete beim Eintreffen oder Verlassen des Computers passieren müssen Praxis Single-Box Firewalls Komplexe Architekturen aus DMZ, Routern und Bastion-Hosts 2002 Frank Enser 15

16 Firewall Konzepte (1) Packet Filtering Einfachste Form Filtert ausschließlich auf Transportschicht Aufwendig zu installieren/warten Genaue Kenntnisse der zu filternden Protokolle nötig 2002 Frank Enser 16

17 Firewall Konzepte (2) Stateful Filtering (Circuit-level gateway) Weiterentwicklung des einfachen Packet Filter Interne Verbindungstabelle Kann meist für komplexere Protokolle erweitert werden 2002 Frank Enser 17

18 Firewall Konzepte (3) Application Gateway (Proxy) Stehen zwischen Client und Server Keine direkte Verbindung zwischen Client und Server Setzt auf Anwendungsschicht auf und kann dadurch gegebenenfalls einzelne Protokollbefehle sperren 2002 Frank Enser 18

19 Firewall Architekturen (1) Dual-Homed Host Nur 1 Rechner mit min. 2 Netzwerkschnittstellen Installation/Wartung vergleichsweise einfach Single point of failure Rechner muss besonders abgesichert/überwacht werden 2002 Frank Enser 19

20 Dual-Homed-Host 2002 Frank Enser 20

21 Firewall Architekturen (2) Screened Subnet Zusätzliche Schutzschicht: DMZ Bastion-Hosts als Proxys in der DMZ Schwieriger zu konfigurieren/warten Sicherer als Dual-Homed-Host Firewall 2002 Frank Enser 21

22 Screened Subnet 2002 Frank Enser 22

23 Firewall Architekturen (3) Independent Screened Subnet Je eine DMZ für nach innen und nach außen gerichtete Dienste Sehr komplex zu installieren/warten Kein single point of failure Nur bei besonders hohen Anforderung an Sicherheit und Redundanz sinnvoll 2002 Frank Enser 23

24 Independent Screened Subnet 2002 Frank Enser 24

25 Abschließende Bemerkungen 2002 Frank Enser 25