Reale Angriffsszenarien Typische Regellücken bei Firewalls,, Testtools

Transkript

1 IT-Sicherheit heute - Angriffe, Schutzmechanismen, Umsetzung Reale Angriffsszenarien Typische Regellücken bei Firewalls,, Testtools jochen.schlichting@secorvo.de Seite 1

2 Inhalt Einführung: Typische Angriffe & Audits Bsp. Firewallregelwerk Portscanner Bsp. Protokollangriff auf eine Firewall Testwerkzeuge Seite 2

3 Einführung: Typische Angriffe & Audits Seite 3

4 Typische Angriffe auf Firewalls Port- und Netzwerkscans () DNS-Netzabfragen IP-Spoofing (-) Scans auf Applikationsschwachstellen () (Distributed) Denial of Service - Spam Suche nach Passwörtern und Anwendern (-) Viren und Würmer - Social Engineering Abkürzungen: DNS: Domain Name Service, Domain Name Server IP: Internet Protocol TCP: Transmission Control Protocol Erläuterungen: Security Scanner prüfen Schwachstellen der Dienste und Applikationen, eine Firewall bietet nur Schutz auf Netzwerkebene. Schutz auf Applikationsebene wird in der Regel nicht geboten. Viren und Würmer werden nur auf Netzwerkebene an der Verbreitung gehindert. So wird z. B. ein SQL-Slammer Wurm abgefangen falls der SQL-Port gesperrt ist. Viren und Würmer in s werden durch reine Firewallfunktionen nicht unterbunden, da die Firewall nur kontrolliert dass auf Mailserver nur mit den benötigten Ports zugegriffen werden kann. Zum Schutz vor Viren und Würmern sind eigenständige Lösungen oder die Integration von Zusatzmodulen in Firewalls erforderlich. Seite 4

5 Typische Audits für f r Firewalls DNS-Netzabfragen Port- und Netzwerkscans Testen mit Spezialwerkzeugen Simulation echter TCP-Connections für Stateful Inspection Firewalls Connection Spoofing IP fragmentation / TCP segmentation Abkürzungen: DNS: Domain Name Service, Domain Name Server IP: Internet Protocol TCP: Transmission Control Protocol Seite 5

6 Bsp. Firewallregelwerk Seite 6

7 Firewall-Regelwerk 1 Firewallregelwerk 1 Seite 7

8 Firewall-Regelwerk 2 Firewallregelwerk 2 Seite 8

9 Firewall-Regelwerk 3 Firewallregelwerk 3 Seite 9

10 Firewall-Regelwerk 4 Firewallregelwerk 4 Seite 10

11 Portscanner Seite 11

12 Portscanner Portscanner prüfen alle Dienste von entfernten Rechnern Dienste werden über Well Known Ports angesprochen Ports, die fest einem Dienst zugeordnet sind Verbindungsaufbau: Client (SYN) (SYN/ACK) (ACK) Server Verbindung öffnen Verbindungswunsch O.K. Verbindung aufgebaut Abkürzungen ACK: Acknowledgement SYN: Synchronize Seite 12

13 Portscan-Techniken Bekanntester Portscanner: nmap Von nmap unterstützte Techniken: ICMP echo: klassischer ping TCP connect(): klassischer Verbindungsaufbau TCP SYN: halb-offener Verbindungsaufbau Stealth: FIN-Pakete senden - Offene Ports ignorieren diese und geschlossene Ports senden ein RST-Paket nmap bietet zusätzlich OS-Fingerprinting Anfertigung eines Fingerabdrucks des Kommunikationsverhaltens eines Betriebssystems Analyse der Netzprotokolle Je nach Betriebssystem unterschiedliches Verhalten Dadurch Identifizierung des Zielsystems Obwohl nmap ursprünglich als reines Unix-Tool entwickelt wurde, existiert inzwischen auch eine Windows Portierung. Beide Versionen sind unter zu finden. Abkürzungen FIN: Finish ICMP: Internet Control Message Protocol OS: Operating System RST: Reset SYN: Synchronize TCP: Transmission Control Protocol Seite 13

14 nmap nmap Seite 14

15 Beispiel: Protokollangriff auf eine Firewall Seite 15

16 Standard FTP-Modus Verbindungsaufbau durch Client Server baut Datenkanal über festen Port auf FTP-Client Port 1060 OK FTP-Server Datenkanal OK Steuer- Kanal 20 Datenkanal Abkürzungen FTP: File Transfer Protocol Seite 16

17 Passiver FTP-Modus Verbindungsaufbau durch Client Server gibt den Port des Datenkanals zurück FTP-Client PASV OK 3200 Datenkanal FTP-Server Client baut Datenkanal zu diesem Port auf OK Steuer- Kanal Datenkanal Abkürzungen FTP: File Transfer Protocol Seite 17

18 Protokollangriff auf Firewall-1 Besitzt Empfangspuffer mit fester Größe Selbsterzeugter Datenmüll XXXXXXXXXXXXXXX227 ( ,23) Gültiges FTP-Kommando, da fragmentiertes Paket 500 Invalid command giv en: XXXXXXXXXXXXXX 227 ( ,23) Festgelegte Empfangslänge fälschlicherweise freizuschaltender Port Abkürzungen FTP: File Transfer Protocol Seite 18

19 Metasploit s PassiveX payload ActiveX control via Internet Explorer Schwachstelle ausnutzen (ms03_026) und PassiveX payload ausführen PassiveX lädt via HTTP Code von extern nach (via Port 80 durch vertrauenswürdigen IE) HTTP-Transport emuliert Standard-TCP-Verbindung und interagiert mit cmd.exe, VNC, meterpreter Firewall merkt nichts Abkürzungen FTP: File Transfer Protocol Seite 19

20 Metasploit s PassiveX payload Ausführung Abkürzungen FTP: File Transfer Protocol Seite 20

21 Testwerkzeuge Seite 21

22 Praktische Vorgehensweise Firewallidentifikation Traceroute ing Firewalk ing HPing ing Stateless Firewalls & Source Port Scanning ICMP Enumeration & Customization NMAPing Seite 22

23 DNS-Query DNS-Query Abkürzungen: DNS: Domain Name Service, Domain Name Server IP: Internet Protocol TCP: Transmission Control Protocol Erläuterungen: Security Scanner prüfen Schwachstellen der Dienste und Applikationen, eine Firewall bietet nur Schutz auf Netzwerkebene. Schutz auf Applikationsebene wird in der Regel nicht geboten. Viren und Würmer werden nur auf Netzwerkebene an der Verbreitung gehindert. So wird z. B. ein SQL-Slammer Wurm abgefangen falls der SQL-Port gesperrt ist. Viren und Würmer in s werden durch reine Firewallfunktionen nicht unterbunden, da die Firewall nur kontrolliert dass auf Mailserver nur mit den benötigten Ports zugegriffen werden kann. Zum Schutz vor Viren und Würmern sind eigenständige Lösungen oder die Integration von Zusatzmodulen in Firewalls erforderlich. Seite 23

24 DNS-Query Seite 24

25 Firewalk Firewalk Seite 25

26 Ping3 hping3 Seite 26

27 HPing3 hping3 Seite 27

28 HPing3 hping3 Seite 28

29 Nmap Nmap Seite 29

30 Firewall-Plugins in Nessus3 Seite 30

31 Metasploit Framework Seite 31

32 Seite 32