Praktikum IT-Sicherheit

Ähnliche Dokumente
Praktikum IT-Sicherheit

Network Intrusion Detection mit Snort. (Nachtrag zu 9.2.2, Seite 33)

AGROPLUS Buchhaltung. Daten-Server und Sicherheitskopie. Version vom b

Übung - Konfigurieren einer Windows 7-Firewall

MSXFORUM - Exchange Server 2003 > SMTP Konfiguration von Exchange 2003

Matrix42. Use Case - Sicherung und Rücksicherung persönlicher Einstellungen über Personal Backup. Version September

Voraussetzungen für die Nutzung der Format Rechenzentrumslösung (Hosting)

Dokumentation zur Versendung der Statistik Daten

Hinweise zum elektronischen Meldeformular

Installation OMNIKEY 3121 USB

Arbeiten mit Workflows Installationsleitfaden Zur Installation des d3 Workflows

Handbuch. timecard Connector Version: REINER SCT Kartengeräte GmbH & Co. KG Goethestr Furtwangen

MC-Hx 006. Einbindung des MC-Hx Modul als MODBus TCP Slave. MB DataTec GmbH. Stand:

Handbuch Fischertechnik-Einzelteiltabelle V3.7.3

WinVetpro im Betriebsmodus Laptop

Drucken aus der Anwendung

Dokumentation. Black- und Whitelists. Absenderadressen auf eine Blacklist oder eine Whitelist setzen. Zugriff per Webbrowser

Stundenerfassung Version 1.8 Anleitung Arbeiten mit Replikaten

Whitepaper. Produkt: combit address manager/combit Relationship Manager. Erweitertes David AddIn für Tobit. combit GmbH Untere Laube Konstanz

Inhaltverzeichnis 1 Einführung Zugang zu den Unifr Servern Zugang zu den Druckern Nützliche Links... 6

Praktikum IT-Sicherheit

Prodanet ProductManager WinEdition

STRATO Mail Einrichtung Microsoft Outlook

teamsync Kurzanleitung

.htaccess HOWTO. zum Schutz von Dateien und Verzeichnissen mittels Passwortabfrage

Firewalls für Lexware Info Service konfigurieren

Ein Hinweis vorab: Mailkonfiguration am Beispiel von Thunderbird

Konfiguration IKMZ / Universitätsrechenzentrum des Cisco VPN-Clients v3.6 Netze und Datenkommunikation

Firewalls für Lexware Info Service konfigurieren

Sicherheit für Windows Vista Teil 2: Windows Tool zum Entfernen bösartiger Software

STRATO Mail Einrichtung Mozilla Thunderbird

Elexis-BlueEvidence-Connector

Serienbriefe schreiben mit Ratio - Adressen (Microsoft Word Versionen 8.0 und 9.0)

Webalizer HOWTO. Stand:

Electronic Systems GmbH & Co. KG

Whitepaper. Produkt: combit Relationship Manager 7. combit Relationship Manager -rückläufer Script. combit GmbH Untere Laube Konstanz

Enigmail Konfiguration

Erstellen eigener HTML Seiten auf ewon

Anleitung über den Umgang mit Schildern

WINLINK 2000 SPAM-KONTROLLE UND NACHRICHTEN PRIORITÄTEN Aktualisiert 27. März 2012

Tutorial -

Hyperlink-Erstellung in InDesign für

Lehrer: Einschreibemethoden

Würfelt man dabei je genau 10 - mal eine 1, 2, 3, 4, 5 und 6, so beträgt die Anzahl. der verschiedenen Reihenfolgen, in denen man dies tun kann, 60!.

Installation des COM Port Redirectors

Netzwerk einrichten unter Windows

Der Kundenmanager. Der Kundenmanager der Firma AED-SICAD ist ein Bestandteil des Web Order System (WOS) und unterscheidet zwischen folgenden Kunden:

Anbindung des eibport an das Internet

Windows Server 2012 RC2 konfigurieren

Stepperfocuser 2.0 mit Bootloader

UMSTELLUNG DER RÖNTGEN-SCHNITTSTELLE DÜRR-DBSWIN AUF DÜRR-VDDS

Installationsanleitung Sander und Doll Mobilaufmaß. Stand

Proofreading Was solltest Du beim Korrekturlesen beachten?

Wie kann ich in der Backstage-Ansicht eigene Dokumentationen einbinden?

Hilfedatei der Oden$-Börse Stand Juni 2014

Alarmbilder von Bildquellen per empfangen

Erstellen der Barcode-Etiketten:

Lokales Netzwerk Wie kann ich lokal installierte Drucker im Netzwerk für andere Nutzer freigeben? Frage:

Wireless Installationshandbuch

NEUES BEI BUSINESSLINE WINDOWS

Synchronisations- Assistent

Inhaltsverzeichnis Dokumentverwaltung Organisation von Dokumenten Ordner erstellen Dokumente im Dateisystem behandeln...

Ihr Benutzerhandbuch AVIRA ANTIVIR EXCHANGE

MdtTax Programm. Programm Dokumentation. Datenbank Schnittstelle. Das Hauptmenü. Die Bedienung des Programms geht über das Hauptmenü.

Installationsanleitung adsl Teleworker mit Ethernet unter Windows XP Installationsanleitung adsl Teleworker unter Windows XP

CMS.R. Bedienungsanleitung. Modul Cron. Copyright CMS.R Revision 1

Anbindung des Onyx Editors an das Lernmanagementsystem OLAT Anwendungsdokumentation

HANDBUCH PHOENIX II - DOKUMENTENVERWALTUNG

Folgende Einstellungen sind notwendig, damit die Kommunikation zwischen Server und Client funktioniert:

Installation DataExpert Paynet-Adapter (SIX)

Auto-Provisionierung tiptel 31x0 mit Yeastar MyPBX

Zertifikate Swiss Government SSL CA 01

HorstBox (DVA-G3342SD)

EMC SourceOne TM für Microsoft SharePoint 7.1 Archivsuche Kurzreferenz

Medea3 Print-Client (m3_print)

Parks > Authorization Manager. Versionshinweise

GEZIELT MEHR SICHERHEIT MIT 4I ACCESS SERVER & 4I CONNECT CLIENT

ecaros2 - Accountmanager

Informationen zur Verwendung von Visual Studio und cmake

Installation / Update für die P aketdatenbank 1.x (Version )

mobilepoi 0.91 Demo Version Anleitung Das Software Studio Christian Efinger Erstellt am 21. Oktober 2005

Einrichtung des DFÜ-Netzwerkes

Gezielt über Folien hinweg springen

Professionelle Seminare im Bereich MS-Office

Installation der Demoversion vom M-Doc AutoSigner

Terminabgleich mit Mobiltelefonen

Monatstreff für Menschen ab 50 Temporäre Dateien / Browserverlauf löschen / Cookies

I N S T A L L A T I O N S A N L E I T U N G

Snippets - das Erstellen von "Code- Fragmenten" - 1

Bedienungsanleitung: Onlineverifizierung von qualifiziert signierten PDF-Dateien

Datenexport aus JS - Software

Lineargleichungssysteme: Additions-/ Subtraktionsverfahren

Benutzerhandbuch - Elterliche Kontrolle

KIP Druckerstatus Benutzerhandbuch KIP Druckerstatus Installations- und Benutzerhandbuch

Handbuch. NAFI Online-Spezial. Kunden- / Datenverwaltung. 1. Auflage. (Stand: )

Anleitung für die Formularbearbeitung

Nutzung von GiS BasePac 8 im Netzwerk

FAQ Verwendung. 1. Wie kann ich eine Verbindung zu meinem virtuellen SeeZam-Tresor herstellen?

Einrichtung einer eduroam Verbindung unter dem Betriebssystem Android

Transkript:

IT-Sicherheit Praktikum IT-Sicherheit - Versuchshandbuch - Vorbereitung Intrusion Detection II Der Begriff Intrusion bezeichnet im Bereich der Informatik, das unerlaubte Eindringen eines Angreifers in einen Computer oder ein Netzwerk. Intrusion Detection Systeme sind Softwarelösungen, die eben ein solches Eindringen frühzeitig erkennen und den Administrator darüber informieren sollen. In diesem Dokument erfahren Sie, wie Sie sich inhaltlich vorbereiten müssen, um den Versuch erfolgreich durchführen und das Lernziel erreichen zu können. B.Sc. AI, WI M.Sc. AI M.Sc. EB

Einleitung In diesem Kapitel finden Sie Informationen zum Thema Intrusion Detection und eine Einführung in das Network Intrusion Detection System Snort. Intrusion Detection Der Begriff Intrusion bezeichnet im Bereich der Informatik, das unerlaubte Eindringen eines Angreifers in einen Computer oder ein Netzwerk. Intrusion Detection Systeme sind Softwarelösungen, die eben ein solches Eindringen frühzeitig erkennen und den Administrator darüber informieren sollen. Zur Erkennung von Angriffen auf die IT-Infrastruktur werden zwei Methoden unterschieden. Die Missbrauchserkennung, bei der Muster auch Signaturen genannt - bekannter Angriffe mit dem überwachten Paketstrom verglichen werden, hat sich seit Mitte der Neunziger Jahre für eine hohe Erkennungsrate bewährt. Die neuere Methode der Anomalieerkennung versucht Angriffe anhand von Nutzungsmodellen und Statistiken identifizieren zu können. Da beide Techniken ihre Stärken und Schwächen besitzen, kommt bei den heute eingesetzten Intrusion Detection Systemen (IDS) fast immer eine Kombination beider Methoden zum Einsatz. Snort Network Intrusion Detection System Das Network Intrusion Detection System (NIDS) Snort genießt im Opensource Bereich weite Verbreitung. Snort besitzt eine Detection Engine, die für den Vergleich von Signaturen zum Einsatz kommt. Ein modularer Aufbau erlaubt jedoch die Vorschaltung sogenannter Preprozessoren, die eine Normalisierung des Datenverkehrs, die Zusammensetzung fragmentierter Pakete (Reassembling) und Anomalieerkennung zulassen. Mit Hilfe von Snort sollen in der vorliegenden Versuchseinheit verschiedene Methoden der Anomalieerkennung und die damit zu erkennenden Angriffe demonstriert werden. Snort Konfiguration Die Konfigurationsdateien von Snort finden Sie in der virtuellen Maschine IDS im Verzeichnis /etc/snort. Die wichtigste Datei, die Sie an dieser Stelle vorfinden ist snort.conf, in der die Konfiguration des zu überwachenden Netzwerkes, der aktivierten Preprozessoren und der zu ladenden Regeldateien stattfindet. Die Konfigurationsdatei gliedert sich in 5 Bereiche, die jeweils in den Kommentaren der Datei näher beschrieben sind. Für die Arbeit im Zuge des Versuches sind die Bereiche 3 (Konfiguration der Preprozessoren) und 6 (Konfiguration der Regeln) von Relevanz. Sie können erkennen, dass die Regeln, die sich selbst in Dateien des Unterverzeichnisses rules befinden, mit Hilfe von include Statements eingebunden werden. Format einer Snort Regel Öffnen Sie eine der Regeldateien (z.b. /etc/snort/rules/local.rules) und machen Sie sich mit dem Format der Regeln vertraut. Jede Regel besteht aus einem Header und den in Klammern stehenden Optionen. Beispielhaft ist hier eine sehr einfache Regel zum erkennen des MyRomeo-Wurmes dargestellt, der sich per Email verbreitet. In der Betreffzeile einer Email kommen dabei verschiedene Phrasen (u.a. der Text I Love You ) zum Einsatz, die ein IDS erkennen kann. alert tcp any 110 -> any any (msg: Virus Possible MyRomeo Worm ; flow:established; content: I Love You ; nocase; classtype:misc-activity; sid:732; rev:6;) 2

Die Bedeutung der einzelnen Schlüsselworte sind in der nachfolgenden Tabelle beschrieben. Weitere Parameter, die in Regeln Verwendung finden, können Sie dem Snort Benutzerhandbuch entnehmen. Schlüsselwort alert Bedeutung Auszuführende Aktion, falls die Regel zutrifft tcp Protokoll der Verbindung (z.b. IP, ICMP, TCP, UDP,...) any IP Adresse der Quelle (in diesem Fall jede beliebige) 110 Portnummer der Quelle (in diesem Fall POP3) any any msg: flow: content: nocase classtype: pcre: distance: sid: rev: IP Adresse des Ziels (in diesem Fall jede beliebige) Portnummer des Ziels (in diesem Fall jede beliebige) Ein Titel für die Regel, der auch in der Logdatei auftaucht Optionen zum Datenfluss (in diesem Fall wird die Regel nur dann angewendet, wenn vorher ein Verbindungsaufbau durch einen 3-Wege-Handshake stattgefunden hat) Die eigentliche Signatur, nach der innerhalb der überprüften Daten gesucht wird Die Überprüfung des unter content genannten String findet unabhängig von Gorß- oder Kleinschreibung statt Eine Klasse zur Kategorisierung des Angriffs Erlaubt die Verwendung regulärer Ausdrücke innerhalb des Suchmusters Bezeichnet den relativen Abstand zweier Suchmuster voneinander Eine eindeutige ID der Regel Eine Revisionsnummer der Regel Format von Snort Alarmmeldungen Snort bietet eine Reihe verschiedener Ausgabeplugins für Alarmmeldungen. Die Aufgaben dieser Versuchseinheit beschränken sich jedoch auf das Standard-Ausgabeplugin, das Alarmmeldungen in einem Textformat, in der Datei /var/log/snort/alarms, speichert. Für jeden erkannten Angriff erzeugt Snort einen Informationsblock, der Auskunft über Art, Herkunft und Ziel des Angriffs bietet. Für einen Administrator ist es wichtig, diese Meldungen korrekt interpretieren zu können. Beispielhaft ist hier der Logeintrag des CodeRed II Wurmes dargestellt. [**] [1:1256:8] WEB-IIS CodeRed v2 root.exe access [**] [Classification: Web Application Attack] [Priority: 1] 07/24-09:24:26.614948 172.16.23.1:5448 -> 192.167.2.3:80 TCP TTL:64 TOS:0x0 ID:6459 IpLen:20 DgmLen:423 DF ***AP*** Seq: 0xC84DEC24 Ack: 0x5348DD9E Win: 0xB7 TcpLen: 32 TCP Options (3) => NOP NOP TS: 1832221 0 [Xref => http://www.cert.org/advisories/ca-2001-19.html] Die erste Zeile beginnt mit einer eindeutigen ID und enthält den Namen der Alarmmeldung. Sollte die Meldung durch einen Preprozessor erzeugt worden sein, so wird dieser ebenfalls genannt. In Zeile zwei folgt ein Hinweis auf Art und Priorität des Alarms. Zeile drei zeigt den exakten Zeitpunkt 3

des Alarmes, sowie die Quelle und das Ziel des erkannten Angriffs. In Zeile vier befinden sich Informationen des IP-Headers, während die Zeilen fünf und sechs Informationen des TCP-Headers enthalten. Die letzte Zeile enthält einen Verweis auf weitere Informationen. Schlüsselwort Im Beispiel Bedeutung Identifikation [1:1256:8] Eindeutige Kennung des Alarms. Titel WEB-IIS Code... Titel der Alarmmeldung. Klassifikation [Classification:...] Klassifikation des Alarms, um diesen in Kategorien einordnen zu können. Priorität [Priority: 1] Die Priorität des Alarms. Zeitstempel 07/24-09:24... Der exakte Zeitpunkt des Alarms. Quelle 172.16.23.1:5448 Quelladresse und -port des erkannten Angriffs. Ziel 192.167.2.3:80 Zieladresse und -port des erkannten Angriffs. IP-Header TCP TTL:64... Informationen des IP-Headers. (Hier: Typ des Transportprotokolls, Time-To-Live, Type-of-Service, Länge des IP-Headers, u.a.) TCP-Header ***AP*** Seq:... Informationen des Transportprotokolls. (Hier: TCP-Flags, Sequenz- und Acknowledgenummer, Größe des Sendefensters, Länge des TCP-Headers) TCP-Header TCP Options... Informationen über die Optionen des TCP-Headers. Xref [Xref =>... ] Ein Verweis zu weiteren Informationen über den Alarm. 4

Versuchsablauf In diesem Kapitel finden Sie Informationen und Hilfestellungen zu den Aufgaben, die es im Verlauf der Versuchseinheit zu bearbeiten gilt. Aufgabe 1 Missbrauchserkennung Die Missbrauchserkennung identifiziert Angriffe durch den Vergleich des überwachten Paketstroms mit Mustern, auch Signaturen genannt. Die Muster aller Angriffe, die durch diese Methode erkannt werden sollen, müssen in Regeln formuliert und durch das IDS geladen werden. Die Regeldateien von Snort finden Sie im Verzeichnis /etc/snort/rules. Zu Beginn der Übung sollen gezielt Regeln angesprochen und Alarmmeldungen generiert werden. Einige einfach strukturierte Snort-Regeln finden Sie in der Datei /etc/snort/rules/local.rules. Versuchen Sie diese mit dem Programm gspoof, das die Erstellung einzelner TCP-Pakete mit beliebigem Inhalt erlaubt, gezielt anzusprechen. In der Abbildung sehen Sie ein Beispiel, mit dem die erste der Regeln angesprochen werden kann. Aufgabe 2 Erkennen von Portscanning Bei Portscanning handelt es sich um eine Methode des Informationsgewinns, die ein Angreifer nutzen kann, um mögliche Ziele und deren Schwachstellen auszukundschaften. Um zu erkennen, 5

welche Endgeräte erreichbar sind, sendet ein Angreifer zunächst einen ICMP-Ping an jede Adresse des Zielnetzwerkes. Anschließend führt er an den gefundenen Endgeräten einen Portscan durch. Portscanning lässt sich durch Signaturen nicht beschreiben, da es sich in den meisten Fällen um gültige IP-Pakete handelt. Ein IDS kann jedoch mit Hilfe statistischer Methoden die Durchführung eines Portscans erkennen. Im Falle des Snort IDS ist für diese Erkennung der Preprozessor sfportscann zuständig, dessen Konfiguration Sie in Abschnitt 3 der Snort Konfigurationsdatei finden. Aufgabe 3 Erkennen eines Stick Angriffs In dieser Aufgabe soll ein Stick Angriff durchgeführt werden. Es handelt sich dabei um eine Attacke, die sich gegen das IDS selbst richtet. Ein Angreifer, dem die Regeln eines IDS bekannt sind, kann gezielt Pakete an dieses senden, die jeweils an diese Regeln angepasst sind. Dadurch ist es möglich, eine Flut von Alarmmeldungen zu erzeugen, in der ein tatsächlicher Angriff untergeht. Wichtig ist dabei, ein breites Spektrum von Regeln anzusprechen, um die Möglichkeit einer Filterung unbrauchbar zu machen. Damit ein Stick Angriff effektiv durchgeführt werden kann, müssen möglichst viele Pakete in geringer Zeit geschickt werden. Auf einen TCP-Verbindungsaufbau durch den Drei-Wege- Handshake wird daher meisst verzichtet. Dies bedeutet jedoch, dass es sich um eine Protokollanomalie handelt, da das Senden von TCP-Paketen ohne eine zuvor aufgebaute Verbindung nicht dem Standard entspricht. Solche Annomalien können durch Signaturen nicht beschrieben werden, jedoch ist es möglich den Status von Verbindungen zu verfolgen um die Anomalie zu erkennen. Im Falle des Snort IDS ist der Preprozessor stream5 für das Verfolgen des Verbindungsstatus zuständig, dessen Einstellungen Sie im Abschnitt 3 der Snort-Konfigurationsdatei finden. Das Kommandozeilenprogramm snot, das auf dem PC des Angreifers installiert ist, ermöglicht die Durchführung eines Stick Angriffs. Wenn Sie snot ohne Optionen starten, erhalten Sie eine kurze Hilfeausgabe. Eine mögliche Verwendung des Programms könnte so aussehen. angreifer: ~# snot -s <Quell-IP> -d <Ziel-IP> -r <Regeldatei> -n <Paketanzahl> Hinweis: Wenn Sie zu viele Pakete senden, kann es vorkommen, dass Snort abstürzt und neu gestartet werden muss. Sie sollten daher jeweils nur ca. 10000 Pakete auf einmal senden. Aufgabe 4 Encoding Anomalien Encoding Angriffe nutzen die Möglichkeit unterschiedlicher Zeichencodierungen, zum Einschleusen von Schadcode oder Umgehen von Sicherheitsmechanismen. Das 8-Bit Unicode Transformation Format (UTF-8), das zur Darstellung von Unicode Zeichen verwendet wird, lässt eine Codierung von Schriftzeichen in variabler Länge in der Praxis zwischen einem umd vier Byte zu. Dadurch ist es etwa möglich, das Backslash-Zeichen in der 1-Byte Darstellung (5C), der 2-Byte Darstellung (C19C) oder gar mit drei Byte (E0819C) zu codieren. Zur Vermeidung der ungewollten Mehrfachcodierung des gleichen Zeichens, enthält der Standard einen Zusatz, der besagt, dass nur die kürzest-mögliche Form der Codierung zulässig ist. Eine Schwachstelle im Microsoft Internet Information Services (IIS) 5.0 Webserver erlaubte jedoch auch die Verwendung überlanger UTF-8 Zeichen in URLs. Gleichzeitig führt der Webserver die Sicherheitsabfragen zum Erkennen von Directory Traversal, also dem Verlassen des Basisverzeichnisses, vor der Decodierung von UTF-8 Zeichen durch. Ein in UTF-8 codiertes Directory Traversal wurde somit nicht nochmals geprüft und konnte durchgeführt werden. In dieser Aufgabe soll der Zugriff auf den Windows Kommandozeileninterpreter cmd.exe durch die Ausnutzung dieser Schwachstelle demonstriert werden. Damit der Angriff durch ein IDS erkannt wird, benötigt dieses eine Unicode-Tabelle, mit deren Hilfe es in der Lage ist, ungültige Unicode- Zeichen zu erkennen und zu normalisieren. 6

2024 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback