Hacker-Contest WS16/17. Anmeldungsaufgabe

Ähnliche Dokumente
Das Netzwerk von Docker. Java Stammtisch Goettingen

Internet, Browser, , Firewall, Antivirus

Inhalt. 1. Admin Bereich Anmeldung Assessment Übersicht Zertifikat und Beraterfeedback-Dokument...

Netzwerk Teil 2 Linux-Kurs der Unix-AG

Internet Security 2009W Protokoll Firewall

TimeMachine. Installation und Konfiguration. Version 1.4. Stand Dokument: install.odt. Berger EDV Service Tulbeckstr.

ZPN Zentrale Projektgruppe Netze am Ministerium für Kultus, Jugend und Sport Baden-Württemberg

IP-COP The bad packets stop here

EasyWebNG - Screenshots

Praktikum IT-Sicherheit. Firewall

KVN-Portal. das Onlineportal der KVN. Dokumentation für Microsoft Windows. Version 5.1 vom Kassenärztliche Vereinigung Niedersachsen

u-link Systemanforderungen und Leistungsumfang V1.01, Dezember 2015

Systemvoraussetzungen Windows Server 2008 Windows Server 2008 R2 Windows Server 2012 Windows Server 2012 R2

Zugriff auf owncloud per HTTPS über das Internet

Moodle BelWü LDAPS Authentifizierung

Virtuelle Desktop Infrastruktur

IaaS Handbuch. Version 2

Collax Web Application

Firewall Implementierung unter Mac OS X

Einrichten der Mindbreeze InSpire Appliance Setzen einer statischen Netzwerkadresse von einem Microsoft Windows PC. Version 2017 Summer Release

wiko Bausoftware GmbH

2. Sie sind der Administrator Ihres Netzwerks, das den SBS 2011 Standard ausführt.

Aufgabenblatt 0. Informationssicherheit Wirtschaftsinformatik WS 2017/18. Lernziele. Vorbereitungen 0 Punkte. Vorbereitung

Konfiguration Agenda Anywhere

Network-Detektiv. Erstellt für: Test Erstellt von: Musketier Systemhaus AG

Grundlagen Firewall und NAT

1. Admin Bereich Assessment Übersicht Erstellen eines neuen Benutzers Assessment Bereich... 9

Dokumentation owncloud PH Wien

ProAccess SPACE 3.0. Für weitere Informationen wenden Sie sich bitte an Ihren SALTO Partner oder:

Systemvoraussetzungen Windows Server 2008 Windows Server 2008 R2

IT - Sicherheit und Firewalls

Rechnernetze Praktikum Versuch 2: MySQL und VPN

Benutzeranleitung HomeAgents Eingereicht von:

MySQL 101 Wie man einen MySQL-Server am besten absichert

Voraussetzungen für die Nutzung der Format Rechenzentrumslösung (Hosting)

Systemanforderungen & Installa3on

terra CLOUD Hosting Handbuch Stand: 02/2015

Schnelleinstieg Agenda Anywhere

RRZN-Dienste. Sicherheitstage SS 2007 RRZN Regionales Rechenzentrum für Niedersachsen

Firewalls mit Iptables

Drucker einrichten aus dem Alien-Netz. Dipl.-Math. Dustin Kumor 3. Juli 2013

Frank Nussbächer. IP-Tables. Was sind IP-Tables? Unterschied zwischen IP-Tables und IP-Chains

Systemvoraussetzungen für Windows Server 2008 R2 Windows Server 2012 Windows Server 2012 R2

TimeMachine. Time CGI. Version 1.5. Stand Dokument: time.odt. Berger EDV Service Tulbeckstr München

ZMI Benutzerhandbuch Sophos. Sophos Virenscanner Benutzerhandbuch

IPCOP OPENVPN TUTORIAL

Linux-Camp: Linux als Server am Beispiel LAMP

How-to: Webserver NAT. Securepoint Security System Version 2007nx

Installieren von GFI EventsManager

NETZWERKHANDBUCH. Druckprotokoll im Netzwerk speichern. Version 0 GER

Intelligence Gathering

Praktikum IT-Sicherheit SS Einführungsveranstaltung

Übungen zur Vorlesung Grundlagen der Rechnernetze Sommersemester 2011

VTX FTP-PRO. Übermittlung von Geschäftsdateien per FTP. Benutzerhandbuch. 1 FTP-PRO Bedienungsanleitung für Administatoren

Kurzanleitung für Windows-Computer - IPC-10 AC

KVN-Portal. das Onlineportal der KVN. Dokumentation für Microsoft Windows. Version 4.0 vom Kassenärztliche Vereinigung Niedersachsen

VPN-Zugang unter Windows

Zoo 5. Robert McNeel & Associates Seattle Barcelona Miami Seoul Taipei Tokyo

Firewall Einstellungen und weitere ggf. notwendige Grundeinstellungen für die Nutzung der Dienste der SIP-Tk-Anlage CentrexX bzw.

PPL 10 Installationsanleitung

Challenging the world to change. SUSE LINUX School Server, Peter Varkoly, Entwickler, <Ort>,

C A L D E R A G R A P H I C S

Firewalling. Michael Mayer IAV0608 Seite 1 von 6

Installation und Verbindung mit dem KIRUS.asp System

Handbuch Alpha11 Pager-Software

Kerberos: Prinzip und Umsetzung. Sascha Klopp

Agenda. Einleitung Produkte vom VMware VMware Player VMware Server VMware ESX VMware Infrastrukture. Virtuelle Netzwerke

Intrusion Detection Systeme. Definition (BSI) Alternative Definition IDS

iprint-drucker auf der Arbeitsstation installieren

GSM 100: Setup Guide

NAT und Firewalls. Jörn Stuphorn Universität Bielefeld Technische Fakultät

1. Nutzung einer kabelgebundenen Verbindung (LAN) 2. Nutzung einer kabellosen Verbindung (Wireless Lan oder W-LAN)

Security. Stefan Dahler. 6. Zone Defense. 6.1 Einleitung

Schwachstellenanalyse 2012

Erweiterte Konfiguration Agenda Anywhere

Übungsaufgabe. 1. Übungsaufgabe

Benutzerhandbuch GI CLOUD box

webpdf für VMware SoftVision Development GmbH Kurfürstenstraße Fulda, Deutschland Tel.: +49 (0) Fax: +49 (0)

VPN-Zugang unter Windows

terra CLOUD IaaS Handbuch Stand: 02/2015

ELIT2012: Security. Security: Potentielle Gefahren und Gegenmaßnahmen

Nutzung der VDI Umgebung

Security. Stefan Dahler. 4. Internet Verbindung. 4.1 Einleitung

Ablauf Installation Jahresupdate 2015 ReNoStar Version Internetdownload

Browser mit SSL und Java, welcher auf praktisch jedem Rechner ebenso wie auf vielen mobilen Geräten bereits vorhanden ist

Webtechnologien Teil 1: Entwicklungsumgebung(en)

OpenVPN mit CAcert. Graben eines VPN-Tunnels mittels freien Zertifikaten

Reale Angriffsszenarien Clientsysteme, Phishing & Co.

DROPBOX EINRICHTEN DER DROPBOX UNTER WINDOWS. November Fachdidaktik WG - bei Peter Sägesser. Um was gehts:

Apache. O'REILLY Beijing Cambridge Farnham Köln Paris Sebastopol Taipei Tokyo. Das umfassende Handbuch. Ben Laurie und Peter Laurie 2.

Quick Start Guide OwnCloud Demoumgebung

Installationsablauf ReNoStar Version für Internetdownload Actionpack März 2016

Ausfüllen von PDF-Formularen direkt im Webbrowser Installation und Konfiguration von Adobe Reader

STARFACE MS Outlook Connector 2.0

EiMSIG-Remote App für Android. Einrichtung & Bedienung

Tutorium Fortgeschrittene

Einkaufsportal von Gestamp Automoción Technische Anforderungen an den Lieferanten

Bibliographix installieren

Transkript:

Hacker-Contest WS16/17 Anmeldungsaufgabe Autor Almon, Ralf Version 1.0 Status Final Datum 07.10.2016

1 Allgemeines Für die Anmeldung zum Hacker-Contest gilt es dieses Semester eine Challenge aus dem Bereich Incident Reponse zu bestehen. Hilfreiche Programme zur Bearbeitung der Aufgabe sind Wireshark 1 und Volatility 2. 2 Aufgabe Die Aufgabe ist die Durchführung einer Analyse des gegebenen Netzwerk-Traffics und der gegebenen RAM- Inhalte. Die Lösung sollte die Fragen in Abschnitt 3 vollständig beantworten. Auch sollte eine Übersicht über die Tools, welche zur Lösung benutzt wurden, Teil der Abgabe sein. I. Szenario Ein Startup-Unternehmen hat gerade begonnen die ersten Schritte in Richtung eigener IT zu machen. Das Unternehmen besteht derzeit aus drei Personen: Walter(Geschäftsführer) Lennart(IT Admin) Kai (Mitarbeiter) Lennart hat angefangen die IT-Umgebung einzurichten. Als Plan zur Umsetzung hat er sich die folgende Struktur überlegt: 1 https://www.wireshark.org/ 2 http://www.volatilityfoundation.org/ Hacker-Contest WS16/17 Seite 2 von 6

Auf den Workstation kommt ein frisch installiertes Windows 7 (64bit) zum Einsatz. Der Webserver ist dafür da, um Dateien mit den Kollegen zu teilen. Auf ihm läuft unter anderem eine OwnCloud. Da der Webserver in einer DMZ steht hat der Admin keine Sorgen, dass Angreifer auf sein internes Netz zugreifen. Als Browser setzt der Admin in der Firma auf Firefox, weil der Internet Explorer mit einigen Features der OwnCloud nicht funktioniert. Da die Firma ganz am Anfang steht hat Lennart sich für den ClamWin- Virenscanner entschieden, da er so kostengünstig die Computer vor Viren und Trojanern schützen kann. Die Firewall läuft mit einer leichtgewichtigen Linux Distribution, auf der keine Dienste außer SSH laufen. Als guter Admin hat Lennart die Firewall bei der Einrichtung so konfiguriert, dass er sich nicht als root anmelden und nur per Zertifikat und Passwort als Benutzer anmelden kann. Die Firewall (iptables) erlaubt nur ausgehenden Traffic. Hacker-Contest WS16/17 Seite 3 von 6

Die Firewall ist wie folgt konfiguriert #Clear rules iptables --flush #Allow all packets from the internal network to the DMZ/Internet iptables -A FORWARD -o eth0 -i eth1 -s 10.0.0.1/24 -j ACCEPT #Allow the answers to reach the internal network iptables -A FORWARD -i eth0 -o eth1 -j ACCEPT #Masquerade the packets with NAT iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE II. Vorfallsbeschreibung Am 30.09.2016 bemerkt Walter eine verdächtige Datei C:\temp\l.txt auf seinem Computer. Diese hat folgenden Inhalt: 10.0.0.1 10.0.0.2 10.0.0.3 10.0.0.4 Walter informiert daraufhin Lennart, welcher einen Incident vermutet und sofort fachlichen Rat sucht. Da die Firma kein Ersatzequipment hat und ihre Computer nicht herunterfahren wollen, wurden lediglich RAM-Dumps der Maschinen gezogen. Glücklicherweise wurde auf der Firewall der komplette Traffic während des Incidents mitgeschnitten. Hacker-Contest WS16/17 Seite 4 von 6

III. Aufgabenstellung Bei der Beantwortung der folgenden Aufgaben sollte stets immer angegeben werden anhand welcher Informationen die Aussagen getroffen wurden. Vor allem Auszüge aus entsprechenden Tools und deren Interpretation sind wünschenswert. Auszüge aus Tools ohne Erklärung reichen nicht(!) aus. 1. Wie bewerten Sie die Planung des Netzwerkes 2. Wie bewerten Sie die Konfiguration der Firewall 3. Gibt es Anhaltspunkte, ob die Datei l.txt legitim oder bösartig ist a. Welchem Zweck dient die l.txt vermutlich b. Wie wurde die l.txt erstellt 4. Finden sich Anhaltspunkte die für eine Kompromittierung des Systems von Walter sprechen 5. Gibt es Hinweise, dass auch andere Systeme möglicherweise kompromittiert wurden 6. Gibt es eine Möglichkeit die Quelle einer möglichen Infektion zu identifizieren a. Gibt es eine Person, welche die Infektion begünstigt hat b. Wie hätte man die Infektion verhindern können 7. Welche verdächtigen Dateien können Sie ausmachen 8. Welche Dateien würden Sie versuchen auf den Dateisystemen suchen 9. Geben Sie alle verdächtigen Flows aus dem Netzwerktraffic an, die sie entdecken können. a. Welche Hosts, Protokolle und (wenn vorhanden) Ports sind verdächtig Bonus: 1. Geben Sie die den md5 der ersten sichtbaren verdächtigen Datei an. 2. Rekonstruieren Sie zeitlichen den Angriff a. Was passierte zuerst b. Wie waren die nächsten Schritte 3. Hätte eine andere Firewall-Einstellung den Angriff verhindern können 4. Welche Tools hat der Angreifer verwendet Hacker-Contest WS16/17 Seite 5 von 6

IV. Bearbeitungszeitraum Der Bearbeitungszeitraum beginnt mit der Veröffentlichung der Aufgabe. Er endet am 16.Oktober um 23:59 Uhr. Alle Abgaben die nach dieser Frist erfolgen, können leider nicht berücksichtigt werden. V. Abgabemodalitäten Die Abgabe erfolgt per E-Mail. Gruppenarbeit oder Gruppenabgaben sind nicht gestattet. Als Abgabe wird ein Bericht mit allen Informationen im PDF-Format erwartet. Es werden keine Informationen aus der E-Mail selbst berücksichtigt. Insbesondere der Name, die Matrikelnummer und die E-Mail Adresse sollte sichtbar im PDF-Dokument vermerkt sein. Den Bericht bitte an hackercontest@usd.de senden. Bei Fragen bzgl. der Aufgabenstellung bitte eine E-Mail an: hackercontest@usd.de. Hacker-Contest WS16/17 Seite 6 von 6

2024 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback