Modul 4 Schwachstellen und Angriffe im Internet M. Leischner Sicherheit in Netzen Folie 1 4.1 Methodik M. Leischner Sicherheit in Netzen Folie 2
Netzwerksicherheit: Orientierung am OSI- bzw. Internetschichtenmodell OSI application presentation session Protokoll- Vielfalt Internet application.... DNS rlogin snmp smtp ftp transport transport TCP UDP network internet ICMP IP ARP RARP data link physical network LAN SLIPPPP Zuordnung von Angriffen zu Schichten Zuordnung von Gegenmaßnahmen zu Schichten M. Leischner Sicherheit in Netzen Folie 3 Sicherheit im Internet-Protokollstack Ebenen der Sicherheit App App sichere Applikationen, z.b. ecash, PGP. ("ich vertraue der Applikation") Security-Mgmt TLS TCP IP IPSEC Schicht 1/2 TLS TCP IP IPSEC Schicht 1/2 Security-Mgmt sichere Ende-zu-Ende- Verbindung ("ich vertraue dem sicheren Transport bis hin zu meiner Anwendung") sichere IP-Verbindung ("ich vertraue der Übermittlung über das Internet") M. Leischner Sicherheit in Netzen Folie 4
Wiederholung: Angriffstypisierung nach Abweichung vom Datenfluss Normaler Fluss Informationsquelle Informationsziel Unterbrechung Abfangen Modifikation Fälschung M. Leischner Sicherheit in Netzen Folie 5 Übersicht: Angriffe und Sicherheitslücke Unterbrechung Abfangen Modifikation Fälschung Anwendung (5/6/7) Transport (4) SYN-Flooding Sequence Number Guessing IP (3) Ping of Death IP-Spoofing Smurf (Ping-Flooding) Datenübertragung (1/2) Ethernet- Sniffing ARP-Spoofing Medium (0) M. Leischner Sicherheit in Netzen Folie 6
4.2 Ethernetsniffing M. Leischner Sicherheit in Netzen Folie 7 Ethernet-Sniffing Alle Station erhalten alle Paket von WS 03 Ethernetkarte filtert Pakete Filter der Ethernetkarte kann abgeschaltet werden "promiscuous mode" Sniffing im Switched Ethernet erschwert Ethernet mit Hub (Multiport-Repeater) WS 1 WS 4 Hub WS 2 WS 5 WS 3 Abwehr: Schutz des Mediums Ethernetkarte ohne "promiscuous mode" Segmentierung der Netze durch Switch/Router Verschlüsselung WS 1 WS 2 WS 3 Ethernet mit Switch Switch WS 4 WS 5 M. Leischner Sicherheit in Netzen Folie 8
Übung: Sniffing Gegeben folgendes Netz: D E F I A B C Switch G H Router Internet Szenarien: B greift an. Welche Paket kann er sniffen? G greift an. Welche Paket kann er sniffen? Wie wirken sich Repeater, Brücken, Switches, Router, Firewalls auf den Angriff aus? Funktioniert Angriff auch von außerhalb des Firmennetzes? M. Leischner Sicherheit in Netzen Folie 9 Weitere Sniffing-Attacken auf Datenübertragungsebene WLAN Richtfunkstrecken Satellitenverbindung Sniffing oft Ansatzpunkt für weitere Attacken Passwortdiebstahl Fälschen der Absenderadresse (Spoofing) Replay-Angriffe M. Leischner Sicherheit in Netzen Folie 10
4.3 Arp-Spoofing M. Leischner Sicherheit in Netzen Folie 11 Wiederholung: ARP-Protokoll REQUEST: Rechner mit MAC-Adr-A und IP-Adr-A an alle: Gesucht MAC? von Rechner mit IP-Adr-B A B IP-Adr-A MAC-Adr-A RESPONSE: An Rechner mit MAC-Adr-A: Habe MAC-Adr-B und IP-Adr-B A IP-Adr-B MAC-Adr-A B IP-Adr-A MAC-Adr-A M. Leischner Sicherheit in Netzen Folie 12
ARP-Poisoning REQUEST: Rechner mit MAC-Adr-C und IP-Adr-A an alle: Gesucht MAC? von Rechner mit IP-Adr-B A C B IP-Adr-A MAC-Adr-C RESPONSE: An Rechner mit MAC-Adr-C: Habe MAC-Adr-B und IP-Adr-B A C B IP-Adr-B MAC-Adr-B IP-Adr-A MAC-Adr-C M. Leischner Sicherheit in Netzen Folie 13 Prinzip ARP-Spoofing ARP-Cache der angegriffenen Rechner werden mit ARP-Responses präpariert. Pakete, laufen nun über Angreifer und können dort gesnifft / manipuliert werden. ARP-Poisoning A C B IP-Adr-B MAC-Adr-C IP-Adr-A MAC-Adr-A IP-Adr-A MAC-Adr-A IP-Adr-A MAC-Adr-C M. Leischner Sicherheit in Netzen Folie 14
Hacker-Übung 4: ARP-Spoofing D E F I A B C Switch G H Router Internet Fragen: Wie kann Angreifer D den Verkehr von A erfassen? Wie kann Angreifer D den Verkehr in das Internet erfassen Wie wirken sich Repeater, Brücken, Switches, Router, Firewalls auf den Angriff aus? Funktioniert Angriff auch von außerhalb des Firmennetzes? M. Leischner Sicherheit in Netzen Folie 15 Maßnahmen gegen ARP-Spoofing Erkennung des ARP-Spoofing: Jeder Host überprüft bei jedem ARP reply, ob die IP-Zieladresse die eigene ist. Jeder Host sendet einen ARP request mit seiner eigenen IP-Adresse aus. periodische Abfrage der ARP Caches aller Maschinen durch ein Network Management System Verhinderung des ARP-Spoofing: statische Einträge in den ARP Cache Benutzung eines dedizierten ARP-Servers Einrichtung von Subnetzen Einsatz von ARP-Watch: Monitoring der Änderungen der Zuordnung von Ethernetadressen und IP-Adressen Erstmaliges Erscheinen einer neuen Ethernetadresse Wechseln der Zuordnung von der üblichen auf eine neue Zuordnung Alarmiert Systemadministrator bei Auffälligkeiten per E-Mail M. Leischner Sicherheit in Netzen Folie 16
4.4 Ping-Flooding und Smurf-Attacken M. Leischner Sicherheit in Netzen Folie 17 Ping-Flooding und Smurf-Attacken Grundidee: Überfluten des Rechners mit Pings (ICMP-Echo-Requests). Typ: DOS durchgeführt auf OSI-Schicht 3 "Optimierung" durch Kombination mit Spoofing: Ping auf Broadcast-Adresse Absender-Adresse wird durch Opferadresse ersetzt ICMP-Sturm (=Smurf-Attacke) Gegenmaßnahme: Filtern von ICMP-Echo-Requests an Netzwerk- und Broadcast-Adresse M. Leischner Sicherheit in Netzen Folie 18
Ping-Flooding in der "Literatur".C.23. PING FLOODING -------------------- I haven't tested how big the impact of a ping flooding attack is, but it might be quite big. Under Unix we could try something like: ping -s host to send 64 bytes packets. If you have Windows 95, click the start button, select RUN, then type in: PING -T -L 256 xxx.xxx.xxx.xx. Start about 15 sessions..c.24. CRASHING SYSTEMS WITH PING FROM WINDOWS 95 MACHINES ---------------------------------------------------------- M. Leischner Sicherheit in Netzen Folie 19 4.5 Ping of Death M. Leischner Sicherheit in Netzen Folie 20
Ping of Death NT Versions Affected: -------------------------------------------------------------------------------- 3.51, 4.0 Problem: Large packet pings (PING -l 65527 -s 1 hostname) otherwise known as 'Ping of Death' can cause a blue screen of death on 3.51 systems: STOP: 0X0000001E KMODE_EXCEPTION_NOT_HANDLED - TCPIP.SYS -OR- STOP: 0x0000000A IRQL_NOT_LESS_OR_EQUAL - TCPIP.SYS NT 4.0 is vunerable sending large packets, but does not crash on receiving large packets. M. Leischner Sicherheit in Netzen Folie 21 4.6 SYN-Flooding M. Leischner Sicherheit in Netzen Folie 22
TCP-Verbindungsaufbau (Normalfall, vereinfacht) Client Server ISN=1763 WinSize=512 Verbindungsaufbau SYN FIN ACK seq#=1763 ack#= Win=512 SYN FIN ACK seq#=73 ack#=1764 Win=1536 SYN FIN ACK seq#= ack#=74 Win=512 keine Daten keine Daten keine Daten ISN=73 WinSize=1536 Verbindungsphase SYN FIN ACK seq#=1764 ack#=74 Win=512 10 Byte Daten SYN FIN ACK seq#=74 ack#=1774 Win=1536 3 Byte Daten Initial Sequence Number: Sicherstellen, dass keine Sequenznummer innerhalb der maximalen Paketlebensdauer zweimal vergeben wird wird aus dem Timer abgeleitet Nachfolgende ISN kann erraten werden ISN kann (und sollte) zufällig gewählt sein Einkodierung von Informationen möglich M. Leischner Sicherheit in Netzen Folie 23 SYN-Flooding Attacke 1. Multiple TCP connection requests (SYN) are sent to the target computer with an unreachable source IP address. 2. On receiving the connection request, the target computer allocates resources to handle and track the new connection, then responds with a "SYN-ACK" to the unreachable address. 3. A default-configured Windows NT 3.5x or 4.0 computer will retransmit the SYN-ACK 5 times, at 3, 6, 12, 24, and 48 seconds. After the last retransmission, 96 seconds are allowed to pass before the computer gives up on receiving a response, and deallocates the resources that were set aside earlier for the connection. The total elapsed time that resources are in use is 189 seconds. Quellen: the_invincible@gmx.de: Kid2elite.de.vu - Hacking, Cracking, Exploits und mehr Mikrosoft: Internet Server Unavailable Because of Malicious SYN Attacks, http://support.microsoft.com/default.aspx?scid=142641 M. Leischner Sicherheit in Netzen Folie 24
SYN-Flooding Attacke Problem: Begrenzter Pufferbereich für (halboffene) Verbindungen. Gegenmaßnahme: SYN-Cookies (http://cr.yp.to/syncookies.html ) Server speichert keinerlei Informationen über ein SYN-Paket Server sendet diese Info versteckt in der Server-Initial-Sequence-Number als Crypto-Cookie an den Client Nimmt der Client die Verbindung an, kann der Server anhand der im Crypto- Cookie enthaltenen Informationen feststellen, dass er mit dem Client bereits gesprochen hat und die Verbindung herstellen. M. Leischner Sicherheit in Netzen Folie 25 Erkennen von SYN-Flooding Attacken netstat -n -p tcp Prot Local Address Foreign Address State TCP 127.0.0.1:1030 127.0.0.1:1032 ESTABLISHED TCP 127.0.0.1:1032 127.0.0.1:1030 ESTABLISHED TCP 10.57.8.190:21 10.57.14.154:1256 SYN_RECEIVED TCP 10.57.8.190:21 10.57.14.154:1257 SYN_RECEIVED TCP 10.57.8.190:21 10.57.14.154:1258 SYN_RECEIVED TCP 10.57.8.190:21 10.57.14.154:1259 SYN_RECEIVED TCP 10.57.8.190:21 10.57.14.154:1260 SYN_RECEIVED TCP 10.57.8.190:2 10.57.14.154:1261 SYN_RECEIVED TCP 10.57.8.190:21 10.57.14.154:1262 SYN_RECEIVED TCP 10.57.8.190:21 10.57.14.154:1263 SYN_RECEIVED TCP 10.57.8.190:21 10.57.14.154:1264 SYN_RECEIVED TCP 10.57.8.190:21 10.57.14.154:1265 SYN_RECEIVED TCP 10.57.8.190:21 10.57.14.154:1266 SYN_RECEIVED TCP 10.57.8.190:4801 10.57.14.221:139 TIME_WAIT CLOSED starting point appl:passive open send: nothing LISTEN appl:active open send: SYN recv:syn, send:syn,ack recv: appl:close simultaneous open RST recv:syn SYN_RCVD SYN_SENT or timeout send:syn, ACK recv:syn,a recv:ack CK send:nothin ESTABLISHED send:ackclose_wait g Recv:FIN appl:close Data transfer state send:ack send:fin FIN_WAIT1 recv:fin CLOSING simultaneous close send:ack recv:ack recv:fin, ACK recv:ack send:nothing send:ack send:nothing FIN_WAIT2 recv:fin TIME_WAIT send:ack active close appl:close send:fin LAST_ACK recv:ack send:nothing passive close Client Server M. Leischner Sicherheit in Netzen Folie 26
4.7 TCP-Sequence- Number-Guessing M. Leischner Sicherheit in Netzen Folie 27 TCP-Sequence-Number-Guessing - Attacke Angreifer x.x.x.x (1) x.x.x.x, SYN, ISN-x (2) a.a.a.a, SYN, ISN-a (3) b.b.b.b, SYN, ISN-x (5) b.b.b.b, ACK, ISN-a* Server a.a.a.a (4) a.a.a.a, SYN, ISN-a* (6) SYN-Flooding erraten! User b.b.b.b Mögliches Angriffsziel: Ausnutzung schwacher Authentifizierung über IP-Adresse bei verschiedenen Diensten (z.b. rlogin) Firma M. Leischner Sicherheit in Netzen Folie 28