Tagesordnung Security

Ähnliche Dokumente
Neues aus dem DFN-CERT. 49. DFN-Betriebstagung - Forum Sicherheit 21. Oktober 2008 Andreas Bunten, DFN-CERT

Neues aus dem DFN-CERT. 48. DFN-Betriebstagung - Forum Sicherheit 26. Februar 2008 Andreas Bunten, DFN-CERT

46. DFN-Betriebstagung - Forum Sicherheit

Neues aus dem DFN-CERT. 45. DFN-Betriebstagung - Forum Sicherheit 17. Oktober 2006

Automatische Warnmeldungen. 17. Oktober 2006

Neues aus dem DFN-CERT. 56. DFN-Betriebstagung - Forum Sicherheit 13. März 2012 Tilmann Haak

(Distributed) Denial of Service

Neues aus dem DFN-CERT. 54. DFN-Betriebstagung - Forum Sicherheit 15. März 2011 Tilmann Haak, DFN-CERT

Dr. Bruteforce Oder wie ich lernte SSH-Angriffe zu lieben

Neuer Dienst im DFN-CERT Portal. 52. DFN-Betriebstagung Berlin 2. März 2010 Tilmann Haak

Neuer Dienst im DFN-CERT Portal. 6. Oktober 2009

Erweiterungen im DFN-CERT Portal. 51. DFN-Betriebstagung Berlin 6. Oktober 2009 Tilmann Haak

A new Attack Composition for Network Security

Neues aus dem DFN-CERT

Einfallstore in Webanwendungen und deren Folgen

Neues aus dem DFN-CERT. 64. DFN-Betriebstagung - Forum Sicherheit 02. März 2016 Christine Kahl

Sicherheit im Internet Typische Angriffsszenarien

Sicherheitslabor Einführung

Botnetz DoS & DDoS. Botnetze und DDoS. Ioannis Chalkias, Thomas Emeder, Adem Pokvic

Hacker-Contest WS16/17. Anmeldungsaufgabe

Die Herausforderungen in der Logfileanalyse zur Angriffserkennung

Sichere Programmierung. Klaus Kusche

IT - Sicherheit und Firewalls

Neues aus dem DFN-CERT. 66. DFN-Betriebstagung - Forum Sicherheit 21. März 2017 Christine Kahl

IT Sicherheit: Lassen Sie sich nicht verunsichern

ELIT2012: Security. Security: Potentielle Gefahren und Gegenmaßnahmen

Neues aus dem DFN-CERT. 47. DFN-Betriebstagung - Forum Sicherheit 16. Oktober 2007 Andreas Bunten, DFN-CERT

Live Hacking: : So brechen Hacker in Ihre Netze ein

eco Cybersicherheit ein Bild zur Lage der Nation und zu Windows 10

Seminarvortrag. Anton Ebertzeder von

Remote Tools. SFTP Port X11. Proxy SSH SCP.

FreeIPA. Eine Einführung. Robert M. Albrecht. Presented by. Fedora Ambassador CC-BY-SA. Freitag, 20. Juli 12

Neues von der DFN-PKI. Jürgen Brauckmann DFN-CERT Services GmbH 45. DFN Betriebstagung Berlin,

DDoS - Paketschießstand

Network-Attached Storage mit FreeNAS

Das neue DFN-CERT Portal

Neues aus dem DFN-CERT. 65. DFN-Betriebstagung - Forum Sicherheit 28. September 2016 Christine Kahl

Wie man SSH-Angreifern mit Linux Honeypots nachstellt

IT-Sicherheit BS 2008/09 IAIK 1

Computer Praktikum COPR Netzwerk. DI (FH) Levent Öztürk

Konfiguration Zentyal 3.3 Inhaltsverzeichnis

Zur Sicherheitslage 28. November 2005 Sicherheitstage WS 2005/2006

Free IPA (Identity Policy - Audit)

Ein kurzer Überblick über das Deutsche Honeynet Projekt

Daniel Schalberger, SySS GmbH 1. Typische Schwachstellen im Online-Handel, Prävention. Dipl. Inform. Daniel Schalberger, Syss GmbH

Lücke in der JavaScript-Engine von ios [ ]

Intrusion Detection Systeme. Definition (BSI) Alternative Definition IDS

Installationsanleitung für die netzbasierte Variante Ab Version 3.6. KnoWau, Allgemeine Bedienhinweise Seite 1

Cyber Telekom Thomas Tschersich, SVP Group Cyber- and Datasecurity

Remote Tools SFTP. Port X11. Proxy SSH SCP.

Vorbereitung für LPI 102. Vorbereitung für LPI 102

Secure Linux Praxis. ein How-To Vortrag am Christoph Weinandt Systemadministrator / Security Officer ComBOTS AG, Karlsruhe

Neues aus der DFN-PKI. Jürgen Brauckmann

Internet of Things: Müssen wir das Internet davor schützen?

Web Space Anbieter im Internet:

Sicherheit von Webapplikationen Sichere Web-Anwendungen

[DNS & DNS SECURITY] 1. DNS & DNS Security

NoAH Übersicht über das Honeypot-Projekt

Datenbanken und Netzanbindung

Anlegen von Entwicklungsumgebungen per Vagrant & Chef

Initiative-S Der Webseiten-Check zur Sicherheit Ihres Internetauftritts

TimeMachine. Installation und Konfiguration. Version 1.4. Stand Dokument: install.odt. Berger EDV Service Tulbeckstr.

Motivation LoginIDS Pilotbetrieb am LRZ Zusammenfassung. LoginIDS. Michael Grabatin

Botnetze und DDOS Attacken

Neues aus dem DFN-CERT. 63. DFN-Betriebstagung - Forum Sicherheit 27. Oktober 2015 Christine Kahl

DIMVA 2004 Session 5: Honeypots. Ermittlung von Verwundbarkeiten mit elektronischen Ködern

IT-Forensik und Incident Response

Zusätzlich Tipps und Informationen

Datenschutztag. Eine Präsentation von Mateusz Gwara, Philipp Leder, Paul Panser und Patrick Wilke

Neues aus der DFN-PKI. Jürgen Brauckmann

Debian GNU/Linux. Debian Installation. Christian T. Steigies

Thomas Bechtold Peer Heinlein. Snort, Acid 8t Co. Einbruchserkennung mit Linux

Cyber defense. ZKI Frühjahrstagung Frankfurt (Oder), 8. März 2016 Dr. Bernd Eßer

Security-Webinar. Februar Dr. Christopher Kunz, filoo GmbH

Scan Engine - Nutzung der Inventory Skripte

Begrüßung & zur Sicherheitslage

Internet: Was ist das? - Routing

Honeypots und Honeywall in der Praxis DFN-CERT Workshop,

HERSTELLERUNABHÄNGIGE FIREWALL AUTOMATISIERUNG

Sichere Software. Vermeidung von Angriffspunkten bei der Software-Entwicklung. Andreas Vombach

Veeam Agent for Microsoft Windows einrichten

Das neue DFN-CERT Portal. Tilmann Holst 50. DFN-Betriebstagung 3. März 2009

9 Systemsicherheit. Generelle Überlegungen lokale Sicherheit Netzwerksicherheit.

Benutzer und Rechte Teil 1, Paketverwaltung

Informationssammlung NETWORKING ACADEMY DAY 2017 REGENSTAUF

Anleitung: Verbindung mit der Datenbank

110.2 Einen Rechner absichern

Den Websurfer absichern

eco Verband der deutschen Internetwirtschaft e.v. Arbeitskreis Sicherheit

Fun with PHP & Web. Jens Hektor. IT Center der RWTH Aachen University. 67. DFN Betriebstagung, IT Center der RWTH Aachen University

Security-Webinar. September Dr. Christopher Kunz, filoo GmbH

HP SIM (Version 5.1)

WordPress lokal mit Xaamp installieren

Definitionen Schwachstellen und Bedrohungen von IT-Systemen Sicherheitsmanagement Katastrophenmanagement Trends und Entwicklungen bei IT-Bedrohungen

Mobile Web-Technologien. Interaktionen und

Secure Authentication for System & Network Administration

Transkript:

14.30 Uhr - 16.30 Uhr Neues aus dem DFN-CERT (Andreas Bunten, DFN-CERT) Tagesordnung Security 43. BT- Dienstag, 18. Oktober 2005 Der neue DFN-PKI Dienst, mit Vorführung der DFN Test-PKI (Mitarbeiter der DFN-PCA und Marcus Pattloch, DFN-Verein) Honeypots im praktischen Einsatz (Stefan Kelm, Secorvo) Weitere aktuelle Themen und Diskussion

Neues aus dem DFN-CERT Oktober 2005 Arbeitskreis Security auf der 43. DFN Betriebstagung Andreas Bunten, 18. Oktober 2005

Agenda Aktuelle Angriffe Speziell: SSH Bruteforce Angriffe Praxisbeispiel: Bot-Netze aus Sicht des Administrators 43. DFN Betriebstagung, 18. Oktober 2005 2005 DFN-CERT Services GmbH Folie 2

Neues aus dem DFN-CERT Aktuelle Angriffe

Aktuelle Angriffe Aktuelle Wege für die Angreifer auf unsere Systeme: Windows Arbeitsplatz Systeme: Verschiedene neue Windows Viren bzw. Varianten: Sober, Troj, Zotob, Nopir,... Webserver (oft UNIX / Linux, aber nicht nur): Schwachstellen in PHP-Skripten bzw. Bibliotheken Server / Workstations unter UNIX / Linux: SSH Bruteforce Passwort-Rate-Angriffe 43. DFN Betriebstagung, 18. Oktober 2005 2005 DFN-CERT Services GmbH Folie 4

Aktuelle Angriffe SSH Bruteforce: Scans nach aktiven SSH-Servern (auf Std. Port) Auf gefundene Server wird Lise mit Passwörtern und Namen von Benutzern angewandt Verschiedene Tools, die wenige User mit 10 bis ~50 Passwörtern bei jedem SSH-Server ausprobieren: sshd[5458]: Connection from **.**.160.2 port 46616 sshd[5458]: Illegal user webadmin from **.**.160.2 sshd[5458]: error: Could not get shadow information for NOUSER sshd[5458]: Failed password for illegal user webadmin from **.**.160.2 port 46616 ssh2 Manche Admins schicken uns Daten aus Logfiles: Das scannende System ist praktisch immer kompromittiert Für einen erfolgreichen Angriff muss sehr schlechtes Passwort genommen worden sein (z.b. 'root:root' oder 'admin:test123') 43. DFN Betriebstagung, 18. Oktober 2005 2005 DFN-CERT Services GmbH Folie 5

SSH Bruteforce Accounts / Passwörter - Beispiel 1: snobody patrick qwerty compas sniper 12345678 123456789 1234567890 rolo66 iceuser horde cyrus www wwwrun matt teste test2 test23 test123 www-data mysql operator adm apache irc test 123 switch c43vr013t 1gcec19v8yz153072 jane pamela shadow eegch11 qwerty r00t abcd1234 ctxmonitor %username% %null% 000000 00000000 111111 1234qwer 1p2o3i @#$%^& apache apollo passwor passion passwd redhat people qwaszx qwert tester zxcvbnm zxcvb zorro e4k1mo0$ f4r6k2g7t9q3 w5n8o7t9i6x3 o6v9z3d8y7m9 k1u7r1t2r1t8 w5u6s9v7k5t4 linux stones yellow cooling b604092 bash cmcnew kh9dzv toor actros pharma spyder test bk123qwe Lex1c0n3 bk123qwe 1q2w3e webmaster data user01 user1 user02 web webmaster oracle sybase master account backup server adam alan frank george henry john love loveyou hate iloveyou present test Beispiel 2: test guest admins admin user password root 123456 123456 43. DFN Betriebstagung, 18. Oktober 2005 2005 DFN-CERT Services GmbH Folie 6

SSH Bruteforce Was machen die Angreifer auf dem System? Die Angreifer nutzen Informationen in ~/.ssh/known_hosts und in /etc/passwd für weitere Angriffe Durch lokale Sicherheitslücken können Rechte von root erlangt werden passiert oft aber nicht Wenn Rechte von root erlangt werden: Sniffing bzgl. Passwörtern im lokalen Netz Abhören des SSH Daemon bzgl. anderer Accounts Das System wird oft für ein Bot-Netz, Warez-Server, ddos, SPAM und anderes verwendet Natürlich werden auch weitere Systeme angegriffen... 43. DFN Betriebstagung, 18. Oktober 2005 2005 DFN-CERT Services GmbH Folie 7

SSH Bruteforce Wie kann man sich schützen? Für ausreichenden Schutz müssen die Passwörter nicht gut sein - sie dürfen nur nicht trivial zu erraten sein Wirksamer Schutz ist trotzdem schwierig, da dem Angreifer ein einziger Account ausreicht Maßnahmen: Erreichbarkeit der SSH-Server einschränken Einer Person nur Login von außen erlauben, wenn Passwort einen (einfachen!) Test bestanden hat Limitierung der Verbindungsaufbauten pro Minute von außen zu SSH-Server pro IP an der Firewall Verwendung von Hashes in ~/.ssh/known_hosts (OpenSSH) Vorbereitung auf den Notfall, um schnell reagieren zu können 43. DFN Betriebstagung, 18. Oktober 2005 2005 DFN-CERT Services GmbH Folie 8

Neues aus dem DFN-CERT Praxisbeispiel: Bot-Netze aus Sicht des Administrators

Heise News am 10. Okt. 2005 43. DFN Betriebstagung, 18. Oktober 2005 2005 DFN-CERT Services GmbH Folie 10

Definition: Bot-Netz Ein Bot-Netz ist eine Menge von kompromittierten Systemen, die sich unter der gemeinsamen Kontrolle eines Angreifers befindet. Details: Die Systeme sind i.d.r. Büro-PCs oder Heim-Rechner Die Kompromittierung kann stattfinden über Viren, Trojaner, manipulierte Webseiten,... Dem Angreifer bietet das Bot-Netz viele Möglichkeiten: Denial of Service Angriffe Verschicken unerwünschter Werbemail (SPAM) Datendiebstahl (z.b. Registrierungsdaten, Online-Banking) Hosting / Vertrieb illegaler Inhalte 43. DFN Betriebstagung, 18. Oktober 2005 2005 DFN-CERT Services GmbH Folie 11

Ein Bot-Netz in Aktion (I) Angreifer 43. DFN Betriebstagung, 18. Oktober 2005 2005 DFN-CERT Services GmbH Folie 12

Ein Bot-Netz in Aktion (II) Angreifer Kompromittierte Systeme 43. DFN Betriebstagung, 18. Oktober 2005 2005 DFN-CERT Services GmbH Folie 13

Ein Bot-Netz in Aktion (III) IRC-Server Angreifer Kompromittierte Systeme 43. DFN Betriebstagung, 18. Oktober 2005 2005 DFN-CERT Services GmbH Folie 14

Ein Bot-Netz in Aktion (III) IRC-Server Angreifer IRC-Relay Kompromittierte Systeme 43. DFN Betriebstagung, 18. Oktober 2005 2005 DFN-CERT Services GmbH Folie 15

Ein Bot-Netz in Aktion (IV) IRC-Server Angreifer IRC-Relay Kompromittierte Systeme 43. DFN Betriebstagung, 18. Oktober 2005 2005 DFN-CERT Services GmbH Folie 16

Ein Bot-Netz in Aktion (V) IRC-Server Command & Control Angreifer Botnet-Hirte Bot Herder IRC-Relay Bouncer Kompromittierte Systeme Drones Zombies Bots 43. DFN Betriebstagung, 18. Oktober 2005 2005 DFN-CERT Services GmbH Folie 17

Bot-Netze Statistik: Im besagtem Bot-Netz aus der Heise-Meldung befanden sich tatsächlich >190.000 Systeme unter Kontrolle der Angreifer Maximale beobachtete Größe >300.000 Systeme (2005) Durchschnittliche Größe viel kleiner, weil handlicher Bot-Netze werden dann eher über C&C-Server gekoppelt Aktuelle Schätzungen: Es befinden sich 1 bis 6 Mio. Hosts unter Kontrolle von Angreifern als Mitglied von Bot-Netzen 43. DFN Betriebstagung, 18. Oktober 2005 2005 DFN-CERT Services GmbH Folie 18

Bot-Netze Wo kommen wir in Kontakt mit Bot-Netzen? DFN-Einrichtungen manchmal Ziel von DoS Angriffen, die mit Hilfe von Bot-Netzen ausgeführt werden Im Vergleich mit Providern wenig Bots im DFN; diese sind aber immer wieder vorhanden Besonders interessant für uns: Command & Control Server IRC-Relays 43. DFN Betriebstagung, 18. Oktober 2005 2005 DFN-CERT Services GmbH Folie 19

Bot-Netze Command & Control Server: Fallen leicht auf: Viele Verbindungen zu einzelnen Diensten: I.d.R. einige tausend Systeme gleichzeitig zu typ. IRC Ports 6667-6669 Bot-Software wird analysiert und der Control Channel wird gefunden - z.b. mit Hilfe von Honeypots Häufig UNIX oder Linux Systeme z.b. über SSH und schwaches Passwort kompromittiert Angreifer benötigen nicht Rechte von root; ein normaler Account reicht zum Betrieb des IRC-Servers Hinter jeder Verbindung zum IRC-Server steckt ein kompromittiertes System! 43. DFN Betriebstagung, 18. Oktober 2005 2005 DFN-CERT Services GmbH Folie 20

Bot-Netze IRC-Relays: Fallen kaum auf: Wenige IRC-Verbindungen, die auch legitim sein könnten Informationen über Relays oft nur von IRC-Ops nach Analyse von Missbrauch Oft UNIX oder Linux Systeme mit Software 'psybnc' Rechte von root werden nur zur Tarnung z.b. mit Hilfe eines Rootkits benötigt Logfiles der Relays geben Aufschluss über die tatsächlichen Angreifer (bzw. den nächsten Relay) 43. DFN Betriebstagung, 18. Oktober 2005 2005 DFN-CERT Services GmbH Folie 21

Bot-Netze Was kann getan werden? C&C Server fallen durch Art der Verbindungen auf: langlebig mehrere tausend gleichzeitig oft zu typischen IRC-Ports Manchmal fallen hohes Datenvolumen zu untypischen Zeiten oder über untypische Dienste auf Vorbereitet sein! (z.b. durch Notfallpläne) Schnelle Reaktion im Ernstfall: u.a. Alamierung der betroffenen Sites 43. DFN Betriebstagung, 18. Oktober 2005 2005 DFN-CERT Services GmbH Folie 22

Vertrauen im Netz Beispiel: Angreifer rekrutiert neuen IRC-Relay :SuM41!sum41@SuM41.li PRIVMSG #sum41 : [20:22:11] * Dns resolved ***.***.***.62 to www.*******.at johannes@s1:~$ uptime 20:22:35 up 13 days, 10:19, 1 user, load average: 0.00, 0.00, 0.00 johannes@s1:~$ uname -a Linux s1 2.4.18-bf2.4 #1 Son Apr 14 09:53:28 CEST 2002 i686 GNU/Linux nice :> [...] :SuM41[quand]!~sum41@www.*******.at JOIN :#sum41 43. DFN Betriebstagung, 18. Oktober 2005 2005 DFN-CERT Services GmbH Folie 23

Bot-Netze Vielen Dank für Ihre Aufmerksamkeit! Fragen? dfncert@dfn-cert.de 040 8080 77 555 43. DFN Betriebstagung, 18. Oktober 2005 2005 DFN-CERT Services GmbH Folie 24

2024 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback