Seminar: Konzepte von Betriebssytem- Komponenten Denial of Service-Attacken, Firewalltechniken Frank Enser frank.enser@web.de
Gliederung Was sind DoS Attacken Verschiedene Arten von DoS Attacken Was ist eine Firewall Verschiedene Firewall-Konzepte Einige typische Firewall-Architekturen 2002 Frank Enser 2
DoS Attacken Was sind Denial-of-Service Angriffe? Beispiel: Webserver Einige DoS Programme: Blitzkrieg Fornax Stacheldraht 2002 Frank Enser 3
DDoS Attacken Unterschied zu DDoS Angriffen Angriff von mehreren Computern (Zombies) Zombies werden mittels Trojanischen Pferden ferngesteuert 2002 Frank Enser 4
Flood Attacks (1) SYN Flood Verbindungsaufbau wird vorgetäuscht Der Zielrechner hält die Verbindung bis zum Timeout Der Angreifer sendet andauernd diese Pakete und überlastet den Zielrechner 2002 Frank Enser 5
Flood Attacks (2) Smurf Attack Angreifer sendet gefälschtes ICMP Echo Request Paket an eine Broadcast IP Alle Rechner in diesem Netzwerk antworten Netzwerkanbindung des Zielrechnern wird dadurch überlastet 2002 Frank Enser 6
Flood Attacks (3) Fraggle/UDP Flood Angriff Basiert auf dem Smurf Angriff Verwendet aber keine ICMP Echo Request Pakete, sondern UDP Echo Pakete 2002 Frank Enser 7
Flood Attacks (4) ICMP Flood Angriff Einfachster Angriff Angreifer sendet nur ICMP Echo Request Pakete zum Ziel Angreifer muss mehr Bandbreite als das Ziel besitzen 2002 Frank Enser 8
Logic/Software Attacks (1) Ping of Death Angriff Angreifer sendet überlanges ICMP Echo Paket (> 65536 Bytes) Land Angriff Paket mit gleicher Target- und Sourceadresse sowie gleichen Ports 2002 Frank Enser 9
Logic/Software Attacks (2) Teardrop Angriff Nutzt einen Fehler beim Zusammenfügen von IP Fragmenten Falscher Offset Wert im IP Header führt zu Bufferüberlauf 2002 Frank Enser 10
Logic/Software Attacks (3) Echo/Chargen Angriff Eine Art von UDP Flood Angriff Die zwei Zielrechner schalten sich gegenseitig aus 2002 Frank Enser 11
Echo/Chargen Angriff (1) Angreifer sendet gefälschtes UDP Echo Paket an Ziel 1 2002 Frank Enser 12
Echo/Chargen Angriff (2) Zielrechner 1 antwortet mit einem Paket an den Zielrechner 2 2002 Frank Enser 13
Echo/Chargen Angriff (3) Zielrechner 2 sendet daraufhin ein Echo Paket an Zielrechner 1 2002 Frank Enser 14
Firewalltechniken Definition: Firewall Filter, den Netzwerkpakete beim Eintreffen oder Verlassen des Computers passieren müssen Praxis Single-Box Firewalls Komplexe Architekturen aus DMZ, Routern und Bastion-Hosts 2002 Frank Enser 15
Firewall Konzepte (1) Packet Filtering Einfachste Form Filtert ausschließlich auf Transportschicht Aufwendig zu installieren/warten Genaue Kenntnisse der zu filternden Protokolle nötig 2002 Frank Enser 16
Firewall Konzepte (2) Stateful Filtering (Circuit-level gateway) Weiterentwicklung des einfachen Packet Filter Interne Verbindungstabelle Kann meist für komplexere Protokolle erweitert werden 2002 Frank Enser 17
Firewall Konzepte (3) Application Gateway (Proxy) Stehen zwischen Client und Server Keine direkte Verbindung zwischen Client und Server Setzt auf Anwendungsschicht auf und kann dadurch gegebenenfalls einzelne Protokollbefehle sperren 2002 Frank Enser 18
Firewall Architekturen (1) Dual-Homed Host Nur 1 Rechner mit min. 2 Netzwerkschnittstellen Installation/Wartung vergleichsweise einfach Single point of failure Rechner muss besonders abgesichert/überwacht werden 2002 Frank Enser 19
Dual-Homed-Host 2002 Frank Enser 20
Firewall Architekturen (2) Screened Subnet Zusätzliche Schutzschicht: DMZ Bastion-Hosts als Proxys in der DMZ Schwieriger zu konfigurieren/warten Sicherer als Dual-Homed-Host Firewall 2002 Frank Enser 21
Screened Subnet 2002 Frank Enser 22
Firewall Architekturen (3) Independent Screened Subnet Je eine DMZ für nach innen und nach außen gerichtete Dienste Sehr komplex zu installieren/warten Kein single point of failure Nur bei besonders hohen Anforderung an Sicherheit und Redundanz sinnvoll 2002 Frank Enser 23
Independent Screened Subnet 2002 Frank Enser 24
Abschließende Bemerkungen 2002 Frank Enser 25