Internet & Sicherheit Klaus-Peter Hahn Mac Club Aschaffenburg Termin: 9. Januar 2003
Einführung Daten / Datenpakete Datenübertragung Paketorientierte Datenübertragung Serielle Datenströme (synchron) IP-Adressen URL - Unified Resource Locator
Protokolle IP - Internet Protocol TCP - Transport Control Protocol UDP - User Datagram Protocol Sequenznummer
Ports IP-Ports (Übertragungskanäle) Etherpeek-Bilder Port 23 - Telnet-Port (Kommandozeile) Telnet auf einen anderen Port z.b. Port 25 Kommunikation mit Kommandos Puffer-Überläufe (überlange Eingaben)
Services (packetorientiert( packetorientiert) HTTP - HyperText Transport Protocol FTP - File Transport Protocol SMTP - Simple Mail Transport Protocol POP3 - Post Office Protocol (Version 3) IMAP - Internet Message Access Protocol
Hackerangriffe durch Hackertools Portscans Auswertung von Banner-Informationen Bekannte Verwundbarkeiten Trojanische Pferde
Gefahrenquellen: Gefährlicher und einfacher denn je Hoch Niedrig Self Replicating Code Password Guessing 1980 Exploiting Known Vulnerabilities Password Cracking Back Doors Stealth Diagnostics DDOS Sweepers Disabling Audits 1990 Hijacking Sessions Packet Forging/ Spoofing Sniffers 2000 Ausgefeiltheit der Angriffe Nötiges technisches Wissen
Verfügbarkeit von Tools www.test.com Connected to www.test.com
Attacks on The Increase The CERT Coordination Center's tally should top 46,000 [attacks] by the end of the year, doubling the nearly 22,000 incidents counted last year. Code Red and Nimda were each only counted once in this report The CERT Coordination Center's policy is to count each worm or virus only once, no matter how widespread the attacks become. Source: c/net: news.com, 15 October 2001 http://news.cnet.com/news/0-1003-200-7532673.html?tag=mn_hd
Sicherheitsverständnis Gestern Sicherheit = Firewall ist nicht genug!!! Internet
Sie sind Sicher! Wirklich??? Firewall
Gefahren in Datennetzen telnet foo.bar.org username: dan password: I m Bob, Send Me all Corporate Correspondence with Cisco m-y-p-a-s-s-w-o-r-d d-a-n Bob Verlust der Vertraulichkeit Vortäuschen der Identität Deposit $1000 Deposit $100 CPU Customer Bank Denial of Service Verlust der Integrität
Vorgehen des Hackers Building Module Mainframe Module WAN Module Netzwerkangriff Phase 1: Netzwerk erkunden Phase 2: Ein System kontrollieren Phase 3: Vertrauen nutzen Phase 4: Daten stehlen Phase 5: Das Netz kontrollieren Server Module SMTP DNS Internet HTTP/SSL
Netzwerkerkundung Scorecard: Network Security Hacker 0 0 IP-Adressen erkunden Ports scannen Andere Hilfsmittel Whois DNS Web pages SMTP DNS Internet Angreifer HTTP/SSL
Ein System kontrollieren bash-2.02$ id uid=11117(networkers) gid=1(other) bash-2.02$ cat /etc/shadow cat: cannot open /etc/shadow bash-2.02$ ls -l total 48 -rwxr-xr-x 1 networkersother 24563 Nov 10 13:58 ex_lib bash-2.02$./ex_lib Scorecard: Network # id Security 0 Hacker 01 jumping address : efffe7b8 uid=11117(networkers) gid=1(other) euid=0(root) egid=3(sys) # cat /etc/shadow root:07aubkfmbv7o2:11043:::::: toor:r1cjewyewnmdk:10955:::::: daemon:np:6445:::::: SMTP Vulnerability Scan CGI-BIN Vulnerability Starten von xterm Buffer Overflow Vulnerability Get root Ergebnis: Kontrolle über einen Host DNS Internet Angreifer HTTP/SSL OWNED: HTTP/SSL
Vertrauensbeziehungen ausnutzen Scorecard: Network Security Hacker 0 1 Weitere Erkundung Log Files analysieren Prozesse Konfigurationsdateien Password Cracking Sniffing Back-End Datenbank gefunden SMTP Back-End Database DNS Internet Angreifer OWNED: HTTP/SSL
Diebstahl von Informationen Scorecard: Network Security 0 Hacker 12 Source: Angreifer Destination: Web Server Port: 25 (SMTP) DNS SMTP Source: Web Server Destination: Back-End Database Port: 22 (SSH) OWNED: HTTP/SSL Einsatz von Port Redirection Angriff ausführen Root durch cracked Passwörter OWNED: Back-End Database Internet Source: Angreifer Destination: Back- End Database Port: 22 (SSH) Angreifer
Das gesamte Netz erkunden Scorecard: Network Security Hacker 0 2 Angreifer ist hinter der Firewall Keine Sicherheitsvorkehrungen mehr Weitere Erkundung Vulnerability Scan DNS SMTP OWNED: Back-End Database Internet Angreifer OWNED: HTTP/SSL
Das gesamte Netz kontrollieren Scorecard: Network Security Hacker 0 752 Angreifer ist hinter der Firewall Keine Sicherheitsvorkehrungen mehr Weitere Erkundung Vulnerability Scan Angreifer hat einen neuen Spielplatz DNS SMTP OWNED: Back-End Database Internet Angreifer OWNED: HTTP/SSL
Schutz durch Prevention Packetfilter (Services) Firewall (Packetfilter auf Applikationsebene) MAD - Malicious Activity Detection IDS - Intrusion Detection System Wie lange online, mit welcher Bandbreite?
Was kann ich tun? Passwörter immer wieder ändern Email abrufen per SSL Antivirus Software installieren (Trojaner) Personal Firewall / Paketfilter installieren Gesundes Mißtrauen gegenüber dem Internet Evtl. separater Computer für Internetnutzung
Was sollte ich tun? Gesundes Mißtrauen Anti-Virus Programm Personal Firewall 2. Email-Adresse für Internet Verschlüsselung Digitale Unterschrift Zertifikate
Software für den Macintosh Norton Personal Firewall IPNetSentry (Paketfilter) NetBarrier (Personal Firewall) Virex / Norton Antivirus Verschlüsselungs-Software PGP Virtual Private Network
Internet-Seiten Allg. Infos zur Sicherheit: http://www.securemac.com Tool zum Test: http://www.macanalysis.com Infos über Verwundbarkeiten: http://www.astalavista.com klaus.hahn hahn@telda.net