Vortragsfolien als PDF

Transcription

Sicherheit im Internet
Typische Angriffsszenarien
Dipl.-Ing. Erich H. Franke, DK6II
[email protected]
52. UKW-Tagung Weinheim 2007
Motive potentieller Angreifer
• Romantik / Neugier / Vandalismus
– „Freizeit-Hacker“, „Skript Kiddies“
• Nutzung Bandbreite
– Spam (IP-Relay, Bot-Networks)
– Plattform für weitere Angriffe (Deferred Attacks)
• Nutzung Speicher
– Zwischenlager für Warez, Moviez etc.
• ‚echte‘ Spionage / Sabotage
– meist kommerziell-krimineller
– seltener militärischer Hintergrund
15.9.2007
Dipl-Ing. Erich H. Franke - Sicherheit im Internet - Typische Angriffsszenarien
2
Bedrohungsszenarien
• Infektionswege
– Der „klassische“ Virus
– Der Wurm
– Das Trojanische Pferd
– Die „logische Bombe“
15.9.2007
3
Sekundäre Bedrohungen
• Vortäuschen der Identität („Phishing“)
• Vertuschen der Urheberschaft
(„Masquerading“)
• Betriebsunterbrechung („Denial-ofService“, DoS)
15.9.2007
4
Futter für Skript-Kiddies
• Root-Kits („Blenden des Betriebssystems“)
• Viren-Baukästen
15.9.2007
5
Optix Pro (Trojan Builder)
15.9.2007
6
Hack‘a‘ttack 2000
15.9.2007
7
Typische Angriffswege
• Von außen
– über Netzwerk
– Nutzung von inherenten Schwachstellen
– Nutzung von Fehlkonfigurationen
– ‚Vorbereitete‘ Einbrüche
• Von innen
– ‚Boot access is root access‘
– ‚Social Engineering‘
• Von ganz innen
– Trojanische Pferde, Würmer, Viren, logische Bomben
15.9.2007
8
Typischer Ablauf
• Suchen geeigneter Rechner
– Port Scans mit Klassifikation
• Analysieren von Schwachstellen
– ‚Exploits‘ von Betriebssystems/Applikationsfehlern
• Überwinden der Sicherheitsmaßnahmen
– Elektronisch, bzw. durch Ausspähen, Social Engineering.
• ‚Sichern‘ des späteren Zugangs
– Einbau von Hintertüren (Backdoors).
• Spuren verwischen
– Bereinigung von Logfiles.
15.9.2007
9
Überwinden von Sicherungen
• Durch die Vordertür
– Ausnutzen ‚erratener‘ Passworte, offene anonymus ftp, default pwd
– Ausnutzen von Fehlkonfigurationen
• Durch die Wand
– Ausnutzen verdeckter Schwächen:
Buffer Overflows, unzuverlässige Skripte
– Denial-of-Service-Attacken gegen unsichere Services (s.u.)
– Spoofing: DNS Cache Poisoning, DNS-Spoofing
• Durch die Hintertür
– Trojaned Services
– Backdoor Ports
– Simpel, eher selten: root-alike pwd entries
15.9.2007
10
Gegner #1: Der Buffer Overflow
Schlampig programmierte Software erlaubt gezieltes
Überschreiben kritischer Programmteile über ganz
normale Schnittstellen.
Einschleusen von Code
Erhöhung der Privilegien
216.17.192.26 - - [18/May/2003:16:05:02 +0200] "GET /sumthin HTTP/1.0" 404 273
195.18.39.39 - - [18/May/2003:17:00:14 +0200] "HEAD / HTTP/1.0" 302 0
217.216.225.51 - - [18/May/2003:18:06:39 +0200] "GET
/default.ida?XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX …..
….. XXXXXXXXXXXXXXXXXXXX%u9090%u6858%ucbd3%u7801%u9090% …..
80.137.164.158 - - [18/May/2003:23:13:54 +0200] "OPTIONS * HTTP/1.0" 200 193.127.48.227 - - [19/May/2003:02:05:31 +0200] "HEAD / HTTP/1.1" 400 0
206.117.97.187 - - [19/May/2003:08:42:01 +0200] "GET /scripts/..%255c%255c../winnt/system32/cmd.exe?/c+dir" 404 15.9.2007
11
Gegner #2: Fehlkonfigurationen
Gefährlich sind Installationen
„Out-of-the-box“
Standard-Passworte sind
eingestellt und werden
seltener vom Benutzer
geändert wie man glaubt!
15.9.2007
12
Gegner #3: Bequemlichkeit
• Gleiches Passwort auf mehreren Rechnern
– „Habe ich eines, habe ich alle!“
• Zu komplizierte Passworte
– „Dann schreibe ich es halt auf!“
• Rechteverwaltung behindert den Betrieb
– „Wir arbeiten hier sowieso alle als
Administrator!“
• Firewalls und Proxies zu restriktiv
– „Ich benutze sowieso meine private email…“
• Chats am Arbeitsplatz verboten…
– „dann gehe ich halt über den Web-Client…“
15.9.2007
13
Was können wir tun?
• Frage: Was soll der Schutz bewirken
– Schutz gegen Gelegenheitseinbrecher (Skript Kiddies)
– Schutz von geistigem Eigentum gegen Ausspähung
(Beispiel: Entwicklungsrechner)
– Schutz der Produktion gegen Sabotage
(Beispiel: Web-Service)
• Frage: Wie hoch muss das Schutzniveau sein
– Privater Bereich -> Grundlegender Schutz gegen
Mißbrauch
– Industrieller Bereich -> erweiterter Schutz gegen
Ausspähung und/oder Sabotage
– Öffentlicher Bereich -> wie oben
15.9.2007
14
• Erschweren der Identifikation
– „Don‘t give the hacker any clue!“
– menschen-kompatible Verfahren und Abläufe
festlegen
– Keine Veröffentlichung interner Netz-Strukturen
und technischer Details
– Möglichst wenig login-Information. Entfernen
von Banner-Texten aus Services
– Keine Anhaltspunkte: Kein Reject auf
geschlossenen Ports. Zum Web hin kein Ping
15.9.2007
15
• Erschweren des unautorisierten
Zugangs von Außen
– Ein „personal firewall“ ist (noch) eine gute Idee
– WLAN mindestens mit WPA, geringe Reichweite!
- Web-Server in eigenem Subnetz (DMZ)
- möglichst keine anonymen Uploads zulassen
- ssh an Stelle telnet, sftp an Stelle ftp
- „Don‘t accept software from strangers“
- Rechnerhardware unter Verschluss halten
15.9.2007
16
Quellen
Jochen Helfrich,Thomas Bünz und Patrick Keil; „Aktuelle Angriffsszenarien auf
Rechnernetzwerke“; HS Darmstadt, 2004
Franke, E.H. – Skriptum zur Vorlesung „Einführung in die Sicherheitstechnik“, Hochschule
Darmstadt
Homepage des Bundesamts für Sicherheit in der Informationstechnik
Digital Equipment Corp., Sicherheitshandbuch
U.S. DoD „Orange Book“, DoD 5200.28-STD
Abbildungen:
-
SYMANTEC
-
Digene Deutschland GmbH
15.9.2007
17

Vortragsfolien als PDF

Transcription

Documents pareils

Franke Gotha

Ex Machina - Frühe Computergrafik bis 1979

Überblick und Gestaltungsempfehlungen des neuen

PRESSEMITTEILUNG

Liebi Telefründ» - Porträt Erich Tilgenkamp

Dirk Schümer Erich Fromm-Preis 2014 - Internationale Erich

Einladung zu unserer 8-tägigen Wellness Reise nach Karlsbad

Berufsunfähigkeit - Sicherheit für den Fall der Fälle, Cash, 7+8, 2003

Klopfen Sie sich frei® mit MET nach Franke®

(Hg.), Fremd und doch vertraut