IT-Sicherheit in der Praxis

IT-Sicherheit in der Praxis – Ein Fachvortrag für die IT-Ritter Georgsmarienhütte, 14.05.2002

© 2002 by Dipl.-Ingenieur Ansgar H. Licher, [email protected] Dieser Folienvortrag unterliegt der OPL (http://opencontent.org/opl.shtml)

IT-Sicherheit in der Praxis

Ein Fachvortragvon

Ansgar H. LicherDipl.-Ingenieur der Systemanalyse

IT-Leiter der MBN Bau AG



Curriculum

• Wichtige Fachbegriffe

• Welche Gefahrenpotenziale drohen?

• Wesen und Merkmale der Gefahrenquellen

• Schutzmaßnahmen und -strategien

• IT-Sicherheit in der Praxis



Wichtige Fachbegriffe

• TCP/IP• Unterscheidung TCP und UDP• Ports• IP-Paket Aufbau• ICMP + Ping• DMZ



Schutz der eigenenIT-Infrastruktur

gegenüberder Aussenwelt!

Schutz der eigenenIT-Infrastruktur

gegenüberder Aussenwelt!

Was ist IT-Sicherheit?

IT-Sicherheit

IT-Sicherheit

• Gefahren?• Abwehr?• Vermeidung?• Erkennung?• Notwendigkeit?



Erkenne Deinen Feind!

• Man kann sich nicht vor etwas schützen, was man nicht kennt!– Die Frage ist nicht, ob, sondern wann man

angegriffen wird!– Die Gefahren heute sind Script-Kiddies statt

Netzwerkexperten und Technik-Freaks!– Geografische Grenzen sind irrelevant, das

Internet ist weltumspannend und der Gegner nur einen Mausklick entfernt



Gefahrenpotenziale



Gefahrenpotenziale

netzwerk-basierteGefahren

content-basierteGefahren

IT-Sicherheit



netzwerk-basierte Angriffe bzw. Gefahren

• Probes, Portscans• Fingerprinting, IP-Options• IP-Spoofing• „klassische“ Hacks

– Ausnutzung von Sicherheitslücken in Server-Programmen• sendmail• SSH• ...

• Denial of Service (DoS), DDoS• Trojaner, Backdoors und andere Spoofer



Probes, Portscans

• Ziel: Informationsgewinnung• Möglichkeiten:

– Address Space ProbesAuskundschaften eines Netzwerkes durch sequenzielle Abfrage der IP-Adressen

– Port Space ProbesAuskundschaften eines Netzwerkes durch sequenzielle Abfrage der IP-Ports

– Portscanssystematische Analyse offener Ports und ggf. damit verbundener Schwachstellen



Fingerprinting

• Ziel: Informationsgewinnung, Ausspähung• Möglichkeiten:

– Ermittlung von Informationen über eingesetzte Hard- und Software in „trusted networks“, ausschließlich durch den Einsatz von ICMP (!!!)

Im Internet sind hierzu lesenswerte und sehr informative Unterlagen erhältlich. Begründer dieser Methodik ist der Israeli Ofir Arkin.



IP-Options

• Ziel: Ausspähung, Einbruch• Möglichkeiten:

– Nutzung von IP-Protokoll-Features (bspw. Debug-Optionen, ICMP, ...) zur Verschleierung der Identität



IP-Spoofing

• Ziel: Einbruch durch Täuschung• Möglichkeiten:

– Konfiguration eines Hosts mit einer IP-Adresse aus dem „trusted network“ (Zielnetzwerk) um Einzudringen / Netzwerk-Informationen zu erhalten

– IP-Options = Nutzung von IP-Protokoll-Features (Debug-Optionen, ICMP) zur Informationsgewinnung / Verschleierung der Identität



„klassische“ Hacks

• Ziel: Einbruch• Möglichkeiten:

– alle vorgenannten Angriffe, besonders aber:– Ausnutzung von Sicherheitslücken in Programmen

• sendmail• SSH• FTP (WU-FTPD :-)



Denial of Service (DoS) und DDoS

• Ziel: „Deaktivierung“ von Infrastruktur• Möglichkeiten:

– Auslastung von Rechenleistung bis 100%– Erreichen von permanenten Reboots– Abkopplung von Systemen vom Netzwerk– „Abschuss“ von Systemen

• Beispiele– Ping of Death (Windows NT SP 3)

• Distributed Denial of Service



Trojaner, Backdoors und andere Spoofer

• Ziel: Einbruch, Ausnutzung, Daten- und Passwort-Diebstahl

• Möglichkeiten:– Ausspähen von Passwörtern und Zugangscodes– Mitschnitt von Sessions (Key-Logging)– Zugriff auf beliebige Dateien im Netz– totale (!) Rechnerkontrolle– Ausnutzung des Opfers als DDoS-Client– ... ... ...



content-basierteAngriffe bzw. Gefahren

• Gefahren durch sog. „aktive Inhalte“– Java, JavaScript, Vbscript, ActiveX, Flash

• Betriebssystem & Browser als Angriffspunkt

• Applet Attacks• Content type attacks• DoS Angriffe• Viren, Trojaner, Skripte, ...



Backdoor-Beispiele

• Back Orifice 2000, SubSeven, NetBus• Das Neueste: „Backdoor INTRUZZO.A“

(erstes Erscheinen: Ende April 2002;wird mittlerweile von TrendMicro erkannt!)

– Features:• Open/Close CD-ROM tray• Chat with the infected user • PWL Reader: open and read PWL files on server • Shutdown the computer • Control the mouse • Taskman • Print a message • Take a screen capture • Obtain System info • Write on the desktop



Backdoor-Features ...

• Die Features von BO2K, SubSeven und insbesondere NetBus reichen soweit, dass man sich den Einsatz von käuflichen Produkten wie pcANYWHERE usw. im Prinzip getrost sparen kann!

Wozu viel Geld ausgeben, wenn das Gute so Nahe liegt?



Aktive Inhalte

• Java• JavaScript• VBscript• ActiveX• Cookies• Plug-Ins



Java

• Systemübergreifende und plattformunabhängige Programmiersprache (wird von SUN entwickelt und lizenziert)

• Applets liegen in kompilierter Form (Bytecode) zum Download + anschließender Ausführung vor

• Die Sicherheit wird dadurch gewährleistet, dass diese Applets in abgeschotteten Speicherbereichen, sogenannten "Virtuellen Maschinen" (Sandbox) ausgeführt werden.

• Die Zugriffsmöglichkeiten des Applets sind stark beschränkt: Auf Ressourcen wie etwa lokale Datenträger (Festplatte) kann nicht zugegriffen werden. Nur zu den Komponenten Grafik- und Soundkarte besteht Zugriff.

• Das Java-Konzept gilt in der Theorie bzgl. Sicherheit als vorbildlich.



JavaScript und VB-Script

• Script-Sprache ermöglicht es, den Browser zu steuern, Applets zu starten oder das Aussehen von Web-Seiten dynamisch zu modifizieren.

• JavaScript stellt eine der größten Gefährdungen dar. Im Vergleich zu Java gibt es keine nennenswerten Sicherheitsmechanismen. Einschränkungen obliegen dem Browser.

• Als Problem haben sich in der Vergangenheit die Bugs in den Browsern herausgestellt: Sowohl der Microsoft Internet Explorer als auch der Netscape Communicator haben Fehler, die es ermöglichen, Daten auf der Festplatte auszuspionieren und über das Internet zu übertragen.



ActiveX

• Download von Programmbibliotheken aus dem Web + Ausführung als Teil des Betriebssystems (entspricht einem gewöhnlichen Windows-Programm)ActiveX hat uneingeschränkten Zugriff auf den gesamten PC mit allen Einzelheiten!

• Aufgrund seiner sicherheitstechnischen Ausstattung ist Aktive-X bei Hackern sehr beliebt. Ist Ihnen ein solches OCX-Module erst einmal untergejubelt, ist ihr PC dem Control völlig ausgeliefert. Dass diese Module sehr mächtig sind und unbemerkt jede Art von Aktionen durchführen können, bewies zum Beispiel der Chaos-Computer-Club: Über das Internet wurde per ActiveX die Kontrolle über eine Finanz-Software übernommen und anschließend Gelder auf Testkonten überweisen.

• Digitale Signatur von ActiveX Controls als Schutz?Zertifikate werden ohne Prüfung der beinhalteten Funktionen ausgestellt und sind nachweislich fälschbar!

• Abhilfe: Aktive-X niemals zulassen!!!



Cookies

• Cookies (zu deutsch: Kekse) haben einen schlechten Ruf und werden häufig als große Gefahr für die individuelle Sicherheit betrachtet.

• Cookies sind keine aktiven Elemente (Programme starten oder die Festplatte nach speziellen Daten untersuchen ist nicht möglich)

• Cookies sammeln Informationen über Ihr Surf-Verhalten und speichern diese.

• Vorteil: Vorfinden einer konfigurierten WEB-Seite wie beim Verlassen dieser

• Nachteil: Gläserner Surfer (gezielte Werbung, Bewegungsprofile, ...)



Plug-Ins

• Browser verfügen über eine Schnittstelle, über die sich Erweiterungen - sogenannte Plug-Ins - einbinden lassen.

• Die Plug-Ins können Sicherheitslöcher mit sich bringen, wie zum Beispiel durch das Macromedia-Shockwave-Plug-In bewiesen wurde: Es gelang einem Hacker, aufgrund eines modifizierten und speziell präparierten Plug-Ins, auf fremde Rechner zuzugreifen und Daten zu erspähen.

• Abhilfe: Verzicht !!!



Applet Angriffe

• Applet Attacks– Java Applet:

Bugs oder Erweiterungen der Browser ermöglichen Zugriff auf Ressourcen außerhalb der Java Virtual Machine (JVM)

– ActiveX Applet:Diese Applets haben Betriebssystemrechte ... !



Content type Angriffe

• Content type attacks = Aufrufe aus dem Browser nutzen Inhalte um weitere Aktionen auszuführen



Content Type Attack „Russian New Year“

• a well-known security hole in Windows and MS Excel • This vulnerability, related to the CALL function of Excel, allows an

attacker to send an HTML e-mail or modify a HTML web page so that when accessed, the HTML page will automatically launch Excel and use that to run any program. This allows the attacker to do pretty much anything he wants on the host machine.

• The problem has been partially solved by Microsoft by releasing patch for Excel 97 (this patch will disable the CALL command completely). Excel 95 can't be protected by this time.

• Netscape and Internet Explorer can also be secured against this attack by updating to the latest version with latest patches. This does not prevent some attacks through HTML e-mail though.



DoS Angriffe

• Denial of Service Angriffe– Unter Nutzung von Betriebssystem-Bugs / notwendiger

Betriebssystem-Mechanismen wird der Host (PC, Browser) angegriffen.



Virenangriffe

• ILOVEYOU (VBS)• Nimda• CodeRed



Virenentwicklung

• 1992:ca. 1.600 bekannte Viren• heute: weit mehr als 60.000• Zukunft: Hybrid-Viren

• Zuwachs im eigenen Hause:250% in 12 Monaten (Stand: Anfang 2002)



Sonstige Gefahren

• Social Engineering• Die Gefahr von Innen• „Müllen“



Schutzmechanismen



Schutzmechanismen



Schutzmechanismen

Sicherheits Policy

Firewall

Intrusion Detection System

netzwerk-basierteGefahren

content-basierteGefahren

Application Level Gateway

Virenschutz

Lo

gg

ing

,R

epo

rtin

g,

Ala

rmie

run

g



Sonstige Faktoren

• wichtigster Faktor bei der forensischen Analyse von Angriffen und Einbrüchen sind die Zeit und wirklich unkompromittierte Logfiles!!

Nur wenn alle Systeme zeit-synchron laufen und die Logfiles nachweislich unmanipuliert sind, besteht überhaupt eine Chance, eine zusammenhängende Untersuchung der Ereignisse vorzunehmen!



• Die Praxis zeigt, das Angriffe und Einbrüche oftmals einem gleichen Schema unterliegen:– Informationssammlung (Port Scans)– Analysieren von Schwachstellen an den offenen Ports– Einbruch durch Anwendung eines Exploits– Spuren der Anwesenheit verwischen– Rootkit bzw. Backdoor installieren– Ausnutzung des gehackten Systems entweder

• als Plattform für Angriffe auf andere Systeme oder• zum Ausspionieren und Ausnutzen des gehackten Systems

Die Angriffsmuster bis zum Anwenden eines Exploits lassen sich i.d.R. in den Logfiles nachvollziehen!

Angriffsmuster



Firewall

• Zugriffs-Management (incoming / outgoing)• Dynamische Paketfilterung• Abwehr von Attacken• IP Address Hiding• NAT• SYN Flood-Protection



Intrusion Detection System

• Erkennung von unerlaubten Zugriffen aller Art:– Port-Scans– Angriffe– Einbrüche

• Protokollierung (Logging) aller Ereignisse• Alarmierung und Eskalation• Beispiele:

– Snort, Tripwire



Application Gateway

• Generelles Kommunikations-Gateway zwischen LAN und Internet User-Authentifizierung

• Content-Filterung auf Java, JavaScript, ActiveX und beliebige andere MIME-Types

• Web-Blocker (Site-Blocker)• WWW- und FTP-Proxy• Virus-Check aller Datenströme aus dem Internet



Virenschutz (1)

• Scannen uneingeschränkt und ausnahmslos ALLER von außen eingehenden Daten auf allen Medien und allen Datenströmen:– Disketten– CD-ROMs, DVDs– Anwender-PCs– Server-Dateisysteme– Exchange Datenbanken– WWW- und FTP-Datenströme– E-Mail Transport



Virenschutz (2)

• Vermeidung von– Viren, Würmern, Trojanern– Spyware– Malicuous Code im weitesten Sinne

• Vollautomatisches Update aller Scanner durch eine zentrale Virenschutz-Konsole



Prinzipskizze Internet-Anbindung

FirewallRouter

ProxyApplication Gateway

DNS-Server undMail-Gateway-

Server

Hub

Admin-PC 1

Ethernet

NT-Workstation NT-Workstation NT-Workstation

NT-Workstation NT-Workstation

A

A

B

B

C

C

D

D

Internet

LAN DMZ DirtyNet

PublicNet

VPN-Gateway

Admin-PC 2

ExterneStandorte

WWW-Server



Sicherheit ist ein Prozess!

• Sicherheit ist kein Zustand, sondern ein ständiger Prozess!– Permanente Pflege und Weiterentwicklung des

Konzeptes– Regelmäßige Überprüfung der tatsächlichen Sicherheit

• Logfiles, Protokolle, Reports• Security-Scanner (Nessus)

– Penetrationstests mit Hacker-Tools– „Worst-Case“-Szenarien und –Übungen



Wichtige Ressourcen

• Internet– http://www.securityfocus.com (sehr informativer Newsletter!)– http://www.cert.org, http://www.cert.dfn.de– http://astalavista.box.sk

• Interessante Literatur (Tatsachen-Thriller)– „Hackerjagd im Internet“ (Tsutomu Shimomura)– „Kevin Mitnick – Der Hacker“ (Katie Hafner, John Markoff)– „Kuckucksei“ (Clifford Stall)



Live-Demo

• Nessus Security-Scannerhttp://www.nessus.orgNessus ist Open Source Software unter der GNU General Public License und damit quelloffen und kostenlos. Nessus wurde bereits mehrfach als bester Security-Scanner ausgezeichnet und hat in einem Vergleichstest einer deutschen Computerfachzeitschrift alle kommerzielle Produkte weit übertroffen.

• Trend Virus Control Systemhttp://www.trendmicro.de http://www.antivirus.comZentraler Virenschutz mit vollautomatischer Update-Funktion und –Verteilung

• Security-Tool Datenbank von Ansgar Licher



Vielen Dank!

Vielen DankVielen Dankfürfür

Euer Interesse!Euer Interesse!

Documents

IT-Sicherheit in der Praxis