Post on 15-Jan-2015
description
transcript
Network SecurityEine Prozess-Sicht
Agenda
• Einführung
• Grundlagen Netzwerke
• Angriff
• Verteidigung
• Fazit
Einführung
Was ist Security?
Security is a processBruce Schneier
Angriff
Angriff Ziel
Verteidigung
PreventionAngriff Detection Response Ziel
Prevention
Maßnahmen, die einen Angriff im Vorhinein erschweren sollen
Reallife:
Tür und Schloß an Euren Häusern
IT:
Firewalls, ACLs / Rechtemanagement
Detection
Maßnahmen, die einen Angriff erkennen sollen
Reallife:
Alarmanlage im Haus
IT:
Intrusion Detection Systems, Networks Security Monitoring, Traffic Anomaly
Response
Reaktion auf einen Angriff
Reallife:
Ihr ruft die Polizei, diese probiert den Einbrecher festzunehmen. Beweise werden gesammelt
IT:
Runterfahren des Rechners, forensiche Analyse
Agenda
PreventionAngriff Detection Response
Dieser WorkshopLetztes
Workend
Ziel
Attack the enemy
Der ProzessZiel
auskundschaften
Der ProzessZiel
auskundschaften
Schwachstellen ausfindigmachen
Der ProzessZiel
auskundschaften
Schwachstellen ausfindigmachen
Schwachstellen ausnutzten
Der ProzessZiel
auskundschaften
Schwachstellen ausfindigmachen
Schwachstellen ausnutzten
Position sichern
Der IT-ProzessZiel
auskundschaften
Schwachstellen ausfindigmachen
Schwachstellen ausnutzten
Position sichern
Passive InformationsgewinnungAktive Informationsgewinnung
Remote ExploitLocal Exploit
Rootkit InstallationWeitere Expansion
AngriffPassive
IGAktive
IGRemote Exploit
Local Exploit
Root- kit
Expan-sion
- ........- ........
- ........- ........
- ........- ........
- ........- ........
- ........- ........
- ........- ........
VerteidigungPassive
IGAktive
IGRemote Exploit
Local Exploit
Root- kit
Expan-sion
- ........- ........
- ........- ........
- ........- ........
- ........- ........
- ........- ........
- ........- ........
Grundlagen Netzwerke
Grundlagen NetzwerkeTCP/IP Kommunikation
TCP/IP Kommunikation
Eine offene Verbindung zwischen zwei Computern die über TCP/IP kommunizieren, nennt man Socket und definiert sich durch:
• Quell-IP und Quell-Port
• Ziel-IP und Ziel-Port
TCP Paket
Grundlagen NetzwerkeFirewall
Firewall
Firewall
• Unterbinden von ungewolltem Datenverkehr von externen Computersystemen (WAN) zum geschützten Bereich (LAN)
• Unterbinden von ungewolltem Datenverkehr vom LAN zum Internet
Grundlagen NetzwerkeDMZ
DMZ
DMZ
• Bereitstellung von Diensten (E-Mail, WWW, etc...) für WAN und LAN
• Server in der DMZ können von sich aus keine Verbindung zum LAN aufbauen
• Ein gehackter Server in der DMZ kann somit nicht das LAN kompromittieren
Angriff
AngriffPassive
IGAktive
IGRemote Exploit
Local Exploit
Root- kit
Expan-sion
- ........- ........
- ........- ........
- ........- ........
- ........- ........
- ........- ........
- ........- ........
Aktiv vs. Passiv
Aktivität
VollkommenPassiv
VollkommenAktiv
Aktiv vs. Passiv
Aktivität
VollkommenPassiv
VollkommenAktiv
Keine Verbindung zum Ziel
= Absicht nicht erkennbar
Aktiv vs. Passiv
Aktivität
VollkommenPassiv
VollkommenAktiv
= Absicht sofort erkennbarTatsächlicher
Angriff
Informationsgewinnung
Aktivität
VollkommenPassiv
VollkommenAktiv
Keine Verbindung zum Ziel
Informationsgewinnung
Aktivität
VollkommenPassiv
VollkommenAktiv
Gültiger Traffic auf gültigem Dienst
Informationsgewinnung
Aktivität
VollkommenPassiv
VollkommenAktiv
Gültiger Traffic auf ungültigem
Dienst
Informationsgewinnung
Aktivität
VollkommenPassiv
VollkommenAktiv
Ungültiger Traffic auf gültigem Dienst
Informationsgewinnung
Aktivität
VollkommenPassiv
VollkommenAktiv
Ungültiger Traffic auf ungültigem
Dienst
AngriffPassive
IGAktive
IGRemote Exploit
Local Exploit
Root- kit
Expan-sion
- ........- ........
- ........- ........
- ........- ........
- ........- ........
- ........- ........
- ........- ........
Ziel
Informationen über
• eingesetzte Software
• Infrastruktur
• Netzwerkdesign
• Laufende Dienste
• Softwareversionen
Mittel
• Recherche im Internet, Newsgroups, Mailinglisten
• Versiongrabbing / Verbinden
• DNS zone transfers
• Social Engineering / In-personification
• Port Scanning
AngriffPassive
IGAktive
IGRemote Exploit
Local Exploit
Root- kit
Expan-sion
- ........- ........
- ........- ........
- ........- ........
- ........- ........
- ........- ........
- ........- ........
Ziel
Lokalen Benutzer-Account auf dem Zielrechner
MittelAus gewonnen Informationen werden Sicherheitslücken identifiziert
• MITRE
• CVE
• ISS X-Force
Sicherheitslücken auf dem Zielrechner ausnutzen
• Exploits schreiben/anwenden
AngriffPassive
IGAktive
IGRemote Exploit
Local Exploit
Root- kit
Expan-sion
- ........- ........
- ........- ........
- ........- ........
- ........- ........
- ........- ........
- ........- ........
Ziel
Root Zugriff auf dem Zielrechner
Somit Zugang zu Ressoucen
• lesen
• manipulieren
• löschen
Angriff erfolgreich
Mittel
Recherche nach Sicherheitslücken
Lokale Sicherheitslücke ausnutzen
• Buffer/Stack Overflow
• Format String
• SUID binaries
• Kernel Sicherheitslücken
AngriffPassive
IGAktive
IGRemote Exploit
Local Exploit
Root- kit
Expan-sion
- ........- ........
- ........- ........
- ........- ........
- ........- ........
- ........- ........
- ........- ........
Ziel
Dauerhaften root Zugriff auf den Zielrechner
“Gefahr” des Behebens der ursprünglichen Sicherheitslücke durch den Administrator entschärfen
Mittel
Backdoor Installation
Verstecken der Backdoor und der Zugriffe
• Rootkits
• Manipulierte Logfiles
AngriffPassive
IGAktive
IGRemote Exploit
Local Exploit
Root- kit
Expan-sion
- ........- ........
- ........- ........
- ........- ........
- ........- ........
- ........- ........
- ........- ........
Ziel
Weitere Systeme im Netzwerk angreifen
Mittel
Angegriffenes System als Ausgangsbasis nutzen
Vorteil
• Man ist schon im Netzwerk
• Firewall Regeln meist laxer
• Traffic oft nicht überwacht
Verteidigung
VerteidigungPassive
IGAktive
IGRemote Exploit
Local Exploit
Root- kit
Expan-sion
- ........- ........
- ........- ........
- ........- ........
- ........- ........
- ........- ........
- ........- ........
VerteidigungPassive
IGAktive
IGRemote Exploit
Local Exploit
Root- kit
Expan-sion
- ........- ........
- ........- ........
- ........- ........
- ........- ........
- ........- ........
- ........- ........
Prevention
Vorbeugen durch:
• Nicht die offizielle Mail-Adresse in Newsgroups, Mailinglisten & co benutzen
• Keine Detail-Informationen an fremde Personen verraten
• Social Engineering Awareness
Detection
Unmöglich
VerteidigungPassive
IGAktive
IGRemote Exploit
Local Exploit
Root- kit
Expan-sion
- ........- ........
- ........- ........
- ........- ........
- ........- ........
- ........- ........
- ........- ........
Prevention
Vorbeugen durch:
• Versionsanzeigen abschalten/verfremden
• Dienste auf anderen Ports lauschen lassen
• Firewalls
• Intrusion Prevention Systeme
Detection
Erkennen durch:
• Intrusion Detection Systeme
• Firewall Logfiles
• Serverlogfiles, z.B. UserAgent in Apache Logfile
Intrusion Detection
Intrusion DetectionBemerken eines Angriffs auf eine Ressource
• Netzwerkbasiert
Überwachung des Netzwerkverkehrs
• Hostbasiert
Überwachung von Dateien
• Hybrid
Kombination
Network IDS
• Sniffen des Netzwerktraffics
• Vergleich der Paketinhalte gegen Regeln
• Alarm bei Verstoß
Bekannteste OpenSource Lösung Snort
Network IDS
Internet
Firewall
SwitchIDS
PC
PC
PC
Admin
Host IDS
• Sitzt direkt auf dem Server
• Überprüft Dateizugirffe und Veränderungen
• Vergleich von Datei-Prüfsummen
• Alarm bei Verstoß
Bekannteste OpenSource Lösung Samhain,(Tripwire)
VerteidigungPassive
IGAktive
IGRemote Exploit
Local Exploit
Root- kit
Expan-sion
- ........- ........
- ........- ........
- ........- ........
- ........- ........
- ........- ........
- ........- ........
PreventionVorbeugen durch:
• Systeme immer aktuell halten
• Applikation Firewalls / Filter
• mod_security
• Firewalls
• Intrusion Prevention Systeme
• Snort
Detection
Erkennen durch:
• Intrusion Detection Systeme
• Logfiles
• Netzwerküberwachung
• netstat
• Network Security Monitoring
VerteidigungPassive
IGAktive
IGRemote Exploit
Local Exploit
Root- kit
Expan-sion
- ........- ........
- ........- ........
- ........- ........
- ........- ........
- ........- ........
- ........- ........
Prevention
Vorbeugen durch:
• Systeme immer aktuell halten
• Strickte ACL
• Chroot, Systrace, Jails, virtuelle Maschinen
DetectionErkennen durch:
• Hostbasierte Intrusion Detection Systeme
• Tripwire
• Samhain
• Logfiles
• utmp
• shell history
VerteidigungPassive
IGAktive
IGRemote Exploit
Local Exploit
Root- kit
Expan-sion
- ........- ........
- ........- ........
- ........- ........
- ........- ........
- ........- ........
- ........- ........
Prevention
Vorbeugen durch:
• Kernel Module abschalten
• BSD: Kernel Securitylevel
• Read-only Dateisysteme (Hardware)
Detection
Erkennen durch:
• Hostbasierte Intrusion Detection Systeme
• Rootkit Scanner
• chkrootkit
• rkhunter
• Forensische Analyse
VerteidigungPassive
IGAktive
IGRemote Exploit
Local Exploit
Root- kit
Expan-sion
- ........- ........
- ........- ........
- ........- ........
- ........- ........
- ........- ........
- ........- ........
Prevention
Vorbeugen durch:
• Strenge Firewall Regeln auch für interne Netze
• Isolierung von Systemen
• DMZ
Detection
Erkennen durch:
• Intrusion Detection Systeme
• Firewall logs
• Logfiles
Wieder am Anfang des Prozesses
Fazit
Ressourcen
Bücher
• Unix and Internet Security, Simson Garfikel&co, O’Reilly
• Network Security Assesment, ..., O’Reilly
• Network Security Monitoring, Richard Beijtrich, Addison-Wesley
• Security Warrior, ..., O’Reilly
• Practical Cryptography, Bruce Schneier&Nils Fergusson,...
• ..., Bruce Sterling, ...
Mailing Listen
• Bugtraq
• Full-Disclosure
• SecurityFocus
• IDS
• WebAppSec
• Nmap
Web
• Securityfocus.com
• OWASP
• Phrack.org
• grc.com
• CVE, MITRE, ISS X-Force
Fragen?