Network SecurityEine Prozess-Sicht

Agenda

• Einführung

• Grundlagen Netzwerke

• Angriff

• Verteidigung

• Fazit

Einführung

Was ist Security?

Security is a processBruce Schneier

Angriff

Angriff Ziel

Verteidigung

PreventionAngriff Detection Response Ziel

Prevention

Maßnahmen, die einen Angriff im Vorhinein erschweren sollen

Reallife:

Tür und Schloß an Euren Häusern

IT:

Firewalls, ACLs / Rechtemanagement

Detection

Maßnahmen, die einen Angriff erkennen sollen

Reallife:

Alarmanlage im Haus

IT:

Intrusion Detection Systems, Networks Security Monitoring, Traffic Anomaly

Response

Reaktion auf einen Angriff

Reallife:

Ihr ruft die Polizei, diese probiert den Einbrecher festzunehmen. Beweise werden gesammelt

IT:

Runterfahren des Rechners, forensiche Analyse

Agenda

PreventionAngriff Detection Response

Dieser WorkshopLetztes

Workend

Ziel

Attack the enemy

Der ProzessZiel

auskundschaften

Der ProzessZiel

auskundschaften

Schwachstellen ausfindigmachen

Der ProzessZiel

auskundschaften

Schwachstellen ausfindigmachen

Schwachstellen ausnutzten

Der ProzessZiel

auskundschaften

Schwachstellen ausfindigmachen

Schwachstellen ausnutzten

Position sichern

Der IT-ProzessZiel

auskundschaften

Schwachstellen ausfindigmachen

Schwachstellen ausnutzten

Position sichern

Passive InformationsgewinnungAktive Informationsgewinnung

Remote ExploitLocal Exploit

Rootkit InstallationWeitere Expansion

AngriffPassive

IGAktive

IGRemote Exploit

Local Exploit

Root- kit

Expan-sion

- ........- ........

- ........- ........

- ........- ........

- ........- ........

- ........- ........

- ........- ........

VerteidigungPassive

IGAktive

IGRemote Exploit

Local Exploit

Root- kit

Expan-sion

- ........- ........

- ........- ........

- ........- ........

- ........- ........

- ........- ........

- ........- ........

Grundlagen Netzwerke

Grundlagen NetzwerkeTCP/IP Kommunikation

TCP/IP Kommunikation

Eine offene Verbindung zwischen zwei Computern die über TCP/IP kommunizieren, nennt man Socket und definiert sich durch:

• Quell-IP und Quell-Port

• Ziel-IP und Ziel-Port

TCP Paket

Grundlagen NetzwerkeFirewall

Firewall

Firewall

• Unterbinden von ungewolltem Datenverkehr von externen Computersystemen (WAN) zum geschützten Bereich (LAN)

• Unterbinden von ungewolltem Datenverkehr vom LAN zum Internet

Grundlagen NetzwerkeDMZ

DMZ

DMZ

• Bereitstellung von Diensten (E-Mail, WWW, etc...) für WAN und LAN

• Server in der DMZ können von sich aus keine Verbindung zum LAN aufbauen

• Ein gehackter Server in der DMZ kann somit nicht das LAN kompromittieren

Angriff

AngriffPassive

IGAktive

IGRemote Exploit

Local Exploit

Root- kit

Expan-sion

- ........- ........

- ........- ........

- ........- ........

- ........- ........

- ........- ........

- ........- ........

Aktiv vs. Passiv

Aktivität

VollkommenPassiv

VollkommenAktiv

Aktiv vs. Passiv

Aktivität

VollkommenPassiv

VollkommenAktiv

Keine Verbindung zum Ziel

= Absicht nicht erkennbar

Aktiv vs. Passiv

Aktivität

VollkommenPassiv

VollkommenAktiv

= Absicht sofort erkennbarTatsächlicher

Angriff

Informationsgewinnung

Aktivität

VollkommenPassiv

VollkommenAktiv

Keine Verbindung zum Ziel

Informationsgewinnung

Aktivität

VollkommenPassiv

VollkommenAktiv

Gültiger Traffic auf gültigem Dienst

Informationsgewinnung

Aktivität

VollkommenPassiv

VollkommenAktiv

Gültiger Traffic auf ungültigem

Dienst

Informationsgewinnung

Aktivität

VollkommenPassiv

VollkommenAktiv

Ungültiger Traffic auf gültigem Dienst

Informationsgewinnung

Aktivität

VollkommenPassiv

VollkommenAktiv

Ungültiger Traffic auf ungültigem

Dienst

AngriffPassive

IGAktive

IGRemote Exploit

Local Exploit

Root- kit

Expan-sion

- ........- ........

- ........- ........

- ........- ........

- ........- ........

- ........- ........

- ........- ........

Ziel

Informationen über

• eingesetzte Software

• Infrastruktur

• Netzwerkdesign

• Laufende Dienste

• Softwareversionen

Mittel

• Recherche im Internet, Newsgroups, Mailinglisten

• Versiongrabbing / Verbinden

• DNS zone transfers

• Social Engineering / In-personification

• Port Scanning

AngriffPassive

IGAktive

IGRemote Exploit

Local Exploit

Root- kit

Expan-sion

- ........- ........

- ........- ........

- ........- ........

- ........- ........

- ........- ........

- ........- ........

Ziel

Lokalen Benutzer-Account auf dem Zielrechner

MittelAus gewonnen Informationen werden Sicherheitslücken identifiziert

• MITRE

• CVE

• ISS X-Force

Sicherheitslücken auf dem Zielrechner ausnutzen

• Exploits schreiben/anwenden

AngriffPassive

IGAktive

IGRemote Exploit

Local Exploit

Root- kit

Expan-sion

- ........- ........

- ........- ........

- ........- ........

- ........- ........

- ........- ........

- ........- ........

Ziel

Root Zugriff auf dem Zielrechner

Somit Zugang zu Ressoucen

• lesen

• manipulieren

• löschen

Angriff erfolgreich

Mittel

Recherche nach Sicherheitslücken

Lokale Sicherheitslücke ausnutzen

• Buffer/Stack Overflow

• Format String

• SUID binaries

• Kernel Sicherheitslücken

AngriffPassive

IGAktive

IGRemote Exploit

Local Exploit

Root- kit

Expan-sion

- ........- ........

- ........- ........

- ........- ........

- ........- ........

- ........- ........

- ........- ........

Ziel

Dauerhaften root Zugriff auf den Zielrechner

“Gefahr” des Behebens der ursprünglichen Sicherheitslücke durch den Administrator entschärfen

Mittel

Backdoor Installation

Verstecken der Backdoor und der Zugriffe

• Rootkits

• Manipulierte Logfiles

AngriffPassive

IGAktive

IGRemote Exploit

Local Exploit

Root- kit

Expan-sion

- ........- ........

- ........- ........

- ........- ........

- ........- ........

- ........- ........

- ........- ........

Ziel

Weitere Systeme im Netzwerk angreifen

Mittel

Angegriffenes System als Ausgangsbasis nutzen

Vorteil

• Man ist schon im Netzwerk

• Firewall Regeln meist laxer

• Traffic oft nicht überwacht

Verteidigung

VerteidigungPassive

IGAktive

IGRemote Exploit

Local Exploit

Root- kit

Expan-sion

- ........- ........

- ........- ........

- ........- ........

- ........- ........

- ........- ........

- ........- ........

VerteidigungPassive

IGAktive

IGRemote Exploit

Local Exploit

Root- kit

Expan-sion

- ........- ........

- ........- ........

- ........- ........

- ........- ........

- ........- ........

- ........- ........

Prevention

Vorbeugen durch:

• Nicht die offizielle Mail-Adresse in Newsgroups, Mailinglisten & co benutzen

• Keine Detail-Informationen an fremde Personen verraten

• Social Engineering Awareness

Detection

Unmöglich

VerteidigungPassive

IGAktive

IGRemote Exploit

Local Exploit

Root- kit

Expan-sion

- ........- ........

- ........- ........

- ........- ........

- ........- ........

- ........- ........

- ........- ........

Prevention

Vorbeugen durch:

• Versionsanzeigen abschalten/verfremden

• Dienste auf anderen Ports lauschen lassen

• Firewalls

• Intrusion Prevention Systeme

Detection

Erkennen durch:

• Intrusion Detection Systeme

• Firewall Logfiles

• Serverlogfiles, z.B. UserAgent in Apache Logfile

Intrusion Detection

Intrusion DetectionBemerken eines Angriffs auf eine Ressource

• Netzwerkbasiert

Überwachung des Netzwerkverkehrs

• Hostbasiert

Überwachung von Dateien

• Hybrid

Kombination

Network IDS

• Sniffen des Netzwerktraffics

• Vergleich der Paketinhalte gegen Regeln

• Alarm bei Verstoß

Bekannteste OpenSource Lösung Snort

Network IDS

Internet

Firewall

SwitchIDS

PC

PC

PC

Admin

Host IDS

• Sitzt direkt auf dem Server

• Überprüft Dateizugirffe und Veränderungen

• Vergleich von Datei-Prüfsummen

• Alarm bei Verstoß

Bekannteste OpenSource Lösung Samhain,(Tripwire)

VerteidigungPassive

IGAktive

IGRemote Exploit

Local Exploit

Root- kit

Expan-sion

- ........- ........

- ........- ........

- ........- ........

- ........- ........

- ........- ........

- ........- ........

PreventionVorbeugen durch:

• Systeme immer aktuell halten

• Applikation Firewalls / Filter

• mod_security

• Firewalls

• Intrusion Prevention Systeme

• Snort

Detection

Erkennen durch:

• Intrusion Detection Systeme

• Logfiles

• Netzwerküberwachung

• netstat

• Network Security Monitoring

VerteidigungPassive

IGAktive

IGRemote Exploit

Local Exploit

Root- kit

Expan-sion

- ........- ........

- ........- ........

- ........- ........

- ........- ........

- ........- ........

- ........- ........

Prevention

Vorbeugen durch:

• Systeme immer aktuell halten

• Strickte ACL

• Chroot, Systrace, Jails, virtuelle Maschinen

DetectionErkennen durch:

• Hostbasierte Intrusion Detection Systeme

• Tripwire

• Samhain

• Logfiles

• utmp

• shell history

VerteidigungPassive

IGAktive

IGRemote Exploit

Local Exploit

Root- kit

Expan-sion

- ........- ........

- ........- ........

- ........- ........

- ........- ........

- ........- ........

- ........- ........

Prevention

Vorbeugen durch:

• Kernel Module abschalten

• BSD: Kernel Securitylevel

• Read-only Dateisysteme (Hardware)

Detection

Erkennen durch:

• Hostbasierte Intrusion Detection Systeme

• Rootkit Scanner

• chkrootkit

• rkhunter

• Forensische Analyse

VerteidigungPassive

IGAktive

IGRemote Exploit

Local Exploit

Root- kit

Expan-sion

- ........- ........

- ........- ........

- ........- ........

- ........- ........

- ........- ........

- ........- ........

Prevention

Vorbeugen durch:

• Strenge Firewall Regeln auch für interne Netze

• Isolierung von Systemen

• DMZ

Detection

Erkennen durch:

• Intrusion Detection Systeme

• Firewall logs

• Logfiles

Wieder am Anfang des Prozesses

Fazit

Ressourcen

Bücher

• Unix and Internet Security, Simson Garfikel&co, O’Reilly

• Network Security Assesment, ..., O’Reilly

• Network Security Monitoring, Richard Beijtrich, Addison-Wesley

• Security Warrior, ..., O’Reilly

• Practical Cryptography, Bruce Schneier&Nils Fergusson,...

• ..., Bruce Sterling, ...

Mailing Listen

• Bugtraq

• Full-Disclosure

• SecurityFocus

• IDS

• WebAppSec

• Nmap

Web

• Securityfocus.com

• OWASP

• Phrack.org

• grc.com

• CVE, MITRE, ISS X-Force

Fragen?