Intrusion Detection
Werbung
Intrusion Detection
Carsten Köhn
Prof. Dr.- Ing. Carsten Köhn
LABOR FÜR MEDIEN,
INTERNET UND ROBOTIK
Inhalt
Einleitung
Angriffe auf Netzwerksysteme
Intrusion Detection am Beispiel von Snort
Implementierung
Prof. Dr.- Ing. Carsten Köhn
LABOR FÜR MEDIEN,
INTERNET UND ROBOTIK
1
Einleitung
Steigender Bedarf an Sicherheit
Firmen-Netzwerke sind vielen Angriffs-Versuchen sowohl
von innen als auch von außen ausgesetzt
Definition Intrusion (nach Levitt)
Eine Menge von Handlungen, deren Ziel es ist, die
Integrität, die Verfügbarkeit oder die Vertraulichkeit
eines Betriebsmittels zu kompromittieren. Allgemeiner
gefasst kann man eine Intrusion als eine Verletzung
der Sicherheitsmassnahmen eines Systemes
verstehen.
Prof. Dr.- Ing. Carsten Köhn
LABOR FÜR MEDIEN,
INTERNET UND ROBOTIK
Intrusion Detection Systeme (1)
Intrusion Detection Systeme
Analyse des Netzwerkverkehrs in Echtzeit
Nach bestimmten Regeln etwaige Angriffe erkennen und
bei Bedarf Aktionen ausführen
den Angriff abzuwenden, protokollieren oder den
Administrator zu benachrichtigen
Frühe Intrusion Detection Systeme versuchten dies
anhand der Analyse der vom Betriebssystem zur
Verfügung gestellten Protokolldateien (Auditdaten)
Heutzutage kommt es nicht nur auf die Analyse von
Protokolldaten eines Hosts an, sondern auf die effektive
Analyse von teilweise sehr großem Netzwerkaufkommen
Prof. Dr.- Ing. Carsten Köhn
LABOR FÜR MEDIEN,
INTERNET UND ROBOTIK
2
Intrusion Detection Systeme (2)
Intrusion Detection System ist eine Art Alarmanlage
Bei Alarm z.B. Benachrichtigung des Administrators bei
Einbruch (über Pager, SMS, eMail, WinPopup-Message, etc.)
Konfiguration solcher Systeme ist sehr vielfältig und kann je
nach Ausführung auch sehr umfangreich werden
Unterschiede liegen im Einsatzgebiet, IDS für einen einzelnen
Rechner oder für ein ganzes Netz
Problem ist die Erkennung eines echten Alarms
(Fehlkonfiguration)
Verlässt sich ein SysAd auf frei erhältliche Konfigurationen
oder auf die Standardkonfiguration, kann es zu so genannten
False Positives oder auch False Negatives kommen
Prof. Dr.- Ing. Carsten Köhn
LABOR FÜR MEDIEN,
INTERNET UND ROBOTIK
Funktionen eines IDS-Systems
¾
¾
¾
Datensammlung
Datenanalyse
Ausgabe der Ergebnisse
Prof. Dr.- Ing. Carsten Köhn
LABOR FÜR MEDIEN,
INTERNET UND ROBOTIK
3
Datensammlung
Im ersten Schritt werden Daten gesammelt
Pakete, die das Netzwerk passieren
Präventiver Ansatz, da sie einen Angriff erkennen können
während er stattfindet und gegebenenfalls Gegenmaßnahmen
treffen (Echtzeit)
Reaktives Verhalten (reaktives IDS), Auswertung von
Protokolldaten
die vom Betriebssystem und von der auf dem Host laufenden
Software abgelegt werden
die Informationen auf der Applikationsebene geben und im
Idealfall auf Angriffe bestimmter Programme schließen lassen
die die Vergabe von Betriebsmitteln durch das Betriebssystem
zeigen
Prof. Dr.- Ing. Carsten Köhn
LABOR FÜR MEDIEN,
INTERNET UND ROBOTIK
Datenanalyse
Benutzergerechte Anzeige von Angriffen
Missbrauchserkennung, die anhand vordefinierter Muster
Einbrüche detektiert
Untersuchung der zeitlichen Abfolge von Ereignissen
Beobachtet das System den Anfang einer solchen
Ereignisfolge, erwartet es, dass auch der Rest dieser
Ereignisfolge abläuft. Passiert dies nicht, schlägt das
System Alarm.
Prof. Dr.- Ing. Carsten Köhn
LABOR FÜR MEDIEN,
INTERNET UND ROBOTIK
4
Ausgabe der Ergebnisse
Darstellung der Ergebnisse der Analyse geschieht je nach
Erkennungstechnik
Missbrauchserkennung kann in einer einfachen Ja/NeinDarstellung veranschaulicht werden
Es existieren auch signaturbasierte IDS, die für bestimmte
Angriffe Schwellwerte bieten. So muss ein IDS zum Beispiel
auch einen Portscan erkennen, bei dem die Pakete in
längeren Abständen gesendet werden
Die Ausgabe der Ergebnisse beschränkt sich natürlich nicht
auf die Aufbereitung der Daten für die lokale Einsicht, zum
Beispiel über ein Web-Interface wie ACID, sondern muss auch
die entsprechende Benachrichtigung des Administrators in
geeigneter Form beinhalten
Prof. Dr.- Ing. Carsten Köhn
LABOR FÜR MEDIEN,
INTERNET UND ROBOTIK
Unterschied Firewall / IDS
Firewall:
Trennendes Glied zweier
Netze
Zugriff überwachen resp.
beschränken
Paketfilter / Proxy
Einschränken der
Kommunikation
Problem: Angreifer im Netz ?
Problem: VPN
Problem: DoS – Attacken, …
IDS:
Angriffserkennung
Frühe Erkennung möglicher
Systemeinbrüche
Überwachen einer Vielzahl von
Netzaktivitäten (Verkehrslast,
Aktivitäten an bestimmten
Ports,…)
Keine Filterung des Netzverkehrs
Firewallergänzung
Prof. Dr.- Ing. Carsten Köhn
LABOR FÜR MEDIEN,
INTERNET UND ROBOTIK
5
Position eines IDS
Prof. Dr.- Ing. Carsten Köhn
LABOR FÜR MEDIEN,
INTERNET UND ROBOTIK
HIDS / NIDS
IDS
HIDS: Host-basiertes IDS
NIDS: Netzwerkbasierend
Lokale Rechneruntersuchung Untersuchung /
Protokollierung sämtlicher
Integritätsprüfung
Protokollanalyse
Echtzeitanalyse von
Systemaufrufen und
Dateizugriffen
Analyse von Betriebssystemoder Anwendungsdaten
Netzwerkpakete aus einem
ganzen Netzsegment
(Werkzeug: Sniffer)
Erkennung bekannter Angriffe
oder verdächtige
Vorkommnisse im Netzverkehr
anhand eines Regelsatzes
(Anomalieerkennung)
Erkennen von Angriffen gegen
die Firewall oder das IDS
selbst
Prof. Dr.- Ing. Carsten Köhn
LABOR FÜR MEDIEN,
INTERNET UND ROBOTIK
6
Aufgaben eines IDS
Missbrauchserkennung auf der
Netzwerkebene (Angriffe/Einbrüche, DoS,
Flooding, Portscan)
Anomalieerkennung (untypisches System- und
Benutzerverhalten)
Intrusion Response – Einleiten von
Gegenmaßnahmen (E-Mail, SMS,
Unterbrechung der Verbindung)
Ereignismeldungen
Protokollierung/Berichterstattung
Prof. Dr.- Ing. Carsten Köhn
LABOR FÜR MEDIEN,
INTERNET UND ROBOTIK
Intrusion Detection Systeme
Beispiel Snort
Prof. Dr.- Ing. Carsten Köhn
LABOR FÜR MEDIEN,
INTERNET UND ROBOTIK
7
Snort
freies Open Source NIDS – System
aktuelle Version 2.0
OS: UNIX/LINUX oder WIN NT
Signatur – Analyse (tägliche Updates)
Datenbankprotokollierung
Echtzeitalarmierung
Prof. Dr.- Ing. Carsten Köhn
LABOR FÜR MEDIEN,
INTERNET UND ROBOTIK
Snort Features I
Kann unter anderem erkennen:
Buffer overflows
Stealth port scans
CGI-Angriffe
SMB und NetBIOS Tests
Portscanner (wie nmap)
DDoS Clients
Prof. Dr.- Ing. Carsten Köhn
LABOR FÜR MEDIEN,
INTERNET UND ROBOTIK
8
Snort Features II
TCP-Stream Reassemblierung
IP-Defragmentierung
SPADE (statistical packet anomaly detection engine)
HTTP Präprozessor erkennt UNICODE
Ausführliche Regelsätze, individuell zusammenstellbar
Sicherheitsfeatures (chroot, User snort/snort)
Flexible Response (SNORT kann direkt
Gegenmaßnahmen einleiten)
Prof. Dr.- Ing. Carsten Köhn
LABOR FÜR MEDIEN,
INTERNET UND ROBOTIK
Aufbau von Snort
alert_syslog
/var/log/snort/alert.log
...
Detections Engine
...
SQL Datenbank
Stream 4
Frag 2
Portscan
Rules
HTTP
alert_database
Decoder routines
libcap
Rohes Netzwerktraffik
Prof. Dr.- Ing. Carsten Köhn
LABOR FÜR MEDIEN,
INTERNET UND ROBOTIK
9
Snort Tools (Arbeitserleichterungen)
ACID (Auswertungstool)
Analysis Console for Intrusion Detection
Web-basierte grafische Oberfläche, die Pflege und Analyse
von Snort-Ergebnissen in einer SQL-Datenbank erlaubt.
(PHP)
Snort-Center (Konfigurationstool)
Web-basiertes Client-Server SnortManagementsystem
- erlaubt die Erzeugung und Verwaltung von SnortKonfigurations- und Signaturdateien
automatischer Austausch mit den Snort-Sensoren
Prof. Dr.- Ing. Carsten Köhn
LABOR FÜR MEDIEN,
INTERNET UND ROBOTIK
Snort Topologie
Web Browser
Web Browser
HTTP
HTTP
SSL
SSL
ACID, Apache, MySQL Database, SnortCenter
SQL
SQL
SQL
eth0
eth0
eth0
Snort Sensor
eth1
Snort Sensor
eth1
Snort Sensor
eth1
Sniffed Network
Sniffed Network
Sniffed Network
ACID Console &
SnortCenter Traffic
SQL Database
Traffic
SnortCenter SSL
(Port 2525)
Sniffed Network
Traffic
Prof. Dr.- Ing. Carsten Köhn
LABOR FÜR MEDIEN,
INTERNET UND ROBOTIK
10
Platzierung eines Sensors
Sensor muss zu überwachenden Verkehr „sehen“
können
„Vor“ einem Paketfilter : Angriffserkennung
„Hinter“ einem Paketfilter: Einbruchserkennung
DMZ
IDS
IDS
LAN
Internet
FIREWALL
IDS
Prof. Dr.- Ing. Carsten Köhn
LABOR FÜR MEDIEN,
INTERNET UND ROBOTIK
Implementierung bei Fixies
Platzierung des Sensors vor der Firewall
Backendverbindung zum Datenbankserver
Sniffen der Netzwerkkarte im Monitor Mode
DMZ
MySQL
Webserver
LAN
Internet
FIREWALL
IDS
Prof. Dr.- Ing. Carsten Köhn
LABOR FÜR MEDIEN,
INTERNET UND ROBOTIK
11
IDS-Sensor
Minimale SuSE 8.2 Installation ohne
grafisches System
Snort (2.0)
SnortCenter Sensor Agent
Prof. Dr.- Ing. Carsten Köhn
LABOR FÜR MEDIEN,
INTERNET UND ROBOTIK
MySQL/Webserver
Benötigt zur Datenhaltung und Visualisierung
von Snort Meldungen
SnortCenter (Management Console)
Acid (Visualisierung) + Plugins
Prof. Dr.- Ing. Carsten Köhn
LABOR FÜR MEDIEN,
INTERNET UND ROBOTIK
12
SnortCenter
Prof. Dr.- Ing. Carsten Köhn
LABOR FÜR MEDIEN,
INTERNET UND ROBOTIK
Acid als Plugin für SnortCenter
Prof. Dr.- Ing. Carsten Köhn
LABOR FÜR MEDIEN,
INTERNET UND ROBOTIK
13
Erweiterbarkeit
Benachrichtigungen per Mail / SMB Message
o.Ä., um schnell (manuell) eingreifen zu
können
Automatic Response (z.B. Ändern der
Firewallregeln wie IP-Blocking….) mittels
Tools wie SnortSAM
Prof. Dr.- Ing. Carsten Köhn
LABOR FÜR MEDIEN,
INTERNET UND ROBOTIK
Angriffe auf Netzwerksysteme
Prof. Dr.- Ing. Carsten Köhn
LABOR FÜR MEDIEN,
INTERNET UND ROBOTIK
14
Inhalt
Ping of Death
Syn-Flood
Spoofing
Session Hijacking
Gespoofter Portscan
Mitnick Angriff
Buffer OverFlow
Penetration Test Tool Nessus
Prof. Dr.- Ing. Carsten Köhn
LABOR FÜR MEDIEN,
INTERNET UND ROBOTIK
Ping of Death
Durch "übergroße" Ping-Pakete wird ein Buffer Overflow
erzeugt
Funktioniert(e) ICMP, UDP und TCP
DoS Attacke war im Jahr 1997 aktuell
alles was einen IP Stack hatte war betroffen
Es war die einzige Attacke mit der man sein Opfer auf
einen Schlag crashen konnte und das sogar von
Windows aus
Ping of Death unter Windows:
Start|Ausführen|Ping -l 65510 www.target.com
Mittlerweile sind die meisten Hosts sicher vor solchen
Angriffen
Prof. Dr.- Ing. Carsten Köhn
LABOR FÜR MEDIEN,
INTERNET UND ROBOTIK
15
Syn-Flood
Typischer Denial of Service (etwas außer Betrieb
setzen)-Angriff
Offene Ports werden mit sehr vielen TCP/IP SYN
Packeten konfrontiert
Der Opfer Server sendet TCP/IP SYN/ACK Pakete
und erwartet vom Client eine TCP/IP ACK
Durch das schnelle Aufbauen der Verbindungen und
das Fehlen der TCP/IP ACK`s werden die
Verbindungstabellen des Servers überlastet
Der Effekt lässt sich erhöhen durch DDoSAngriffe(Distrubted Denial of Service)
Prof. Dr.- Ing. Carsten Köhn
LABOR FÜR MEDIEN,
INTERNET UND ROBOTIK
SYN-Flooding Ergänzung
Beim "SYN Flooding" werden TCP Connections zum
Opfer mit dem "three-way-handshake" aufgebaut
Normalerweise wird ein SYN Paket gesendet, auf dem
mit einem SYN/ACK Paket geantwortet wird und darauf
wiederum wird mit ACK bestätigt
Bei der "SYN Flooding" Attacke wird die
Absenderadresse gespooft und das SYN/ACK Paket läuft
ins leere
Erfolgt nach einiger Zeit keine erneute Antwort wird der
Verbindungsversuch als erfolglos klassifiziert
In der Zeit bis zum Abbruch wird das Opfer mit SYN
Paketen geflutet bzw. überflutet
1996 populär
Prof. Dr.- Ing. Carsten Köhn
LABOR FÜR MEDIEN,
INTERNET UND ROBOTIK
16
Tear Drop
Der "teardrop" Angriff ist ähnlich dem „Ping
of Death„
Ping of Death erzeugte eine übergroße
Fragmentierung
Teardrop überlappte die Fragmente
Linux & Windows hatten Probleme
(Systemcrash)
Einsatz 1997, heute durch Patches gebannt
Prof. Dr.- Ing. Carsten Köhn
LABOR FÜR MEDIEN,
INTERNET UND ROBOTIK
Spoofing
IP-Spoofing
DNS-Spoofing
SMURF-Angriff
Tarnung oder um als Trusted Host zu erscheinen
Der Angreifer fälscht die Antwort eines DNS-Servers und
gibt sich als Zielrechner aus
Gleichzeitig leitet er die Verbindung an den echten
Zielrechner weiter(Proxy)
ARP-Spoofing
Der Angreifer beantwortet einen ARP-Request mit seiner
eigenen MAC-Adresse und routet die Pakete an das echte
Ziel weiter.
Prof. Dr.- Ing. Carsten Köhn
LABOR FÜR MEDIEN,
INTERNET UND ROBOTIK
17
Spoofing allgemein
"Spoofing" bedeutet
etwas verfälschen
etwas imitieren
etwas verändern
Einsatzgebiete
email spoofen
Prof. Dr.- Ing. Carsten Köhn
LABOR FÜR MEDIEN,
INTERNET UND ROBOTIK
SMURF-Angriff
Opfer
Broadcast Reply
Unix
Unix
Broadcast Reply
Ethernet
Broadcast Reply
Broadcast Opfer IP
Broadcast Reply
Angreifer
Unix
Unix
Prof. Dr.- Ing. Carsten Köhn
LABOR FÜR MEDIEN,
INTERNET UND ROBOTIK
18
SMURF-Angriff
Es werden mehrere Pings an mehrere Hosts
geschickt
Dabei wird der Absender gespooft (fälscht) und
der Zielrechner des Angriffs eingesetzt
Werden bspw. 1000 Pakete pro Sekunde an
1000 Rechner gesendet, die alle antworten, so
erhält das eigentliche Opfer 1.000.000 Pakete/s
Erstmals als "ICMP Storm“ bekannt geworden
1997 wurde SMURF programmiert
Prof. Dr.- Ing. Carsten Köhn
LABOR FÜR MEDIEN,
INTERNET UND ROBOTIK
Gespoofter Portscan
Wird benutzt um die offenen Ports des
Opfers zu scannen ohne sich durch die IPAdresse zu verraten
Ip-Adresse wird so verfälscht, dass die
Antworten an einen Silent Host ankommen.
Angreifer kann durch TCP/IP Pakete an den
Silent Host herausfinden, welche Ports des
Opfers offen sind.
Prof. Dr.- Ing. Carsten Köhn
LABOR FÜR MEDIEN,
INTERNET UND ROBOTIK
19
Gespoofter Portscan
LAN
Firewall
TCP/IP RST
IpSeq=n+1
TCP/IP Syn
P#=n
Internet
TCP/IP Syn/Ack
TCP/IP Syn
P#=n
Angreifer
Prof. Dr.- Ing. Carsten Köhn
LABOR FÜR MEDIEN,
INTERNET UND ROBOTIK
TCP/IP RST
P#=n
Ipseg#=n+2
Port offen
Silent Host
TCP/IP RST
P#=n
Ipseq#=n+1
Port geschlossen
TCP/IP Session Hijacking
Versuch, eine TCP/IP Verbindung unbemerkt
zu übernehmen und Daten in die Verbindung
zu injizieren.
Der Angreifer hört die bestehende
Verbindung ab und kann dadurch die TCPSeq Nr. errechnen
Prof. Dr.- Ing. Carsten Köhn
LABOR FÜR MEDIEN,
INTERNET UND ROBOTIK
20
Mitnick-Angriffe
Benannt nach Kevin Mitnick (verhaftet Feb.
95)
Mischung aus SYN-Flood TCP/IP Session
Hijacking
Auf heutigen Unix-Systemen nicht mehr
möglich
Prof. Dr.- Ing. Carsten Köhn
LABOR FÜR MEDIEN,
INTERNET UND ROBOTIK
Mitnick Angriff
Nirwana
TCP/IP Syn/Ack (3)
Ethernet
Host 2
Host 1
TCP connect(2)
Syn-Flood(1)
TCP/IP
Ack(4)
Angreifer
Prof. Dr.- Ing. Carsten Köhn
LABOR FÜR MEDIEN,
INTERNET UND ROBOTIK
21
Buffer Overflows
Durch Programmierfehler kann durch
bestimmte Zeichenfolgen Programmcode auf
dem Zielsystem ausgeführt werden:
Bestimmte Zeichenfolgen werden übergeben
Der Prozess auf dem Zielsystem(httpd, telnetd)
speichert sie ab und überschreibt dabei seinen
Rücksprungpunkt auf dem Stack
Prof. Dr.- Ing. Carsten Köhn
LABOR FÜR MEDIEN,
INTERNET UND ROBOTIK
Buffer Overflows
Vorher
Nachher
# -2048
Array [1024]
# -2048
# -1024
A rray [1024](P uffer)
# -1024
Array [1024]
P rogram m code
#0
A ktuelle Stackpositon
#0
#1
Instruction Pointer
#1
Unserer Instruction P ointer
Prof. Dr.- Ing. Carsten Köhn
LABOR FÜR MEDIEN,
INTERNET UND ROBOTIK
22
Nessus
Tool zum Testen von Angriffen
DoS Attacken
Buffer Overflows
TCP/IP Hijacking usw.
Keine TCP/IP Kenntnisse nötig
Keine Assemblerkenntnisse nötig
Prof. Dr.- Ing. Carsten Köhn
LABOR FÜR MEDIEN,
INTERNET UND ROBOTIK
Prof. Dr.- Ing. Carsten Köhn
LABOR FÜR MEDIEN,
INTERNET UND ROBOTIK
23
Prof. Dr.- Ing. Carsten Köhn
LABOR FÜR MEDIEN,
INTERNET UND ROBOTIK
15 Hinweise zum Schutz vor (D)DoS-Angriffen
Maßnahmen für Netzvermittler
1. Verhinderung von IP-Spoofing
Viele DoS-Angriffe nutzen gefälschte IP-Absenderadressen. Dies
macht einerseits einige Angriffe erst möglich und erschwert
andererseits die Suche nach dem Verursacher. Durch
entsprechende technische Regeln (RFC 2267 vom Januar 1998) in
der Netzinfrastruktur der Netzvermittler können die Netzbetreiber
diese Möglichkeit wesentlich einschränken, so dass gefälschte
Pakete nicht weiter ins Internet vermittelt werden. Eine
Organisation, die an einen Netzbetreiber angeschlossen ist, hat
einen bestimmten IP-Adressbereich zur Verfügung. Jedes IP-Paket,
dass aus dieser Organisation in das Internet geschickt wird,
müsste eine IP-Absenderadresse aus diesem Bereich haben. Ist
dies nicht der Fall, so handelt es sich um eine gefälschte Adresse
und das IP-Paket sollte vom Netzvermittler nicht weitergeleitet
werden, d. h., es soll eine Paketfilterung auf die Absenderadressen
beim Einspeisen der Pakete in das Internet durchgeführt werden.
Prof. Dr.- Ing. Carsten Köhn
LABOR FÜR MEDIEN,
INTERNET UND ROBOTIK
Bundesamt für Sicherheit in der Informationstechnik
24
15 Hinweise zum Schutz vor (D)DoS-Angriffen
Maßnahmen für Netzvermittler
2. Einsatz von Paketfiltern bei Netzvermittlern
Häufig sind Server nur über eine einzelne Netzverbindung an den
Netzvermittler angebunden. Selbst wenn die Server
widerstandfähig gegen DoS-Angriffe sind, so ist doch diese
Netzverbindung selber in ihrer Kapazität beschränkt und kann von
einem Angreifer vollständig ausgelastet werden, so dass die Server
aus dem Internet nicht mehr erreichbar sind. Daher sollten
Netzvermittler in Erwägung ziehen, die Netzanbindung der
Serverbetreiber durch den Einsatz von Paketfiltern gegen DoSAngriffe abzuschirmen
Prof. Dr.- Ing. Carsten Köhn
LABOR FÜR MEDIEN,
INTERNET UND ROBOTIK
Bundesamt für Sicherheit in der Informationstechnik
15 Hinweise zum Schutz vor (D)DoS-Angriffen
Maßnahmen für Serverbetreiber
3.
4.
5.
Einsatz von Paketfiltern bei Serverbetreibern
Server sollten im Normalfall nur wenige Dienste anbieten und
entsprechend konfiguriert werden. Auf dem vorgeschalteten Router
sollten Paketfilterregeln implementiert werden, die nur die zugehörigen
Protokolle passieren lassen und beispielsweise sicherheitskritische
Dienste oder gerichtete Broadcasts (RFC 2644) abblocken. Im Falle
eines Angriffs können diese Router so umkonfiguriert werden, dass die
Anfragen von verdächtigen einzelnen IP-Adressen oder Adressbereichen abgewiesen werden.
Automatische Angriffserkennung
DoS-Angriffe zeichnen sich normalerweise dadurch aus, dass sie Server
anomal auslasten. Daher sollten typische Kennwerte
(Speicherauslastung, Stacks, Netzauslastung, ...) ständig überwacht
werden. Eine automatische Alarmierung ermöglicht dann, zeitnah
Reaktionen einzuleiten (hostbasierte Angriffserkennung). Hierzu sind
ggf. geeignete Zusatzprodukte heranzuziehen. Zusätzliche
Informationen zu Intrusion Detection Systems finden sich
beispielsweise unter http://www.bsi.bund.de/literat/studien/ids/idsstud.htm
Etablierung eines Notfallplans
Im Falle eines Angriffs ist es von zentraler Bedeutung, schnell
reagieren zu können. Nur so ist es möglich wirksame
Prof. Dr.- Ing. Carsten Köhn
Gegenmaßnahmen
einzuleiten, eventuell den Angreifer zu identifizieren
LABOR FÜR MEDIEN,
INTERNET
ROBOTIK
und
den UND
Normalbetrieb
innerhalb kurzer Zeit wieder herzustellen. In
i
N f ll l i d h
i
i
E k l i
d
25
15 Hinweise zum Schutz vor (D)DoS-Angriffen
Maßnahmen für Serverbetreiber
3.
4.
Einsatz von Paketfiltern bei Serverbetreibern
Server sollten im Normalfall nur wenige Dienste anbieten und
entsprechend konfiguriert werden. Auf dem vorgeschalteten Router
sollten Paketfilterregeln implementiert werden, die nur die zugehörigen
Protokolle passieren lassen und beispielsweise sicherheitskritische
Dienste oder gerichtete Broadcasts (RFC 2644) abblocken. Im Falle
eines Angriffs können diese Router so umkonfiguriert werden, dass die
Anfragen von verdächtigen einzelnen IP-Adressen oder Adressbereichen abgewiesen werden.
Automatische Angriffserkennung
DoS-Angriffe zeichnen sich normalerweise dadurch aus, dass sie Server
anomal auslasten. Daher sollten typische Kennwerte
(Speicherauslastung, Stacks, Netzauslastung, ...) ständig überwacht
werden. Eine automatische Alarmierung ermöglicht dann, zeitnah
Reaktionen einzuleiten (hostbasierte Angriffserkennung). Hierzu sind
ggf. geeignete Zusatzprodukte heranzuziehen. Zusätzliche
Informationen zu Intrusion Detection Systems finden sich
beispielsweise unter http://www.bsi.bund.de/literat/studien/ids/idsstud.htm
Prof. Dr.- Ing. Carsten Köhn
LABOR FÜR MEDIEN,
INTERNET UND ROBOTIK
15 Hinweise zum Schutz vor (D)DoS-Angriffen
Maßnahmen für Serverbetreiber
5. Etablierung eines Notfallplans
Im Falle eines Angriffs ist es von zentraler Bedeutung, schnell
reagieren zu können. Nur so ist es möglich wirksame
Gegenmaßnahmen einzuleiten, eventuell den Angreifer zu identifizieren
und den Normalbetrieb innerhalb kurzer Zeit wieder herzustellen. In
einem Notfallplan ist daher eine geeignete Eskalationsprozedur
festzuschreiben. Notwendige Angaben sind dabei u. a.
Ansprechpartner, Verantwortliche, alternative Kommunikationswege,
Handlungsanweisungen und Lagerort möglicherweise benötigter
Resourcen
Prof. Dr.- Ing. Carsten Köhn
LABOR FÜR MEDIEN,
INTERNET UND ROBOTIK
26
Maßnahmen für Serverbetreiber
6.
7.
Sichere Konfiguration der Server
Die Server der Serverbetreiber können als Agenten eines DoS-Angriffs
missbraucht werden. Der Angreifer installiert dazu unter Ausnutzung
bekannter Schwachstellen Schadsoftware. Daher müssen die Betreiber
der Server diese sorgfältig und sicher konfigurieren. Nicht benötigte
Netzdienste sind zu deaktivierten und die benötigten abzusichern, ein
hinreichender Passwort- und Zugriffsschutz sowie rechtzeitiges Ändern
(insbesondere voreingestellter) Passwörter muss sichergestellt sein.
Restriktive Rechtevergabe und Protokollierung
Durch Manipulationen an Servern kann ein Angreifer diese als Agenten
missbrauchen oder ihre Leistungsfähigkeit einschränken. Deshalb
müssen alle Änderungen und alle Zugriffe auf den Server protokolliert
werden. Es ist auf eine restriktive Vergabe von Zugriffsrechten der
Nutzer, auf die zur Verfügung gestellten Systemressourcen und auf
eine erhöhte Sorgfalt bei Konfigurationsänderungen zu achten. In
regelmäßigen Abständen ist das Dateisystem auf Integrität zu
überprüfen.
Prof. Dr.- Ing. Carsten Köhn
LABOR FÜR MEDIEN,
INTERNET UND ROBOTIK
Maßnahmen für Serverbetreiber
6.
Einsatz von Open-Source-Produkten
Für den Fall, dass Schwachstellen neu entdeckt werden, die einen DoSAngriff ermöglichen oder erleichtern, ist es wichtig, dass diese schnell
behoben werden können. Meist werden derartige Schwachstellen in
Open-Source-Software wesentlich schneller behoben als in Produkten,
deren Quellcode nicht veröffentlicht ist. Häufig können die
Veränderungen im Quellcode sogar selbst durchgeführt werden. Daher
sollten Open-Source-Produkte bei ähnlicher Leistungsfähigkeit
bevorzugt werden (siehe http://linux.kbst.bund.de/)
Prof. Dr.- Ing. Carsten Köhn
LABOR FÜR MEDIEN,
INTERNET UND ROBOTIK
27
Maßnahmen für Inhalte-Anbieter
Auswahl geeigneter und IT-sicherheitsbewußter
Serverbetreiber
Die Inhalte-Anbieter sollten durch die Wahl ihres
Serverbetreibers darauf hinwirken, dass dieser Sicherheit und
Verfügbarkeit als zentrale Leistungsmerkmale ansieht. Daher
sollten sie einen Serverbetreiber wählen, der entsprechende
Erfahrungen mit den benötigten Internet-Plattformen vorweisen
und seine Bemühungen im Bereich IT-Sicherheit nachweisen
kann, z. B. durch ein IT-Sicherheitskonzept.
10. Vermeidung aktiver Inhalte
Viele WWW-Seiten im Internet sind derzeit nur nutzbar, wenn in
den Browsern aus Sicherheitssicht bedenkliche Einstellungen
vorgenommen werden, die von einem Angreifer missbraucht
werden können. Durch bewusste Vermeidung
sicherheitskritischer Techniken (z. B. aktive Inhalte) können
Inhalte-Anbieter dazu beitragen, dass auf den Clients keine
unsicheren Einstellungen vorhanden sein müssen
9.
Prof. Dr.- Ing. Carsten Köhn
LABOR FÜR MEDIEN,
INTERNET UND ROBOTIK
Maßnahmen für Inhalte-Anbieter
9.
Tägliche Überprüfung von Dateien auf Viren und
Angriffsprogrammen
Viele Inhalte-Anbieter stellen auf ihren WWW-Seiten Programme
und Dokumente zum Download bereit. Gelingt es einem
Angreifer, dort ein trojanisches Pferd einzubringen, so kann er in
kurzer Zeit auf eine große Verbreitung hoffen. Eine solche
Vorgehensweise ist insbesondere bei DDoS-Angriffen für
Angreifer verlockend, da dabei eine große Zahl von Rechnern für
einen wirkungsvollen Angriff benötigt wird (für die Suche nach
DDoS-Programmen siehe z. B.
http://foia.fbi.gov/nipc/trinoo.htm).
Prof. Dr.- Ing. Carsten Köhn
LABOR FÜR MEDIEN,
INTERNET UND ROBOTIK
28
Maßnahmen für Endanwender
12.
Schutz vor Schadprogrammen
Rechner von Endanwendern können als Agenten für
Angriffe missbraucht werden. Am leichtesten lassen sich
solche Agenten über Viren, trojanische Pferde oder
durch aktive Inhalte (insbesondere ActiveX) auf die
einzelnen Rechner installieren. Daher ist ein
zuverlässiger und aktueller Virenschutz und das
Abschalten aktiver Inhalte im Browser dringend
anzuraten. Ggf. kann auch der Einsatz von
Hilfsprogrammen zum Online-Schutz des Clients
(beispielsweise PC-Firewalls) erwogen werden
Prof. Dr.- Ing. Carsten Köhn
LABOR FÜR MEDIEN,
INTERNET UND ROBOTIK
Maßnahmen für alle
13.
Tool-Einsatz und Schulung der Mitarbeiter
Um einen Rechner vor Risiken und Gefahren zu schützen, ist z. T.
erhebliches Know-How zur Erarbeitung einer effektiven ITSicherheitskonfiguration notwendig. Administratoren müssen daher
ausreichend aus- und weitergebildet werden. Zur Unterstützung der
Administrationsaufgaben sollten zudem Sicherheits-Tools
herangezogen werden. Besonders geeignet ist hier das BSI-Tool
USEIT (im Internet unter
http://www.bsi.bund.de/aufgaben/projekte/useitool/useit.htm), das es
ermöglicht, Schwachstellen in der Installation und Konfiguration von
Unix-Rechnern zu finden."
Prof. Dr.- Ing. Carsten Köhn
LABOR FÜR MEDIEN,
INTERNET UND ROBOTIK
29
Maßnahmen für alle
13.
14.
IT-Grundschutz für Rechner mit Internet-Anschluss
Rechner, die über einen Internet-Anschluss verfügen, sollten durch
konsequente Umsetzungen der IT-Grundschutzmaßnahmen aus den
Kapiteln 6.1, 6.2 und 6.4 für vernetzte Unix-Systeme bzw. Windows
NT des IT-Grundschutzhandbuchs ein angemessenes
Sicherheitsniveau erreichen. Damit ist gewährleistet, dass typischen
Gefährdungen entgegengewirkt wird.
Zeitnahes Einspielen von Sicherheits-Updates
Immer wieder werden neue sicherheitsrelevante Schwachstellen in
den Betriebssystemen und der Serversoftware entdeckt, die wenig
später durch Updates (Patches) der Hersteller behoben werden. Um
möglichst zeitnah reagieren zu können, ist es notwendig, die
Mailinglisten des Computer Emergency Response Teams (CERT) unter
http://www.cert.org und der Hersteller zu abonnieren und
auszuwerten. Die relevanten Updates sind schnellst möglich
einzuspielen, um die bekannt gewordenen Schwachstellen zu beheben
Prof. Dr.- Ing. Carsten Köhn
LABOR FÜR MEDIEN,
INTERNET UND ROBOTIK
Weitere Angriffe
¾
¾
¾
"Sniffing"
"etwas herausfinden"
Fast alle Daten eines Hosts der mit dem
Netzverbunden ist lassen sich "sniffen"
Prof. Dr.- Ing. Carsten Köhn
LABOR FÜR MEDIEN,
INTERNET UND ROBOTIK
30
Brute Force Attack
Normalerweise nutzt man ein Programm für einen
solchen Angriff
Start mit dem Usernamen eines Service (meist FTP pder
HT Access)
Das Programm versucht sich mit allen möglichen
Wörtern, Wortkombinationen, Zahlenkombinationen etc.
in den Service einzuloggen
Funktioniert auch ohne Username, dann wird eine
Wordlist (Auflistung vieler verschiedener Wörter) bis zum
login genutzt
BruteForce Angriffe dauern sehr lange, weil alle
Kombinationen probiert werden
Prof. Dr.- Ing. Carsten Köhn
LABOR FÜR MEDIEN,
INTERNET UND ROBOTIK
Dictionary Attack
¾
¾
Ähnlich dem Brute Force-Angriff
Hier dienen aber spezielle Dictionaries als Eingabehilfe
Prof. Dr.- Ing. Carsten Köhn
LABOR FÜR MEDIEN,
INTERNET UND ROBOTIK
31
Einsatz von Passwort Cracks
Programme Brutus oder Unsecure
Herausfinden von Online Passwörtern
Beispiele:
Prof. Dr.- Ing. Carsten Köhn
LABOR FÜR MEDIEN,
INTERNET UND ROBOTIK
Exploits
Exploits sind kleine Programme/Scripts die
normalerweise in "C" bzw. "C++" für Unix
bzw. Linux programmiert wurden
Diese Programme nutzen Bugs(Fehler) auf
Servern aus und verschaffen dem Anwender
somit diverse sicherheitsrelevante
Möglichkeiten
Zahlreiche Exploits auf einschlägigen
Szeneseiten wie z.B. www.dslabs.orgoder
rootshell.com
Prof. Dr.- Ing. Carsten Köhn
LABOR FÜR MEDIEN,
INTERNET UND ROBOTIK
32
HTML-Bugs Beispie Netscape 4.7
Fehler in der CSS-Routine, Absturz
Reines HTML bringt hier den Browser zum Absturz
<style type="text/css">
#sneeks {position: absolute;}
</style>
</head>
<blockquote>
<font face="Tahoma" size=10>sneeks</font> <div
id="sneeks">
<table width=23% height=23%>
<tr><td> 2000</b> </td></tr>
</table>
Prof. Dr.- Ing. Carsten Köhn
LABOR FÜR MEDIEN,
INTERNET UND ROBOTIK
HTML-Bug IE 5.0
Der Bug wird ganz einfach durch eine zu große Eingabe ausgenutzt und bringt dabei den IE 5.0
zum sicheren Absturz
Das einzige, was man machen muss, um den IE 5.0 durch diesen Bug abstürzen zu lassen ist, ein
zu großes/langes Eingabefeld, das in einer Tabelle enthalten ist, in seine HTML-Datei einzufügen.
Beispiel:
<table> <tr> <form method="POST"> <input type="text" name="[sneeks]" size="
3133731337313373133731337 3133731337313373133731337 3133731337313373133731337
3133731337313373133731337 3133731337313373133731337 3133731337313373133731337
3133731337313373133731337 3133731337313373133731337 3133731337313373133731337
3133731337313373133731337 3133731337313373133731337 3133731337313373133731337
3133731337313373133731337 3133731337313373133731337 3133731337313373133731337
3133731337313373133731337 3133731337313373133731337 3133731337313373133731337
3133731337313373133731337 3133731337313373133731337 3133731337313373133731337
3133731337313373133731337 3133731337313373133731337 3133731337313373133731337
3133731337313373133731337 3133731337313373133731337 " maxlength="
3133731337313373133731337 3133731337313373133731337 3133731337313373133731337
3133731337313373133731337 3133731337313373133731337 3133731337313373133731337
3133731337313373133731337 3133731337313373133731337 3133731337313373133731337
3133731337313373133731337 3133731337313373133731337 3133731337313373133731337
3133731337313373133731337 3133731337313373133731337 3133731337313373133731337
3133731337313373133731337 3133731337313373133731337 3133731337313373133731337
3133731337313373133731337 3133731337313373133731337 3133731337313373133731337
3133731337313373133731337 3133731337313373133731337 3133731337313373133731337
3133731337313373133731337 3133731337313373133731337 " </td> </tr> </table>
Prof. Dr.- Ing. Carsten Köhn
LABOR FÜR MEDIEN,
INTERNET UND ROBOTIK
33
Weiterführende Aussagen
Hinweise auf HTML-Mails
E-Mail-Konten hacken
Prof. Dr.- Ing. Carsten Köhn
LABOR FÜR MEDIEN,
INTERNET UND ROBOTIK
Gliederung
Übung
Prof. Dr.- Ing. Carsten Köhn
LABOR FÜR MEDIEN,
INTERNET UND ROBOTIK
34
Firewalltechnologie
Prof. Dr.- Ing. Carsten Köhn
LABOR FÜR MEDIEN,
INTERNET UND ROBOTIK
Firewalls
Eine Firewall ist ein Vermittlungsrechner zwischen dem Internet und
einem geschützten Bereich
Die Firewall beschränkt den Datenverkehr zwischen dem Internet
und dem geschützten Bereich
Es gibt zwei Arten
Paketfilter
Proxies
Firewalls arbeiten richtungsabhängig
Firewalls für in den geschützten Bereich eingehenden Verkehr
Firewalls für aus dem geschützten Bereich ausgehenden Verkehr
Oft mehrere Firewalls für verschachtelte geschützte Bereiche
Prof. Dr.- Ing. Carsten Köhn
LABOR FÜR MEDIEN,
INTERNET UND ROBOTIK
35
Paketfilter
Die Aufgabe des Paketfilterns wird meist von einem
Router übernommen
Filtert eingehende und ausgehende Pakete
Er verwirft Pakete abhängig von
IP Adresse des Senders
IP-Adresse des Empfängers
Protokoll (TCP, UDP, ICMP)
TCP/UDP Port des Senders
TCP/UDP Port des Empfängers
ICMP-Typ
Eingangsnetzwerkkarte
Ausgangsnetzwerkkarte
Prof. Dr.- Ing. Carsten Köhn
LABOR FÜR MEDIEN,
INTERNET UND ROBOTIK
Firewall Entwürfe
Einfache Variante
Zweiarmige Firewall
Problem:
Nach Einbruch ist
das gesamte Netzwerk angreifbar
Prof. Dr.- Ing. Carsten Köhn
LABOR FÜR MEDIEN,
INTERNET UND ROBOTIK
36
Firewall Entwürfe
DMZ
Entmilitarisierte Zone
¾Standardentwurf
¾Externer Web- und
FTP- Server in DMZ
¾Internes Netz mit
privaten Adressen
Prof. Dr.- Ing. Carsten Köhn
LABOR FÜR MEDIEN,
INTERNET UND ROBOTIK
Firewall Entwürfe
DMZ
mit nur einem Router
¾gute Sicherheit
¾Konfiguration
aufwendiger
Prof. Dr.- Ing. Carsten Köhn
LABOR FÜR MEDIEN,
INTERNET UND ROBOTIK
37
Firewall Entwürfe
Interner Router mit
Proxyserver
¾wenig Sicherheit
Prof. Dr.- Ing. Carsten Köhn
LABOR FÜR MEDIEN,
INTERNET UND ROBOTIK
Firewall Entwürfe
Interner Router mit
Proxyserver
¾sichere Variante
Prof. Dr.- Ing. Carsten Köhn
LABOR FÜR MEDIEN,
INTERNET UND ROBOTIK
38
