IP-Adressen

Werbung
S
C
ISO
YSTEM
C
ISO
YTEM
XLAB
Lehrerfortbildung 2011CISCO
SYLOWER
STEMS
UPPER
NORMAL
POWER
POWER
Andreas Ißleiber
1
Netzwerk
Grundlagen
10/2009
Andreas Ißleiber ([email protected])
http://www.gwdg.de/~aisslei
2
Netzwerk: Physikalische Verbindungen
• BNC für RG-58 Koaxialkabel
• RJ45 für Twisted Pair Kabel
• ST Stecker (LWL)
• SC Stecker (LWL)
• Funk (WLAN), Blue-Tooth
OSI-Referenzmodell
(7 Schichten)
Anwendungen: http(www), eMail(SMTP), FTP, SSH, Telnet etc.
Protokolle: TCP, UDP, ICMP etc.
IP-Adressen
Netzwerkkabel, Anschlüsse
4
Kommunikation im OSI-Referenzmodell
5
Kommunikation erfolgt in gleichen Schichten (horizontal), bei gleichen Protokollen
MAC-Adressen
-Media Access Control (auch Ethernetadresse genannt)
-Ist eine 48 bit „große“ Adresse (6 Bytes)
-248 = 2^16 * 2^16 * 2^16 = 65536*65536*65536 = 2,8^E14 Adressen
-MAC-Adresse ist (weltweit) eindeutig,
-MAC-Adresse ist direkt an die Hardware ( z.B. Ethernetkarte) gebunden
Format & Schreibweisen:
00-CF-A7-34-0B-13 (oder 00:CF:A7:34:0B:13)
Besondere MAC-Adressen:
FF-FF-FF-FF-FF-FF (Broadcast)
6
Aktive Netzwerkgeräte
HUB & Switch
Unterschiede: Layer 1 und Layer 2
HUB
Switch
(Layer 1)
(Layer 2)
Netzwerkpakete werden immer an alle
Ports(Anschlüssen) übertragen
Netzwerkpakete werden nur! zwischen den
kommunizierenden Ports(Rechnern)
übertragen
PC1
PC1
PC2
PC3
PC4
PC5
PC2
PC3
PC4
PC5
7
Aktive Netzwerkkomponenten
im OSI-Modell
Layer
}
, HUB
4-7
3
2
1
8
IP-Adressen
Jeder Rechner in einem TCP/IP-Netzwerk benötigt eine eindeutige IP-Adresse.
Eine IP-Adresse besteht aus 4-Bytes (Bsp: 134.76.10.47), die sich aus zwei
Teilen, dem Netzwerk- und dem Host-Anteil, zusammensetzt. Insgesamt
lassen sich so 2³² = 4.294.967.296 Adressen im Internet darstellen.
Byte 1
Byte 2
Byte 3
Byte 4
10000110
01001100
00001010
00101111
134.
76.
10.
47
IP-Adressen sind in Klassen unterteilt (definiert durch erste 3 Bits des ersten
Bytes einer IP-Adresse)
Klasse IP-Adresse
1.Byte
Netz
Hosts
A
1-126
0xxxxxxx
126
16777214
B
128-191
10xxxxxx
16383
65534
C
192-223
110xxxxx
2097151
254
9
IP-Adressen: Klassen
10
Besondere IP-Adressen
• 127.x.x.x
Localhost (oft: 127.0.0.1)
• 255 (im Host Teil) (Bsp: 134.76.10.255)
Broadcast-Adresse
• 255.255.255.255
Broadcast
• 0 (im Netz-Teil)
Netzwerk-Adresse (Bsp: 134.76.10.0)
11
IP-Adressen & Subnetzmasken
12
Berechnung der Subnetze
(Hostanteil, Netzanteil)
Berechung des Netz-Anteils durch bitweises, logisches UND
zwischen IP-Adresse und Subnetzmaske
dezimal
binär
IP-Adresse
134.76.10.47
10000110 . 01001100 . 00001010 . 00101111
Subnetzmaske
255.255.255.0
11111111 . 11111111 . 11111111 . 00000000
Netz(Anteil)
134.76.10.0
10000110 . 01001100 . 00001010 . 00000000
Host(Anteil)
0.0.0.255
00000000 . 00000000 . 00000000 . 11111111
13
Internet Protocol (IP)
Telnet
FTP
SMTP
TCP / UDP
IP/ICMP
ARP
Verkabelung
14
Address Resolution Protocol (ARP)
Telnet
FTP
SMTP
TCP / UDP
IP/ICMP
ARP
Verkabelung
15
Address Resolution Protocol (ARP)
16
Höhere Schichten (Protokolle)
(TCP) = Transmission Control Protocol
• setzt direkt auf dem Internet Protokoll (IP) auf (TCP/IP)
• garantiert eine
– fehlergesicherte,
– zuverlässige Transportverbindung
– zwischen zwei Rechnersystemen
(Ende zu Ende Kontrolle)
• Verbindungsmanagement (3way-Handshake)
17
TCP Header
Telnet
FTP
SMTP
TCP / UDP
IP/ICMP
ARP
Verkabelung
18
Wichtige (well known) TCP-Ports
• 20/21
FTP (Filetransfer)
• 23
Telnet
• 25
SMTP (e-mail)
• 80
HTTP (World Wide Web)
• 443
HTTPs(Secure HTTP)
• 161/162
SNMP (Netzwerkmanagement)
19
(UDP)=User Datagram Protocol
• setzt direkt auf dem Internet Protokoll (IP) auf
• Datagram Service zwischen Rechnern
(keine virtuelle Verbindung)
• Im Gegensatz zu TCP:
Transport Protokoll ohne “End to End” Kontrolle
 kein Verbindungsmanagement
(keine aktiven Verbindungen!)
 keine Flußkontrolle
 kein Multiplexmechanismus
 keine Zeitüberwachung
 keine Fehlerbehandlung
20
UDP Header
Telnet
FTP
SMTP
TCP / UDP
IP/ICMP
ARP
Verkabelung
21
Vergleich TCP und UDP
22
Zusammenspiel der Komponenten
http
Anwendungen
-Software
Betriebssystem
- Protokolle:TCP,UDP
- IP-Stack
- Netzwerktreiber
Computer
- Hardware
- physical link
eMail
TCP-Port=80
TCP-Port=25
…
IP-Adresse=134.76.10.47
Subnetzmaske=255.255.0.0
Gateway=134.76.10.254
MAC-Adresse=00:CF:A7:34:0B:13
23
TCP-Session
Source Port=1025, Dest-Port=80
Webserver: 134.76.10.47
Client: 134.76.20.1
Source Port=80, Des.Port=1025
Nr. Source
1.) 134.76.20.1
2.) 134.76.10.47
Port
80
(>1024)
Destination
134.76.10.47
134.76.20.1
24
UDP-Session
Source Port=1030, Dest-Port=53
Client: 134.76.20.1
DNS-Server: 134.76.10.46
Source Port=53, Des.Port=1030
Nr. Source
1.) 134.76.20.1
2.) 134.76.10.46
Port
53
(>1024)
Destination
134.76.10.46
134.76.20.1
25
Komprommittierung im Netzwerk
Switch forwarding database
MAC-Address
Port timeout
----------------------------------------------00:F2:EA:67:08:23
1
12s
00:4F:D7:A3:89:10
2
8s
00:47:12:E5:D8:9E
3
22s
Fluten der Switch
forwarding database mit
Einer Vielzahl vom
MAC-Adressen
ARP Flooding
00:47:12:E5:D8:9E
12:43:DF:EA:80:90
00:45:DF:F2:34:87
… u.v.m.
MAC:00:47:12:E5:D8:9E
MAC:00:F2:EA:67:08:23
MAC:00:4F:D7:A3:89:10
26
Übungen:
1.) Wie viele IP-Adressen können im Netz (157.210.100.0) mit der Subnetzmaske (255.255.255.0) vergeben
werden ? ______________
2.) Wie lautet die (Bit)Schreibweise einer IP-Adresse aus dem Netzwerk in Übung 1.) (157.210.100.10/bit)
?________________________
3.) Ist die folgende IP Adresse (146.289.120.19) gültig ?
[Ja] [nein]
Begründung ? _____________________________________________________________________________
_________________________________________________________________________________________
4.) Wie lautet die Subnetzmaske der IP-Adresse (123.87.10.0/22) ?__________________________________
5.) Zwei Rechner (Rechner A: 177.203.190.1/26, Rechner B: 177.203.190.80/26) sind direkt über einen
Ethernet-Switch miteinander verbunden. Können die Rechner direkt über den Switch miteinander
über das IP-Protokoll kommunizieren, wenn keine weitere aktive Netzwerkkomponenten wie z.B. ein
Router im Netzwerk angeschlossen ist ? [ja] [nein]
Begründung ?
_________________________________________________________________________________
_________________________________________________________________________________
_________________________________________________________________________________
27
Übungen:
6.) Ihnen steht das Netzwerk (155.201.190.128/28) zur Verfügung. Teilen Sie dieses Netz in zwei gleich große
Subnetsbereiche auf. Wie lauten die beiden Netzwerke ?
________________________________________________________________________________________
________________________________________________________________________________________
Füllen Sie die fehlenden Daten, basierend aus Aufg.6 aus:
Netz1 (Bit-Schreibweise):155.201.290.____/____
Netz2 (Bit-Schreibweise):155.201.290.____/____
Subnetzmaske Netz1: 255.255.____._____
Subnetzmaske Netz2: 255.255.____._____
Netz 1: Erste IP-Adresse: 155.201.290._____, Letzte IP-Adresse: 155.201.290._______
Netz 2: Erste IP-Adresse: 155.201.290._____, Letzte IP-Adresse: 155.201.290._______
Wieviele IP-Adressen können in jedem der beiden Netze vergeben werden ? __________________________
28
Lösung Aufg 6)
155.201.190.128/29
Subnet
155.201.190.128 ,
155.201.190.128 ,
155.201.190.136 ,
,
Valid Hosts
155.201.190.129 to 155.201.190.142,
,
Broadcast
155.201.190.143
155.201.190.129 to 155.201.190.134,
155.201.190.137 to 155.201.190.142,
155.201.190.135
155.201.190.143
29
S
C
ISO
YSTEM
C
ISO
YTEM
Schutzmechanismen
CISCO
SYLOWER
STEMS
UPPER
NORMAL
POWER
POWER
30
Gesellschaft für
wissenschaftliche
Datenverarbeitung
Göttingen
Sicherheit in Netzen
DPZ 11/2003
10/2000
Andreas Ißleiber
Einsatz von Firewalls
Internet
• Transparente FW:
Vorteil: Die bisherige Netzstruktur kann beibehalten bleiben
Eine transparente FW kann bei Ausfall schnell aus dem Netz entfernt werden
Die FW stellt häufig ein "single point of failure" dar. Lösung: Redundanz schaffen
Router
134.76.10.254
• DMZ
Die FW sollte über eine DMZ verfügen, damit Zugriffe auf öffentliche Dienste nicht in
das geschützte LAN erfolgen müssen. Ggf. Firewalls mit mehreren Ports einsetzen,
damit auch andere Abteilungen getrennt geschützt werden können (Verwaltung)
Firewall
134.76.10.253
192.168.1.254
• FW mit NAT/PAT:
Verwendet die FW NAT, so können im LAN-Bereich "private network"-Adressen
benutzt werden.
Vorteil: Ein direkter Zugriff von Außen auf "private network"-Adressen ist allein
aufgrund des verwendeten Adressbereiches nicht möglich. Die Anzahl der
"realen" im Internet sichtbaren IP-Adressen reduziert sich auf eine IP-Adresse
DMZ
Nachteil: Fällt die FW aus, ist ein Zugriff vom LAN auf das Internet nicht möglich
NAT
NAT& IP
Umsetung
LAN
IP:
IP:134.76.10.1
192.168.1.1
GW:
GW:134.76.10.254
192.168.1.254
• NAT<->IP Umsetzung:
FW mit direkter Umsetzung NAT<>IP haben Vorteile. Dadurch ist ein Zugriff von
Außen auf Rechner, trotz Verwendung von NAT(private networks), möglich.
IP: 134.76.10.2
GW: 134.76.10.254
Öffentliche Server
Web,Mail,DNS, etc.
Server
Lokaler
ist vom
Server:
Internet
Lokaler
Server:
erreichbar
IP: 134.76.10.3
IP:
192.168.1.2
IP: 192.168.1.2
GW:
134.76.10.254
Externe
134.76.10.3
GW:IP:192.168.1.254
GW: 192.168.1.254 31
Gesellschaft für
wissenschaftliche
Datenverarbeitung
Göttingen
Sicherheit in Netzen
DPZ 11/2003
10/2000
Andreas Ißleiber
Aufteilung der internen- und öffentlichen Dienste
1) Öffentliche Server, in der DMZ(one), sollten keine sicherheitsrelevanten Daten halten, da
diese Server häufig das primäre Ziel für Angriffe darstellen
Internet
2) File- sowie Web/FTP/Mailserver sollten nicht auf dem gleichen Rechner laufen. Ein
erfolgreicher Angriff auf Server in der DMZ darf sich nicht auf sicherheitsrelevante
Bereiche des LAN´s ausdehnen
3) Strikte Trennung zwischen DMZ und LAN ist das Ziel. Abhängigkeiten zwischen NTServern in DMZ und LAN sind nach Möglichkeit aufzulösen.
-> keine Vertrauensstellung zwischen NT-Domänen in DMZ und LAN Bereich
-> Authentifizierung vom DMZ in den LAN Bereich ist zu vermeiden
4) RAS-Server nicht! im LAN betrieben werden. Der Nutzen eines RAS-Servers ist mit
den daraus resultierenden Sicherheitslücken abzuwägen ->
Alternative: Fremde Provider und via VPN ins eigene Netz
5) Ein RAS-Server im LAN reduziert die Gesamtsicherheit auf das Niveau des
RAS-Servers. Ist der Zugriff via Einwahl auf interne Netzwerkressourcen
erforderlich, ist der Einsatz eines VPN-Clients sinnvoll. Die Einwahlanlage
kann dann in der DMZ installiert sein, oder es wird zur Einwahl ein fremder
Provider genutzt.
6) Ist ein Einwahlservers unumgänglich, so sollte als
Authentifizierungsverfahren verschlüsselte Verfahren
CHAP(MS-CHAP V2), oder Zertifikate verwendet werden
7) DMZ ist i.d.R. selbst bei "offenen "Filtern, gegen IP-Spoofing,
DoS Attacken durch die FW geschützt
DMZ
Firewall
!
öffentliche Server
Web,Mail,DNS, etc.
Grundregeln auf der FW:
Quelle
Dienst
allow / reject
DMZ
alle
P
LAN
alle
P
LAN
alle
P
Internet
alle
O
Internet
alle/einige
O
DMZ
alle
O
Firewall
LAN
internes Netz
Ziel
Internet
Internet
DMZ
LAN
DMZ
LAN 32
Gesellschaft für
wissenschaftliche
Datenverarbeitung
Göttingen
Sicherheit in Netzen
DPZ 11/2003
Typisches Scenario
10/2000
Andreas Ißleiber
Übergeordneter DNS
Internet
DMZ
RAS-Server greift auf die
Paßwörter des PDC (1) zurück
5
Internes
LAN
Firewall
3
2
1
Zentraler PDC der
Domäne B
RAS-Server als
Mitglied der
Domäne A
DNS und
Webserver
Mailserver und
PDC der
Domäne A
Erforderliche Regeln auf der FW:
Quelle
Dienst
allow / reject Ziel
Internet
SMTP(25)
P
(1)
(6)
DNS(53)
P
(2)
Internet
http(80)
P
(2)
LAN
alle
P
Internet
DMZ
alle
P
Internet
LAN
alle
O
DMZ
Internet
alle
O
LAN
Internet
alle
O
DMZ
DMZ
alle
O
LAN
Zentraler Terminalserver
Bemerkung
Mailgateway
Zonentransfer (TCP & UDP)
Webzugriff
4
1
Mailserver (PDC) in DMZ
2
DNS & Webserver in DMZ
3
PDC im LAN (geschützt)
4
Clients im LAN (geschützt)
5
RAS-Server in DMZ
33
Gesellschaft für
wissenschaftliche
Datenverarbeitung
Göttingen
Sicherheit in Netzen
DPZ 11/2003
Mehr Sicherheit durch VPN
Internetrouter
1) VPN (IPSec) ist ein geeignetes Verfahren, Verbindungen
in das gesicherte LAN über unsichere Netze (Internet)
zu führen
VPN-Tunnel
2) IPSec arbeitet transparent, sodass die IP-Anwendungen
den verschlüsselten Datenaustausch nicht bemerken
3) Einige FW sind gleichzeitig in der Lage, VPN zu
Terminieren/tunneln (VPN-Gateway)
10/2000
Andreas Ißleiber
VPN Clients
aus dem
Internet oder
Fremd-Provider
VPN-fähige Firewall
DMZ
LAN
4) Als Verschlüsselunbgsverfahren sollte
IPSEC/3DES eingesetzt werden
5) Wenn administrative Zugriffe auf lokale
Ressourcen im geschützten LAN zugreifen,
ist die Benutzung von VPN eine ideale Lösung
6) Die schlechtere Alternative ist das
Öffnen der Firewall durch erweiterte
Filterregeln oder die Einschränkung
der Dienste der Server
RAS, EinwahlServer, CHAP
Internes Netz
VPN-Tunnel
VPN Clients über
ein Einwahlserver
34
SPAM & Sicherheit in Netzen
10/2003
3/2003, Andreas
Andreas
Ißleiber Ißleiber
Moderne Sicherheitsmechanismen (WLAN und lokale Netze)

EAP-TLS & 802.1X: (Extensible Authentication Protocol - Transport Layer Security)
-
802.1x -> Authentifizierung auf Portebene (nicht nur für FunkLANs)
-
802.1x bietet allein keine Verschlüsselung (erst Kombination mit „EAP“-TLS)
-
Switchport „blockiert“ bis zur vollständigen Authentifizierung (Zutrittsregelung
bereits am „Eingang“ des Netzwerkes)
-
Layer 2 Verfahren -> Protokollunabhängig (Übertragung von
AP,IPX/SPX,NetBEUI etc.)
-
EAP-TLS & 802.1x oft als Kombination eingesetzt
-
nutzt RADIUS als zentrale Authentifizierungsdatenbank (RADIUS kann ggf. auf
ADS,YP,NT-Domains etc. zurückgreifen)
-
Client Authentifizierung erfolgt auf „Link Layer“. IP-Adressen sind zu diesem
Zeitpunkt nicht erforderlich (wird z.B. erst bei erfolgreicher Auth. durch DHCP
vergeben)
35
802.1x Standard: http://standards.ieee.org/getieee802/802.1.html
SPAM & Sicherheit in Netzen
10/2003
3/2003, Andreas
Andreas
Ißleiber Ißleiber
Moderne Sicherheitsmechanismen (WLAN und lokale Netze)

802.1X Prinzip
RADIUS-Server
Proxy-Server Authentication Server
Supplicant oder Bittsteller
Authenticator
802.1x fähiger
L2 Switch
Netz
 Client fragt nicht direkt den RADIUS Server
 Bei existierendem „nicht 802.1x fähigem RADIUS Server -> „Proxy Server“
36
SPAM & Sicherheit in Netzen
10/2003
3/2003, Andreas
Andreas
Ißleiber Ißleiber
Moderne Sicherheitsmechanismen (WLAN und lokale Netze)

VLAN: (Virtual LAN)
+ Durch extra „tagging“ Feld getrennt von anderen Netzwerkverkehr
+ Layer 2 Technik, daher Multiprotokollfähig
+ Auf modernen Switches nahezu überall verfügbar
-
Komplexe Struktur
-
Aufwendige und arbeitsintensive Integration
-
VLANs allein bilden KEIN! ausreichendes Sicherheitsmodell (Kombination mit
Packetfilter, Firewall erforderlich)
37
S
C
ISO
YSTEM
C
ISO
YTEM
Gefahr im Funk-LAN
CISCO
SYLOWER
STEMS
UPPER
NORMAL
POWER
POWER
38
Sicherheit in FunkLANs & lokalen
Netzen
10/2003
Andreas Ißleiber
Die Gefahren im Funk-LAN:
•
Diebstahl der Hardware (Passwörter und ggf. Schlüssel werden mit der
Hardware entwendet)
•
Fremde „Accesspoints“ inmitten eines Netzes fangen „legale“ Benutzer ab
•
FunkLAN hinter einer Firewall betrieben, öffnet das Netz
•
Funk-Reichweite der Accesspoints wird unterschätzt
•
Wardriver: Laptops mit freier Software „Netstumbler“ und „Airsnort“ in
Kombination mit GPS Empfängern spüren WLANs auf
Wardriving Forum
Wardriver
Wardriver (heise)
•
Zugriff durch unzureichende Verschlüsselung (WEP,WEP+ und nicht WPA)
39
SPAM & Sicherheit in Netzen
10/2003
Andreas Ißleiber
FunkLAN Client sicher machen

Absicherung der Funk Clients
•
Selbst der Einsatz von VPN enlastet nicht davor, den lokalen
Rechner „sicher“ zu machen

Trennen der LAN-Manager Dienste (Bindungen)
•
Um den Zugriff im internen VLAN (vor der Authentifizierung)
Fremder zu vermeiden, ist die Trennung von LM zum Funkinterface
sinnvoll

Laufwerksfreigaben im FunkLAN vermeiden
•
Freigaben von Ressourcen des Clients erlauben den Zugriff Fremder
auf den eigenen Client

Personal Firewall auf Client
•
Zur Absicherung des Clients ist ggf.eine Personal Firewall sinnvoll
(Achtung: für IPSec FW öffnen).
40
S
C
ISO
YSTEM
C
ISO
YTEM
Schutz im Netzwerk
Durch
IPS I P S
CISCO
SYLOWER
STEMS
UPPER
NORMAL
POWER
POWER
( ntrusion revention ystem)
41
Was ist ein IPS ?
• Traffic wird im Vergleich zum IDS bei Angriffen …
Alarmiert, Reduziert, Blockiert, Source IP zeitweise
geblockt (alles bidirektional ?!)
• Aktion: ggf. Senden von TCP-„Reset“ an die Quelle
• Transparenter Modus (inline mode),
keine Änderungen der Daten
Internet
• Erkennung in L2-L7
Logging
• Erkennung muß genau und
und
Firewall
ggf. Auswertung
schnell sein, sonst wird
„block“ bei
legaler Traffic blockiert
IPS
Attacken
(selbstgebautes DoS)
L2-Bridge
• Hohe Bandbreite erforderlich
(kein Engpass im Netz)
LAN
42
IPS System von Tippingpoint
•
•
•
•
•
•
Gerät: TippingPoint 2400
Kombination Hard- & Softwarelösung
Signatur, Ereignis, verhaltensbasierte Erkennung
Kurzfristige automatische Signaturupdates
Verschiedene Eventkategorien (Critical ... Minor)
Feintuning der Events möglich
 Aktionen: Block, Inform, Reduce …
• Ausgereiftes Logging & Reporting (Flatfile (CSV), XML,
PDF, HTML, Grafik)
• Bandbreite 2-2.4 GBit/s (transparent), 4 Doppelports
(GBit/s)
43
IPS System von Tippingpoint (3COM)
• TippingPoint 2400, 2 Wochen im Test bei der GWDG am
- WIN Zugang (1GBit/s)
- WLAN Übergang (100MBit/s)
Netzwerkanbindung des IPS
Internet
1GBit/s
GÖNET
IPS in der GWDG
Penetrationstest
Opfer:
Angreifer:
PC mit debian (Knoppix) honeyd
Laptop mit Windows XP und whoppix(whax) unter
VMWARE, sowie Nessus
PC (Debian: Knoppix „iWhax“,Nessus, nmap)
192.168.10.100
100MBit/s
100MBit/s
192.168.1.1 … 192.168.1.30
Honeypot, Knoppix (mit Honeyd)
Bzw. Windows 98 in VMWARE
45
IPS in der GWDG
Penetration: kleiner Ausschnitt der Ergebnisse
IPS Logfile
Attacke:
Name
Category
Src. Port
Dst. Addr. Dst. Port
Severity
nmap
7001: UDP: Port Scan
Reconnaissance
0 192.168.1.4
0 Low
2350: MS-RPC: DCOM IRemoteActivation Request
Security Policy 60965 192.168.1.2
135 Critical
3643: HTTP: Nikto HTTP Request
Attacks - Exploits57509 192.168.1.3
80 Major
Nikto web scan
7000: TCP: Port Scan
Reconnaissance
0 192.168.1.1
0 Low
nmap
0292: Invalid TCP Traffic: Possible nmap Scan (NoReconnaissance
Flags)
64043 192.168.1.1
22 Minor
nmap
2350: MS-RPC: DCOM IRemoteActivation Request
Security Policy 54310 192.168.1.3
135 Critical
nessus
1576: Backdoor: Back Orifice Communications Attacks - Exploits32866 192.168.1.3 31337 Critical
nessus
0292: Invalid TCP Traffic: Possible nmap Scan (NoReconnaissance
Flags)
22 192.168.1.1
22 Minor
0087: ICMP: Modem Hangup (+++ATH) Echo Request
Attacks - Vulnerabilities0 192.168.1.3
0 Minor
Ping mit „Inhalt“
7000: TCP: Port Scan
Reconnaissance
0 192.168.1.1
0 Low
0290: Invalid TCP Traffic: Possible Recon Scan (SYN
Reconnaissance
FIN)
10004 192.168.1.1
22 Minor
1576: Backdoor: Back Orifice Communications Attacks - Exploits33271 192.168.1.1 31337 Critical
0560: DNS: Version Request (udp)
Reconnaissance 32861 192.168.1.3
53 Minor
3642: HTTP: Nessus HTTP Request
Attacks - Exploits53075 192.168.1.3
80 Major
0121: Stacheldraht: Agent Finder Gag Scanner (General)
Reconnaissance
0 192.168.1.3
0 Minor
Stacheldraht
0292: Invalid TCP Traffic: Possible nmap Scan (NoReconnaissance
Flags)
143 192.168.1.3
143 Minor
2350: MS-RPC: DCOM IRemoteActivation Request
Security Policy 54319 192.168.1.3
135 Critical
Event ID
46
IPS in der GWDG
Penetrationstest Fazit:
• Die meisten provozierten Attacken wurden erkannt
• Nicht erkannt wurden:
- SQL Injection
- SSH Attacken (User/Password-Dictionary Attacks).
(Ansich ist ein SSH mit mehr als 5 Usernamen pro Quell- und
Zieladresse pro Sekunde eine Attacke)
47
IPS in der GWDG
Ergebnisse der Testphase: Erkennung & Reports
• No. 1 (immer noch) SQL-Slammer > 8E6 Events/Woche
( single UDP packet)
• Einige Attacken konnten nicht erkannt werden, da hinter dem IPS ACLs auf
dem Router existierten (Kommunikation hinter IPS wurde geblockt)
• Viele interne Systeme, die externe Ziele „angriffen“ wurden erkannt
(Übereinstimmung mit unseren bisherigen Scripts)
48
IPS in der GWDG
Ergebnisse der Testphase: Erkennung & Reports
• Viele Spyware Verbindungen von Innen nach Aussen wurden erkannt und
blockiert
• Top Ten Attacks während der 10-tägigen Testphase (ohne Slammer)
Ohne SQL Slammer
Event ID
# Hits
49
Falscher Alarm (False Positive)
• „Schwer zu beurteilen“, während der
Testphase gab es keinerlei
Beschwerden bzgl. Störungen
• Tests innerhalb der GWDG bestätigten keine „falsch
positiv“ Erkennungen (Dennoch werden diese
vermutlich existieren)
50
IPS in der GWDG
Ergebnisse der Testphase: TrafficShaping
• Tippingpoint erlaubt Bandbreitenbegrenzung für beliebige Events
(und Event-Gruppen)
• In der Testphase haben wir alle Tauschbörsen-Events zusammengefasst und
„begrenzt“ (20 MBit/s)
• Auch hier gab es keine Benutzerbeschwerden
(…es ist sicherlich schwer, sich wegen schlecht funktionierender Tauschbörsen
zu beschweren)
Events bei Überschreitung
d.Limits
MBits/s
Σ alle Tauschbörsen
51
IPS in der GWDG
Tippingpoint Screenshots  Dashboard
52
IPS in der GWDG
Tippingpoint Screenshots
53
IPS in der GWDG
Tippingpoint Screenshots
54
IPS in der GWDG
Tippingpoint Screenshots
55
S
C
ISO
YSTEM
C
ISO
YTEM
… Fragen
CISCO
SYLOWER
STEMS
UPPER
NORMAL
POWER
POWER
und Diskussionen …
Diese und andere Folien finden Sie auch unter:
http://www.gwdg.de/~aisslei
56
Herunterladen
Explore flashcards