View
106
Download
0
Category
Preview:
Citation preview
Internet & SicherheitInternet & Sicherheit
Klaus-Peter Hahn
Mac Club Aschaffenburg
Termin: 9. Januar 2003
EinführungEinführung
Daten / Datenpakete Datenübertragung Paketorientierte Datenübertragung Serielle Datenströme (synchron) IP-Adressen URL - Unified Resource Locator
ProtokolleProtokolle
IP - Internet Protocol TCP - Transport Control Protocol UDP - User Datagram Protocol Sequenznummer
PortsPorts
IP-Ports (Übertragungskanäle) Etherpeek-Bilder Port 23 - Telnet-Port (Kommandozeile) Telnet auf einen anderen Port z.B. Port 25 Kommunikation mit Kommandos Puffer-Überläufe (überlange Eingaben)
Services (packetorientiert)Services (packetorientiert)
HTTP - HyperText Transport Protocol FTP - File Transport Protocol SMTP - Simple Mail Transport Protocol POP3 - Post Office Protocol (Version 3) IMAP - Internet Message Access Protocol
Hackerangriffe durchHackerangriffe durch
Hackertools Portscans Auswertung von Banner-Informationen Bekannte Verwundbarkeiten „Trojanische Pferde“
Gefahrenquellen:Gefahrenquellen:Gefährlicher und einfacher denn jeGefährlicher und einfacher denn je
Ausgefeiltheit der Angriffe
Packet Forging/ Spoofing
19901980
Password Guessing
Self Replicating Code
Password Cracking
Exploiting Known Vulnerabilities
Disabling Audits
Back Doors
Hijacking Sessions
Sweepers
Sniffers
Stealth Diagnostics
Nötiges technisches Wissen
HochHoch
NiedrigNiedrig2000
DDOS
Connected to www.test.com
www.test.com
Verfügbarkeit von ToolsVerfügbarkeit von Tools
I’m Bob,Send Me all Corporate
Correspondencewith Cisco
Bob
Vortäuschen der Identität
BankCustomer
Deposit $1000 Deposit $100
Verlust der Integrität
CPUCPU
“Denial of Service”
Verlust der Vertraulichkeit
telnet foo.bar.orgusername: danpassword:
Gefahren in DatennetzenGefahren in Datennetzen
m-y-p-a-s-s-w-o-r-d d-a-n
Vorgehen des HackersVorgehen des Hackers
• Phase 1: Netzwerk erkunden
• Phase 2: Ein System kontrollieren
• Phase 3: Vertrauen nutzen
• Phase 4: Daten stehlen
• Phase 5: Das Netz kontrollieren
NetzwerkangriffNetzwerkangriffBuilding Module Mainframe Module WAN Module
Internet
SMTP
DNS
HTTP/SSL
ServerModule
NetzwerkerkundungNetzwerkerkundung
Angreifer
Scorecard:Scorecard: Network Security Hacker
SMTP
DNS
HTTP/SSL
0000
• IP-Adressen erkunden
• Ports scannen
• Andere HilfsmittelWhois
DNS
Web pages
Internet
HTTP/SSL
Ein System kontrollierenEin System kontrollieren
Angreifer
SMTP
DNS
• Vulnerability Scan
• CGI-BIN VulnerabilityStarten von xterm
• Buffer Overflow Vulnerability
Get “root”
• Ergebnis: Kontrolle über einen Host
Internet
OWNED: OWNED: HTTP/SSLHTTP/SSL
Scorecard:Scorecard: Network Security Hacker
0001
bash-2.02$ iduid=11117(networkers) gid=1(other)bash-2.02$ cat /etc/shadowcat: cannot open /etc/shadowbash-2.02$ ls -ltotal 48-rwxr-xr-x 1 networkersother 24563 Nov 10 13:58 ex_libbash-2.02$ ./ex_libjumping address : efffe7b8# iduid=11117(networkers) gid=1(other) euid=0(root) egid=3(sys)# cat /etc/shadowroot:07AUBkfmBv7O2:11043::::::toor:r1CjeWYEWNMDk:10955::::::daemon:NP:6445::::::
Vertrauensbeziehungen ausnutzenVertrauensbeziehungen ausnutzen
Angreifer
Scorecard:Scorecard: Network Security Hacker
Internet
SMTP
DNS
0011
OWNED: HTTP/SSLOWNED: HTTP/SSL
• Weitere ErkundungLog Files analysieren
Prozesse
Konfigurationsdateien
Password Cracking
Sniffing
• Back-End Datenbankgefunden
Back-EndDatabase
0011
Diebstahl von InformationenDiebstahl von Informationen
Angreifer
Scorecard:Scorecard: Network Security Hacker
SMTP
DNS
OWNED: HTTP/SSLOWNED: HTTP/SSL
InternetSource: AngreiferSource: Angreifer
Destination: Web ServerDestination: Web ServerPort: 25 (SMTP)Port: 25 (SMTP)
Source: Web ServerSource: Web ServerDestination: Back-End Destination: Back-End DatabaseDatabasePort: 22 (SSH)Port: 22 (SSH)
Source: AngreiferSource: AngreiferDestination: Back-Destination: Back-End DatabaseEnd DatabasePort: 22 (SSH)Port: 22 (SSH)
Back-EndDatabase
0022
OWNED:OWNED:
Back-EndBack-EndDatabaseDatabase
• Einsatz von Port Redirection
• Angriff ausführen• Root durch “cracked”
Passwörter
Das gesamte Netz erkundenDas gesamte Netz erkunden
Angreifer
Scorecard:Scorecard: Network Security Hacker
SMTP
DNS
OWNED: HTTP/SSLOWNED: HTTP/SSL
Internet
Back-EndDatabase
0022
OWNED:OWNED:
Back-EndBack-EndDatabaseDatabase
• Angreifer ist “hinter” der Firewall
• Keine Sicherheitsvor-kehrungen mehr
• Weitere Erkundung• Vulnerability Scan…
Das gesamte Netz kontrollierenDas gesamte Netz kontrollieren
Angreifer
Scorecard:Scorecard: Network Security Hacker
SMTP
DNS
00752752
OWNED: HTTP/SSLOWNED: HTTP/SSL
Internet
OWNED:OWNED:
Back-EndBack-EndDatabaseDatabase
Angreifer ist “hinter” der Firewall
Keine Sicherheitsvor-kehrungen mehr
Weitere Erkundung Vulnerability Scan Angreifer hat einen neuen
Spielplatz
Schutz durchSchutz durch
Prevention Packetfilter (Services) Firewall (Packetfilter auf Applikationsebene) MAD - Malicious Activity Detection IDS - Intrusion Detection System Wie lange online, mit welcher Bandbreite?
Was kann ich tun?Was kann ich tun?
Passwörter immer wieder ändern Email abrufen per SSL Antivirus Software installieren (Trojaner) Personal Firewall / Paketfilter installieren Gesundes Mißtrauen gegenüber dem Internet Evtl. separater Computer für Internetnutzung
Was sollte ich tun?Was sollte ich tun?
Gesundes MißtrauenGesundes Mißtrauen Anti-Virus ProgrammAnti-Virus Programm Personal FirewallPersonal Firewall 2. Email-Adresse für Internet2. Email-Adresse für Internet VerschlüsselungVerschlüsselung Digitale UnterschriftDigitale Unterschrift ZertifikateZertifikate
Software für den MacintoshSoftware für den Macintosh
Norton Personal Firewall IPNetSentry (Paketfilter) NetBarrier (Personal Firewall) Virex / Norton Antivirus Verschlüsselungs-Software PGP Virtual Private Network
Allg. Infos zur Sicherheit:
http://www.securemac.com
Tool zum Test:
http://www.macanalysis.com
Infos über Verwundbarkeiten:
http://www.astalavista.com
Internet-SeitenInternet-Seiten
klaus.hahn@telda.netklaus.hahn@telda.net
Recommended