Download ppt - Internet & Sicherheit Klaus-Peter Hahn Mac Club Aschaffenburg Termin: 9. Januar 2003

Internet & SicherheitInternet & Sicherheit

Klaus-Peter Hahn

Mac Club Aschaffenburg

Termin: 9. Januar 2003

EinführungEinführung

Daten / Datenpakete Datenübertragung Paketorientierte Datenübertragung Serielle Datenströme (synchron) IP-Adressen URL - Unified Resource Locator

ProtokolleProtokolle

IP - Internet Protocol TCP - Transport Control Protocol UDP - User Datagram Protocol Sequenznummer

PortsPorts

IP-Ports (Übertragungskanäle) Etherpeek-Bilder Port 23 - Telnet-Port (Kommandozeile) Telnet auf einen anderen Port z.B. Port 25 Kommunikation mit Kommandos Puffer-Überläufe (überlange Eingaben)

Services (packetorientiert)Services (packetorientiert)

HTTP - HyperText Transport Protocol FTP - File Transport Protocol SMTP - Simple Mail Transport Protocol POP3 - Post Office Protocol (Version 3) IMAP - Internet Message Access Protocol

Hackerangriffe durchHackerangriffe durch

Hackertools Portscans Auswertung von Banner-Informationen Bekannte Verwundbarkeiten „Trojanische Pferde“

Gefahrenquellen:Gefahrenquellen:Gefährlicher und einfacher denn jeGefährlicher und einfacher denn je

Ausgefeiltheit der Angriffe

Packet Forging/ Spoofing

19901980

Password Guessing

Self Replicating Code

Password Cracking

Exploiting Known Vulnerabilities

Disabling Audits

Back Doors

Hijacking Sessions

Sweepers

Sniffers

Stealth Diagnostics

Nötiges technisches Wissen

HochHoch

NiedrigNiedrig2000

DDOS

Connected to www.test.com

www.test.com

Verfügbarkeit von ToolsVerfügbarkeit von Tools

I’m Bob,Send Me all Corporate

Correspondencewith Cisco

Bob

Vortäuschen der Identität

BankCustomer

Deposit $1000 Deposit $100

Verlust der Integrität

CPUCPU

“Denial of Service”

Verlust der Vertraulichkeit

telnet foo.bar.orgusername: danpassword:

Gefahren in DatennetzenGefahren in Datennetzen

m-y-p-a-s-s-w-o-r-d d-a-n

Vorgehen des HackersVorgehen des Hackers

• Phase 1: Netzwerk erkunden

• Phase 2: Ein System kontrollieren

• Phase 3: Vertrauen nutzen

• Phase 4: Daten stehlen

• Phase 5: Das Netz kontrollieren

NetzwerkangriffNetzwerkangriffBuilding Module Mainframe Module WAN Module

Internet

SMTP

DNS

HTTP/SSL

ServerModule

NetzwerkerkundungNetzwerkerkundung

Angreifer

Scorecard:Scorecard: Network Security Hacker

SMTP

DNS

HTTP/SSL

0000

• IP-Adressen erkunden

• Ports scannen

• Andere HilfsmittelWhois

DNS

Web pages

Internet

HTTP/SSL

Ein System kontrollierenEin System kontrollieren

Angreifer

SMTP

DNS

• Vulnerability Scan

• CGI-BIN VulnerabilityStarten von xterm

• Buffer Overflow Vulnerability

Get “root”

• Ergebnis: Kontrolle über einen Host

Internet

OWNED: OWNED: HTTP/SSLHTTP/SSL


0001

bash-2.02$ iduid=11117(networkers) gid=1(other)bash-2.02$ cat /etc/shadowcat: cannot open /etc/shadowbash-2.02$ ls -ltotal 48-rwxr-xr-x 1 networkersother 24563 Nov 10 13:58 ex_libbash-2.02$ ./ex_libjumping address : efffe7b8# iduid=11117(networkers) gid=1(other) euid=0(root) egid=3(sys)# cat /etc/shadowroot:07AUBkfmBv7O2:11043::::::toor:r1CjeWYEWNMDk:10955::::::daemon:NP:6445::::::

Vertrauensbeziehungen ausnutzenVertrauensbeziehungen ausnutzen

Angreifer


Internet

SMTP

DNS

0011

OWNED: HTTP/SSLOWNED: HTTP/SSL

• Weitere ErkundungLog Files analysieren

Prozesse

Konfigurationsdateien

Password Cracking

Sniffing

• Back-End Datenbankgefunden

Back-EndDatabase

0011

Diebstahl von InformationenDiebstahl von Informationen

Angreifer


SMTP

DNS


InternetSource: AngreiferSource: Angreifer

Destination: Web ServerDestination: Web ServerPort: 25 (SMTP)Port: 25 (SMTP)

Source: Web ServerSource: Web ServerDestination: Back-End Destination: Back-End DatabaseDatabasePort: 22 (SSH)Port: 22 (SSH)

Source: AngreiferSource: AngreiferDestination: Back-Destination: Back-End DatabaseEnd DatabasePort: 22 (SSH)Port: 22 (SSH)

Back-EndDatabase

0022

OWNED:OWNED:

Back-EndBack-EndDatabaseDatabase

• Einsatz von Port Redirection

• Angriff ausführen• Root durch “cracked”

Passwörter

Das gesamte Netz erkundenDas gesamte Netz erkunden

Angreifer


SMTP

DNS


Internet

Back-EndDatabase

0022

OWNED:OWNED:


• Angreifer ist “hinter” der Firewall

• Keine Sicherheitsvor-kehrungen mehr

• Weitere Erkundung• Vulnerability Scan…

Das gesamte Netz kontrollierenDas gesamte Netz kontrollieren

Angreifer


SMTP

DNS

00752752


Internet

OWNED:OWNED:


Angreifer ist “hinter” der Firewall

Keine Sicherheitsvor-kehrungen mehr

Weitere Erkundung Vulnerability Scan Angreifer hat einen neuen

Spielplatz

Schutz durchSchutz durch

Prevention Packetfilter (Services) Firewall (Packetfilter auf Applikationsebene) MAD - Malicious Activity Detection IDS - Intrusion Detection System Wie lange online, mit welcher Bandbreite?

Was kann ich tun?Was kann ich tun?

Passwörter immer wieder ändern Email abrufen per SSL Antivirus Software installieren (Trojaner) Personal Firewall / Paketfilter installieren Gesundes Mißtrauen gegenüber dem Internet Evtl. separater Computer für Internetnutzung

Was sollte ich tun?Was sollte ich tun?

Gesundes MißtrauenGesundes Mißtrauen Anti-Virus ProgrammAnti-Virus Programm Personal FirewallPersonal Firewall 2. Email-Adresse für Internet2. Email-Adresse für Internet VerschlüsselungVerschlüsselung Digitale UnterschriftDigitale Unterschrift ZertifikateZertifikate

Software für den MacintoshSoftware für den Macintosh

Norton Personal Firewall IPNetSentry (Paketfilter) NetBarrier (Personal Firewall) Virex / Norton Antivirus Verschlüsselungs-Software PGP Virtual Private Network

Allg. Infos zur Sicherheit:

http://www.securemac.com

Tool zum Test:

http://www.macanalysis.com

Infos über Verwundbarkeiten:

http://www.astalavista.com

Internet-SeitenInternet-Seiten

[email protected]@telda.net