IT-Sicherheit in der Praxis

1
IT-Sicherheit in der Praxis

• Ein Fachvortrag
• von
• Ansgar H. Licher
• Dipl.-Ingenieur der Systemanalyse
• IT-Leiter der MBN Bau AG

2
Curriculum

• Wichtige Fachbegriffe
• Welche Gefahrenpotenziale drohen?
• Wesen und Merkmale der Gefahrenquellen
• Schutzmaßnahmen und -strategien
• IT-Sicherheit in der Praxis

3
Wichtige Fachbegriffe

• TCP/IP
• Unterscheidung TCP und UDP
• Ports
• IP-Paket Aufbau
• ICMP Ping
• DMZ

4
Was ist IT-Sicherheit?
Schutz der eigenen IT-Infrastruktur gegenüber der
Aussenwelt!
Schutz der eigenen IT-Infrastruktur gegenüber der
Aussenwelt!

• Gefahren?
• Abwehr?
• Vermeidung?
• Erkennung?
• Notwendigkeit?

• ?

5
Erkenne Deinen Feind!

• Man kann sich nicht vor etwas schützen, was man
  nicht kennt!
• Die Frage ist nicht, ob, sondern wann man
  angegriffen wird!
• Die Gefahren heute sind Script-Kiddies statt
  Netzwerkexperten und Technik-Freaks!
• Geografische Grenzen sind irrelevant, das
  Internet ist weltumspannend und der Gegner nur
  einen Mausklick entfernt

6
Gefahrenpotenziale

• IP-Spoofing

• Buffer-Overflow

• Viren

• ?

• Portscan

• JavaScript

• Hacker

• Probes

• Script-Kiddies

• Trojaner

• ActiveX

• ICMP-Fingerprinting

• Dialer

7
Gefahrenpotenziale

• IP-Spoofing

IT-Sicherheit

• Buffer-Overflow

• Viren

• ?

• Portscan

• JavaScript

• Hacker

• Probes

netzwerk- basierte Gefahren
content- basierte Gefahren

• Script-Kiddies

• Trojaner

• ActiveX

• ICMP-Fingerprinting

• Dialer

8
netzwerk-basierte Angriffe bzw. Gefahren

• Probes, Portscans
• Fingerprinting, IP-Options
• IP-Spoofing
• klassische Hacks
• Ausnutzung von Sicherheitslücken in
  Server-Programmen
• sendmail
• SSH
• ...
• Denial of Service (DoS), DDoS
• Trojaner, Backdoors und andere Spoofer

9
Probes, Portscans

• Ziel Informationsgewinnung
• Möglichkeiten
• Address Space ProbesAuskundschaften eines
  Netzwerkes durch sequenzielle Abfrage der
  IP-Adressen
• Port Space ProbesAuskundschaften eines
  Netzwerkes durch sequenzielle Abfrage der
  IP-Ports
• Portscanssystematische Analyse offener Ports und
  ggf. damit verbundener Schwachstellen

10
Fingerprinting

• Ziel Informationsgewinnung, Ausspähung
• Möglichkeiten
• Ermittlung von Informationen über eingesetzte
  Hard- und Software in trusted networks,
  ausschließlich durch den Einsatz von ICMP
  (!!!)Im Internet sind hierzu lesenswerte und
  sehr informative Unterlagen erhältlich. Begründer
  dieser Methodik ist der Israeli Ofir Arkin.

11
IP-Options

• Ziel Ausspähung, Einbruch
• Möglichkeiten
• Nutzung von IP-Protokoll-Features (bspw.
  Debug-Optionen, ICMP, ...) zur Verschleierung der
  Identität

12
IP-Spoofing

• Ziel Einbruch durch Täuschung
• Möglichkeiten
• Konfiguration eines Hosts mit einer IP-Adresse
  aus dem trusted network (Zielnetzwerk) um
  Einzudringen / Netzwerk-Informationen zu erhalten
• IP-Options Nutzung von IP-Protokoll-Features
  (Debug-Optionen, ICMP) zur Informationsgewinnung
  / Verschleierung der Identität

13
klassische Hacks

• Ziel Einbruch
• Möglichkeiten
• alle vorgenannten Angriffe, besonders aber
• Ausnutzung von Sicherheitslücken in Programmen
• sendmail
• SSH
• FTP (WU-FTPD -)

14
Denial of Service (DoS) und DDoS

• Ziel Deaktivierung von Infrastruktur
• Möglichkeiten
• Auslastung von Rechenleistung bis 100
• Erreichen von permanenten Reboots
• Abkopplung von Systemen vom Netzwerk
• Abschuss von Systemen
• Beispiele
• Ping of Death (Windows NT SP 3)
• Distributed Denial of Service

15
Trojaner, Backdoors und andere Spoofer

• Ziel Einbruch, Ausnutzung, Daten- und
  Passwort-Diebstahl
• Möglichkeiten
• Ausspähen von Passwörtern und Zugangscodes
• Mitschnitt von Sessions (Key-Logging)
• Zugriff auf beliebige Dateien im Netz
• totale (!) Rechnerkontrolle
• Ausnutzung des Opfers als DDoS-Client
• ... ... ...

16
content-basierteAngriffe bzw. Gefahren

• Gefahren durch sog. aktive Inhalte
• Java, JavaScript, Vbscript, ActiveX, Flash
• Betriebssystem Browser als Angriffspunkt
• Applet Attacks
• Content type attacks
• DoS Angriffe
• Viren, Trojaner, Skripte, ...

17
Backdoor-Beispiele

• Back Orifice 2000, SubSeven, NetBus
• Das Neueste Backdoor INTRUZZO.A (erstes
  Erscheinen Ende April 2002wird mittlerweile
  von TrendMicro erkannt!)
• Features
• Open/Close CD-ROM tray
• Chat with the infected user
• PWL Reader open and read PWL files on server
• Shutdown the computer
• Control the mouse
• Taskman
• Print a message
• Take a screen capture
• Obtain System info
• Write on the desktop

18
Backdoor-Features ...

• Die Features von BO2K, SubSeven und insbesondere
  NetBus reichen soweit, dass man sich den Einsatz
  von käuflichen Produkten wie pcANYWHERE usw. im
  Prinzip getrost sparen kann!Wozu viel Geld
  ausgeben, wenn das Gute so Nahe liegt?

19
Aktive Inhalte

• Java
• JavaScript
• VBscript
• ActiveX
• Cookies
• Plug-Ins

20
Java

• Systemübergreifende und plattformunabhängige
  Programmiersprache (wird von SUN entwickelt und
  lizenziert)
• Applets liegen in kompilierter Form (Bytecode)
  zum Download anschließender Ausführung vor
• Die Sicherheit wird dadurch gewährleistet, dass
  diese Applets in abgeschotteten
  Speicherbereichen, sogenannten "Virtuellen
  Maschinen" (Sandbox) ausgeführt werden.
• Die Zugriffsmöglichkeiten des Applets sind stark
  beschränkt Auf Ressourcen wie etwa lokale
  Datenträger (Festplatte) kann nicht zugegriffen
  werden. Nur zu den Komponenten Grafik- und
  Soundkarte besteht Zugriff.
• Das Java-Konzept gilt in der Theorie bzgl.
  Sicherheit als vorbildlich.

21
JavaScript und VB-Script

• Script-Sprache ermöglicht es, den Browser zu
  steuern, Applets zu starten oder das Aussehen von
  Web-Seiten dynamisch zu modifizieren.
• JavaScript stellt eine der größten Gefährdungen
  dar. Im Vergleich zu Java gibt es keine
  nennenswerten Sicherheitsmechanismen.
  Einschränkungen obliegen dem Browser.
• Als Problem haben sich in der Vergangenheit die
  Bugs in den Browsern herausgestellt Sowohl der
  Microsoft Internet Explorer als auch der Netscape
  Communicator haben Fehler, die es ermöglichen,
  Daten auf der Festplatte auszuspionieren und über
  das Internet zu übertragen.

22
ActiveX

• Download von Programmbibliotheken aus dem Web
  Ausführung als Teil des Betriebssystems
  (entspricht einem gewöhnlichen Windows-Programm)A
  ctiveX hat uneingeschränkten Zugriff auf den
  gesamten PC mit allen Einzelheiten!
• Aufgrund seiner sicherheitstechnischen
  Ausstattung ist Aktive-X bei Hackern sehr
  beliebt. Ist Ihnen ein solches OCX-Module erst
  einmal untergejubelt, ist ihr PC dem Control
  völlig ausgeliefert. Dass diese Module sehr
  mächtig sind und unbemerkt jede Art von Aktionen
  durchführen können, bewies zum Beispiel der
  Chaos-Computer-Club Über das Internet wurde per
  ActiveX die Kontrolle über eine Finanz-Software
  übernommen und anschließend Gelder auf
  Testkonten überweisen.
• Digitale Signatur von ActiveX Controls als
  Schutz?Zertifikate werden ohne Prüfung der
  beinhalteten Funktionen ausgestellt und sind
  nachweislich fälschbar!
• Abhilfe Aktive-X niemals zulassen!!!

23
Cookies

• Cookies (zu deutsch Kekse) haben einen
  schlechten Ruf und werden häufig als große Gefahr
  für die individuelle Sicherheit betrachtet.
• Cookies sind keine aktiven Elemente (Programme
  starten oder die Festplatte nach speziellen Daten
  untersuchen ist nicht möglich)
• Cookies sammeln Informationen über Ihr
  Surf-Verhalten und speichern diese.
• Vorteil Vorfinden einer konfigurierten WEB-Seite
  wie beim Verlassen dieser
• Nachteil Gläserner Surfer (gezielte Werbung,
  Bewegungsprofile, ...)

24
Plug-Ins

• Browser verfügen über eine Schnittstelle, über
  die sich Erweiterungen - sogenannte Plug-Ins -
  einbinden lassen.
• Die Plug-Ins können Sicherheitslöcher mit sich
  bringen, wie zum Beispiel durch das
  Macromedia-Shockwave-Plug-In bewiesen wurde Es
  gelang einem Hacker, aufgrund eines modifizierten
  und speziell präparierten Plug-Ins, auf fremde
  Rechner zuzugreifen und Daten zu erspähen.
• Abhilfe Verzicht !!!

25
Applet Angriffe

• Applet Attacks
• Java AppletBugs oder Erweiterungen der Browser
  ermöglichen Zugriff auf Ressourcen außerhalb der
  Java Virtual Machine (JVM)
• ActiveX AppletDiese Applets haben
  Betriebssystemrechte ... !

26
Content type Angriffe

• Content type attacks Aufrufe aus dem Browser
  nutzen Inhalte um weitere Aktionen auszuführen

27
Content Type Attack Russian New Year

• a well-known security hole in Windows and MS
  Excel
• This vulnerability, related to the CALL function
  of Excel, allows an attacker to send an HTML
  e-mail or modify a HTML web page so that when
  accessed, the HTML page will automatically launch
  Excel and use that to run any program. This
  allows the attacker to do pretty much anything he
  wants on the host machine.
• The problem has been partially solved by
  Microsoft by releasing patch for Excel 97 (this
  patch will disable the CALL command completely).
  Excel 95 can't be protected by this time.
• Netscape and Internet Explorer can also be
  secured against this attack by updating to the
  latest version with latest patches. This does not
  prevent some attacks through HTML e-mail though.

28
DoS Angriffe

• Denial of Service Angriffe
• Unter Nutzung von Betriebssystem-Bugs /
  notwendiger Betriebssystem-Mechanismen wird der
  Host (PC, Browser) angegriffen.

29
Virenangriffe

• ILOVEYOU (VBS)
• Nimda
• CodeRed

30
Virenentwicklung

• 1992 ca. 1.600 bekannte Viren
• heute weit mehr als 60.000
• Zukunft Hybrid-Viren
• Zuwachs im eigenen Hause250 in 12 Monaten
  (Stand Anfang 2002)

31
Sonstige Gefahren

• Social Engineering
• Die Gefahr von Innen
• Müllen

32
Schutzmechanismen

• IP-Spoofing

• Buffer-Overflow

• Viren

• Portscan

• JavaScript

• Hacker

• Probes

• Trojaner

• Script-Kiddies

• ActiveX

• ICMP-Fingerprinting

• Dialer

33
Schutzmechanismen

• IP-Spoofing

• Buffer-Overflow

• Viren

• !

• Portscan

• JavaScript

• Hacker

• Probes

• Trojaner

• Script-Kiddies

• ActiveX

• ICMP-Fingerprinting

• Dialer

34
Schutzmechanismen

• IP-Spoofing

• Buffer-Overflow

• !

Sicherheits Policy

• Viren

Firewall
netzwerk- basierte Gefahren

• Portscan

• JavaScript

• Hacker

Intrusion Detection System
Logging, Reporting, Alarmierung

• Probes

• Script-Kiddies

• Trojaner

content- basierte Gefahren
Application Level Gateway
Virenschutz

• ActiveX

• ICMP-Fingerprinting

• Dialer

35
Sonstige Faktoren

• wichtigster Faktor bei der forensischen Analyse
  von Angriffen und Einbrüchen sind die Zeit und
  wirklich unkompromittierte Logfiles!!Nur wenn
  alle Systeme zeit-synchron laufen und die
  Logfiles nachweislich unmanipuliert sind, besteht
  überhaupt eine Chance, eine zusammenhängende
  Untersuchung der Ereignisse vorzunehmen!

36
Angriffsmuster

• Die Praxis zeigt, das Angriffe und Einbrüche
  oftmals einem gleichen Schema unterliegen
• Informationssammlung (Port Scans)
• Analysieren von Schwachstellen an den offenen
  Ports
• Einbruch durch Anwendung eines Exploits
• Spuren der Anwesenheit verwischen
• Rootkit bzw. Backdoor installieren
• Ausnutzung des gehackten Systems entweder
• als Plattform für Angriffe auf andere Systeme
  oder
• zum Ausspionieren und Ausnutzen des gehackten
  Systems
• Die Angriffsmuster bis zum Anwenden eines
  Exploits lassen sich i.d.R. in den Logfiles
  nachvollziehen!

37
Firewall

• Zugriffs-Management (incoming / outgoing)
• Dynamische Paketfilterung
• Abwehr von Attacken
• IP Address Hiding
• NAT
• SYN Flood-Protection

38
Intrusion Detection System

• Erkennung von unerlaubten Zugriffen aller Art
• Port-Scans
• Angriffe
• Einbrüche
• Protokollierung (Logging) aller Ereignisse
• Alarmierung und Eskalation
• Beispiele
• Snort, Tripwire

39
Application Gateway

• Generelles Kommunikations-Gateway zwischen LAN
  und Internet User-Authentifizierung
• Content-Filterung auf Java, JavaScript, ActiveX
  und beliebige andere MIME-Types
• Web-Blocker (Site-Blocker)
• WWW- und FTP-Proxy
• Virus-Check aller Datenströme aus dem Internet

40
Virenschutz (1)

• Scannen uneingeschränkt und ausnahmslos ALLER von
  außen eingehenden Daten auf allen Medien und
  allen Datenströmen
• Disketten
• CD-ROMs, DVDs
• Anwender-PCs
• Server-Dateisysteme
• Exchange Datenbanken
• WWW- und FTP-Datenströme
• E-Mail Transport

41
Virenschutz (2)

• Vermeidung von
• Viren, Würmern, Trojanern
• Spyware
• Malicuous Code im weitesten Sinne
• Vollautomatisches Update aller Scanner durch eine
  zentrale Virenschutz-Konsole

42
Prinzipskizze Internet-Anbindung
43
Sicherheit ist ein Prozess!

• Sicherheit ist kein Zustand, sondern ein
  ständiger Prozess!
• Permanente Pflege und Weiterentwicklung des
  Konzeptes
• Regelmäßige Überprüfung der tatsächlichen
  Sicherheit
• Logfiles, Protokolle, Reports
• Security-Scanner (Nessus)
• Penetrationstests mit Hacker-Tools
• Worst-Case-Szenarien und Übungen

44
Wichtige Ressourcen

• Internet
• http//www.securityfocus.com (sehr informativer
  Newsletter!)
• http//www.cert.org, http//www.cert.dfn.de
• http//astalavista.box.sk
• Interessante Literatur (Tatsachen-Thriller)
• Hackerjagd im Internet (Tsutomu Shimomura)
• Kevin Mitnick Der Hacker (Katie Hafner, John
  Markoff)
• Kuckucksei (Clifford Stall)

45
Live-Demo

• Nessus Security-Scannerhttp//www.nessus.orgNess
  us ist Open Source Software unter der GNU General
  Public License und damit quelloffen und
  kostenlos. Nessus wurde bereits mehrfach als
  bester Security-Scanner ausgezeichnet und hat in
  einem Vergleichstest einer deutschen
  Computerfachzeitschrift alle kommerzielle
  Produkte weit übertroffen.
• Trend Virus Control Systemhttp//www.trendmicro.d
  e http//www.antivirus.comZentraler
  Virenschutz mit vollautomatischer Update-Funktion
  und Verteilung
• Security-Tool Datenbank von Ansgar Licher

46
Vielen Dank!
Vielen Dank für Euer Interesse!