Administratoren Tools · – Als Dienstserver (für IRC, DDoS-“Zombie“) ist jeder interessant....

AdministratorenTools.ppt/HMW/11.10.2004

Administratoren-Tools

1Prof. Dr. Heinz-Michael Winkels, FH-Dortmund

IT-Sicherheit

Administratoren ToolsSoftware zur Abwehr von

Hacker-Angriffen

Dortmund, Oktober 2004

Prof. Dr. Heinz-Michael Winkels, Fachbereich Wirtschaft FH DortmundEmil-Figge-Str. 44, D44227-Dortmund, TEL.: (0231)755-4966, FAX: (0231)755-4902




IT-Sicherheit

InhaltSeite

Summary 3

Netzangriffe 4

Sicherheitsstandards 6

Firewalls 7

Schnittstellen Absicherung 9

Eindringungsermittlung 12

System Abtrennung 21

Strategische Analyse des Hackerverhaltens 29

Internet-Links 30




IT-Sicherheit

Summary

Netzwerksicherheit ist ein fortlaufendender Regelkreis:– Man sollte sich darüber im Klaren sein, dass man dabei niemals einen Zielpunkt erreicht.

Es existiert kein Produkt, welches allein ein Unternehmen „sicher“ machen kann.

Wirkliche Netzwerksicherheit entsteht erst durch eine Kombination von Produkten und Diensten zusammen mit einer umfassenden Sicherheitspolicy und deren Einhaltung

– sowohl auf der Managementebene – als auch auf den untergeordneten Ebenen in einem Unternehmen.

Bei den Produkten sind eine Kombination von Firewalls, Intrusion DetectionSystemen und Air Gaps angebracht.




IT-Sicherheit

Netzangriffe betreffen jeden Systemadministrator

Wer ist gefährdet ?– Jeder ist gefährdet

– Jeder ist ein Ziel

– Fast jeder war schon Ziel

Warum?– Angreifer benötigen „Attack Proxies“

– Schlecht gesicherte Systeme sind ideal

– Der Aufwand für umfangreiche Informationssammlung ist bei schlechter Sicherung größer als der Aufwand des Hacks

– Automatisierte Angriffe, Viren und Würmer kümmern sich nicht um die Identität eines Ziels




IT-Sicherheit

... Netzangriffe betreffen jeden Systemadministrator : Häufige Irrtümer

„Ich bin kein interessantes Ziel“– Würmern, Viren und dem Durchschnittshacker ist es egal, wen sie angreifen– Harmloses Beispiel: Code Red– Bösartiges Beispiel: W32.Sircam– Als Mittelsmann („Attack Proxy“) ist jeder interessant– Für die Distribution von Dateien ist jeder interessant– Als Dienstserver (für IRC, DDoS-“Zombie“) ist jeder interessant.

„Ich habe Backups“– Keine Schutzfunktion– Integrität ohne Zusatzmaßnahmen sehr fraglich– Funktionsfähigkeit muss regelmäßig überprüft werden– Wirtschaftlicher Schaden wird nicht beseitigt

z. B.Reputation bei Website Defacement

„Mein Provider macht das für mich“– Wer haftet im Schadensfall?– Passt die Policy auf mein Unternehmen?– Wer beschließt Änderungen der Policy in welchem zeitlichen Rahmen nach welchen

Kriterien?– Verstehe ich, was mein Provider tut? Macht er das richtige?




IT-Sicherheit

Sicherheitsstandards (Security Policies)

Definieren den Unternehmensstandard für die Netzwerksicherheit

Nur mit fester Policy können Abweichungen festgestellt werdenImplementation muss regelmäßig überprüft werdenOhne Policy ist keine definierte Sicherheit zu erreichenPaßwort-Policies

– Art, – Rücksetzung, – Änderungsintervalle,– Einzigartigkeit …

Netzwerk-Policies– Definition von Sicherheitsbereichen,– Definition erlaubter Datenflüsse

Conduct Policies– Verhaltensregeln, – Zuständigkeiten




IT-Sicherheit

Firewalls

Internet PrivatesNetzwerk

Eine Firewall ist eine definierte, kontrollierte Schnittstelle zwischen zwei Netzen.

Eigenschaften

– in der Regel Softwarelösung

– Beschränkung von Diensten auf bestimmte Portnummern

– Barriere zwischen internem, privaten Netz und Internet

– Abschottung des internen Netzes nach außen

– Zugriffsbeschränkungen für nichtberechtigte Mitarbeiter




IT-Sicherheit

Arten von Firewalls

Paketfilter

Routerschaltung zwischen internem und externem NetzRegelung der Zugriffsrechte der Mitarbeiterkeine zusätzliche Software erforderlichkeine Erkennung von gefälschten Internetadressen

Application Level Gateway

Zulassung von Diensten ohne feste PortnummernVerbergung der Struktur und Rechneradressen des Netzwerkeskeine direkte Verbindung zwischen internem Netz und Internetexakte Protokollierung notwendig

... Firewalls

Internet PrivatesNetzwerk




IT-Sicherheit

Schnittstellenabsicherung (Perimeter Security)

Sicherheitsrichtlinien für die Schnittstellen ( „Rand“) des Netzwerks der Verbindung von mind. zwei Netzen

Z. B. Internet & Unternehmens-LAN

Sicherheit kann von Adreß- bis Anwendungsebene durchgesetzt werden

Wird heute meist erreicht durch:– Paketfilter (ACLs auf Routern)– Application Level Gateways (z. B. HTTP-Proxies)– Firewalls (mit transparenten / nicht transparenten Applikationsproxies– Häufig:

mehrere Firewalls unterschiedlicher Hersteller kombiniert




IT-Sicherheit

... Perimeter Security

Paketfilter (ACLs auf Routern)„First line of defense“: PaketfilterGeschwindigkeitserhöhend für nachgelagerte FirewallsAlles, was schon aufgrund einfacher äußerer Anzeichen verworfen werden kann, muss nicht von der Firewall verarbeitet werden

FirewallsAuf OSI Layer 3/4: „Verbietet alles, was nicht explizit erlaubt istTypischerweise Kombination aus Paketfiltern mit „Applikations-Proxies“ für OSI Layer 6/7-InspectionHard- und Software-Lösungen verfügbar

Firewalls und ApplikationproxiesApplikationsproxies bieten mehr Sicherheit als PaketfilterSo oft wie möglich Applikationsproxies statt Paketfilter verwenden

– passives FTP durchsetzen, SMTP-Sitzungen überprüfen




IT-Sicherheit

... Perimeter Security

Vorteile von Firewalls

Firewalls bieten minimale Latenzzeiten und guten DurchsatzFirewalls mit Applikationsproxies und Stateful Packet Filtering sind sicherer als einfache ACLsauf Routern

Nachteile von FirewallsFirewalls „interessieren“ sich primär für Metadaten:

– Wer mit wem kommuniziertInhalte der Kommunikation werden nur unzureichend und oberflächlich geprüft

– typisch: ProtokolleinhaltungFirewalls schließen die Einfallstore nicht, sie machen sie nur kleinerFirewalls sind prinzipbedingt aus dem Netz erreichbar und können somit Ziel eines direkten Angriffs seinContent Inspection findet im unsicherem Netzbereich stattFirewalls sind Software und Software ist nicht fehlerfrei




IT-Sicherheit

Intrusion Detection Systeme

Hacker-Angriffe auf ein Netzwerklassen sich in den Zugriffs-Daten erkennen und durch einen Firewall-Administrator protokollieren

sind aber schwierig zu entdecken – Datenfülle– Vielzahl und Komplexität der verschiedenen Angriffsmöglichkeiten

ID-Systeme:– Unterstützung des Firewall Administrator beim Herauslesen von Protokolldaten– allerdings kein Heilmittel gegen Angriffe von Außen und sollte deshalb nur als Ergänzung

für andere Sicherheitsmaßnahmen eingesetzt werden

IR-Systeme:– Leiten beim Erkennen eines Angriffes automatisch Gegenmaßnahmen ein

Hilfe: Intrusion Detection (ID) und Intrusion Response (IR) Systeme




IT-Sicherheit

Eindringungsermittlung (Intrusion Detection)

Gründe für Intrusion Detection

Ziel ist es, von Angriffen oder erfolgreichem Eindringen frühzeitig zu erfahren

Firewalls sind nur so gut wie ihre KonfigurationDie prinzipbedingt begrenzten Fähigkeiten von Firewalls implizieren

– den möglichen Host Compromise– mögliche Layer 7-Angriffe (SQL in Formularen usw.)

Nicht alle Angriffe sind Netzwerkangriffe (Local Elevation of Privileges)

Firewall = Mauer der BurgIDS = Wächter auf Streife

„Desto löchriger die Mauer umso mehr werden Wächter gebraucht“




IT-Sicherheit

... Intrusion Detection:

Intrusion Detection Systeme können nicht …

schwache Passwörter kompensieren

Schwächen in Protokollen / Protokollimplementationen kompensieren

die lokale Security Policy erraten – die eigene Policy muss in Custom-Signaturen umgesetzt werden ⇒ Aufwand)

Ermittlungen ohne menschliche Hilfe anstellen

Betriebssystemschwächen kompensieren

Netzverkehr >100 Mbps überwachen

in ihrer Verarbeitungsgeschwindigkeit mit der modernsten Netzwerkhardware mithalten

alle Arten von Netzwerk Sessions 100%ig zur Analyse rekonstruieren – z.B. Schwierigkeiten bei fragmentierten Paketen

proaktiv sein – sie sind immer reaktiv

sich selbst 100%ig gegen DOS-Attacken schützen




IT-Sicherheit

... Intrusion Detection

Firewall vs. Intrusion Detection

Unternehmen vernetzen sich im Zeitalter von e-Business immer dichter und undurchschaubarer

Änderung des Sicherheitsparadigmas– Nicht mehr „Keep the bad guys out“ – Sondern „Get the good guys in“

Firewallsysteme werden immer offener– viele Protokolle und Ports müssen offen bleiben– Oft sind verwendete Protokolle nicht für Sicherheitsfragen optimiert, oder proprietär und

nicht sauber dokumentiert („extreme-programming“)

Firewallsysteme werden immer zahlreicher– Sehr viele Netzübergänge, zum Teil zu fremden Netzen– Oft besteht kein Durchgriff auf Firewallsysteme fremder Firmen– Kontrolle wird technisch und organisatorisch immer schwieriger




IT-Sicherheit


Eigenschaften von IDS

Invasiv- oder nicht invasiv– Alerts– Connection Reset– Verwerfen von Paketen

Betrieb als – Gateway (Router)– Bridge– Monitor




IT-Sicherheit


Arten von Intrusion Detection-Systemen (IDS)

Host-Based IDS (HIDS):

– Systeme, die die Integrität eines Computersystems überprüfen– Beispiel

Tripwire

Network-Based IDS (NIDS):

– Systeme, die Netzwerkverkehr auf Indizien für Angriffe oder erfolgreiches Eindringen untersuchen

– BeispielSnort

Mischformen:

– DEMARC– ISS RealSecure




IT-Sicherheit

... Intrusion Detection: Host-Based IDS (HIDS):

VorteileErkennt auch lokale Angriffe (die nie über das Netz gehen)Kann Aussagen zum Erfolg der Angriffe machenEs ist gleichgültig, welche Art von Netzwerk vorliegt

– Verschlüsselung,– Speed, – Architektur

Keine zusätzliche Hardware erforderlichGeringere Einstiegskosten

– „Man kann mal mit den kritischen Maschinen anfangen..."

NachteileSystemspezifisch (OS muss unterstützt werden)Verbraucht Systemressourcen auf ProduktivsystemenErkennt nicht low-level NetzwerkangriffeHöhere TCO als NIDSSelbst angreifbar, weil sichtbar




IT-Sicherheit

... Intrusion Detection: Network-Based IDS (NIDS)

VorteileOS-unabhängigEchtzeitFür Angreifer unsichtbarKaum Möglichkeiten, Spuren zu verwischenAuch versuchte Angriffe werden ermitteltLow-level Angriffe könne festgestellt werden (z.B. SYN flood)Kein Performance-Verlust auf ProduktivsystemenGeringere TCO als host-based IDS (weniger Sensoren)

NachteileRekonstruktion der Netzwerk Sessions manchmal unvollständigVerschlüsselte Kommunikation nicht überwachbar ("Erblinden")Schwierigkeiten auf switched networksSchwierigkeiten auf high-speed networks (nur bis 10 Mbps zu gebrauchen)Selbst anfällig gegen DOS-AngriffeKann nicht immer Aussagen zum Erfolg eines Angriffs machenHöhere Einstiegskosten




IT-Sicherheit


Kommerzielle IDS-Tools

Realsecure (ISS) ΨIntruder Alert/Net Prowler (Axent) Ψ*ETrust Intrusion Detection (CA)Cypercop Monitor (Network Associates) ΨTripwire (Tripwire)Cisco Secure IDS, früher NetRanger (Cisco)NFR Intrusion Detection Appliance (NFR)Centrax (CyberSafe Corp.) Ψ

– Ψ: kombiniert NIDS und hostbased IDS– Ψ*: in getrennten Produkten




IT-Sicherheit


Kriterien für die Tool AuswahlWie gut werden Intruder entdeckt? (accuracy + completeness)Performance bei hoher NetzwerklastHostbased- oder Netzwerk IDS? Oder Kombination?Kosten der ImplementierungKosten im BetriebTCO?Open Source?Wie schützt sich das System selbst? – Es ist ein logischer Angriffspunkt.

– Unzuverlässige Systeme ...vermitteln ein falsches Sicherheitsgefühl.sind bei Strafverfolgung von Angreifern fragwürdig als Beweismittel.

möglichst lauffähig ohne Beaufsichtigung (utopisch)Selbstüberwachung ("Werde ich selbst gerade angegriffen?")FehlertoleranzSelbstwiederherstellung beim Startup nach SystemcrashSollte nur wenig zusätzliche Last auf dem Host verursachen (host-based)Muss ans System anpassbar sein (host-based)Muss an administrative Veränderungen im System anpassbar sein (host-based)




IT-Sicherheit

Systemabtrennung (Air Gaps) zur Ergänzung von Firewalls und IDS

Warum reichen Firewalls und IDS nicht aus?

Firewalls sind zu nachgiebig, da sie auf Netzwerkebene Pakete routen

IDS ähneln Virenscannern und müssen Angriffe erkennen, um zu reagieren

Firewalls sind für kontrollierte ausgehende Verbindungen meist vertretbar sicher– Heute werden Dienste aber auch häufig nach außen bereitgestellt

Sollen Backoffice-Daten zugegriffen werden, sind häufig komplexe mehrstufige Firewall-Architekturen von Nöten

Mit diesen Architekturen wird versucht, die prinzipbedingten Risiken reiner Firewall-Lösungenzu minimieren.

Datenaustausch im „manuellen Batchbetrieb“ ohne Online-Verbindungen zwischen unterschiedlichen Security Domains: Air Gap

Die klassische Lösung gibt es in fast jedem Unternehmen




IT-Sicherheit

Air Gaps

Eigenschaften eines klassischen Air Gap

Physikalische Trennung

Logische Trennung

Hohe Latenzzeit

– Deshalb unpraktisch für Online-Anwendungen

– primärer Grund, warum bisher Sicherheit in Firewall-Architekturen geopfert wird

Content Inspection findet in der vertrauten („Trusted“) Security Domain statt

Diese Security ist prinzipbedingt von außen nicht erreichbar




IT-Sicherheit

... Air Gaps

Modernes Air Gap: Whale e-GapPhysikalische Trennung

Logische Trennung

Geringe Latenzzeit

Content Inspection findet in der vertrauten Trusted Security Domain statt

– Dieser Bereich ist von außen nicht erreichbar

– und somit vor Manipulation geschützt

FunktionsweiseZwei Server in unterschiedlichen Security Domains

– z. B. Internet und LANSCSI-SpeicherbankAnaloger Switch

– Verbindet Speicherbank über SCSI mit genau einem Server zur ZeitDigitale Steuereinheit für analogen Switch




IT-Sicherheit

... Air Gaps: Whale e-Gap

Arbeitsprinzip des e-Gap-Systems

Interner Server

(Backoffice-LAN)Externer Server

(z. B. im Internet, DMZ)

Analoger SCSI-Switch

e-Gap Appliance

Speicherbank

SCSI - BusSCSI - Bus

Untrusted Trusted




IT-Sicherheit


Externer Server des e-Gap

Two-Way-Mode: Erhält seine Konfiguration vom internen Server One-Way-Mode: wird statistisch konfiguriert Ist „Untrusted“:

– es gibt keine Abhängigkeiten oder Annahmen auf der „Trusted“-Seite über das Verhalten des externen Servers

Interner Server des e-Gap

Hält KonfigurationsdatenÜbernimmt Ver- und Entschlüsselung

– Keys liegen auf internem Server– Content Inspection auf verschlüsselten Inhalten möglich

Ist wirklich „Trusted“, da er von außen nicht erreichbar ist




IT-Sicherheit


e-Gap Appliance

SCSI-Speicherbank

Analoger Switch– Verbindet genau einen Host zur Zeit mit der Speicherbank– Digitale Ansteuerung

Optional durch Schalter in One-Way-Modus zu versetzen

Kein mißbrauchbares Betriebssystem– PROM-Architektur– Jeder Schaltvorgang führt zum Reset

Keine Reprogrammierung

Keine „Intelligenz“




IT-Sicherheit


HTTP-Content Inspection mit e-Gap

Firewall Content Inspection:– Prüft typischerweise die Protokolleinhaltung– Inhalte von Webtransaktionen werden nur oberflächlich untersucht, wenn überhaupt– Formulareingaben usw. werden nicht validiert

Die Content Inspection Engine des e-Gap arbeitet mit Positivlogik:– Für HTTP-Methode,– URL,– Parameter und– Parameterinhalte

Definition über reguläre Ausdrücke möglich




IT-Sicherheit


Vorteile des e-Gap

Tatsächliche Trennung unterschiedlicher Security Domains

Prinzipbedingte Eliminierung der freien Adressierbarkeit von Diensten und Hosts

Eliminierung typischer Rückkanäle

Sicherheitsrelevante Systeme sind nicht von außen adressierbar– Trotzdem vollständige Dienstverfügbarkeit

Content Inspection mit Positivlogik

Host Compromise bedeutet lediglich DoS




IT-Sicherheit

Strategische Analyse des Hackerverhaltens

Das Projekt Honeynet zur Beobachtung des Hacker-Verhaltens

Honeynet existiert seit 1999 und ist nicht kommerziell ausgerichtet

Mehrere Rechner haben sich zusammengeschlossen– Einzige Aufgabe : Hacker und Spione im Internet anlocken

In dem Netz werden die illegalen Angriffe analysiert– Dabei ist das Abwehrpotenzial dieses Netzes nicht vorhanden– Dient einzig und allein als Falle für Trojaner, Würmer und Viren

So werden geeignete erfolgsversprechende Massnahmen überlegt

Für die Motivation der User werden Wettbewerbe ausgerichtet– Teilnehmer müssen Schädlinge bei der Projektleitung abholen und Fragen beantworten




IT-Sicherheit

Internet-Links

http://www.cert.orghttp://www.securityfocus.com/http://www.whalecommunications.com/http://www.watchguard.com/http://www.microsoft.com/security/default.asphttp://www.insecure.org/nmap/http://www.hideaway.net/stealth/http://www.securityfocus.comhttp:// www.ticm.com/kb/faq/idsfaq.htmlwww-rnks.informatik.tu-cottbus.de/~sobirey/ids.htmlwww.icsa.net/html/communities/ids/membership/index.shtmlhttp://www.un-secure.de/ http://212.227.188.60/pages/hackerzbook/http://www.infoserversecurity.orghttp:/www.tripwire.org/http://www.bsi.dehttp://www.heise.de




IT-Sicherheit

... Internet-Links

http://www.all.nethttp://www2.axent.com/swat/news/ddos.htmhttp://www.cert.org/reports/dsit_workshop.pdfhttp://www.first.org/alerts/codered.htmlhttp://www.research.att.com/~smb/talks/nanog-dos/index.htmhttp://www.iss.net/security_center/alerts/advise43.php http://www.sans.org/newlook/home.phphttp://www.nessus.org/http://www.atstake.com/research/tools/index.htmlhttp://rr.sans.org/tools/tools_list.phphttp://www.insecure.org/tools.htmlhttp://www.hackingexposed.com/tools/tools.htmlhttp://netsecurity.about.com/cs/hackertools/http://www.nmrc.org/files/snt/http://neworder.box.sk/




IT-Sicherheit

Administratoren Tools · – Als Dienstserver (für IRC, DDoS-“Zombie“) ist jeder interessant....

Documents

Transcript of Administratoren Tools · – Als Dienstserver (für IRC, DDoS-“Zombie“) ist jeder interessant....