800 likes | 921 Views
www.datenschutz.rlp.de poststelle@datenschutz.rlp.de. LfD Rheinland-Pfalz H. Eiermann. Europäischer Datenschutztag 28. Januar 2008 “Denn Sie wissen nicht, was sie tun...” Datenschutz in der Online-Generation Info-Shop 3 “Wie sicher ist die Technik ?”. Sicherheitsaspekte von
E N D
www.datenschutz.rlp.de poststelle@datenschutz.rlp.de LfD Rheinland-Pfalz H. Eiermann
Europäischer Datenschutztag 28. Januar 2008 “Denn Sie wissen nicht, was sie tun...” Datenschutz in der Online-Generation Info-Shop 3 “Wie sicher ist die Technik ?” Sicherheitsaspekte von Web-Anwendungen LfD Rheinland-Pfalz H. Eiermann
Web-Anwendungen LfD Rheinland-PfalzH. Eiermann
IT-Struktur Web-Anwendung LfD Rheinland-Pfalz H. Eiermann
Schulverwaltungsnetz Datei-/Anwendungsserver LfD Rheinland-PfalzH. Eiermann
Schulverwaltungsnetz Pädagogisches Netz Datei-/Anwendungsserver Datei-/Anwendungsserver LfD Rheinland-PfalzH. Eiermann
Schulverwaltungsnetz Pädagogisches Netz Intranet-Server Datei-/Anwendungsserver Datei-/Anwendungsserver LfD Rheinland-PfalzH. Eiermann
Schulverwaltungsnetz Pädagogisches Netz Intranet-Server Datei-/Anwendungsserver Datei-/Anwendungsserver LfD Rheinland-PfalzH. Eiermann
Schulverwaltungsnetz Pädagogisches Netz Intranet-Server Router/Firewall Datei-/Anwendungsserver Datei-/Anwendungsserver LfD Rheinland-PfalzH. Eiermann
rlp-Netz Schulverwaltungsnetz Pädagogisches Netz Web- / Intranet-Server Mailserver Router/Firewall Datei-/Anwendungsserver Datei-/Anwendungsserver LfD Rheinland-PfalzH. Eiermann
Angriffsszenarien IP SpoofingManipulation von Datenpaketen ICMP-Attacken Missbrauch von Kontrollnachrichten Replay-Attacken Aufzeichnen und erneutes Einspielen von Datenpaketen Buffer-Overflow-Attacken Einschleußen von Programmcode durch Speicherüberlauf ARP-Spoofing Manipulation von Datenströmen im LAN DNS Spoofing Vortäuschen/Manipulation von DNS-Angaben Web Spoofing Kontrolle der Verbindung zwischen Client und Server Protokoll-TunnelingKapselung in unverdächtigen Protokollen Denial of Service-Attacken (DOS, DDoS) SYN-Flooding, Mail-Bomben Schadenssoftware Viren, Würmer, Trojanische Pferde Aktive Komponenten (ActiveX, Java) LfD Rheinland-Pfalz H. Eiermann
rlp-Netz Schulverwaltungsnetz Pädagogisches Netz Webserver/Intranet-Server Mailserver Router/Firewall Datei-/Anwendungsserver Datei-/Anwendungsserver LfD Rheinland-PfalzH. Eiermann
rlp-Netz Schulverwaltungsnetz Pädagogisches Netz Webserver/Intranet-Server Router/Firewall Mailserver Router/Firewall Datei-/Anwendungsserver Datei-/Anwendungsserver LfD Rheinland-PfalzH. Eiermann
rlp-Netz Schulverwaltungsnetz Pädagogisches Netz Webserver/Intranet-Server Router/Firewall Mailserver Router/Firewall Datei-/Anwendungsserver Datei-/Anwendungsserver LfD Rheinland-PfalzH. Eiermann
rlp-Netz Schulverwaltungsnetz Pädagogisches Netz Webserver/Intranet-Server Router/Firewall Mailserver Router/Firewall Datei-/Anwendungsserver Datei-/Anwendungsserver LfD Rheinland-PfalzH. Eiermann
Firewall LfD Rheinland-Pfalz H. Eiermann
Firewall # ipfwadm -F -f # ipfwadm -F -p deny # ipfwadm -F -a accept -P tcp -S 172.16.1.0/24 -D 0/0 80 # ipfwadm -F -a accept -P tcp -S 0/0 80 -D 172.16.1.0/24 # ... LfD Rheinland-Pfalz H. Eiermann
Sicherheitsmaßnahmen (Filterung nach IP-Adressen, Ports, Diensten) Netzwerkebene LfD Rheinland-Pfalz H. Eiermann
Sicherheitsmaßnahmen (Applikationssicherheit, Systemhärtung, Konfiguration) Anwendungsebene LfD Rheinland-Pfalz H. Eiermann
Pädagogisches Netz Webserver/Intranet-Server Router/Firewall # ipfwadm -F -a accept -P tcp -S ANY -D 172.16.1.0/24 -port 80 Router/Firewall Datei-/Anwendungsserver LfD Rheinland-PfalzH. Eiermann
Online-Kontrollen des LfD •Schwerpunkt Internet-basierte Anwendungen • Nutzung frei verfügbarer Software für Analyse und Test •Nutzung frei verfügbarer Informationen LfD Rheinland-Pfalz H. Eiermann
Tools Brutus, WebCrack, wwwhack Hydra nikto Manuelle Exploits (!) LfD Rheinland-Pfalz H. Eiermann
Beispiele für Vorgehensweisen / festgestellte Defizite Beispiel 1:Directory Traversal Beispiel 2:SQL-Injection Beispiel 3:Wörterbuch-/BruteForce-Attacke LfD Rheinland-Pfalz H. Eiermann
Beispiel 1: „Directory Traversal“ Gemeinsames Internet-Angebot mehrerer Bundesländer •Ausbrechen aus der vorgegebenen Verzeichnisstruktur eines Webservers •Hintergrund: Fehlerhafte Zugriffsrechte Hinweise im Seitenquelltext „ratbare“ Verzeichnisstruktur •Probleme: Unbefugter Datenzugriff; Manipulation LfD Rheinland-Pfalz H. Eiermann
LfD Rheinland-Pfalz H. Eiermann
1. Quelltextanalyse src=”http://f009.internet.shop.net/counter.js“> LfD Rheinland-Pfalz H. Eiermann
1. Quelltextanalyse src=”http://f009.internet.shop.net/counter.js“> 2. Browseraufruf:http://f009.internet.shop.net ... erfolglos LfD Rheinland-Pfalz H. Eiermann
1. Quelltextanalyse src=”http://f009.internet.shop.net/counter.js“> 2. Browseraufruf:http://f009.internet.shop.net ... erfolglos 3. Browseraufruf:http://internet.shop.net/f009 LfD Rheinland-Pfalz H. Eiermann
1. Quelltextanalyse src=”http://f009.internet.shop.net/counter.js“> 2. Browseraufruf:http://f009.internet.shop.net ... erfolglos 3. Browseraufruf:http://internet.shop.net/f009 https://internet.shop.net/f009 LfD Rheinland-Pfalz H. Eiermann
1. Quelltextanalyse src=”http://f009.internet.shop.net/counter.js“> 2. Browseraufruf:http://f009.internet.shop.net ... erfolglos 3. Browseraufruf:http://internet.shop.net/f009 https://internet.shop.net/f009 LfD Rheinland-Pfalz H. Eiermann
4. Browseraufruf:https://internet.shop.net/f009/logs/ /internet.shop.net/f009/logs/counter2.csv LfD Rheinland-Pfalz H. Eiermann
4. Browseraufruf:https://internet.shop.net/f009/logs/ /internet.shop.net/f009/logs/counter2.csv Datum/Uhrzeit IP-Adresse des Nutzers Zugangsknoten URL LfD Rheinland-Pfalz H. Eiermann
https://internet.shop.net/f002/logs/counter2.csv https://internet.shop.net/f003/logs/counter2.csv https://internet.shop.net/f004/logs/counter2.csv https://internet.shop.net/f005/logs/counter2.csv https://internet.shop.net/f006/logs/counter2.csv https://internet.shop.net/f007/logs/counter2.csv https://internet.shop.net/f008/logs/counter2.csv https://internet.shop.net/f009/logs/counter2.csv https://internet.shop.net/f010/logs/counter2.csv https://internet.shop.net/f011/logs/counter2.csv https://internet.shop.net/f012/logs/counter2.csv https://internet.shop.net/f013/logs/counter2.csv https://internet.shop.net/f014/logs/counter2.csv https://internet.shop.net/f015/logs/counter2.csv https://internet.shop.net/f016/logs/counter2.csv https://internet.shop.net/f017/logs/counter2.csv https://internet.shop.net/f018/logs/counter2.csv https://internet.shop.net/f019/logs/counter2.csv
Im Ergebnis konnten in 19 Fällen Zugriffsdaten heruntergeladen werden. Das Gesamtvolumen der Daten betrug ca. 300 MB (entspricht etwa 1.600 Druckseiten DIN A 4-Seiten). Zeitaufwand insgesamt: ca. 1 Std. LfD Rheinland-Pfalz H. Eiermann
Vorbeugung •Gestaltung des Web-Angebots •Reduzierung der Hinweise im Seitenquelltext •Anpassung der Zugriffsrechte, Konfiguration des Webservers (Server-Root, Document-Root) LfD Rheinland-Pfalz H. Eiermann
Beispiel 2: „SQL-Injection“ Internet-basierte Register-Anwendung •Kompromittierung der Web-Anwendung durch die Eingabe von SQL-Anweisungen •Hintergrund: Web-Applikation mit nachgeschalteter Datenbank Eingabefelder Mangelnde Prüfung von Benutzereingaben •Problem: Umgehung der Authentifizierung Unbefugter Datenzugriff Datenveränderung LfD Rheinland-Pfalz H. Eiermann
LfD Rheinland-Pfalz H. Eiermann
LfD Rheinland-Pfalz H. Eiermann
Web-Anwendung LfD Rheinland-Pfalz H. Eiermann
Web-Anwendung rlpuser01 sE5Am Dahinter stehende SQL-Anweisung: select ... from ... where name=‘ rlpuser01‘ and passwd=‘ sE5Am‘ LfD Rheinland-Pfalz H. Eiermann
Web-Anwendung LfD Rheinland-Pfalz H. Eiermann
Web-Anwendung Dahinter stehende SQL-Anweisung: select ... from ... where name=‘ ... ‘ and passwd=‘ ...‘ LfD Rheinland-Pfalz H. Eiermann
Web-Anwendung Dahinter stehende SQL-Anweisung: select ... from ... where name=‘ ... ‘ and passwd=‘ ...‘ Benutzereingabe führt zu: select ... from ... where name=‘4711‘ or ‘1=1‘-- LfD Rheinland-Pfalz H. Eiermann
Ergebnis: Anmeldung ohne gültige Benutzerkennung oder Passwort war möglich Zeitaufwand ca. 5 sec LfD Rheinland-Pfalz H. Eiermann
Ergebnis: Anmeldung ohne gültige Benutzerkennung oder Passwort war möglich Zeitaufwand ca. 5 sec Innerhalb der Anwendung sind bei fehlender Prüfung der Benutzereingaben SQL-Anweisungen für jeden angemeldeten Benutzer möglich. LfD Rheinland-Pfalz H. Eiermann
Schulverwaltungsnetz Pädagogisches Netz Webserver/Intranet-Server Router/Firewall Mailserver Router/Firewall Datei-/Anwendungsserver Datei-/Anwendungsserver LfD Rheinland-PfalzH. Eiermann
Variationen ... ... ‘4711‘ or ‘1=1‘ LfD Rheinland-Pfalz H. Eiermann
Variationen ... ... ‘4711‘ or ‘1=1‘ ... ‘4711‘ or ‘1=1‘; insert user ... LfD Rheinland-Pfalz H. Eiermann
Variationen ... ... ‘4711‘ or ‘1=1‘ ... ‘4711‘ or ‘1=1‘; insert user ... ... ‘4711‘ or ‘1=1‘; delete ... LfD Rheinland-Pfalz H. Eiermann
Variationen ... ... ‘4711‘ or ‘1=1‘ ... ‘4711‘ or ‘1=1‘; insert user ... ... ‘4711‘ or ‘1=1‘; delete ... ... ‘4711‘ or ‘1=1‘; drop table LfD Rheinland-Pfalz H. Eiermann