1 / 46

IT-Sicherheit in der Praxis

IT-Sicherheit in der Praxis. Ein Fachvortrag von Ansgar H. Licher Dipl.-Ingenieur der Systemanalyse IT-Leiter der MBN Bau AG. Curriculum. Wichtige Fachbegriffe Welche Gefahrenpotenziale drohen? Wesen und Merkmale der Gefahrenquellen Schutzmaßnahmen und -strategien

ryan-page
Download Presentation

IT-Sicherheit in der Praxis

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript


  1. IT-Sicherheit in der Praxis Ein Fachvortrag von Ansgar H. Licher Dipl.-Ingenieur der Systemanalyse IT-Leiter der MBN Bau AG

  2. Curriculum • Wichtige Fachbegriffe • Welche Gefahrenpotenziale drohen? • Wesen und Merkmale der Gefahrenquellen • Schutzmaßnahmen und -strategien • IT-Sicherheit in der Praxis

  3. Wichtige Fachbegriffe • TCP/IP • Unterscheidung TCP und UDP • Ports • IP-Paket Aufbau • ICMP + Ping • DMZ

  4. IT-Sicherheit Was ist IT-Sicherheit? Schutz der eigenen IT-Infrastruktur gegenüber der Aussenwelt! Schutz der eigenen IT-Infrastruktur gegenüber der Aussenwelt! • Gefahren? • Abwehr? • Vermeidung? • Erkennung? • Notwendigkeit? ?

  5. Erkenne Deinen Feind! • Man kann sich nicht vor etwas schützen, was man nicht kennt! • Die Frage ist nicht, ob, sondern wann man angegriffen wird! • Die Gefahren heute sind Script-Kiddies statt Netzwerkexperten und Technik-Freaks! • Geografische Grenzen sind irrelevant, das Internet ist weltumspannend und der Gegner nur einen Mausklick entfernt

  6. Gefahrenpotenziale IP-Spoofing Buffer-Overflow Viren ? Portscan JavaScript Hacker Probes Script-Kiddies Trojaner ActiveX ICMP-Fingerprinting Dialer

  7. Gefahrenpotenziale IP-Spoofing IT-Sicherheit Buffer-Overflow Viren ? Portscan JavaScript Hacker Probes netzwerk- basierte Gefahren content- basierte Gefahren Script-Kiddies Trojaner ActiveX ICMP-Fingerprinting Dialer

  8. netzwerk-basierte Angriffe bzw. Gefahren • Probes, Portscans • Fingerprinting, IP-Options • IP-Spoofing • „klassische“ Hacks • Ausnutzung von Sicherheitslücken in Server-Programmen • sendmail • SSH • ... • Denial of Service (DoS), DDoS • Trojaner, Backdoors und andere Spoofer

  9. Probes, Portscans • Ziel: Informationsgewinnung • Möglichkeiten: • Address Space ProbesAuskundschaften eines Netzwerkes durch sequenzielle Abfrage der IP-Adressen • Port Space ProbesAuskundschaften eines Netzwerkes durch sequenzielle Abfrage der IP-Ports • Portscanssystematische Analyse offener Ports und ggf. damit verbundener Schwachstellen

  10. Fingerprinting • Ziel: Informationsgewinnung, Ausspähung • Möglichkeiten: • Ermittlung von Informationen über eingesetzte Hard- und Software in „trusted networks“, ausschließlich durch den Einsatz von ICMP (!!!)Im Internet sind hierzu lesenswerte und sehr informative Unterlagen erhältlich. Begründer dieser Methodik ist der Israeli Ofir Arkin.

  11. IP-Options • Ziel: Ausspähung, Einbruch • Möglichkeiten: • Nutzung von IP-Protokoll-Features (bspw. Debug-Optionen, ICMP, ...) zur Verschleierung der Identität

  12. IP-Spoofing • Ziel: Einbruch durch Täuschung • Möglichkeiten: • Konfiguration eines Hosts mit einer IP-Adresse aus dem „trusted network“ (Zielnetzwerk) um Einzudringen / Netzwerk-Informationen zu erhalten • IP-Options = Nutzung von IP-Protokoll-Features (Debug-Optionen, ICMP) zur Informationsgewinnung / Verschleierung der Identität

  13. „klassische“ Hacks • Ziel: Einbruch • Möglichkeiten: • alle vorgenannten Angriffe, besonders aber: • Ausnutzung von Sicherheitslücken in Programmen • sendmail • SSH • FTP (WU-FTPD :-)

  14. Denial of Service (DoS) und DDoS • Ziel: „Deaktivierung“ von Infrastruktur • Möglichkeiten: • Auslastung von Rechenleistung bis 100% • Erreichen von permanenten Reboots • Abkopplung von Systemen vom Netzwerk • „Abschuss“ von Systemen • Beispiele • Ping of Death (Windows NT SP 3) • Distributed Denial of Service

  15. Trojaner, Backdoors und andere Spoofer • Ziel: Einbruch, Ausnutzung, Daten- und Passwort-Diebstahl • Möglichkeiten: • Ausspähen von Passwörtern und Zugangscodes • Mitschnitt von Sessions (Key-Logging) • Zugriff auf beliebige Dateien im Netz • totale (!) Rechnerkontrolle • Ausnutzung des Opfers als DDoS-Client • ... ... ...

  16. content-basierteAngriffe bzw. Gefahren • Gefahren durch sog. „aktive Inhalte“ • Java, JavaScript, Vbscript, ActiveX, Flash • Betriebssystem & Browser als Angriffspunkt • Applet Attacks • Content type attacks • DoS Angriffe • Viren, Trojaner, Skripte, ...

  17. Backdoor-Beispiele • Back Orifice 2000, SubSeven, NetBus • Das Neueste: „Backdoor INTRUZZO.A“ (erstes Erscheinen: Ende April 2002;wird mittlerweile von TrendMicro erkannt!) • Features: • Open/Close CD-ROM tray • Chat with the infected user • PWL Reader: open and read PWL files on server • Shutdown the computer • Control the mouse • Taskman • Print a message • Take a screen capture • Obtain System info • Write on the desktop

  18. Backdoor-Features ... • Die Features von BO2K, SubSeven und insbesondere NetBus reichen soweit, dass man sich den Einsatz von käuflichen Produkten wie pcANYWHERE usw. im Prinzip getrost sparen kann!Wozu viel Geld ausgeben, wenn das Gute so Nahe liegt?

  19. Aktive Inhalte • Java • JavaScript • VBscript • ActiveX • Cookies • Plug-Ins

  20. Java • Systemübergreifende und plattformunabhängige Programmiersprache (wird von SUN entwickelt und lizenziert) • Applets liegen in kompilierter Form (Bytecode) zum Download + anschließender Ausführung vor • Die Sicherheit wird dadurch gewährleistet, dass diese Applets in abgeschotteten Speicherbereichen, sogenannten "Virtuellen Maschinen" (Sandbox) ausgeführt werden. • Die Zugriffsmöglichkeiten des Applets sind stark beschränkt: Auf Ressourcen wie etwa lokale Datenträger (Festplatte) kann nicht zugegriffen werden. Nur zu den Komponenten Grafik- und Soundkarte besteht Zugriff. • Das Java-Konzept gilt in der Theorie bzgl. Sicherheit als vorbildlich.

  21. JavaScript und VB-Script • Script-Sprache ermöglicht es, den Browser zu steuern, Applets zu starten oder das Aussehen von Web-Seiten dynamisch zu modifizieren. • JavaScript stellt eine der größten Gefährdungen dar. Im Vergleich zu Java gibt es keine nennenswerten Sicherheitsmechanismen. Einschränkungen obliegen dem Browser. • Als Problem haben sich in der Vergangenheit die Bugs in den Browsern herausgestellt: Sowohl der Microsoft Internet Explorer als auch der Netscape Communicator haben Fehler, die es ermöglichen, Daten auf der Festplatte auszuspionieren und über das Internet zu übertragen.

  22. ActiveX • Download von Programmbibliotheken aus dem Web + Ausführung als Teil des Betriebssystems (entspricht einem gewöhnlichen Windows-Programm)ActiveX hat uneingeschränkten Zugriff auf den gesamten PC mit allen Einzelheiten! • Aufgrund seiner sicherheitstechnischen Ausstattung ist Aktive-X bei Hackern sehr beliebt. Ist Ihnen ein solches OCX-Module erst einmal untergejubelt, ist ihr PC dem Control völlig ausgeliefert. Dass diese Module sehr mächtig sind und unbemerkt jede Art von Aktionen durchführen können, bewies zum Beispiel der Chaos-Computer-Club: Über das Internet wurde per ActiveX die Kontrolle über eine Finanz-Software übernommen und anschließend Gelder auf Testkonten überweisen. • Digitale Signatur von ActiveX Controls als Schutz?Zertifikate werden ohne Prüfung der beinhalteten Funktionen ausgestellt und sind nachweislich fälschbar! • Abhilfe: Aktive-X niemals zulassen!!!

  23. Cookies • Cookies (zu deutsch: Kekse) haben einen schlechten Ruf und werden häufig als große Gefahr für die individuelle Sicherheit betrachtet. • Cookies sind keine aktiven Elemente (Programme starten oder die Festplatte nach speziellen Daten untersuchen ist nicht möglich) • Cookies sammeln Informationen über Ihr Surf-Verhalten und speichern diese. • Vorteil: Vorfinden einer konfigurierten WEB-Seite wie beim Verlassen dieser • Nachteil: Gläserner Surfer (gezielte Werbung, Bewegungsprofile, ...)

  24. Plug-Ins • Browser verfügen über eine Schnittstelle, über die sich Erweiterungen - sogenannte Plug-Ins - einbinden lassen. • Die Plug-Ins können Sicherheitslöcher mit sich bringen, wie zum Beispiel durch das Macromedia-Shockwave-Plug-In bewiesen wurde: Es gelang einem Hacker, aufgrund eines modifizierten und speziell präparierten Plug-Ins, auf fremde Rechner zuzugreifen und Daten zu erspähen. • Abhilfe: Verzicht !!!

  25. Applet Angriffe • Applet Attacks • Java Applet:Bugs oder Erweiterungen der Browser ermöglichen Zugriff auf Ressourcen außerhalb der Java Virtual Machine (JVM) • ActiveX Applet:Diese Applets haben Betriebssystemrechte ... !

  26. Content type Angriffe • Content type attacks = Aufrufe aus dem Browser nutzen Inhalte um weitere Aktionen auszuführen

  27. Content Type Attack „Russian New Year“ • a well-known security hole in Windows and MS Excel • This vulnerability, related to the CALL function of Excel, allows an attacker to send an HTML e-mail or modify a HTML web page so that when accessed, the HTML page will automatically launch Excel and use that to run any program. This allows the attacker to do pretty much anything he wants on the host machine. • The problem has been partially solved by Microsoft by releasing patch for Excel 97 (this patch will disable the CALL command completely). Excel 95 can't be protected by this time. • Netscape and Internet Explorer can also be secured against this attack by updating to the latest version with latest patches. This does not prevent some attacks through HTML e-mail though.

  28. DoS Angriffe • Denial of Service Angriffe • Unter Nutzung von Betriebssystem-Bugs / notwendiger Betriebssystem-Mechanismen wird der Host (PC, Browser) angegriffen.

  29. Virenangriffe • ILOVEYOU (VBS) • Nimda • CodeRed

  30. Virenentwicklung • 1992: ca. 1.600 bekannte Viren • heute: weit mehr als 60.000 • Zukunft: Hybrid-Viren • Zuwachs im eigenen Hause:250% in 12 Monaten (Stand: Anfang 2002)

  31. Sonstige Gefahren • Social Engineering • Die Gefahr von Innen • „Müllen“

  32. Schutzmechanismen IP-Spoofing Buffer-Overflow Viren Portscan JavaScript Hacker Probes Trojaner Script-Kiddies ActiveX ICMP-Fingerprinting Dialer

  33. Schutzmechanismen IP-Spoofing Buffer-Overflow Viren ! Portscan JavaScript Hacker Probes Trojaner Script-Kiddies ActiveX ICMP-Fingerprinting Dialer

  34. Schutzmechanismen IP-Spoofing ! Buffer-Overflow Sicherheits Policy Viren netzwerk- basierte Gefahren Firewall Portscan JavaScript Hacker Intrusion Detection System Logging, Reporting, Alarmierung Probes Script-Kiddies Trojaner content- basierte Gefahren Application Level Gateway Virenschutz ActiveX ICMP-Fingerprinting Dialer

  35. Sonstige Faktoren • wichtigster Faktor bei der forensischen Analyse von Angriffen und Einbrüchen sind die Zeit und wirklich unkompromittierte Logfiles!!Nur wenn alle Systeme zeit-synchron laufen und die Logfiles nachweislich unmanipuliert sind, besteht überhaupt eine Chance, eine zusammenhängende Untersuchung der Ereignisse vorzunehmen!

  36. Angriffsmuster • Die Praxis zeigt, das Angriffe und Einbrüche oftmals einem gleichen Schema unterliegen: • Informationssammlung (Port Scans) • Analysieren von Schwachstellen an den offenen Ports • Einbruch durch Anwendung eines Exploits • Spuren der Anwesenheit verwischen • Rootkit bzw. Backdoor installieren • Ausnutzung des gehackten Systems entweder • als Plattform für Angriffe auf andere Systeme oder • zum Ausspionieren und Ausnutzen des gehackten Systems • Die Angriffsmuster bis zum Anwenden eines Exploits lassen sich i.d.R. in den Logfiles nachvollziehen!

  37. Firewall • Zugriffs-Management (incoming / outgoing) • Dynamische Paketfilterung • Abwehr von Attacken • IP Address Hiding • NAT • SYN Flood-Protection

  38. Intrusion Detection System • Erkennung von unerlaubten Zugriffen aller Art: • Port-Scans • Angriffe • Einbrüche • Protokollierung (Logging) aller Ereignisse • Alarmierung und Eskalation • Beispiele: • Snort, Tripwire

  39. Application Gateway • Generelles Kommunikations-Gateway zwischen LAN und Internet User-Authentifizierung • Content-Filterung auf Java, JavaScript, ActiveX und beliebige andere MIME-Types • Web-Blocker (Site-Blocker) • WWW- und FTP-Proxy • Virus-Check aller Datenströme aus dem Internet

  40. Virenschutz (1) • Scannen uneingeschränkt und ausnahmslosALLER von außen eingehenden Daten auf allen Medien und allen Datenströmen: • Disketten • CD-ROMs, DVDs • Anwender-PCs • Server-Dateisysteme • Exchange Datenbanken • WWW- und FTP-Datenströme • E-Mail Transport

  41. Virenschutz (2) • Vermeidung von • Viren, Würmern, Trojanern • Spyware • Malicuous Code im weitesten Sinne • Vollautomatisches Update aller Scanner durch eine zentrale Virenschutz-Konsole

  42. Prinzipskizze Internet-Anbindung

  43. Sicherheit ist ein Prozess! • Sicherheit ist kein Zustand, sondern ein ständiger Prozess! • Permanente Pflege und Weiterentwicklung des Konzeptes • Regelmäßige Überprüfung der tatsächlichen Sicherheit • Logfiles, Protokolle, Reports • Security-Scanner (Nessus) • Penetrationstests mit Hacker-Tools • „Worst-Case“-Szenarien und –Übungen

  44. Wichtige Ressourcen • Internet • http://www.securityfocus.com (sehr informativer Newsletter!) • http://www.cert.org, http://www.cert.dfn.de • http://astalavista.box.sk • Interessante Literatur (Tatsachen-Thriller) • „Hackerjagd im Internet“ (Tsutomu Shimomura) • „Kevin Mitnick – Der Hacker“ (Katie Hafner, John Markoff) • „Kuckucksei“ (Clifford Stall)

  45. Live-Demo • Nessus Security-Scannerhttp://www.nessus.orgNessus ist Open Source Software unter der GNU General Public License und damit quelloffen und kostenlos. Nessus wurde bereits mehrfach als bester Security-Scanner ausgezeichnet und hat in einem Vergleichstest einer deutschen Computerfachzeitschrift alle kommerzielle Produkte weit übertroffen. • Trend Virus Control Systemhttp://www.trendmicro.dehttp://www.antivirus.comZentraler Virenschutz mit vollautomatischer Update-Funktion und –Verteilung • Security-Tool Datenbank von Ansgar Licher

  46. Vielen Dank! Vielen Dank für Euer Interesse!

More Related