IINS

Aus wiki@ANOnet
Wechseln zu: Navigation, Suche

Kursmitschrift von GKN

Trainer: Michael Kafka


Inhaltsverzeichnis

Allgemeines

Bedrohungsszenarien

Extern

~1/3 der Angriffe kommen von aussen

  • angreifbare Webseiten
  • Würmer
  • Buffer Overflows
  • Trojanische Pferde
  • DoS
  • War-Dialing (dank VoIP)


Externe Angriffe können durch Perimetersicherheit "relativ" einfach in den Griff bekommen werden (auf http://attrition.org)

Intern

~2/3 der Angriffe kommen von innen. Sie entstehen aus

  • Fehlkonfigurationen, wenn zB Sicherheitsempfehlungen (Patches!!) nicht angewendet werden
  • Verwendung von Standardpasswörtern
  • "schlampige" Programmierer

Netzwerksicherheit

Ansprüche an die Netzwerksicherheit:

  • Vertraulichkeit
  • Integrität
  • Verfügbarkeit

Vertraulichkeit

diese kann erreicht werden durch:

  • physikalische Trennung, wird teilweise sogar im Datenschutzgesetz gefordert (Gesundheitsdaten, ...)
  • logische Trennung, nur bei vergleichbaren Sicherheitsstufen empfehlenswert

Integrität

Schutz gegen Modifikation, Löschung u.ä.

  • Authentifizierung, Authorisierung
  • Erkennen von Veränderungen --->LOGS (welche wieder getrennt werden sollen)

Verfügbarkeit

  • Schutz vor versehentliche Ausfälle
  • Schutz vor DoS (Filter u.ä.)

Klassifizierung der Sicherheitsstufen

Da nicht alle Daten gleich schützenswert sind, sollten sie verschieden gewichtet werden (-->ggf. gesetzliche Vorschriften). ZB:

US-Goverment

  • SBU: sensitive, but unclassified
  • Confidential: alles Interne (Besprechungen, ...)
  • Secret
  • Top Secret

Private

  • Public
  • Sensitive

(* Private) (* Confidential)

Einfluss auf die Klassifizierung

  • der Wert der Informationen sollte der wichtigste, ausschlaggebende Punkt für die Einstufung sein
  • das Alter der Information, denn völlig veralterte Daten sind ggf. nicht unbedingt in hohen Maße schützenswert
  • Verbindung zu Personen (intime Daten, ...)

Angriffsmethoden

Vulnerability

die vom Blatt verdeckte Stelle des Sigfried beim Bade im Drachenblut, die verwundbare Stelle, die das Exploid ausnutzt

Hauptfaktoren

  • Design-Errors
  • Protocol weakness
  • Software vulnerabilities
  • Misconfiguration
  • Hostile code
  • Human factor

Adversaries/Gegenspieler

  • Nationen/Staaten
  • Terroristen
  • organisierte Kriminalität
  • Hacker
  • Mitbewerb
  • unzufriedene Angestellte
  • Regierungsbehörden

Hackers, Crackers und Phreakers

  • Hacker: ein Computerenthusiast
  • White-Hat (ethischer Hacker)
  • Blue Hat (Bugtester)
  • Grey Hat (ethisch fragwürdiger Hacker)
  • Black Hat (unethischer Hacker)
  • Cracker: jene, die Software knacken
  • Phreaker: hackt über das Telefon
  • Script kiddies: jemand, der T00lz ausführen kann
  • Hacktivist: politisch (religiös) motivierter Hacker

Arten von Hackern

  • Academic Hacker: eher wenig Risiko
  • Hobby Hacker: eher wenig Risiko


Motivation

  • "Sportsgeist"
  • (religiöser) Fanatismus
  • finanzielle Interessen
  • militärische Interessen (auch von anderen Regierungsbehörden betrieben)

Denken wie ein Hacker

  1. Footprintanalyse: ein ACK-Paket reicht, um OS und ähnliches zu erkennen
  2. Analysieren der laufenden Dienste
  3. Userrechte manipulieren
  4. neue Zugänge legen
  5. Backdoors installieren
  6. Spuren verwischen

Verteidigung in der Tiefe - Defence in Depth

Da die Sicherheit nur so stark ist, wie das schwächste Glied, ist es ratsam, ebendiese zu finden, zu analysieren und zu stärken. Es sollten >Konzepte erstellt werden, an mehreren Punkten, in mehreren Schichten. Ein MTA in der DMZ kann so zur Sicherheit der Mailserver beitragen, da die erste Front vorgelagert wird

IP-Spoofing

Da die Absenderinformationen in einem Netzwerk nicht unbedingt vertrauenswürdig ist, stellt Spoofing ein interessantes Werkzeug dar, um Daten in einen bestehenden Datenstrom einzuschleusen. Auch kann so eine ACL (zB wäre die IP des Admin-PCs freigegeben) ausgeschalten werden. Hier können als Gegenmaßnahmen "Sequence-number-randomisation" eingesetzt werden, dann sind die Seq-Nummern nicht zu erraten Wird unter anderem für Man-in-the-Middle-Angriffe verwendet

Blind-Spoofing

errechnet dte Seq-Nummer

Non-Blind-Spoofing

SEQ-Nummer wird gesnifft

IP-Source-Routing

Ein Paket wird mit einem IP Route-Record gesendet, damit die Pakete immer den gleichen Weg gesendet werden. Interessant bei mehrere Wegen. Ein Angreifer kann eine Telnet-Session mit einer Source-Route-Option aufbauen (als Tool reicht ein Cisco-Router, hier kann als Source eine efiktive IP an einem Loopback-Interface angegeben werden.). Wird per Default con allen Cisco-Routern unterstützt.

MitM-Angrif

Ein Rechner wird "eingeschliffen", und die Daten werden über den Anfreiferhost gesendet.

Ping Sweep und Port Scans

Dienen der Aufklärung. Damit können Hosts identifiziert werden (OS, Patchstatus, ..)

Packet Sniffer

Informationen können ersniffert werden, so sind nicht verschlüsselte Informationen sichtbar

Emanations Capturing

Hier werden die elektromagnetischen Abstrahlungen von Monitoren, Kabeln u.ä. mitgeschnitten. Allerdings kann kier nicht nur die Ab- auch die einstrahlung eine Rolle spielen

Offene, verdeckte Kanäle

So kann zB. Information in der Windowsize des TCP-Headers mitversteckt werden. Proxys, welche eine TCP-Verbindung terminieren und eine neue aufauen können das verhindern

Steganographie

In einem JPG, mp3 oder anderen Dateien können nicht sichtbare Informationen versteckt werden, die den eigentlichen "Sinn" der originalen Datei nicht merkbar verändern

Pharming

Hier werden zB DNS-Einträge verändert, so wird ein $BANKKUNDE zum Angreifer umgeleitet

Security Operations

Der Betrieb des Netzes, ein Zyklus

Initiation Phase

  • Kategorisieren von Daten, Risken

Developement Phase

  • Anforderung mit IST-Zustand vergleichen
  • Security planen
  • Kosten analysieren
  • Security-Management
  • Test

Implementation Phase

  • Inspection and Acceptance
  • Systemintegration
  • Security certification (wenn notwendig)
  • Security accredition

Operation and Maintanance

Disposition Phase

  • geplanter Rückbau
  • was passiert mit gebrauchter/alter Hardware

Grundsätze

  • Vier-Augen-Prinzip, Dual Operator
  • Rotation der Aufgabenbereiche, um Social Engeneering zu erschweren
  • Backupsysteme testen und vorbereiten
  • Verteilen von Zuständigkeiten

Change Control

Veränderungen (im Fehlerfalle) können nachvollziehbar gemacht werden. Ggf kann mittels CC auch ein Rollback durchgeführt werden, um die Downtime zu minimieren


AAA

  • Authentication: Wer bist du? Verwendet werden PIN, TAN, Passwörter, Fingerprint, Irisscan, digitale Zertifikate, ...
  • Authorization: Was darfst du? Unter anderem per-User-Konfiguration, so zB userabhängige Accesslists, VLANs, ...
  • Accounting

Administrativer Zugang: zeichenorientiert Remote-User-Zugang: paketorientiert. So zb 802.11, 802.1x, ppp, vpn, ...


Secure Management & Reporting

Lockdown Ciscorouter

  • unbenutzte interfaces: per default "no sh", sollten auf "sh" gesetzt werden
  • bootp: ausschalten
  • CDP: wenn möglich abschalten
  • configutation autoloading: abschalten
  • ftp/tftp: ggf abschalten
  • ntp: nur dort lassen, wo es benötigt wird
  • PAD: deaktivieren
  • TCP und UDP-Smallservices: abdrehen
  • DEC-MOP abdrehen
  • SNMP, HTTP, DNS abdrehen
  • ICMP redirect: deaktivieren
  • source-routing abdrehen
  • finger abdrehen
  • ICMP unreachable: abdrehen
  • ICMP mask reply: abdrehen
  • IDENT: abdrehen
  • TCP keepalives: abdrehen
  • GARP
  • Proxy ARP
  • IP-directed broadcast: abdrehen

Zone Based Firewall

Zone-based Firewall-Konfiguration im Cisco IOS auf security-planet.de

Meine Werkzeuge
Namensräume

Varianten
Aktionen
Navigation
Werkzeuge