Network Security
    Eine Prozess-Sicht
Agenda

• Einführung
• Grundlagen Netzwerke
• Angriff
• Verteidigung
• Fazit
Einführung
Was ist Security?
Security is a process
       Bruce Schneier
Angriff

Angriff   Ziel
Verteidigung

Angriff   Prevention   Detection   Response   Ziel
Prevention
Maßnahmen, die einen Angriff im Vorhinein
erschweren sollen


Reallife:
  Tür und Schloß an Euren Häusern
IT:
 ...
Detection
Maßnahmen, die einen Angriff erkennen
sollen


Reallife:
  Alarmanlage im Haus
IT:
  Intrusion Detection Systems...
Response
Reaktion auf einen Angriff


Reallife:
  Ihr ruft die Polizei, diese probiert den
  Einbrecher festzunehmen. Bewe...
Agenda

Angriff   Prevention   Detection   Response   Ziel



                                   Letztes
   Dieser Worksho...
Attack the enemy
Der Prozess
     Ziel
auskundschaften
Der Prozess
     Ziel
auskundschaften

           Schwachstellen
          ausfindigmachen
Der Prozess
     Ziel
auskundschaften

           Schwachstellen
          ausfindigmachen

                    Schwachstel...
Der Prozess
     Ziel
auskundschaften

           Schwachstellen
          ausfindigmachen

                    Schwachstel...
Der IT-Prozess
     Ziel
auskundschaften    Passive Informationsgewinnung
                   Aktive Informationsgewinnung
...
Angriff
Passive       Aktive        Remote         Local        Root-        Expan-
  IG           IG           Exploit   ...
Verteidigung
Passive      Aktive        Remote         Local       Root-        Expan-
  IG          IG           Exploit ...
Grundlagen Netzwerke
Grundlagen Netzwerke
     TCP/IP Kommunikation
TCP/IP Kommunikation

Eine offene Verbindung zwischen zwei
Computern die über TCP/IP kommunizieren,
nennt man Socket und d...
TCP Paket
Grundlagen Netzwerke
        Firewall
Firewall
Firewall

• Unterbinden von ungewolltem Datenverkehr
  von externen Computersystemen (WAN) zum
  geschützten Bereich (LAN)...
Grundlagen Netzwerke
         DMZ
DMZ
DMZ
• Bereitstellung von Diensten (E-Mail, WWW,
  etc...) für WAN und LAN


• Server in der DMZ können von sich aus keine
...
Angriff
Angriff
Passive       Aktive        Remote         Local        Root-        Expan-
  IG           IG           Exploit   ...
Aktiv vs. Passiv
Vollkommen                      Vollkommen
   Passiv                           Aktiv
                   A...
Aktiv vs. Passiv
Vollkommen                               Vollkommen
   Passiv                                    Aktiv
  ...
Aktiv vs. Passiv
Vollkommen                               Vollkommen
   Passiv                                    Aktiv
  ...
Informationsgewinnung
Vollkommen               Vollkommen
   Passiv                    Aktiv
             Aktivität




  ...
Informationsgewinnung
Vollkommen                            Vollkommen
   Passiv                                 Aktiv
   ...
Informationsgewinnung
Vollkommen                Vollkommen
   Passiv                     Aktiv
              Aktivität



...
Informationsgewinnung
Vollkommen                      Vollkommen
   Passiv                           Aktiv
             Ak...
Informationsgewinnung
Vollkommen               Vollkommen
   Passiv                    Aktiv
             Aktivität




  ...
Angriff
Passive       Aktive        Remote         Local        Root-        Expan-
  IG           IG           Exploit   ...
Ziel
Informationen über
• eingesetzte Software
• Infrastruktur
• Netzwerkdesign
• Laufende Dienste
• Softwareversionen
Mittel

• Recherche im Internet, Newsgroups,
  Mailinglisten
• Versiongrabbing / Verbinden
• DNS zone transfers
• Social E...
Angriff
Passive       Aktive        Remote         Local        Root-        Expan-
  IG           IG           Exploit   ...
Ziel


Lokalen Benutzer-Account auf dem
Zielrechner
Mittel
Aus gewonnen Informationen werden
Sicherheitslücken identifiziert
• MITRE
• CVE
• ISS X-Force
Sicherheitslücken auf ...
Angriff
Passive       Aktive        Remote         Local        Root-        Expan-
  IG           IG           Exploit   ...
Ziel
Root Zugriff auf dem Zielrechner
Somit Zugang zu Ressoucen
• lesen
• manipulieren
• löschen
           Angriff erfolg...
Mittel
Recherche nach Sicherheitslücken
Lokale Sicherheitslücke ausnutzen
• Buffer/Stack Overflow
• Format String
• SUID bi...
Angriff
Passive       Aktive        Remote         Local        Root-        Expan-
  IG           IG           Exploit   ...
Ziel

Dauerhaften root Zugriff auf den Zielrechner


“Gefahr” des Behebens der ursprünglichen
Sicherheitslücke durch den A...
Mittel

Backdoor Installation
Verstecken der Backdoor und der Zugriffe
• Rootkits
• Manipulierte Logfiles
Angriff
Passive       Aktive        Remote         Local        Root-        Expan-
  IG           IG           Exploit   ...
Ziel


Weitere Systeme im Netzwerk angreifen
Mittel

Angegriffenes System als Ausgangsbasis
nutzen
Vorteil
• Man ist schon im Netzwerk
• Firewall Regeln meist laxer
• ...
Verteidigung
Verteidigung
Passive      Aktive        Remote         Local       Root-        Expan-
  IG          IG           Exploit ...
Verteidigung
Passive      Aktive        Remote         Local       Root-        Expan-
  IG          IG           Exploit ...
Prevention
Vorbeugen durch:
• Nicht die offizielle Mail-Adresse in
   Newsgroups, Mailinglisten & co benutzen
• Keine Detai...
Detection


Unmöglich
Verteidigung
Passive      Aktive        Remote         Local       Root-        Expan-
  IG          IG           Exploit ...
Prevention
Vorbeugen durch:
• Versionsanzeigen abschalten/verfremden
• Dienste auf anderen Ports lauschen
   lassen
• Fire...
Detection

Erkennen durch:
• Intrusion Detection Systeme
• Firewall Logfiles
• Serverlogfiles, z.B. UserAgent in Apache
   L...
Intrusion Detection
Intrusion Detection
Bemerken eines Angriffs auf eine Ressource
• Netzwerkbasiert
   Überwachung des Netzwerkverkehrs
• Hos...
Network IDS

• Sniffen des Netzwerktraffics
• Vergleich der Paketinhalte gegen Regeln
• Alarm bei Verstoß
 Bekannteste Open...
Network IDS
                                        PC


                        IDS
Internet                       Switch...
Host IDS
• Sitzt direkt auf dem Server
• Überprüft Dateizugirffe und Veränderungen
• Vergleich von Datei-Prüfsummen
• Alar...
Verteidigung
Passive      Aktive        Remote         Local       Root-        Expan-
  IG          IG           Exploit ...
Prevention
Vorbeugen durch:
• Systeme immer aktuell halten
• Applikation Firewalls / Filter
 • mod_security
• Firewalls
• ...
Detection
Erkennen durch:
• Intrusion Detection Systeme
• Logfiles
• Netzwerküberwachung
 • netstat
 • Network Security Mon...
Verteidigung
Passive      Aktive        Remote         Local       Root-        Expan-
  IG          IG           Exploit ...
Prevention

Vorbeugen durch:
• Systeme immer aktuell halten
• Strickte ACL
• Chroot, Systrace, Jails, virtuelle Maschinen
Detection
Erkennen durch:
• Hostbasierte Intrusion Detection Systeme
 • Tripwire
 • Samhain
• Logfiles
 • utmp
 • shell his...
Verteidigung
Passive      Aktive        Remote         Local       Root-        Expan-
  IG          IG           Exploit ...
Prevention

Vorbeugen durch:
• Kernel Module abschalten
• BSD: Kernel Securitylevel
• Read-only Dateisysteme (Hardware)
Detection
Erkennen durch:
• Hostbasierte Intrusion Detection Systeme
• Rootkit Scanner
 • chkrootkit
 • rkhunter
• Forensi...
Verteidigung
Passive      Aktive        Remote         Local       Root-        Expan-
  IG          IG           Exploit ...
Prevention

Vorbeugen durch:
• Strenge Firewall Regeln auch für interne
   Netze
• Isolierung von Systemen
 • DMZ
Detection

Erkennen durch:
• Intrusion Detection Systeme
• Firewall logs
• Logfiles
             Wieder am Anfang des Proze...
Fazit
Ressourcen
Bücher
• Unix and Internet Security, Simson
    Garfikel&co, O’Reilly
•   Network Security Assesment, ..., O’Reilly
•   Net...
Mailing Listen
• Bugtraq
• Full-Disclosure
• SecurityFocus
 • IDS
 • WebAppSec
• Nmap
Web

• Securityfocus.com
• OWASP
• Phrack.org
• grc.com
• CVE, MITRE, ISS X-Force
Fragen?
Upcoming SlideShare
Loading in …5
×

Network Security

2,572
-1

Published on

A talk about network security and the whole security process, covering prevention, detection, and response. Presented by Jonathan Weiss at the Juniter Workend 2005.

Published in: Technology
0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total Views
2,572
On Slideshare
0
From Embeds
0
Number of Embeds
0
Actions
Shares
0
Downloads
204
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

Network Security

  1. 1. Network Security Eine Prozess-Sicht
  2. 2. Agenda • Einführung • Grundlagen Netzwerke • Angriff • Verteidigung • Fazit
  3. 3. Einführung
  4. 4. Was ist Security?
  5. 5. Security is a process Bruce Schneier
  6. 6. Angriff Angriff Ziel
  7. 7. Verteidigung Angriff Prevention Detection Response Ziel
  8. 8. Prevention Maßnahmen, die einen Angriff im Vorhinein erschweren sollen Reallife: Tür und Schloß an Euren Häusern IT: Firewalls, ACLs / Rechtemanagement
  9. 9. Detection Maßnahmen, die einen Angriff erkennen sollen Reallife: Alarmanlage im Haus IT: Intrusion Detection Systems, Networks Security Monitoring, Traffic Anomaly
  10. 10. Response Reaktion auf einen Angriff Reallife: Ihr ruft die Polizei, diese probiert den Einbrecher festzunehmen. Beweise werden gesammelt IT: Runterfahren des Rechners, forensiche Analyse
  11. 11. Agenda Angriff Prevention Detection Response Ziel Letztes Dieser Workshop Workend
  12. 12. Attack the enemy
  13. 13. Der Prozess Ziel auskundschaften
  14. 14. Der Prozess Ziel auskundschaften Schwachstellen ausfindigmachen
  15. 15. Der Prozess Ziel auskundschaften Schwachstellen ausfindigmachen Schwachstellen ausnutzten
  16. 16. Der Prozess Ziel auskundschaften Schwachstellen ausfindigmachen Schwachstellen ausnutzten Position sichern
  17. 17. Der IT-Prozess Ziel auskundschaften Passive Informationsgewinnung Aktive Informationsgewinnung Schwachstellen ausfindigmachen Remote Exploit Schwachstellen Local Exploit ausnutzten Rootkit Installation Position sichern Weitere Expansion
  18. 18. Angriff Passive Aktive Remote Local Root- Expan- IG IG Exploit Exploit kit sion - ........ - ........ - ........ - ........ - ........ - ........ - ........ - ........ - ........ - ........ - ........ - ........
  19. 19. Verteidigung Passive Aktive Remote Local Root- Expan- IG IG Exploit Exploit kit sion - ........ - ........ - ........ - ........ - ........ - ........ - ........ - ........ - ........ - ........ - ........ - ........
  20. 20. Grundlagen Netzwerke
  21. 21. Grundlagen Netzwerke TCP/IP Kommunikation
  22. 22. TCP/IP Kommunikation Eine offene Verbindung zwischen zwei Computern die über TCP/IP kommunizieren, nennt man Socket und definiert sich durch: • Quell-IP und Quell-Port • Ziel-IP und Ziel-Port
  23. 23. TCP Paket
  24. 24. Grundlagen Netzwerke Firewall
  25. 25. Firewall
  26. 26. Firewall • Unterbinden von ungewolltem Datenverkehr von externen Computersystemen (WAN) zum geschützten Bereich (LAN) • Unterbinden von ungewolltem Datenverkehr vom LAN zum Internet
  27. 27. Grundlagen Netzwerke DMZ
  28. 28. DMZ
  29. 29. DMZ • Bereitstellung von Diensten (E-Mail, WWW, etc...) für WAN und LAN • Server in der DMZ können von sich aus keine Verbindung zum LAN aufbauen • Ein gehackter Server in der DMZ kann somit nicht das LAN kompromittieren
  30. 30. Angriff
  31. 31. Angriff Passive Aktive Remote Local Root- Expan- IG IG Exploit Exploit kit sion - ........ - ........ - ........ - ........ - ........ - ........ - ........ - ........ - ........ - ........ - ........ - ........
  32. 32. Aktiv vs. Passiv Vollkommen Vollkommen Passiv Aktiv Aktivität
  33. 33. Aktiv vs. Passiv Vollkommen Vollkommen Passiv Aktiv Aktivität Keine Verbindung = Absicht nicht erkennbar zum Ziel
  34. 34. Aktiv vs. Passiv Vollkommen Vollkommen Passiv Aktiv Aktivität Tatsächlicher = Absicht sofort erkennbar Angriff
  35. 35. Informationsgewinnung Vollkommen Vollkommen Passiv Aktiv Aktivität Keine Verbindung zum Ziel
  36. 36. Informationsgewinnung Vollkommen Vollkommen Passiv Aktiv Aktivität Gültiger Traffic auf gültigem Dienst
  37. 37. Informationsgewinnung Vollkommen Vollkommen Passiv Aktiv Aktivität Gültiger Traffic auf ungültigem Dienst
  38. 38. Informationsgewinnung Vollkommen Vollkommen Passiv Aktiv Aktivität Ungültiger Traffic auf gültigem Dienst
  39. 39. Informationsgewinnung Vollkommen Vollkommen Passiv Aktiv Aktivität Ungültiger Traffic auf ungültigem Dienst
  40. 40. Angriff Passive Aktive Remote Local Root- Expan- IG IG Exploit Exploit kit sion - ........ - ........ - ........ - ........ - ........ - ........ - ........ - ........ - ........ - ........ - ........ - ........
  41. 41. Ziel Informationen über • eingesetzte Software • Infrastruktur • Netzwerkdesign • Laufende Dienste • Softwareversionen
  42. 42. Mittel • Recherche im Internet, Newsgroups, Mailinglisten • Versiongrabbing / Verbinden • DNS zone transfers • Social Engineering / In-personification • Port Scanning
  43. 43. Angriff Passive Aktive Remote Local Root- Expan- IG IG Exploit Exploit kit sion - ........ - ........ - ........ - ........ - ........ - ........ - ........ - ........ - ........ - ........ - ........ - ........
  44. 44. Ziel Lokalen Benutzer-Account auf dem Zielrechner
  45. 45. Mittel Aus gewonnen Informationen werden Sicherheitslücken identifiziert • MITRE • CVE • ISS X-Force Sicherheitslücken auf dem Zielrechner ausnutzen • Exploits schreiben/anwenden
  46. 46. Angriff Passive Aktive Remote Local Root- Expan- IG IG Exploit Exploit kit sion - ........ - ........ - ........ - ........ - ........ - ........ - ........ - ........ - ........ - ........ - ........ - ........
  47. 47. Ziel Root Zugriff auf dem Zielrechner Somit Zugang zu Ressoucen • lesen • manipulieren • löschen Angriff erfolgreich
  48. 48. Mittel Recherche nach Sicherheitslücken Lokale Sicherheitslücke ausnutzen • Buffer/Stack Overflow • Format String • SUID binaries • Kernel Sicherheitslücken
  49. 49. Angriff Passive Aktive Remote Local Root- Expan- IG IG Exploit Exploit kit sion - ........ - ........ - ........ - ........ - ........ - ........ - ........ - ........ - ........ - ........ - ........ - ........
  50. 50. Ziel Dauerhaften root Zugriff auf den Zielrechner “Gefahr” des Behebens der ursprünglichen Sicherheitslücke durch den Administrator entschärfen
  51. 51. Mittel Backdoor Installation Verstecken der Backdoor und der Zugriffe • Rootkits • Manipulierte Logfiles
  52. 52. Angriff Passive Aktive Remote Local Root- Expan- IG IG Exploit Exploit kit sion - ........ - ........ - ........ - ........ - ........ - ........ - ........ - ........ - ........ - ........ - ........ - ........
  53. 53. Ziel Weitere Systeme im Netzwerk angreifen
  54. 54. Mittel Angegriffenes System als Ausgangsbasis nutzen Vorteil • Man ist schon im Netzwerk • Firewall Regeln meist laxer • Traffic oft nicht überwacht
  55. 55. Verteidigung
  56. 56. Verteidigung Passive Aktive Remote Local Root- Expan- IG IG Exploit Exploit kit sion - ........ - ........ - ........ - ........ - ........ - ........ - ........ - ........ - ........ - ........ - ........ - ........
  57. 57. Verteidigung Passive Aktive Remote Local Root- Expan- IG IG Exploit Exploit kit sion - ........ - ........ - ........ - ........ - ........ - ........ - ........ - ........ - ........ - ........ - ........ - ........
  58. 58. Prevention Vorbeugen durch: • Nicht die offizielle Mail-Adresse in Newsgroups, Mailinglisten & co benutzen • Keine Detail-Informationen an fremde Personen verraten • Social Engineering Awareness
  59. 59. Detection Unmöglich
  60. 60. Verteidigung Passive Aktive Remote Local Root- Expan- IG IG Exploit Exploit kit sion - ........ - ........ - ........ - ........ - ........ - ........ - ........ - ........ - ........ - ........ - ........ - ........
  61. 61. Prevention Vorbeugen durch: • Versionsanzeigen abschalten/verfremden • Dienste auf anderen Ports lauschen lassen • Firewalls • Intrusion Prevention Systeme
  62. 62. Detection Erkennen durch: • Intrusion Detection Systeme • Firewall Logfiles • Serverlogfiles, z.B. UserAgent in Apache Logfile
  63. 63. Intrusion Detection
  64. 64. Intrusion Detection Bemerken eines Angriffs auf eine Ressource • Netzwerkbasiert Überwachung des Netzwerkverkehrs • Hostbasiert Überwachung von Dateien • Hybrid Kombination
  65. 65. Network IDS • Sniffen des Netzwerktraffics • Vergleich der Paketinhalte gegen Regeln • Alarm bei Verstoß Bekannteste OpenSource Lösung Snort
  66. 66. Network IDS PC IDS Internet Switch PC Firewall PC Admin
  67. 67. Host IDS • Sitzt direkt auf dem Server • Überprüft Dateizugirffe und Veränderungen • Vergleich von Datei-Prüfsummen • Alarm bei Verstoß Bekannteste OpenSource Lösung Samhain, (Tripwire)
  68. 68. Verteidigung Passive Aktive Remote Local Root- Expan- IG IG Exploit Exploit kit sion - ........ - ........ - ........ - ........ - ........ - ........ - ........ - ........ - ........ - ........ - ........ - ........
  69. 69. Prevention Vorbeugen durch: • Systeme immer aktuell halten • Applikation Firewalls / Filter • mod_security • Firewalls • Intrusion Prevention Systeme • Snort
  70. 70. Detection Erkennen durch: • Intrusion Detection Systeme • Logfiles • Netzwerküberwachung • netstat • Network Security Monitoring
  71. 71. Verteidigung Passive Aktive Remote Local Root- Expan- IG IG Exploit Exploit kit sion - ........ - ........ - ........ - ........ - ........ - ........ - ........ - ........ - ........ - ........ - ........ - ........
  72. 72. Prevention Vorbeugen durch: • Systeme immer aktuell halten • Strickte ACL • Chroot, Systrace, Jails, virtuelle Maschinen
  73. 73. Detection Erkennen durch: • Hostbasierte Intrusion Detection Systeme • Tripwire • Samhain • Logfiles • utmp • shell history
  74. 74. Verteidigung Passive Aktive Remote Local Root- Expan- IG IG Exploit Exploit kit sion - ........ - ........ - ........ - ........ - ........ - ........ - ........ - ........ - ........ - ........ - ........ - ........
  75. 75. Prevention Vorbeugen durch: • Kernel Module abschalten • BSD: Kernel Securitylevel • Read-only Dateisysteme (Hardware)
  76. 76. Detection Erkennen durch: • Hostbasierte Intrusion Detection Systeme • Rootkit Scanner • chkrootkit • rkhunter • Forensische Analyse
  77. 77. Verteidigung Passive Aktive Remote Local Root- Expan- IG IG Exploit Exploit kit sion - ........ - ........ - ........ - ........ - ........ - ........ - ........ - ........ - ........ - ........ - ........ - ........
  78. 78. Prevention Vorbeugen durch: • Strenge Firewall Regeln auch für interne Netze • Isolierung von Systemen • DMZ
  79. 79. Detection Erkennen durch: • Intrusion Detection Systeme • Firewall logs • Logfiles Wieder am Anfang des Prozesses
  80. 80. Fazit
  81. 81. Ressourcen
  82. 82. Bücher • Unix and Internet Security, Simson Garfikel&co, O’Reilly • Network Security Assesment, ..., O’Reilly • Network Security Monitoring, Richard Beijtrich, Addison-Wesley • Security Warrior, ..., O’Reilly • Practical Cryptography, Bruce Schneier&Nils Fergusson,... • ..., Bruce Sterling, ...
  83. 83. Mailing Listen • Bugtraq • Full-Disclosure • SecurityFocus • IDS • WebAppSec • Nmap
  84. 84. Web • Securityfocus.com • OWASP • Phrack.org • grc.com • CVE, MITRE, ISS X-Force
  85. 85. Fragen?
  1. A particular slide catching your eye?

    Clipping is a handy way to collect important slides you want to go back to later.

×