Search

Network Security

Loading...

Flash Player 9 (or above) is needed to view presentations.
We have detected that you do not have it on your computer. To install it, go here.

0 comments

Post a comment

    Post a comment
    Embed Video
    Edit your comment Cancel

    Notes on slide 1

    Favorites, Groups & Events

    Network Security - Presentation Transcript

    1. Network Security Eine Prozess-Sicht
    2. Agenda • Einführung • Grundlagen Netzwerke • Angriff • Verteidigung • Fazit
    3. Einführung
    4. Was ist Security?
    5. Security is a process Bruce Schneier
    6. Angriff Angriff Ziel
    7. Verteidigung Angriff Prevention Detection Response Ziel
    8. Prevention Maßnahmen, die einen Angriff im Vorhinein erschweren sollen Reallife: Tür und Schloß an Euren Häusern IT: Firewalls, ACLs / Rechtemanagement
    9. Detection Maßnahmen, die einen Angriff erkennen sollen Reallife: Alarmanlage im Haus IT: Intrusion Detection Systems, Networks Security Monitoring, Traffic Anomaly
    10. Response Reaktion auf einen Angriff Reallife: Ihr ruft die Polizei, diese probiert den Einbrecher festzunehmen. Beweise werden gesammelt IT: Runterfahren des Rechners, forensiche Analyse
    11. Agenda Angriff Prevention Detection Response Ziel Letztes Dieser Workshop Workend
    12. Attack the enemy
    13. Der Prozess Ziel auskundschaften
    14. Der Prozess Ziel auskundschaften Schwachstellen ausfindigmachen
    15. Der Prozess Ziel auskundschaften Schwachstellen ausfindigmachen Schwachstellen ausnutzten
    16. Der Prozess Ziel auskundschaften Schwachstellen ausfindigmachen Schwachstellen ausnutzten Position sichern
    17. Der IT-Prozess Ziel auskundschaften Passive Informationsgewinnung Aktive Informationsgewinnung Schwachstellen ausfindigmachen Remote Exploit Schwachstellen Local Exploit ausnutzten Rootkit Installation Position sichern Weitere Expansion
    18. Angriff Passive Aktive Remote Local Root- Expan- IG IG Exploit Exploit kit sion - ........ - ........ - ........ - ........ - ........ - ........ - ........ - ........ - ........ - ........ - ........ - ........
    19. Verteidigung Passive Aktive Remote Local Root- Expan- IG IG Exploit Exploit kit sion - ........ - ........ - ........ - ........ - ........ - ........ - ........ - ........ - ........ - ........ - ........ - ........
    20. Grundlagen Netzwerke
    21. Grundlagen Netzwerke TCP/IP Kommunikation
    22. TCP/IP Kommunikation Eine offene Verbindung zwischen zwei Computern die über TCP/IP kommunizieren, nennt man Socket und definiert sich durch: • Quell-IP und Quell-Port • Ziel-IP und Ziel-Port
    23. TCP Paket
    24. Grundlagen Netzwerke Firewall
    25. Firewall
    26. Firewall • Unterbinden von ungewolltem Datenverkehr von externen Computersystemen (WAN) zum geschützten Bereich (LAN) • Unterbinden von ungewolltem Datenverkehr vom LAN zum Internet
    27. Grundlagen Netzwerke DMZ
    28. DMZ
    29. DMZ • Bereitstellung von Diensten (E-Mail, WWW, etc...) für WAN und LAN • Server in der DMZ können von sich aus keine Verbindung zum LAN aufbauen • Ein gehackter Server in der DMZ kann somit nicht das LAN kompromittieren
    30. Angriff
    31. Angriff Passive Aktive Remote Local Root- Expan- IG IG Exploit Exploit kit sion - ........ - ........ - ........ - ........ - ........ - ........ - ........ - ........ - ........ - ........ - ........ - ........
    32. Aktiv vs. Passiv Vollkommen Vollkommen Passiv Aktiv Aktivität
    33. Aktiv vs. Passiv Vollkommen Vollkommen Passiv Aktiv Aktivität Keine Verbindung = Absicht nicht erkennbar zum Ziel
    34. Aktiv vs. Passiv Vollkommen Vollkommen Passiv Aktiv Aktivität Tatsächlicher = Absicht sofort erkennbar Angriff
    35. Informationsgewinnung Vollkommen Vollkommen Passiv Aktiv Aktivität Keine Verbindung zum Ziel
    36. Informationsgewinnung Vollkommen Vollkommen Passiv Aktiv Aktivität Gültiger Traffic auf gültigem Dienst
    37. Informationsgewinnung Vollkommen Vollkommen Passiv Aktiv Aktivität Gültiger Traffic auf ungültigem Dienst
    38. Informationsgewinnung Vollkommen Vollkommen Passiv Aktiv Aktivität Ungültiger Traffic auf gültigem Dienst
    39. Informationsgewinnung Vollkommen Vollkommen Passiv Aktiv Aktivität Ungültiger Traffic auf ungültigem Dienst
    40. Angriff Passive Aktive Remote Local Root- Expan- IG IG Exploit Exploit kit sion - ........ - ........ - ........ - ........ - ........ - ........ - ........ - ........ - ........ - ........ - ........ - ........
    41. Ziel Informationen über • eingesetzte Software • Infrastruktur • Netzwerkdesign • Laufende Dienste • Softwareversionen
    42. Mittel • Recherche im Internet, Newsgroups, Mailinglisten • Versiongrabbing / Verbinden • DNS zone transfers • Social Engineering / In-personification • Port Scanning
    43. Angriff Passive Aktive Remote Local Root- Expan- IG IG Exploit Exploit kit sion - ........ - ........ - ........ - ........ - ........ - ........ - ........ - ........ - ........ - ........ - ........ - ........
    44. Ziel Lokalen Benutzer-Account auf dem Zielrechner
    45. Mittel Aus gewonnen Informationen werden Sicherheitslücken identifiziert • MITRE • CVE • ISS X-Force Sicherheitslücken auf dem Zielrechner ausnutzen • Exploits schreiben/anwenden
    46. Angriff Passive Aktive Remote Local Root- Expan- IG IG Exploit Exploit kit sion - ........ - ........ - ........ - ........ - ........ - ........ - ........ - ........ - ........ - ........ - ........ - ........
    47. Ziel Root Zugriff auf dem Zielrechner Somit Zugang zu Ressoucen • lesen • manipulieren • löschen Angriff erfolgreich
    48. Mittel Recherche nach Sicherheitslücken Lokale Sicherheitslücke ausnutzen • Buffer/Stack Overflow • Format String • SUID binaries • Kernel Sicherheitslücken
    49. Angriff Passive Aktive Remote Local Root- Expan- IG IG Exploit Exploit kit sion - ........ - ........ - ........ - ........ - ........ - ........ - ........ - ........ - ........ - ........ - ........ - ........
    50. Ziel Dauerhaften root Zugriff auf den Zielrechner “Gefahr” des Behebens der ursprünglichen Sicherheitslücke durch den Administrator entschärfen
    51. Mittel Backdoor Installation Verstecken der Backdoor und der Zugriffe • Rootkits • Manipulierte Logfiles
    52. Angriff Passive Aktive Remote Local Root- Expan- IG IG Exploit Exploit kit sion - ........ - ........ - ........ - ........ - ........ - ........ - ........ - ........ - ........ - ........ - ........ - ........
    53. Ziel Weitere Systeme im Netzwerk angreifen
    54. Mittel Angegriffenes System als Ausgangsbasis nutzen Vorteil • Man ist schon im Netzwerk • Firewall Regeln meist laxer • Traffic oft nicht überwacht
    55. Verteidigung
    56. Verteidigung Passive Aktive Remote Local Root- Expan- IG IG Exploit Exploit kit sion - ........ - ........ - ........ - ........ - ........ - ........ - ........ - ........ - ........ - ........ - ........ - ........
    57. Verteidigung Passive Aktive Remote Local Root- Expan- IG IG Exploit Exploit kit sion - ........ - ........ - ........ - ........ - ........ - ........ - ........ - ........ - ........ - ........ - ........ - ........
    58. Prevention Vorbeugen durch: • Nicht die offizielle Mail-Adresse in Newsgroups, Mailinglisten & co benutzen • Keine Detail-Informationen an fremde Personen verraten • Social Engineering Awareness
    59. Detection Unmöglich
    60. Verteidigung Passive Aktive Remote Local Root- Expan- IG IG Exploit Exploit kit sion - ........ - ........ - ........ - ........ - ........ - ........ - ........ - ........ - ........ - ........ - ........ - ........
    61. Prevention Vorbeugen durch: • Versionsanzeigen abschalten/verfremden • Dienste auf anderen Ports lauschen lassen • Firewalls • Intrusion Prevention Systeme
    62. Detection Erkennen durch: • Intrusion Detection Systeme • Firewall Logfiles • Serverlogfiles, z.B. UserAgent in Apache Logfile
    63. Intrusion Detection
    64. Intrusion Detection Bemerken eines Angriffs auf eine Ressource • Netzwerkbasiert Überwachung des Netzwerkverkehrs • Hostbasiert Überwachung von Dateien • Hybrid Kombination
    65. Network IDS • Sniffen des Netzwerktraffics • Vergleich der Paketinhalte gegen Regeln • Alarm bei Verstoß Bekannteste OpenSource Lösung Snort
    66. Network IDS PC IDS Internet Switch PC Firewall PC Admin
    67. Host IDS • Sitzt direkt auf dem Server • Überprüft Dateizugirffe und Veränderungen • Vergleich von Datei-Prüfsummen • Alarm bei Verstoß Bekannteste OpenSource Lösung Samhain, (Tripwire)
    68. Verteidigung Passive Aktive Remote Local Root- Expan- IG IG Exploit Exploit kit sion - ........ - ........ - ........ - ........ - ........ - ........ - ........ - ........ - ........ - ........ - ........ - ........
    69. Prevention Vorbeugen durch: • Systeme immer aktuell halten • Applikation Firewalls / Filter • mod_security • Firewalls • Intrusion Prevention Systeme • Snort
    70. Detection Erkennen durch: • Intrusion Detection Systeme • Logfiles • Netzwerküberwachung • netstat • Network Security Monitoring
    71. Verteidigung Passive Aktive Remote Local Root- Expan- IG IG Exploit Exploit kit sion - ........ - ........ - ........ - ........ - ........ - ........ - ........ - ........ - ........ - ........ - ........ - ........
    72. Prevention Vorbeugen durch: • Systeme immer aktuell halten • Strickte ACL • Chroot, Systrace, Jails, virtuelle Maschinen
    73. Detection Erkennen durch: • Hostbasierte Intrusion Detection Systeme • Tripwire • Samhain • Logfiles • utmp • shell history
    74. Verteidigung Passive Aktive Remote Local Root- Expan- IG IG Exploit Exploit kit sion - ........ - ........ - ........ - ........ - ........ - ........ - ........ - ........ - ........ - ........ - ........ - ........
    75. Prevention Vorbeugen durch: • Kernel Module abschalten • BSD: Kernel Securitylevel • Read-only Dateisysteme (Hardware)
    76. Detection Erkennen durch: • Hostbasierte Intrusion Detection Systeme • Rootkit Scanner • chkrootkit • rkhunter • Forensische Analyse
    77. Verteidigung Passive Aktive Remote Local Root- Expan- IG IG Exploit Exploit kit sion - ........ - ........ - ........ - ........ - ........ - ........ - ........ - ........ - ........ - ........ - ........ - ........
    78. Prevention Vorbeugen durch: • Strenge Firewall Regeln auch für interne Netze • Isolierung von Systemen • DMZ
    79. Detection Erkennen durch: • Intrusion Detection Systeme • Firewall logs • Logfiles Wieder am Anfang des Prozesses
    80. Fazit
    81. Ressourcen
    82. Bücher • Unix and Internet Security, Simson Garfikel&co, O’Reilly • Network Security Assesment, ..., O’Reilly • Network Security Monitoring, Richard Beijtrich, Addison-Wesley • Security Warrior, ..., O’Reilly • Practical Cryptography, Bruce Schneier&Nils Fergusson,... • ..., Bruce Sterling, ...
    83. Mailing Listen • Bugtraq • Full-Disclosure • SecurityFocus • IDS • WebAppSec • Nmap
    84. Web • Securityfocus.com • OWASP • Phrack.org • grc.com • CVE, MITRE, ISS X-Force
    85. Fragen?

    + Jonathan WeissJonathan Weiss, 3 years ago

    custom

    2060 views, 0 favs, 0 embeds more stats

    A talk about network security and the whole securit more

    More info about this document

    © All Rights Reserved

    Go to text version

    • Total Views 2060
      • 2060 on SlideShare
      • 0 from embeds
    • Comments 0
    • Favorites 0
    • Downloads 89
    Most viewed embeds

    more

    All embeds

    less

    Flagged as inappropriate Flag as inappropriate
    Flag as inappropriate

    Select your reason for flagging this presentation as inappropriate. If needed, use the feedback form to let us know more details.

    Cancel
    File a copyright complaint
    Having problems? Go to our helpdesk?

    Categories

    Tags

    -->
    Search
    RSS Feed
    What's new?

    © 2009 SlideShare Inc. All Rights Reserved