• Like
  • Save
E Security
Upcoming SlideShare
Loading in...5
×

Thanks for flagging this SlideShare!

Oops! An error has occurred.

E Security

  • 1,498 views
Published

Vortrag über Sicherheit auf dem Internet

Vortrag über Sicherheit auf dem Internet

  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Be the first to comment
    Be the first to like this
No Downloads

Views

Total Views
1,498
On SlideShare
0
From Embeds
0
Number of Embeds
0

Actions

Shares
Downloads
0
Comments
0
Likes
0

Embeds 0

No embeds

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
    No notes for slide
  • Angriffe auf ein Unternehmensnetzwerk sind eine sehr reale Gefahr. Nach Untersuchungen des Marktforschungs- Unternehmens WarRoom Reseach erhalten Jahr für Jahr zwei Drittel aller Netzwerke mindestens alle 10 Tage ungebetenen Besuch. Siehe Grafik ..................................................................... Wenn der Hacker erst einmal „drin“ ist, ist der Schaden meist bereits irreversibel geworden. So weist die CSI/FBI Computer Crime and Security Survey einen Schaden von $ 5.050.000.000 pro Jahr aus.
  • Als 1990 Scotland Yard drei langgesuchte Hacker dingfest machte, staunten die Fahnder nicht schlecht: Innerhalb weniger Jahre waren die Profis in mehr als 70000 Netze eingedrungen. Wie aus der Grafik zu lesen ist, verursacht der Bereich interne Netzattacken denn größten Schaden. Dabei ist die Dunkelziffer laut CSI/FBI Computer Crime and Security Survey nicht einzuschätzen.
  • Alarmanlage fürs Firmennetz Ein IDS überprüft ständig automatisch: Datenbanken und Applikationen auf der Softwareseite sowie Firewalls, Router und Server auf der Hardwareseite. Er hat Möglichkeit einen Ernsthaften Angriff auf die zu sichernden Daten in Echtzeit zu erkennen und augenblicklich darauf zu reagieren, beispielsweise dadurch, Verbindungen zu unterbrechen und in einer entsprechend konfigurierten Log- Datei aufzuzeichnen. IDS für den Host- Bereich Host- basierte IDS überwachen Datenströme am einzelnen Arbeitsplatz, also etwa einem Netz- PC. Sie erfüllen ihre Aufgabe entweder auf der Ebene des Betriebssystems oder der Anwendung. Das IDS analysiert fortlaufend Informationen wie z.b. Benutzernamen, Passwort, Zeitpunkt, Dauer des Zugriffs und schlägt bei Verdacht Alarm. Im Allgemeinen sind Host- basierende IDS einfach vom Anwender zu konfigurieren. Ein Nachteil ist jedoch, dass Angriffe die auf einem Netzwerkprotokoll basieren nicht erkannt werden. In großen Unternehmensnetzen mit vielen verschiedenen Plattformen können Host- basierende IDS ihre Aufgabe nicht mehr erfüllen. Hier müssen alle Kommunikationsebenen und nicht nur die der Betriebsysteme oder der Anwendungen überwacht werden. Netzwerk- basierte IDS Diese Aufgabe wird von den sogenannten Netzwerk- basierenden IDS erfüllt. Sie werden zwischen Client und Server installiert und überwachen den gesamten Netzverkehr. Jedes einzelne Datenpaket wird in Echtzeit analysiert und mit zuvor erlernten Angriffsmustern (attack signatures) verglichen. Werden dabei auffällige Prozesse entdeckt, werden diese identifiziert, aufgezeichnet und unterbrochen. Ein weiterer Vorteil ist, das Netzwerk- basierende IDS nicht auf jedem Rechner installiert werden müssen und so eine wesentlich bessere Performance erreichten. Nachteil: Für jedes Angriffsmuster muss eine eigene Routine separat implementiert werden. Außerdem wird der Analysevorgang umso langsamer je mehr Muster erkannt werden sollen. Darüber hinaus klafft eine totale Überwachungslücke bei jeder neu Implementierung. Diesen Nachteil versuchen sogenannte SDSI (Sateful Dynamic Signature Inspection- Technologie) aufzufangen. Sie erlaubt es, neue Routinen dynamisch hinzuzufügen, also ohne dass dabei die Software vom Netz genommen werden muss. Die wichtigsten Anbieter von IDS sind: www . axent . com www .iss. net www . nai . com
  • Das A und O der Datensicherheit ist eine klar definierte Sicherheitspolitik, die individuell festlegt, was, wie, vor wem und wovor geschützt werden muss. Daraus ergeben sich Folgerungen für das verhalten der Mitarbeiter, die organisatorische Gestaltung der IT- Struktur und die Anschaffung von Hard- und Software. Im Rahmen der Risikoanalyse müssen Zugangsberechtigungen geklärt werden und die gesamte IT- Architektur einschließlich des „Faktor Mensch“ auf mögliche Sicherheitslücken überprüft werden. Bei der Auswahl einer Sicherheitsstrategie sollten zur Abschätzung der Verwundbarkeit sogenannte „Vulnerability Assessment Tools“ zum Einsatz kommen. Dann kann die Ausgewählte Strategie Implementiert werden. Dies werden im der Regel Tools der Verschlüsselungstechnologie, Zugangskontrolle, Identifizierung und Autorisierung bis hin zu Virenscanner und Firewalls sein. Ist die Implementierung abgeschlossen, gilt es ein zuverlässiges Sicherheitsmonitorring einzurichten, das durch geschultes Personal und entsprechende Technologie gewährleistet wird. Maßnahmen zur Daten- und Systemrettung markieren den Endpunkt des Datensicherheitsnetzwerks.

Transcript

  • 1. eSecurity Dr. Udo Ornik SoulTek GbR SoulTek GbR, Frankfurterstr. 93, 35315 Homberg/Ohm, Tel.: 06633-9111-0, Fax 06633-9111-19, www.soultek.de, zentrale@soultek.de
  • 2. Übersicht
    • Vorbemerkungen
    • Grundlagen TCP/IP
    • Mögliche Netzwerkattacken
    • Firewalls
    • Verschlüsselung
    • VPNs
  • 3. Vorbemerkungen I
    • Computernetzwerke sind potentiell gefährdet, wenn sie sich der Welt öffnen.
    • Einwählverbindungen, Standleitungen, Servicezugriffsmöglichkeiten und Telearbeitsplätze bieten jeweils spezifische Risiken.
    • Es gilt, Risiken und potentiellen Gewinn abzuwägen.
  • 4. Vorbemerkungen II
    • Basel II und KonTraG (Gesetz zur Kontrolle und Transparenz im Unternehmensbereich) verlangen Nachweise von Sicherheitskonzept
    • Beweis für Investoren und Kreditgebern das die getätigten Investitionen durch wirkungsvolle „Disaster Recovery“ Strategien gesichert sind.
  • 5. Bedrohung Unautorisierte Netzzugriffe im Jahr 31 bis 40 52% 21 bis 30 25% 1 bis 10 2% 41 bis 50 6% über 50 2% über 50 41 bis 50 31 bis 40 21 bis 30 11 bis 20 1 bis 10 Die meisten Unternehmen erhalten mehrmals pro Monat unerwünschten Besuch. Quelle:WarRoom Research 11 bis 20 13%
  • 6. 15 Angriffe auf Testrechner zwischen 25.2.01 und 1.3.01 Im Schnitt etwa 2 Versuche pro Tag
  • 7. Im Schnitt etwa alle 8 Tage ein Sicherheitspatch bei Microsoft- Produkten
  • 8. Auch Linux ist gegen alle Beteuerungen von "FANS" ein System mit Sicherheits- lücken Quelle: Linux Magazin 09/2002
  • 9. Das gleiche gilt für viele nicht MS-Software! Quelle: Linux Magazin 09/2002 Sicherheitsprobleme bei Anwendungen Juni 2002
  • 10. Schaden: Bsp. USA Die CSI/FBI Computer Crime and Security Survey weist einen Schaden von $ 5.050.000.000 pro Jahr aus. Quelle: CSI/FBI
  • 11. Wer bedroht uns?
    • Mitarbeiter
    • Hacker und Cracker
    • Konkurrenten
    • Geheimdienste/ Wirtschaftsspionage
  • 12. Internetanbindung Proxy oder NAT ISDN DSL Kabel Satellit ... ISDN Karte Netzwerkkarte .... Router Softwarelösung - flexibel - langsam Hardwarelösung - unflexibel - schnell
    • IP-Adresse
    • Identifikation im Internet durch vier maximal 3-stellige Zahlen Bsp.: 194.95.73.102
    • Dazu zugeordnetes Namensschema: Bsp.:star gate.soultek.de
    • Verwaltung in DNS (öffentlich bei NIC)
    Zugang Telefonnetz
      •                                                                  
  • 13. Datenpakete Vereinfachtes Datenpaket Word Datei TCP/IP Dienst Absender: 194.37.26.28 Port: 80 Empfänger: 196.46.47.59 Port: 80 TCP Netz IP Der IP-Header ist wie ein Adresslabel, das auf das Datenpaket geklebt wird.
  • 14. Angriffsarten Schutz durch Firewalls Internet Firewall-Technologien sollen das Firmennetz sichern.
  • 15. Passwörter knacken
    • Schwache Passwörter: keines, Name, Haustier, Geburtsdatum, .....
    • Dictionary Attacke: Einfach alle Einträge aus Duden oder Lexikon
    • Brute Force Pentium II schafft 1000 Kombinationen/s 4 Buchstaben : 0.5 Mio Kombinationen, d.h. ca. 10 Min.
    • 7 Buchstaben Groß/Klein/+Zahlen 10 Trillionen Kombinationen, d.h. Monate
    www. .de
  • 16. Software Fehler : Buffer Overflow Arbeitsspeicher PRG1 PRG2 10101010000010110101010101011010101101011101 10101011010101101011101 HACK-PRG input Zu erkennen: get http:// www.xnet.de /x=09653andshg tgjwu8utz64zz711645rrcx264326rt4w5tr7 t38t7z8785z4w85tz5t9 Besonders anfällig: C/C++ Programme
  • 17. SoftwareFehler: SQL-Injection user: Kw: Programmcode: . . . Select count(userID) FROM UserTabelle where userID='user' and Passwd='kw' . . . Eingabe: ' or 1=1-- für user Resultierender Programmcode: Select count(userID) FROM UserTabelle where userID= '' or 1=1 Immer Erfüllt!
  • 18. Problematische Konfiguration
    • Standard Konfigurationen für einfaches Handling sind auch einfach zu knacken.
    • Standardkennwörter oder keine (bequeme Administratoren)
    • Unsicherer Modus von Programmen (Bsp. IIS oder Apache, User Administrator)
    • Vertrauensstellungen (rsh, rexec in Unix)
  • 19. Problematische Konfiguration <blank> <blank> Cabletron (routers & switches) system admin Arrowpoint anicust sysadm AcceleratedDSL CPE and DSLAM switch diag Xylan Omniswitch switch admin Xylan Omniswitch sysadm n/a NETPrint (all) <blank> admin Alteon ACEswitch 180e (telnet) admin admin Alteon ACEswitch 180e (web) trancell wradmin Webramp wg n/a WatchGuard Firebox II (read/write) uClinux root UClinux_for_UCsimm password admin SonicWALL admin n/a SpeedstreamDSL(Efficient) <blank> Guest Shiva <blank> root Shiva sysadm sysadm Osicom(Datacom) BRIDGE n/a Orbitor_console password n/a Orbitor_console netopia netopia Netopia_9500 <blank> <blank> Netopia_7100 router cablecom Motorola-Cablerouter root root Microplex_print_server <blank> !root Livingston_portmaster2/3 <blank> !root Livingston_officerouter <blank> !root Livingston_IRX_router admin n/a Linksys_DSL n/a 7000 Lantronics_Terminal_server_port n/a 7000 Lantronics_Terminal_server_port n/a Jetform Jetform_design admin admin Flowpoint_DSL2000 password n/a Flowpoint_DSL_installed_by_Covad D-Link D-Link DLink_hub/switches password n/a digiCorp_(viper?) BRIDGE n/a digiCorp_(viper?) crystal n/a Crystalview_outsideview32 administrator administrator Compaq Insight Manager (port 2301) operator operator Compaq Insight Manager (port 2301) public user Compaq Insight Manager (port 2301) <blank> n/a Cayman_DSL Super n/a BreezeCOM_adapters4.x(console_only) Master n/a BreezeCOM_adapters3.x(console_only) laflaf n/a BreezeCOM_adapters2.x(console_only) letmein n/a BRASX/I01_(DataCom) security security BaySuperstackII NetICs n/a Bay350T_Switch <blank> User Bay_routers <blank> Manager Bay_routers pass root AXIS200/240[netcam] mcp n/a AT&T_3B2_firmware 1234 n/a All_Zyxel_equipment secret n/a ADC_Kentrox_Pacesetter_Router netman netman ACC(Ericsson) <blank> root 3comNetBuilder routers tech 2700 3comSuperStackIISwitch debug 2200 3comSuperStackIISwitch tech tech 3comLinkSwitch2000/2700 tech tech 3ComLANplex2500 synnet debug 3ComLANplex2500 <blank> adm 3comHiPerARCv4.1.x tech tech 3comCoreBuilder7000/6000/3500/2500 synnet debug 3comCoreBuilder7000/6000/3500/2500 tech tech 3comCellPlex7000 PASSWORD n/a 3Com_Office_Connect_5x0_ISDN_Routers security security 3Com manager manager 3Com monitor monitor 3Com synnet write 3Com synnet read 3Com synnet admin 3Com Password Username Device
  • 20. IP-Spoofing
    • Eine falsche Absenderadresse (IP) wird vorgetäuscht.
    • Der Angreifer kann somit Vertrauenstellungen auf IP-Basis umgehen.
    Schutz: Keine Vertrauenstellung auf IP-Basis
  • 21. DNS-Angriffe
    • Modifikation der reverse Zone-Datenbank
    • Auslesen der Zone-Datenbanken
    Die Zonendatenbanken liefern wertvolle Informationen über den Aufbau des internen Netzes. Die reverse Zone Datenbank des DNS-Servers wird so modifiziert, dass einer vertrauenswürdigen Domain die IP-Adresse eines anderen Computers zugewiesen wird; Schutz: kombinierte Authentifikation anhand der IP-Adresse und des Domain-Names erschwert diese Angriffs-Form. Der Zugriff darauf (über TCP-Port 53) sollte nur den Secondary-DNS-Servern erlaubt werden.
  • 22. Replay Attacke
    • Der Angreifer fängt die Daten einer verschlüsselten Telnet (SSH)-Session und wiederholt die Sequenz, ohne den Inhalt zu kennen.
    Schutz: IP basierte Authentifizierung,Einwegpasswörter
  • 23. Sniffing 110101010101010 TCPDump Alle Datenpakete im gesamten Netzwerksegment sichtbar Router mit SMNP Und Standard Community String oder RMON enabled Telnet Session Username ......Kennwort Server Sniffing in geswitchten Netzwerken Schutz: Einsatz von Switches und verzicht auf SMNP_Protokoll
  • 24. SMTP-Attacken
    • Der Email-Server wird für das Versenden von Spamming-Mails missbraucht.
    • Schutz: Relay Funktion deaktivieren
    Mailserver mit Relay Spam Mail Versender
  • 25. Bsp: Onlinezahlung Ihr Online-Konto Bank mit Webangebot (Schwach geschützt ) Kto: Pin: TAN: Externer Server mit Zahlungssystem (Stark geschützt) Ihr Online-Konto Hacker Kto: Pin: TAN: Hackerserver mit Kundendatenbank
  • 26. Gefahr durch Trojaner Hacker
  • 27. Infektionswege: Downloads und Mailanhänge
    • Maschinencode: Die Endungen EXE und COM
    • Getarnter Maschinencode: Die Endungen PIF und SCR
    • Interpretierter Scriptcode: Die Endungen VBS, HTM &Co.
    • Interpretierte (VBA-)Makros: Office-Dateien DOC, XLS &Co.
    • Interpretierter DOS-Code: Batches (BAT, CMD)
    • Registry-Import: Die Endung REG
    • Isolierte Pakete: DOC-Auszüge SHS und SHB
    • Installations-Scripts: INF und die AUTORUN. INF
    • Linke Links: Verknüpfungen LNK, URL, PIF und WSH
    • Theoretische Gefahren: CHM, ISP, PDF, SCF, RTF &Co.
  • 28. Firewall Ports echo 7/tcp daytime 13/tcp netstat 15/tcp qotd 17/tcp quote ftp-data 20/tcp ftp 21/tcp telnet 23/tcp smtp 25/tcp mail time 37/tcp timserver name 42/tcp nameserver whois 43/tcp nicname domain 53/tcp nameserver mtp 57/tcp bootp 67/udp finger 79/tcp pop 109/tcp postoffice pop2 109/tcp pop3 110/tcp postoffice sunrpc 111/tcp sunrpc 111/udp Intranet Firewall Die Entscheidung, welche Ports blockiert werden, hängt von den Aufgaben und der Sicherheitsphilosophie im Intr@net ab. analysiert Datenverkehr zwischen internem und externem Netz entscheidet nach vorgegebenen Regeln welche Daten weitergeleitet werden dürfen.
  • 29. Idealkonfiguration DMZ Firewall Mail Server WWW Server Kundennetzwerk Demilitarisierte Zone LAN Internet
  • 30. Sicherer Datentransfer
    • Das Internet ist hochgradig offen für Abhörmaßnahmen.
    • Verschlüsselungstechniken gewinnen besondere Rolle.
    • Problem: Wie können zwei Kommunikationspartner über
    • einen abhörbaren Kanal sicher Informationen austauschen?
    • DES (Data Encryption Standard)
    • RSA Public Key Algoritmus von Rivest, Shamir u. Adleman
  • 31. Public Key Verfahren Ö( Geheimer Text )----> 4 3q48u t2u P( 4 3q48u t2u )----> Geheimer Text oder P( Geheimer Text )-----> eir?§aht1908 Ö( eir?§aht1908 )----> Geheimer Text Beim Public Key- Verfahren gibt es einen öffentlichen und einen privaten Schlüssel. Nacheinander angewendet, können sie einen Text lesbar oder völlig unlesbar machen.
  • 32. Verschlüsselte Nachrichten Mein öffentlicher Schlüssel Ö A : Geheimer Schlüssel P A ( tnmw9 e4 ) = Geheimer Text A B Ö A ( Geheimer Text ) = tnmw9 e4 Datenübertragung
  • 33. VPN Zentrale Aussendient Telearbeitsplatz Datenaustausch wird verschlüsselt über „öffentliches“ Netz übertragen (Hard- und Softwarelösungen). Nieder- lassung
  • 34. Abwehr ►Intrusion Detection Tools IDS Quelle: Axent Host- basiert Betriebssystem- spezifisch Anwendungs- spezifisch Netzwerk- basiert Dynamisch erweiterbare Angriffsmuster Vordefiniertes Angriffsmuster
  • 35. LogDatei Dec 13 13:25:40.445 raptor kernel: 226 IP packet dropped (cisco1601.dieburg.tat.de.78.43.212.in-addr.arpa[212.43.78.2]->cobalt.tatnet.de.78.43.212.in-addr.arpa[212.43.78.14]: Protocol=ICMP[Redirect/1 gw=212.43.78.19] {Inner: cobalt.tatnet.de.78.43.212.in-addr.arpa[212.43.78.14]->212.43.79.98: Protocol=TCP[??] Port 110->33841}): ICMP Redirect (received on interface 212.43.78.251) Dec 13 13:25:40.447 raptor kernel: 226 IP packet dropped (cisco1601.dieburg.tat.de.78.43.212.in-addr.arpa[212.43.78.2]->cobalt.tatnet.de.78.43.212.in-addr.arpa[212.43.78.14]: Protocol=ICMP[Redirect/1 gw=212.43.78.19] {Inner: cobalt.tatnet.de.78.43.212.in-addr.arpa[212.43.78.14]->212.43.79.98: Protocol=TCP[??] Port 110->33841}): ICMP Redirect (received on interface 212.43.78.251) Dec 13 13:25:40.477 raptor tcp-gsp[1989]: 121 Statistics: duration=1.20 id=1Z4v1 sent=56 rcvd=235 srcif=Vpn6 src=212.43.79.98/33841 cldst=212.43.78.14/110 svsrc=212.43.79.98/33841 dstif=Vpn5 dst=192.168.67.58/110 proto=110/tcp rule=3 Das Auswerten bereits kleiner Logdateien erfordert eine Menge Fachwissen und Zeit!
  • 36. Sicherheitsstrategie Risikoanalyse Quelle: Axent Trainings Reaktions-, Sicherheits- monitoring Rettungs-, Maßnahmen und Implemen- tierung einer Lösung Wahl und Sicherheits- strategie
  • 37. Sicherheit ist relativ
    • Es gibt keine 100%-ige Sicherheit
    • Aufwand und Nutzen müssen abgewogen werden
    • Kosten: Rund 7.500 Euro für 25 Arbeitsplätze
    • Beratung und Erstellung eines Sicherheitskonzepts sinnvoll
    • Outsourcing der Überwachung sinnvoll
    • Abwehr: Sicherheitsstrategie
  • 38. Materialien
    • Hackerz book, Thomas Vosseberg, Franzis Verlag
    • IT-Crackdown, Othmar Kyas, Macus a Campo, mitp Verlag
    • Hacking Expoxed win 2000, Joel Scambray, Stuart Mclure, Osborne Verlag
    • IDS, Stephen Nothcutt, Judy Novak, mitp Verlag
    • http://lists.insecure.org/ über Exploits
    • http://europa.eu.int/information_society/topics/telecoms/internet/crime/forum/index_en.htm EU-Forum
    • http://www.microsoft.com/germany/themen/security/ Microsoft Security Forum
  • 39. Ende
  • 40. Übersicht Soultek Produkte
  • 41. Sicherheit in Netzwerken Dem Einsatz unserer Sicherheitslösungen geht eine gründliche Sicherheitsprüfung und Schwachstellen-analyse voraus.  
  • 42. Sicherheit in Netzwerken
    • Firewalls
    • Virtual Private Networks (VPN)
    Kryptographie- und Virenschutzsoftware
    • Intrusion Detection
    • Netzwerkmonitoring
    Incident Response Service
    • Penetrationtests
    • Schulungen
  • 43. Pentrationstests
    • Schwachstellen aufspüren
    • Ergebnisse analysieren
    • Empfehlungen erarbeiten
    • Security Reports
    Penetrationstest
  • 44. Virtual Private Networks Sichere Kommunikation mit Ihren Partnern, Niederlassungen und Aussenddienst. Direkter Zugriff in Ihr Firmennetz Sichere Telearbeitsplätze
  • 45. Überwachungssysteme Bewegungssensitives Kamerasystem Remotezugriff Bilder per Email oder Web an Überwachungszentrale Korrelation von Signalen aus verschiedenen Kameras
  • 46. eSecurity Consulting Wie halten Sie es mit der Sicherheit in Ihrem Unternehmen?
    • Schwachstellenanalyse
    • Pflichtenheft und Kostenschätz- ung für Umstrukturierung
    • Umsetzung von Security-Kon- zepten