A talk about network security and the whole security process, covering prevention, detection, and response. Presented by Jonathan Weiss at the Juniter Workend 2005.
8. Prevention
Maßnahmen, die einen Angriff im Vorhinein
erschweren sollen
Reallife:
Tür und Schloß an Euren Häusern
IT:
Firewalls, ACLs / Rechtemanagement
9. Detection
Maßnahmen, die einen Angriff erkennen
sollen
Reallife:
Alarmanlage im Haus
IT:
Intrusion Detection Systems, Networks
Security Monitoring, Traffic Anomaly
10. Response
Reaktion auf einen Angriff
Reallife:
Ihr ruft die Polizei, diese probiert den
Einbrecher festzunehmen. Beweise werden
gesammelt
IT:
Runterfahren des Rechners, forensiche
Analyse
11. Agenda
Angriff Prevention Detection Response Ziel
Letztes
Dieser Workshop
Workend
14. Der Prozess
Ziel
auskundschaften
Schwachstellen
ausfindigmachen
15. Der Prozess
Ziel
auskundschaften
Schwachstellen
ausfindigmachen
Schwachstellen
ausnutzten
16. Der Prozess
Ziel
auskundschaften
Schwachstellen
ausfindigmachen
Schwachstellen
ausnutzten
Position sichern
17. Der IT-Prozess
Ziel
auskundschaften Passive Informationsgewinnung
Aktive Informationsgewinnung
Schwachstellen
ausfindigmachen
Remote Exploit
Schwachstellen
Local Exploit
ausnutzten
Rootkit Installation
Position sichern
Weitere Expansion
22. TCP/IP Kommunikation
Eine offene Verbindung zwischen zwei
Computern die über TCP/IP kommunizieren,
nennt man Socket und definiert sich durch:
• Quell-IP und Quell-Port
• Ziel-IP und Ziel-Port
26. Firewall
• Unterbinden von ungewolltem Datenverkehr
von externen Computersystemen (WAN) zum
geschützten Bereich (LAN)
• Unterbinden von ungewolltem Datenverkehr
vom LAN zum Internet
29. DMZ
• Bereitstellung von Diensten (E-Mail, WWW,
etc...) für WAN und LAN
• Server in der DMZ können von sich aus keine
Verbindung zum LAN aufbauen
• Ein gehackter Server in der DMZ kann somit
nicht das LAN kompromittieren
42. Mittel
• Recherche im Internet, Newsgroups,
Mailinglisten
• Versiongrabbing / Verbinden
• DNS zone transfers
• Social Engineering / In-personification
• Port Scanning
45. Mittel
Aus gewonnen Informationen werden
Sicherheitslücken identifiziert
• MITRE
• CVE
• ISS X-Force
Sicherheitslücken auf dem Zielrechner
ausnutzen
• Exploits schreiben/anwenden
54. Mittel
Angegriffenes System als Ausgangsbasis
nutzen
Vorteil
• Man ist schon im Netzwerk
• Firewall Regeln meist laxer
• Traffic oft nicht überwacht
58. Prevention
Vorbeugen durch:
• Nicht die offizielle Mail-Adresse in
Newsgroups, Mailinglisten & co benutzen
• Keine Detail-Informationen an fremde
Personen verraten
• Social Engineering Awareness
64. Intrusion Detection
Bemerken eines Angriffs auf eine Ressource
• Netzwerkbasiert
Überwachung des Netzwerkverkehrs
• Hostbasiert
Überwachung von Dateien
• Hybrid
Kombination
65. Network IDS
• Sniffen des Netzwerktraffics
• Vergleich der Paketinhalte gegen Regeln
• Alarm bei Verstoß
Bekannteste OpenSource Lösung Snort
66. Network IDS
PC
IDS
Internet Switch PC
Firewall
PC
Admin
67. Host IDS
• Sitzt direkt auf dem Server
• Überprüft Dateizugirffe und Veränderungen
• Vergleich von Datei-Prüfsummen
• Alarm bei Verstoß
Bekannteste OpenSource Lösung Samhain,
(Tripwire)