IT-Sicherheitsforum
Sicherheitswerkzeuge im Netzwerk

Matthias Ruckdäschel
RRZE
Matthias.Ruckdaeschel@RRZE.uni-erlangen.de secadm@RRZE.uni-erlangen.de http://www.rrze.uni-erlangen.de

Matthias Ruckdäschel Regionales RechenZentrum Erlangen

1

IT-Sicherheitsforum 06.02.2003

Übersicht
· Netzwerkanalyse
­ Port-Scans ­ Rechner-Analyse ­ Netzwerk-Überwachung

· Netzwerk- und Rechnersicherheit (Firewall)
­ Paketfilter ­ Application Gateway ­ Personal Firewall
Matthias Ruckdäschel Regionales RechenZentrum Erlangen
2

IT-Sicherheitsforum 06.02.2003

Ziel des Vortrags
· Schnelles Erkennen von Eindringlingen und Schwachstellen mit einfach Mitteln · Grenzen der Netzwerkanalyse aufzeigen · Mögliche Schutzmaßnahmen erläutern · Nicht: Detaillierte forensische Analyse von Rechnern bzw. Netzwerkverbindungen
Matthias Ruckdäschel Regionales RechenZentrum Erlangen
3

IT-Sicherheitsforum 06.02.2003

Grundlagen der IT-Sicherheit
· Eigene Systeme und deren (normales) Verhalten (sehr) gut kennen! · Auf Auffälligkeiten konzentrieren, z.B.:
­ Rechner ist unerwartet langsam ­ Festplatte ist aus unerklärlichen Gründen voll

· Das Naheliegende zuerst überprüfen · Ruhig bleiben; Panik verursacht Fehler · Vorbereitet sein!
Matthias Ruckdäschel Regionales RechenZentrum Erlangen
4

IT-Sicherheitsforum 06.02.2003

Absicherung von Systemen
· · · · · · Deinstallieren Abschalten Konfigurieren Patchen Virenschutz Benutzerverhalten:

Bei Beachtung dieser Maßnahmen sind über 99% aller ,,Hacks" vermeidbar!

­ Optimal: Benutzer installieren keine Software ­ Mindestanforderung: Schulung der Benutzer: Software aus dem Internet birgt Risiken
Matthias Ruckdäschel Regionales RechenZentrum Erlangen
5

IT-Sicherheitsforum 06.02.2003

Denkweise von Hackern
· Warum wird ein Rechner gehackt?
1. Script-Kiddies 2. Verschleierung von Spuren 3. Ablage von urheberechtlich geschützten oder strafbaren Daten 4. Ausspionieren von lokalen Daten

·
­ ­

Für die Punkte 1-3 gilt:
Hacker will möglichst wenig Aufwand Einfache Schutzmaßnahmen sind meist ausreichend!
6

Matthias Ruckdäschel Regionales RechenZentrum Erlangen

IT-Sicherheitsforum 06.02.2003

Spionage von Daten
· Schützenswerte Daten:
­ ­ ­ ­ ­ Prüfungen (Lösungen / Ergebnisse) Forschungsergebnisse, Patente Industrieprojekte Mitarbeiter- und Finanzdaten u.v.m

· Schützenswerte Daten sind durch Standardmaßnahmen nicht ausreichend geschützt. · Beratung durch das RRZE
Matthias Ruckdäschel Regionales RechenZentrum Erlangen
7

IT-Sicherheitsforum 06.02.2003

Verdeckung von Angriffen
· Angriffe auf schützenswerte Daten sind selten, bleiben aber oft ,,im Rauschen" verborgen:
,,Standard-Hacks"

Missbrauch durch Insider

Spionage durch Externe

Matthias Ruckdäschel Regionales RechenZentrum Erlangen

8

IT-Sicherheitsforum 06.02.2003

Standard-Hacks
· Knacken einfacher / fehlender Passworte · Ausnutzen von bekannten Schwachstellen · Trojaner über Mail / IRC verschickt oder versteckt in Software (z.B. gehackte Spiele, etc.) Bei Standard-Hacks wird oftmals keine Energie in die Verschleierung gesteckt: Kompromittierte Rechner sind leicht zu erkennen!
Matthias Ruckdäschel Regionales RechenZentrum Erlangen
9

IT-Sicherheitsforum 06.02.2003

Netzwerkanalyse
· · · · Datenschutz beachten! Nur im eigenen Bereich erlaubt! Schwierig bei gezielter Verschleierung Motivation:
­ Schwachstellen erkennen: · Fehlende Patches · Mangelhafte Konfiguration · Fremde Software (Filesharing-Tools, Serv-U) ­ Missbrauch / Eindringlinge erkennen
Matthias Ruckdäschel Regionales RechenZentrum Erlangen
10

IT-Sicherheitsforum 06.02.2003

Möglichkeiten der Netzanalyse
· Port-Scan
­ Suche nach Diensten, die über das Netz erreichbar sind.

· Rechner-Scan
­ Versuch, über das Netz zusätzliche Informationen über die Konfiguration eines Rechner zu erhalten

· Netzwerk-Monitoring
­ Überwachung und Analyse von Verbindungen

Matthias Ruckdäschel Regionales RechenZentrum Erlangen

11

IT-Sicherheitsforum 06.02.2003

Port-Scans
· Grundsätzlich: Jedes Programm auf einem Rechner, welches Verbindungen von außen akzeptieren soll, muss vorher einen Port öffnen (Status: Listening). · Offene Ports können erkannt werden. Ausnahme: Personal Firewall / Paket-Filter · Was erreichbar sein soll, ist auch sichtbar. · Problem: Manche Ports werden erst unter bestimmten Bedingungen aktiviert.
Matthias Ruckdäschel Regionales RechenZentrum Erlangen
12

IT-Sicherheitsforum 06.02.2003

Port-Scans: Was?
· Unterscheidung TCP/UDP · Welche Ports?
­ Gezielt auf einzelne Ports ­ ,,Well-Known"-Ports ­ Port-Range (theoretisch 1-65535)

· Vorsicht: kein strikter Zusammenhang zwischen Port und zugehörigen Dienst!
Matthias Ruckdäschel Regionales RechenZentrum Erlangen
13

IT-Sicherheitsforum 06.02.2003

Port-Scans: Womit?
· Freeware Port-Scanner: NMAP
­ http://www.nmap.org ­ Verfügbar als Source-Code für Unix / Linux und Windows ­ Windowsversion in Entwicklung ­ Ursprünglich Kommandozeilen-Tool ­ Graphische Oberfläche verfügbar ­ Benötigt lokale root / Adminstrator-Rechte
Matthias Ruckdäschel Regionales RechenZentrum Erlangen
14

IT-Sicherheitsforum 06.02.2003

Erkennen des Port-Status
· Das Verhalten des Rechners auf eingehende Pakete hängt vom Betriebssystem, IP-Stack und den Applikationen ab. · Ausgabe von NMAP unterliegt bestimmten Annahmen: TCP - Port erfolgreiche Verbindung ICMP ,,Port unreachable" Verbindung abgelehnt (RST) keine Antwort
Matthias Ruckdäschel Regionales RechenZentrum Erlangen

UDP - Port --geschlossen --offen
IT-Sicherheitsforum 06.02.2003

offen geschlossen geschlossen geschlossen

15

Port-Scan: Analyse
· OS-Fingerprint (Ergebnis kann Hinweis liefern) · Suspekte Rechner vor Ort überprüfen
­ Listet geöffnete Ports: · Unix / Windows NT/2000/XP: ,,netstat -an" ­ Welcher Prozess hält welchen Port offen? · Windows NT/2000/XP: ,,fport"
(http://www.foundstone.com/knowledge/proddesc/fport.html)

· Unix: lsof (http://freshmeat.net/projects/lsof/) ­ Interessant sind Ports mit Status ,,LISTENING"
Matthias Ruckdäschel Regionales RechenZentrum Erlangen
16

IT-Sicherheitsforum 06.02.2003

Port-Scan: Analyse
· Verbergen von Diensten / Ports (übers Netz und lokal) möglich · Lokale Analyse potentiell kompromittierter Rechner fragwürdig. · Bei Verdacht auf ,,tiefes" Eindringen ins Betriebssystem muss der Zugriff auf die Festplatte durch ein anderes Betriebssystem erfolgen.

Matthias Ruckdäschel Regionales RechenZentrum Erlangen

17

IT-Sicherheitsforum 06.02.2003

Rechner-Analyse
· Reaktion eines Rechners beim Ansprechen eines Ports. · Test-Pakete an bestimmte Ports setzen und Reaktion beobachten. · OS-Fingerprints · Analyse von Schwachstellen (fehlende Patches / mangelhafte Konfiguration)

Matthias Ruckdäschel Regionales RechenZentrum Erlangen

18

IT-Sicherheitsforum 06.02.2003

Rechner Analyse: Womit?
· Freeware-Scanner NESSUS:
­ http://www.nessus.org ­ Zweiteilig: · Server (,,Daemon") auf Unix · Client auf Unix oder Windows 32 ­ Setzt auf NMAP auf ­ Enthält viele vorgefertigte ,,Plugins" ­ Skript-Sprache zum Ergänzen eigener Plugins

· ,,Save-Checks" einschalten, andernfalls sind Störungen an Rechnern möglich!
Matthias Ruckdäschel Regionales RechenZentrum Erlangen
19

IT-Sicherheitsforum 06.02.2003

Rechner Analyse: Auwertung
· Auswertung der Nessus-Ergebnisse:
­ ­ ­ ­ ­ Einstufung der Wichtigkeit fragwürdig Wissen über gescannte Rechner ist nötig Oftmals Fehlalarm, Ergebnisse verifizieren Ergebnisse können in Datenbank gespeichert werden Vergleich zu früheren Ergebnissen oder gleicher Rechner Konfiguration möglich und sinnvoll. Kein EDV-TÜV: Negatives Ergebnis bedeutet nicht, dass der Rechner sicher ist!
Matthias Ruckdäschel Regionales RechenZentrum Erlangen IT-Sicherheitsforum 06.02.2003

20

Zusammenfassung zu Scans
· Nur im eigenen Bereich scannen · ,,Versehentliche" Fehlkonfiguration oder weltweit verfügbare Dienste leicht zu erkennen · Verschleierung am lokalen Rechner möglich! Falsche Sicherheit?

Matthias Ruckdäschel Regionales RechenZentrum Erlangen

21

IT-Sicherheitsforum 06.02.2003

Netzwerk-Monitoring
· Aufzeichnung aller Verbindungsdaten am GatewayRechner oder durch ,,Schnüffeln" im Netz. · Vorteil: Es werden alle Verbindungen erfasst · Sehr gut bei konkretem Verdacht oder zur Verfolgung von bekannten Missbrauchsfällen · Die Bestimmungen des Datenschutzes sind zu beachten! · Problem: Bandbreite / Geschwindigkeit des Rechners
Matthias Ruckdäschel Regionales RechenZentrum Erlangen
22

IT-Sicherheitsforum 06.02.2003

Monitoring: Analyse
· Sehr großes Datenvolumen (,,Nadel im Heuhaufen") · Unterscheidung:
· Versuchter Verbindungsaufbau · Erfolgreicher Verbindungsaufbau · Datenvolumen

· Analyse sehr schwierig Intrusion Detection System
Matthias Ruckdäschel Regionales RechenZentrum Erlangen
23

IT-Sicherheitsforum 06.02.2003

Schutzmaßnahmen im Netz
· Für Rechner mit sensiblen Daten sind erweiterte Schutzmaßnahmen nötig. · Am einzelnen Rechner:
­ Personal Firewall ­ Paket Filter

· Im gesamten Netzwerk (Firewall)
­ Paket Filter ­ Application Gateway
Matthias Ruckdäschel Regionales RechenZentrum Erlangen
24

IT-Sicherheitsforum 06.02.2003

Philosophie des Filterns
· Negativ-Liste Einzelne Dienste / Rechner werden geschützt
­ Leichter zu konfigurieren ­ Nicht so sicher wie Positiv-Liste

· Positiv-Liste Erlaubte Verbindungen werden explizit konfiguriert
­ Exakte Konfiguration ist schwierig ­ Auf Rückkanal achten

Matthias Ruckdäschel Regionales RechenZentrum Erlangen

25

IT-Sicherheitsforum 06.02.2003

Grundsätzliches
· Genaue Kenntnis der Kommunikationsbeziehungen notwendig · Ausnahmen reduzieren (,,Schweizer Käse") · Vorsicht bei oberflächiger Konfiguration (trügerische Sicherheit) · Paketfilter schützen nur bedingt vor lokalen Benutzern und eingeschleppten Viren.

Matthias Ruckdäschel Regionales RechenZentrum Erlangen

26

IT-Sicherheitsforum 06.02.2003

Paketfilter
· Verbietet / Erlaubt bestimmte Ports und / oder IPBereiche · Eingehende Antworten werden durchgelassen:
­ Statless Filter ­ Statefull Filter (besser, aber mehr Ressourcen nötig)

· Benötigt geringere Resourcen als App. Gateway · Kann Multicast erlauben (wichtig für Multimedia-Anwendungen)
Matthias Ruckdäschel Regionales RechenZentrum Erlangen IT-Sicherheitsforum 06.02.2003

27

Paketfilter an der FAU
· Können auf Routern der FAU implementiert werden · Werden ausschließlich vom RRZE gepflegt · Subnetzbetreiber muss Schutzbedarf und Kommunikationsbeziehungen ermitteln: http://www.rrze.uni-erlangen.de/security/handbuch · Beratung durch Volkmar Scharf (mailto: Volkmar.Scharf@rrze.uni-erlangen.de) · Eigene, dezentrale Lösungen an der FAU nicht erlaubt: http://www.rrze.uni-erlangen.de/netze/aup.html
Matthias Ruckdäschel Regionales RechenZentrum Erlangen
28

IT-Sicherheitsforum 06.02.2003

Application Gateway
· Eigenes Modul für jede Anwendung nötig (z.B. http, ftp, smtp, pop,...) · Widerspruch zu End-To-End-Verschlüsselung · Evtl. Umsetzung der IP-Adressen (Network Address Translation) · Benötigt ausreichend CPU-Ressourcen · Exakte Konfiguration schwierig · Vor Einsatz mit RRZE absprechen
Matthias Ruckdäschel Regionales RechenZentrum Erlangen
29

IT-Sicherheitsforum 06.02.2003

Personal Firewall
· Paket Filter · Läuft auf dem jeweiligen Rechner · Leicht zu konfigurieren bei privaten Rechnern. · Integration im Uni-Netz (Zugang zu Servern, ...) aufwendiger · Schwierige Konfiguration bei Verwendung auf Servern · Schützt nur bedingt vor lokalen Benutzern und Trojanern
Matthias Ruckdäschel Regionales RechenZentrum Erlangen
30

IT-Sicherheitsforum 06.02.2003

Beispiele für Personal Firewall
· Tiny Personal Firewall (kostenpflichtig): http://www.tinysoftware.com · Zone Alarm:
­ Grundversion kostenlos für private Nutzung ­ Kostenpflichtig für den Einsatz an der Uni ­ http://www.zonelabs.com

Matthias Ruckdäschel Regionales RechenZentrum Erlangen

31

IT-Sicherheitsforum 06.02.2003

Integrierte Windows Firewall
· Ab Windows 2000: TCP/IP Filtering
­ Konfiguration gültig pro Rechner

· Ab Windows XP: Internet Connection Firewall
­ Konfiguration gültig pro Netzwerkkarte

· Vorsicht: Firewall wird (manchmal) bei der Installation von MS-Zusatzprodukten (z.B. IIS) automatisch umkonfiguriert.

· Kein Filtern von ausgehenden Verbindungen (z.B. Spyware) · Nur Filtern von Ports, keine IP-Adressen
Matthias Ruckdäschel Regionales RechenZentrum Erlangen
32

IT-Sicherheitsforum 06.02.2003

Literatur
· Schnelle Suche nach potentiellen Eindringlingen
(Windows, Unix): http://www.psionic.com/papers/FastForensics.pdf

Matthias Ruckdäschel Regionales RechenZentrum Erlangen

33

IT-Sicherheitsforum 06.02.2003