christian schromm ([email protected])€¦ · (distributed) denial of service: dos/ddos...
TRANSCRIPT
![Page 1: Christian Schromm (christian@schromm-net.de)€¦ · (Distributed) Denial of Service: DoS/DDoS Malicious Software Ausnutzung von Fehlern (Exploits) Manipulieren/Abhören von IP-Paketen](https://reader033.vdocuments.site/reader033/viewer/2022060607/605e24927179e045027f3215/html5/thumbnails/1.jpg)
1
Konzepte von Betr iebssystem -Kom pon en ten
Konzepte zum Aufbau von Firewalls
Christian Schromm([email protected])
![Page 2: Christian Schromm (christian@schromm-net.de)€¦ · (Distributed) Denial of Service: DoS/DDoS Malicious Software Ausnutzung von Fehlern (Exploits) Manipulieren/Abhören von IP-Paketen](https://reader033.vdocuments.site/reader033/viewer/2022060607/605e24927179e045027f3215/html5/thumbnails/2.jpg)
2
Über sicht
� Motivation zum Betreiben von Firewalls� Mögliche Angriffsarten auf Rechner(-netze)� Firewallkomponenten und Architekturen� Wirkungsbereich von Firewalls� Beurteilung
![Page 3: Christian Schromm (christian@schromm-net.de)€¦ · (Distributed) Denial of Service: DoS/DDoS Malicious Software Ausnutzung von Fehlern (Exploits) Manipulieren/Abhören von IP-Paketen](https://reader033.vdocuments.site/reader033/viewer/2022060607/605e24927179e045027f3215/html5/thumbnails/3.jpg)
3
M ot ivat ion zu m Betreiben von Firew alls
� Firewall als „Türsteher“� Zentral verwaltetes Sicherheitsinstrument
� Schutz vor Datenverlust� Schutz vor Missbrauch von Ressourcen � Schutz vor Schädigung des Rufs
![Page 4: Christian Schromm (christian@schromm-net.de)€¦ · (Distributed) Denial of Service: DoS/DDoS Malicious Software Ausnutzung von Fehlern (Exploits) Manipulieren/Abhören von IP-Paketen](https://reader033.vdocuments.site/reader033/viewer/2022060607/605e24927179e045027f3215/html5/thumbnails/4.jpg)
4
M ögliche Angriffsar ten auf Rechner ( -netze)
� Motivation zum Betreiben von Firewalls� Mögliche Angriffsarten auf Rechner(-netze)
� (Distributed) Denial of Service: DoS/DDoS� Malicious Software� Ausnutzung von Fehlern (Exploits)� Manipulieren/Abhören von IP-Paketen
� Firewallkomponenten und Architekturen� Wirkungsbereich von Firewalls� Beurteilung
![Page 5: Christian Schromm (christian@schromm-net.de)€¦ · (Distributed) Denial of Service: DoS/DDoS Malicious Software Ausnutzung von Fehlern (Exploits) Manipulieren/Abhören von IP-Paketen](https://reader033.vdocuments.site/reader033/viewer/2022060607/605e24927179e045027f3215/html5/thumbnails/5.jpg)
5
( D ist r ibu ted) D enial of Service: DoS/ D D oS
� Ziel: Lahmlegen eines Dienstes oder Computers� Methoden:
Ziel mit Anfragen überfluten oder Fehler im OS oder Dienst ausnützen
� Wird immer bemerkt → häufig nur letztes Mittel� Einfach durchzuführen („Werkzeug von Script Kiddies“)� Angriff von mehreren Rechner gleichzeitig → DDoS
![Page 6: Christian Schromm (christian@schromm-net.de)€¦ · (Distributed) Denial of Service: DoS/DDoS Malicious Software Ausnutzung von Fehlern (Exploits) Manipulieren/Abhören von IP-Paketen](https://reader033.vdocuments.site/reader033/viewer/2022060607/605e24927179e045027f3215/html5/thumbnails/6.jpg)
6
M alicious Softw are
� Sich selbst reproduzierende und weiterverbreitende Software
� Installieren Backdoors oder Passwortschnüffler� Verbreitung über
� Mail� CIFS� IRC� Aktive Dokumentinhalte (Makros)
� Bekannt als Viren, Trojaner, Würmer etc.
![Page 7: Christian Schromm (christian@schromm-net.de)€¦ · (Distributed) Denial of Service: DoS/DDoS Malicious Software Ausnutzung von Fehlern (Exploits) Manipulieren/Abhören von IP-Paketen](https://reader033.vdocuments.site/reader033/viewer/2022060607/605e24927179e045027f3215/html5/thumbnails/7.jpg)
7
Au snutzung von Fehlern ( Exploits)
� Großzügig vergebene � Zugriffsrechte von Dateien/Verzeichnissen/Programmen� SUID/SGID – Bits� Zugriff auf /etc/passwd bzw. /etc/shadow ermöglichen den
Einsatz von Passwort-Knackern
![Page 8: Christian Schromm (christian@schromm-net.de)€¦ · (Distributed) Denial of Service: DoS/DDoS Malicious Software Ausnutzung von Fehlern (Exploits) Manipulieren/Abhören von IP-Paketen](https://reader033.vdocuments.site/reader033/viewer/2022060607/605e24927179e045027f3215/html5/thumbnails/8.jpg)
8
Au snutzung von Fehlern ( Exploits)
� Großzügig vergebene � Zugriffsrechte von Dateien/Verzeichnissen/Programmen� SUID/SGID – Bits� Zugriff auf /etc/passwd bzw. /etc/shadow ermöglichen den
Einsatz von Passwort-Knackern
� Buffer Overflow-Angriffe (auch übers Netzwerk) öffnen häufig eine root-shell
![Page 9: Christian Schromm (christian@schromm-net.de)€¦ · (Distributed) Denial of Service: DoS/DDoS Malicious Software Ausnutzung von Fehlern (Exploits) Manipulieren/Abhören von IP-Paketen](https://reader033.vdocuments.site/reader033/viewer/2022060607/605e24927179e045027f3215/html5/thumbnails/9.jpg)
9
Au snutzung von Fehlern ( Exploits)
� Großzügig vergebene � Zugriffsrechte von Dateien/Verzeichnissen/Programmen� SUID/SGID – Bits� Zugriff auf /etc/passwd bzw. /etc/shadow ermöglichen den
Einsatz von Passwort-Knackern
� Buffer Overflow-Angriffe (auch übers Netzwerk) öffnen häufig eine root-shell
� Bleiben i.d.R. unbemerkt� Sind sehr lukrativ
![Page 10: Christian Schromm (christian@schromm-net.de)€¦ · (Distributed) Denial of Service: DoS/DDoS Malicious Software Ausnutzung von Fehlern (Exploits) Manipulieren/Abhören von IP-Paketen](https://reader033.vdocuments.site/reader033/viewer/2022060607/605e24927179e045027f3215/html5/thumbnails/10.jpg)
10
M an ipulieren/ Abh ören von I P-Paketen
� Abhören des IP-Verkehrs� Mitlesen von Klartextpasswörtern
![Page 11: Christian Schromm (christian@schromm-net.de)€¦ · (Distributed) Denial of Service: DoS/DDoS Malicious Software Ausnutzung von Fehlern (Exploits) Manipulieren/Abhören von IP-Paketen](https://reader033.vdocuments.site/reader033/viewer/2022060607/605e24927179e045027f3215/html5/thumbnails/11.jpg)
11
M an ipulieren/ Abh ören von I P-Paketen
� Abhören des IP-Verkehrs� Mitlesen von Klartextpasswörtern
� Port-Scanning (stealth-scans)� Auskundschaften des Ziels� Überprüfen von offenen Ports� Ermitteln (häufig) das OS� Verbindungslose scans (stealth) werden häufig nicht
erkannt
![Page 12: Christian Schromm (christian@schromm-net.de)€¦ · (Distributed) Denial of Service: DoS/DDoS Malicious Software Ausnutzung von Fehlern (Exploits) Manipulieren/Abhören von IP-Paketen](https://reader033.vdocuments.site/reader033/viewer/2022060607/605e24927179e045027f3215/html5/thumbnails/12.jpg)
12
M an ipulieren/ Abh ören von I P-Paketen
� Abhören des IP-Verkehrs� Mitlesen von Klartextpasswörtern
� Port-Scanning (stealth-scans)� Auskundschaften des Ziels� Überprüfen von offenen Ports� Ermitteln (häufig) das OS� Verbindungslose scans (stealth) werden häufig nicht
erkannt
� IP-Spoofing: Einsatz von gefälschten IP-Paketen� Ziel- oder Absenderadresse� Ziel- oder Absenderport� Fragmentierte Pakete
![Page 13: Christian Schromm (christian@schromm-net.de)€¦ · (Distributed) Denial of Service: DoS/DDoS Malicious Software Ausnutzung von Fehlern (Exploits) Manipulieren/Abhören von IP-Paketen](https://reader033.vdocuments.site/reader033/viewer/2022060607/605e24927179e045027f3215/html5/thumbnails/13.jpg)
13
Firew allkom ponenten un d Architekturen
� Motivation zum Betreiben von Firewalls� Mögliche Angriffsarten auf Rechner(-netze)� Firewallkomponenten und Architekturen
� Paketfilter (Screening Router: stateful/stateless)� Proxies (Application Layer Gateways)� Netzanbindung ohne Bereitstellung von Diensten� Grenznetz (DMZ) für externe Dienste� Bastion Host
� Wirkungsbereich von Firewalls� Beurteilung
![Page 14: Christian Schromm (christian@schromm-net.de)€¦ · (Distributed) Denial of Service: DoS/DDoS Malicious Software Ausnutzung von Fehlern (Exploits) Manipulieren/Abhören von IP-Paketen](https://reader033.vdocuments.site/reader033/viewer/2022060607/605e24927179e045027f3215/html5/thumbnails/14.jpg)
14
Schichten m odell
Anwendungsschicht(SMTP, DNS, IMAP, FTP etc.)
Transportschicht(TCP, UDP, ICMP)
Internet-Schicht(IP)
Netzzugangsschicht(Ethernet, FDDI, TokenRing etc.)
Daten
Daten
Daten
Daten
Header
HeaderHeader
HeaderHeaderHeader
![Page 15: Christian Schromm (christian@schromm-net.de)€¦ · (Distributed) Denial of Service: DoS/DDoS Malicious Software Ausnutzung von Fehlern (Exploits) Manipulieren/Abhören von IP-Paketen](https://reader033.vdocuments.site/reader033/viewer/2022060607/605e24927179e045027f3215/html5/thumbnails/15.jpg)
15
Paket fil ter ( Scr eenin g Rou ter)
� Arbeiten auf Internet- und Transportschicht� Überprüfen anhand der Headerinformationen die
Gültigkeit eines Paketes� Überprüfung möglich nach
� Ziel-/Herkunfts-IP� Ziel-/Herkunftsport� Flags (SYN, ACK, FIN etc.)
� Werten nur den Inhalt der Header aus, nicht aber den der Datensegmente
� Logging der Pakete� Können eigenes Netzwerk verstecken (NAT)
![Page 16: Christian Schromm (christian@schromm-net.de)€¦ · (Distributed) Denial of Service: DoS/DDoS Malicious Software Ausnutzung von Fehlern (Exploits) Manipulieren/Abhören von IP-Paketen](https://reader033.vdocuments.site/reader033/viewer/2022060607/605e24927179e045027f3215/html5/thumbnails/16.jpg)
16
Sta teful vs. Stateless Packetfi l ter
� Erkennt zu bestehender Verbindung gehörende Pakete
� Speicherung von Verbindungsdaten notwendig (Angriffspunkt für DoS-Attacken!)
� Filtern nur Pakete zum Vebindungsaufbau, Folgepakete nicht mehr
� Reassemblierung fragmentierter Pakete vor dem Filtern ist notwendig, um versteckte Angriffe abzuwehren
Stateful Stateless
![Page 17: Christian Schromm (christian@schromm-net.de)€¦ · (Distributed) Denial of Service: DoS/DDoS Malicious Software Ausnutzung von Fehlern (Exploits) Manipulieren/Abhören von IP-Paketen](https://reader033.vdocuments.site/reader033/viewer/2022060607/605e24927179e045027f3215/html5/thumbnails/17.jpg)
17
Pr oxies ( Application Layer Gatew ays)
� Arbeiten auf Anwendungsschicht� Bieten Stellvertreterfunktion für Verbindungen zu anderen
Netzen (z.B. Internet)
Client Server
Proxy
Scheinbare Verbindung
Tatsächliche Verbindung
Illusion des Benutzers
Illusion des Servers
![Page 18: Christian Schromm (christian@schromm-net.de)€¦ · (Distributed) Denial of Service: DoS/DDoS Malicious Software Ausnutzung von Fehlern (Exploits) Manipulieren/Abhören von IP-Paketen](https://reader033.vdocuments.site/reader033/viewer/2022060607/605e24927179e045027f3215/html5/thumbnails/18.jpg)
18
Vor tei le von Proxies
� Untersuchung der Paketinhalte nach bösartigem Code (DDoS, Java/Javascript, Viren, Spam-Mail ...)
� Bessere Protokollierungsmöglichkeiten� Filterung auch per User möglich� Keine direkte Client-Server Verbindung� Client-IP bleibt verborgen
![Page 19: Christian Schromm (christian@schromm-net.de)€¦ · (Distributed) Denial of Service: DoS/DDoS Malicious Software Ausnutzung von Fehlern (Exploits) Manipulieren/Abhören von IP-Paketen](https://reader033.vdocuments.site/reader033/viewer/2022060607/605e24927179e045027f3215/html5/thumbnails/19.jpg)
19
Nach teile von Proxies
� Eigener Proxy für jeden Dienst erforderlich� Häufig sind spezielle Konfigurationen an den Clients
vorzunehmen� Für manche Dienste gibt es keinen Proxy� Unsichere Dienste (telnet, ftp ...) werden durch einen
Proxy auch nicht sicherer
![Page 20: Christian Schromm (christian@schromm-net.de)€¦ · (Distributed) Denial of Service: DoS/DDoS Malicious Software Ausnutzung von Fehlern (Exploits) Manipulieren/Abhören von IP-Paketen](https://reader033.vdocuments.site/reader033/viewer/2022060607/605e24927179e045027f3215/html5/thumbnails/20.jpg)
20
Gener ischer Pr oxy
� Ist nicht für bestimmten Dienst beschränkt einsetzbar
Nachteile gegenüber dedizierten Proxies:� Kann kein Content Filtering� Keine Benutzerauthentifizierung
Vorteile gegenüber fehlenden Proxies:� Keine direkte Client-Server Verbindung� Client-IP bleibt verborgen
![Page 21: Christian Schromm (christian@schromm-net.de)€¦ · (Distributed) Denial of Service: DoS/DDoS Malicious Software Ausnutzung von Fehlern (Exploits) Manipulieren/Abhören von IP-Paketen](https://reader033.vdocuments.site/reader033/viewer/2022060607/605e24927179e045027f3215/html5/thumbnails/21.jpg)
21
Firew allarchitektur en
� Immer abhängig von den jeweiligen Anforderungen� Optimale Ausschöpfung aller Filtermöglichkeiten� Minimaler Administrationsaufwand� Minimale Störung der Benutzer
![Page 22: Christian Schromm (christian@schromm-net.de)€¦ · (Distributed) Denial of Service: DoS/DDoS Malicious Software Ausnutzung von Fehlern (Exploits) Manipulieren/Abhören von IP-Paketen](https://reader033.vdocuments.site/reader033/viewer/2022060607/605e24927179e045027f3215/html5/thumbnails/22.jpg)
22
Netzanbindung ohne Ber eitstel lung von D iensten
� Screening Router � DDoS� Verstecken des Netzwerks (Portscans)� Abwehr von gespooften Paketen
� Proxy� Maskiert internes Netz� Macht Content-Filtering
� Können bei Softwarelösung auf gleichem Rechner laufen� Bei Harwarerouter muss dieser zwischen dem Internet
und dem Proxy stehen (spoofing!)
![Page 23: Christian Schromm (christian@schromm-net.de)€¦ · (Distributed) Denial of Service: DoS/DDoS Malicious Software Ausnutzung von Fehlern (Exploits) Manipulieren/Abhören von IP-Paketen](https://reader033.vdocuments.site/reader033/viewer/2022060607/605e24927179e045027f3215/html5/thumbnails/23.jpg)
23
Netzanbindung ohne Ber eitstel lung von D iensten
Quelle: Einrichten von Internet Firewalls, Chapman & Zwicky,O'Reilly
![Page 24: Christian Schromm (christian@schromm-net.de)€¦ · (Distributed) Denial of Service: DoS/DDoS Malicious Software Ausnutzung von Fehlern (Exploits) Manipulieren/Abhören von IP-Paketen](https://reader033.vdocuments.site/reader033/viewer/2022060607/605e24927179e045027f3215/html5/thumbnails/24.jpg)
24
Gr en znetz ( D M Z) fü r exter ne D ien ste
� Nach außen angebotene Dienste werden in ein Zwischennetz zwischen Intra- und Internet gestellt (DeMilitarisierte Zone)
� DMZ gilt als prinzipiell unsicher� Absicherung zum Internet durch Paketfilter und Proxy
� Absicherung des Intranet durch mindestens einen Proxy, besser zusätzlich durch einen weiteren Paketfilter� Zweiter Paketfilter hat im günstigsten Fall andere
Eigenschaften als der erste (stateful/stateless)� Innerer Router/Proxy betrachtet DMZ als unsicher;
strengere Filterregeln notwendig
![Page 25: Christian Schromm (christian@schromm-net.de)€¦ · (Distributed) Denial of Service: DoS/DDoS Malicious Software Ausnutzung von Fehlern (Exploits) Manipulieren/Abhören von IP-Paketen](https://reader033.vdocuments.site/reader033/viewer/2022060607/605e24927179e045027f3215/html5/thumbnails/25.jpg)
25
Gr en znetz ( D M Z) fü r exter ne D ien ste
Quelle: Einrichten von Internet Firewalls, Chapman & Zwicky,O'Reilly
![Page 26: Christian Schromm (christian@schromm-net.de)€¦ · (Distributed) Denial of Service: DoS/DDoS Malicious Software Ausnutzung von Fehlern (Exploits) Manipulieren/Abhören von IP-Paketen](https://reader033.vdocuments.site/reader033/viewer/2022060607/605e24927179e045027f3215/html5/thumbnails/26.jpg)
26
Bast ion H ost
� Besonders abgesicherter Rechner� Keine unnötige Software� Keine User Accounts� Keine SUID/SGID-Bits
![Page 27: Christian Schromm (christian@schromm-net.de)€¦ · (Distributed) Denial of Service: DoS/DDoS Malicious Software Ausnutzung von Fehlern (Exploits) Manipulieren/Abhören von IP-Paketen](https://reader033.vdocuments.site/reader033/viewer/2022060607/605e24927179e045027f3215/html5/thumbnails/27.jpg)
27
Bast ion H ost
� Besonders abgesicherter Rechner� Keine unnötige Software� Keine User Accounts� Keine SUID/SGID-Bits
� Einsatzgebiete� Proxies in der DMZ bei Verwendung von HW-Routern� ARGUS-Hosts� Log-Host
![Page 28: Christian Schromm (christian@schromm-net.de)€¦ · (Distributed) Denial of Service: DoS/DDoS Malicious Software Ausnutzung von Fehlern (Exploits) Manipulieren/Abhören von IP-Paketen](https://reader033.vdocuments.site/reader033/viewer/2022060607/605e24927179e045027f3215/html5/thumbnails/28.jpg)
28
Über sicht
� Motivation zum Betreiben von Firewalls� Mögliche Angriffsarten auf Rechner(-netze)� Firewallkomponenten und Architekturen� Wirkungsbereich von Firewalls� Beurteilung
![Page 29: Christian Schromm (christian@schromm-net.de)€¦ · (Distributed) Denial of Service: DoS/DDoS Malicious Software Ausnutzung von Fehlern (Exploits) Manipulieren/Abhören von IP-Paketen](https://reader033.vdocuments.site/reader033/viewer/2022060607/605e24927179e045027f3215/html5/thumbnails/29.jpg)
29
W as kann ein Firew allsystem ?
� Verkleinerung der potentiellen Angriffsfläche eines Netzwerks durch � Sperrung nicht benötigter Ports� Vergabe spezifischer Zugriffsrechte von externen
Netzwerken� Maskierung des Intranet
� Filterung des Inhalts von Paketen� Protokollierung des Netzwerkverkehrs zur Früherkennung
bzw. Zurückverfolgung von Angriffen� Schutz vor Überlastung des eigenen Netzwerks bei DoS-
Attacke auf Netzwerkbasis
![Page 30: Christian Schromm (christian@schromm-net.de)€¦ · (Distributed) Denial of Service: DoS/DDoS Malicious Software Ausnutzung von Fehlern (Exploits) Manipulieren/Abhören von IP-Paketen](https://reader033.vdocuments.site/reader033/viewer/2022060607/605e24927179e045027f3215/html5/thumbnails/30.jpg)
30
W as kann ein Firew allsystem n icht?
� Filtern unbekannter Schädlinge (Viren ...)� Angriffe aus dem eigenen Netz abwehren (möglicherweise
von Mitarbeiter durchgeführt)� Verhalten von Benutzern zu 100% kontrollieren� Abwehr neuartiger Angriffe� Sicherung von Einwahlzugängen
(brauchen eigene Schutzmechanismen)
![Page 31: Christian Schromm (christian@schromm-net.de)€¦ · (Distributed) Denial of Service: DoS/DDoS Malicious Software Ausnutzung von Fehlern (Exploits) Manipulieren/Abhören von IP-Paketen](https://reader033.vdocuments.site/reader033/viewer/2022060607/605e24927179e045027f3215/html5/thumbnails/31.jpg)
31
Über sicht
� Motivation zum Betreiben von Firewalls� Mögliche Angriffsarten auf Rechner(-netze)� Firewallkomponenten und Architekturen� Wirkungsbereich von Firewalls� Beurteilung
![Page 32: Christian Schromm (christian@schromm-net.de)€¦ · (Distributed) Denial of Service: DoS/DDoS Malicious Software Ausnutzung von Fehlern (Exploits) Manipulieren/Abhören von IP-Paketen](https://reader033.vdocuments.site/reader033/viewer/2022060607/605e24927179e045027f3215/html5/thumbnails/32.jpg)
32
Beu rtei lung
� Kein Netzwerk kann zu 100% sicher gemacht werden!� Firewalls erhöhen den Schutz und sind nötig� Firewalls sind nur ein Teil einer Sicherheitspolitik, welche
ferner enthalten sollte:� Sensibilisierung der Benutzer� Host-Security� Regelmäßiges Einspielen von Patches� Backups
![Page 33: Christian Schromm (christian@schromm-net.de)€¦ · (Distributed) Denial of Service: DoS/DDoS Malicious Software Ausnutzung von Fehlern (Exploits) Manipulieren/Abhören von IP-Paketen](https://reader033.vdocuments.site/reader033/viewer/2022060607/605e24927179e045027f3215/html5/thumbnails/33.jpg)
33
Beu rtei lung
� Kein Netzwerk kann zu 100% sicher gemacht werden!� Firewalls erhöhen den Schutz und sind nötig� Firewalls sind nur ein Teil einer Sicherheitspolitik, welche
ferner enthalten sollte:� Sensibilisierung der Benutzer� Host-Security� Regelmäßiges Einspielen von Patches� Backups
Das Ziel ist, einem potentiellen Angreifer möglichst viele Hindernisse in den Weg zu stellen.
Ein Angriff kann immer erfolgreich sein. Ob dem so ist, ist eine Kosten/Nutzen-Frage.