1 / 85

Sichere Implementierung

Sichere Implementierung. Netzwerksicherheit I: Schwachstellen & Gegenmaßnahmen . Gruppenaufgaben: Terminplan. Prüfungstermine (August). Prüfungstermine (September). Internet. Quelle: Wikipedia: Internet. Internet-(Un)sicherheit.

tyne
Download Presentation

Sichere Implementierung

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript


  1. Sichere Implementierung Netzwerksicherheit I: Schwachstellen & Gegenmaßnahmen

  2. Gruppenaufgaben: Terminplan Dr. Wolf Müller

  3. Prüfungstermine (August) Dr. Wolf Müller

  4. Prüfungstermine (September) Dr. Wolf Müller

  5. Internet Quelle: Wikipedia: Internet Dr. Wolf Müller

  6. Internet-(Un)sicherheit • IT in allen privaten und geschäftlichen Lebensbereichen präsent • Zunehmende Vernetzung  zunehmende Abhängigkeit • Fragen der Informationssicherheit immer wichtiger • Bedrohungen: • Unautorisiertes Lesen elektronischer Nachrichten • Verändern gesendeter Daten • Maskieren, Vortäuschen falscher Absenderidentität • Zerstörung von Daten • Erschleichung von Dienstleistungen • Unterbrechung oder Störung der Kommunikation • D(DOS) Dr. Wolf Müller

  7. Internet: Historie • ARPA, 70-er Jahre US-Verteidigungsministerium • Protokolle: • Internet Protocol (IP) • Internet Control Message Protokoll (ICMP) • Transport Control Protocol (TCP) am 1.1.1983 ins ARPA übernommen = Geburtsstunde des Internets • Kommunikation zwischen Mainframes, später PC in Militär, Regierung, Forschung • Begrenzter Teilnehmerkreis, • Kooperativ • Equipment teuer • Übertragungssicherheit im technischen Sinne wichtig Dr. Wolf Müller

  8. Internet: Historie (2) • Weitere Netzwerkdienste: • für BSD UNIX entwickelt (Berkley University of Carlifornia) • Telnet • FTP • E-Mail • 1991 Gopher, erstmals GUI, Texte, Bilder, Ton • 1993 WWW, Mosaic, CERN • Internet öffnet sich für Massenbenutzerkreis • Rascher Anstieg des Nutzerkreises, • Etwa alle 12 – 15 Monate Verdopplung der Anzahl der angeschlossen Rechner seit 1993 • Ursprung im wissenschaftlichen Bereich, Ziel flexible Nutzung dezentrale Verwaltung • Rasante Ausweitung, nahezu unbeschränkte Möglichkeiten, Rechner anzuschließen (zumindest mit IPv6) • Keine Basis für Kontrollmöglichkeiten, die bei der verstärkten beruflichen und privaten Nutzung verstärkt erforderlich werden. Dr. Wolf Müller

  9. Internet: Situation heute • Öffnung für breite Anwenderschaft von Nichtspezialisten • Rudimentäre Kenntnisse über Internet und damit verbundene Gefährdungen • Anstieg der potentiellen Opfer von Computerkriminalität • Zunehmende kommerzielle Nutzung • Wachsende Abhängigkeit • Wachsende Schadenshöhe bei erfolgreichen Angriffen • Keine zentrale Kontrollinstanz zur Verhinderung von Missbrauch • Kenntnisse des Nutzers unabdingbar • Einsatz verfügbarer Softwareprodukte Dr. Wolf Müller

  10. Einteilung von Netzwerken • Firmennetzwerke • Physisch absicherbar • Eventuell WLAN? • Netzwerke zwischen Standorten • Kommunikationspartner kennen sich gegenseitig • Provider sichert gewissen Schutz • Eventuell Funkübertragung, LaserLink • Virtuelle Private Netzwerke • Internet • Unvorhersehbares Routing • Authentifizierung schwierig • Keine Vertrauensbeziehungen • Kein sicherer Kanal Dr. Wolf Müller

  11. Sicherheit auf verschiedenenNetzwerkschichten Dr. Wolf Müller

  12. Belauschen von Datentransfers • Abhängig von der Topologie des Netzwerkes und von der Art des Routings • Paketorientierte Netzwerke sind schwieriger abzuhören, da jedes Paket potenziell eine andere Route nehmen kann. • Abhören an Knotenpunkten sinnvoll • Abhören direkt am Sender oder Empfänger, weil nur eine Leitung vorhanden ist. • Hub besser abhörbar als Switch • Drahtlos besser abhörbar als Draht, Glasfieber • WLAN ist Hub (insbesondere WEP) Dr. Wolf Müller

  13. Physisches Abhören • Abfangen der elektromagnetischen oder optischen Abstrahlung von Netzwerkkabeln • Funknetzwerke • Richtfunk • Mobilfunk Dr. Wolf Müller

  14. Frequency Hopping Frequency Hopping • Sicherheit auf Layer 1 • Häufiges Wechseln der Trägerfrequenz nach nur den Kommunikationspartnern bekanntem Muster, z.B. Pseudozufällig gewählt • Abhörer kann nicht alle Frequenzen überwachen Dr. Wolf Müller

  15. Wide Spectrum Spread • Aufteilung des Signals auf ein breites Spektrum • Signal geht im Rauschen unter • Nur Empfänger kennt richtige Chipping Codes und kann durch „Aufintegrieren“ das Signal wieder lesbar machen • Auch Code Division Multiplex genannt Dr. Wolf Müller

  16. Was passiert beim Senden von Argon zu Neon? 128.143.71.21 im lokalen Netzwerk. Paket kann direkt gesendet werden. 128.143.71.21 nicht im lokalen Netzwerk. Packet muss über default gateway 128.143.137.1 gesendet werden. DNS: IP-Adresse von “neon.tcpip-lab.edu”? ARP: MAC-Adresse von 128.143.137.1?? ARP: MAC-Adresse von 128.143.137.1 ist 00:e0:f9:23:a8:20 ARP: MAC-Adresse von 128.143.137.1 ist 00:20:af:03:98:28 DNS: IP-Adresse von “neon.tcpip-lab.edu” ist 128.143.71.21 frame frame ARP: MAC-Adresse von 128.143.71.21? Dr. Wolf Müller

  17. Bitübertragungsschicht Physicallayer • Herstellung einer physikalischen Verbindung zwischen zwei direkt verbundenen Kommunikationspunkten • Übertragung von Bitströmen • Medien: Koaxial, TP, Lichtwellenleiter, Funk, Licht Angriff: Jamming Dr. Wolf Müller

  18. Sicherungsschicht Data link layer • Bündelung der Bitströme der unteren Ebene zu Datenpaketen (frames) • Aufteilung der Pakete der darüberliegenden Ebene in Datenpakete • Kontrollinformation (Prüfsummen) • Fehlerkorrigierende Verfahren Cyclic Redudancy Check (CRC) • CRC ist kein MAC! • Behebung, Erkennung von Übertragungsfehlern • Behandlung beschädigter, duplizierter, verloren gegangener Frames • Regelung des Medienzugangs • Regulierung des Datenflusses Dr. Wolf Müller

  19. Vermittlungsschicht Network layer • Kontrollierte Verknüpfung von Netzwerkteilen • Ende-zu-Ende Kommunikation zwischen Kommunikationspartnern • Vermittlung möglich auch bei: • Unterschiedlichem Addressierungsschemata, • Verschiedenen Paketgrößen • Heterogenen Protokollen • ROUTING • Dynamisch • Statisch • Zuständig für Accounting Dr. Wolf Müller

  20. Transportschicht Transport layer • Etablierung einer von höheren Schichten gewünschten Verbindung • Abhängig von Datenaufkommen und Netzbelastung kann pro Wunsch eine logische Verbindung aufgebaut werden oder zur Kostenreduzierung mehrere Verbindungen in einem Kanal gebündelt werden (Multiplexing) • Ermöglicht Ende-zu-Ende Kommunikation zwischen einzelnen Prozessen, Diensten (TCP) • Realisierung von zuverlässigem paketorientiertem Ende-zu-Ende Protokoll (UDP) • Darüberliegendes Protokoll macht Paketaufteilung, Reihenfolge und Quittung • Flusssteuerung • Verhinderung von Überlauf (Regulierung der Senderate) Dr. Wolf Müller

  21. Präsentationsschicht • Presetation layer • Umwandlung der maschinenspezifischen Präsentation von Daten in einheitliche Netzwerkdarstellung (und umgekehrt) • Fokus: Syntax und Semantik der Übertragenen Information • Häufig Datenkompression, Verschlüsselung • ASN.1 • Serialization (Java, Objects) Dr. Wolf Müller

  22. Anwendungsschicht • Application Layer • Vielzahl von Protokollen • X.400, SMTP • FATM, FTP • HTTP, • Pop • Imap • DNS Dr. Wolf Müller

  23. Einordnung der Protokolle in Schichten Dr. Wolf Müller

  24. Encapsulation and Demultiplexing • Wenn sich die Daten den Protokollstack nach unten bewegen, fügt jedes Protokoll schichtabhängige Kontrollinformation dazu. Dr. Wolf Müller

  25. Netzwerkkomponenten (layer 1) • Repeater • Erhöhung der Signalreichweite, Verstärkung • Vergrößerte Kollisionsdomäne bei Broadcastmedien • Hub • Multiportrepeater • Verbindung mehrerer Netze • Eingehende Signale werden aufbereitet und an alle aktiven Ports weitergeleitet • Keine Kontrollfunktion • Sniffen einfach, Ethernetzkarte im Promiscous-Mode (tcpdump, ngrep) Dr. Wolf Müller

  26. Netzwerkkomponenten (layer 2) • Bridge • Verbindung von Netzen auf Data-Link Layer • Weiterleitung von Datenframes an MAC-Addressen • Verwaltet Tabelle über bekannte MAC-Addressen • Kann unterschiedliche Medien verbinden. • WLAN-Access Point • Trennt Kollisionsdomänen, sonst aber nur begrenzte Kontrolle • Weiterleitung von Broadcasts in angeschlossene Netzsegmente • Switch • Multiport Bridge • Filterung der Pakete nach MAC-Adressen • ARP Cache (Zuordnung IP – MAC) • Datenpakete nicht generell als Broadcast • Ziel: Erhöhung der Bandbreite • Sniffen schwerer, aber nicht unmöglich • Maskierungsangriffe auf ARP-Cache (Angreifer schickt ARP Nachricht an Sender, dass sich MAC von X geändert hat, gibt seine eigene MAC als neue an. • Antworten auf ARP-Request für X mit eigener MAC • Weiterleitung per IP-Forwarding an eigentlichen Zielrechner • Fälschung der eigenen MAC • ethercap Dr. Wolf Müller

  27. Netzwerkkomponenten (layer 3) • Router • Verbindung von Netzen auf der Schicht 3 • Wegewahl für Pakete der Ebene 3 (im Internetkontext IP) • Können Kontroll- und Filterfunktionen wahrnehmen • Einfache Paketfilter, Firewalls können durch Router realisiert werden • Gatway • Verbindung unterschiedlicher Typen • IP mit GPRS Dr. Wolf Müller

  28. Internet-Protokoll IP Aufgaben der Netzwerkschicht • Paketvermittelnder, verbindungsloser Dienst • Keine Bestätigung für Erhalt von Paketen • Man spricht von unzuverlässigen Dienst • Max. Länge 65.535 Byte • Fragmentierung je nach Netzwerkinfrastruktur • Ethernet 1.500 Byte • Jedes Fragment besitzt IP-Header + Teil der ursprünglichen Daten • Keine Maßnahmen für vollständigen Erhalt oder richtige Reihenfolge oder Erhalt überhaupt Dr. Wolf Müller

  29. IP-Addresse, physikalische Addresse • IP-Adresse 32-Bit: 141.20.20.55 • Oft Domänenname verwendet: • www.informatik.hu-berlin.de • Zuordnung über DNS, hosts • Physikalische Adressen (für Geräte aus 1. und 2. Schicht) • Jedem Rechner / Netzwerkinterface physikalische Adresse zugeordnet • 48 Bit (oft HEX 08:00:20:fa:03:e4) • Erste 24 Bit Hersteller (Sun) • Zuordnung eindeutig • Aber leicht zu ändern (Driver ifconfig, Karten-Bios, Vmware, Hardwarebrücke) Dr. Wolf Müller

  30. Aufbau eines IP-Pakets Dr. Wolf Müller

  31. DHCP • Dynamic Host Configuration Protocol • Dynamisch Zuordnung von IP-Addressen • RFC 2131, 2132 • Client fragt mit Broadcast nach eindeutiger IP • Alle DHCP-Server, die diese Nachricht empfangen antworten mit Adressen-Angebot • Client nimmt erstes Angebot, fordert über Request-Nachricht diese IP-Adresse an • Vergebender Server macht dies durch Acknowledgment bekannt • Lease nur beschränkte Zeit gültig • Weitere Informationen zum Netzwerk können übermittelt werden. • DNS • Gateway • Nextserver • WINS Dr. Wolf Müller

  32. Authentizität: Häufigste Angriffe: AddressSpoofing Angreifer maskiert und unter falscher Identität Ansatzpunkt: MAC-, IP-Adressen in Ethernet-, IP-Paketen, insbesondere Absender, DNS-Namen Sicherheitsproblem: Spoofing Dr. Wolf Müller

  33. ARP-Spoofing • ARP-Spoofing nutzt Designschwäche ARP im ARP-Protokoll (zustandslos) • Jeder Host hat eigenen ARP-Cache, wo (MAC,IP)-Adressenpaare verwaltet werden. • ARP-Spoofing “vergiftet” diesen Cache durch Senden gefäschterARP-Replies

  34. ??? ARP-Spoofing Host A 192.168.0.2 00-E0-F0-25-41-7E Host B 192.168.0.3 00-00-1C-9E-69-30 192.168.0.3 is at 00-00-1C-9E-69-30 192.168.0.4 is at 00-E0-DA-8B-B4-05 192.168.0.2 is at 00-E0-F0-25-41-7E 192.168.0.4 is at 00-E0-DA-8B-B4-05 Attacker 192.168.0.4 00-E0-DA-8B-B4-05 192.168.0.2 is at 00-E0-F0-25-41-7E 192.168.0.3 is at 00-00-1C-9E-69-30

  35. ARP-Spoofing Host A 192.168.0.2 00-E0-F0-25-41-7E Host B 192.168.0.3 00-00-1C-9E-69-30 192.168.0.3 is at 00-E0-DA-8B-B4-05 192.168.0.3 is at 00-00-1C-9E-69-30 192.168.0.4 is at 00-E0-DA-8B-B4-05 192.168.0.2 is at 00-E0-F0-25-41-7E 192.168.0.4 is at 00-E0-DA-8B-B4-05 Attacker 192.168.0.4 00-E0-DA-8B-B4-05 192.168.0.2 is at 00-E0-F0-25-41-7E 192.168.0.3 is at 00-00-1C-9E-69-30

  36. ARP-Spoofing Host A 192.168.0.2 00-E0-F0-25-41-7E Host B 192.168.0.3 00-00-1C-9E-69-30 192.168.0.3 is at 00-E0-DA-8B-B4-05 192.168.0.4 is at 00-E0-DA-8B-B4-05 192.168.0.2 is at 00-E0-F0-25-41-7E 192.168.0.4 is at 00-E0-DA-8B-B4-05 Attacker 192.168.0.4 00-E0-DA-8B-B4-05 192.168.0.2 is at 00-E0-F0-25-41-7E 192.168.0.3 is at 00-00-1C-9E-69-30

  37. ARP-Spoofing Host A 192.168.0.2 00-E0-F0-25-41-7E Host B 192.168.0.3 00-00-1C-9E-69-30 192.168.0.3 is at 00-E0-DA-8B-B4-05 192.168.0.4 is at 00-E0-DA-8B-B4-05 192.168.0.2 is at 00-E0-F0-25-41-7E 192.168.0.4 is at 00-E0-DA-8B-B4-05 Attacker 192.168.0.4 00-E0-DA-8B-B4-05 192.168.0.2 is at 00-E0-F0-25-41-7E 192.168.0.3 is at 00-00-1C-9E-69-30

  38. ARP Spoofing • Alle von A nach B gesendeten Pakete werden über den Angreifer geleitet, der sie an B weiterleitet. • Rückweg kann in gleicher Weise manipuliert werden. • Erlaubt „Man in the Middle Attack“ • Kann lokal automatisch gestartet werden mit Tools wie: dsniff oder ettercap.

  39. ARP Spoofing - Gegenmaßnahmen • Statische Einträge in ARP-Cache beugen ARP-Spoofing vor • Funktioniert nicht MS OS's (Wird „static” eingetragen, aber trotzdem durch Replies überschrieben) • Netzwerk ist unflexibler, aber zumindest die MAC des Gateways sollte statisch funktionieren • IDS (intrusiondetectionsystem): Angriffe dieser Art sind offensichtlich und leicht zu erkennen • Tool:arpwatch

  40. Absender Empfänger 141.20.20.2 141.20.20.131 … Sicherheitsprobleme von IP: Spoofing (2) Angreifer Rechner 10.0.42.1 gespoofter Rechner 141.20.20.2 Router Internet interner Rechner 141.20.20.131 Dr. Wolf Müller

  41. Beispiel 1: Trusted Hosts • Unix (trustedhost) ziel.de • /etc/hosts.equiv, .rhosts: • freund.de • rlogin, rsh möglich ohne Passwort • Rechner mit Berechtigungen für NFS-Freigaben Dr. Wolf Müller

  42. Beispiel 2: DoS Denial of Service: • Öffentliche Beachtung ab 2000, Angriffe auf Yahoo, Amazon, eBay • Finanzielle Abhängigkeit von Erreichbarkeit • Details: • Zombie-Rechner unter vollständiger Kontrolle des Angreifers • Bei Startkommando Angriff • Auch DDoS genannt • Abwehr: • Ermittlung der Adressen aller Zombie-Rechner, blockieren jeglichen Verkehrs von diesen • Abwehr zunehmend schwierig, da sehr dynamisch Dr. Wolf Müller

  43. Beispiel 2.1: UDP-flood Angriff • Basiert auf UDP-Diensten • UDP-Paket mit gefälschter Absender-Adresse an Opfer • Verbindung mit Dienstchargen, den das Opfer zur Zeichenerzeugung anbietet • Opfer sendet nun Strom von Zeichen an gespooften Absender, beide werden gelähmt Dr. Wolf Müller

  44. Beispiel 2.2: Smurf-Angriff • Angreifer sendet Strom von pingPacketen (ICMP) mit gefälschter Absender-Adresse (alice.victim.com) an IP-Broadcast Adresse von stooge.com • Alle Rechner aus dem Netz von stooge.com antworten an alice.victim.com Dr. Wolf Müller

  45. Smurf-Angriff: Gegenmaßnahmen • ICMP deaktivieren (nur bedingt möglich und sinnvoll) • IP-Broadcast am Router deaktivieren • Problem DDoS: nicht ein Angreifer sondern sehr viele Angreifer, die nicht Broadcast sondern verschiedene Rechner verwenden, oder Alice direkt angreifen Dr. Wolf Müller

  46. TCP 3-Wege Handshake zum Verbindungsaufbau SYN Flooding Solange „halboffene“ TCP-Verbindungen aufbauen, bis Ressourcen des angegriffenen Systems verbraucht sind Beispiel 2.3: SYN-flood-Angriff Alice Bob Mallet Bob SYN SeqNr=x SYN SeqNr=x SYN SeqNr=y; ACK x+1 SYN SeqNr=y; ACK x+1 SYN SeqNr=z ACK y+1 SYN SeqNr=a Dr. Wolf Müller

  47. Minimale Anzahl von SYN Paketen für erfolgreichen DoS Quelle: [Chang 02] Wiederholung von „verlorenen“ SYN Paketen: Exponential Backoff zur Berechnung der Wartezeit Linux und W2K (3s, 6s, 12s, 24s,....) BSD 6s, 24s, 48s, ....) Abbruch des Retransmit W2K nach 2 Versuchen (d.h. nach 9 Sekunden) Linux nach 7 Versuchen (d.h. nach 381 Sekunden) BSD nach 75 Sekunden SYN-Flood-Verletzlichkeit der Betriebssysteme Dr. Wolf Müller

  48. SYN-flood-Angriff: Gegenmaßnahmen • Timer definieren • Falls ACK nicht innerhalb dieser Zeitspanne erfolgt, Ressourcen wieder freigeben • Nutzt nur bedingt • Falls alle Ressourcen belegt zufällig eine halboffene Verbindung schließen • Nutzt nur bedingt • Maximale Anzahl gleichzeitig halboffener Verbindungen pro Quell-Adresse festlegen • Problem DDoS • Prinzipielle Unterscheidung zwischen legitimer Nutzung und Angriff nicht möglich. Dr. Wolf Müller

  49. Sicherheitsproblem: Vertraulichkeit • Weder Nutzdaten noch Verwaltungsdaten (Header) eines IP-Pakets vor Übertragung verschlüsselt • Liegen auf allen Kommunikationsverbindungen und in allen Vermittlungsstellen im Klartext vor • Passworte für Remote-Login • Vertrauliche Firmendaten • Personenbezogene vertrauliche Daten • Verkehrsflussanalysen (aus Sende- / Empfangsadressen werden Zugriffs- und Kommunikationsprofile erstellt. Keine Anonymität. Dr. Wolf Müller

  50. Sicherheitsproblem: Integrität • IP-Protokoll stellt keine Mechanismen wie Hashfunktionen oder Message Authentication Codes für Nutzdaten zur Verfügung • Keine Möglichkeit, Modifikationen zu erkennen und derartige Angriffe abzuwehren. • CRC nur für Bitübertragungsfehler, • Angreifer kann korrekte CRC berechnen und in das Datenpaket integrieren Dr. Wolf Müller

More Related