Grundlagen: Sicherheit

[feissmaik]

3.8.4 Nmap

Der Netzwerk-Scanner nmap unterstützt zahlreiche Angriffspraktiken zum Scannen von einzelnen Rechnern oder ganzen Netzwerken. Er bietet auch viele nützliche Funktionen für einen sinnvollen Einsatz. Denkbar wären beispielsweise die Überwachung der offenen Ports aller Netzwerkrechner oder das automatische Auslösen eines Alarms, wenn ein neuer Rechner ans Netz angeschlossen wird. Mit nmap und den zahlreichen Möglichkeiten wird sich ein eigenständiges Kapitel beschäftigen.

[feissmaik]

3.8.5 Betriebssystemerkennung

Systemschwachstellen sind meist an das verwendete Betriebssystem gebunden, deshalb sind Informationen darüber für den Angreifer äußerst wertvoll.

Viele Dienste wie z.B. telnet, ssh oder www geben auch nicht autorisierten Benutzern Betriebssysteminformationen. Sie können dies einfach nachvollziehen:

user@linux $ telnet ip-opfer 80
Trying 217.72.195.42...
Connected to ha-42.web.de.
Escape character is '^]'.
user@linux $ get
http/1.0 400 Bad Request
Date: Wed, 19 Jan 2000 15:33:21 GMT
Server: Apache/1.3.3 (Unix) (Red Hat/Linux)
Connection: close
....

Aus der vorletzten Ausgabezeile ist ersichtlich, dass es sich um einen Linux Rechner mit Red Hat handelt. Es gibt mittlerweile einige Betriebssystemerkennungsprogramme wie queso oder nmap.

[feissmaik]

3.8.6 Firewalking

Darunter versteht man eine Technik, um Informationen von Netzwerken hinter einer Firewall zu erlangen. David Goldsmith und Michael Schiffmann haben diese Technik im Oktober 1998 veröffentlicht. Firewalking benutzt traceroute, das eigentlich entwickelt wurde, den Weg einer Verbindung aufzuzeigen. Duch die Angabe eines Ausgangs- bzw Zielport können auch Firewalls passiert werden.

[feissmaik]

3.8.7 Inverse Mapping

Mit Inverse Mapping Techniken können Informationen über solche Rechner und Netzwerke erhalten werden, die als unerreichbar gelten (z.B. Rechner eines internen Netzwerkes).

Beispiel ftp-Bounce-Attacke:

Der Angreifer benutzt einen normalen ftp-Client und verbindet sich mit dem ftp-Server des Opfers. Er benutzt den ftp-Port-Befehl um die IP-Adresse und die Portnummer des anzugreifenden Dienstes anzugeben. Der Angreifer sendet nun in Kommandos, die der angegriffene Dienst versteht, in Form von Dateien an den ftp-Server und dieser leitet die Kommandos einfach an den verbundenen Dienst. Wenn der ftp-Server hinter der Firewall steht, sind durch diese Methode auch Scans des internen Netzwerkes möglich.

[feissmaik]

3.9 Buffer Overflows

Die wohl am häufigsten auftretende Schwachstelle sind Programme, die Pufferüberläufe (Buffer Overflows) ermöglichen. Diese Programme werden zu einer gefährlichen Bedrohung, wenn sie unter privilegierten Rechten ablaufen. Ein Angreifer kann durch das Ausnutzen dieser Schwachstelle beliebigen Programmcode zur Ausführung bringen, und zwar mit den selben Privilegien wie die des fehlerhaften Programms. Wenn also beispielsweise der Web-Server apache unter root Rechten ablaufen würde und eine solche Schwachstelle existiert, so kann ein Angreifer dem System den denkbar größtmöglichen Schaden zufügen.

Schutzmaßnahmen für Programmierer und Entwickler:

• Sichere Programmierung, Einsatz von "Source Code Security Analyzer" zur Feststellung möglicher Fehler
• Libsafe ersetzt unsichere C-Funktionen (z.B. sprintf, strcp, gets) durch Bibliotheksfunktionen
• Openwall-Patch: nichtausführbarer Stack Array-Grenzüberwachung

[feissmaik]

3.10 Denial of Service (DOS Attacken)

Angriffe mit dem Ziel, ein System oder einen Dienst lahm zu legen, bezeichnet man als DOS-Attacken. Oftmals handelt es sich um Netzwerkdienste, die beim Trennen der Netzverbindung nicht mehr nutzbar sind. Es werden entweder Schwachstellen im System (Rechner, Übertragungsprotokolle, ...) ausgenutzt oder begrenzte Systemressourcen (z.B. Bandbreite) aufgebraucht, um eine Dienstverweigerung zu erreichen.

Manchmal geht es auch darum, sicherheitsrelevante Systeme (z.B. IDS, Loghosts) in einen instabilen Zustand zu versetzen und somit Einbruchsversuche zu ermöglichen. Prinzipiell werden DOS-Attacken in zwei Arten untergliedert: hostbasierte Denial of Service Attacken und netzwerkbasierte Denial of Service Attacken. Eine besonders gefährliche Weiterentwicklung der letztgenannten sind verteilte DOS-Attacken (Distributed Denial of Service). Das Opfer wird hierbei von mehreren (manchmal sogar tausenden) Rechnern angegriffen.

Hostbasiert
Wenn der Angreifer bereits Zugang zum System besitzt, kann er mit meist sehr einfachen Mitteln das System handlungsunfähig machen. Dazu gehören beispielsweise

• Plattenplatz aufbrauchen (Sicherheitsmaßnahme: quota)
• Arbeitsspeicher / CPU Reserven aufbrauchen (Sicherheitsmaßnahme: ulimit)
• Hardwarefehler ausnutzen (Sicherheitsmaßnahme: neuer Kernel)

Netzwerkbasiert
Die größere Gefahr geht im Allgemeinen von netzwerkbasierten DOS-Attacken aus. Diese sind schwerer nachvollziehbar, und ein Angreifer benötigt im Zweifelsfall nicht einmal einen direkten Zugang zum Opfernetzwerk. Zu diesen DOS-Attacken gehören:

Email-Bomben

• Die Speicherkapazität auf Mailservern ist sehr begrenzt, der Plattenplatz wird sehr schnell aufgebraucht. Außerdem können durch sehr große Mails die Netzwerkressourcen (Bandbreite) sehr schnell aufgebraucht werden.

Broadcast-Angriff

• Ein Angreifer generiert pro Sekunde 100 Brodcast-Anfragen. Wenn angenommen 150 Rechner im Subnetz aktiv sind und deshalb antworten, müssen 15.000 Antwortpakete übertragen werden. Der Rechner, der diese Anfrage gestellt hat, ist mit den Antworten hoffnungslos überlastet und verliert im Extremfall seine Netzverbindung (meist in Kombination mit Spoofing). Gegenmaßnahmen können beispielsweise durch die Limit Option im Paketfilter oder durch das Herausfiltern von ICMP Paketen realisiert werden.

Kernel-Angriff

• Auch die Netzwerkmodule des Kernels sind nicht vor Angriffen gefeit. So kann beispielsweise durch eine SYN-Flood-Attacke der Netzwerkpuffer zum Überlaufen gebracht werden. Kernelparameter bieten einen guten, meist ausreichenden Schutz.

DOS-Angriffe auf TCP/IP-Ebene

• Durch Massenanfragen werden Schwachstellen im IP-Stack ausgenutzt. Die Schwachstellen lassen sich nur bedingt beseitigen, sodass solche Angriffe meist als DDOS Attacken durchgeführt werden. Zu solchen Attacken zählen:

• IP-Fragmentangriff (teardrop, newtear, bonk)
• IP-Bombing (meist als DDOS-Attacke)
• SYN-Flood Attacken (massenhafte Verbindungsanfragen)

[feissmaik]

3.11 Distributed Denial of Service (DDOS Attacken)

Während bei normalen netzwerkbasierten DOS-Attacken viele Anfragen von einem Angriffsrechner ausgehen, kommen bei verteilten DOS-Attacken (Distributed Denial of Service = DDOS) sehr viele Computer zum Einsatz, die simultan einen DOS-Angriff auf einen Opferrechner durchführen. Ein DDOS-Angriff wird zentral kontrolliert, es gibt also einen oder mehrere Server (so genannte Master), die viele Clients (auch einfach als Daemons bezeichnet) kontrollieren.

grundlagen_sicherheit_ddos.png (6.36 KiB) 1276 mal betrachtet

Diese Angriffe sind erst seit 1999 bekannt. Die dokumentierten Angriffe gingen meistens von vier Softwaretools aus:

• trinoo (englische Infos auf en CERTwww.cert.org/incident_notes/IN-99-07.html)
• TFN Tribe Flood Network (englische Infos auf en CERT)
• stacheldraht (basiert auf trinoo und TFN)
• shaft

Die zu ergreifenden Schutzmaßnahmen sind

• Einbruchserkennungssysteme (IDS)
• Paketfilter (ICMP-Filterung, Pakete > 9 Byte)
• Verhinderung eines Einbruchs durch Kombination von Sicherheitsmaßnahmen wie kontinuierliche Aktualisierung der Software, Einsatz von Proxies, Paketfiltern, Einbruchserkennung und Gegenmaßnahmen bei erfolgreichem Angriff.

[feissmaik]

3.12 Root Kits

Root Kits sind Softwarepakete, in denen meist skriptbasierte Werkzeuge enthalten sind. Diese haben zum Ziel,

• 1. verschiedene Angriffsformen anzubieten,
  2. Angriffe zu verschleiern sowie
  3. Hintertüren einzubauen.

Ein solcher automatisierter Angriff dauert typischerweise drei bis fünf Sekunden und erfordert keinerlei Fachwissen.

Wie läuft ein Angriff mit einem Root Kit ab?
Nach dem Ausnutzen einer Schwachstelle, durch die ein beliebiger Maschinencode zur Ausführung gebracht werden kann, steht dem Angreifer eine Ausführungsumgebung mit root-Rechten (daher der Name) zur Verfügung. Diese Privilegien werden benutzt, um auf dem angegriffenen System eine Hintertür zu installieren, die dem Angreifer in Zukunft jederzeit Administratorrechte verschafft. Abschließend werden sämtliche Spuren des Angriffs aus den Log-Dateien entfernt. Präventive Maßnahmen sollten bevorzugt zum Einsatz kommen, da erfolgreiche Einbrüche äußerst schwer zu finden und zu beseitigen sind. Bekannte Root Kits können mit en chkrootkit gefunden werden.

[feissmaik]

quelle: http://selflinux.org/selflinux/html/gru ... eit03.html


Siehe dazu auch:
http://www.debian.org/doc/manuals/secur ... 12.de.html
http://www.debian.org/doc/manuals/secur ... 10.de.html
http://www.linuxfocus.org/Deutsch/Janua ... e274.shtml
http://www.mhampicke.de/artikel/view/3

[Princos]

@ feiss

vielen Dank für deine klasse Zusammenfassung. Habe wieder mal etwas dazu gelernt.

Gruß Princos