Network Security

2.958 Aufrufe

Veröffentlicht am

A talk about network security and the whole security process, covering prevention, detection, and response. Presented by Jonathan Weiss at the Juniter Workend 2005.

Veröffentlicht in: Technologie
0 Kommentare
0 Gefällt mir
Statistik
Notizen
  • Als Erste(r) kommentieren

  • Gehören Sie zu den Ersten, denen das gefällt!

Keine Downloads
Aufrufe
Aufrufe insgesamt
2.958
Auf SlideShare
0
Aus Einbettungen
0
Anzahl an Einbettungen
49
Aktionen
Geteilt
0
Downloads
205
Kommentare
0
Gefällt mir
0
Einbettungen 0
Keine Einbettungen

Keine Notizen für die Folie

Network Security

  1. 1. Network Security Eine Prozess-Sicht
  2. 2. Agenda • Einführung • Grundlagen Netzwerke • Angriff • Verteidigung • Fazit
  3. 3. Einführung
  4. 4. Was ist Security?
  5. 5. Security is a process Bruce Schneier
  6. 6. Angriff Angriff Ziel
  7. 7. Verteidigung Angriff Prevention Detection Response Ziel
  8. 8. Prevention Maßnahmen, die einen Angriff im Vorhinein erschweren sollen Reallife: Tür und Schloß an Euren Häusern IT: Firewalls, ACLs / Rechtemanagement
  9. 9. Detection Maßnahmen, die einen Angriff erkennen sollen Reallife: Alarmanlage im Haus IT: Intrusion Detection Systems, Networks Security Monitoring, Traffic Anomaly
  10. 10. Response Reaktion auf einen Angriff Reallife: Ihr ruft die Polizei, diese probiert den Einbrecher festzunehmen. Beweise werden gesammelt IT: Runterfahren des Rechners, forensiche Analyse
  11. 11. Agenda Angriff Prevention Detection Response Ziel Letztes Dieser Workshop Workend
  12. 12. Attack the enemy
  13. 13. Der Prozess Ziel auskundschaften
  14. 14. Der Prozess Ziel auskundschaften Schwachstellen ausfindigmachen
  15. 15. Der Prozess Ziel auskundschaften Schwachstellen ausfindigmachen Schwachstellen ausnutzten
  16. 16. Der Prozess Ziel auskundschaften Schwachstellen ausfindigmachen Schwachstellen ausnutzten Position sichern
  17. 17. Der IT-Prozess Ziel auskundschaften Passive Informationsgewinnung Aktive Informationsgewinnung Schwachstellen ausfindigmachen Remote Exploit Schwachstellen Local Exploit ausnutzten Rootkit Installation Position sichern Weitere Expansion
  18. 18. Angriff Passive Aktive Remote Local Root- Expan- IG IG Exploit Exploit kit sion - ........ - ........ - ........ - ........ - ........ - ........ - ........ - ........ - ........ - ........ - ........ - ........
  19. 19. Verteidigung Passive Aktive Remote Local Root- Expan- IG IG Exploit Exploit kit sion - ........ - ........ - ........ - ........ - ........ - ........ - ........ - ........ - ........ - ........ - ........ - ........
  20. 20. Grundlagen Netzwerke
  21. 21. Grundlagen Netzwerke TCP/IP Kommunikation
  22. 22. TCP/IP Kommunikation Eine offene Verbindung zwischen zwei Computern die über TCP/IP kommunizieren, nennt man Socket und definiert sich durch: • Quell-IP und Quell-Port • Ziel-IP und Ziel-Port
  23. 23. TCP Paket
  24. 24. Grundlagen Netzwerke Firewall
  25. 25. Firewall
  26. 26. Firewall • Unterbinden von ungewolltem Datenverkehr von externen Computersystemen (WAN) zum geschützten Bereich (LAN) • Unterbinden von ungewolltem Datenverkehr vom LAN zum Internet
  27. 27. Grundlagen Netzwerke DMZ
  28. 28. DMZ
  29. 29. DMZ • Bereitstellung von Diensten (E-Mail, WWW, etc...) für WAN und LAN • Server in der DMZ können von sich aus keine Verbindung zum LAN aufbauen • Ein gehackter Server in der DMZ kann somit nicht das LAN kompromittieren
  30. 30. Angriff
  31. 31. Angriff Passive Aktive Remote Local Root- Expan- IG IG Exploit Exploit kit sion - ........ - ........ - ........ - ........ - ........ - ........ - ........ - ........ - ........ - ........ - ........ - ........
  32. 32. Aktiv vs. Passiv Vollkommen Vollkommen Passiv Aktiv Aktivität
  33. 33. Aktiv vs. Passiv Vollkommen Vollkommen Passiv Aktiv Aktivität Keine Verbindung = Absicht nicht erkennbar zum Ziel
  34. 34. Aktiv vs. Passiv Vollkommen Vollkommen Passiv Aktiv Aktivität Tatsächlicher = Absicht sofort erkennbar Angriff
  35. 35. Informationsgewinnung Vollkommen Vollkommen Passiv Aktiv Aktivität Keine Verbindung zum Ziel
  36. 36. Informationsgewinnung Vollkommen Vollkommen Passiv Aktiv Aktivität Gültiger Traffic auf gültigem Dienst
  37. 37. Informationsgewinnung Vollkommen Vollkommen Passiv Aktiv Aktivität Gültiger Traffic auf ungültigem Dienst
  38. 38. Informationsgewinnung Vollkommen Vollkommen Passiv Aktiv Aktivität Ungültiger Traffic auf gültigem Dienst
  39. 39. Informationsgewinnung Vollkommen Vollkommen Passiv Aktiv Aktivität Ungültiger Traffic auf ungültigem Dienst
  40. 40. Angriff Passive Aktive Remote Local Root- Expan- IG IG Exploit Exploit kit sion - ........ - ........ - ........ - ........ - ........ - ........ - ........ - ........ - ........ - ........ - ........ - ........
  41. 41. Ziel Informationen über • eingesetzte Software • Infrastruktur • Netzwerkdesign • Laufende Dienste • Softwareversionen
  42. 42. Mittel • Recherche im Internet, Newsgroups, Mailinglisten • Versiongrabbing / Verbinden • DNS zone transfers • Social Engineering / In-personification • Port Scanning
  43. 43. Angriff Passive Aktive Remote Local Root- Expan- IG IG Exploit Exploit kit sion - ........ - ........ - ........ - ........ - ........ - ........ - ........ - ........ - ........ - ........ - ........ - ........
  44. 44. Ziel Lokalen Benutzer-Account auf dem Zielrechner
  45. 45. Mittel Aus gewonnen Informationen werden Sicherheitslücken identifiziert • MITRE • CVE • ISS X-Force Sicherheitslücken auf dem Zielrechner ausnutzen • Exploits schreiben/anwenden
  46. 46. Angriff Passive Aktive Remote Local Root- Expan- IG IG Exploit Exploit kit sion - ........ - ........ - ........ - ........ - ........ - ........ - ........ - ........ - ........ - ........ - ........ - ........
  47. 47. Ziel Root Zugriff auf dem Zielrechner Somit Zugang zu Ressoucen • lesen • manipulieren • löschen Angriff erfolgreich
  48. 48. Mittel Recherche nach Sicherheitslücken Lokale Sicherheitslücke ausnutzen • Buffer/Stack Overflow • Format String • SUID binaries • Kernel Sicherheitslücken
  49. 49. Angriff Passive Aktive Remote Local Root- Expan- IG IG Exploit Exploit kit sion - ........ - ........ - ........ - ........ - ........ - ........ - ........ - ........ - ........ - ........ - ........ - ........
  50. 50. Ziel Dauerhaften root Zugriff auf den Zielrechner “Gefahr” des Behebens der ursprünglichen Sicherheitslücke durch den Administrator entschärfen
  51. 51. Mittel Backdoor Installation Verstecken der Backdoor und der Zugriffe • Rootkits • Manipulierte Logfiles
  52. 52. Angriff Passive Aktive Remote Local Root- Expan- IG IG Exploit Exploit kit sion - ........ - ........ - ........ - ........ - ........ - ........ - ........ - ........ - ........ - ........ - ........ - ........
  53. 53. Ziel Weitere Systeme im Netzwerk angreifen
  54. 54. Mittel Angegriffenes System als Ausgangsbasis nutzen Vorteil • Man ist schon im Netzwerk • Firewall Regeln meist laxer • Traffic oft nicht überwacht
  55. 55. Verteidigung
  56. 56. Verteidigung Passive Aktive Remote Local Root- Expan- IG IG Exploit Exploit kit sion - ........ - ........ - ........ - ........ - ........ - ........ - ........ - ........ - ........ - ........ - ........ - ........
  57. 57. Verteidigung Passive Aktive Remote Local Root- Expan- IG IG Exploit Exploit kit sion - ........ - ........ - ........ - ........ - ........ - ........ - ........ - ........ - ........ - ........ - ........ - ........
  58. 58. Prevention Vorbeugen durch: • Nicht die offizielle Mail-Adresse in Newsgroups, Mailinglisten & co benutzen • Keine Detail-Informationen an fremde Personen verraten • Social Engineering Awareness
  59. 59. Detection Unmöglich
  60. 60. Verteidigung Passive Aktive Remote Local Root- Expan- IG IG Exploit Exploit kit sion - ........ - ........ - ........ - ........ - ........ - ........ - ........ - ........ - ........ - ........ - ........ - ........
  61. 61. Prevention Vorbeugen durch: • Versionsanzeigen abschalten/verfremden • Dienste auf anderen Ports lauschen lassen • Firewalls • Intrusion Prevention Systeme
  62. 62. Detection Erkennen durch: • Intrusion Detection Systeme • Firewall Logfiles • Serverlogfiles, z.B. UserAgent in Apache Logfile
  63. 63. Intrusion Detection
  64. 64. Intrusion Detection Bemerken eines Angriffs auf eine Ressource • Netzwerkbasiert Überwachung des Netzwerkverkehrs • Hostbasiert Überwachung von Dateien • Hybrid Kombination
  65. 65. Network IDS • Sniffen des Netzwerktraffics • Vergleich der Paketinhalte gegen Regeln • Alarm bei Verstoß Bekannteste OpenSource Lösung Snort
  66. 66. Network IDS PC IDS Internet Switch PC Firewall PC Admin
  67. 67. Host IDS • Sitzt direkt auf dem Server • Überprüft Dateizugirffe und Veränderungen • Vergleich von Datei-Prüfsummen • Alarm bei Verstoß Bekannteste OpenSource Lösung Samhain, (Tripwire)
  68. 68. Verteidigung Passive Aktive Remote Local Root- Expan- IG IG Exploit Exploit kit sion - ........ - ........ - ........ - ........ - ........ - ........ - ........ - ........ - ........ - ........ - ........ - ........
  69. 69. Prevention Vorbeugen durch: • Systeme immer aktuell halten • Applikation Firewalls / Filter • mod_security • Firewalls • Intrusion Prevention Systeme • Snort
  70. 70. Detection Erkennen durch: • Intrusion Detection Systeme • Logfiles • Netzwerküberwachung • netstat • Network Security Monitoring
  71. 71. Verteidigung Passive Aktive Remote Local Root- Expan- IG IG Exploit Exploit kit sion - ........ - ........ - ........ - ........ - ........ - ........ - ........ - ........ - ........ - ........ - ........ - ........
  72. 72. Prevention Vorbeugen durch: • Systeme immer aktuell halten • Strickte ACL • Chroot, Systrace, Jails, virtuelle Maschinen
  73. 73. Detection Erkennen durch: • Hostbasierte Intrusion Detection Systeme • Tripwire • Samhain • Logfiles • utmp • shell history
  74. 74. Verteidigung Passive Aktive Remote Local Root- Expan- IG IG Exploit Exploit kit sion - ........ - ........ - ........ - ........ - ........ - ........ - ........ - ........ - ........ - ........ - ........ - ........
  75. 75. Prevention Vorbeugen durch: • Kernel Module abschalten • BSD: Kernel Securitylevel • Read-only Dateisysteme (Hardware)
  76. 76. Detection Erkennen durch: • Hostbasierte Intrusion Detection Systeme • Rootkit Scanner • chkrootkit • rkhunter • Forensische Analyse
  77. 77. Verteidigung Passive Aktive Remote Local Root- Expan- IG IG Exploit Exploit kit sion - ........ - ........ - ........ - ........ - ........ - ........ - ........ - ........ - ........ - ........ - ........ - ........
  78. 78. Prevention Vorbeugen durch: • Strenge Firewall Regeln auch für interne Netze • Isolierung von Systemen • DMZ
  79. 79. Detection Erkennen durch: • Intrusion Detection Systeme • Firewall logs • Logfiles Wieder am Anfang des Prozesses
  80. 80. Fazit
  81. 81. Ressourcen
  82. 82. Bücher • Unix and Internet Security, Simson Garfikel&co, O’Reilly • Network Security Assesment, ..., O’Reilly • Network Security Monitoring, Richard Beijtrich, Addison-Wesley • Security Warrior, ..., O’Reilly • Practical Cryptography, Bruce Schneier&Nils Fergusson,... • ..., Bruce Sterling, ...
  83. 83. Mailing Listen • Bugtraq • Full-Disclosure • SecurityFocus • IDS • WebAppSec • Nmap
  84. 84. Web • Securityfocus.com • OWASP • Phrack.org • grc.com • CVE, MITRE, ISS X-Force
  85. 85. Fragen?

×