A talk about network security and the whole security process, covering prevention, detection, and response. Presented by Jonathan Weiss at the Juniter Workend 2005.

1. Network Security
Eine Prozess-Sicht

2. Agenda
• Einführung
• Grundlagen Netzwerke
• Angriff
• Verteidigung
• Fazit

3. Einführung

4. Was ist Security?

5. Security is a process
Bruce Schneier

6. Angriff
Angriff Ziel

7. Verteidigung
Angriff Prevention Detection Response Ziel

8. Prevention
Maßnahmen, die einen Angriff im Vorhinein
erschweren sollen
Reallife:
Tür und Schloß an Euren Häusern
IT:
Firewalls, ACLs / Rechtemanagement

9. Detection
Maßnahmen, die einen Angriff erkennen
sollen
Reallife:
Alarmanlage im Haus
IT:
Intrusion Detection Systems, Networks
Security Monitoring, Traffic Anomaly

10. Response
Reaktion auf einen Angriff
Reallife:
Ihr ruft die Polizei, diese probiert den
Einbrecher festzunehmen. Beweise werden
gesammelt
IT:
Runterfahren des Rechners, forensiche
Analyse

11. Agenda
Angriff Prevention Detection Response Ziel
Letztes
Dieser Workshop
Workend

12. Attack the enemy

13. Der Prozess
Ziel
auskundschaften

14. Der Prozess
Ziel
auskundschaften
Schwachstellen
ausfindigmachen

15. Der Prozess
Ziel
auskundschaften
Schwachstellen
ausfindigmachen
Schwachstellen
ausnutzten

16. Der Prozess
Ziel
auskundschaften
Schwachstellen
ausfindigmachen
Schwachstellen
ausnutzten
Position sichern

17. Der IT-Prozess
Ziel
auskundschaften Passive Informationsgewinnung
Aktive Informationsgewinnung
Schwachstellen
ausfindigmachen
Remote Exploit
Schwachstellen
Local Exploit
ausnutzten
Rootkit Installation
Position sichern
Weitere Expansion

18. Angriff
Passive Aktive Remote Local Root- Expan-
IG IG Exploit Exploit kit sion
- ........ - ........ - ........ - ........ - ........ - ........
- ........ - ........ - ........ - ........ - ........ - ........

19. Verteidigung
Passive Aktive Remote Local Root- Expan-
IG IG Exploit Exploit kit sion
- ........ - ........ - ........ - ........ - ........ - ........
- ........ - ........ - ........ - ........ - ........ - ........

20. Grundlagen Netzwerke

21. Grundlagen Netzwerke
TCP/IP Kommunikation

22. TCP/IP Kommunikation
Eine offene Verbindung zwischen zwei
Computern die über TCP/IP kommunizieren,
nennt man Socket und definiert sich durch:
• Quell-IP und Quell-Port
• Ziel-IP und Ziel-Port

23. TCP Paket

24. Grundlagen Netzwerke
Firewall

25. Firewall

26. Firewall
• Unterbinden von ungewolltem Datenverkehr
von externen Computersystemen (WAN) zum
geschützten Bereich (LAN)
• Unterbinden von ungewolltem Datenverkehr
vom LAN zum Internet

27. Grundlagen Netzwerke
DMZ

28. DMZ

29. DMZ
• Bereitstellung von Diensten (E-Mail, WWW,
etc...) für WAN und LAN
• Server in der DMZ können von sich aus keine
Verbindung zum LAN aufbauen
• Ein gehackter Server in der DMZ kann somit
nicht das LAN kompromittieren

30. Angriff

31. Angriff
Passive Aktive Remote Local Root- Expan-
IG IG Exploit Exploit kit sion
- ........ - ........ - ........ - ........ - ........ - ........
- ........ - ........ - ........ - ........ - ........ - ........

32. Aktiv vs. Passiv
Vollkommen Vollkommen
Passiv Aktiv
Aktivität

33. Aktiv vs. Passiv
Vollkommen Vollkommen
Passiv Aktiv
Aktivität
Keine
Verbindung = Absicht nicht erkennbar
zum Ziel

34. Aktiv vs. Passiv
Vollkommen Vollkommen
Passiv Aktiv
Aktivität
Tatsächlicher
= Absicht sofort erkennbar
Angriff

35. Informationsgewinnung
Vollkommen Vollkommen
Passiv Aktiv
Aktivität
Keine
Verbindung
zum Ziel

36. Informationsgewinnung
Vollkommen Vollkommen
Passiv Aktiv
Aktivität
Gültiger
Traffic auf
gültigem
Dienst

37. Informationsgewinnung
Vollkommen Vollkommen
Passiv Aktiv
Aktivität
Gültiger
Traffic auf
ungültigem
Dienst

38. Informationsgewinnung
Vollkommen Vollkommen
Passiv Aktiv
Aktivität
Ungültiger
Traffic auf
gültigem
Dienst

39. Informationsgewinnung
Vollkommen Vollkommen
Passiv Aktiv
Aktivität
Ungültiger
Traffic auf
ungültigem
Dienst

40. Angriff
Passive Aktive Remote Local Root- Expan-
IG IG Exploit Exploit kit sion
- ........ - ........ - ........ - ........ - ........ - ........
- ........ - ........ - ........ - ........ - ........ - ........

41. Ziel
Informationen über
• eingesetzte Software
• Infrastruktur
• Netzwerkdesign
• Laufende Dienste
• Softwareversionen

42. Mittel
• Recherche im Internet, Newsgroups,
Mailinglisten
• Versiongrabbing / Verbinden
• DNS zone transfers
• Social Engineering / In-personification
• Port Scanning

43. Angriff
Passive Aktive Remote Local Root- Expan-
IG IG Exploit Exploit kit sion
- ........ - ........ - ........ - ........ - ........ - ........
- ........ - ........ - ........ - ........ - ........ - ........

44. Ziel
Lokalen Benutzer-Account auf dem
Zielrechner

45. Mittel
Aus gewonnen Informationen werden
Sicherheitslücken identifiziert
• MITRE
• CVE
• ISS X-Force
Sicherheitslücken auf dem Zielrechner
ausnutzen
• Exploits schreiben/anwenden

46. Angriff
Passive Aktive Remote Local Root- Expan-
IG IG Exploit Exploit kit sion
- ........ - ........ - ........ - ........ - ........ - ........
- ........ - ........ - ........ - ........ - ........ - ........

47. Ziel
Root Zugriff auf dem Zielrechner
Somit Zugang zu Ressoucen
• lesen
• manipulieren
• löschen
Angriff erfolgreich

48. Mittel
Recherche nach Sicherheitslücken
Lokale Sicherheitslücke ausnutzen
• Buffer/Stack Overflow
• Format String
• SUID binaries
• Kernel Sicherheitslücken

49. Angriff
Passive Aktive Remote Local Root- Expan-
IG IG Exploit Exploit kit sion
- ........ - ........ - ........ - ........ - ........ - ........
- ........ - ........ - ........ - ........ - ........ - ........

50. Ziel
Dauerhaften root Zugriff auf den Zielrechner
“Gefahr” des Behebens der ursprünglichen
Sicherheitslücke durch den Administrator
entschärfen

51. Mittel
Backdoor Installation
Verstecken der Backdoor und der Zugriffe
• Rootkits
• Manipulierte Logfiles

52. Angriff
Passive Aktive Remote Local Root- Expan-
IG IG Exploit Exploit kit sion
- ........ - ........ - ........ - ........ - ........ - ........
- ........ - ........ - ........ - ........ - ........ - ........

53. Ziel
Weitere Systeme im Netzwerk angreifen

54. Mittel
Angegriffenes System als Ausgangsbasis
nutzen
Vorteil
• Man ist schon im Netzwerk
• Firewall Regeln meist laxer
• Traffic oft nicht überwacht

55. Verteidigung

56. Verteidigung
Passive Aktive Remote Local Root- Expan-
IG IG Exploit Exploit kit sion
- ........ - ........ - ........ - ........ - ........ - ........
- ........ - ........ - ........ - ........ - ........ - ........

57. Verteidigung
Passive Aktive Remote Local Root- Expan-
IG IG Exploit Exploit kit sion
- ........ - ........ - ........ - ........ - ........ - ........
- ........ - ........ - ........ - ........ - ........ - ........

58. Prevention
Vorbeugen durch:
• Nicht die offizielle Mail-Adresse in
Newsgroups, Mailinglisten & co benutzen
• Keine Detail-Informationen an fremde
Personen verraten
• Social Engineering Awareness

59. Detection
Unmöglich

60. Verteidigung
Passive Aktive Remote Local Root- Expan-
IG IG Exploit Exploit kit sion
- ........ - ........ - ........ - ........ - ........ - ........
- ........ - ........ - ........ - ........ - ........ - ........

61. Prevention
Vorbeugen durch:
• Versionsanzeigen abschalten/verfremden
• Dienste auf anderen Ports lauschen
lassen
• Firewalls
• Intrusion Prevention Systeme

62. Detection
Erkennen durch:
• Intrusion Detection Systeme
• Firewall Logfiles
• Serverlogfiles, z.B. UserAgent in Apache
Logfile

63. Intrusion Detection

64. Intrusion Detection
Bemerken eines Angriffs auf eine Ressource
• Netzwerkbasiert
Überwachung des Netzwerkverkehrs
• Hostbasiert
Überwachung von Dateien
• Hybrid
Kombination

65. Network IDS
• Sniffen des Netzwerktraffics
• Vergleich der Paketinhalte gegen Regeln
• Alarm bei Verstoß
Bekannteste OpenSource Lösung Snort

66. Network IDS
PC
IDS
Internet Switch PC
Firewall
PC
Admin

67. Host IDS
• Sitzt direkt auf dem Server
• Überprüft Dateizugirffe und Veränderungen
• Vergleich von Datei-Prüfsummen
• Alarm bei Verstoß
Bekannteste OpenSource Lösung Samhain,
(Tripwire)

68. Verteidigung
Passive Aktive Remote Local Root- Expan-
IG IG Exploit Exploit kit sion
- ........ - ........ - ........ - ........ - ........ - ........
- ........ - ........ - ........ - ........ - ........ - ........

69. Prevention
Vorbeugen durch:
• Systeme immer aktuell halten
• Applikation Firewalls / Filter
• mod_security
• Firewalls
• Intrusion Prevention Systeme
• Snort

70. Detection
Erkennen durch:
• Intrusion Detection Systeme
• Logfiles
• Netzwerküberwachung
• netstat
• Network Security Monitoring

71. Verteidigung
Passive Aktive Remote Local Root- Expan-
IG IG Exploit Exploit kit sion
- ........ - ........ - ........ - ........ - ........ - ........
- ........ - ........ - ........ - ........ - ........ - ........

72. Prevention
Vorbeugen durch:
• Systeme immer aktuell halten
• Strickte ACL
• Chroot, Systrace, Jails, virtuelle Maschinen

73. Detection
Erkennen durch:
• Hostbasierte Intrusion Detection Systeme
• Tripwire
• Samhain
• Logfiles
• utmp
• shell history

74. Verteidigung
Passive Aktive Remote Local Root- Expan-
IG IG Exploit Exploit kit sion
- ........ - ........ - ........ - ........ - ........ - ........
- ........ - ........ - ........ - ........ - ........ - ........

75. Prevention
Vorbeugen durch:
• Kernel Module abschalten
• BSD: Kernel Securitylevel
• Read-only Dateisysteme (Hardware)

76. Detection
Erkennen durch:
• Hostbasierte Intrusion Detection Systeme
• Rootkit Scanner
• chkrootkit
• rkhunter
• Forensische Analyse

77. Verteidigung
Passive Aktive Remote Local Root- Expan-
IG IG Exploit Exploit kit sion
- ........ - ........ - ........ - ........ - ........ - ........
- ........ - ........ - ........ - ........ - ........ - ........

78. Prevention
Vorbeugen durch:
• Strenge Firewall Regeln auch für interne
Netze
• Isolierung von Systemen
• DMZ

79. Detection
Erkennen durch:
• Intrusion Detection Systeme
• Firewall logs
• Logfiles
Wieder am Anfang des Prozesses

80. Fazit

81. Ressourcen

82. Bücher
• Unix and Internet Security, Simson
Garfikel&co, O’Reilly
• Network Security Assesment, ..., O’Reilly
• Network Security Monitoring, Richard
Beijtrich, Addison-Wesley
• Security Warrior, ..., O’Reilly
• Practical Cryptography, Bruce
Schneier&Nils Fergusson,...
• ..., Bruce Sterling, ...

83. Mailing Listen
• Bugtraq
• Full-Disclosure
• SecurityFocus
• IDS
• WebAppSec
• Nmap

84. Web
• Securityfocus.com
• OWASP
• Phrack.org
• grc.com
• CVE, MITRE, ISS X-Force

85. Fragen?