SlideShare ist ein Scribd-Unternehmen logo
1 von 46
eSecurity Dr. Udo Ornik SoulTek GbR SoulTek GbR,  Frankfurterstr. 93,  35315 Homberg/Ohm, Tel.: 06633-9111-0, Fax 06633-9111-19, www.soultek.de, zentrale@soultek.de
Übersicht ,[object Object],[object Object],[object Object],[object Object],[object Object],[object Object]
Vorbemerkungen I ,[object Object],[object Object],[object Object]
Vorbemerkungen II ,[object Object],[object Object]
Bedrohung  Unautorisierte Netzzugriffe im Jahr 31 bis 40 52% 21 bis 30 25% 1 bis 10 2% 41 bis 50 6% über 50 2% über 50 41 bis 50 31 bis 40 21 bis 30 11 bis 20 1 bis 10 Die meisten Unternehmen erhalten mehrmals pro Monat unerwünschten Besuch.   Quelle:WarRoom Research 11 bis 20 13%
15 Angriffe auf Testrechner zwischen 25.2.01 und 1.3.01 Im Schnitt etwa 2 Versuche pro Tag
Im Schnitt etwa  alle 8 Tage ein  Sicherheitspatch  bei Microsoft- Produkten
Auch Linux ist gegen alle Beteuerungen von "FANS"  ein System mit Sicherheits- lücken Quelle: Linux Magazin 09/2002
Das gleiche gilt für viele  nicht MS-Software!  Quelle: Linux Magazin 09/2002 Sicherheitsprobleme bei Anwendungen Juni 2002
Schaden: Bsp. USA Die CSI/FBI Computer Crime and Security Survey weist einen Schaden von  $ 5.050.000.000  pro Jahr aus. Quelle: CSI/FBI
Wer bedroht uns? ,[object Object],[object Object],[object Object],[object Object]
Internetanbindung Proxy oder NAT ISDN DSL Kabel Satellit ... ISDN Karte Netzwerkkarte .... Router Softwarelösung - flexibel - langsam Hardwarelösung - unflexibel - schnell ,[object Object],[object Object],[object Object],[object Object],Zugang  Telefonnetz ,[object Object]
Datenpakete Vereinfachtes Datenpaket Word Datei TCP/IP Dienst Absender:  194.37.26.28 Port: 80  Empfänger: 196.46.47.59 Port: 80  TCP Netz IP Der IP-Header ist wie ein Adresslabel, das auf das Datenpaket geklebt wird.
Angriffsarten Schutz durch Firewalls Internet Firewall-Technologien sollen das Firmennetz sichern.
Passwörter knacken ,[object Object],[object Object],[object Object],[object Object],www. .de
Software Fehler : Buffer Overflow Arbeitsspeicher PRG1  PRG2 10101010000010110101010101011010101101011101 10101011010101101011101 HACK-PRG input Zu erkennen: get  http:// www.xnet.de /x=09653andshg tgjwu8utz64zz711645rrcx264326rt4w5tr7 t38t7z8785z4w85tz5t9 Besonders anfällig: C/C++ Programme
SoftwareFehler: SQL-Injection user: Kw: Programmcode: . . . Select count(userID) FROM UserTabelle where userID='user' and Passwd='kw' . . . Eingabe:  ' or 1=1--  für user Resultierender Programmcode: Select count(userID) FROM UserTabelle where userID=  '' or 1=1 Immer Erfüllt!
Problematische Konfiguration ,[object Object],[object Object],[object Object],[object Object]
Problematische Konfiguration <blank> <blank> Cabletron (routers & switches) system admin Arrowpoint anicust sysadm AcceleratedDSL CPE and DSLAM switch diag Xylan Omniswitch switch admin Xylan Omniswitch sysadm n/a NETPrint (all) <blank> admin Alteon ACEswitch 180e (telnet) admin admin Alteon ACEswitch 180e (web) trancell wradmin Webramp wg n/a WatchGuard Firebox II (read/write) uClinux root UClinux_for_UCsimm password admin SonicWALL admin n/a SpeedstreamDSL(Efficient) <blank> Guest Shiva <blank> root Shiva sysadm sysadm Osicom(Datacom) BRIDGE n/a Orbitor_console password n/a Orbitor_console netopia netopia Netopia_9500 <blank> <blank> Netopia_7100 router cablecom Motorola-Cablerouter root root Microplex_print_server <blank> !root Livingston_portmaster2/3 <blank> !root Livingston_officerouter <blank> !root Livingston_IRX_router admin n/a Linksys_DSL n/a 7000 Lantronics_Terminal_server_port n/a 7000 Lantronics_Terminal_server_port n/a Jetform Jetform_design admin admin Flowpoint_DSL2000 password n/a Flowpoint_DSL_installed_by_Covad D-Link D-Link DLink_hub/switches password n/a digiCorp_(viper?) BRIDGE n/a digiCorp_(viper?) crystal n/a Crystalview_outsideview32 administrator administrator  Compaq Insight Manager (port 2301) operator operator Compaq Insight Manager (port 2301) public user Compaq Insight Manager (port 2301) <blank> n/a Cayman_DSL Super n/a BreezeCOM_adapters4.x(console_only) Master n/a BreezeCOM_adapters3.x(console_only) laflaf n/a BreezeCOM_adapters2.x(console_only) letmein n/a BRASX/I01_(DataCom) security security BaySuperstackII NetICs n/a Bay350T_Switch <blank> User Bay_routers <blank> Manager Bay_routers pass root AXIS200/240[netcam] mcp n/a AT&T_3B2_firmware 1234 n/a All_Zyxel_equipment secret n/a ADC_Kentrox_Pacesetter_Router netman netman ACC(Ericsson) <blank> root 3comNetBuilder routers tech 2700 3comSuperStackIISwitch debug 2200 3comSuperStackIISwitch tech tech 3comLinkSwitch2000/2700 tech tech 3ComLANplex2500 synnet debug 3ComLANplex2500 <blank> adm 3comHiPerARCv4.1.x tech tech 3comCoreBuilder7000/6000/3500/2500 synnet debug 3comCoreBuilder7000/6000/3500/2500 tech tech 3comCellPlex7000 PASSWORD n/a 3Com_Office_Connect_5x0_ISDN_Routers security security 3Com manager manager 3Com monitor monitor 3Com synnet write 3Com synnet read 3Com synnet admin 3Com Password Username Device
IP-Spoofing ,[object Object],[object Object],Schutz:  Keine Vertrauenstellung auf IP-Basis
DNS-Angriffe ,[object Object],[object Object],Die Zonendatenbanken liefern wertvolle Informationen über den Aufbau des internen Netzes.  Die reverse Zone Datenbank des DNS-Servers wird so  modifiziert, dass einer vertrauenswürdigen Domain die IP-Adresse eines anderen Computers zugewiesen wird;  Schutz: kombinierte Authentifikation anhand der IP-Adresse und des Domain-Names erschwert diese Angriffs-Form.  Der Zugriff darauf (über TCP-Port 53) sollte nur den  Secondary-DNS-Servern erlaubt werden.
Replay Attacke ,[object Object],Schutz: IP basierte Authentifizierung,Einwegpasswörter
Sniffing 110101010101010 TCPDump Alle Datenpakete im gesamten Netzwerksegment sichtbar Router mit SMNP Und Standard Community  String oder RMON enabled  Telnet Session Username ......Kennwort Server Sniffing in geswitchten Netzwerken Schutz: Einsatz von Switches und verzicht auf SMNP_Protokoll
SMTP-Attacken ,[object Object],[object Object],Mailserver mit Relay Spam Mail Versender
Bsp: Onlinezahlung Ihr Online-Konto Bank mit Webangebot (Schwach geschützt ) Kto: Pin: TAN: Externer Server mit  Zahlungssystem (Stark geschützt) Ihr Online-Konto Hacker Kto: Pin: TAN: Hackerserver mit  Kundendatenbank
Gefahr durch Trojaner Hacker
Infektionswege: Downloads und Mailanhänge ,[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object]
Firewall Ports echo  7/tcp daytime  13/tcp netstat  15/tcp qotd  17/tcp  quote ftp-data  20/tcp ftp  21/tcp telnet  23/tcp smtp  25/tcp  mail time  37/tcp  timserver name  42/tcp  nameserver whois  43/tcp  nicname  domain  53/tcp  nameserver  mtp  57/tcp  bootp  67/udp  finger  79/tcp pop  109/tcp  postoffice pop2  109/tcp  pop3  110/tcp  postoffice sunrpc  111/tcp sunrpc  111/udp Intranet Firewall Die Entscheidung,  welche Ports blockiert  werden, hängt von den  Aufgaben und der  Sicherheitsphilosophie  im Intr@net ab. analysiert Datenverkehr zwischen  internem und externem Netz entscheidet nach vorgegebenen  Regeln welche Daten  weitergeleitet werden dürfen.
Idealkonfiguration DMZ Firewall Mail Server WWW Server Kundennetzwerk Demilitarisierte Zone LAN Internet
Sicherer Datentransfer ,[object Object],[object Object],[object Object],[object Object],[object Object],[object Object]
Public Key Verfahren Ö( Geheimer Text )----> 4 3q48u t2u P( 4 3q48u t2u )----> Geheimer Text oder P( Geheimer Text )-----> eir?§aht1908 Ö( eir?§aht1908 )----> Geheimer Text Beim Public Key- Verfahren gibt es einen öffentlichen und einen privaten Schlüssel. Nacheinander angewendet, können sie einen Text lesbar oder völlig  unlesbar machen.
Verschlüsselte Nachrichten Mein öffentlicher Schlüssel Ö A : Geheimer Schlüssel P A ( tnmw9 e4 ) =  Geheimer Text A B Ö A  ( Geheimer Text ) =  tnmw9 e4 Datenübertragung
VPN Zentrale Aussendient  Telearbeitsplatz Datenaustausch wird verschlüsselt über „öffentliches“ Netz übertragen (Hard- und Softwarelösungen). Nieder- lassung
Abwehr  ►Intrusion Detection Tools  IDS Quelle: Axent Host- basiert Betriebssystem- spezifisch Anwendungs- spezifisch Netzwerk- basiert Dynamisch erweiterbare Angriffsmuster Vordefiniertes Angriffsmuster
LogDatei Dec 13 13:25:40.445 raptor kernel: 226 IP packet dropped (cisco1601.dieburg.tat.de.78.43.212.in-addr.arpa[212.43.78.2]->cobalt.tatnet.de.78.43.212.in-addr.arpa[212.43.78.14]: Protocol=ICMP[Redirect/1 gw=212.43.78.19] {Inner: cobalt.tatnet.de.78.43.212.in-addr.arpa[212.43.78.14]->212.43.79.98: Protocol=TCP[??] Port 110->33841}): ICMP Redirect (received on interface 212.43.78.251) Dec 13 13:25:40.447 raptor kernel: 226 IP packet dropped (cisco1601.dieburg.tat.de.78.43.212.in-addr.arpa[212.43.78.2]->cobalt.tatnet.de.78.43.212.in-addr.arpa[212.43.78.14]: Protocol=ICMP[Redirect/1 gw=212.43.78.19] {Inner: cobalt.tatnet.de.78.43.212.in-addr.arpa[212.43.78.14]->212.43.79.98: Protocol=TCP[??] Port 110->33841}): ICMP Redirect (received on interface 212.43.78.251) Dec 13 13:25:40.477 raptor tcp-gsp[1989]: 121 Statistics: duration=1.20 id=1Z4v1 sent=56 rcvd=235 srcif=Vpn6 src=212.43.79.98/33841 cldst=212.43.78.14/110 svsrc=212.43.79.98/33841 dstif=Vpn5 dst=192.168.67.58/110 proto=110/tcp rule=3  Das Auswerten bereits kleiner Logdateien erfordert eine    Menge Fachwissen und Zeit!
Sicherheitsstrategie Risikoanalyse Quelle: Axent Trainings Reaktions-, Sicherheits- monitoring Rettungs-, Maßnahmen und Implemen- tierung einer Lösung Wahl und Sicherheits- strategie
Sicherheit ist relativ ,[object Object],[object Object],[object Object],[object Object],[object Object],[object Object]
Materialien ,[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object]
Ende
Übersicht Soultek Produkte
Sicherheit in Netzwerken Dem Einsatz unserer Sicherheitslösungen geht eine gründliche Sicherheitsprüfung und Schwachstellen-analyse voraus.   
Sicherheit in Netzwerken ,[object Object],[object Object],Kryptographie- und Virenschutzsoftware ,[object Object],[object Object],Incident Response Service ,[object Object],[object Object]
Pentrationstests ,[object Object],[object Object],[object Object],[object Object],Penetrationstest
Virtual Private Networks Sichere Kommunikation mit Ihren Partnern,  Niederlassungen und Aussenddienst. Direkter Zugriff in Ihr Firmennetz Sichere Telearbeitsplätze
Überwachungssysteme Bewegungssensitives Kamerasystem Remotezugriff Bilder per Email oder Web an  Überwachungszentrale Korrelation von Signalen aus  verschiedenen Kameras
eSecurity Consulting Wie halten Sie es mit der Sicherheit  in Ihrem Unternehmen?   ,[object Object],[object Object],[object Object]

Weitere ähnliche Inhalte

Ähnlich wie E Security

Oracle connection manager_cman_doag_sig_security_mai_2015
Oracle connection manager_cman_doag_sig_security_mai_2015Oracle connection manager_cman_doag_sig_security_mai_2015
Oracle connection manager_cman_doag_sig_security_mai_2015Gunther Pippèrr
 
Heise Security - Scheunentor Bluetooth
Heise Security - Scheunentor BluetoothHeise Security - Scheunentor Bluetooth
Heise Security - Scheunentor BluetoothThierry Zoller
 
Crouzet Automation - em4 Ethernet Broschüre, deutsche Fassung
Crouzet Automation - em4 Ethernet Broschüre, deutsche FassungCrouzet Automation - em4 Ethernet Broschüre, deutsche Fassung
Crouzet Automation - em4 Ethernet Broschüre, deutsche FassungCrouzet
 
15898 Trust wireless adsl2+ modem-router md-5600
15898 Trust wireless adsl2+ modem-router md-560015898 Trust wireless adsl2+ modem-router md-5600
15898 Trust wireless adsl2+ modem-router md-5600Trust International
 
Regelkonformität durch neue Architekturen
Regelkonformität durch neue ArchitekturenRegelkonformität durch neue Architekturen
Regelkonformität durch neue ArchitekturenICT Economic Impact
 
Didactum Monitoring System 50
Didactum Monitoring System 50Didactum Monitoring System 50
Didactum Monitoring System 50Didactum
 
SSV Predictive Maintenance
SSV Predictive MaintenanceSSV Predictive Maintenance
SSV Predictive MaintenanceNorbert Redeker
 
Domino Security Present and Future ConnectED Review - ICS.UG 2016
Domino Security Present and Future ConnectED Review - ICS.UG 2016Domino Security Present and Future ConnectED Review - ICS.UG 2016
Domino Security Present and Future ConnectED Review - ICS.UG 2016ICS User Group
 
SNMP Applied - Sicheres Monitoring mit SNMP
SNMP Applied - Sicheres Monitoring mit SNMPSNMP Applied - Sicheres Monitoring mit SNMP
SNMP Applied - Sicheres Monitoring mit SNMPGerrit Beine
 
Private Cloud mit Ceph und OpenStack
Private Cloud mit Ceph und OpenStackPrivate Cloud mit Ceph und OpenStack
Private Cloud mit Ceph und OpenStackDaniel Schneller
 
Sicherheitsfunktionen In Aktuellen Betriebssystemen Talk
Sicherheitsfunktionen In Aktuellen Betriebssystemen TalkSicherheitsfunktionen In Aktuellen Betriebssystemen Talk
Sicherheitsfunktionen In Aktuellen Betriebssystemen TalkUdo Ornik
 
Sicherheit am Arbeitsplatz - Präsentation
Sicherheit am Arbeitsplatz - PräsentationSicherheit am Arbeitsplatz - Präsentation
Sicherheit am Arbeitsplatz - PräsentationErhard Dinhobl
 
Citrix Day 2013: Citirx Networking
Citrix Day 2013: Citirx NetworkingCitrix Day 2013: Citirx Networking
Citrix Day 2013: Citirx NetworkingDigicomp Academy AG
 
Transportsicherheit - SSL und HTTPS
Transportsicherheit - SSL und HTTPSTransportsicherheit - SSL und HTTPS
Transportsicherheit - SSL und HTTPSMarkus Groß
 
Nagios Conference 2007 | Aufbau eines hochverfügbaren Nagios Clusters by Mart...
Nagios Conference 2007 | Aufbau eines hochverfügbaren Nagios Clusters by Mart...Nagios Conference 2007 | Aufbau eines hochverfügbaren Nagios Clusters by Mart...
Nagios Conference 2007 | Aufbau eines hochverfügbaren Nagios Clusters by Mart...NETWAYS
 
Lotus Foundations Workshop Teil1
Lotus Foundations Workshop Teil1Lotus Foundations Workshop Teil1
Lotus Foundations Workshop Teil1Andreas Schulte
 
Cynapspro data endpoint protection - Anbindung von Drittsysteme
Cynapspro data endpoint protection - Anbindung von DrittsystemeCynapspro data endpoint protection - Anbindung von Drittsysteme
Cynapspro data endpoint protection - Anbindung von Drittsystemecynapspro GmbH
 
Sensor Türkontakt - Sicherheit für Türen und Fenster
Sensor Türkontakt - Sicherheit für Türen und FensterSensor Türkontakt - Sicherheit für Türen und Fenster
Sensor Türkontakt - Sicherheit für Türen und FensterDidactum
 

Ähnlich wie E Security (20)

Oracle connection manager_cman_doag_sig_security_mai_2015
Oracle connection manager_cman_doag_sig_security_mai_2015Oracle connection manager_cman_doag_sig_security_mai_2015
Oracle connection manager_cman_doag_sig_security_mai_2015
 
Heise Security - Scheunentor Bluetooth
Heise Security - Scheunentor BluetoothHeise Security - Scheunentor Bluetooth
Heise Security - Scheunentor Bluetooth
 
VIT 5-2014
VIT 5-2014VIT 5-2014
VIT 5-2014
 
Crouzet Automation - em4 Ethernet Broschüre, deutsche Fassung
Crouzet Automation - em4 Ethernet Broschüre, deutsche FassungCrouzet Automation - em4 Ethernet Broschüre, deutsche Fassung
Crouzet Automation - em4 Ethernet Broschüre, deutsche Fassung
 
15898 Trust wireless adsl2+ modem-router md-5600
15898 Trust wireless adsl2+ modem-router md-560015898 Trust wireless adsl2+ modem-router md-5600
15898 Trust wireless adsl2+ modem-router md-5600
 
Regelkonformität durch neue Architekturen
Regelkonformität durch neue ArchitekturenRegelkonformität durch neue Architekturen
Regelkonformität durch neue Architekturen
 
Didactum Monitoring System 50
Didactum Monitoring System 50Didactum Monitoring System 50
Didactum Monitoring System 50
 
SSV Predictive Maintenance
SSV Predictive MaintenanceSSV Predictive Maintenance
SSV Predictive Maintenance
 
Domino Security Present and Future ConnectED Review - ICS.UG 2016
Domino Security Present and Future ConnectED Review - ICS.UG 2016Domino Security Present and Future ConnectED Review - ICS.UG 2016
Domino Security Present and Future ConnectED Review - ICS.UG 2016
 
SNMP Applied - Sicheres Monitoring mit SNMP
SNMP Applied - Sicheres Monitoring mit SNMPSNMP Applied - Sicheres Monitoring mit SNMP
SNMP Applied - Sicheres Monitoring mit SNMP
 
Private Cloud mit Ceph und OpenStack
Private Cloud mit Ceph und OpenStackPrivate Cloud mit Ceph und OpenStack
Private Cloud mit Ceph und OpenStack
 
Sicherheitsfunktionen In Aktuellen Betriebssystemen Talk
Sicherheitsfunktionen In Aktuellen Betriebssystemen TalkSicherheitsfunktionen In Aktuellen Betriebssystemen Talk
Sicherheitsfunktionen In Aktuellen Betriebssystemen Talk
 
Sicherheit am Arbeitsplatz - Präsentation
Sicherheit am Arbeitsplatz - PräsentationSicherheit am Arbeitsplatz - Präsentation
Sicherheit am Arbeitsplatz - Präsentation
 
Citrix Day 2013: Citirx Networking
Citrix Day 2013: Citirx NetworkingCitrix Day 2013: Citirx Networking
Citrix Day 2013: Citirx Networking
 
Transportsicherheit - SSL und HTTPS
Transportsicherheit - SSL und HTTPSTransportsicherheit - SSL und HTTPS
Transportsicherheit - SSL und HTTPS
 
Nagios Conference 2007 | Aufbau eines hochverfügbaren Nagios Clusters by Mart...
Nagios Conference 2007 | Aufbau eines hochverfügbaren Nagios Clusters by Mart...Nagios Conference 2007 | Aufbau eines hochverfügbaren Nagios Clusters by Mart...
Nagios Conference 2007 | Aufbau eines hochverfügbaren Nagios Clusters by Mart...
 
Lotus Foundations Workshop Teil1
Lotus Foundations Workshop Teil1Lotus Foundations Workshop Teil1
Lotus Foundations Workshop Teil1
 
Cynapspro data endpoint protection - Anbindung von Drittsysteme
Cynapspro data endpoint protection - Anbindung von DrittsystemeCynapspro data endpoint protection - Anbindung von Drittsysteme
Cynapspro data endpoint protection - Anbindung von Drittsysteme
 
Sensor Türkontakt - Sicherheit für Türen und Fenster
Sensor Türkontakt - Sicherheit für Türen und FensterSensor Türkontakt - Sicherheit für Türen und Fenster
Sensor Türkontakt - Sicherheit für Türen und Fenster
 
Firewall.pdf
Firewall.pdfFirewall.pdf
Firewall.pdf
 

E Security

  • 1. eSecurity Dr. Udo Ornik SoulTek GbR SoulTek GbR, Frankfurterstr. 93, 35315 Homberg/Ohm, Tel.: 06633-9111-0, Fax 06633-9111-19, www.soultek.de, zentrale@soultek.de
  • 2.
  • 3.
  • 4.
  • 5. Bedrohung Unautorisierte Netzzugriffe im Jahr 31 bis 40 52% 21 bis 30 25% 1 bis 10 2% 41 bis 50 6% über 50 2% über 50 41 bis 50 31 bis 40 21 bis 30 11 bis 20 1 bis 10 Die meisten Unternehmen erhalten mehrmals pro Monat unerwünschten Besuch. Quelle:WarRoom Research 11 bis 20 13%
  • 6. 15 Angriffe auf Testrechner zwischen 25.2.01 und 1.3.01 Im Schnitt etwa 2 Versuche pro Tag
  • 7. Im Schnitt etwa alle 8 Tage ein Sicherheitspatch bei Microsoft- Produkten
  • 8. Auch Linux ist gegen alle Beteuerungen von &quot;FANS&quot; ein System mit Sicherheits- lücken Quelle: Linux Magazin 09/2002
  • 9. Das gleiche gilt für viele nicht MS-Software! Quelle: Linux Magazin 09/2002 Sicherheitsprobleme bei Anwendungen Juni 2002
  • 10. Schaden: Bsp. USA Die CSI/FBI Computer Crime and Security Survey weist einen Schaden von $ 5.050.000.000 pro Jahr aus. Quelle: CSI/FBI
  • 11.
  • 12.
  • 13. Datenpakete Vereinfachtes Datenpaket Word Datei TCP/IP Dienst Absender: 194.37.26.28 Port: 80 Empfänger: 196.46.47.59 Port: 80 TCP Netz IP Der IP-Header ist wie ein Adresslabel, das auf das Datenpaket geklebt wird.
  • 14. Angriffsarten Schutz durch Firewalls Internet Firewall-Technologien sollen das Firmennetz sichern.
  • 15.
  • 16. Software Fehler : Buffer Overflow Arbeitsspeicher PRG1 PRG2 10101010000010110101010101011010101101011101 10101011010101101011101 HACK-PRG input Zu erkennen: get http:// www.xnet.de /x=09653andshg tgjwu8utz64zz711645rrcx264326rt4w5tr7 t38t7z8785z4w85tz5t9 Besonders anfällig: C/C++ Programme
  • 17. SoftwareFehler: SQL-Injection user: Kw: Programmcode: . . . Select count(userID) FROM UserTabelle where userID='user' and Passwd='kw' . . . Eingabe: ' or 1=1-- für user Resultierender Programmcode: Select count(userID) FROM UserTabelle where userID= '' or 1=1 Immer Erfüllt!
  • 18.
  • 19. Problematische Konfiguration <blank> <blank> Cabletron (routers & switches) system admin Arrowpoint anicust sysadm AcceleratedDSL CPE and DSLAM switch diag Xylan Omniswitch switch admin Xylan Omniswitch sysadm n/a NETPrint (all) <blank> admin Alteon ACEswitch 180e (telnet) admin admin Alteon ACEswitch 180e (web) trancell wradmin Webramp wg n/a WatchGuard Firebox II (read/write) uClinux root UClinux_for_UCsimm password admin SonicWALL admin n/a SpeedstreamDSL(Efficient) <blank> Guest Shiva <blank> root Shiva sysadm sysadm Osicom(Datacom) BRIDGE n/a Orbitor_console password n/a Orbitor_console netopia netopia Netopia_9500 <blank> <blank> Netopia_7100 router cablecom Motorola-Cablerouter root root Microplex_print_server <blank> !root Livingston_portmaster2/3 <blank> !root Livingston_officerouter <blank> !root Livingston_IRX_router admin n/a Linksys_DSL n/a 7000 Lantronics_Terminal_server_port n/a 7000 Lantronics_Terminal_server_port n/a Jetform Jetform_design admin admin Flowpoint_DSL2000 password n/a Flowpoint_DSL_installed_by_Covad D-Link D-Link DLink_hub/switches password n/a digiCorp_(viper?) BRIDGE n/a digiCorp_(viper?) crystal n/a Crystalview_outsideview32 administrator administrator Compaq Insight Manager (port 2301) operator operator Compaq Insight Manager (port 2301) public user Compaq Insight Manager (port 2301) <blank> n/a Cayman_DSL Super n/a BreezeCOM_adapters4.x(console_only) Master n/a BreezeCOM_adapters3.x(console_only) laflaf n/a BreezeCOM_adapters2.x(console_only) letmein n/a BRASX/I01_(DataCom) security security BaySuperstackII NetICs n/a Bay350T_Switch <blank> User Bay_routers <blank> Manager Bay_routers pass root AXIS200/240[netcam] mcp n/a AT&T_3B2_firmware 1234 n/a All_Zyxel_equipment secret n/a ADC_Kentrox_Pacesetter_Router netman netman ACC(Ericsson) <blank> root 3comNetBuilder routers tech 2700 3comSuperStackIISwitch debug 2200 3comSuperStackIISwitch tech tech 3comLinkSwitch2000/2700 tech tech 3ComLANplex2500 synnet debug 3ComLANplex2500 <blank> adm 3comHiPerARCv4.1.x tech tech 3comCoreBuilder7000/6000/3500/2500 synnet debug 3comCoreBuilder7000/6000/3500/2500 tech tech 3comCellPlex7000 PASSWORD n/a 3Com_Office_Connect_5x0_ISDN_Routers security security 3Com manager manager 3Com monitor monitor 3Com synnet write 3Com synnet read 3Com synnet admin 3Com Password Username Device
  • 20.
  • 21.
  • 22.
  • 23. Sniffing 110101010101010 TCPDump Alle Datenpakete im gesamten Netzwerksegment sichtbar Router mit SMNP Und Standard Community String oder RMON enabled Telnet Session Username ......Kennwort Server Sniffing in geswitchten Netzwerken Schutz: Einsatz von Switches und verzicht auf SMNP_Protokoll
  • 24.
  • 25. Bsp: Onlinezahlung Ihr Online-Konto Bank mit Webangebot (Schwach geschützt ) Kto: Pin: TAN: Externer Server mit Zahlungssystem (Stark geschützt) Ihr Online-Konto Hacker Kto: Pin: TAN: Hackerserver mit Kundendatenbank
  • 27.
  • 28. Firewall Ports echo 7/tcp daytime 13/tcp netstat 15/tcp qotd 17/tcp quote ftp-data 20/tcp ftp 21/tcp telnet 23/tcp smtp 25/tcp mail time 37/tcp timserver name 42/tcp nameserver whois 43/tcp nicname domain 53/tcp nameserver mtp 57/tcp bootp 67/udp finger 79/tcp pop 109/tcp postoffice pop2 109/tcp pop3 110/tcp postoffice sunrpc 111/tcp sunrpc 111/udp Intranet Firewall Die Entscheidung, welche Ports blockiert werden, hängt von den Aufgaben und der Sicherheitsphilosophie im Intr@net ab. analysiert Datenverkehr zwischen internem und externem Netz entscheidet nach vorgegebenen Regeln welche Daten weitergeleitet werden dürfen.
  • 29. Idealkonfiguration DMZ Firewall Mail Server WWW Server Kundennetzwerk Demilitarisierte Zone LAN Internet
  • 30.
  • 31. Public Key Verfahren Ö( Geheimer Text )----> 4 3q48u t2u P( 4 3q48u t2u )----> Geheimer Text oder P( Geheimer Text )-----> eir?§aht1908 Ö( eir?§aht1908 )----> Geheimer Text Beim Public Key- Verfahren gibt es einen öffentlichen und einen privaten Schlüssel. Nacheinander angewendet, können sie einen Text lesbar oder völlig unlesbar machen.
  • 32. Verschlüsselte Nachrichten Mein öffentlicher Schlüssel Ö A : Geheimer Schlüssel P A ( tnmw9 e4 ) = Geheimer Text A B Ö A ( Geheimer Text ) = tnmw9 e4 Datenübertragung
  • 33. VPN Zentrale Aussendient Telearbeitsplatz Datenaustausch wird verschlüsselt über „öffentliches“ Netz übertragen (Hard- und Softwarelösungen). Nieder- lassung
  • 34. Abwehr ►Intrusion Detection Tools IDS Quelle: Axent Host- basiert Betriebssystem- spezifisch Anwendungs- spezifisch Netzwerk- basiert Dynamisch erweiterbare Angriffsmuster Vordefiniertes Angriffsmuster
  • 35. LogDatei Dec 13 13:25:40.445 raptor kernel: 226 IP packet dropped (cisco1601.dieburg.tat.de.78.43.212.in-addr.arpa[212.43.78.2]->cobalt.tatnet.de.78.43.212.in-addr.arpa[212.43.78.14]: Protocol=ICMP[Redirect/1 gw=212.43.78.19] {Inner: cobalt.tatnet.de.78.43.212.in-addr.arpa[212.43.78.14]->212.43.79.98: Protocol=TCP[??] Port 110->33841}): ICMP Redirect (received on interface 212.43.78.251) Dec 13 13:25:40.447 raptor kernel: 226 IP packet dropped (cisco1601.dieburg.tat.de.78.43.212.in-addr.arpa[212.43.78.2]->cobalt.tatnet.de.78.43.212.in-addr.arpa[212.43.78.14]: Protocol=ICMP[Redirect/1 gw=212.43.78.19] {Inner: cobalt.tatnet.de.78.43.212.in-addr.arpa[212.43.78.14]->212.43.79.98: Protocol=TCP[??] Port 110->33841}): ICMP Redirect (received on interface 212.43.78.251) Dec 13 13:25:40.477 raptor tcp-gsp[1989]: 121 Statistics: duration=1.20 id=1Z4v1 sent=56 rcvd=235 srcif=Vpn6 src=212.43.79.98/33841 cldst=212.43.78.14/110 svsrc=212.43.79.98/33841 dstif=Vpn5 dst=192.168.67.58/110 proto=110/tcp rule=3 Das Auswerten bereits kleiner Logdateien erfordert eine Menge Fachwissen und Zeit!
  • 36. Sicherheitsstrategie Risikoanalyse Quelle: Axent Trainings Reaktions-, Sicherheits- monitoring Rettungs-, Maßnahmen und Implemen- tierung einer Lösung Wahl und Sicherheits- strategie
  • 37.
  • 38.
  • 39. Ende
  • 41. Sicherheit in Netzwerken Dem Einsatz unserer Sicherheitslösungen geht eine gründliche Sicherheitsprüfung und Schwachstellen-analyse voraus.  
  • 42.
  • 43.
  • 44. Virtual Private Networks Sichere Kommunikation mit Ihren Partnern, Niederlassungen und Aussenddienst. Direkter Zugriff in Ihr Firmennetz Sichere Telearbeitsplätze
  • 45. Überwachungssysteme Bewegungssensitives Kamerasystem Remotezugriff Bilder per Email oder Web an Überwachungszentrale Korrelation von Signalen aus verschiedenen Kameras
  • 46.

Hinweis der Redaktion

  1. Angriffe auf ein Unternehmensnetzwerk sind eine sehr reale Gefahr. Nach Untersuchungen des Marktforschungs- Unternehmens WarRoom Reseach erhalten Jahr für Jahr zwei Drittel aller Netzwerke mindestens alle 10 Tage ungebetenen Besuch. Siehe Grafik ..................................................................... Wenn der Hacker erst einmal „drin“ ist, ist der Schaden meist bereits irreversibel geworden. So weist die CSI/FBI Computer Crime and Security Survey einen Schaden von $ 5.050.000.000 pro Jahr aus.
  2. Als 1990 Scotland Yard drei langgesuchte Hacker dingfest machte, staunten die Fahnder nicht schlecht: Innerhalb weniger Jahre waren die Profis in mehr als 70000 Netze eingedrungen. Wie aus der Grafik zu lesen ist, verursacht der Bereich interne Netzattacken denn größten Schaden. Dabei ist die Dunkelziffer laut CSI/FBI Computer Crime and Security Survey nicht einzuschätzen.
  3. Alarmanlage fürs Firmennetz Ein IDS überprüft ständig automatisch: Datenbanken und Applikationen auf der Softwareseite sowie Firewalls, Router und Server auf der Hardwareseite. Er hat Möglichkeit einen Ernsthaften Angriff auf die zu sichernden Daten in Echtzeit zu erkennen und augenblicklich darauf zu reagieren, beispielsweise dadurch, Verbindungen zu unterbrechen und in einer entsprechend konfigurierten Log- Datei aufzuzeichnen. IDS für den Host- Bereich Host- basierte IDS überwachen Datenströme am einzelnen Arbeitsplatz, also etwa einem Netz- PC. Sie erfüllen ihre Aufgabe entweder auf der Ebene des Betriebssystems oder der Anwendung. Das IDS analysiert fortlaufend Informationen wie z.b. Benutzernamen, Passwort, Zeitpunkt, Dauer des Zugriffs und schlägt bei Verdacht Alarm. Im Allgemeinen sind Host- basierende IDS einfach vom Anwender zu konfigurieren. Ein Nachteil ist jedoch, dass Angriffe die auf einem Netzwerkprotokoll basieren nicht erkannt werden. In großen Unternehmensnetzen mit vielen verschiedenen Plattformen können Host- basierende IDS ihre Aufgabe nicht mehr erfüllen. Hier müssen alle Kommunikationsebenen und nicht nur die der Betriebsysteme oder der Anwendungen überwacht werden. Netzwerk- basierte IDS Diese Aufgabe wird von den sogenannten Netzwerk- basierenden IDS erfüllt. Sie werden zwischen Client und Server installiert und überwachen den gesamten Netzverkehr. Jedes einzelne Datenpaket wird in Echtzeit analysiert und mit zuvor erlernten Angriffsmustern (attack signatures) verglichen. Werden dabei auffällige Prozesse entdeckt, werden diese identifiziert, aufgezeichnet und unterbrochen. Ein weiterer Vorteil ist, das Netzwerk- basierende IDS nicht auf jedem Rechner installiert werden müssen und so eine wesentlich bessere Performance erreichten. Nachteil: Für jedes Angriffsmuster muss eine eigene Routine separat implementiert werden. Außerdem wird der Analysevorgang umso langsamer je mehr Muster erkannt werden sollen. Darüber hinaus klafft eine totale Überwachungslücke bei jeder neu Implementierung. Diesen Nachteil versuchen sogenannte SDSI (Sateful Dynamic Signature Inspection- Technologie) aufzufangen. Sie erlaubt es, neue Routinen dynamisch hinzuzufügen, also ohne dass dabei die Software vom Netz genommen werden muss. Die wichtigsten Anbieter von IDS sind: www . axent . com www .iss. net www . nai . com
  4. Das A und O der Datensicherheit ist eine klar definierte Sicherheitspolitik, die individuell festlegt, was, wie, vor wem und wovor geschützt werden muss. Daraus ergeben sich Folgerungen für das verhalten der Mitarbeiter, die organisatorische Gestaltung der IT- Struktur und die Anschaffung von Hard- und Software. Im Rahmen der Risikoanalyse müssen Zugangsberechtigungen geklärt werden und die gesamte IT- Architektur einschließlich des „Faktor Mensch“ auf mögliche Sicherheitslücken überprüft werden. Bei der Auswahl einer Sicherheitsstrategie sollten zur Abschätzung der Verwundbarkeit sogenannte „Vulnerability Assessment Tools“ zum Einsatz kommen. Dann kann die Ausgewählte Strategie Implementiert werden. Dies werden im der Regel Tools der Verschlüsselungstechnologie, Zugangskontrolle, Identifizierung und Autorisierung bis hin zu Virenscanner und Firewalls sein. Ist die Implementierung abgeschlossen, gilt es ein zuverlässiges Sicherheitsmonitorring einzurichten, das durch geschultes Personal und entsprechende Technologie gewährleistet wird. Maßnahmen zur Daten- und Systemrettung markieren den Endpunkt des Datensicherheitsnetzwerks.