Die Präsentation wird geladen. Bitte warten

Die Präsentation wird geladen. Bitte warten

IT-Sicherheitsforum Sicherheitswerkzeuge im Netzwerk

Ähnliche Präsentationen


Präsentation zum Thema: "IT-Sicherheitsforum Sicherheitswerkzeuge im Netzwerk"—  Präsentation transkript:

1 IT-Sicherheitsforum Sicherheitswerkzeuge im Netzwerk
Matthias Ruckdäschel RRZE Matthias Ruckdäschel Regionales RechenZentrum Erlangen IT-Sicherheitsforum

2 Übersicht Netzwerkanalyse Netzwerk- und Rechnersicherheit (Firewall)
Port-Scans Rechner-Analyse Netzwerk-Überwachung Netzwerk- und Rechnersicherheit (Firewall) Paketfilter Application Gateway Personal Firewall Matthias Ruckdäschel Regionales RechenZentrum Erlangen IT-Sicherheitsforum

3 Ziel des Vortrags Schnelles Erkennen von Eindringlingen und Schwachstellen mit einfach Mitteln Grenzen der Netzwerkanalyse aufzeigen Mögliche Schutzmaßnahmen erläutern Nicht: Detaillierte forensische Analyse von Rechnern bzw. Netzwerkverbindungen Matthias Ruckdäschel Regionales RechenZentrum Erlangen IT-Sicherheitsforum

4 Grundlagen der IT-Sicherheit
Eigene Systeme und deren (normales) Verhalten (sehr) gut kennen! Auf Auffälligkeiten konzentrieren, z.B.: Rechner ist unerwartet langsam Festplatte ist aus unerklärlichen Gründen voll Das Naheliegende zuerst überprüfen Ruhig bleiben; Panik verursacht Fehler Vorbereitet sein! Matthias Ruckdäschel Regionales RechenZentrum Erlangen IT-Sicherheitsforum

5 Absicherung von Systemen
Deinstallieren Abschalten Konfigurieren Patchen Virenschutz Benutzerverhalten: Optimal: Benutzer installieren keine Software Mindestanforderung: Schulung der Benutzer: Software aus dem Internet birgt Risiken Bei Beachtung dieser Maßnahmen sind über 99% aller „Hacks“ vermeidbar! Matthias Ruckdäschel Regionales RechenZentrum Erlangen IT-Sicherheitsforum

6 Denkweise von Hackern Warum wird ein Rechner gehackt?
Script-Kiddies Verschleierung von Spuren Ablage von urheberechtlich geschützten oder strafbaren Daten Ausspionieren von lokalen Daten Für die Punkte 1-3 gilt: Hacker will möglichst wenig Aufwand Einfache Schutzmaßnahmen sind meist ausreichend! Matthias Ruckdäschel Regionales RechenZentrum Erlangen IT-Sicherheitsforum

7 Spionage von Daten Schützenswerte Daten:
Prüfungen (Lösungen / Ergebnisse) Forschungsergebnisse, Patente Industrieprojekte Mitarbeiter- und Finanzdaten u.v.m Schützenswerte Daten sind durch Standardmaßnahmen nicht ausreichend geschützt. Beratung durch das RRZE Matthias Ruckdäschel Regionales RechenZentrum Erlangen IT-Sicherheitsforum

8 Verdeckung von Angriffen
Angriffe auf schützenswerte Daten sind selten, bleiben aber oft „im Rauschen“ verborgen: „Standard-Hacks“ „Standard-Hacks“ Missbrauch durch Insider Missbrauch durch Insider Spionage durch Externe Spionage durch Externe Matthias Ruckdäschel Regionales RechenZentrum Erlangen IT-Sicherheitsforum

9 Standard-Hacks Knacken einfacher / fehlender Passworte
Ausnutzen von bekannten Schwachstellen Trojaner über Mail / IRC verschickt oder versteckt in Software (z.B. gehackte Spiele, etc.) Bei Standard-Hacks wird oftmals keine Energie in die Verschleierung gesteckt: Kompromittierte Rechner sind leicht zu erkennen! Matthias Ruckdäschel Regionales RechenZentrum Erlangen IT-Sicherheitsforum

10 Netzwerkanalyse Datenschutz beachten! Nur im eigenen Bereich erlaubt!
Schwierig bei gezielter Verschleierung Motivation: Schwachstellen erkennen: Fehlende Patches Mangelhafte Konfiguration Fremde Software (Filesharing-Tools, Serv-U) Missbrauch / Eindringlinge erkennen Matthias Ruckdäschel Regionales RechenZentrum Erlangen IT-Sicherheitsforum

11 Möglichkeiten der Netzanalyse
Port-Scan Suche nach Diensten, die über das Netz erreichbar sind. Rechner-Scan Versuch, über das Netz zusätzliche Informationen über die Konfiguration eines Rechner zu erhalten Netzwerk-Monitoring Überwachung und Analyse von Verbindungen Matthias Ruckdäschel Regionales RechenZentrum Erlangen IT-Sicherheitsforum

12 Port-Scans Grundsätzlich: Jedes Programm auf einem Rechner, welches Verbindungen von außen akzeptieren soll, muss vorher einen Port öffnen (Status: Listening). Offene Ports können erkannt werden. Ausnahme: Personal Firewall / Paket-Filter Was erreichbar sein soll, ist auch sichtbar. Problem: Manche Ports werden erst unter bestimmten Bedingungen aktiviert. Matthias Ruckdäschel Regionales RechenZentrum Erlangen IT-Sicherheitsforum

13 Port-Scans: Was? Unterscheidung TCP/UDP Welche Ports?
Gezielt auf einzelne Ports „Well-Known“-Ports Port-Range (theoretisch ) Vorsicht: kein strikter Zusammenhang zwischen Port und zugehörigen Dienst! Matthias Ruckdäschel Regionales RechenZentrum Erlangen IT-Sicherheitsforum

14 Port-Scans: Womit? Freeware Port-Scanner: NMAP http://www.nmap.org
Verfügbar als Source-Code für Unix / Linux und Windows Windowsversion in Entwicklung Ursprünglich Kommandozeilen-Tool Graphische Oberfläche verfügbar Benötigt lokale root / Adminstrator-Rechte Matthias Ruckdäschel Regionales RechenZentrum Erlangen IT-Sicherheitsforum

15 Erkennen des Port-Status
Das Verhalten des Rechners auf eingehende Pakete hängt vom Betriebssystem, IP-Stack und den Applikationen ab. Ausgabe von NMAP unterliegt bestimmten Annahmen: TCP - Port UDP - Port erfolgreiche Verbindung offen --- ICMP „Port unreachable“ geschlossen Verbindung abgelehnt (RST) keine Antwort Matthias Ruckdäschel Regionales RechenZentrum Erlangen IT-Sicherheitsforum

16 Port-Scan: Analyse OS-Fingerprint (Ergebnis kann Hinweis liefern)
Suspekte Rechner vor Ort überprüfen Listet geöffnete Ports: Unix / Windows NT/2000/XP: „netstat -an“ Welcher Prozess hält welchen Port offen? Windows NT/2000/XP: „fport“ (http://www.foundstone.com/knowledge/proddesc/fport.html) Unix: lsof (http://freshmeat.net/projects/lsof/) Interessant sind Ports mit Status „LISTENING“ Matthias Ruckdäschel Regionales RechenZentrum Erlangen IT-Sicherheitsforum

17 Port-Scan: Analyse Verbergen von Diensten / Ports (übers Netz und lokal) möglich Lokale Analyse potentiell kompromittierter Rechner fragwürdig. Bei Verdacht auf „tiefes“ Eindringen ins Betriebssystem muss der Zugriff auf die Festplatte durch ein anderes Betriebssystem erfolgen. Matthias Ruckdäschel Regionales RechenZentrum Erlangen IT-Sicherheitsforum

18 Rechner-Analyse Reaktion eines Rechners beim Ansprechen eines Ports.
Test-Pakete an bestimmte Ports setzen und Reaktion beobachten. OS-Fingerprints Analyse von Schwachstellen (fehlende Patches / mangelhafte Konfiguration) Matthias Ruckdäschel Regionales RechenZentrum Erlangen IT-Sicherheitsforum

19 Rechner Analyse: Womit?
Freeware-Scanner NESSUS: Zweiteilig: Server („Daemon“) auf Unix Client auf Unix oder Windows 32 Setzt auf NMAP auf Enthält viele vorgefertigte „Plugins“ Skript-Sprache zum Ergänzen eigener Plugins „Save-Checks“ einschalten, andernfalls sind Störungen an Rechnern möglich! Matthias Ruckdäschel Regionales RechenZentrum Erlangen IT-Sicherheitsforum

20 Rechner Analyse: Auwertung
Auswertung der Nessus-Ergebnisse: Einstufung der Wichtigkeit fragwürdig Wissen über gescannte Rechner ist nötig Oftmals Fehlalarm, Ergebnisse verifizieren Ergebnisse können in Datenbank gespeichert werden Vergleich zu früheren Ergebnissen oder gleicher Rechner Konfiguration möglich und sinnvoll. Kein EDV-TÜV: Negatives Ergebnis bedeutet nicht, dass der Rechner sicher ist! Matthias Ruckdäschel Regionales RechenZentrum Erlangen IT-Sicherheitsforum

21 Zusammenfassung zu Scans
Nur im eigenen Bereich scannen „Versehentliche“ Fehlkonfiguration oder weltweit verfügbare Dienste leicht zu erkennen Verschleierung am lokalen Rechner möglich! → Falsche Sicherheit? Matthias Ruckdäschel Regionales RechenZentrum Erlangen IT-Sicherheitsforum

22 Netzwerk-Monitoring Aufzeichnung aller Verbindungsdaten am Gateway-Rechner oder durch „Schnüffeln“ im Netz. Vorteil: Es werden alle Verbindungen erfasst Sehr gut bei konkretem Verdacht oder zur Verfolgung von bekannten Missbrauchsfällen Die Bestimmungen des Datenschutzes sind zu beachten! Problem: Bandbreite / Geschwindigkeit des Rechners Matthias Ruckdäschel Regionales RechenZentrum Erlangen IT-Sicherheitsforum

23 Monitoring: Analyse Sehr großes Datenvolumen („Nadel im Heuhaufen“)
Unterscheidung: Versuchter Verbindungsaufbau Erfolgreicher Verbindungsaufbau Datenvolumen Analyse sehr schwierig  Intrusion Detection System Matthias Ruckdäschel Regionales RechenZentrum Erlangen IT-Sicherheitsforum

24 Schutzmaßnahmen im Netz
Für Rechner mit sensiblen Daten sind erweiterte Schutzmaßnahmen nötig. Am einzelnen Rechner: Personal Firewall Paket Filter Im gesamten Netzwerk (Firewall) Application Gateway Matthias Ruckdäschel Regionales RechenZentrum Erlangen IT-Sicherheitsforum

25 Philosophie des Filterns
Negativ-Liste Einzelne Dienste / Rechner werden geschützt Leichter zu konfigurieren Nicht so sicher wie Positiv-Liste Positiv-Liste Erlaubte Verbindungen werden explizit konfiguriert Exakte Konfiguration ist schwierig Auf Rückkanal achten Matthias Ruckdäschel Regionales RechenZentrum Erlangen IT-Sicherheitsforum

26 Grundsätzliches Genaue Kenntnis der Kommunikationsbeziehungen notwendig Ausnahmen reduzieren („Schweizer Käse“) Vorsicht bei oberflächiger Konfiguration (trügerische Sicherheit) Paketfilter schützen nur bedingt vor lokalen Benutzern und eingeschleppten Viren. Matthias Ruckdäschel Regionales RechenZentrum Erlangen IT-Sicherheitsforum

27 Paketfilter Verbietet / Erlaubt bestimmte Ports und / oder IP-Bereiche
Eingehende Antworten werden durchgelassen: Statless Filter Statefull Filter (besser, aber mehr Ressourcen nötig) Benötigt geringere Resourcen als App. Gateway Kann Multicast erlauben (wichtig für Multimedia-Anwendungen) Matthias Ruckdäschel Regionales RechenZentrum Erlangen IT-Sicherheitsforum

28 Paketfilter an der FAU Können auf Routern der FAU implementiert werden
Werden ausschließlich vom RRZE gepflegt Subnetzbetreiber muss Schutzbedarf und Kommunikationsbeziehungen ermitteln: Beratung durch Volkmar Scharf (mailto: Eigene, dezentrale Lösungen an der FAU nicht erlaubt: Matthias Ruckdäschel Regionales RechenZentrum Erlangen IT-Sicherheitsforum

29 Application Gateway Eigenes Modul für jede Anwendung nötig (z.B. http, ftp, smtp, pop,...) Widerspruch zu End-To-End-Verschlüsselung Evtl. Umsetzung der IP-Adressen (Network Address Translation) Benötigt ausreichend CPU-Ressourcen Exakte Konfiguration schwierig Vor Einsatz mit RRZE absprechen Matthias Ruckdäschel Regionales RechenZentrum Erlangen IT-Sicherheitsforum

30 Personal Firewall Paket Filter Läuft auf dem jeweiligen Rechner
Leicht zu konfigurieren bei privaten Rechnern. Integration im Uni-Netz (Zugang zu Servern, …) aufwendiger Schwierige Konfiguration bei Verwendung auf Servern Schützt nur bedingt vor lokalen Benutzern und Trojanern Matthias Ruckdäschel Regionales RechenZentrum Erlangen IT-Sicherheitsforum

31 Beispiele für Personal Firewall
Tiny Personal Firewall (kostenpflichtig): Zone Alarm: Grundversion kostenlos für private Nutzung Kostenpflichtig für den Einsatz an der Uni Matthias Ruckdäschel Regionales RechenZentrum Erlangen IT-Sicherheitsforum

32 Integrierte Windows Firewall
Ab Windows 2000: TCP/IP Filtering Konfiguration gültig pro Rechner Ab Windows XP: Internet Connection Firewall Konfiguration gültig pro Netzwerkkarte Vorsicht: Firewall wird (manchmal) bei der Installation von MS-Zusatzprodukten (z.B. IIS) automatisch umkonfiguriert. Kein Filtern von ausgehenden Verbindungen (z.B. Spyware) Nur Filtern von Ports, keine IP-Adressen Matthias Ruckdäschel Regionales RechenZentrum Erlangen IT-Sicherheitsforum

33 Literatur Schnelle Suche nach potentiellen Eindringlingen (Windows, Unix): Matthias Ruckdäschel Regionales RechenZentrum Erlangen IT-Sicherheitsforum


Herunterladen ppt "IT-Sicherheitsforum Sicherheitswerkzeuge im Netzwerk"

Ähnliche Präsentationen


Google-Anzeigen