Die Präsentation wird geladen. Bitte warten

Die Präsentation wird geladen. Bitte warten

Www.datenschutz.rlp.de poststelle@datenschutz.rlp.de LfD Rheinland-Pfalz H. Eiermann.

Veröffentlicht von:Erich Kastle Geändert vor über 10 Jahren

Ähnliche Präsentationen

Präsentation zum Thema: "Www.datenschutz.rlp.de poststelle@datenschutz.rlp.de LfD Rheinland-Pfalz H. Eiermann."—  Präsentation transkript:

1 www.datenschutz.rlp.de poststelle@datenschutz.rlp.de
LfD Rheinland-Pfalz H. Eiermann

2 Europäischer Datenschutztag 28. Januar 2008
“Denn Sie wissen nicht, was sie tun...” Datenschutz in der Online-Generation Info-Shop 3 “Wie sicher ist die Technik ?” Sicherheitsaspekte von Web-Anwendungen LfD Rheinland-Pfalz H. Eiermann

3 Web-Anwendungen LfD Rheinland-Pfalz H. Eiermann

4 IT-Struktur Web-Anwendung
LfD Rheinland-Pfalz H. Eiermann

5 Schulverwaltungsnetz
Datei-/Anwendungsserver LfD Rheinland-Pfalz H. Eiermann

6 Schulverwaltungsnetz Pädagogisches Netz
Datei-/Anwendungsserver Datei-/Anwendungsserver LfD Rheinland-Pfalz H. Eiermann

7 Schulverwaltungsnetz Pädagogisches Netz
Intranet-Server Datei-/Anwendungsserver Datei-/Anwendungsserver LfD Rheinland-Pfalz H. Eiermann

8 Schulverwaltungsnetz Pädagogisches Netz
Intranet-Server Datei-/Anwendungsserver Datei-/Anwendungsserver LfD Rheinland-Pfalz H. Eiermann

9 Schulverwaltungsnetz Pädagogisches Netz
Intranet-Server Router/Firewall Datei-/Anwendungsserver Datei-/Anwendungsserver LfD Rheinland-Pfalz H. Eiermann

10 Schulverwaltungsnetz Pädagogisches Netz
rlp-Netz Schulverwaltungsnetz Pädagogisches Netz Web- / Intranet-Server Mailserver Router/Firewall Datei-/Anwendungsserver Datei-/Anwendungsserver LfD Rheinland-Pfalz H. Eiermann

11  IP Spoofing Manipulation von Datenpaketen  ICMP-Attacken
Angriffsszenarien  IP Spoofing Manipulation von Datenpaketen  ICMP-Attacken Missbrauch von Kontrollnachrichten  Replay-Attacken Aufzeichnen und erneutes Einspielen von Datenpaketen  Buffer-Overflow-Attacken Einschleußen von Programmcode durch Speicherüberlauf  ARP-Spoofing Manipulation von Datenströmen im LAN  DNS Spoofing Vortäuschen/Manipulation von DNS-Angaben  Web Spoofing Kontrolle der Verbindung zwischen Client und Server  Protokoll-Tunneling Kapselung in unverdächtigen Protokollen  Denial of Service-Attacken (DOS, DDoS) SYN-Flooding, Mail-Bomben  Schadenssoftware Viren, Würmer, Trojanische Pferde Aktive Komponenten (ActiveX, Java) LfD Rheinland-Pfalz H. Eiermann

12 Schulverwaltungsnetz Pädagogisches Netz
rlp-Netz Schulverwaltungsnetz Pädagogisches Netz Webserver/Intranet-Server Mailserver Router/Firewall Datei-/Anwendungsserver Datei-/Anwendungsserver LfD Rheinland-Pfalz H. Eiermann

13 Schulverwaltungsnetz Pädagogisches Netz
rlp-Netz Schulverwaltungsnetz Pädagogisches Netz Webserver/Intranet-Server Router/Firewall Mailserver Router/Firewall Datei-/Anwendungsserver Datei-/Anwendungsserver LfD Rheinland-Pfalz H. Eiermann

14 Schulverwaltungsnetz Pädagogisches Netz
rlp-Netz Schulverwaltungsnetz Pädagogisches Netz Webserver/Intranet-Server Router/Firewall Mailserver Router/Firewall Datei-/Anwendungsserver Datei-/Anwendungsserver LfD Rheinland-Pfalz H. Eiermann

15 Schulverwaltungsnetz Pädagogisches Netz
rlp-Netz Schulverwaltungsnetz Pädagogisches Netz Webserver/Intranet-Server Router/Firewall Mailserver Router/Firewall Datei-/Anwendungsserver Datei-/Anwendungsserver LfD Rheinland-Pfalz H. Eiermann

16 Firewall LfD Rheinland-Pfalz H. Eiermann

17 Firewall # ipfwadm -F -f # ipfwadm -F -p deny
# ipfwadm -F -a accept -P tcp -S /24 -D 0/0 80 # ipfwadm -F -a accept -P tcp -S 0/0 80 -D /24 # ... LfD Rheinland-Pfalz H. Eiermann

18 Sicherheitsmaßnahmen (Filterung nach IP-Adressen, Ports, Diensten)
Netzwerkebene LfD Rheinland-Pfalz H. Eiermann

19 Sicherheitsmaßnahmen
Anwendungsebene Sicherheitsmaßnahmen (Applikationssicherheit, Systemhärtung, Konfiguration) LfD Rheinland-Pfalz H. Eiermann

20 # ipfwadm -F -a accept -P tcp -S ANY -D 172.16.1.0/24 -port 80
Pädagogisches Netz Webserver/Intranet-Server Router/Firewall # ipfwadm -F -a accept -P tcp -S ANY -D /24 -port 80 Router/Firewall Datei-/Anwendungsserver LfD Rheinland-Pfalz H. Eiermann

21 Online-Kontrollen des LfD
• Schwerpunkt Internet-basierte Anwendungen • Nutzung frei verfügbarer Software für Analyse und Test • Nutzung frei verfügbarer Informationen LfD Rheinland-Pfalz H. Eiermann

22 Brutus, WebCrack, wwwhack Hydra
Tools Brutus, WebCrack, wwwhack Hydra nikto Manuelle Exploits (!) LfD Rheinland-Pfalz H. Eiermann

23 Beispiele für Vorgehensweisen / festgestellte Defizite
Beispiel 1: Directory Traversal Beispiel 2: SQL-Injection Beispiel 3: Wörterbuch-/BruteForce-Attacke LfD Rheinland-Pfalz H. Eiermann

24 Beispiel 1: „Directory Traversal“
Gemeinsames Internet-Angebot mehrerer Bundesländer • Ausbrechen aus der vorgegebenen Verzeichnisstruktur eines Webservers • Hintergrund: Fehlerhafte Zugriffsrechte Hinweise im Seitenquelltext „ratbare“ Verzeichnisstruktur • Probleme: Unbefugter Datenzugriff; Manipulation LfD Rheinland-Pfalz H. Eiermann

25 LfD Rheinland-Pfalz H. Eiermann

26 1. Quelltextanalyse src=”http://f009.internet.shop.net/counter.js“>
LfD Rheinland-Pfalz H. Eiermann

27 2. Browseraufruf: http://f009.internet.shop.net ... erfolglos
1. Quelltextanalyse src=” 2. Browseraufruf: erfolglos LfD Rheinland-Pfalz H. Eiermann

28 2. Browseraufruf: http://f009.internet.shop.net ... erfolglos
1. Quelltextanalyse src=” 2. Browseraufruf: erfolglos 3. Browseraufruf: LfD Rheinland-Pfalz H. Eiermann

29 2. Browseraufruf: http://f009.internet.shop.net ... erfolglos
1. Quelltextanalyse src=” 2. Browseraufruf: erfolglos 3. Browseraufruf: LfD Rheinland-Pfalz H. Eiermann

30 2. Browseraufruf: http://f009.internet.shop.net ... erfolglos
1. Quelltextanalyse src=” 2. Browseraufruf: erfolglos 3. Browseraufruf: LfD Rheinland-Pfalz H. Eiermann

31 4. Browseraufruf: https://internet.shop.net/f009/logs/
/internet.shop.net/f009/logs/counter2.csv LfD Rheinland-Pfalz H. Eiermann

32 IP-Adresse des Nutzers
4. Browseraufruf: /internet.shop.net/f009/logs/counter2.csv Datum/Uhrzeit IP-Adresse des Nutzers Zugangsknoten URL LfD Rheinland-Pfalz H. Eiermann

33

34 Im Ergebnis konnten in 19 Fällen Zugriffsdaten heruntergeladen werden.
Das Gesamtvolumen der Daten betrug ca MB (entspricht etwa Druckseiten DIN A 4- Seiten). Zeitaufwand insgesamt: ca. 1 Std. LfD Rheinland-Pfalz H. Eiermann

35 (Server-Root, Document-Root)
Vorbeugung • Gestaltung des Web-Angebots • Reduzierung der Hinweise im Seitenquelltext • Anpassung der Zugriffsrechte, Konfiguration des Webservers (Server-Root, Document-Root) LfD Rheinland-Pfalz H. Eiermann

36 Beispiel 2: „SQL-Injection“ Internet-basierte Register-Anwendung
• Kompromittierung der Web-Anwendung durch die Eingabe von SQL-Anweisungen • Hintergrund: Web-Applikation mit nachgeschalteter Datenbank Eingabefelder Mangelnde Prüfung von Benutzereingaben • Problem: Umgehung der Authentifizierung Unbefugter Datenzugriff Datenveränderung LfD Rheinland-Pfalz H. Eiermann

37 LfD Rheinland-Pfalz H. Eiermann

38 LfD Rheinland-Pfalz H. Eiermann

39 Web-Anwendung LfD Rheinland-Pfalz H. Eiermann

40 Web-Anwendung Dahinter stehende SQL-Anweisung:
rlpuser01 sE5Am Dahinter stehende SQL-Anweisung: select ... from ... where name=‘ rlpuser01‘ and passwd=‘ sE5Am‘ LfD Rheinland-Pfalz H. Eiermann

41 Web-Anwendung LfD Rheinland-Pfalz H. Eiermann

42 Web-Anwendung Dahinter stehende SQL-Anweisung:
select ... from ... where name=‘ ... ‘ and passwd=‘ ...‘ LfD Rheinland-Pfalz H. Eiermann

43 Web-Anwendung Dahinter stehende SQL-Anweisung:
select ... from ... where name=‘ ... ‘ and passwd=‘ ...‘ Benutzereingabe führt zu: select ... from ... where name=‘4711‘ or ‘1=1‘-- LfD Rheinland-Pfalz H. Eiermann

44 Anmeldung ohne gültige Benutzerkennung
Ergebnis: Anmeldung ohne gültige Benutzerkennung oder Passwort war möglich Zeitaufwand ca. 5 sec LfD Rheinland-Pfalz H. Eiermann

45 Anmeldung ohne gültige Benutzerkennung
Ergebnis: Anmeldung ohne gültige Benutzerkennung oder Passwort war möglich Zeitaufwand ca. 5 sec Innerhalb der Anwendung sind bei fehlender Prüfung der Benutzereingaben SQL-Anweisungen für jeden angemeldeten Benutzer möglich. LfD Rheinland-Pfalz H. Eiermann

46 Schulverwaltungsnetz Pädagogisches Netz
Webserver/Intranet-Server Router/Firewall Mailserver Router/Firewall Datei-/Anwendungsserver Datei-/Anwendungsserver LfD Rheinland-Pfalz H. Eiermann

47 Variationen ... ... ‘4711‘ or ‘1=1‘ LfD Rheinland-Pfalz H. Eiermann

48 Variationen ... ... ‘4711‘ or ‘1=1‘ ... ‘4711‘ or ‘1=1‘; insert user ... LfD Rheinland-Pfalz H. Eiermann

49 Variationen ... ... ‘4711‘ or ‘1=1‘ ... ‘4711‘ or ‘1=1‘; insert user ... ... ‘4711‘ or ‘1=1‘; delete ... LfD Rheinland-Pfalz H. Eiermann

50 Variationen ... ... ‘4711‘ or ‘1=1‘ ... ‘4711‘ or ‘1=1‘; insert user ... ... ‘4711‘ or ‘1=1‘; delete ... ... ‘4711‘ or ‘1=1‘; drop table LfD Rheinland-Pfalz H. Eiermann

51 Variationen ... ... ‘4711‘ or ‘1=1‘ ... ‘4711‘ or ‘1=1‘; insert user ... ... ‘4711‘ or ‘1=1‘; delete ... ... ‘4711‘ or ‘1=1‘; drop table ... ‘4711‘ or ‘1=1‘; exec master.dbo.xp_cmdshell ‘cmd.exe dir c: (MS SQL-Server, DB-User „sa“) LfD Rheinland-Pfalz H. Eiermann

52 Canonicalization ‘4711‘ or ‘1=1‘ LfD Rheinland-Pfalz H. Eiermann

53 ‘ = 0x27 Canonicalization ‘4711‘ or ‘1=1‘
0x x27+or+0x27+1=1+=0x27 0x27+0x34+0x37+0x31+0x31+0x27+0x20+0x64+0x72+0x20+0x27+0x31+0x3d+0x31+0x27 LfD Rheinland-Pfalz H. Eiermann

54 ‘ = 0x27 0x27 = char(39) Canonicalization ‘4711‘ or ‘1=1‘
0x x27+or+0x27+1=1+=0x27 0x27+0x34+0x37+0x31+0x31+0x27+0x20+0x64+0x72+0x20+0x27+0x31+0x3d+0x31+0x27 0x27 = char(39) char(39)+char(52)+char(55)+char(49)+char(49)+char(39)+char(11)+char(114) MS-SQL char(39,52,55,49,49,39,11, ) MySQL LfD Rheinland-Pfalz H. Eiermann

55 (Prepared Statements, Stored Procedures)
Vorbeugung • Gestaltung der Anwendung / Sichere Programmierung • Verwendung vorgefertigter Abfragen (Prepared Statements, Stored Procedures) • Filterung / Prüfung der Benutzereingaben (Input Validation) • Konfiguration des Webservers • Datenbank-Konfiguration “All user input is evil!” LfD Rheinland-Pfalz H. Eiermann

56 Mailserver mit Internet-basiertem Zugang (Outlook Web Access)
Beispiel 3: Mailserver mit Internet-basiertem Zugang (Outlook Web Access) „Wörterbuch- / Brute-Force-Attacke“ • Automatisiertes Ausprobieren möglicher Benutzerkennungen / Passwörter • Hintergrund: HTTP Basic Authentication • Problem: Aushebeln der Authentifizierung Unbefugter Datenzugriff Datenveränderung LfD Rheinland-Pfalz H. Eiermann

57 LfD Rheinland-Pfalz H. Eiermann

58 Anmeldeaufforderung .HTACCESS
LfD Rheinland-Pfalz H. Eiermann

59 Tool-Unterstützung (wwwhack) ...
LfD Rheinland-Pfalz H. Eiermann

60 Tool-Unterstützung ... ... für die Kennung „test“ mit beliebigem Passwort LfD Rheinland-Pfalz H. Eiermann

61 Tool-Unterstützung ... ... für eine beliebige Kennung mit einem beliebigem Passwort (Brute Force) Versuche mit einem Protokollvolumen von 500 MB wurden nicht erkannt. LfD Rheinland-Pfalz H. Eiermann

62 Tool-Unterstützung ... ... für vorgewählte Kennungen in einer Datei mit einem beliebigem Passwort (Wörterbuchattacke) z.B. admin administrator system sa nimda service lvarp test ... LfD Rheinland-Pfalz H. Eiermann

63 Ergebnis: gültige Kombinationen Benutzerkennung: Passwort
27078:lvarp 80610:lvarp 80624:lvarp 80670:lvarp 80683:lvarp 90002:lvarp 90004:lvarp 90005:lvarp 90007:lvarp 90201:lvarp 90202:lvarp 90205:lvarp 90302:lvarp 90505:lvarp lvarp:lvarp test:test Zeitaufwand insgesamt: ca. 30 min LfD Rheinland-Pfalz H. Eiermann

64 Zugriff auf Postfächer und Ablagestruktur
LfD Rheinland-Pfalz H. Eiermann

65 Versand von Mails unter der ermittelten Kennung.
=> Identitätsdiebstahl LfD Rheinland-Pfalz H. Eiermann

66 Vorbeugung • Passwortgestaltung und -gebrauch
• Verlässliche Authentifizierung • Serverkonfiguration • Gestaltung der Anwendung • Protokollierung / Auswertung LfD Rheinland-Pfalz H. Eiermann

67 Zugang zu Administrationsoberflächen via Internet
Sonstiges Zugang zu Administrationsoberflächen via Internet LfD Rheinland-Pfalz H. Eiermann

68 zugehöriges SQL-Statement: SELECT ... FROM ... WHERE $az=
Browserzeile: ... zugehöriges SQL-Statement: SELECT ... FROM ... WHERE $az= LfD Rheinland-Pfalz H. Eiermann

69 zugehöriges SQL-Statement: SELECT ... FROM ... WHERE $az=
Browserzeile: ... zugehöriges SQL-Statement: SELECT ... FROM ... WHERE $az= az= /2005 LfD Rheinland-Pfalz H. Eiermann

70 Anwendungsentwicklung (Konzeption, Programmierung)
Erkenntnisse: • Alle Angriffe erfolgten auf Anwendungsebene • Vorkehrungen auf Netzebene sind ohne Wirkung • Schwachstellen resultieren zum Teil aus Versäumnissen bei der Anwendungsentwicklung (Konzeption, Programmierung) • Mögliche Risiken wurden nicht thematisiert • Kommunikationsdefizite • Verbundentwicklungen bieten nicht zwangsläufig höheren Schutz • Risikobetrachtung / Sicherheitsuntersuchungen sind nicht erfolgt • Defizite bei der Überwachung sicherheitsrelevanter Ereignisse • Administrative Defizite • Arglosigkeit ... LfD Rheinland-Pfalz H. Eiermann

71 122 Mio WebSites LfD Rheinland-Pfalz H. Eiermann

72 ... admin.asp, admin.js, admin.html
Ich finde Dich ... ! LfD Rheinland-Pfalz H. Eiermann

73 ... admin.asp, admin.js, admin.html
... login.asp, login.js, login.html Ich finde Dich ... ! LfD Rheinland-Pfalz H. Eiermann

74 ... admin.asp, admin.js, admin.html
... login.asp, login.js, login.html Ich finde Dich ... ! ... anmeldung.asp, anmeldung.js, anmeldung.html LfD Rheinland-Pfalz H. Eiermann

75 Konsequenzen: • Risikobetrachtung
• Sicherheit als Aspekt der eGovernment-Tauglichkeit • Sicherheitskonzept / Evaluation • Filterung der Benutzereingaben (Input-Validation) • Überwachung sicherheitsrelevanter Ereignisse • Sichere Konfiguration der Anwendungsplattform („Härtung“) • Sicherheitsbewusste Administration („Betriebshandbuch“) • Sichere Anwendungsentwicklung („Pflichtenheft Anwendungssicherheit“) LfD Rheinland-Pfalz H. Eiermann

76 Verfahrenskomponenten
Anwendung Server- / Plattform Netzwerk LfD Rheinland-Pfalz H. Eiermann

77 Verfahrenskomponenten Sicherheitsmaßnahmen:
Anwendung Server- / Plattform Administration, Konfiguration, Betrieb Netzwerk Netzstruktur, Firewall LfD Rheinland-Pfalz H. Eiermann

78 Verfahrenskomponenten Sicherheitsmaßnahmen:
Anwendung Entwicklung, Administration, Konfiguration Server- / Plattform Netzwerk LfD Rheinland-Pfalz H. Eiermann

79 Quelle: www.microsoft.com/germany/msdn/library/security/
Handbuch „Erhöhen der Sicherheit von Webanwendungen“ LfD Rheinland-Pfalz H. Eiermann

80 Quelle: www.bsi.de/literat/studien/websec/index.htm
LfD Rheinland-Pfalz H. Eiermann

Herunterladen ppt "Www.datenschutz.rlp.de poststelle@datenschutz.rlp.de LfD Rheinland-Pfalz H. Eiermann."

Ähnliche Präsentationen

DI Christian Donner cd (at) donners.com

DI Christian Donner cd (at) donners.com
SQL Injection – Funktionsweise und Gegenmaßnahmen

SQL Injection – Funktionsweise und Gegenmaßnahmen
Warum WordPress Sicherung?

Warum WordPress Sicherung?
Be.as WEB Technologie 25.03.2017.

Be.as WEB Technologie
Surfen im Internet.

Surfen im Internet.
Was gibt´s neues im Bereich Sicherheit

Was gibt´s neues im Bereich Sicherheit
Sichere Anbindung kleiner Netze ans Internet

Sichere Anbindung kleiner Netze ans Internet
für das Schulnetz der BS Roth

für das Schulnetz der BS Roth
Funktionserweiterungen für den ISA Server 2000 mit dem Feature Pack 1 Funktionserweiterungen für den ISA Server 2000 mit dem Feature Pack 1 Christian Thor.

Funktionserweiterungen für den ISA Server 2000 mit dem Feature Pack 1 Funktionserweiterungen für den ISA Server 2000 mit dem Feature Pack 1 Christian Thor.
SQL Server 2005.NET Integration Sebastian Weber Developer Evangelist Microsoft Deutschland GmbH.

SQL Server 2005.NET Integration Sebastian Weber Developer Evangelist Microsoft Deutschland GmbH.
- 0 - Sicherheit Copyright ©2001 Granitar Incorporated. All rights reserved. Architektur Moderner Internet Applikationen 22.-24.4.2004 TU Wien/Ausseninstitut.

- 0 - Sicherheit Copyright ©2001 Granitar Incorporated. All rights reserved. Architektur Moderner Internet Applikationen TU Wien/Ausseninstitut.
Firewalls.

Firewalls.
Die 20 beliebtesten Versäumnisse hinsichtlich Sicherheit in der Softwareentwicklung EUROSEC GmbH Chiffriertechnik & Sicherheit Tel: 06173 / 60850, www.eurosec.com.

Die 20 beliebtesten Versäumnisse hinsichtlich Sicherheit in der Softwareentwicklung EUROSEC GmbH Chiffriertechnik & Sicherheit Tel: / 60850,
Aufbau des Internets Überblick Prof. Dr. T. Hildebrandt

Aufbau des Internets Überblick Prof. Dr. T. Hildebrandt
Pflege der Internetdienste

Pflege der Internetdienste
Seminar Internet-Dienste

Seminar Internet-Dienste
Erweiterung B2B Usermanagement / LDAP-Anbindung

Erweiterung B2B Usermanagement / LDAP-Anbindung
Information und Technik Nordrhein-Westfalen Single Sign On mit CAS Düsseldorf, 30.10.2009 1 Single Sign On für Webanwendungen am Beispiel von CAS.

Information und Technik Nordrhein-Westfalen Single Sign On mit CAS Düsseldorf, Single Sign On für Webanwendungen am Beispiel von CAS.
Oracle PL/SQL Server Pages (PSP). © Prof. T. Kudraß, HTWK Leipzig Grundidee: PSP – Internet-Seiten mit dynamischer Präsentation von Inhalten durch Einsatz.

Oracle PL/SQL Server Pages (PSP). © Prof. T. Kudraß, HTWK Leipzig Grundidee: PSP – Internet-Seiten mit dynamischer Präsentation von Inhalten durch Einsatz.
Oracle WebServer - Einführung. © Prof. T. Kudraß, HTWK Leipzig Oracle Web Application Server HTML WebServer ® File system Static HTML PL/SQL Packages.

Oracle WebServer - Einführung. © Prof. T. Kudraß, HTWK Leipzig Oracle Web Application Server HTML WebServer ® File system Static HTML PL/SQL Packages.

Ähnliche Präsentationen

Google-Anzeigen