Die Präsentation wird geladen. Bitte warten

Die Präsentation wird geladen. Bitte warten

LfD Rheinland-Pfalz H. Eiermann

Ähnliche Präsentationen


Präsentation zum Thema: "LfD Rheinland-Pfalz H. Eiermann"—  Präsentation transkript:

1 LfD Rheinland-Pfalz H. Eiermann

2 Europäischer Datenschutztag 28. Januar 2008 Denn Sie wissen nicht, was sie tun... Datenschutz in der Online-Generation Info-Shop 3 Wie sicher ist die Technik ? LfD Rheinland-Pfalz H. Eiermann Sicherheitsaspekte von Web-Anwendungen

3 LfD Rheinland-Pfalz H. Eiermann Web-Anwendungen

4 LfD Rheinland-Pfalz H. Eiermann IT-Struktur Web-Anwendung

5 LfD Rheinland-Pfalz H. Eiermann Schulverwaltungsnetz Datei-/Anwendungsserver

6 LfD Rheinland-Pfalz H. Eiermann Pädagogisches NetzSchulverwaltungsnetz Datei-/Anwendungsserver

7 LfD Rheinland-Pfalz H. Eiermann Pädagogisches NetzSchulverwaltungsnetz Intranet-Server Datei-/Anwendungsserver

8 LfD Rheinland-Pfalz H. Eiermann Pädagogisches NetzSchulverwaltungsnetz Intranet-Server Datei-/Anwendungsserver

9 LfD Rheinland-Pfalz H. Eiermann Pädagogisches NetzSchulverwaltungsnetz Router/Firewall Intranet-Server Datei-/Anwendungsserver

10 LfD Rheinland-Pfalz H. Eiermann Pädagogisches NetzSchulverwaltungsnetz Router/Firewall Web- / Intranet-Server Mailserver Datei-/Anwendungsserver rlp-Netz

11 LfD Rheinland-Pfalz H. Eiermann Angriffsszenarien IP Spoofing Manipulation von Datenpaketen ICMP-Attacken Missbrauch von Kontrollnachrichten Replay-Attacken Aufzeichnen und erneutes Einspielen von Datenpaketen Buffer-Overflow-Attacken Einschleußen von Programmcode durch Speicherüberlauf ARP-Spoofing Manipulation von Datenströmen im LAN DNS Spoofing Vortäuschen/Manipulation von DNS-Angaben Web Spoofing Kontrolle der Verbindung zwischen Client und Server Protokoll-Tunneling Kapselung in unverdächtigen Protokollen Denial of Service-Attacken (DOS, DDoS) SYN-Flooding, Mail-Bomben Schadenssoftware Viren, Würmer, Trojanische Pferde Aktive Komponenten (ActiveX, Java)

12 LfD Rheinland-Pfalz H. Eiermann Pädagogisches NetzSchulverwaltungsnetz Router/Firewall Webserver/Intranet-Server Mailserver Datei-/Anwendungsserver rlp-Netz

13 LfD Rheinland-Pfalz H. Eiermann Pädagogisches NetzSchulverwaltungsnetz Router/Firewall Webserver/Intranet-Server Mailserver Datei-/Anwendungsserver rlp-Netz Router/Firewall

14 LfD Rheinland-Pfalz H. Eiermann Pädagogisches NetzSchulverwaltungsnetz Router/Firewall Webserver/Intranet-Server Mailserver Datei-/Anwendungsserver rlp-Netz Router/Firewall

15 LfD Rheinland-Pfalz H. Eiermann Pädagogisches NetzSchulverwaltungsnetz Router/Firewall Webserver/Intranet-Server Mailserver Datei-/Anwendungsserver rlp-Netz Router/Firewall

16 LfD Rheinland-Pfalz H. Eiermann Firewall

17 LfD Rheinland-Pfalz H. Eiermann Firewall # ipfwadm -F -f # ipfwadm -F -p deny # ipfwadm -F -a accept -P tcp -S /24 -D 0/0 80 # ipfwadm -F -a accept -P tcp -S 0/0 80 -D /24 #...

18 LfD Rheinland-Pfalz H. Eiermann Sicherheitsmaßnahmen (Filterung nach IP-Adressen, Ports, Diensten) Netzwerkebene

19 LfD Rheinland-Pfalz H. Eiermann Sicherheitsmaßnahmen (Applikationssicherheit, Systemhärtung, Konfiguration) Anwendungsebene

20 LfD Rheinland-Pfalz H. Eiermann Pädagogisches Netz Router/Firewall Webserver/Intranet-Server Datei-/Anwendungsserver Router/Firewall # ipfwadm -F -a accept -P tcp -S ANY -D /24 -port 80

21 LfD Rheinland-Pfalz H. Eiermann Online-Kontrollen des LfD Schwerpunkt Internet-basierte Anwendungen Nutzung frei verfügbarer Software für Analyse und Test Nutzung frei verfügbarer Informationen

22 LfD Rheinland-Pfalz H. Eiermann Brutus, WebCrack, wwwhackHydra nikto Tools Manuelle Exploits (!)

23 LfD Rheinland-Pfalz H. Eiermann Beispiel 1: Directory Traversal Beispiel 2: SQL-Injection Beispiel 3: Wörterbuch-/BruteForce-Attacke Beispiele für Vorgehensweisen / festgestellte Defizite

24 LfD Rheinland-Pfalz H. Eiermann Beispiel 1: Directory Traversal Gemeinsames Internet-Angebot mehrerer Bundesländer Ausbrechen aus der vorgegebenen Verzeichnisstruktur eines Webservers Hintergrund: Fehlerhafte Zugriffsrechte Hinweise im Seitenquelltext ratbare Verzeichnisstruktur Probleme: Unbefugter Datenzugriff; Manipulation

25 LfD Rheinland-Pfalz H. Eiermann

26 LfD Rheinland-Pfalz H. Eiermann 1. Quelltextanalyse src=http://f009.internet.shop.net/counter.js >

27 LfD Rheinland-Pfalz H. Eiermann 1. Quelltextanalyse 2. Browseraufruf:http://f009.internet.shop.net... erfolglos src=http://f009.internet.shop.net/counter.js >

28 LfD Rheinland-Pfalz H. Eiermann 3. Browseraufruf:http://internet.shop.net/f Quelltextanalyse 2. Browseraufruf:http://f009.internet.shop.net... erfolglos src=http://f009.internet.shop.net/counter.js >

29 LfD Rheinland-Pfalz H. Eiermann 3. Browseraufruf:http://internet.shop.net/f Quelltextanalyse https:// internet.shop.net/f Browseraufruf:http://f009.internet.shop.net... erfolglos src=http://f009.internet.shop.net/counter.js >

30 LfD Rheinland-Pfalz H. Eiermann 3. Browseraufruf:http://internet.shop.net/f Quelltextanalyse https:// internet.shop.net/f Browseraufruf:http://f009.internet.shop.net... erfolglos src=http://f009.internet.shop.net/counter.js >

31 LfD Rheinland-Pfalz H. Eiermann 4. Browseraufruf:https://internet.shop.net/f009/logs/ /internet.shop.net/f009/logs/counter2.csv

32 LfD Rheinland-Pfalz H. Eiermann 4. Browseraufruf:https://internet.shop.net/f009/logs/ /internet.shop.net/f009/logs/counter2.csv Datum/UhrzeitIP-Adresse des Nutzers URL Zugangsknoten

33 https://internet.shop.net/f002/logs/counter2.csv https://internet.shop.net/f003/logs/counter2.csv https://internet.shop.net/f004/logs/counter2.csv https://internet.shop.net/f005/logs/counter2.csv https://internet.shop.net/f006/logs/counter2.csv https://internet.shop.net/f007/logs/counter2.csv https://internet.shop.net/f008/logs/counter2.csv https://internet.shop.net/f009/logs/counter2.csv https://internet.shop.net/f010/logs/counter2.csv https://internet.shop.net/f011/logs/counter2.csv https://internet.shop.net/f012/logs/counter2.csv https://internet.shop.net/f013/logs/counter2.csv https://internet.shop.net/f014/logs/counter2.csv https://internet.shop.net/f015/logs/counter2.csv https://internet.shop.net/f016/logs/counter2.csv https://internet.shop.net/f017/logs/counter2.csv https://internet.shop.net/f018/logs/counter2.csv https://internet.shop.net/f019/logs/counter2.csv

34 LfD Rheinland-Pfalz H. Eiermann Im Ergebnis konnten in 19 Fällen Zugriffsdaten heruntergeladen werden. Das Gesamtvolumen der Daten betrug ca. 300 MB (entspricht etwa Druckseiten DIN A 4- Seiten). Zeitaufwand insgesamt: ca. 1 Std.

35 LfD Rheinland-Pfalz H. Eiermann Vorbeugung Gestaltung des Web-Angebots Reduzierung der Hinweise im Seitenquelltext Anpassung der Zugriffsrechte, Konfiguration des Webservers (Server-Root, Document-Root)

36 LfD Rheinland-Pfalz H. Eiermann Beispiel 2: SQL-Injection Internet-basierte Register-Anwendung Kompromittierung der Web-Anwendung durch die Eingabe von SQL-Anweisungen Hintergrund:Web-Applikation mit nachgeschalteter Datenbank Eingabefelder Mangelnde Prüfung von Benutzereingaben Problem:Umgehung der Authentifizierung Unbefugter Datenzugriff Datenveränderung

37 LfD Rheinland-Pfalz H. Eiermann

38 LfD Rheinland-Pfalz H. Eiermann

39 LfD Rheinland-Pfalz H. Eiermann Web-Anwendung

40 LfD Rheinland-Pfalz H. Eiermann Dahinter stehende SQL-Anweisung: select... from... where name= rlpuser01 and passwd= sE5Am Web-Anwendung rlpuser01 sE5Am

41 LfD Rheinland-Pfalz H. Eiermann Web-Anwendung

42 LfD Rheinland-Pfalz H. Eiermann Dahinter stehende SQL-Anweisung: select... from... where name=... and passwd=... Web-Anwendung

43 LfD Rheinland-Pfalz H. Eiermann Dahinter stehende SQL-Anweisung: select... from... where name=... and passwd=... Benutzereingabe führt zu: select... from... where name=4711 or 1=1-- Web-Anwendung

44 LfD Rheinland-Pfalz H. Eiermann Anmeldung ohne gültige Benutzerkennung oder Passwort war möglich Zeitaufwand ca. 5 sec Ergebnis:

45 LfD Rheinland-Pfalz H. Eiermann Anmeldung ohne gültige Benutzerkennung oder Passwort war möglich Zeitaufwand ca. 5 sec Innerhalb der Anwendung sind bei fehlender Prüfung der Benutzereingaben SQL- Anweisungen für jeden angemeldeten Benutzer möglich. Ergebnis:

46 LfD Rheinland-Pfalz H. Eiermann Pädagogisches NetzSchulverwaltungsnetz Router/Firewall Webserver/Intranet-Server Mailserver Datei-/Anwendungsserver Router/Firewall

47 LfD Rheinland-Pfalz H. Eiermann Variationen or 1=1

48 LfD Rheinland-Pfalz H. Eiermann or 1= or 1=1; insert user... Variationen...

49 LfD Rheinland-Pfalz H. Eiermann or 1= or 1=1; insert user or 1=1; delete... Variationen...

50 LfD Rheinland-Pfalz H. Eiermann or 1= or 1=1; insert user or 1=1; delete or 1=1; drop table Variationen...

51 LfD Rheinland-Pfalz H. Eiermann or 1= or 1=1; insert user or 1=1; delete or 1=1; drop table or 1=1; exec master.dbo.xp_cmdshell cmd.exe dir c: (MS SQL-Server, DB-User sa) Variationen...

52 4711 or 1=1 Canonicalization LfD Rheinland-Pfalz H. Eiermann

53 4711 or 1=1 Canonicalization = 0x27 0x27+0x34+0x37+0x31+0x31+0x27+0x20+0x64+0x72+0x20+0x27+0x31+0x3d+0x31+0x27 0x x27+or+0x27+1=1+=0x27 LfD Rheinland-Pfalz H. Eiermann

54 4711 or 1=1 Canonicalization = 0x27 0x27+0x34+0x37+0x31+0x31+0x27+0x20+0x64+0x72+0x20+0x27+0x31+0x3d+0x31+0x27 0x27 = char(39) char(39)+char(52)+char(55)+char(49)+char(49)+char(39)+char(11)+char(114)..... MS-SQL char(39,52,55,49,49,39,11, ) MySQL 0x x27+or+0x27+1=1+=0x27 LfD Rheinland-Pfalz H. Eiermann

55 LfD Rheinland-Pfalz H. Eiermann Vorbeugung Gestaltung der Anwendung / Sichere Programmierung Verwendung vorgefertigter Abfragen (Prepared Statements, Stored Procedures) Filterung / Prüfung der Benutzereingaben (Input Validation) Konfiguration des Webservers Datenbank-Konfiguration All user input is evil!

56 LfD Rheinland-Pfalz H. Eiermann Beispiel 3: Mailserver mit Internet-basiertem Zugang (Outlook Web Access) Wörterbuch- / Brute-Force-Attacke Automatisiertes Ausprobieren möglicher Benutzerkennungen / Passwörter Hintergrund:HTTP Basic Authentication Problem:Aushebeln der Authentifizierung Unbefugter Datenzugriff Datenveränderung

57 LfD Rheinland-Pfalz H. Eiermann

58 LfD Rheinland-Pfalz H. Eiermann Anmeldeaufforderung.HTACCESS

59 LfD Rheinland-Pfalz H. Eiermann Tool-Unterstützung (wwwhack)...

60 LfD Rheinland-Pfalz H. Eiermann Tool-Unterstützung für die Kennung test mit beliebigem Passwort

61 LfD Rheinland-Pfalz H. Eiermann Tool-Unterstützung für eine beliebige Kennung mit einem beliebigem Passwort (Brute Force) Versuche mit einem Protokollvolumen von 500 MB wurden nicht erkannt.

62 LfD Rheinland-Pfalz H. Eiermann Tool-Unterstützung für vorgewählte Kennungen in einer Datei mit einem beliebigem Passwort (Wörterbuchattacke) z.B. admin administrator system sa nimda service lvarp test...

63 LfD Rheinland-Pfalz H. Eiermann 27078:lvarp 80610:lvarp 80624:lvarp 80670:lvarp 80683:lvarp 90002:lvarp 90004:lvarp 90005:lvarp 90007:lvarp 90201:lvarp 90202:lvarp 90205:lvarp 90302:lvarp 90505:lvarp lvarp:lvarp test:test Ergebnis: gültige Kombinationen Benutzerkennung: Passwort Zeitaufwand insgesamt: ca. 30 min

64 LfD Rheinland-Pfalz H. Eiermann Zugriff auf Postfächer und Ablagestruktur

65 LfD Rheinland-Pfalz H. Eiermann Versand von Mails unter der ermittelten Kennung. => Identitätsdiebstahl

66 LfD Rheinland-Pfalz H. Eiermann Vorbeugung Passwortgestaltung und -gebrauch Verlässliche Authentifizierung Serverkonfiguration Gestaltung der Anwendung Protokollierung / Auswertung

67 LfD Rheinland-Pfalz H. Eiermann Sonstiges Zugang zu Administrationsoberflächen via Internet

68 LfD Rheinland-Pfalz H. Eiermann Browserzeile: zugehöriges SQL-Statement: SELECT... FROM... WHERE $az=

69 LfD Rheinland-Pfalz H. Eiermann Browserzeile: zugehöriges SQL-Statement: SELECT... FROM... WHERE $az= az= /2005

70 LfD Rheinland-Pfalz H. Eiermann Erkenntnisse: Alle Angriffe erfolgten auf Anwendungsebene Vorkehrungen auf Netzebene sind ohne Wirkung Schwachstellen resultieren zum Teil aus Versäumnissen bei der Anwendungsentwicklung (Konzeption, Programmierung) Mögliche Risiken wurden nicht thematisiert Kommunikationsdefizite Verbundentwicklungen bieten nicht zwangsläufig höheren Schutz Risikobetrachtung / Sicherheitsuntersuchungen sind nicht erfolgt Defizite bei der Überwachung sicherheitsrelevanter Ereignisse Administrative Defizite Arglosigkeit...

71 LfD Rheinland-Pfalz H. Eiermann 122 Mio WebSites

72 LfD Rheinland-Pfalz H. Eiermann... admin.asp, admin.js, admin.html Ich finde Dich... !

73 LfD Rheinland-Pfalz H. Eiermann Ich finde Dich... !... admin.asp, admin.js, admin.html... login.asp, login.js, login.html

74 LfD Rheinland-Pfalz H. Eiermann Ich finde Dich... !... admin.asp, admin.js, admin.html... login.asp, login.js, login.html... anmeldung.asp, anmeldung.js, anmeldung.html

75 LfD Rheinland-Pfalz H. Eiermann Konsequenzen: Risikobetrachtung Sicherheit als Aspekt der eGovernment-Tauglichkeit Sicherheitskonzept / Evaluation Filterung der Benutzereingaben (Input-Validation) Überwachung sicherheitsrelevanter Ereignisse Sichere Konfiguration der Anwendungsplattform (Härtung) Sicherheitsbewusste Administration (Betriebshandbuch) Sichere Anwendungsentwicklung (Pflichtenheft Anwendungssicherheit)

76 LfD Rheinland-Pfalz H. Eiermann Anwendung Server- / Plattform Netzwerk Verfahrenskomponenten

77 Anwendung LfD Rheinland-Pfalz H. Eiermann Server- / Plattform Netzwerk Netzstruktur, Firewall Administration, Konfiguration, Betrieb VerfahrenskomponentenSicherheitsmaßnahmen:

78 Server- / Plattform Netzwerk LfD Rheinland-Pfalz H. Eiermann Anwendung Entwicklung, Administration, Konfiguration VerfahrenskomponentenSicherheitsmaßnahmen:

79 LfD Rheinland-Pfalz H. Eiermann Quelle: Handbuch Erhöhen der Sicherheit von Webanwendungen

80 LfD Rheinland-Pfalz H. Eiermann Quelle:


Herunterladen ppt "LfD Rheinland-Pfalz H. Eiermann"

Ähnliche Präsentationen


Google-Anzeigen