Die Präsentation wird geladen. Bitte warten

Die Präsentation wird geladen. Bitte warten

Www.datenschutz.rlp.de poststelle@datenschutz.rlp.de LfD Rheinland-Pfalz H. Eiermann.

Ähnliche Präsentationen


Präsentation zum Thema: "Www.datenschutz.rlp.de poststelle@datenschutz.rlp.de LfD Rheinland-Pfalz H. Eiermann."—  Präsentation transkript:

1 www.datenschutz.rlp.de poststelle@datenschutz.rlp.de
LfD Rheinland-Pfalz H. Eiermann

2 Europäischer Datenschutztag 28. Januar 2008
“Denn Sie wissen nicht, was sie tun...” Datenschutz in der Online-Generation Info-Shop 3 “Wie sicher ist die Technik ?” Sicherheitsaspekte von Web-Anwendungen LfD Rheinland-Pfalz H. Eiermann

3 Web-Anwendungen LfD Rheinland-Pfalz H. Eiermann

4 IT-Struktur Web-Anwendung
LfD Rheinland-Pfalz H. Eiermann

5 Schulverwaltungsnetz
Datei-/Anwendungsserver LfD Rheinland-Pfalz H. Eiermann

6 Schulverwaltungsnetz Pädagogisches Netz
Datei-/Anwendungsserver Datei-/Anwendungsserver LfD Rheinland-Pfalz H. Eiermann

7 Schulverwaltungsnetz Pädagogisches Netz
Intranet-Server Datei-/Anwendungsserver Datei-/Anwendungsserver LfD Rheinland-Pfalz H. Eiermann

8 Schulverwaltungsnetz Pädagogisches Netz
Intranet-Server Datei-/Anwendungsserver Datei-/Anwendungsserver LfD Rheinland-Pfalz H. Eiermann

9 Schulverwaltungsnetz Pädagogisches Netz
Intranet-Server Router/Firewall Datei-/Anwendungsserver Datei-/Anwendungsserver LfD Rheinland-Pfalz H. Eiermann

10 Schulverwaltungsnetz Pädagogisches Netz
rlp-Netz Schulverwaltungsnetz Pädagogisches Netz Web- / Intranet-Server Mailserver Router/Firewall Datei-/Anwendungsserver Datei-/Anwendungsserver LfD Rheinland-Pfalz H. Eiermann

11  IP Spoofing Manipulation von Datenpaketen  ICMP-Attacken
Angriffsszenarien  IP Spoofing Manipulation von Datenpaketen  ICMP-Attacken Missbrauch von Kontrollnachrichten  Replay-Attacken Aufzeichnen und erneutes Einspielen von Datenpaketen  Buffer-Overflow-Attacken Einschleußen von Programmcode durch Speicherüberlauf  ARP-Spoofing Manipulation von Datenströmen im LAN  DNS Spoofing Vortäuschen/Manipulation von DNS-Angaben  Web Spoofing Kontrolle der Verbindung zwischen Client und Server  Protokoll-Tunneling Kapselung in unverdächtigen Protokollen  Denial of Service-Attacken (DOS, DDoS) SYN-Flooding, Mail-Bomben  Schadenssoftware Viren, Würmer, Trojanische Pferde Aktive Komponenten (ActiveX, Java) LfD Rheinland-Pfalz H. Eiermann

12 Schulverwaltungsnetz Pädagogisches Netz
rlp-Netz Schulverwaltungsnetz Pädagogisches Netz Webserver/Intranet-Server Mailserver Router/Firewall Datei-/Anwendungsserver Datei-/Anwendungsserver LfD Rheinland-Pfalz H. Eiermann

13 Schulverwaltungsnetz Pädagogisches Netz
rlp-Netz Schulverwaltungsnetz Pädagogisches Netz Webserver/Intranet-Server Router/Firewall Mailserver Router/Firewall Datei-/Anwendungsserver Datei-/Anwendungsserver LfD Rheinland-Pfalz H. Eiermann

14 Schulverwaltungsnetz Pädagogisches Netz
rlp-Netz Schulverwaltungsnetz Pädagogisches Netz Webserver/Intranet-Server Router/Firewall Mailserver Router/Firewall Datei-/Anwendungsserver Datei-/Anwendungsserver LfD Rheinland-Pfalz H. Eiermann

15 Schulverwaltungsnetz Pädagogisches Netz
rlp-Netz Schulverwaltungsnetz Pädagogisches Netz Webserver/Intranet-Server Router/Firewall Mailserver Router/Firewall Datei-/Anwendungsserver Datei-/Anwendungsserver LfD Rheinland-Pfalz H. Eiermann

16 Firewall LfD Rheinland-Pfalz H. Eiermann

17 Firewall # ipfwadm -F -f # ipfwadm -F -p deny
# ipfwadm -F -a accept -P tcp -S /24 -D 0/0 80 # ipfwadm -F -a accept -P tcp -S 0/0 80 -D /24 # ... LfD Rheinland-Pfalz H. Eiermann

18 Sicherheitsmaßnahmen (Filterung nach IP-Adressen, Ports, Diensten)
Netzwerkebene LfD Rheinland-Pfalz H. Eiermann

19 Sicherheitsmaßnahmen
Anwendungsebene Sicherheitsmaßnahmen (Applikationssicherheit, Systemhärtung, Konfiguration) LfD Rheinland-Pfalz H. Eiermann

20 # ipfwadm -F -a accept -P tcp -S ANY -D 172.16.1.0/24 -port 80
Pädagogisches Netz Webserver/Intranet-Server Router/Firewall # ipfwadm -F -a accept -P tcp -S ANY -D /24 -port 80 Router/Firewall Datei-/Anwendungsserver LfD Rheinland-Pfalz H. Eiermann

21 Online-Kontrollen des LfD
• Schwerpunkt Internet-basierte Anwendungen • Nutzung frei verfügbarer Software für Analyse und Test • Nutzung frei verfügbarer Informationen LfD Rheinland-Pfalz H. Eiermann

22 Brutus, WebCrack, wwwhack Hydra
Tools Brutus, WebCrack, wwwhack Hydra nikto Manuelle Exploits (!) LfD Rheinland-Pfalz H. Eiermann

23 Beispiele für Vorgehensweisen / festgestellte Defizite
Beispiel 1: Directory Traversal Beispiel 2: SQL-Injection Beispiel 3: Wörterbuch-/BruteForce-Attacke LfD Rheinland-Pfalz H. Eiermann

24 Beispiel 1: „Directory Traversal“
Gemeinsames Internet-Angebot mehrerer Bundesländer • Ausbrechen aus der vorgegebenen Verzeichnisstruktur eines Webservers • Hintergrund: Fehlerhafte Zugriffsrechte Hinweise im Seitenquelltext „ratbare“ Verzeichnisstruktur • Probleme: Unbefugter Datenzugriff; Manipulation LfD Rheinland-Pfalz H. Eiermann

25 LfD Rheinland-Pfalz H. Eiermann

26 1. Quelltextanalyse src=”http://f009.internet.shop.net/counter.js“>
LfD Rheinland-Pfalz H. Eiermann

27 2. Browseraufruf: http://f009.internet.shop.net ... erfolglos
1. Quelltextanalyse src=”http://f009.internet.shop.net/counter.js“> 2. Browseraufruf: ... erfolglos LfD Rheinland-Pfalz H. Eiermann

28 2. Browseraufruf: http://f009.internet.shop.net ... erfolglos
1. Quelltextanalyse src=”http://f009.internet.shop.net/counter.js“> 2. Browseraufruf: ... erfolglos 3. Browseraufruf: LfD Rheinland-Pfalz H. Eiermann

29 2. Browseraufruf: http://f009.internet.shop.net ... erfolglos
1. Quelltextanalyse src=”http://f009.internet.shop.net/counter.js“> 2. Browseraufruf: ... erfolglos 3. Browseraufruf: https://internet.shop.net/f009 LfD Rheinland-Pfalz H. Eiermann

30 2. Browseraufruf: http://f009.internet.shop.net ... erfolglos
1. Quelltextanalyse src=”http://f009.internet.shop.net/counter.js“> 2. Browseraufruf: ... erfolglos 3. Browseraufruf: https://internet.shop.net/f009 LfD Rheinland-Pfalz H. Eiermann

31 4. Browseraufruf: https://internet.shop.net/f009/logs/
/internet.shop.net/f009/logs/counter2.csv LfD Rheinland-Pfalz H. Eiermann

32 IP-Adresse des Nutzers
4. Browseraufruf: https://internet.shop.net/f009/logs/ /internet.shop.net/f009/logs/counter2.csv Datum/Uhrzeit IP-Adresse des Nutzers Zugangsknoten URL LfD Rheinland-Pfalz H. Eiermann

33 https://internet.shop.net/f002/logs/counter2.csv https://internet.shop.net/f003/logs/counter2.csv https://internet.shop.net/f004/logs/counter2.csv https://internet.shop.net/f005/logs/counter2.csv https://internet.shop.net/f006/logs/counter2.csv https://internet.shop.net/f007/logs/counter2.csv https://internet.shop.net/f008/logs/counter2.csv https://internet.shop.net/f009/logs/counter2.csv https://internet.shop.net/f010/logs/counter2.csv https://internet.shop.net/f011/logs/counter2.csv https://internet.shop.net/f012/logs/counter2.csv https://internet.shop.net/f013/logs/counter2.csv https://internet.shop.net/f014/logs/counter2.csv https://internet.shop.net/f015/logs/counter2.csv https://internet.shop.net/f016/logs/counter2.csv https://internet.shop.net/f017/logs/counter2.csv https://internet.shop.net/f018/logs/counter2.csv https://internet.shop.net/f019/logs/counter2.csv

34 Im Ergebnis konnten in 19 Fällen Zugriffsdaten heruntergeladen werden.
Das Gesamtvolumen der Daten betrug ca MB (entspricht etwa Druckseiten DIN A 4- Seiten). Zeitaufwand insgesamt: ca. 1 Std. LfD Rheinland-Pfalz H. Eiermann

35 (Server-Root, Document-Root)
Vorbeugung • Gestaltung des Web-Angebots • Reduzierung der Hinweise im Seitenquelltext • Anpassung der Zugriffsrechte, Konfiguration des Webservers (Server-Root, Document-Root) LfD Rheinland-Pfalz H. Eiermann

36 Beispiel 2: „SQL-Injection“ Internet-basierte Register-Anwendung
• Kompromittierung der Web-Anwendung durch die Eingabe von SQL-Anweisungen • Hintergrund: Web-Applikation mit nachgeschalteter Datenbank Eingabefelder Mangelnde Prüfung von Benutzereingaben • Problem: Umgehung der Authentifizierung Unbefugter Datenzugriff Datenveränderung LfD Rheinland-Pfalz H. Eiermann

37 LfD Rheinland-Pfalz H. Eiermann

38 LfD Rheinland-Pfalz H. Eiermann

39 Web-Anwendung LfD Rheinland-Pfalz H. Eiermann

40 Web-Anwendung Dahinter stehende SQL-Anweisung:
rlpuser01 sE5Am Dahinter stehende SQL-Anweisung: select ... from ... where name=‘ rlpuser01‘ and passwd=‘ sE5Am‘ LfD Rheinland-Pfalz H. Eiermann

41 Web-Anwendung LfD Rheinland-Pfalz H. Eiermann

42 Web-Anwendung Dahinter stehende SQL-Anweisung:
select ... from ... where name=‘ ... ‘ and passwd=‘ ...‘ LfD Rheinland-Pfalz H. Eiermann

43 Web-Anwendung Dahinter stehende SQL-Anweisung:
select ... from ... where name=‘ ... ‘ and passwd=‘ ...‘ Benutzereingabe führt zu: select ... from ... where name=‘4711‘ or ‘1=1‘-- LfD Rheinland-Pfalz H. Eiermann

44 Anmeldung ohne gültige Benutzerkennung
Ergebnis: Anmeldung ohne gültige Benutzerkennung oder Passwort war möglich Zeitaufwand ca. 5 sec LfD Rheinland-Pfalz H. Eiermann

45 Anmeldung ohne gültige Benutzerkennung
Ergebnis: Anmeldung ohne gültige Benutzerkennung oder Passwort war möglich Zeitaufwand ca. 5 sec Innerhalb der Anwendung sind bei fehlender Prüfung der Benutzereingaben SQL-Anweisungen für jeden angemeldeten Benutzer möglich. LfD Rheinland-Pfalz H. Eiermann

46 Schulverwaltungsnetz Pädagogisches Netz
Webserver/Intranet-Server Router/Firewall Mailserver Router/Firewall Datei-/Anwendungsserver Datei-/Anwendungsserver LfD Rheinland-Pfalz H. Eiermann

47 Variationen ... ... ‘4711‘ or ‘1=1‘ LfD Rheinland-Pfalz H. Eiermann

48 Variationen ... ... ‘4711‘ or ‘1=1‘ ... ‘4711‘ or ‘1=1‘; insert user ... LfD Rheinland-Pfalz H. Eiermann

49 Variationen ... ... ‘4711‘ or ‘1=1‘ ... ‘4711‘ or ‘1=1‘; insert user ... ... ‘4711‘ or ‘1=1‘; delete ... LfD Rheinland-Pfalz H. Eiermann

50 Variationen ... ... ‘4711‘ or ‘1=1‘ ... ‘4711‘ or ‘1=1‘; insert user ... ... ‘4711‘ or ‘1=1‘; delete ... ... ‘4711‘ or ‘1=1‘; drop table LfD Rheinland-Pfalz H. Eiermann

51 Variationen ... ... ‘4711‘ or ‘1=1‘ ... ‘4711‘ or ‘1=1‘; insert user ... ... ‘4711‘ or ‘1=1‘; delete ... ... ‘4711‘ or ‘1=1‘; drop table ... ‘4711‘ or ‘1=1‘; exec master.dbo.xp_cmdshell ‘cmd.exe dir c: (MS SQL-Server, DB-User „sa“) LfD Rheinland-Pfalz H. Eiermann

52 Canonicalization ‘4711‘ or ‘1=1‘ LfD Rheinland-Pfalz H. Eiermann

53 ‘ = 0x27 Canonicalization ‘4711‘ or ‘1=1‘
0x x27+or+0x27+1=1+=0x27 0x27+0x34+0x37+0x31+0x31+0x27+0x20+0x64+0x72+0x20+0x27+0x31+0x3d+0x31+0x27 LfD Rheinland-Pfalz H. Eiermann

54 ‘ = 0x27 0x27 = char(39) Canonicalization ‘4711‘ or ‘1=1‘
0x x27+or+0x27+1=1+=0x27 0x27+0x34+0x37+0x31+0x31+0x27+0x20+0x64+0x72+0x20+0x27+0x31+0x3d+0x31+0x27 0x27 = char(39) char(39)+char(52)+char(55)+char(49)+char(49)+char(39)+char(11)+char(114) MS-SQL char(39,52,55,49,49,39,11, ) MySQL LfD Rheinland-Pfalz H. Eiermann

55 (Prepared Statements, Stored Procedures)
Vorbeugung • Gestaltung der Anwendung / Sichere Programmierung • Verwendung vorgefertigter Abfragen (Prepared Statements, Stored Procedures) • Filterung / Prüfung der Benutzereingaben (Input Validation) • Konfiguration des Webservers • Datenbank-Konfiguration “All user input is evil!” LfD Rheinland-Pfalz H. Eiermann

56 Mailserver mit Internet-basiertem Zugang (Outlook Web Access)
Beispiel 3: Mailserver mit Internet-basiertem Zugang (Outlook Web Access) „Wörterbuch- / Brute-Force-Attacke“ • Automatisiertes Ausprobieren möglicher Benutzerkennungen / Passwörter • Hintergrund: HTTP Basic Authentication • Problem: Aushebeln der Authentifizierung Unbefugter Datenzugriff Datenveränderung LfD Rheinland-Pfalz H. Eiermann

57 LfD Rheinland-Pfalz H. Eiermann

58 Anmeldeaufforderung .HTACCESS
LfD Rheinland-Pfalz H. Eiermann

59 Tool-Unterstützung (wwwhack) ...
LfD Rheinland-Pfalz H. Eiermann

60 Tool-Unterstützung ... ... für die Kennung „test“ mit beliebigem Passwort LfD Rheinland-Pfalz H. Eiermann

61 Tool-Unterstützung ... ... für eine beliebige Kennung mit einem beliebigem Passwort (Brute Force) Versuche mit einem Protokollvolumen von 500 MB wurden nicht erkannt. LfD Rheinland-Pfalz H. Eiermann

62 Tool-Unterstützung ... ... für vorgewählte Kennungen in einer Datei mit einem beliebigem Passwort (Wörterbuchattacke) z.B. admin administrator system sa nimda service lvarp test ... LfD Rheinland-Pfalz H. Eiermann

63 Ergebnis: gültige Kombinationen Benutzerkennung: Passwort
27078:lvarp 80610:lvarp 80624:lvarp 80670:lvarp 80683:lvarp 90002:lvarp 90004:lvarp 90005:lvarp 90007:lvarp 90201:lvarp 90202:lvarp 90205:lvarp 90302:lvarp 90505:lvarp lvarp:lvarp test:test Zeitaufwand insgesamt: ca. 30 min LfD Rheinland-Pfalz H. Eiermann

64 Zugriff auf Postfächer und Ablagestruktur
LfD Rheinland-Pfalz H. Eiermann

65 Versand von Mails unter der ermittelten Kennung.
=> Identitätsdiebstahl LfD Rheinland-Pfalz H. Eiermann

66 Vorbeugung • Passwortgestaltung und -gebrauch
• Verlässliche Authentifizierung • Serverkonfiguration • Gestaltung der Anwendung • Protokollierung / Auswertung LfD Rheinland-Pfalz H. Eiermann

67 Zugang zu Administrationsoberflächen via Internet
Sonstiges Zugang zu Administrationsoberflächen via Internet LfD Rheinland-Pfalz H. Eiermann

68 zugehöriges SQL-Statement: SELECT ... FROM ... WHERE $az=
Browserzeile: ... zugehöriges SQL-Statement: SELECT ... FROM ... WHERE $az= LfD Rheinland-Pfalz H. Eiermann

69 zugehöriges SQL-Statement: SELECT ... FROM ... WHERE $az=
Browserzeile: ... zugehöriges SQL-Statement: SELECT ... FROM ... WHERE $az= az= /2005 LfD Rheinland-Pfalz H. Eiermann

70 Anwendungsentwicklung (Konzeption, Programmierung)
Erkenntnisse: • Alle Angriffe erfolgten auf Anwendungsebene • Vorkehrungen auf Netzebene sind ohne Wirkung • Schwachstellen resultieren zum Teil aus Versäumnissen bei der Anwendungsentwicklung (Konzeption, Programmierung) • Mögliche Risiken wurden nicht thematisiert • Kommunikationsdefizite • Verbundentwicklungen bieten nicht zwangsläufig höheren Schutz • Risikobetrachtung / Sicherheitsuntersuchungen sind nicht erfolgt • Defizite bei der Überwachung sicherheitsrelevanter Ereignisse • Administrative Defizite • Arglosigkeit ... LfD Rheinland-Pfalz H. Eiermann

71 122 Mio WebSites LfD Rheinland-Pfalz H. Eiermann

72 ... admin.asp, admin.js, admin.html
Ich finde Dich ... ! LfD Rheinland-Pfalz H. Eiermann

73 ... admin.asp, admin.js, admin.html
... login.asp, login.js, login.html Ich finde Dich ... ! LfD Rheinland-Pfalz H. Eiermann

74 ... admin.asp, admin.js, admin.html
... login.asp, login.js, login.html Ich finde Dich ... ! ... anmeldung.asp, anmeldung.js, anmeldung.html LfD Rheinland-Pfalz H. Eiermann

75 Konsequenzen: • Risikobetrachtung
• Sicherheit als Aspekt der eGovernment-Tauglichkeit • Sicherheitskonzept / Evaluation • Filterung der Benutzereingaben (Input-Validation) • Überwachung sicherheitsrelevanter Ereignisse • Sichere Konfiguration der Anwendungsplattform („Härtung“) • Sicherheitsbewusste Administration („Betriebshandbuch“) • Sichere Anwendungsentwicklung („Pflichtenheft Anwendungssicherheit“) LfD Rheinland-Pfalz H. Eiermann

76 Verfahrenskomponenten
Anwendung Server- / Plattform Netzwerk LfD Rheinland-Pfalz H. Eiermann

77 Verfahrenskomponenten Sicherheitsmaßnahmen:
Anwendung Server- / Plattform Administration, Konfiguration, Betrieb Netzwerk Netzstruktur, Firewall LfD Rheinland-Pfalz H. Eiermann

78 Verfahrenskomponenten Sicherheitsmaßnahmen:
Anwendung Entwicklung, Administration, Konfiguration Server- / Plattform Netzwerk LfD Rheinland-Pfalz H. Eiermann

79 Quelle: www.microsoft.com/germany/msdn/library/security/
Handbuch „Erhöhen der Sicherheit von Webanwendungen“ LfD Rheinland-Pfalz H. Eiermann

80 Quelle: www.bsi.de/literat/studien/websec/index.htm
LfD Rheinland-Pfalz H. Eiermann


Herunterladen ppt "Www.datenschutz.rlp.de poststelle@datenschutz.rlp.de LfD Rheinland-Pfalz H. Eiermann."

Ähnliche Präsentationen


Google-Anzeigen