Lehrstuhl für Kommunikationssysteme - Systeme II1 Systeme II – 19te Vorlesung Lehrstuhl für Kommunikationssysteme Institut für Informatik / Technische.

Präsentation zum Thema: "Lehrstuhl für Kommunikationssysteme - Systeme II1 Systeme II – 19te Vorlesung Lehrstuhl für Kommunikationssysteme Institut für Informatik / Technische."—  Präsentation transkript:

1 Lehrstuhl für Kommunikationssysteme - Systeme II1 Systeme II – 19te Vorlesung Lehrstuhl für Kommunikationssysteme Institut für Informatik / Technische Fakultät Universität Freiburg 2009

2 Lehrstuhl für Kommunikationssysteme - Systeme II2 Letzte Vorlesung Abschluss der Bitübertragungsschicht und Bearbeitung des Schichtenmodells Betrachtung verschiedener Modulationsarten Beispiele für praktische Umsetzung: QAM, PSK Eigenschaften digitaler und analoger Signale Bit Error Rate und Signal-Rausch-Verhältnis Beschäftigung mit verschiedenen Übertragungsmedien, wie verschiedenen Kupferleitungen (Twisted Pair, Koaxial) und Glasfaser

3 Lehrstuhl für Kommunikationssysteme - Systeme II3 Letzte Vorlesung Eigenschaften des elektromagnetischen Spektrums, Frequenzbereiche, Ausbreitungsverhalten Mehrfachnutzung des Mediums durch Multiplexing DSL und Ethernet mit seinen verschiedenen Standards, Topologie,...

4 Lehrstuhl für Kommunikationssysteme - Systeme II4 Diese Vorlesung Einführung in Netzwerksicherheit, verschiedene Angriffs- möglichkeiten und Gegenmaßnahmen Mehr als eine kurze Einführing ist nicht möglich Andere Vorlesungen befassen sich detailiert mit diesem Themengebiet Der Fokus von Sicherheitsmaßnahme sollte nicht auf nur EINEN Netzwerklayer beschränkt sein Durch verschiedenste Maßnahmen wird versucht die auftretenden Probleme zu lösen (keine Einzelmaßnahme die alle Sicherheitsprobleme lösen kann) Es tauchen immer wieder neue Angriffsmöglichkeiten und Sicherheitslücken auf, zu denen entsprechenen Gegenmaßnahmen entwickelt werden

5 Lehrstuhl für Kommunikationssysteme - Systeme II5 Leichte Analyse von Netzwerkverbindungen

6 Lehrstuhl für Kommunikationssysteme - Systeme II6 Sicherheitsrisiken im Internet IP Pakete lassen sich sehr leicht mitlesen (Voraussetzung sind lediglich geeignete Werkzeuge und Position im Netz) Beispielsweise wireshark kann den Anwender/Netzwerk- admin Grafische Benutzeroberfläche zur Paketanalyse Kann Pakete der unterschiedlichsten Protokolle mitschneiden TCP Streams können nachvollzogen werden (kann die einzelnen Pakete der entsprechenen Kommunikation zuordnen) Dieses Programm sollte aus den praktischen Übungen bekannt sein wie auch weitere Programme: tcpdump, nmap,...

7 Lehrstuhl für Kommunikationssysteme - Systeme II7 Sicherheitsrisiken im Internet Warum Pakete derart einfach mitzulesen? Sämtliche kommunikatiosnvorgänge sind standardisiert – sonst wäre keine Kommunikation möglich (z.B. Menschen die nur unterschiedliche Sprachen sprechen können sich auch nur schwer unterhalten) Sogar nicht offene Protokolle, wie ettliche Implemenationen im Windows Netzwerk Service sind inzwischen komplett verstanden und "nachgebaut" (z.B der Windows Samba Service durch trial-and-error und reverse engineering) ALSO: Keine Sicherheit durch Verschleierung! (No security by obscurity!!)

8 Lehrstuhl für Kommunikationssysteme - Systeme II8 Sicherheitsrisiken im Internet UND: Die Einfachheit der TCP/IP Protokollfamilie trug maßgeblich zum rasanten Wachstum des Internets bei und ist in den unterschiedlichsten Betriebsystem implementiert Das Internet ist eine der wichtigsten Technologien zur Kommunikation und zum Informationsaustausch Eine Vielzahl von unterschiedlichster Geschäftsmodelle basiert auf diesem Netzwerk (Online Shops, Auktionen, B2B, Multiplayer Spiele (Quake III ;) ), Werbung, Porno Seiten, Web Services,... )

9 Lehrstuhl für Kommunikationssysteme - Systeme II9 Sicherheitsrisiken im Internet Kommunikationsmethoden wie klassische Telefonie und Fax werden mehr und mehr durch neure Kommunikationsmethoden wie Internettelefonie und E-Mail verdrängt Produktion und Entwicklung basiert inzwischen hauptsächlich auf Netzwerken – die meisten Informationen werden direkt über das Internet oder Netzwerk mit Hilfe von Datenbanken ausgetauscht Zur Zeit: Internettelefonie für IP Netzwerke, um eine bereits vorhandene Infrastruktur noch besser ausnutzen zu können und zur Kostenreduzierung

10 Lehrstuhl für Kommunikationssysteme - Systeme II10 Sicherheitsrisiken im Internet Netzwerke können auf allen Layern attackiert werden Layer 1 und 2 z.B. ARP spoofing in Netzwerken für man-in-the-middle Angriffe - sämtlicher Datenverkehr wird über den PC des Angreifers umgeleitet Angriffe auf WLANs (Funkwellen enden nicht einfach an der Haustüre): Frequenzband kann durch spezielle Pakete leicht gestört werden WEP Verschlüsselung kann in wenigen Sekunden umgangen werden Dialer Programme (heutzutage kaum noch im Einsatz) – stellten eine teure Einwahl über spezielle Einwahlnummern her

11 Lehrstuhl für Kommunikationssysteme - Systeme II11 Sicherheitsrisiken im Internet Layer 3 IP spoofing – Versenden von IP-Paketen mit gefälschter Absender-IP-Adresse (Motivation für IPSec) Angriff auf Routing Protokolle wie z.B. RIP (II) um Datenverkehr in Netzwerken umzuleiten (ICMP redirects),...

12 Lehrstuhl für Kommunikationssysteme - Systeme II12 Sicherheitsrisiken im Internet Layer 4 Sehr einfach manipulierte nicht angeforderte UDP Packete zu versenden – Manipulation verbindungsloser Services wie SNMP, DHCP, DNS,... Übernahme von TCP Verbindungen – offene Telnet Session, E- Mail, http Sessions TCP-SYN-Angriff (öffne soviele TCP Verbindungen wie möglich von den unterschiedlichsten Hosts und lasse die Verbindung offen ohen sie weiter zu nutzen -> Überlastung: Art von distributed denial of service (DdoS)) Dynamische Routing Protokolle haben ebenfalls ihre Schwachstellen

13 Lehrstuhl für Kommunikationssysteme - Systeme II13 Sicherheitsrisiken im Internet Layer 7 – Anwendungsschicht SANS Institut Top 20 Internet Security Risks Web-Anwendungen Datendiebstahl und Einbruch in verbundene Rechner der Web-Site Leichtgläubige Computer-Benutzer und Verantwortliche befolgen falschen Anweisungen in Phishing-Anweisungen Folgen: leere Bankkonten, Geheimnisverrat, Industriespionage,...

14 Lehrstuhl für Kommunikationssysteme - Systeme II14 Sicherheitsrisiken im Internet Sicherheitslücken in Anwendungssoftware Web-Browser Office Software Email Clients Media Players Sicherheitslücken im Betriebssystemen und Systemsoftware Windows Unix & Mac OS Backup Software Anti-virus Software Management Softare VOIP Servers

15 Lehrstuhl für Kommunikationssysteme - Systeme II15 Top 20 Internet Security Risks Eintrittsmöglichkeiten für Malware Super-User-Rechte Unauthorisierte Geräte Unverschlüsselte Laptops Tragbare Datenträger Nutzermissbrauch durch Software-Gebrauch Instant Messaging Peer-to-Peer Programme Preisgabe von Information, illegale Aktivitäten Zero-day-Angriffe Angriffe bevor Patches verfügbar sind

16 Lehrstuhl für Kommunikationssysteme - Systeme II16 Sicherheitsbedrohungen von Rechnern Absichtliche Bedrohung Bösartige Software Virus, Wurm, Trojanisches Pferd, Zeitbombe, logische Bombe, Rabbit, Bacterium Spoofing Spoofing (IP-Klau) Masquerading (Vorspielen einer Benutzer-ID) Scanning (Passwort-Attacke) Abhören digital, physikalisch Scavenging Dumpster Diving, Browsing Spamming (DoS) Tunneln - Zugriff auf Low-Level-Systemkomponenten bzw. Durchschleusen unerlaubten Traffics (später dazu mehr)

17 Lehrstuhl für Kommunikationssysteme - Systeme II17 Sicherheitsbedrohungen von Rechnern Unabsichtliche Bedrohung Fehlfunktion Hardware/Software-Fehler Bedienfehler Trapdoor, Benutzer/Administrator-Fehler Physikalische Bedrohung Klassische Katastrophen: Feuer, Wasser Stromausfall (Sinkende Zuverlässigkeit der Stromnetze) In anderen Gebieten auch: Aufruhr, Kriegsschaden

18 Lehrstuhl für Kommunikationssysteme - Systeme II18 Netzwerkbedrohungen Etwas anders gelagert: Redspin Security Report - Top Ten Netzwerkbedrohungen Schlecht konfigurierte Firewalls Schlechte Netzwerkkonfiguration Web-Anwendungen Remote-Zugang Vertraulicher Information durch die Eingangstür Arbeitsplatzrechner im Netzwerk Social Engineering Bedrohung Verwechselung von Passwortschutz und Verschlüsselung Vertrauen in Partnernetzwerke

19 Lehrstuhl für Kommunikationssysteme - Systeme II19 Sophos Sicherheitsbericht 1. Quartal 2008 Infizierte Web-Seiten 15.000 Web-Seiten pro Tag dreimal soviel wie 2007 79% von seriösen Websites selbst Websites von Sicherheitsunternehmen Zunehmende Datenverluste Kundendaten (mit Kreditkarteninformation) Bedrohung von E-Mails nur noch eine von 2.500 Mails rückläufig: 2007: eine von 900 Festnahmen und Verurteilungen Botnetz-Admistratoren Daten im Wert von 20 Mio. $ gestohlen Malware-Hosts

20 Lehrstuhl für Kommunikationssysteme - Systeme II20 Sophos Sicherheitsbericht 1. Quartal 2008 http://www.sophos.de/sophos/docs/deu/marketing_material/sophos-threat-report-Q12008de.pdf

21 Lehrstuhl für Kommunikationssysteme - Systeme II21 Sophos Sicherheitsbericht 1. Quartal 2008 Spam Anteil: 92 % am gesamten E-Mail-Verkehr Phishing 2007: 59% aller Phishing-Attacken gegen eBay oder PayPal 2008: 15% PayPal, 4% eBay Datenverlust Supermarktkette Hannaford Bros werden 4,2 Mio Kundenkreditkartennummern gestohlen Advance Auto Parts: Finanzdaten von 56.000 Kunden Neu: Mac-Malware

22 Lehrstuhl für Kommunikationssysteme - Systeme II22 Sophos Sicherheitsbericht 1. Quartal 2008 http://eval.symantec.com/mktginfo/enterprise/white_papers/b- whitepaper_internet_security_threat_report_xiii_04-2008.en-us.pdf

23 Lehrstuhl für Kommunikationssysteme - Systeme II23 Symantec Internet Security Threats 4. Quartal 2007

24 Lehrstuhl für Kommunikationssysteme - Systeme II24 Symantec Internet Security Threats 4. Quartal 2007

25 Lehrstuhl für Kommunikationssysteme - Systeme II25 Symantec Internet Security Threats 4. Quartal 2007

26 Lehrstuhl für Kommunikationssysteme - Systeme II26 Symantec Internet Security Threats 4. Quartal 2007

27 Lehrstuhl für Kommunikationssysteme - Systeme II27 Symantec Internet Security Threats 4. Quartal 2007

28 Lehrstuhl für Kommunikationssysteme - Systeme II28 Symantec Internet Security Threats 4. Quartal 2007

29 Lehrstuhl für Kommunikationssysteme - Systeme II29 Symantec Internet Security Threats 4. Quartal 2007

30 Lehrstuhl für Kommunikationssysteme - Systeme II30 Netzwerksicherheit the magic device: Firewall Firewalls sind traffic / packet Filter die auf verschiedenen OSI Protokollschichten arbeiten Versuch einer Definition: Eine Firewall ist ein Device das dafür gemacht wurde den Zugang zu Resourcen (Informationen oder Services) anhand von Sicherheitsrichtslinien (security policy) zu beschränken Wichtige Anmerkung: Eine Firewall ist keine magic solution für die Netzwerksicherheit Eine Firewall bietet kein Komplettschutz bei Remote-Angriffen oder unauthorisierten Datenzugriffe Eine Firewalle kann umgangen werden, erhöht die Netzwerkkomplexität und verringern dadurch den Sicherheitsgrad

31 Lehrstuhl für Kommunikationssysteme - Systeme II31 Netzwerksicherheit – Firewalls Eine Firewall ist meistens ein Device, kann aber auch einfach im System implementiert sein Sie dient dazu zwei Netzwerke miteinander zu verbinden und den Traffic dazwischen zu kontrollieren Sie befindet sich meistens zwischen einem organisiertem Netzwerk und dem Internet Eine Firewall ist immer der einzige Weg für die Kommunikation zwischen geschützten und ungeschützten Netzwerken Eine Firewall filtert lediglich den Traffic der durch sie hindurch fließt Falls der Traffic auch auf anderem Wege zum Netzwerk gelangt, kann die Firewall den Traffic nicht blockieren

32 Lehrstuhl für Kommunikationssysteme - Systeme II32 Netzwerksicherheit – Firewalls Firewall Konzepte: MAC / Ethernet Filter Paket Filter Circuit-level proxy Stateful Packet Filter Application-level proxy Filtern auf der Ebene der Sicherungsschicht (data link layer) Ethernet Pakete beinhalten die Quell- und Zieladresse: MAC Erlaube die Auslieferung der Frames nur von bekannten Quellen und blockiere Frames von unbekannten MACs

33 Lehrstuhl für Kommunikationssysteme - Systeme II33 Netzwerksicherheit – Firewalls Filtern auf der Ebene der Verbindungsschicht – Quell- und Ziel-IP-Adressen – Quelladresse – Zieladresse Beide sind numerisch, da eine Firewall nicht mit host oder Domain Namen umgehen kann z.B. www.hotmail.comwww.hotmail.com – Request: Client = Quelle, Server = Ziel – Response: Server = Quelle, Client = Ziel

34 Lehrstuhl für Kommunikationssysteme - Systeme II34 Netzwerksicherheit – Firewalls Filtern auf der Ebene der Transportschicht – Dies betrifft meistens TCP und UDP Portnummern – z.B.: 25 SMTP – Email-Versand (TCP) – 110 POP3 – Email-Empfang (TCP) – 143 IMAP – Email-Empfang (TCP) – 389 LDAP – Verzeichnisdienst (TCP) – 636 LDAPS – TLS verschlüsselter Verzeichnisdienst (TCP) – 80 HTTP – Webseiten (TCP) – 443 HTTPS – verschlüsselte Webseiten (TCP) – 53 DNS – Namensauflösung (UDP) – 68, 69 DHCP – automatische IP Zuweisung (UDP)

35 Lehrstuhl für Kommunikationssysteme - Systeme II35 Netzwerksicherheit – Firewalls Meistens wird fälschlicherweise angenommen, dass die Portnummer den Service definiert Es ist aber möglich Email über den HTTP Port zu senden und empfangen Es ist auch möglich den ganzen Traffic über einen offenen Port zu tunneln (mehr dazu in der letzten Vorlesung) Es ergibt sich folgendes Problem: Falls ein bestimmter Service geblockt wird, könnten einige Benutzer möglicherweise einen Weg finden die Firewall zu umgehen. Der Administrator glaubt sich in falscher Sicherheit - die Situation könnte ohne den geblockten Service sicherer sein

36 Lehrstuhl für Kommunikationssysteme - Systeme II36 Netzwerksicherheit – Firewalls Layer 7 – Anwendungsschicht Hier sind sind die interessanten Inhalte zu finden... Web-Anfragen Bilder ausführbare Dateien Viren Email-Adressen Benutzernamen Passwörter

37 Lehrstuhl für Kommunikationssysteme - Systeme II37 Netzwerksicherheit – Firewalls Paket-Filter – sind spezielle Router die Pakete verwerfen können unabhängig von möglichen Netzwerküberlastugen Untersuchen TCP/IP-Header von jedem Paket, das die Firewall in beiden Richtungen passiert Die Entscheidung ob ein Paket geblockt oder weitergereicht wird besiert auf: – (MAC Quell- & Zieladresse) – IP Quell- & Zieladresse (layer 3) – TCP / UDP Quell & Zielport (layer 4) Stateful Packet Filter Wie Paket-Filter, jedoch wird der Verbindungsstatus in die Entscheidung mit einbezogen

38 Lehrstuhl für Kommunikationssysteme - Systeme II38 Netzwerksicherheit – Firewalls Paket-Filter benutzen ein Regelwerk das festlegt welche Pakete durchgelassen und welche verworfen werden – Regeln werden für eingehende und ausgehende Daten definiert – In den Regeln werden Eigenschaften wie Quell- / Zieladresse und Quell- / Zielport definiert – Manche Protokolle können nur sehr schwer auf sichere Art unterstützt werden (z.B. FTP, IRC, SIP,...) – Niedrige Sicherheit Stateful Packet Filter – Paket-Filter die Anfragen und Antworten verstehen (z.B. TCP: SYN, SYN-ACK, ACK)

39 Lehrstuhl für Kommunikationssysteme - Systeme II39 Netzwerksicherheit – Firewalls Stateful Packet Filter Regeln werden nur für eine Richtung definiert (vom Client zum Server – die Richtung des ersten Pakets in einer Verbindung) Antworten und weitere Pakete in der Kommunikation werden automatisch verarbeitet Eine weiterer Bereich von Protokollen wird unterstützt (z.B.: FTP, IRC, H323) Mittlerere Sicherheit Wie soll mit den einzelnen Paket umgegangen werden? Paket Klassifikationsproblem Individuelle Einträge für die Klassifikation eines Pakets werden als Regeln bezeichnet.

40 Lehrstuhl für Kommunikationssysteme - Systeme II40 Netzwerksicherheit – Firewalls Regeln Jede Regel ist eine Kombination von K Werten (einer für jedes Header-Feld im Paket), einer Priorität und einer Aktion Ai Für jeden Eintrag einer Regel sind verschiedene Zuordnungen erlaubt: For each entry in a rule different kind of matches are allowed: exakte Übereinstimmung (z.B. Protokoll oder Paket Optionen) Präfix Übereinstimmung (z.B. Subnetz blockieren) Intervall Übereinstimmung (z.B. Portnummer-Intervall) Die Klassifikations- oder Regeldatenbank besteht aus einer endlichen Menge Regeln (R1,..., Rn) sortiert nach absteigender Priorität Ein Paket P stimmt mit R i überein, wenn alle Heder-Felder F j, (j = 1...K) mit den entsprechenden Feldern R i übereinstimmen

41 Lehrstuhl für Kommunikationssysteme - Systeme II41 Netzwerksicherheit – Firewalls Paket Klassifikationsproblem Das Paket Klassifikationsproblem besteht darin, die passende Regel mit der höchsten Priorität für jedes eingehende Paket zu finden. Aktuelle Netzwerkverbindungen erreichen leicht 1GBit/s Fiberoptische-Verbindungen schaffen 40GBit/s und mehr Ein Großteil des aktuellen Internetverkehrs sind TCP-ACK Pakete (40 Byte) und VoIP RTP/UDP Pakete (~80 Byte) Ein denkbares worst-case scenario ist ein konstanter Strom an ACK-Paketen z.B. eine ausgelastete 10 GBit/s Verbindung überträgt mehr als 31/15 Millionen Pakete pro Sekunde

42 Lehrstuhl für Kommunikationssysteme - Systeme II42 Firewalls und Protokoll-Tunnel Firewalls sollen unerlaubten Netzwerkverkehr verhindern Dazu eine Reihe von Ansatzpunkten und Konzepten gesehen Frage: Was passiert, wenn in die Nutzlast erlaubter Protokolle andere Protokolle eingepackt werden? Tunneln von Protokollen durch andere – ein Thema der letzten Vorlesung

43 Lehrstuhl für Kommunikationssysteme - Systeme II43 Ende der neunzehnten Vorlesung Terminverschiebung: – Letzte Vorlesung am 20. Juli (hier) – Letzte praktische Übung am Mittwoch, den 22. Juli wieder in den Räumen des Rechenzentrums -100/1 Zusatztermin für Vorstellung Übungsaufgaben: 20. Juli nach der Vorlesung – genaueres noch per Mail (Ort etc.) Abschluss der Vorlesung am Montag, den 20. Juli Alle relevanten Informationen auf der Webseite zur Vorlesung: http://www.ks.uni- freiburg.de/php_veranstaltungsdetail.php?id=28 Stellenangebot: Der Lehrstuhl sucht Hiwis für Systeme I im kommenden Wintersemester (Infos siehe Aushänge und auf der LS-Homepage, Bewerbung an die Lehrstuhlassistenten)