Lehrstuhl für Kommunikationssysteme - Systeme II1 Systeme II – 19te Vorlesung Lehrstuhl für Kommunikationssysteme Institut für Informatik / Technische

Lehrstuhl für Kommunikationssysteme - Systeme II 1

Systeme II – 19te Vorlesung

Lehrstuhl für KommunikationssystemeInstitut für Informatik / Technische Fakultät

Universität Freiburg2009


Letzte Vorlesung

‣ Abschluss der Bitübertragungsschicht und Bearbeitung des Schichtenmodells

‣ Betrachtung verschiedener Modulationsarten Beispiele für praktische Umsetzung: QAM, PSK

‣ Eigenschaften digitaler und analoger Signale

‣ Bit Error Rate und Signal-Rausch-Verhältnis

‣ Beschäftigung mit verschiedenen Übertragungsmedien, wie verschiedenen Kupferleitungen (Twisted Pair, Koaxial) und Glasfaser


Letzte Vorlesung

‣ Eigenschaften des elektromagnetischen Spektrums, Frequenzbereiche, Ausbreitungsverhalten

‣ Mehrfachnutzung des Mediums durch Multiplexing‣ DSL und Ethernet mit seinen verschiedenen Standards,

Topologie, ...


Diese Vorlesung

‣ Einführung in Netzwerksicherheit, verschiedene Angriffs-möglichkeiten und Gegenmaßnahmen

Mehr als eine kurze Einführing ist nicht möglich

Andere Vorlesungen befassen sich detailiert mit diesem Themengebiet

‣ Der Fokus von Sicherheitsmaßnahme sollte nicht auf nur EINEN Netzwerklayer beschränkt sein

‣ Durch verschiedenste Maßnahmen wird versucht die auftretenden Probleme zu lösen (keine “Einzelmaßnahme die alle Sicherheitsprobleme lösen kann)

‣ Es tauchen immer wieder neue Angriffsmöglichkeiten und Sicherheitslücken auf, zu denen entsprechenen Gegenmaßnahmen entwickelt werden


Leichte Analyse von Netzwerkverbindungen


Sicherheitsrisiken im Internet

‣ IP Pakete lassen sich sehr leicht mitlesen (Voraussetzung sind lediglich geeignete Werkzeuge und Position im Netz)

‣ Beispielsweise wireshark kann den Anwender/Netzwerk-admin

Grafische Benutzeroberfläche zur Paketanalyse

Kann Pakete der unterschiedlichsten Protokolle mitschneiden

TCP Streams können nachvollzogen werden (kann die einzelnen Pakete der entsprechenen Kommunikation zuordnen)

‣ Dieses Programm sollte aus den praktischen Übungen bekannt sein wie auch weitere Programme: tcpdump, nmap, ...



‣ Warum Pakete derart einfach mitzulesen?

‣ Sämtliche kommunikatiosnvorgänge sind standardisiert – sonst wäre keine Kommunikation möglich (z.B. Menschen die nur unterschiedliche Sprachen sprechen können sich auch nur schwer unterhalten)

‣ Sogar nicht offene Protokolle, wie ettliche Implemenationen im Windows Netzwerk Service sind inzwischen komplett verstanden und "nachgebaut" (z.B der Windows Samba Service durch trial-and-error und reverse engineering)

‣ ALSO: Keine Sicherheit durch Verschleierung! (No security by obscurity!!)



‣ UND: Die Einfachheit der TCP/IP Protokollfamilie trug maßgeblich zum rasanten Wachstum des Internets bei und ist in den unterschiedlichsten Betriebsystem implementiert

‣ Das Internet ist eine der wichtigsten Technologien zur Kommunikation und zum Informationsaustausch

‣ Eine Vielzahl von unterschiedlichster Geschäftsmodelle basiert auf diesem Netzwerk (Online Shops, Auktionen, B2B, Multiplayer Spiele (Quake III ;) ), Werbung, Porno Seiten, Web Services, ... )



‣ Kommunikationsmethoden wie klassische Telefonie und Fax werden mehr und mehr durch neure Kommunikationsmethoden wie Internettelefonie und E-Mail verdrängt

Produktion und Entwicklung basiert inzwischen hauptsächlich auf Netzwerken – die meisten Informationen werden direkt über das Internet oder Netzwerk mit Hilfe von Datenbanken ausgetauscht

Zur Zeit: Internettelefonie für IP Netzwerke, um eine bereits vorhandene Infrastruktur noch besser ausnutzen zu können und zur Kostenreduzierung



‣ Netzwerke können auf allen Layern attackiert werden

‣ Layer 1 und 2 z.B. ARP spoofing in Netzwerken für man-in-the-middle

Angriffe - sämtlicher Datenverkehr wird über den PC des Angreifers umgeleitet

Angriffe auf WLANs (Funkwellen enden nicht einfach an der Haustüre):

Frequenzband kann durch spezielle Pakete leicht gestört werden

WEP Verschlüsselung kann in wenigen Sekunden umgangen werden

“Dialer” Programme (heutzutage kaum noch im Einsatz) – stellten eine teure Einwahl über spezielle Einwahlnummern her



‣ Layer 3 IP spoofing – Versenden von IP-Paketen mit gefälschter

Absender-IP-Adresse (Motivation für IPSec)

Angriff auf Routing Protokolle wie z.B. RIP (II) um Datenverkehr in Netzwerken umzuleiten (ICMP redirects), ...



‣ Layer 4 Sehr einfach manipulierte nicht angeforderte UDP Packete zu

versenden – Manipulation verbindungsloser Services wie SNMP, DHCP, DNS, ...

Übernahme von TCP Verbindungen – offene Telnet Session, E-Mail, http Sessions

TCP-SYN-Angriff (öffne soviele TCP Verbindungen wie möglich von den unterschiedlichsten Hosts und lasse die Verbindung offen ohen sie weiter zu nutzen -> Überlastung: Art von distributed denial of service (DdoS))

Dynamische Routing Protokolle haben ebenfalls ihre Schwachstellen



‣ Layer 7 – Anwendungsschicht

‣ SANS Institut Top 20 Internet Security Risks Web-Anwendungen

Datendiebstahl und Einbruch in verbundene Rechner der Web-Site

Leichtgläubige Computer-Benutzer und Verantwortliche

befolgen falschen Anweisungen in Phishing-Anweisungen

Folgen: leere Bankkonten, Geheimnisverrat, Industriespionage, ...



‣ Sicherheitslücken in Anwendungssoftware Web-Browser

Office Software

Email Clients

Media Players

‣ Sicherheitslücken im Betriebssystemen und Systemsoftware Windows

Unix & Mac OS

Backup Software

Anti-virus Software

Management Softare

VOIP Servers


Top 20 Internet Security Risks

‣ Eintrittsmöglichkeiten für Malware Super-User-Rechte

Unauthorisierte Geräte

Unverschlüsselte Laptops

Tragbare Datenträger

‣ Nutzermissbrauch durch Software-Gebrauch Instant Messaging

Peer-to-Peer Programme

Preisgabe von Information, illegale Aktivitäten

‣ Zero-day-Angriffe Angriffe bevor Patches verfügbar sind


Sicherheitsbedrohungen von Rechnern

‣ Absichtliche Bedrohung Bösartige Software Virus, Wurm, Trojanisches Pferd, Zeitbombe, logische Bombe, Rabbit,

Bacterium Spoofing Spoofing (IP-Klau) Masquerading (Vorspielen einer Benutzer-ID) Scanning (Passwort-Attacke) Abhören digital, physikalisch Scavenging Dumpster Diving, Browsing Spamming (DoS) Tunneln - Zugriff auf Low-Level-Systemkomponenten bzw.

Durchschleusen unerlaubten Traffics (später dazu mehr)


Sicherheitsbedrohungen von Rechnern

‣ Unabsichtliche Bedrohung Fehlfunktion Hardware/Software-Fehler

Bedienfehler Trapdoor, Benutzer/Administrator-Fehler

‣ Physikalische Bedrohung Klassische Katastrophen: Feuer, Wasser

Stromausfall (Sinkende Zuverlässigkeit der Stromnetze)

In anderen Gebieten auch: Aufruhr, Kriegsschaden


Netzwerkbedrohungen

‣ Etwas anders gelagert:Redspin Security Report - Top Ten Netzwerkbedrohungen

Schlecht konfigurierte Firewalls

Schlechte Netzwerkkonfiguration

Web-Anwendungen

Remote-Zugang

Vertraulicher Information durch die Eingangstür

Arbeitsplatzrechner im Netzwerk

Social Engineering Bedrohung

Verwechselung von Passwortschutz und Verschlüsselung

Vertrauen in Partnernetzwerke


Sophos Sicherheitsbericht 1. Quartal 2008

‣ Infizierte Web-Seiten 15.000 Web-Seiten pro Tag dreimal soviel wie 2007 79% von seriösen Websites selbst Websites von Sicherheitsunternehmen

‣ Zunehmende Datenverluste Kundendaten (mit Kreditkarteninformation)

‣ Bedrohung von E-Mails nur noch eine von 2.500 Mails rückläufig: 2007: eine von 900

‣ Festnahmen und Verurteilungen Botnetz-Admistratoren Daten im Wert von 20 Mio. $ gestohlen

‣ Malware-Hosts



http://www.sophos.de/sophos/docs/deu/marketing_material/sophos-threat-report-Q12008de.pdf

http://www.sophos.de/sophos/docs/deu/marketing_material/sophos-threat-report-Q12008de.pdf



‣ Spam Anteil: 92 % am gesamten E-Mail-Verkehr

‣ Phishing 2007: 59% aller Phishing-Attacken gegen eBay oder

PayPal

2008: 15% PayPal, 4% eBay

‣ Datenverlust Supermarktkette Hannaford Bros werden 4,2 Mio

Kundenkreditkartennummern gestohlen

Advance Auto Parts: Finanzdaten von 56.000 Kunden

‣ Neu: Mac-Malware



http://eval.symantec.com/mktginfo/enterprise/white_papers/b-whitepaper_internet_security_threat_report_xiii_04-2008.en-us.pdf




Symantec Internet Security Threats4. Quartal 2007














Netzwerksicherheit“the magic device”: Firewall

‣ Firewalls sind traffic / packet Filter die auf verschiedenen OSI Protokollschichten arbeiten

‣ Versuch einer Definition: “Eine Firewall ist ein Device das dafür gemacht wurde den Zugang zu Resourcen (Informationen oder Services) anhand von Sicherheitsrichtslinien (security policy) zu beschränken”

‣ Wichtige Anmerkung: Eine Firewall ist keine “magic solution” für die

Netzwerksicherheit

Eine Firewall bietet kein Komplettschutz bei Remote-Angriffen oder unauthorisierten Datenzugriffe

Eine Firewalle kann umgangen werden, erhöht die Netzwerkkomplexität und verringern dadurch den Sicherheitsgrad


Netzwerksicherheit – Firewalls

‣ Eine Firewall ist meistens ein Device, kann aber auch einfach im System implementiert sein

‣ Sie dient dazu zwei Netzwerke miteinander zu verbinden und den Traffic dazwischen zu kontrollieren

‣ Sie befindet sich meistens zwischen einem organisiertem Netzwerk und dem Internet

‣ Eine Firewall ist immer der einzige Weg für die Kommunikation zwischen geschützten und ungeschützten Netzwerken

Eine Firewall filtert lediglich den Traffic der durch sie hindurch fließt

Falls der Traffic auch auf anderem Wege zum Netzwerk gelangt, kann die Firewall den Traffic nicht blockieren



‣ Firewall Konzepte: MAC / Ethernet Filter

Paket Filter

Circuit-level proxy

Stateful Packet Filter

Application-level proxy

‣ Filtern auf der Ebene der Sicherungsschicht (data link layer) Ethernet Pakete beinhalten die Quell- und Zieladresse: MAC

Erlaube die Auslieferung der Frames nur von bekannten Quellen und blockiere Frames von unbekannten MACs



‣ Filtern auf der Ebene der Verbindungsschicht– Quell- und Ziel-IP-Adressen

– Quelladresse

– Zieladresse

• Beide sind numerisch, da eine Firewall nicht mit host oder Domain Namen umgehen kann

• z.B. www.hotmail.com

– Request: Client = Quelle, Server = Ziel

– Response: Server = Quelle, Client = Ziel

http://www.hotmail.com/



‣ Filtern auf der Ebene der Transportschicht– Dies betrifft meistens TCP und UDP Portnummern

– z.B.: 25 SMTP – Email-Versand (TCP)

– 110 POP3 – Email-Empfang (TCP)

– 143 IMAP – Email-Empfang (TCP)

– 389 LDAP – Verzeichnisdienst (TCP)

– 636 LDAPS – TLS verschlüsselter Verzeichnisdienst (TCP)

– 80 HTTP – Webseiten (TCP)

– 443 HTTPS – verschlüsselte Webseiten (TCP)

– 53 DNS – Namensauflösung (UDP)

– 68, 69 DHCP – automatische IP Zuweisung (UDP)



‣ Meistens wird fälschlicherweise angenommen, dass die Portnummer den Service definiert

Es ist aber möglich Email über den HTTP Port zu senden und empfangen

Es ist auch möglich den ganzen Traffic über einen offenen Port zu tunneln (mehr dazu in der letzten Vorlesung)

‣ Es ergibt sich folgendes Problem:Falls ein bestimmter Service geblockt wird, könnten einige Benutzer möglicherweise einen Weg finden die Firewall zu umgehen.

Der Administrator glaubt sich in falscher Sicherheit - die Situation könnte ohne den geblockten Service sicherer sein



‣ Layer 7 – Anwendungsschicht

Hier sind sind die “interessanten” Inhalte zu finden ... Web-Anfragen

Bilder

ausführbare Dateien

Viren

Email-Adressen

Benutzernamen

Passwörter



‣ Paket-Filter – sind spezielle Router die Pakete verwerfen können unabhängig von möglichen Netzwerküberlastugen

‣ Untersuchen TCP/IP-Header von jedem Paket, das die Firewall in beiden Richtungen passiert

‣ Die Entscheidung ob ein Paket geblockt oder weitergereicht wird besiert auf:– (MAC Quell- & Zieladresse)

– IP Quell- & Zieladresse (layer 3)

– TCP / UDP Quell & Zielport (layer 4)

‣ Stateful Packet Filter Wie Paket-Filter, jedoch wird der Verbindungsstatus in die

Entscheidung mit einbezogen



‣ Paket-Filter benutzen ein Regelwerk das festlegt welche Pakete durchgelassen und welche verworfen werden– Regeln werden für eingehende und ausgehende Daten definiert

– In den Regeln werden Eigenschaften wie Quell- / Zieladresse und Quell- / Zielport definiert

– Manche Protokolle können nur sehr schwer auf sichere Art unterstützt werden (z.B. FTP, IRC, SIP, ...)

– Niedrige Sicherheit

‣ Stateful Packet Filter– Paket-Filter die Anfragen und Antworten verstehen (z.B. TCP:

SYN, SYN-ACK, ACK)



‣ Stateful Packet Filter Regeln werden nur für eine Richtung definiert

(vom Client zum Server – die Richtung des ersten Pakets in einer Verbindung)

Antworten und weitere Pakete in der Kommunikation werden automatisch verarbeitet

Eine weiterer Bereich von Protokollen wird unterstützt (z.B.: FTP, IRC, H323)

Mittlerere Sicherheit

‣ Wie soll mit den einzelnen Paket umgegangen werden?‣ Paket Klassifikationsproblem

Individuelle Einträge für die Klassifikation eines Pakets werden als “Regeln” bezeichnet.



‣ Regeln Jede Regel ist eine Kombination von K Werten (einer für jedes

Header-Feld im Paket), einer Priorität und einer Aktion Ai

Für jeden Eintrag einer Regel sind verschiedene Zuordnungen erlaubt:For each entry in a rule different kind of matches are allowed:

exakte Übereinstimmung (z.B. Protokoll oder Paket Optionen)

Präfix Übereinstimmung (z.B. Subnetz blockieren)

Intervall Übereinstimmung (z.B. Portnummer-Intervall)

Die Klassifikations- oder Regeldatenbank besteht aus einer endlichen Menge Regeln (R1, ..., Rn) sortiert nach absteigender Priorität

Ein Paket P stimmt mit Ri überein, wenn alle Heder-Felder F

j,

(j = 1...K) mit den entsprechenden Feldern Ri übereinstimmen



‣ Paket Klassifikationsproblem Das Paket Klassifikationsproblem besteht darin, die passende

Regel mit der höchsten Priorität für jedes eingehende Paket zu finden.

Aktuelle Netzwerkverbindungen erreichen leicht 1GBit/s

Fiberoptische-Verbindungen schaffen 40GBit/s und mehr

Ein Großteil des aktuellen Internetverkehrs sind TCP-ACK Pakete (40 Byte) und VoIP RTP/UDP Pakete (~80 Byte)

Ein denkbares “worst-case scenario” ist ein konstanter Strom an ACK-Paketen

z.B. eine ausgelastete 10 GBit/s Verbindung überträgt mehr als 31/15 Millionen Pakete pro Sekunde


Firewalls und Protokoll-Tunnel

‣ Firewalls sollen unerlaubten Netzwerkverkehr verhindern‣ Dazu eine Reihe von Ansatzpunkten und Konzepten

gesehen‣ Frage: Was passiert, wenn in die Nutzlast erlaubter

Protokolle andere Protokolle eingepackt werden?‣ Tunneln von Protokollen durch andere – ein Thema der

letzten Vorlesung


Ende der neunzehnten Vorlesung

‣ Terminverschiebung: – Letzte Vorlesung am 20. Juli (hier)

– Letzte praktische Übung am Mittwoch, den 22. Juli wieder in den Räumen des Rechenzentrums -100/1

‣ Zusatztermin für Vorstellung Übungsaufgaben: 20. Juli nach der Vorlesung – genaueres noch per Mail (Ort etc.)

‣ Abschluss der Vorlesung am Montag, den 20. Juli‣ Alle relevanten Informationen auf der Webseite zur

Vorlesung:http://www.ks.uni-freiburg.de/php_veranstaltungsdetail.php?id=28‣ Stellenangebot: Der Lehrstuhl sucht Hiwis für Systeme I im

kommenden Wintersemester (Infos siehe Aushänge und auf der LS-Homepage, Bewerbung an die Lehrstuhlassistenten)

http://www.ks.uni-freiburg.de/php_veranstaltungsdetail.php?id=28

http://www.ks.uni-freiburg.de/php_veranstaltungsdetail.php?id=28

Documents

Lehrstuhl für Kommunikationssysteme - Systeme II1 Systeme II – 19te Vorlesung Lehrstuhl für Kommunikationssysteme Institut für Informatik / Technische