lehrstuhl für kommunikationssysteme - systeme ii1 systeme ii – 19te vorlesung lehrstuhl für...
Post on 05-Apr-2015
109 Views
Preview:
TRANSCRIPT
Lehrstuhl für Kommunikationssysteme - Systeme II 1
Systeme II – 19te Vorlesung
Lehrstuhl für KommunikationssystemeInstitut für Informatik / Technische Fakultät
Universität Freiburg2009
Lehrstuhl für Kommunikationssysteme - Systeme II 2
Letzte Vorlesung
‣ Abschluss der Bitübertragungsschicht und Bearbeitung des Schichtenmodells
‣ Betrachtung verschiedener Modulationsarten Beispiele für praktische Umsetzung: QAM, PSK
‣ Eigenschaften digitaler und analoger Signale
‣ Bit Error Rate und Signal-Rausch-Verhältnis
‣ Beschäftigung mit verschiedenen Übertragungsmedien, wie verschiedenen Kupferleitungen (Twisted Pair, Koaxial) und Glasfaser
Lehrstuhl für Kommunikationssysteme - Systeme II 3
Letzte Vorlesung
‣ Eigenschaften des elektromagnetischen Spektrums, Frequenzbereiche, Ausbreitungsverhalten
‣ Mehrfachnutzung des Mediums durch Multiplexing‣ DSL und Ethernet mit seinen verschiedenen Standards,
Topologie, ...
Lehrstuhl für Kommunikationssysteme - Systeme II 4
Diese Vorlesung
‣ Einführung in Netzwerksicherheit, verschiedene Angriffs-möglichkeiten und Gegenmaßnahmen
Mehr als eine kurze Einführing ist nicht möglich
Andere Vorlesungen befassen sich detailiert mit diesem Themengebiet
‣ Der Fokus von Sicherheitsmaßnahme sollte nicht auf nur EINEN Netzwerklayer beschränkt sein
‣ Durch verschiedenste Maßnahmen wird versucht die auftretenden Probleme zu lösen (keine “Einzelmaßnahme die alle Sicherheitsprobleme lösen kann)
‣ Es tauchen immer wieder neue Angriffsmöglichkeiten und Sicherheitslücken auf, zu denen entsprechenen Gegenmaßnahmen entwickelt werden
Lehrstuhl für Kommunikationssysteme - Systeme II 5
Leichte Analyse von Netzwerkverbindungen
Lehrstuhl für Kommunikationssysteme - Systeme II 6
Sicherheitsrisiken im Internet
‣ IP Pakete lassen sich sehr leicht mitlesen (Voraussetzung sind lediglich geeignete Werkzeuge und Position im Netz)
‣ Beispielsweise wireshark kann den Anwender/Netzwerk-admin
Grafische Benutzeroberfläche zur Paketanalyse
Kann Pakete der unterschiedlichsten Protokolle mitschneiden
TCP Streams können nachvollzogen werden (kann die einzelnen Pakete der entsprechenen Kommunikation zuordnen)
‣ Dieses Programm sollte aus den praktischen Übungen bekannt sein wie auch weitere Programme: tcpdump, nmap, ...
Lehrstuhl für Kommunikationssysteme - Systeme II 7
Sicherheitsrisiken im Internet
‣ Warum Pakete derart einfach mitzulesen?
‣ Sämtliche kommunikatiosnvorgänge sind standardisiert – sonst wäre keine Kommunikation möglich (z.B. Menschen die nur unterschiedliche Sprachen sprechen können sich auch nur schwer unterhalten)
‣ Sogar nicht offene Protokolle, wie ettliche Implemenationen im Windows Netzwerk Service sind inzwischen komplett verstanden und "nachgebaut" (z.B der Windows Samba Service durch trial-and-error und reverse engineering)
‣ ALSO: Keine Sicherheit durch Verschleierung! (No security by obscurity!!)
Lehrstuhl für Kommunikationssysteme - Systeme II 8
Sicherheitsrisiken im Internet
‣ UND: Die Einfachheit der TCP/IP Protokollfamilie trug maßgeblich zum rasanten Wachstum des Internets bei und ist in den unterschiedlichsten Betriebsystem implementiert
‣ Das Internet ist eine der wichtigsten Technologien zur Kommunikation und zum Informationsaustausch
‣ Eine Vielzahl von unterschiedlichster Geschäftsmodelle basiert auf diesem Netzwerk (Online Shops, Auktionen, B2B, Multiplayer Spiele (Quake III ;) ), Werbung, Porno Seiten, Web Services, ... )
Lehrstuhl für Kommunikationssysteme - Systeme II 9
Sicherheitsrisiken im Internet
‣ Kommunikationsmethoden wie klassische Telefonie und Fax werden mehr und mehr durch neure Kommunikationsmethoden wie Internettelefonie und E-Mail verdrängt
Produktion und Entwicklung basiert inzwischen hauptsächlich auf Netzwerken – die meisten Informationen werden direkt über das Internet oder Netzwerk mit Hilfe von Datenbanken ausgetauscht
Zur Zeit: Internettelefonie für IP Netzwerke, um eine bereits vorhandene Infrastruktur noch besser ausnutzen zu können und zur Kostenreduzierung
Lehrstuhl für Kommunikationssysteme - Systeme II 10
Sicherheitsrisiken im Internet
‣ Netzwerke können auf allen Layern attackiert werden
‣ Layer 1 und 2 z.B. ARP spoofing in Netzwerken für man-in-the-middle
Angriffe - sämtlicher Datenverkehr wird über den PC des Angreifers umgeleitet
Angriffe auf WLANs (Funkwellen enden nicht einfach an der Haustüre):
Frequenzband kann durch spezielle Pakete leicht gestört werden
WEP Verschlüsselung kann in wenigen Sekunden umgangen werden
“Dialer” Programme (heutzutage kaum noch im Einsatz) – stellten eine teure Einwahl über spezielle Einwahlnummern her
Lehrstuhl für Kommunikationssysteme - Systeme II 11
Sicherheitsrisiken im Internet
‣ Layer 3 IP spoofing – Versenden von IP-Paketen mit gefälschter
Absender-IP-Adresse (Motivation für IPSec)
Angriff auf Routing Protokolle wie z.B. RIP (II) um Datenverkehr in Netzwerken umzuleiten (ICMP redirects), ...
Lehrstuhl für Kommunikationssysteme - Systeme II 12
Sicherheitsrisiken im Internet
‣ Layer 4 Sehr einfach manipulierte nicht angeforderte UDP Packete zu
versenden – Manipulation verbindungsloser Services wie SNMP, DHCP, DNS, ...
Übernahme von TCP Verbindungen – offene Telnet Session, E-Mail, http Sessions
TCP-SYN-Angriff (öffne soviele TCP Verbindungen wie möglich von den unterschiedlichsten Hosts und lasse die Verbindung offen ohen sie weiter zu nutzen -> Überlastung: Art von distributed denial of service (DdoS))
Dynamische Routing Protokolle haben ebenfalls ihre Schwachstellen
Lehrstuhl für Kommunikationssysteme - Systeme II 13
Sicherheitsrisiken im Internet
‣ Layer 7 – Anwendungsschicht
‣ SANS Institut Top 20 Internet Security Risks Web-Anwendungen
Datendiebstahl und Einbruch in verbundene Rechner der Web-Site
Leichtgläubige Computer-Benutzer und Verantwortliche
befolgen falschen Anweisungen in Phishing-Anweisungen
Folgen: leere Bankkonten, Geheimnisverrat, Industriespionage, ...
Lehrstuhl für Kommunikationssysteme - Systeme II 14
Sicherheitsrisiken im Internet
‣ Sicherheitslücken in Anwendungssoftware Web-Browser
Office Software
Email Clients
Media Players
‣ Sicherheitslücken im Betriebssystemen und Systemsoftware Windows
Unix & Mac OS
Backup Software
Anti-virus Software
Management Softare
VOIP Servers
Lehrstuhl für Kommunikationssysteme - Systeme II 15
Top 20 Internet Security Risks
‣ Eintrittsmöglichkeiten für Malware Super-User-Rechte
Unauthorisierte Geräte
Unverschlüsselte Laptops
Tragbare Datenträger
‣ Nutzermissbrauch durch Software-Gebrauch Instant Messaging
Peer-to-Peer Programme
Preisgabe von Information, illegale Aktivitäten
‣ Zero-day-Angriffe Angriffe bevor Patches verfügbar sind
Lehrstuhl für Kommunikationssysteme - Systeme II 16
Sicherheitsbedrohungen von Rechnern
‣ Absichtliche Bedrohung Bösartige Software Virus, Wurm, Trojanisches Pferd, Zeitbombe, logische Bombe, Rabbit,
Bacterium Spoofing Spoofing (IP-Klau) Masquerading (Vorspielen einer Benutzer-ID) Scanning (Passwort-Attacke) Abhören digital, physikalisch Scavenging Dumpster Diving, Browsing Spamming (DoS) Tunneln - Zugriff auf Low-Level-Systemkomponenten bzw.
Durchschleusen unerlaubten Traffics (später dazu mehr)
Lehrstuhl für Kommunikationssysteme - Systeme II 17
Sicherheitsbedrohungen von Rechnern
‣ Unabsichtliche Bedrohung Fehlfunktion Hardware/Software-Fehler
Bedienfehler Trapdoor, Benutzer/Administrator-Fehler
‣ Physikalische Bedrohung Klassische Katastrophen: Feuer, Wasser
Stromausfall (Sinkende Zuverlässigkeit der Stromnetze)
In anderen Gebieten auch: Aufruhr, Kriegsschaden
Lehrstuhl für Kommunikationssysteme - Systeme II 18
Netzwerkbedrohungen
‣ Etwas anders gelagert:Redspin Security Report - Top Ten Netzwerkbedrohungen
Schlecht konfigurierte Firewalls
Schlechte Netzwerkkonfiguration
Web-Anwendungen
Remote-Zugang
Vertraulicher Information durch die Eingangstür
Arbeitsplatzrechner im Netzwerk
Social Engineering Bedrohung
Verwechselung von Passwortschutz und Verschlüsselung
Vertrauen in Partnernetzwerke
Lehrstuhl für Kommunikationssysteme - Systeme II 19
Sophos Sicherheitsbericht 1. Quartal 2008
‣ Infizierte Web-Seiten 15.000 Web-Seiten pro Tag dreimal soviel wie 2007 79% von seriösen Websites selbst Websites von Sicherheitsunternehmen
‣ Zunehmende Datenverluste Kundendaten (mit Kreditkarteninformation)
‣ Bedrohung von E-Mails nur noch eine von 2.500 Mails rückläufig: 2007: eine von 900
‣ Festnahmen und Verurteilungen Botnetz-Admistratoren Daten im Wert von 20 Mio. $ gestohlen
‣ Malware-Hosts
Lehrstuhl für Kommunikationssysteme - Systeme II 20
Sophos Sicherheitsbericht 1. Quartal 2008
http://www.sophos.de/sophos/docs/deu/marketing_material/sophos-threat-report-Q12008de.pdf
Lehrstuhl für Kommunikationssysteme - Systeme II 21
Sophos Sicherheitsbericht 1. Quartal 2008
‣ Spam Anteil: 92 % am gesamten E-Mail-Verkehr
‣ Phishing 2007: 59% aller Phishing-Attacken gegen eBay oder
PayPal
2008: 15% PayPal, 4% eBay
‣ Datenverlust Supermarktkette Hannaford Bros werden 4,2 Mio
Kundenkreditkartennummern gestohlen
Advance Auto Parts: Finanzdaten von 56.000 Kunden
‣ Neu: Mac-Malware
Lehrstuhl für Kommunikationssysteme - Systeme II 22
Sophos Sicherheitsbericht 1. Quartal 2008
http://eval.symantec.com/mktginfo/enterprise/white_papers/b-whitepaper_internet_security_threat_report_xiii_04-2008.en-us.pdf
Lehrstuhl für Kommunikationssysteme - Systeme II 23
Symantec Internet Security Threats4. Quartal 2007
Lehrstuhl für Kommunikationssysteme - Systeme II 24
Symantec Internet Security Threats4. Quartal 2007
Lehrstuhl für Kommunikationssysteme - Systeme II 25
Symantec Internet Security Threats4. Quartal 2007
Lehrstuhl für Kommunikationssysteme - Systeme II 26
Symantec Internet Security Threats4. Quartal 2007
Lehrstuhl für Kommunikationssysteme - Systeme II 27
Symantec Internet Security Threats4. Quartal 2007
Lehrstuhl für Kommunikationssysteme - Systeme II 28
Symantec Internet Security Threats4. Quartal 2007
Lehrstuhl für Kommunikationssysteme - Systeme II 29
Symantec Internet Security Threats4. Quartal 2007
Lehrstuhl für Kommunikationssysteme - Systeme II 30
Netzwerksicherheit“the magic device”: Firewall
‣ Firewalls sind traffic / packet Filter die auf verschiedenen OSI Protokollschichten arbeiten
‣ Versuch einer Definition: “Eine Firewall ist ein Device das dafür gemacht wurde den Zugang zu Resourcen (Informationen oder Services) anhand von Sicherheitsrichtslinien (security policy) zu beschränken”
‣ Wichtige Anmerkung: Eine Firewall ist keine “magic solution” für die
Netzwerksicherheit
Eine Firewall bietet kein Komplettschutz bei Remote-Angriffen oder unauthorisierten Datenzugriffe
Eine Firewalle kann umgangen werden, erhöht die Netzwerkkomplexität und verringern dadurch den Sicherheitsgrad
Lehrstuhl für Kommunikationssysteme - Systeme II 31
Netzwerksicherheit – Firewalls
‣ Eine Firewall ist meistens ein Device, kann aber auch einfach im System implementiert sein
‣ Sie dient dazu zwei Netzwerke miteinander zu verbinden und den Traffic dazwischen zu kontrollieren
‣ Sie befindet sich meistens zwischen einem organisiertem Netzwerk und dem Internet
‣ Eine Firewall ist immer der einzige Weg für die Kommunikation zwischen geschützten und ungeschützten Netzwerken
Eine Firewall filtert lediglich den Traffic der durch sie hindurch fließt
Falls der Traffic auch auf anderem Wege zum Netzwerk gelangt, kann die Firewall den Traffic nicht blockieren
Lehrstuhl für Kommunikationssysteme - Systeme II 32
Netzwerksicherheit – Firewalls
‣ Firewall Konzepte: MAC / Ethernet Filter
Paket Filter
Circuit-level proxy
Stateful Packet Filter
Application-level proxy
‣ Filtern auf der Ebene der Sicherungsschicht (data link layer) Ethernet Pakete beinhalten die Quell- und Zieladresse: MAC
Erlaube die Auslieferung der Frames nur von bekannten Quellen und blockiere Frames von unbekannten MACs
Lehrstuhl für Kommunikationssysteme - Systeme II 33
Netzwerksicherheit – Firewalls
‣ Filtern auf der Ebene der Verbindungsschicht– Quell- und Ziel-IP-Adressen
– Quelladresse
– Zieladresse
• Beide sind numerisch, da eine Firewall nicht mit host oder Domain Namen umgehen kann
• z.B. www.hotmail.com
– Request: Client = Quelle, Server = Ziel
– Response: Server = Quelle, Client = Ziel
Lehrstuhl für Kommunikationssysteme - Systeme II 34
Netzwerksicherheit – Firewalls
‣ Filtern auf der Ebene der Transportschicht– Dies betrifft meistens TCP und UDP Portnummern
– z.B.: 25 SMTP – Email-Versand (TCP)
– 110 POP3 – Email-Empfang (TCP)
– 143 IMAP – Email-Empfang (TCP)
– 389 LDAP – Verzeichnisdienst (TCP)
– 636 LDAPS – TLS verschlüsselter Verzeichnisdienst (TCP)
– 80 HTTP – Webseiten (TCP)
– 443 HTTPS – verschlüsselte Webseiten (TCP)
– 53 DNS – Namensauflösung (UDP)
– 68, 69 DHCP – automatische IP Zuweisung (UDP)
Lehrstuhl für Kommunikationssysteme - Systeme II 35
Netzwerksicherheit – Firewalls
‣ Meistens wird fälschlicherweise angenommen, dass die Portnummer den Service definiert
Es ist aber möglich Email über den HTTP Port zu senden und empfangen
Es ist auch möglich den ganzen Traffic über einen offenen Port zu tunneln (mehr dazu in der letzten Vorlesung)
‣ Es ergibt sich folgendes Problem:Falls ein bestimmter Service geblockt wird, könnten einige Benutzer möglicherweise einen Weg finden die Firewall zu umgehen.
Der Administrator glaubt sich in falscher Sicherheit - die Situation könnte ohne den geblockten Service sicherer sein
Lehrstuhl für Kommunikationssysteme - Systeme II 36
Netzwerksicherheit – Firewalls
‣ Layer 7 – Anwendungsschicht
Hier sind sind die “interessanten” Inhalte zu finden ... Web-Anfragen
Bilder
ausführbare Dateien
Viren
Email-Adressen
Benutzernamen
Passwörter
Lehrstuhl für Kommunikationssysteme - Systeme II 37
Netzwerksicherheit – Firewalls
‣ Paket-Filter – sind spezielle Router die Pakete verwerfen können unabhängig von möglichen Netzwerküberlastugen
‣ Untersuchen TCP/IP-Header von jedem Paket, das die Firewall in beiden Richtungen passiert
‣ Die Entscheidung ob ein Paket geblockt oder weitergereicht wird besiert auf:– (MAC Quell- & Zieladresse)
– IP Quell- & Zieladresse (layer 3)
– TCP / UDP Quell & Zielport (layer 4)
‣ Stateful Packet Filter Wie Paket-Filter, jedoch wird der Verbindungsstatus in die
Entscheidung mit einbezogen
Lehrstuhl für Kommunikationssysteme - Systeme II 38
Netzwerksicherheit – Firewalls
‣ Paket-Filter benutzen ein Regelwerk das festlegt welche Pakete durchgelassen und welche verworfen werden– Regeln werden für eingehende und ausgehende Daten definiert
– In den Regeln werden Eigenschaften wie Quell- / Zieladresse und Quell- / Zielport definiert
– Manche Protokolle können nur sehr schwer auf sichere Art unterstützt werden (z.B. FTP, IRC, SIP, ...)
– Niedrige Sicherheit
‣ Stateful Packet Filter– Paket-Filter die Anfragen und Antworten verstehen (z.B. TCP:
SYN, SYN-ACK, ACK)
Lehrstuhl für Kommunikationssysteme - Systeme II 39
Netzwerksicherheit – Firewalls
‣ Stateful Packet Filter Regeln werden nur für eine Richtung definiert
(vom Client zum Server – die Richtung des ersten Pakets in einer Verbindung)
Antworten und weitere Pakete in der Kommunikation werden automatisch verarbeitet
Eine weiterer Bereich von Protokollen wird unterstützt (z.B.: FTP, IRC, H323)
Mittlerere Sicherheit
‣ Wie soll mit den einzelnen Paket umgegangen werden?‣ Paket Klassifikationsproblem
Individuelle Einträge für die Klassifikation eines Pakets werden als “Regeln” bezeichnet.
Lehrstuhl für Kommunikationssysteme - Systeme II 40
Netzwerksicherheit – Firewalls
‣ Regeln Jede Regel ist eine Kombination von K Werten (einer für jedes
Header-Feld im Paket), einer Priorität und einer Aktion Ai
Für jeden Eintrag einer Regel sind verschiedene Zuordnungen erlaubt:For each entry in a rule different kind of matches are allowed:
exakte Übereinstimmung (z.B. Protokoll oder Paket Optionen)
Präfix Übereinstimmung (z.B. Subnetz blockieren)
Intervall Übereinstimmung (z.B. Portnummer-Intervall)
Die Klassifikations- oder Regeldatenbank besteht aus einer endlichen Menge Regeln (R1, ..., Rn) sortiert nach absteigender Priorität
Ein Paket P stimmt mit Ri überein, wenn alle Heder-Felder F
j,
(j = 1...K) mit den entsprechenden Feldern Ri übereinstimmen
Lehrstuhl für Kommunikationssysteme - Systeme II 41
Netzwerksicherheit – Firewalls
‣ Paket Klassifikationsproblem Das Paket Klassifikationsproblem besteht darin, die passende
Regel mit der höchsten Priorität für jedes eingehende Paket zu finden.
Aktuelle Netzwerkverbindungen erreichen leicht 1GBit/s
Fiberoptische-Verbindungen schaffen 40GBit/s und mehr
Ein Großteil des aktuellen Internetverkehrs sind TCP-ACK Pakete (40 Byte) und VoIP RTP/UDP Pakete (~80 Byte)
Ein denkbares “worst-case scenario” ist ein konstanter Strom an ACK-Paketen
z.B. eine ausgelastete 10 GBit/s Verbindung überträgt mehr als 31/15 Millionen Pakete pro Sekunde
Lehrstuhl für Kommunikationssysteme - Systeme II 42
Firewalls und Protokoll-Tunnel
‣ Firewalls sollen unerlaubten Netzwerkverkehr verhindern‣ Dazu eine Reihe von Ansatzpunkten und Konzepten
gesehen‣ Frage: Was passiert, wenn in die Nutzlast erlaubter
Protokolle andere Protokolle eingepackt werden?‣ Tunneln von Protokollen durch andere – ein Thema der
letzten Vorlesung
Lehrstuhl für Kommunikationssysteme - Systeme II 43
Ende der neunzehnten Vorlesung
‣ Terminverschiebung: – Letzte Vorlesung am 20. Juli (hier)
– Letzte praktische Übung am Mittwoch, den 22. Juli wieder in den Räumen des Rechenzentrums -100/1
‣ Zusatztermin für Vorstellung Übungsaufgaben: 20. Juli nach der Vorlesung – genaueres noch per Mail (Ort etc.)
‣ Abschluss der Vorlesung am Montag, den 20. Juli‣ Alle relevanten Informationen auf der Webseite zur
Vorlesung:http://www.ks.uni-freiburg.de/php_veranstaltungsdetail.php?id=28‣ Stellenangebot: Der Lehrstuhl sucht Hiwis für Systeme I im
kommenden Wintersemester (Infos siehe Aushänge und auf der LS-Homepage, Bewerbung an die Lehrstuhlassistenten)
top related