Vortrag über Sicherheit auf dem Internet

1. eSecurity Dr. Udo Ornik SoulTek GbR SoulTek GbR, Frankfurterstr. 93, 35315 Homberg/Ohm, Tel.: 06633-9111-0, Fax 06633-9111-19, www.soultek.de, zentrale@soultek.de

5. Bedrohung Unautorisierte Netzzugriffe im Jahr 31 bis 40 52% 21 bis 30 25% 1 bis 10 2% 41 bis 50 6% über 50 2% über 50 41 bis 50 31 bis 40 21 bis 30 11 bis 20 1 bis 10 Die meisten Unternehmen erhalten mehrmals pro Monat unerwünschten Besuch. Quelle:WarRoom Research 11 bis 20 13%

6. 15 Angriffe auf Testrechner zwischen 25.2.01 und 1.3.01 Im Schnitt etwa 2 Versuche pro Tag

7. Im Schnitt etwa alle 8 Tage ein Sicherheitspatch bei Microsoft- Produkten

8. Auch Linux ist gegen alle Beteuerungen von "FANS" ein System mit Sicherheits- lücken Quelle: Linux Magazin 09/2002

9. Das gleiche gilt für viele nicht MS-Software! Quelle: Linux Magazin 09/2002 Sicherheitsprobleme bei Anwendungen Juni 2002

10. Schaden: Bsp. USA Die CSI/FBI Computer Crime and Security Survey weist einen Schaden von $ 5.050.000.000 pro Jahr aus. Quelle: CSI/FBI

13. Datenpakete Vereinfachtes Datenpaket Word Datei TCP/IP Dienst Absender: 194.37.26.28 Port: 80 Empfänger: 196.46.47.59 Port: 80 TCP Netz IP Der IP-Header ist wie ein Adresslabel, das auf das Datenpaket geklebt wird.

14. Angriffsarten Schutz durch Firewalls Internet Firewall-Technologien sollen das Firmennetz sichern.

16. Software Fehler : Buffer Overflow Arbeitsspeicher PRG1 PRG2 10101010000010110101010101011010101101011101 10101011010101101011101 HACK-PRG input Zu erkennen: get http:// www.xnet.de /x=09653andshg tgjwu8utz64zz711645rrcx264326rt4w5tr7 t38t7z8785z4w85tz5t9 Besonders anfällig: C/C++ Programme

17. SoftwareFehler: SQL-Injection user: Kw: Programmcode: . . . Select count(userID) FROM UserTabelle where userID='user' and Passwd='kw' . . . Eingabe: ' or 1=1-- für user Resultierender Programmcode: Select count(userID) FROM UserTabelle where userID= '' or 1=1 Immer Erfüllt!

19. Problematische Konfiguration <blank> <blank> Cabletron (routers & switches) system admin Arrowpoint anicust sysadm AcceleratedDSL CPE and DSLAM switch diag Xylan Omniswitch switch admin Xylan Omniswitch sysadm n/a NETPrint (all) <blank> admin Alteon ACEswitch 180e (telnet) admin admin Alteon ACEswitch 180e (web) trancell wradmin Webramp wg n/a WatchGuard Firebox II (read/write) uClinux root UClinux_for_UCsimm password admin SonicWALL admin n/a SpeedstreamDSL(Efficient) <blank> Guest Shiva <blank> root Shiva sysadm sysadm Osicom(Datacom) BRIDGE n/a Orbitor_console password n/a Orbitor_console netopia netopia Netopia_9500 <blank> <blank> Netopia_7100 router cablecom Motorola-Cablerouter root root Microplex_print_server <blank> !root Livingston_portmaster2/3 <blank> !root Livingston_officerouter <blank> !root Livingston_IRX_router admin n/a Linksys_DSL n/a 7000 Lantronics_Terminal_server_port n/a 7000 Lantronics_Terminal_server_port n/a Jetform Jetform_design admin admin Flowpoint_DSL2000 password n/a Flowpoint_DSL_installed_by_Covad D-Link D-Link DLink_hub/switches password n/a digiCorp_(viper?) BRIDGE n/a digiCorp_(viper?) crystal n/a Crystalview_outsideview32 administrator administrator Compaq Insight Manager (port 2301) operator operator Compaq Insight Manager (port 2301) public user Compaq Insight Manager (port 2301) <blank> n/a Cayman_DSL Super n/a BreezeCOM_adapters4.x(console_only) Master n/a BreezeCOM_adapters3.x(console_only) laflaf n/a BreezeCOM_adapters2.x(console_only) letmein n/a BRASX/I01_(DataCom) security security BaySuperstackII NetICs n/a Bay350T_Switch <blank> User Bay_routers <blank> Manager Bay_routers pass root AXIS200/240[netcam] mcp n/a AT&T_3B2_firmware 1234 n/a All_Zyxel_equipment secret n/a ADC_Kentrox_Pacesetter_Router netman netman ACC(Ericsson) <blank> root 3comNetBuilder routers tech 2700 3comSuperStackIISwitch debug 2200 3comSuperStackIISwitch tech tech 3comLinkSwitch2000/2700 tech tech 3ComLANplex2500 synnet debug 3ComLANplex2500 <blank> adm 3comHiPerARCv4.1.x tech tech 3comCoreBuilder7000/6000/3500/2500 synnet debug 3comCoreBuilder7000/6000/3500/2500 tech tech 3comCellPlex7000 PASSWORD n/a 3Com_Office_Connect_5x0_ISDN_Routers security security 3Com manager manager 3Com monitor monitor 3Com synnet write 3Com synnet read 3Com synnet admin 3Com Password Username Device

23. Sniffing 110101010101010 TCPDump Alle Datenpakete im gesamten Netzwerksegment sichtbar Router mit SMNP Und Standard Community String oder RMON enabled Telnet Session Username ......Kennwort Server Sniffing in geswitchten Netzwerken Schutz: Einsatz von Switches und verzicht auf SMNP_Protokoll

25. Bsp: Onlinezahlung Ihr Online-Konto Bank mit Webangebot (Schwach geschützt ) Kto: Pin: TAN: Externer Server mit Zahlungssystem (Stark geschützt) Ihr Online-Konto Hacker Kto: Pin: TAN: Hackerserver mit Kundendatenbank

26. Gefahr durch Trojaner Hacker

28. Firewall Ports echo 7/tcp daytime 13/tcp netstat 15/tcp qotd 17/tcp quote ftp-data 20/tcp ftp 21/tcp telnet 23/tcp smtp 25/tcp mail time 37/tcp timserver name 42/tcp nameserver whois 43/tcp nicname domain 53/tcp nameserver mtp 57/tcp bootp 67/udp finger 79/tcp pop 109/tcp postoffice pop2 109/tcp pop3 110/tcp postoffice sunrpc 111/tcp sunrpc 111/udp Intranet Firewall Die Entscheidung, welche Ports blockiert werden, hängt von den Aufgaben und der Sicherheitsphilosophie im Intr@net ab. analysiert Datenverkehr zwischen internem und externem Netz entscheidet nach vorgegebenen Regeln welche Daten weitergeleitet werden dürfen.

29. Idealkonfiguration DMZ Firewall Mail Server WWW Server Kundennetzwerk Demilitarisierte Zone LAN Internet

31. Public Key Verfahren Ö( Geheimer Text )----> 4 3q48u t2u P( 4 3q48u t2u )----> Geheimer Text oder P( Geheimer Text )-----> eir?§aht1908 Ö( eir?§aht1908 )----> Geheimer Text Beim Public Key- Verfahren gibt es einen öffentlichen und einen privaten Schlüssel. Nacheinander angewendet, können sie einen Text lesbar oder völlig unlesbar machen.

32. Verschlüsselte Nachrichten Mein öffentlicher Schlüssel Ö A : Geheimer Schlüssel P A ( tnmw9 e4 ) = Geheimer Text A B Ö A ( Geheimer Text ) = tnmw9 e4 Datenübertragung

33. VPN Zentrale Aussendient Telearbeitsplatz Datenaustausch wird verschlüsselt über „öffentliches“ Netz übertragen (Hard- und Softwarelösungen). Nieder- lassung

34. Abwehr ►Intrusion Detection Tools IDS Quelle: Axent Host- basiert Betriebssystem- spezifisch Anwendungs- spezifisch Netzwerk- basiert Dynamisch erweiterbare Angriffsmuster Vordefiniertes Angriffsmuster

35. LogDatei Dec 13 13:25:40.445 raptor kernel: 226 IP packet dropped (cisco1601.dieburg.tat.de.78.43.212.in-addr.arpa[212.43.78.2]->cobalt.tatnet.de.78.43.212.in-addr.arpa[212.43.78.14]: Protocol=ICMP[Redirect/1 gw=212.43.78.19] {Inner: cobalt.tatnet.de.78.43.212.in-addr.arpa[212.43.78.14]->212.43.79.98: Protocol=TCP[??] Port 110->33841}): ICMP Redirect (received on interface 212.43.78.251) Dec 13 13:25:40.447 raptor kernel: 226 IP packet dropped (cisco1601.dieburg.tat.de.78.43.212.in-addr.arpa[212.43.78.2]->cobalt.tatnet.de.78.43.212.in-addr.arpa[212.43.78.14]: Protocol=ICMP[Redirect/1 gw=212.43.78.19] {Inner: cobalt.tatnet.de.78.43.212.in-addr.arpa[212.43.78.14]->212.43.79.98: Protocol=TCP[??] Port 110->33841}): ICMP Redirect (received on interface 212.43.78.251) Dec 13 13:25:40.477 raptor tcp-gsp[1989]: 121 Statistics: duration=1.20 id=1Z4v1 sent=56 rcvd=235 srcif=Vpn6 src=212.43.79.98/33841 cldst=212.43.78.14/110 svsrc=212.43.79.98/33841 dstif=Vpn5 dst=192.168.67.58/110 proto=110/tcp rule=3 Das Auswerten bereits kleiner Logdateien erfordert eine Menge Fachwissen und Zeit!

36. Sicherheitsstrategie Risikoanalyse Quelle: Axent Trainings Reaktions-, Sicherheits- monitoring Rettungs-, Maßnahmen und Implemen- tierung einer Lösung Wahl und Sicherheits- strategie

39. Ende

40. Übersicht Soultek Produkte

41. Sicherheit in Netzwerken Dem Einsatz unserer Sicherheitslösungen geht eine gründliche Sicherheitsprüfung und Schwachstellen-analyse voraus.

44. Virtual Private Networks Sichere Kommunikation mit Ihren Partnern, Niederlassungen und Aussenddienst. Direkter Zugriff in Ihr Firmennetz Sichere Telearbeitsplätze

45. Überwachungssysteme Bewegungssensitives Kamerasystem Remotezugriff Bilder per Email oder Web an Überwachungszentrale Korrelation von Signalen aus verschiedenen Kameras