Eine erste Einführung in die Sicherheit von (verteilten) Systemen

Aufbau einer TCP Verbindung

Dreifacher Handshake:

Terminologie:

SYN:: synchronize (session establishment)
ACK:: acknowledge
RST:: reset

Verbindungsaufbau - Ablauf:

Client sendet SYN Paket mit initialer Sequenznummer 1000 an den Server.
Server sendet ein SYN-ACK Paket mit einem SYN mit seiner initialen Sequenznummer 2000 und ein ACK mit der Sequenznummer 1001 an den Client
Client sendet ein ACK Paket mit Sequenznummer 2001 an den Server; danach ist die Verbindung aufgebaut.

Das Betriebssystem sollte die initialen Sequenznummern zufällig wählen, so dass ein Angreifer diese nicht leicht vorhersagen kann. Beide Seiten haben eigene Sequenznummern, die unabhängig voneinander sind.

Bei einer laufenden Verbindung werden die Sequenznummern inkrementiert und es ist nicht (mehr) erkennbar wer die Verbindung aufgebaut hat.

Ports bei TCP

Port-Nummern werden für die Kommunikation zwischen zwei Diensten/Prozessen verwendet
Ports sind 16 Bit Zahlen (0-65535)
(Unix) Ports < 1024 sind privilegiert (nur root kann diese öffnen)
einige Port-Nummern sind Standarddiensten zugeordnet

Port-Nummern einiger Standarddienste [1]

Ungeschützte Dienste

Protokoll	Dienst	Portnummer
ftp	Dateitransfer	21
smtp	Simple Mail Transfer Protocol	25
dns	Domain Name System	53
http	Hypertext Transfer Protocol	80
login	Login auf entfernte Rechner	513

Geschützte Dienste

Protokoll	Dienst	Portnummer
ssh	Secure Shell	22
https	HTTP über Secure Socket Layer	443
smtps	SMTP über Secure Socket Layer	465
imaps	IMAP über Secure Socket Layer	993
pop3s	POP3 über Secure Socket Layer	995

Angriffe auf TCP - Motivation

Netzwerkprogrammierung mit TCP ist relativ komfortabel.
Viele Dienste sind mit TCP implementiert.
Angreifer nutzen Schwachstellen in TCP Diensten aus.
Server haben heutzutage i. Allg. alle nicht verwendeten Dienste geschlossen. Angreifer muss verwundbare Dienste zum Beispiel durch Port Scans finden.

Port Scans: TCP Connect Scan

vollständiger Verbindungsaufbau zu allen bzw. zu ausgewählten Ports

Bewertung:

simpelster Port Scan
große Entdeckungsgefahr (Scan selbst ist kein Angriff)
mögliche Verbesserung: zwischen dem Scannen mehrerer Ports Pausen einstreuen (Wie lange?)

Port Scans: TCP SYN Scan

Senden eines TCP-Segments mit gesetztem SYN-Flag an einen Port
falls der Port offen ist, kommt SYN/ACK zurück danach RST senden
falls der Port nicht offen ist, kommt RST (oder nichts) zurück

Bewertung:

kein vollständiger Verbindungsaufbau
meist nicht protokolliert
geringe(re) Entdeckungsgefahr

Port Scans: Stealth Scans

Versenden eines für den Verbindungsaufbau ungültigen TCP-Segments an einen Port:

NULL-Scan (keine Flags)

ACK-Scan (ACK-Flag)

FIN-Scan (FIN-Flag)

XMAS-Scan (alle Flags)

Laut RFC kommt RST zurück, falls Port offen. (Reaktion aber abhängig vom Betriebssystem)

Bewertung:

Zugriff wird meist nicht protokolliert
Scan bleibt unbemerkt

XMAS-Scan:

Bei diesem Scan sind alle Flags gesetzt; ein XMAS-Scan wird auch als Christmas-Tree-Scan bezeichnet, da das Paket erleuchtet ist wie ein Weihnachtsbaum.

Port Scans: Idle Scan [2]

Bei allen bisher betrachteten Scans kann der Scanner prinzipiell identifiziert werden. Unter Verwendung eines sog. Zombies geht es auch anders:

Sondiere IP ID des Zombies:

Starte Scan:

Zombies: ein Rechner (Computer, Drucker oder anderes IoT Gerät) im Internet möglichst ohne eigenen Netzverkehr und mit altem Betriebssystem, bei dem die IP ID in vorhersehbarer Weise inkrementiert wird.

Sollte ein Intrusion Detection System vorhanden sein, so wird dieses den Zombie als Angreifer identifizieren.

Grundlegende Idee: Der Zombie sendet ein RST Paket zurück, da er kein SYN gesendet hat und kein SYN/ACK erwarte. Dadurch erfährt der Angreifer die aktuelle IP ID des Zombies. Über diesen Seitenkanal - d. h. die Veränderung der IP ID des Zombies - kann der Angreifer nun den Zustand des Ports auf dem Zielrechner ermitteln.

Port Scans: Idle Scan

Starte Scan:

Sondiere IP ID des Zombies:

Port Scans: Idle Scan - Zusammenfassung

Angreifer sendet SYN/ACK Paket an Zombie
der Zombie antwortet mit RST und enthüllt seine IP ID (IP Fragment Identification Number).
Angreifer sendet SYN ("vom" Zombie) an Port des Servers
[Port offen] Der Zielrechner antwortet mit SYN/ACK an den Zombie, wenn der Port offen ist.

[Port geschlossen] Der Zielrechner antwortet mit RST an den Zombie, wenn der Port geschlossen ist. Dies wird vom Zombie ignoriert.
[Port offen] Der Zombie antwortet mit RST, da er kein SYN gesendet hat und kein SYN/ACK erwartet und erhöht seine IP ID.
Der Angreifer sendet wieder ein SYN/ACK an den Zombie, um die IP ID zu erfahren.

Mit einem IDLE Scan kann nicht unterschieden werden, ob der Port geschlossen oder gefiltert ist.

Port Scans mit nmap

alle Arten von Port-Scans möglich
auch OS fingerprinting
1. 1. sogar Ermittlung der Versionsnummern von Diensten

$ nmap 192.168.178.121 -Pn
Starting Nmap 7.94 ( https://nmap.org ) at 2023-12-14 13:16 PST
Nmap scan report for Michaels-MacBook-Pro (192.168.178.121)
Host is up (0.0056s latency).
Not shown: 995 filtered tcp ports (no-response)
PORT     STATE SERVICE
53/tcp   open  domain
88/tcp   open  kerberos-sec
445/tcp  open  microsoft-ds
5000/tcp open  upnp
7000/tcp open  afs3-fileserver

OS-Fingerprinting

Beim OS-Fingerprinting werden Datenpakete analysiert, die aus einem Netzwerk stammen, um Informationen für spätere Angriffe zu gewinnen. Durch die Erkennung des Betriebssystems, mit dem ein Netzwerk arbeitet, haben Hacker es leichter, Schwachstellen zu finden und auszunutzen. OS-Fingerprinting kann auch Konfigurationsattribute von entfernten Geräten sammeln. Diese Art von Aufklärungsangriff ist in der Regel (einer) der erste(n) Schritt(e).

Es gibt zwei Arten von OS-Fingerprinting: (1) Aktiv und (2) passiv.

Bei einem aktiven OS-Fingerprinting-Versuch senden die Angreifer ein Paket an das Zielsystem und warten auf eine Antwort, um den Inhalt des TCP-Pakets zu analysieren.

Bei einem passiven Versuch agieren die Angreifer eher als "Schnüffler", der keine absichtlichen Änderungen oder Aktionen im Netzwerk vornimmt. Passives OS-Fingerprinting ist ein unauffälligerer, aber wesentlich langsamerer Prozess.

Port Knocking

Ein Knock-Daemon versteckt offene Ports auf dem Server.
Zugriffe auf alle Ports werden im Log-File protokolliert.
Knock-Daemon beobachtet das Log-File.
Erst nach Erkennen einer vordefinierten (Einmal-)Klopfsequenz öffnet der Knock-Daemon den gewünschten Port für diesen Client.
Client kann nun die Verbindung aufbauen.

Weiterführend

Alternativen zu einer Knock-Sequenz ist zum Beispiel, dass der Port nur dann als offen gilt, wenn die IP ID eine bestimmte Sequenznummer aufweist.

Krzywinski: Port Knocking: Network Authentication Across Closed Ports in SysAdmin Magazine 12: 12-17. (2003)

TCP Stealth

Connection Hijacking

Angreifer übernimmt eine bestehende - zum Beispiel eine bereits durch (Einmal-)Passwort authentisierte - Verbindung.

TCP/IP-Hijacking ist eine Form eines Man-in-the-Middle-Angriffs. Der Angreifer bestimmt erst die IP-Adressen der beiden Sitzungsteilnehmer.

Danach gibt es mehrere Möglichkeiten:

Der Angreifer schickt ("in einer Pause") ein Paket mit der passenden Sequenznummer an den Server.

(Dies kann dann in einem ACK-Storm enden, was ggf. unterbunden werden muss (zum Beispiel durch das Senden eines RSTs), oder ignoriert werden kann.)
Der Angreifer macht einen Client mit einem DoS-Angriff unerreichbar, um sich dann mit dem Anderen zu verbinden, indem er die Netzwerk-ID des ausgeschalteten Clients nutzt.

Denial-of-Service (DoS) Angriffe

Ziel des Angreifers: Lahmlegen eines Dienstes oder des ganzen Systems ...

durch Ausnutzen von Schwachstellen (vulnerabilities, z. B. Buffer Overflow)
durch Generierung von Überlast (Ausschöpfen von RAM, CPU, Netzwerkbandbreite, ...)

Denial-of-Service: SYN-flooding Angriff

Angriff auf Design
Angreifer sendet eine Verbindungsaufbauanforderung (gesetztes SYN-Flag) an Zielmaschine
Server generiert eine halboffene TCP-Verbindung
Angreifer wiederholt in schneller Folge dieses erste Paket zum Verbindungsaufbau

⇒ vollständiges Füllen der internen Systemtabelle

⇒ Anfragen normaler Benutzer werden zurückgewiesen
Angreifer verwendet i. Allg. IP-Spoofing weswegen Firewalls wirkungslos sind.
Abwehr: SYN-Cookies

SYN-Cookies - D J. Bernstein

SYN-Cookies sind speziell konstruiert initiale Sequenznummern.

Der Cookie ermöglicht es, dass keine Informationen im Speicher gehalten werden müssen. Der Cookie encodiert die Informationen, die der Server benötigt, um die Verbindung aufzubauen: Client IP, time window, etc.

Distributed Denial-of-Service (DDoS) Angriff

Opfer wird von sehr vielen Angreifern mit Nachrichten überflutet.

Ein Beispiel: Smurf-Angriff:

Distributed Denial-of-Service (DDoS) Angriff

Bot-Netze (Botnetze) werden verwendet, um DDoS-Angriffe durchzuführen.
Bot-Netze können viele 10.000 Rechner umfassen.
IoT Geräte sind besonders beliebt (z. B. IP-Kameras, Smart-TVs, Smart-Home Geräte, ...), da diese oft nicht ausreichend geschützt sind und trotzdem permanent mit dem Internet verbunden sind.
Beliebte Ziele:
- Onlinespieleserver
- Banking-Portale
- politische Webseiten
Firewalls und Intrusion Detection Systeme sind meist wirkungslos, da die Angriffe von vielen verschiedenen IP-Adressen kommen.

Distributed-Reflected-Denial-of-Service (DRDoS) Angriff

Idee:
- Es wird eine Anfrage an einen Server gesendet, die eine große Antwort auslöst. (z. B. hat(te) der NTP Monlist Befehl eine Antwort, die ca. 200 Fach größer ist als die Anfrage!)
- Mittels IP-Spoofing wird die IP-Adresse des Opfers als Absenderadresse verwendet.
- Es werden insbesondere Dienste basierend auf UDP verwendet, da hier keine Verbindung aufgebaut werden muss.

Nehmen einen signifikanten Teil aller DDoS-Angriffe ein.
Die Tatsache, dass die Sender legitime Server sind, erschwert die Abwehr.
Egress Filtering kann helfen, die Verwendung von IP-Spoofing zu verhindern.

Bereits im Jahr 2018 wurde ein Angriff mit einer Bandbreite von 1,7 TBit/s beobachtet.

Egress Filtering:: Der Router verwirft alle Pakete, die eine Absenderadresse verwenden, die nicht aus dem eigenen Netzwerk stammt.

Distributed Denial-of-Service (DDoS) Angriffe - Beispiel

[...] Google's DDoS Response Team has observed the trend that distributed denial-of-service (DDoS) attacks are increasing exponentially in size. Last year, we blocked the largest DDoS attack recorded at the time. This August [2023], we stopped an even larger DDoS attack — 7½ times larger — that also used new techniques to try to disrupt websites and Internet services.

This new series of DDoS attacks reached a peak of 398 million requests per second (rps), and relied on a novel HTTP/2 “Rapid Reset” technique based on stream multiplexing that has affected multiple Internet infrastructure companies. By contrast, last year's largest-recorded DDoS attack peaked at 46 million rps.

Distributed Denial-of-Service (DDoS) Angriffe

Beispiele:

TCP Stack Attacks (SYN, FIN, RST, ACK, SYN-ACK, URG-PSH, other combinations of TCP Flags, slow TCP attacks)
Application Attacks (HTTP GET/POST Floods, slow HTTP Attacks, SIP Invite Floods, DNS Attacks, HTTPS Protocol Attacks)
SSL/TLS Attacks (Malformed SSL Floods, SSL Renegotiation, SSL Session Floods)
DNS Cache Poisoning
Reflection Amplification Flood Attacks (TCP, UDP, ICMP, DNS, mDNS, SSDP, NTP, NetBIOS, RIPv1, rpcbind, SNMP, SQL RS, Chargen, L2TP, Microsoft SQL Resolution Service)
Fragmentation Attacks (Teardrop, Targa3, Jolt2, Nestea)
Vulnerability Attacks
Resource Exhaustion Attacks (Slowloris, Pyloris, LOIC, etc.)
Flash Crowd Protection
Attacks on Gaming Protocols.

Schutz vor DDoS-Angriffen - On-Site Robustheitsmaßnahmen

Aufrüsten der Ressourcen (z. B. Bandbreite, CPU, RAM, ...)
Exemplarische Sofortmaßnahmen bei aktivem Angriff:
- Whitelisting von IP-Adressen von besonders wichtigen Clients
- Blacklisting von IP-Adressen aus bestimmten Bereichen
- Captchas
- Überprüfung der Browser-Echtheit
Anti-DDos Appliances

Schutz vor DDoS-Angriffen - Off-Site Robustheitsmaßnahmen

Einbinden des ISP
Einbinden spezialisierter Dienstleister (im Angriffsfall wird mittels BGP-Rerouting der Traffic an den Dienstleister umgeleitet, der dann die DDos Attacke filtert.)
Content-Delivery-Networks (CDNs) für statische Inhalte (z. B. Cloudflare, Akamai, ...)
Distributed Clouds

Password Sniffing

In der Anfangszeit:: unverschlüsselte Übertragung von Passwörtern (telnet, ftp, ...)
In der Übergangszeit (bzw. in bestimmten Szenarien auch heute):: Verwendung von Einmal-Passwörtern (S/Key, ...)
Heute:: Passwörter werden verschlüsselt übertragen (ssh, https, ...)

Unverschlüsselte Passworte können leicht mittels eines Sniffers, der den Netzwerkverkehr mitschneidet (z. B. Wireshark), abgefangen werden.

Einmal-Passwörter

Die Idee ist, dass Passwörter nur genau einmal gültig sind und nicht wiederverwendbar sind.

Tokens (z. B. RSA SecurID)
Codebuch: Liste von Einmal-Passwörtern, die das gemeinsame Geheimnis sind.
S/Key: Passwort "wird mit einem Zähler kombiniert" und dann gehasht.

Das S/Key Verfahren

Einmal-Passwort-System nach Codebuch-Verfahren, dass im Original auf der kryptographischen Hashfunktion MD4 basiert.

Initialisierung

Der Nutzer gibt sein Passwort W ein; dies ist der geheime Schlüssel. (Sollte W bekannt werden, dann ist die Sicherheit des Verfahrens nicht mehr gewährleistet.)
Eine kryptografische Hash-Funktion H wird n-mal auf W angewandt, wodurch eine Hash-Kette von n einmaligen Passwörtern entsteht. \(H(W), H(H(W)), \dots, H^{n}(W)\)
Das initiale Passwort wird verworfen.
Der Benutzer erhält die n Passwörter, die in umgekehrter Reihenfolge ausgedruckt werden: \(H^n(W), H^{n-1}(W), ..., H(H(W)), H(W)\).
Nur das Passwort \(H^n(W)\), das an erster Stelle der Liste des Benutzers steht, der Wert von \(n\) und ggf. ein Salt, wird auf dem Server gespeichert.

Anmeldung

Identifiziere \(n\) das letzte verwendete Passwort.

Der Server fragt den Nutzer nach dem Passwort \(n-1\) (d. h. \(H^{n-1}(W)\)) und übermittelt ggf. auch den Salt.
Der Server hasht das Passwort und vergleicht es dann mit dem gespeicherten Passwort \(H^n(W)\).
Ist das Passwort korrekt, dann wird der Nutzer angemeldet und der Server speichert das Passwort \(H^{n-1}(W)\) als neues Passwort \(H^n(W)\) und dekrementiert n.

Intern verwendet S/KEY 64-bit Zahlen. Für die Benutzbarkeit werden diese Zahlen auf sechs kurze Wörter, von ein bis vier Zeichen, aus einem öffentlich zugänglichen 2048-Wörter-Wörterbuch (\(2048 = 2^{11}\)) abgebildet. Zum Beispiel wird eine 64-Bit-Zahl auf "ROY HURT SKI FAIL GRIM KNEE" abgebildet.

Secure Shell (SSH)

Verschlüsselte Verbindung

SSH ermöglicht die sichere Fernanmeldung von einem Computer bei einem anderen (typischerweise über TCP über Port 22). Es bietet mehrere Optionen für eine starke Authentifizierung und schützt die Sicherheit und Integrität der Kommunikation durch starke Verschlüsselung

Ablauf

Authentisierung des Server-Rechners
Authentisierung des Benutzers (bzw. des Clients) mittels
1. Passwort
2. .rhosts-Eintrag
3. privatem (RSA-)Key (hauptsächlich verwendete Methode)
Kommunikation über symmetrisch verschlüsselte Verbindung

Die Authentifizierung mittels eines Schlüsselpaars dient primäre der Automatisierung (dann wird auch keine Schlüsselphrase zum Schutz des Passworts verwendet). Auf jeden Fall ist effektives Schlüsselmanagement erforderlich:

[...] In einigen Fällen haben wir mehrere Millionen SSH-Schlüssel gefunden, die den Zugang zu Produktionsservern in Kundenumgebungen autorisieren, wobei 90 % der Schlüssel tatsächlich ungenutzt sind und für einen Zugang stehen, der zwar bereitgestellt, aber nie gekündigt wurde.

—SSH.com (Dez. 2023)

Secure Shell (SSH) - Protokoll

Beide Seiten haben einen Public-private Key Schlüsselpaar zur Gegenseitigen Authentifizierung

User Keys:

Authorized keys - Datei mit den öffentlichen Schlüsseln der Nutzer, gespeichert auf Serverseite
Identity keys private Schlüssel der Nutzer

Host keys:

benötigt für die Authentifizierung von Servern, um Man-in-the-Middle-Angriffe zu verhindern.

Session Keys:

werden für die symmetrische Verschlüsselung der Daten in einer Verbindung verwendet. Session Keys (Sitzungsschlüssel) werden während des Verbindungsaufbaus ausgehandelt.

Im Falle von SSH gibt es kein initiales Vertrauen zwischen Server und Client.

Secure Shell (SSH) - Verbindungsaufbau - Beispiel

debug1: Reading configuration data /etc/ssh/ssh_config
debug1: Applying options for *
debug1: Connecting to example.org [1.2.3.4] port 22.
debug1: Connection established.
debug1: identity file /home/user/.ssh/id_rsa type -1
debug1: identity file /home/user/.ssh/id_rsa-cert type -1
debug1: identity file /home/user/.ssh/id_dsa type -1
debug1: identity file /home/user/.ssh/id_dsa-cert type -1
debug1: Remote protocol version 1.99, remote software version OpenSSH_5.8
debug1: match: OpenSSH_5.8 pat OpenSSH*
debug1: Enabling compatibility mode for protocol 2.0
debug1: Local version string SSH-2.0-OpenSSH_5.5p1 Debian-6
debug1: SSH2_MSG_KEXINIT sent
debug1: SSH2_MSG_KEXINIT received
debug1: kex: server->client aes128-ctr hmac-md5 none
debug1: kex: client->server aes128-ctr hmac-md5 none
debug1: SSH2_MSG_KEX_DH_GEX_REQUEST(1024<1024<8192) sent
debug1: expecting SSH2_MSG_KEX_DH_GEX_GROUP
debug1: SSH2_MSG_KEX_DH_GEX_INIT sent
debug1: expecting SSH2_MSG_KEX_DH_GEX_REPLY
debug1: Host 'example.org' is known and matches the RSA host key.
debug1: Found key in /home/user/.ssh/known_hosts:1
debug1: ssh_rsa_verify: signature correct
debug1: SSH2_MSG_NEWKEYS sent
debug1: expecting SSH2_MSG_NEWKEYS
debug1: SSH2_MSG_NEWKEYS received
debug1: Roaming not allowed by server
debug1: SSH2_MSG_SERVICE_REQUEST sent
debug1: SSH2_MSG_SERVICE_ACCEPT received
debug1: Authentications that can continue: publickey,password,keyboard-interactive,hostbased
debug1: Next authentication method: publickey
debug1: Trying private key: /home/user/.ssh/id_rsa
debug1: Trying private key: /home/user/.ssh/id_dsa
debug1: Next authentication method: keyboard-interactive
debug1: Authentications that can continue: publickey,password,keyboard-interactive,hostbased
debug1: Next authentication method: password
user@example.org's password:
debug1: Authentication succeeded (password).
debug1: channel 0: new [client-session]
debug1: Requesting no-more-sessions@openssh.com
debug1: Entering interactive session.
debug1: Sending environment.
debug1: Sending env LANG = en_US.UTF-8

Secure Shell (SSH) - Risiken durch mangelnde Schlüsselverwaltung

Schlüssel werden nicht regelmäßig ausgetauscht
Schlüssel werden nicht gelöscht, wenn sie nicht mehr benötigt werden
viele (die meisten) Schlüssel werden nicht verwendet
Es ist oft nicht bekannt, wer Zugriff auf welche Schlüssel hat(te)
Es ist nicht bekannt, welche Schlüssel auf welche Systeme Zugriff haben
Malware kann SSH-Schlüssel stehlen
SSH Keys können ggf. privilegierten Zugriff gewähren
SSH Keys können benutzt werden, wenn um Backdoors zu verstecken
Server keys erlauben ggf. Man-in-the-Middle-Angriffe

SSH Tunneling

ermöglicht die Übertragung beliebiger Netzwerkdaten über eine verschlüsselte SSH-Verbindung. z. B.
- um ältere Anwendungen zu verschlüsseln.
- um VPNs (Virtual Private Networks) zu implementieren
- um über Firewalls hinweg auf Intranetdienste zuzugreifen.
ermöglicht auch Port-forwarding (lokale Ports werden auf entfernten Rechner weitergeleitet)

SSH und Back-tunneling

Der Angreifer richtet einen Server außerhalb des Zielnetzwerks ein
Nach Infiltration des Zielsystems verbindet der Angreifer sich von innen mit dem externen SSH-Server.
Diese SSH-Verbindung wird so eingerichtet, das eine TCP-Port-Weiterleitung von einem Port auf dem externen Server zu einem SSH-Port auf einem Server im internen Netzwerk möglich ist.
Die meisten Firewalls bieten wenig bis gar keinen Schutz dagegen.

Es ist in diesem Fall besonders interessant für den Angreifer den SSH Server zum Beispiel bei einem Cloud-Anbieter zu betreiben, welcher von dem Unternehmen standardmäßig verwendet wird (am Anfang steht immer die Aufklärung!). In diesem Fall wird die Firewall keine ausgehenden SSH-Verbindungen dorthin blockieren.

Schwachstellen in SSH

Nearly 11 million SSH servers vulnerable to new Terrapin attacks

[...] It [The Terrapin attack] manipulates sequence numbers during the handshake process to compromise the integrity of the SSH channel, particularly when specific encryption modes like ChaCha20-Poly1305 or CBC with Encrypt-then-MAC are used. [...]

By Bill Toulas

—January 3, 2024 10:06 AM

Übung

Port Scans - IDLE Scan

Warum kann mit einem IDLE Scan nicht festgestellt werden warum ein Port geschlossen oder gefiltert ist?
Welchen Wert hat die IP ID des Zombies, der einem IDLE Scan durchführt, wenn der Zielport offen bzw. geschlossen ist wenn der Scanner diesen wieder abfragt?

MTAwMDAw:LjJl/z+M5eCdvo8rxBx6MMIED4yApOzPiSNvTjGYSeQ=:VJiDBNYI8BkzqN6B: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

Übung

S/Key

Welche Vorteile bieten Einmalpasswortsysteme gegenüber Systemen mit mehrfach zu verwendenden Passworten?
Welchen Angriffen sind Einmalpasswortsysteme weiterhin ausgesetzt?
Generieren Sie eine Liste von Einmalpassworten mit Initialwert \(r = 769\). Generieren Sie \(H(r)\) bis \(H^6(r)\) wenn die Einwegfunktion hier der Einfachheit halber \(H(x) = x^2\; mod\; 1000\) ist.
Wie oft kann sich der Benutzer anmelden? Wie sieht seine Liste aus?
Welchen Wert speichert der Server vor dem ersten Anmeldevorgang?
Spielen Sie zwei Anmeldevorgänge durch.
Wenn ein Passwort \(H^L(W), 1 < L < N\) bekannt ist, welche Auswirkungen hat dies auf die Sicherheit des Verfahrens?

MTAwMDAw:ZmgvZiHCitv9FxOV0TjrZHVdzLtclBpLCKLyVPfYfzw=:PZS1oaSscxhYGBMS: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

Übung

DDoS

Welches Problem entsteht wenn zum Schutze vor Angriffen auf die Verfügbarkeit die Ressourcen von IT-Systemen und deren Internet-Anbindung erhöht werden?
Recherchieren Sie was ein Low and Slow Angriff ist.
Wo kann überall Egress filtering statt finden.

MTAwMDAw:MfuXmm9FGm2l7Ioe33nig4lY64oK6yzaMm8cMhGnzI0=:+Z3wI65wU4wE4p7s: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

Unabhängiges Netz - Ideale Situation

Vorteile:

keinerlei Angriffsmöglichkeiten von außen

Nachteile:

kein Schutz gegen Insider
kein Zugang zum Internet

Von der Notwendigkeit des Schutzes von Rechnern

[...] Züger und sein Team hätten [...] erst kürzlich ein Experiment durchgeführt, [...]. Sie hätten einen Computer "ohne jeglichen Schutz" mit dem Internet verbunden, um zu sehen, wie lange es dauere, bis er befallen sei. Konkrete Details zur Konfiguration dieses Systems werden zwar nicht genannt, angeblich war der Rechner aber schon nach 20 Minuten infiltriert.

—Golem.de 6.2.2024

Schutzschicht zwischen internem und externem Netz

Kontrolle des Nachrichtenverkehrs durch Filterung
begrenzte Isolation mit begrenztem Schutz

Eine Firewall schafft zwischen verbundenen Netzen Sicherheitsdomänen mit unterschiedlichem Schutzbedarf. Eine wichtige Teilaufgabe ist das Ausarbeiten von Sicherheitsrichtlinien.

Realisierung von Virtual Private Networks (VPN)

Aufbau einer scheinbar privaten Verbindung von Firmenteilnetzen über das (öffentliche) Internet
Zusätzliche Verbindungsverschlüsselung zwischen den Firewalls.

Ziel ist es aktive und passive Angriffe zu unterbinden. Selbst bei verschlüsselten Verbindungen kann die Verkehrsflussanalyse noch Informationen liefern über die Verbindungen liefern.

Kommerzielle VPNs für Endnutzer

Einsatz von Virtual Private Networks (VPN) für Privatnutzer

Motivation

Schutz der Privatsphäre; der ISP kennt nicht mehr die Webseiten, die man aufruft
Die IP-Adresse des Nutzers ist den aufgerufenen Webseiten nicht mehr bekannt und kann deswegen der Umgehung von Geo-Blocking dienen.

Nachteile?

Vertrauen in den VPN-Anbieter muss vorhanden sein. Insbesondere, beim Einsatz zum Stärken der Privatsphäre, muss der VPN-Anbieter vertrauenswürdig sein und sollte ein so genannter "no-log" Anbieter sein. Es gibt auch (kostenlose) VPN-Anbieter, die die Daten der Nutzer verkaufen (ehemals: Facebook Onavo).

Schutz auf den Schichten des TCP/IP Stacks

Zentraler Schutz des gesamten internen Netzwerks durch:

Paket Filter (Packet Filtering)
- Blockieren bestimmter IP-Empfänger-Adressen (extern / intern)
- Blockieren bestimmter IP-Absender-Adressen (extern / intern)
  
  (z. B. aus dem Internet mit internen IP-Absender-Adressen.)
- Blockieren bestimmter Dienste; ggf. nur für bestimmte IP-Adressen
Filter auf Anwendungsebene (Application-level Filtering)
- inhaltsbezogene Filterung der Verkehrsdaten eines Dienstes
- z. B. Virenfilter
- wirkungslos bei verschlüsselten Verkehrsdaten
Protokollierungsmöglichkeit der Kommunikation von / nach extern

Firewalls (alleine) können die Struktur des Netzwerks nicht verbergen.

DoS Attacke auf Anwendungsebene

[...]

Angriff auf die Kleinen

Waren bei früheren Spamangriffen massenhaft Accounts auf der größten Mastodon-Instanz mastodon.social angelegt worden, die dann von dort ihre Inhalte verbreiteten, trifft es nun nicht die größte, sondern die kleinsten. Automatisiert werden dabei Instanzen ausgesucht, auf denen eine Registrierung ohne Überprüfung und sogar ohne ein Captcha möglich ist. Das können etwa solche mit wenigen Accounts sein, die von Enthusiasten etwa für eine Gemeinde betrieben werden. Waren die Verantwortlichen in den vergangenen Tagen nicht aufmerksam, wurden diese Instanzen dann regelrecht überrannt. Die Spam-Accounts verschickten massenhaft Nachrichten mit einem Bild des namensgebenden Frühstücksfleischs und Links zu Discord-Servern, die wohl lahmgelegt werden sollten.

—Mastodon: Spamwelle zeigt Schwächen auf [...]

Realisierungsmöglichkeiten von Firewalls

Hardware-Firewall
- Screening Router
- Application Gateway (auch Bastion Host)
  - Proxy-Server für bestimmte Dienste
  - Client-Software (HTTP-Browser, telnet, ftp, ...)
  - Server-Software
Software-Firewall (Personal Firewall)

Im Falle eines Bastion Host, ist dies der einzige unmittelbar erreichbare Rechner.

Dual-Homed Host

Aufbau

zwei Netzwerkkarten: ggf. private interne Adressen
Screening Router & Gate: Packet Filter und Application-Level Filter
Proxy-Dienste installieren
Benutzer-Logins von extern
Konf. der Netzwerkkarten: IP-Pakete nicht automat. weiterleiten

Screening Router

Aufbau

programmierbarer Hardwarerouter
simple Filterfunktionen:
nur Paket-Header prüfen
schnelle Auswertung ermöglicht hohen Durchsatz
Realisierung eines Packet Filters

Bewertung

einfach und billig
flexibel

schwer zu testen
Protokollierung
Fernwartung
keine Inhaltsfilterung

Screened Host

Aufbau

Screening Router blockiert:
- Pakete von / an interne Rechner (nicht Gate)
- Source-Routed Pakete
von extern nur Gate sichtbar
Pakete von intern nur via Gate
Gate bietet Proxy-Server (z. B. für E-Mail)

Gibt es für eine bestimmte Anwendung kein Application-level Proxy, dann kann auf einen für TCP/UDP generischen Proxy zurückgegriffen werden. Dieser arbeitet auf dem Session Layer und kann nur die Header-Informationen auswerten. Es handelt sich dann um ein Circuit-level Proxy/Gateway. Im Vergleich zu einem Application-level Proxy ist die Sicherheit geringer, da der Circuit-level Proxy nicht in der Lage ist, die Daten zu interpretieren.

Ein allgemeines Problem ist, dass viele Anwendungen auf generische Protokolle wie HTTP aufsetzen. Weiterhin betreiben einige Anwendungen Port Hopping, d. h. sie wechseln den Port wenn der Standardport nicht offen ist.

Eine Anforderung an Next-generation Firewalls ist, dass diese die Analyse von den Daten einer Anwendung unabhängig vom Port und Protokoll ermöglichen.

Konfiguration eines Gateways

Das Ziel der Konfiguration muss eine minimale angreifbare Oberfläche sein.

Abschalten aller nicht-benötigten Netzdienste
Löschen aller nicht benötigter Programme
Rechte von /bin/sh auf 500 setzen
Rechte aller Systemverzeichnisse auf 711 setzen
keine regulären Benutzerkennungen
root-Login mit Einmal-Passwortsystem
setzen von Platten- und Prozess-Quotas
volle Protokollierung, möglichst auf Hardcopy-Gerät
möglichst sichere, stabile und regelmäßig aktualisierte Betriebssystemversion einsetzen

Screened Subnet

Aufbau

interner Screening Router als weiterer Schutzwall
- blockiert Dienste, die nicht einmal bis zum Gate gelangen sollen
- lässt nur Pakete zum / vom Gate durch
äußeres Netz realisiert Demilitarisierte Zone (DMZ) für HTTP-Server, Mail-Server, ...

Intrusion Detection Systeme (IDS)

Motivation

Firewalls alleine sind zu statisch und deswegen häufig nicht ausreichend
bessere Aufzeichnung und flexiblere Erkennung notwendig
angepasste Reaktion notwendig

Umsetzung

An verschiedenen, neuralgischen Stellen werden spezielle Sensoren platziert, die (hier) den Netzwerkverkehr überwachen und verdächtige Aktivitäten melden.

Miteinander verwandt bzw. typischerweise in einem Produkt zu finden:

Intrusion Detection (IDS)
Intrusion Response (IRS)
Intrusion Prevention (IPS)

IDS-Erkennungstechniken

Signaturerkennung
statistische Analyse
Anomalieerkennung

Übung

Firewalls

Was sind Vorteile eines Dual Homed Host gegenüber einem Paketfilter? Was sind die Nachteile?
Benennen Sie zwei konzeptionelle Grenzen von Firewalls. D. h. zwei Szenarien gegen die Firewalls nicht schützen können.
Für welche der folgenden Cybersicherheitsstrategien können Firewalls eingesetzt werden:
1. Angriffe vermeiden
2. Angriffe erkennen
3. Angriffe abwehren/Angriffen entgegenwirken
4. Reaktion auf Angriffe
Sie werden beauftragt die Firewall so einzurichten, dass Mails mit Schadsoftware nicht durchgelassen werden. Wie reagieren Sie?

MTAwMDAw:jhBGBzQqkoDkzb9H073erNn6dy7xzr+PVgTu3uRZS8o=:ayO+EXQHZD2xFAqu:FVTaZHNcI6JUW/Y/o1twD9fsZ8e7lRf0nKv5zUX7gwrYkKk8W8IV7DwQCvGl1GjZnCCeBZJRPcwiMggIy6F7L2xzfhVcKh25BiEtW2xJ2Qr1kOMhLGVFasoC80iNIDGlWVrhs7acoZnYspd1GH19oCZzHbpGeB2lXwM2jg7cEBgEbVMbkIRkJlfAul6sYijiEatkWBgk8SxWJnfJVt0AOtNe8uUaPjSaykrtIpkhqhB+PLKg3EGAeuEK6+mQRRaDq1OaOhL4xr+MMMB7QZi1VcWw17JuoXFkKVEnRDEpty8inrY8+ZCsIeJazsuho2MibHL0xRQaBtE8PiLQstC2hC3L/V9BXAxG3K4mgdcRRSLxIAg5nBz/GkxP/WZyklx+7oNNtzQSLFt6s4yhifGdzvklJSvIwe4EylPfcAjAkfgPYI/pZXc5yif5bbQSoX6CsGX6+jMpx5wBHnaVypbpZm/Pay9RmewTBo+KGQiWQg1V+AWiMbhEmmj59/WzkPZOKSOMA0Gio4XRxKJm6SHxeCZDpfbxZsB1UHSJXU4CuUaUCFd0B0IGnihCO9aj9BpzefzAgnq4aak+gaxFB5VrjBNiAUaP2fRf/8Lpwc6pneUkF4P8/uM+sB1JrUg1YZPhMCefcu2qQaydsc55Kqtei1aO/wiYjDcEbwzgGtZl8LsXh0T/H2l9NK1d9HdpLRdPHrm7uA1EyEwnQF8PqyvXpnzLSfIj+RUffMMAVJFEkb55XrJ5n8i8v9l4+TodY1NChRZ0ZX9koaIRGf4I0U61Chd2TUgI1jjKu0aK+/NGQvoabj6lXpJKlvlcnR8wOXobNHZ4EXUp2ZV/7IFiRLqokYU3YkC/JYw4lVcO2esOYiPbPpQo4apGnJDIPLv7CqRWPb+NkvZakdkndep5CJrAdauU7W69PZBEDX0BIim/Hf1Kmm/rxWD4UaK6rlI0KKOmRZf2x8ElMj66y4a9jMOi0vPggAHxzBm0KuZMeca6TgCndWUjDMPDzG9Acqf+fawBRbi1bhBseXE01lQm2C/31w5zX/0tUzhYTF6ebmWweY5Y1uVtIp6qIuAWrcjWGlu18iVlBdZ5M7lygWdQnJ+x+cbC0VJekIrSggyDoVaeh7iGNw4IJToq4gpEyyHQZ8zz0PHA90BI2kQCOwUIdRyMaSLxY+X+Qb6loZXGLuRtsfZZzVzA2gkqJYppNEpOOTH5D40ftqYh0bcn4B/H1pkHGguHMxhO4Njfk/RBaX4Qb/Hy4gUK5CtEdztUtDRAtzEDykd/MsJowsK5p6c2YVn2PU6mqPVMYyTBw5tF7jGU7CejKiwJ7z4W0OfdmFxX9ew4jZzK5t2ECauNPz3FKKuynu2Le8aAUUCofNELaJAkk6evl8xU/+QwC3leVIjfmt782dMYzFbnmgYWkqjudqHeiaywZtJBsHrTB0Rsh0TJcvTD1vJSKXE2WYBGVYtjzyTJxQL8jUS2tmIRssKngMV/jS12gusv6rQaxpyspWHIMFwUyLqDh6izvA7UJ43JojWvpe3D3lyqSI17FkDxr3V2h9/CSvYPgZyPDHaBALScJUkKFewITmAho+Kf1AKgQ0sJ68S1gMwd7Jat/tAskxGkBtuWaKhlBig+7hP0v8vGwG1zmPQRiSMu9yPMSFHiKVwoTkPjLIXoXYsEYJwzubX5/9rE2Z8CU1SHowfR75ORs4Eqp76bNf4N5w4CiSyneLnoGdF+ZtpVMihBmV1Cvy8+y5KLHQbCUoRLyHbSsiyBUcu51UMkvwoyxnVzxieVyWZ9z3gZ9buEvdZF3gjhIV8WA2YvZKiLdyURkZISP5HN2qGuUgwktMpv2QJpzPydHVI3CL58UP80YEatUMIQnQNrRAG45g0wVKAX+VFTFyCsBVyAdmcAgv0MHmdqmBLiIVuAM+bAYokc/3UO4nCWzBtVkLfhI6+pEisJCIfx2yag1NJF1Bg+kVD/MBzoFIHwD0eASNDqNvggibm1b5s7C60V1LS2Yq8J1whxFGa8J2r0lUnxqRkXyHZSQs1upQn1Htu/stbmYsLUW7OmWghMTshB9RRF5IUTMlQn/CX025ru6fIF9ik1TMG3ffR7AwoMPYEd9AaUSzH8xNGs9dUMzkhTW03agUreZyCYua/DF0FvOXJWUAcvmtTNjrQ4KtmKPeORr7eIJjAt1eAKJr5DFCTtkhj/3a6wzS66AWb+ElOWkLqvEszzqyovnbjbc+Su5vNs5N6pMiuu8v/SsTR8UOuT9UxHVnVJ13tjs1QFX/62+OgjyId5ty/Jpzxeyscjs8Oz2IXI0tu6GobUg6GI2Ruq/CcX+LgDJ1eskXqzS0oeBlJWPEAUoPYaNVAAtQ2pzu8IejacU594E08/4oZnB9te9sewX8er3zQYYANWSZD3MKOZbTnl3Q5rkOSw8CKX72Oi02pqajgemJJB7HA+NzbL4Ou7VuCYMfA2/I/b6L49mCnzAoP83+NyWXNh99vmkRrJEpQTzhiahHRZLXscMDRdBIxX5OOtOHUNd50kJ6MFtiJgUeXIbtVInHwX1entBlRO58y6AXLK/V0xzsvMwMptLLjtRIhS3LnSZZS2C8Jlnl1P1j9OhHsuj74dxdVTRXCpgBtrtetSB4/o6TyrSWWrLv+6vUnPX7Wm5O8Dz+lziZpvUNLFKDJI5fNuzNOV+heRZBrdF/W1gyGavO1jw/9rkhtBTAyfxgzuGctCC82+RsmjNM+CxztYKgvdcwr5pdGgN/MvlkshB43B7d+QGgtGaTM25gCd2XFW4GWxLolXb5RAnsNEZQMMrWe5U3QYdck+hFh1PJxWgVD+yG1d9hZ0zH9+D5Y32+sJMbrHu6gROcRhLdvMcH3wARn84tYPe0TCJP/1xb/x4zlM4XsV7LhdDxlebUNlUnKiK9FXP5aYzdWyoARTdjAXz0Mh4AdCVUYGLtUGWiORX54tBDRCDw==

Eine erste Einführung in die Sicherheit von (verteilten) Systemen

Themen

Transmission Control Protocol (TCP)

TCP Grundlagen

Aufbau einer TCP Verbindung

Ports bei TCP

Port-Nummern einiger Standarddienste [1]

Angriffe auf TCP - Motivation

Port Scans: TCP Connect Scan

Port Scans: TCP SYN Scan

Port Scans: Stealth Scans

Port Scans: Idle Scan [2]

Port Scans: Idle Scan

Port Scans: Idle Scan - Zusammenfassung

Port Scans mit nmap

Port Knocking

Connection Hijacking

Denial-of-Service (DoS) Angriffe

Denial-of-Service: SYN-flooding Angriff

SYN-Cookies - D J. Bernstein

Distributed Denial-of-Service (DDoS) Angriff

Distributed Denial-of-Service (DDoS) Angriff

Distributed-Reflected-Denial-of-Service (DRDoS) Angriff

Distributed Denial-of-Service (DDoS) Angriffe - Beispiel

Distributed Denial-of-Service (DDoS) Angriffe

Schutz vor DDoS-Angriffen - On-Site Robustheitsmaßnahmen

Schutz vor DDoS-Angriffen - Off-Site Robustheitsmaßnahmen

Password Sniffing

Einmal-Passwörter

Das S/Key Verfahren

Secure Shell (SSH)

Secure Shell (SSH) - Protokoll

Secure Shell (SSH) - Verbindungsaufbau - Beispiel

Secure Shell (SSH) - Risiken durch mangelnde Schlüsselverwaltung

SSH Tunneling

SSH und Back-tunneling

Schwachstellen in SSH

Übung

Übung

Übung

Firewalls

Unabhängiges Netz - Ideale Situation

Von der Notwendigkeit des Schutzes von Rechnern

Schutzschicht zwischen internem und externem Netz

Realisierung von Virtual Private Networks (VPN)

Kommerzielle VPNs für Endnutzer

Schutz auf den Schichten des TCP/IP Stacks

DoS Attacke auf Anwendungsebene

Realisierungsmöglichkeiten von Firewalls

Dual-Homed Host

Screening Router

Screened Host

Konfiguration eines Gateways

Screened Subnet

Intrusion Detection Systeme (IDS)

IDS-Erkennungstechniken

Übung