Benutzer:RedTux/Werkstatt/Security-Audits

aus Wikipedia, der freien Enzyklopädie

IT-Sicherheitsaudit, Portal Diskussion:Informatik#Sicherheitsaudit


Verwundbarkeitskategorien

  • Backdoors
  • Password checks (defined lists, brute force)
  • CGI abuses
  • Databases
  • Denial-of-service
  • DNS
  • File access
  • Firewalls

Eine professionelle Schwachstellenanalyse umfasst in der Regel Tests für alle gängigen Betriebssysteme.

  • AS/400
  • BeOS
  • BSD UNIX (BSDi, Darwin, FreeBSD, NetBSD, OpenBSD ...)
  • Cisco IOS
  • GNU/Linux (CentOS, Debian, Fedora, RedHat, Slackware, SuSE, Ubuntu, ...)
  • HP-UX
  • Mac OS
  • Microsoft Windows (alle Versionen)
  • Novell NetWare
  • OS/2
  • SunOS
  • Sun Solaris

Penetrationstest vs. andere

vgl. IT-Sicherheitshandbuch / Antonius Sommer, TÜViT S. 20 [1]

  • Informationsbasis: Black-Box vs. White-Box (!)
  • Aggressivität: passiv scannend / vorsichtig (!) / abwägend / aggressiv
  • Umfang: vollständig / begrenzt (!) / fokussiert
  • Vorgehensweise: offensichtlich (!) / verdeckt
  • Technik: Netzwerkzugang (!) / sonstige Kommunikation / physischer Zugang / Social Engineering
  • Ausgangspunkt: von außen / von innen (!)

Intrusion Detection

Zitat Gartner Inc.:

Enterprises that implement a vulnerability management process will experience 90 percent fewer successful attacks than those that make an equal investment only in intrusion detection systems.

Gewöhnlich wird zwischen hostbasierter und netzwerkbasierter Erkennung von Angriffen unterschieden. Zu den Aufgaben eines IDS zählen:

  • Erkennung möglicher Packet-Sniffing-Attacken ('normal mode' vs. 'promiscuous mode')
  • TCP/UDP port listener
  • file change monitor
  • RootKit-Erkennung (z.B. mit Hilfe eines eigenen Kernelmoduls)

Verbreitete Intrusion Detection (IDS) und Prevention (IPS) Systeme sind Snort, Tripwire und AIDE (Advanced Intrusion Detection Environment). Hybride Intrusion Detection Systeme vereinen diese beiden IDS-Technologien (Hostbasierte und netzbasierte Sensoren; HIDS/NIDS) in einem System [2].

Passwortknacker

(zusätzlich zu den im artikel bereits erwähnten …)

  • fcrackzip - Passwortknacker für Zip-Archive
  • pdfcrack - PDF files password cracker
  • scowl - Spell-Checker Oriented Word Lists
  • sucrack - multithreaded su bruteforcer
  • medusa - fast, parallel, modular, login brute-forcer for network services
  • medussa - Verteiltes Passwort-Cracking-System
  • bfbtester - Brute-Force-Programmtester
  • password cracker
  • ftp://ftp.zedz.net/pub/crypto/wordlists/

Firewall-Identifizierung

siehe HE 5, S. 465 ff.

  • tracing the paths (hops/route tracing)
  • direktes Portscanning → möglichst kaum noisy wegen IDS (s. Perl-Scripts von HE [3])
    • Pakete fragmentieren (langsamer, aber unauffälliger)
    • randomizing Pings, target ports & target addresses
    • spoofing source ports
    • distributed source scans (v. versch. PCs aus)
  • Banner Grabbing (Antwort von lauschenden Diensten) – z.B. mit netcat oder telnet
$ nc -v -n <IP> <port>
$ sudo nmap -vv -O -sV -A -T4 <IP> -P0
[...]
Running (JUST GUESSING) : FreeBSD 6.X (87%)
OS fingerprint not ideal because: Didn't receive UDP response. Please try again with -sSU
Aggressive OS guesses: FreeBSD 6.2-RELEASE (87%)
No exact OS matches for host (test conditions non-ideal).
TCP/IP fingerprint by osscan system #2:
[...]

wichtige Nmap-Optionen:

-sS	TCP SYN Stealth Scan (default)
-vv	verbose
-A	OS detection, Version detection, Script scanning und Traceroute
-O	OS fingerprint (sudo)
-sV	service/version info
-T[0-5] Set timing template (higher is faster)
-T4	faster execution
-sU	UDP Scan (langsam)

en:Enumeration (Auflistung aller Elemente) & en:Firewalking (engl. für Feuerlauf; Durchdringen der FW):

vgl. Cheswick & Bellovin: Building Firewalls; z.B.

  • Linux firewalling (netfilter/iptables)
  • Check Point Firewall-1/NG
  • Cisco PIX
  • Microsoft Proxy Server

Raw packet transmission mit hping und firewalk

$ firewalk -p TCP (UDP, ICMP) -s <ports> IP

tlw. false postives wg. falschem Verlass auf ICMP TTL expiration)

$ nmap -sS -P0 -g <source-port> -p <dest. port> IP

static source port nmap feature /w SYN or half-scan; mgl. source port z.B. 20 f. FTP-Data (21 f. FTP) → exploits od. Vbdg. durch FW mit fpipe oder nc -s …

→ Gegenmaßnahme: Passive FTP, application-based proxy FW oder Abschalten/Unterbinden jeglicher Kommunikation, die mehr als eine Port-Kombination (FTP, IM, div. High Ports) benötigt

Routing Protokoll Attacken: HE 5, S. 352 ff. → RIP, OSPF, IGRP, BGP => information-gathering tools; FW oft schlecht konfiguriert

Linux-based FW m. Antispam, IDS (snort), built-in Proxys (HTTP, DNS …) etc. → Unified Threat Management (UTM) Appliance: Astaro, Endian Firewall u.a.

Firewall/IDS Evasion and Spoofing: Nmap Reference Guide, Chapter 15 [4]

bypass most common firewall filters: tcp packets statt udp or icmp echo requests: hping, lft, paratrace, tcptraceroute, traceroute-nanog, tctrace … statt ping, traceroute, tracert … [5]

  • hping3 - Active Network Smashing Tool
  • lft - layer-four traceroute
  • ndisc6 - IPv6 diagnostic tools
  • paketto - Unusual TCP/IP testing tools
  • tcptraceroute - A traceroute implementation using TCP packets
  • traceproto - traceroute replacement that supports TCP, UDP, and ICMP
  • traceroute-nanog - Determine route of packets in TCP/IP networks (NANOG variant)
  • irpas - Internetwork Routing Protocol Attack Suite

Privilege Escalation & ACLs

s. HEL 3 S. 52 ff., S. 62 ff.

  • Exploits/Bugs (privilege escalation)
  • Erreichung einer höheren Berechtigungsstufe (privilege elevation)
  • Ausführung von fremdem Programmcode

Vorbeugen/Schutzmaßnahmen (s. Härten (Computer)):

  • voller Audit inkl. Reviews; System „härten“/absichern
  • Minimalsystem/nur benötigte Software & Dienste installieren
  • nur benötigte Treiber/Module laden – mgl.st fix im Kernel → vs. Hardware, Driver, Modul privilege escalation
  • hardened Kernel
  • nur benötigte Dienste mit eingeschränkten Berechtigungen (s. AppArmor, SELinux)
  • Principle of least privilege (POLP) bzw. Principle of least access
  • Sudo granular konfigurieren (gezielte Rechtevergabe für bestimmte Anwendungen und User/Gruppen)
  • en:Systrace anstatt von SetUID/SUID/SGID zur Kontrolle von Systemaufrufen (syscalls)
  • Dateiberechtigungen und Attribute überprüfen und absichern (Rechtevergabe, Gruppenmitgliedschaften) – Mandatory Access Control

Tools

Web application security assessments

Ballista & OpenBSD

$ mkdir -p openbsd/iso/4.4/
$ cd openbsd/iso/4.4/
benötigte Pakete von ftp://anga.funkfeuer.at/pub/OpenBSD/4.4/packages/i386
$ mkisofs
-v
-r
-l
-L
-T
-J
-V "OpenBSD-4.4"
-A "OpenBSD v4.4-Release, Custom ISO, 11-01-2008."
-b i386/cdrom44.fs (changed)
-c boot.catalog
-o openbsd-i386-4.4.iso
-x openbsd-i386-4.4.iso
./

Literatur

{{
Literatur
|Autor = 
|Herausgeber = 
|Titel = 
|Sammelwerk = 
|Band = 
|Nummer = 
|Auflage = 
|Verlag = 
|Ort = 
|Jahr = 
|Monat = 
|Tag = 
|Seiten = 
|ISBN = 
|Kommentar = 
|Online = 
|Zugriff = 
}}
  • Timothy Newsham: Format String Attacks, 2000. [7]
  • Thomas Ptacek, Timothy Newsham: Insertion, Evasion and Denial of Service: Eluding Network Intrusion Detection., 1998.
  • Nicolas Dubee (plaguez), Phrack (Hrsg.): Linux Kernel Module (LKM) Hacking [8]
  • Fanglu Guo et al.,ACSAC (Hrsg.): Automated and Safe Vulnerability Assessment [9]
  • ITAA Information Security White Paper [10]
  • NIST Information Security Documents [11] [12]
  • ISO technical committees [13]

Links

en-WP