alte Küchengeräte

Security Fundamentals


Ideen: T. Heine, U. Thiessat, C. Haag, A. Grupp, Cisco Networking Academy

Viren, Würmer und Trojaner. Die Gefahren im Netzwerk sind für viele Menschen oft nur schwer greifbar und mit Hilfe von Angst vor möglichen Gefahren werben Unternehmen für Ihre Software. Doch wie viel das tatsächlich hilft bleibt den meisten Menschen ein Rätsel.

In diesem Artikel lernst Du, welche Bedrohungsarten und welche schadhafte Software es gibt. Darüber hinaus wird erklärt, wie Menschen Dein Netzwerk auskundschaften, Zugriff auf Dein Netz erhalten können oder Deinen Dienst zum Absturz bringen. Im zweiten Teil geht es darum, wie man Angriffe durch einen vielseitigen Ansatz abwehrt: Backups, aktuelle Systeme, Triple-A, Firewalls, Passwörter u.v.m.

Bedrohungsarten



Bedrohungen im Netz sind vielfältig:

  1. Identitätsdiebstahl
  2. Datendiebstahl: Geschäftsgeheimnisse, Baupläne, Kreditkarteninfos
  3. Datenverlust oder Manipulation: löschen, verschlüsseln oder abändern von Daten
  4. Unterbrechung von Diensten: DOS

Man unterscheidet dabei folgende Schwachstellen:

  1. technologische Schwachstellen: TCP/IP-Protokolle, Betriebssysteme, Netzwerkgeräte (Router, Switches, Firewalls)
  2. Konfigurations-Schwachstellen: Ungesicherte Benutzerkonten, einfach zu erratenden Passwörter, unsichere bzw. unveränderte Standardeinstellungen, falsch konfigurierte Internetdienste und Netzwerkgeräte
  3. Policy-Schwachstellen: es liegen keine Richtlinien zur Passwortvergabe, Änderungen, Zugriffsrechten u.s.w. vor
Kreditkarte

Infrastruktur­schwachstellen



Bauplan

Die Sicherheit der Infrastruktur (engl. physical security) wird durch folgende Bedrohungen gefährdet:

  1. Hardware: Schaden an Geräten und Verkabelung
  2. Umgebung: Temperatur und Feuchtigkeit
  3. Spannungsversorgung: Spannungsspitzen und -abfälle sowie Leistungsverlust
  4. Wartung: elektrostatische Entladungen, Ersatzteilmangel, schlechte Verkabelung und Kennzeichnung

Man beachte, dass ein Ausfall der Hardware einerseits durch einen Einbruch, anderseits aber auch altersbedingt auftreten kann. Eine zu hohe Temperatur kann durch einen Ausfall der Klimaanlage oder aber auch durch einen Brand entstehen.

Malware Viren, Würmer und Trojaner



Seidenwürmer

Malware (malicious software) ist eine schadhafte Software. Dabei unterscheidet man drei Arten: Viren, Würmer und Trojaner.

Viren

Viren können sich weder reproduzieren noch haben sie einen eigenen Stoffwechsel. Hierfür sind sie auf eine Wirtszelle angewiesen.
Ein Computervirus (engl. virus) ist ist eine Schadsoftware, die in anderen Programmen oder Speicherbereichen abgelegt wird. Es benötigt somit eine Wirtsdatei.

Würmer

Ein Wurm (engl. worm) ist eine Schadsoftware die sich eigenständig im Speicher des befallenen Computers über Systemdienste installiert und vervielfältigt und somit keine Wirtsdatei benötigt.

Trojaner

Das trojanische Pferd war ein hölzernes Pferd vor den Toren Trojas, in dessen inneren griechische Soldaten in die Stadt geschmuggelt wurden, um bei Nacht die Tore zu öffnen.
Ein Trojanisches Pferd (engl. trojan horse) ist getarnt als eine scheinbar legitime Anwendung oder Datei. Beim Öffnen kann dann das Trojanische Pferd den Computer von Innen attackieren. Trojaner vervielfältigen sich nicht selbständig.

Auskundschaften von Netzen reconnaissance attacks



reconnaissance attacks dienen dem Auskundschaften anderer Netze: Geräte entdecken, Betriebssysteme erkennen, Dienste abfragen und dazugehörige Schwachstellen finden.

  • Internetabfragen: Welche IP-Adressräume gehören zum Unternehmen
  • Ping Sweeps: IP-Adressen identifizieren, die öffentlich erreichbar sind
  • Port Scans: Identifizierung der Dienste die auf einem Server angeboten werden
Aufgabe Tools
IP-Adressraum-Abfragen nslookup, whois
Ping Sweeps ping, fping, gping, arping
Port Scans nmap

Zugriffsangriff access attacks



Angriff Beschreibung
brute force attack Herausfinden des Passworts durch Ausprobieren
trust exploitation Zugriff auf Dritten, welcher Zugriffsrechte für ein Netzwerk hat
man in the middle attack Angreifer schaltet sich zwischen Opfer und dessen Ziel, um geheime Informationen abzugreifen
IP spoofing Vortäuschen einer falschen IP-Adresse

Access attacks sind Angriffe die versuchen unautorisierten Zugriff auf Benutzerkonten, Datenbanken etc. zu erhalten.

  • Passwortangriff: Der Angreifer versucht mit diversen Tools das Passwort herauszufinden. So wird bspw. bei der Brute-Force-Attack (deutsch brachiale Gewalt) durch endloses Ausprobieren aller Kombinationen ein Passwort erraten. Die Schadsoftware eines Trojaners kann bspw. über einen keylogger Passwörter mitlesen oder ein Packetsniffer untersucht Datenpakete von unverschlüsselten Nachrichten (Telnet, http).
  • Trust Exploitation: Man verschafft sich Zugriff zu einem Nutzer, welcher autorisierte Zuggriffsrechte auf das zu attackierende Netzwerk hat.
  • Man in the middle attack: Der Angreifer schaltet sich zwischen Opfer und Ziel des Opfers und versucht unbemerkt zu bleiben. Bekommt das Opfer nichts mit, gibt es unter Umständen sensible Daten preis.
  • spoofing: Vortäuschen einer falschen IP-, MAC-Adresse oder DHCP-Nachricht.

Speicherüberlauf buffer overflow attacks - DoS attacks



Wasserfall Elsey National Park

Der Arbeitspeicher von Netzwerkdiensten wird durch eine hohe Anfrage zum Überlaufen gebracht, so dass der Dienst seinen Service einstellt.

Man nennt dies einen Denial of Service Angriff (DoS). Ein Angriff über ein ganzes Netz von Rechnern nennt man Distributed Denial of Service (DDos) Angriff.

Übung 1 Welche Aussage ist wahr?

Wähle die korrekten Aussagen aus.

Ein Kind streut Puderzucker auf die Tastatur. Um welche Art Bedrohung handelt es sich? Wähle eine Antwort.

  1. Datendiebstahl
  2. Unterbrechung von Diensten
  3. Datenverlust
  4. Identitätsdiebstahl


Die Klimaanlage in einem Rechenzentrum fällt aus. Um welche Infrastruktur­bedrohung handelt es sich? Wähle eine Antwort.

  1. Hardware
  2. Spannungsversorgung
  3. Wartung
  4. Umgebung

Ein Nutzer lädt ein scheinbar harmloses Programm herunter. Um welche Art von Malware handelt es sich? Wähle eine Antwort.

  1. Virus
  2. Wurm
  3. Trojaner
  4. Corona


Nenne ein Tool für eine Reconnaissance Attacke.
Wähle eine Antwort.

  1. ping
  2. ftp
  3. serielle Verbindung
  4. Telnet

Nenne die Angriffsart, welche durch Ausprobieren ein Passwort herausfindet. Wähle eine Antwort.

  1. brute force
  2. DoS
  3. spoofing
  4. man in the middle


Ein Hacker sendet eine Nachricht mit gefälschter IP-Adresse. Nenne die Angriffsart. Wähle eine Antwort.

  1. brute force
  2. DoS
  3. spoofing
  4. man in the middle

Entspann dich erstmal ...



DEFCON 18: Pwned By The Owner: What Happens When You Steal a Hackers Computer

  • Wenn bei dir eingebrochen wird,
  • dein PC gestohlen ist
  • und es keinerlei Spur gibt?

Dann aber, eines Tages taucht eine Spur auf ...

Abwehr von Angriffen Backups, aktuelle Systeme, AAA



Schildkröte Doi Pui National Park

Die Abwehr von Angriffen funktioniert in einem vielseitigen Ansatz (engl. defense in depth approach).

Backups

Datenverlust kann durch Backups eingegrenzt werden. Dabei gilt:

  1. regelmäßig Backups durchführen,
  2. Datenträger auch außer Haus aufbewahren,
  3. durch starke Passwörter schützen,
  4. Backups müssen validiert werden.

aktuelle Systeme

Systeme müssen aktuell gehalten werden. Man unterscheidet:

  1. Upgrade: nächste Version einer Software (Majaor-Relase)
  2. Update: i.d.R. Änderungen im Funktionsumfang (Minor-Relase)
  3. Patch: ausschließlich Fehlerbehebung

Man beachte, dass nicht nur Server- und Client-Betriebssysteme Aktualisierungen benötigen, sondern auch Switche und Router.

Triple-A

AAA: Authentication, Authorization, Accounting

  1. Authentication: Nur authentifizierte Benutzer sind berechtigt auf dem Gerät/Netzwerk zuzugreifen.
  2. Authorization: Festlegen, wer für welche Aufgaben auf dem Gerät/Netzwerk autorisiert ist.
  3. Accounting: Rechenschaft geben, welche Aktionen auf dem Gerät/Netzwerk ausgeführt werden.

Abwehr von Angriffen Firewalls, Endpoint Security, Cisco auto secure



Firewalls

Eine Firewall schützt ein Netzwerk vor Angriffen von außen, indem unerwünschte Datenpakete geblockt werden.

  1. Paketfilterung: Zugriff nur auf Basis von bestimmten IP- und MAC-Adressen.
  2. Anwendungsfilterung: Zugriff nur auf Basis von Portnummern.
  3. URL-Filterung: Zugriff auf Internetseiten nur auf Basis von URLs oder Schlüssel­wörtern.
  4. Stateful Packet Inspection (SPI): eingehende Pakete müssen Antworten auf Anfragen interner Hosts sein.

Endpoint Security

Die Sicherheit von Endgeräten wie Laptops, Desktops, Server, Smartphones und Tablets gehört zu den anspruchvollsten Aufgaben, da der Mensch als Ursache von Problemen oft unberechenbar ist. Hierzu gehören:

  1. Dokumentierte und den Mitarbeitern bekannte Sicherheitsregeln (policy),
  2. Mitarbeiterschulungen,
  3. Antivirus-Software,
  4. aktivierte Firewall.

Cisco auto secure

Hierbei handelt es sich um einen Assistenten auf dem Router/Switch für die Basis-Sicherheitseinstellungen.
Router# auto secure

  1. Banner,
  2. Absicherung des Privileged Exec Mode,
  3. Lokaler User,
  4. Blockperiode,
  5. SSH-Konfiguration ...

Abwehr von Angriffen Passwörter, Sicherheit auf Router



Passwörter

  1. Mindestens 10 Zeichen
  2. Groß- und Kleinbuchstaben, Zahlen, Sonderzeichen
  3. pro Account-Typ ein eigenes Passwort
  4. kein sozialer Bezug (Partner, Verwandte, Hausiere, Infos aus dem Lebenslauf)
  5. kein Wort aus einem Wörterbuch, Wortlisten
  6. Absichtlich falsch geschriebene Passwörter. Zum Beispiel Smith = Smyth = 5mYth oder oder Security = 5ecur1ty ... besser: Dialekt
  7. häufiges ändern der Kennwörter
  8. Kennwörter nicht (unverschlüsselt) aufschreiben und am Arbeitsplatz aufbewahren

Sicherheit auf Cisco-Router/Switch

  1. Passwörter müssen verschlüsselt hinterlegt sein
    Router(config)# service password-encryption
  2. Passwortkomplexität festlegen (nur Router)
    Router(config)# security passwords min-length 10
  3. Bruteforce-Attacken verhindern (nur Router)
    Router(config)# login block-for 120 attempts 3 within 60
  4. Abmeldung nach längerer Inaktivität (5 min 30 s)
    Router(config)#line vty 0 15
    Router(config-line)# exec-timeout 5 30
    5. Router(config-line)# exit
  5. SSH konfigurieren
    Router(config)#hostname R1
    R1(config)#ip domain-name xxxx.de
    R1(config)# crypto key generate rsa
    ... How many bits in the modulus [512]:1024
    R1(config)# username name secret xxxx
    R1(config)#line vty 0 15
    R1(config-line)#transport input ssh
    R1(config-line)#login local
    R1(config-line)#exit

Sicherheit für Kunden Sicherheit für Experten
Antivirus­software verwenden Softwareupdates installieren
starke Passwörter einzigartige Passwörter
Passwörter regel­mäßig wechseln 2-Faktor-Authentifizierunbg
nur bekannte Internetseiten besuchen starke Passwörter
persönliche Informationen nicht teilen Passwortmanager

Übung 2 Welche Aussage ist wahr?

Wähle die korrekten Aussagen zur gegebenen Schaltung aus.

Ein Nutzer muss sich einlogen. Welcher Triple-A-Faktor wird hier berücksichtigt?
Wähle eine Antwort.

  1. Authorization
  2. Accounting
  3. Authentication
  4. Automation

Ein IP-Paket wird verworfen. Welche Art von Abwehr greift hier?
Wähle zwei Antworten.

  1. Firewalls
  2. Backups
  3. Endpoint security
  4. Triple-A

Die Mitarbeiter einer Firma erhalten eine IT-Sicherheitsschulung. Um welche Art von Abwehr handelt es sich?
Wähle eine Antwort.

  1. Endpoint security
  2. Cisco auto secure
  3. Backups
  4. Triple-A


Bei einem Kunden wird ein Update durchgeführt. Um welche Art von Abwehr ist hier die Rede?
Wähle eine Antwort.

  1. Triple-A
  2. Passwörter
  3. Sicherheit auf Router
  4. aktuelle Systeme

Wähle das sicherste Passwort.
Wähle eine Antwort.

  1. Autobahnau
  2. Aut0bahn!?
  3. Autobahn11
  4. Aut0bahn12


Begründe folgenden Befehl an einem Switch:
Switch(config)# login block-for 120 attempts 3 within 60

  1. Abwehr eines IP-spoofing
  2. Abwehr eines man-in-the-middle-Angriffs
  3. Abwehr eines trust exploitation Angriffs
  4. Abwehr eines Brute-Force-Angriffs

Wortliste und Satzbausteine



Assets engl. Vermögenswerte - Vermögenswerte einer Organisation wie Geräte, Daten, Personen, ...
Vulnerability engl. Verwundbarkeit - Sicherheitslücke, die ausgenutzt werden kann
Exploit engl. Tat - Programm, das eine Sicherheitslücke ausnutzt
Threat engl. Drohung - Bedrohung der Vermögenswerte
Mitigation engl. Entschärfung -
Risk Risikobewertung
Phishing Emailanhang (engl. password fishing), auch Spear phising: gezielter Angriff mit persönlich wirkender Nachricht um Menschen sensitive Information zu entlocken.
der Brute-Force-Angriff, - Herausfinden des Passworts durch Ausprobieren
fuzzing Robustheitstest - Eingabe von Zufallsdaten auf Webseiten um Schwachstellen wie Pufferüberläufe zu Testen
forensic tools digitale Beweisaufnahme, Spurensicherung von Angreifern
IP address Spoofing Vortäuschung einer falschen IP-Adresse
die Bedrohungsart, -en Man unterscheidet vier Arten: Identitätsdiebstahl, Datendiebstahl, Datenverlust oder -manipulation sowie die Unterbrechung von Diensten
die Infra­struktur­sicher­heit, -en Sicherheit von Hardware, keine Umgebungseinflüsse, stabile Spannungsversorgung und intakte Wartung
Malware Schadsoftware (engl. malicious software) wie Viren, Würmer und Trojaner
das Virus, Viren Ein Virus (engl. virus) ist ist eine Schadsoftware, die in anderen Programmen oder Speicherbereichen abgelegt ist und somit Wirtsdateien benötigt.
der Wurm, -"er Ein Wurm (engl. worm) ist eine Schadsoftware die sich eigenständig im Speicher des befallenen Computers über Systemdienste installiert und vervielfältigt und somit keine Wirtsdatei benötigt.
der Trojaner, ~ Ein Trojaner (engl. trojan horse) ist getarnt als harmloses/nützliches Programm, welches Schadsoftware enthält und nachladen kann.
reconnaissance attacks Angriffe zum Auskundschaften anderer Netze
access attacks Angriffe die versuchen unautorisierten Zugriff auf Benutzerkonten zu erhalten
DoS attacks Denial of service Angriffe verursachen die Serviceeinstellung aufgrund zu vieler Anfragen.