4 Netzwerksicherheit Flashcards
Abhörbarkeit (Ethernet, WLAN)
Ethernet: Teilnehmer benötigen einen physischen Zugangspunkt (Port)
- Kommunikation innerhalb einer Kollisionsdomäne für alle Teilnehmer sichtbar.
- Kommunikation von Teilnehmern in derselben Kollisionsdomäne abhörbar
WLAN: Abhörbar wie Ethernet, kein physischer Zugangspunkt notwendig
Abhörbarkeit (Hubs, Switches)
Hubs:
Hubs bzw. Repeater verschmelzen zwei oder mehr Kollisionsdomänen zu einer.
Switches:
- Switches bzw Repeater trennen angeschlossene Kollisionsdomänen mittels Filter Logik
- Switch lernt an welchen Ports A, B und C (Die einzelnen Kollisionsdomänen) hängen und unterdrückt Weiterleitung an andere Ports
ARP-Spoofing
Grundprinzip des Address-Resolution-Protocols (ARP):
- IP Adressen sind logische Adressen, die dynamisch durch ARP auf physische MAC-Adressen abgebildet werden müssen.
- ARP Ermittelt zu einer IP-Adresse die MAC-Adresse
Was ist ARP Spoofing?
Angreifer will Kommunikation zwischen A und B belauschen, leitet abgefangenen Nachricht an B weiter, um unerkannt zu bleiben
Variante: Angreifer antwortet auf alle Anfragen mit MAC der Angreifer Maschine (Damit abhören aller Kollisionsdomänen eines Switches)
–> Werkzeuge: ARP0c, THC-Parasite mit Fragrouter, Ettercap
IPv4 (Verwundbarkeit)
Im Normalfall (kein VPN, kein IPv6, kein IPSec) kein Schutz von: o Authentizität o Vertraulichkeit o Integrität o Verbindlichkeit, Zurechenbarkeit o Anonymität o Verfügbarkeit o Außer TCP: Verlässlichkeit
• Paketinhalt inkl. Header vom Absender frei wählbar
• Insbesondere Absender-IP, da die Wegewahl (Routing) absenderunabhängig ist
• Ziele der Absendermanipulation (IP-Spoofing)
o Ausnutzen von Vertrauensbeziehungen im Paketfilter und Endpunkt
o Verbergen des Absenders
• Antwort an Absender möglich mittels loose source routing (Isrtunnel)
IP-Spoofing
Vorgehensweise: Fälschen der Absenderadresse im IP Paket, Angreifer gibt sich als Akteur des Netzwerks aus)
DDoS: Distributed Denial of Service
Vorgehensweise: Verteilte Angriffe auf die Verfügbarkeit: Beispielsweise Netzwerkleitungen auslasten (So ziemlich Man-in-the-Middle mäßig)
SYN-Flooding
(Thematisch in den TCP Verbindungsprotokollen, 3-Wege-Handshake etc)
Maskieren als nicht-existenter Absender verhindert Antworten an Angreifer
• SYN-Pakete zum Server-Port senden
o Verbindungs-Warteschlange wird aufgefüllt (je nach OS bis zu 128)
o Bei Erschöpfung können keine weiteren Verbindungsanfragen mehr
entgegengenommen werden
• Timeout der Warteschlangeneinträge abwarten
o Keine hohe Datenübertragungsrate notwendig
• Erneutes Senden
~Anstatt ACK als Antwort wird einfach immer und immer wieder eine SYN Anfrage vom Angreifer gespamt
Port Scans
Port Scans sind oft ein Teil der sogenannten „reconnaissance phase” im Vorfeld eines
Angriffs auf ein Netzwerk/System:
o Port Scans untersuchen gezielt offene Ports und damit verbundene Dienste auf einem Zielrechner im Netzwerk.
o Ein Port gilt als offen, wenn eine Anwendung eingehende Kommunikationsanfragen an diesen Port akzeptiert, um einen bestimmten Service zu erbringen.
o Grundidee: Ein Testpaket wird an den Ziel-Port gesendet, und je nach Antwort —
oder fehlender Antwort — des Zielsystems lässt sich einer der folgenden Zustände über den Ziel-Port ableiten: offen, geschlossen oder gefiltert.
TCP Scans (Heimliches Ausspähen verfügbarer Dienste)
Half-Open/SYN-Scan: filterbar, bleibt auf Transportschicht
FIN-Scan: ggf. nicht herausgefiltert, bleibt auf Transportschicht
NULL-Scan, XMAS-Scan:
-TCP-Paket ohne gesetztes ACK-Bit, kein SYN- oder RST-Paket
§ Port geschlossen Antwort: RST-Segment
§ Port geöffnet Paket wird automatisch verworfen
ACK-Scan:
o Verfahren, um festzustellen, ob ein bestimmter Port gefiltert wird oder nicht.
§ Nicht gefiltert (Port geöffnet oder geschlossen): Antwort auf das
Testpaket ist ein RST-Paket
§ Gefiltert. Als Reaktion auf das Testpaket wird keine Antwort gesendet
OS-Fingerprinting:
o Aktiv: stimuliere und analysiere Antwort-Verkehr
o Passiv: analysiere gegebenen Verkehr
o Analysiere Folgen von Belegungen für gegebene Merkmalsfelder (z.B. IP-ID)
o Charakterisiere das Verhalten der relevanten Merkmale
o Unterscheide Betriebssysteme anhand charakteristischer Belegungen und
Merkmalsfelder
Man-in-the-middle (MITM)
Beobachtung: o Keines der Netzwerkprotokolle unterhalb der Anwendungsschicht ist geschützt gegen § Mitlesen (sniffing; Confidentiality!) § Verändern (Integrity!)
o Wenn es dem Angreifer gelingt, in die Kommunikation einzudringen, kann er
beliebig den Datenstrom manipulieren
§ Es sei denn, auf Anwendungsebene werden Maßnahmen dagegen unternommen
• Techniken:
o Physikalische Angriffe
§ Manuelles Unterbrechen von Netzwerkstrecken und Einfügen einer
transparenten Bridge
o ARP-Spoofing
o Übernahme eines „legitimen” Zwischenknotens
§ Ausnutzen von Buffer-Overflows in Routern oder Switches
o Manipulation von Routingtabellen
o DNS
DNS-Spoofing
Prinzip: Angreifer kann DNS Antworten manipulieren
• Angreifer besitzt IP 1.2.3.4
• Opfer tätigt DNS Abfrage von example.org
• Manipulierte DNS Antwort gibt 1.2.3.4 zurück
→ Resultat: Der komplette Netzwerkverkehr des Opfers an example.org geht über den
Rechner des Angreifers.
Potentielle Angriffsvektoren:
o Veränderung der lokalen OS „hosts” Datei
§ z.B. über Malware
§ Folge: Umgehung der DNS Abfrage
o Unterschieben eines DNS Servers, der unter der Kontrolle des Angreifers liegt
§ Manipulierte DHCP-Antworten ()
§ Meist über Ausnutzen von Schwächen in Heimroutern
§ Oder über lokale Netzwerkangriffe (ARP-Spoofing)
o Direktes DNS-Spoofing
§ Gefälschte Antworten auf DNS-Anfragen
§ Benötigt: Korrektes Erraten der Sequence-Nummern und (neuerdings)
des Ports
