Benutzer:RedTux/Werkstatt/Security-Audits

→ IT-Sicherheitsaudit, Portal Diskussion:Informatik#Sicherheitsaudit

Verwundbarkeitskategorien

• Backdoors
• Password checks (defined lists, brute force)
• CGI abuses
• Databases
• Denial-of-service
• DNS
• File access
• Firewalls

Eine professionelle Schwachstellenanalyse umfasst in der Regel Tests für alle gängigen Betriebssysteme.

• AS/400
• BeOS
• BSD UNIX (BSDi, Darwin, FreeBSD, NetBSD, OpenBSD ...)
• Cisco IOS
• GNU/Linux (CentOS, Debian, Fedora, RedHat, Slackware, SuSE, Ubuntu, ...)
• HP-UX
• Mac OS
• Microsoft Windows (alle Versionen)
• Novell NetWare
• OS/2
• SunOS
• Sun Solaris

Penetrationstest vs. andere

vgl. IT-Sicherheitshandbuch / Antonius Sommer, TÜViT S. 20 [1]

• Informationsbasis: Black-Box vs. White-Box (!)
• Aggressivität: passiv scannend / vorsichtig (!) / abwägend / aggressiv
• Umfang: vollständig / begrenzt (!) / fokussiert
• Vorgehensweise: offensichtlich (!) / verdeckt
• Technik: Netzwerkzugang (!) / sonstige Kommunikation / physischer Zugang / Social Engineering
• Ausgangspunkt: von außen / von innen (!)

Intrusion Detection

Zitat Gartner Inc.:

Enterprises that implement a vulnerability management process will experience 90 percent fewer successful attacks than those that make an equal investment only in intrusion detection systems.

Gewöhnlich wird zwischen hostbasierter und netzwerkbasierter Erkennung von Angriffen unterschieden. Zu den Aufgaben eines IDS zählen:

• Erkennung möglicher Packet-Sniffing-Attacken ('normal mode' vs. 'promiscuous mode')
• TCP/UDP port listener
• file change monitor
• RootKit-Erkennung (z.B. mit Hilfe eines eigenen Kernelmoduls)

Verbreitete Intrusion Detection (IDS) und Prevention (IPS) Systeme sind Snort, Tripwire und AIDE (Advanced Intrusion Detection Environment). Hybride Intrusion Detection Systeme vereinen diese beiden IDS-Technologien (Hostbasierte und netzbasierte Sensoren; HIDS/NIDS) in einem System [2].

Passwortknacker

(zusätzlich zu den im artikel bereits erwähnten …)

• fcrackzip - Passwortknacker für Zip-Archive
• pdfcrack - PDF files password cracker
• scowl - Spell-Checker Oriented Word Lists
• sucrack - multithreaded su bruteforcer
• medusa - fast, parallel, modular, login brute-forcer for network services
• medussa - Verteiltes Passwort-Cracking-System
• bfbtester - Brute-Force-Programmtester
• password cracker
• ftp://ftp.zedz.net/pub/crypto/wordlists/

Firewall-Identifizierung

siehe HE 5, S. 465 ff.

• tracing the paths (hops/route tracing)
• direktes Portscanning → möglichst kaum noisy wegen IDS (s. Perl-Scripts von HE [3])
  • Pakete fragmentieren (langsamer, aber unauffälliger)
  • randomizing Pings, target ports & target addresses
  • spoofing source ports
  • distributed source scans (v. versch. PCs aus)
• Banner Grabbing (Antwort von lauschenden Diensten) – z.B. mit netcat oder telnet

$ nc -v -n <IP> <port>

$ sudo nmap -vv -O -sV -A -T4 <IP> -P0
[...]
Running (JUST GUESSING) : FreeBSD 6.X (87%)
OS fingerprint not ideal because: Didn't receive UDP response. Please try again with -sSU
Aggressive OS guesses: FreeBSD 6.2-RELEASE (87%)
No exact OS matches for host (test conditions non-ideal).
TCP/IP fingerprint by osscan system #2:
[...]

wichtige Nmap-Optionen:

-sS	TCP SYN Stealth Scan (default)
-vv	verbose
-A	OS detection, Version detection, Script scanning und Traceroute
-O	OS fingerprint (sudo)
-sV	service/version info
-T[0-5] Set timing template (higher is faster)
-T4	faster execution
-sU	UDP Scan (langsam)

en:Enumeration (Auflistung aller Elemente) & en:Firewalking (engl. für Feuerlauf; Durchdringen der FW):

• Reaktion → Typ (s. Firewall#Firewall-Technologien)
• Application Proxy (s. Web Application Firewall) oder Packet filtering GW oder beides (hybrid)?
• stateful? (keeps state - IN/OUT) oder nicht?
• port firewalled/filtered? → destination unreachable? (ICMP type 3 message) mit code 13 (Communication Administratively Prohibited/Admin Prohibited Filter - RFC 1812) → z.B. Cisco IOS router
• no SYN/ACK & RST/ACK packets? (nmap, tcpdump)

vgl. Cheswick & Bellovin: Building Firewalls; z.B.

• Linux firewalling (netfilter/iptables)
• Check Point Firewall-1/NG
• Cisco PIX
• Microsoft Proxy Server
• …

Raw packet transmission mit hping und firewalk

$ firewalk -p TCP (UDP, ICMP) -s <ports> IP

tlw. false postives wg. falschem Verlass auf ICMP TTL expiration)

$ nmap -sS -P0 -g <source-port> -p <dest. port> IP

static source port nmap feature /w SYN or half-scan; mgl. source port z.B. 20 f. FTP-Data (21 f. FTP) → exploits od. Vbdg. durch FW mit fpipe oder nc -s …

→ Gegenmaßnahme: Passive FTP, application-based proxy FW oder Abschalten/Unterbinden jeglicher Kommunikation, die mehr als eine Port-Kombination (FTP, IM, div. High Ports) benötigt

Routing Protokoll Attacken: HE 5, S. 352 ff. → RIP, OSPF, IGRP, BGP => information-gathering tools; FW oft schlecht konfiguriert

Linux-based FW m. Antispam, IDS (snort), built-in Proxys (HTTP, DNS …) etc. → Unified Threat Management (UTM) Appliance: Astaro, Endian Firewall u.a.

Firewall/IDS Evasion and Spoofing: Nmap Reference Guide, Chapter 15 [4]

bypass most common firewall filters: tcp packets statt udp or icmp echo requests: hping, lft, paratrace, tcptraceroute, traceroute-nanog, tctrace … statt ping, traceroute, tracert … [5]

• hping3 - Active Network Smashing Tool
• lft - layer-four traceroute
• ndisc6 - IPv6 diagnostic tools
• paketto - Unusual TCP/IP testing tools
• tcptraceroute - A traceroute implementation using TCP packets
• traceproto - traceroute replacement that supports TCP, UDP, and ICMP
• traceroute-nanog - Determine route of packets in TCP/IP networks (NANOG variant)
• irpas - Internetwork Routing Protocol Attack Suite

Privilege Escalation & ACLs

s. HEL 3 S. 52 ff., S. 62 ff.

• Exploits/Bugs (privilege escalation)
• Erreichung einer höheren Berechtigungsstufe (privilege elevation)
• Ausführung von fremdem Programmcode

Vorbeugen/Schutzmaßnahmen (s. Härten (Computer)):

• voller Audit inkl. Reviews; System „härten“/absichern
• Minimalsystem/nur benötigte Software & Dienste installieren
• nur benötigte Treiber/Module laden – mgl.st fix im Kernel → vs. Hardware, Driver, Modul privilege escalation
• hardened Kernel
• nur benötigte Dienste mit eingeschränkten Berechtigungen (s. AppArmor, SELinux)
• Principle of least privilege (POLP) bzw. Principle of least access
• Sudo granular konfigurieren (gezielte Rechtevergabe für bestimmte Anwendungen und User/Gruppen)
• en:Systrace anstatt von SetUID/SUID/SGID zur Kontrolle von Systemaufrufen (syscalls)
• Dateiberechtigungen und Attribute überprüfen und absichern (Rechtevergabe, Gruppenmitgliedschaften) – Mandatory Access Control

Tools

• SAINT Vulnerability Assessment Tool (Security Administrator's Integrated Network Tool)
• Hacking Exposed Tools #1
• Hacking Exposed Tools #2
• Hacking Exposed Tools #3
• Windows NT/2000 Enumerator
• Open Source Security Tools
• Free Foundstone Tools
• Key Features of Security Tools
• Tools and Utilities
• Free Enumeration Software
• Free Vulnerability Scanner Software
• Free Port Scanner Software
• Free Packet Sniffer Software
• Free Wireless Security Tools
• Free Intrusion Detection (IDS) and Prevention (IPS) Software
• Network Security Tools
• IndianZ Exploits

Web application security assessments

• http://www.webhackingexposed.com/tools.html
• http://www.owasp.org/
• http://portswigger.net/intruder/
• http://www.acunetix.com/
• http://freeworld.thc.org/
• http://pandalabs.pandasecurity.com/archive/FirePack-for-the-winter.aspx
• http://www.secpoint.com/

Ballista & OpenBSD

• Ballista Security Auditing System by SNI „has its own scripting language called cape“. [6]
• InformationWeek: Holy Intruders!: IP-Based Security Auditing Tools
• PR Newswire: Network Associates Tackles Intrusion Protection Market with Free Offering of CyberCop Scanner to Resellers Nationwide
• Dario Forte: intrusion-detection systems
• CNet: Security buying binge continues
• OpenBSD: Sicherheit
• CCC: Unix-Software
• original site
• cached site
• archive.org
• Port Scanners
• OpenBSD#Sicherheit

$ mkdir -p openbsd/iso/4.4/
$ cd openbsd/iso/4.4/
benötigte Pakete von ftp://anga.funkfeuer.at/pub/OpenBSD/4.4/packages/i386
$ mkisofs
-v
-r
-l
-L
-T
-J
-V "OpenBSD-4.4"
-A "OpenBSD v4.4-Release, Custom ISO, 11-01-2008."
-b i386/cdrom44.fs (changed)
-c boot.catalog
-o openbsd-i386-4.4.iso
-x openbsd-i386-4.4.iso
./

• ftp://anga.funkfeuer.at/pub/OpenBSD/songs/
• ftp://anga.funkfeuer.at/pub/OpenBSD/doc/
• OpenBSD-CD selbst erstellen
• OpenBSD ISO-Image erstellen

Literatur

{{
Literatur
|Autor = 
|Herausgeber = 
|Titel = 
|Sammelwerk = 
|Band = 
|Nummer = 
|Auflage = 
|Verlag = 
|Ort = 
|Jahr = 
|Monat = 
|Tag = 
|Seiten = 
|ISBN = 
|Kommentar = 
|Online = 
|Zugriff = 
}}

• Timothy Newsham: Format String Attacks, 2000. [7]
• Thomas Ptacek, Timothy Newsham: Insertion, Evasion and Denial of Service: Eluding Network Intrusion Detection., 1998.
• Nicolas Dubee (plaguez), Phrack (Hrsg.): Linux Kernel Module (LKM) Hacking [8]
• Fanglu Guo et al.,ACSAC (Hrsg.): Automated and Safe Vulnerability Assessment [9]
• ITAA Information Security White Paper [10]
• NIST Information Security Documents [11] [12]
• ISO technical committees [13]

Links

• http://www.isaca.org/
• http://hakin9.org/
• https://www.bsdwiki.de/Windows_-_Sicherheit_unter_Windows
• https://secure.wikimedia.org/wikipedia/de/wiki/IT-Governance
• http://www.isecom.org/projects/toolsandtemplates.shtml
• http://www.securityfocus.com/columnists/395
• http://www.software20.org/de/haking/issues/3_2007.html
• http://www.securityspace.com/de/smysecure/last30.html
• http://www.governmentsecurity.org/
• Internet Society (ISOC)
• Internet Engineering Task Force (IETF)
• Internet-Drafts & RFC Search

en-WP

• en:Information technology security audit
• en:Computer Assisted Auditing Techniques
• en:Generalized Audit Software
• en:American Institute of Certified Public Accountants
• en:International Auditing and Assurance Standards Board
• en:Mitre Corporation
• en:American Institute of Certified Public Accountants
• en:Knoppix STD
• en:nUbuntu
• en:BackTrack
• en:PHLAK
• en:Network Security Toolkit