Anhang B. Häufige Schwachstellen und Attacken

Tabelle B-1 zeigt einige der von Eindringlingen am häufigsten ausgenutztenSchwachstellen und Zugangspunkte zum Zugriff auf Netzwerkressourcen in einem Unternehmen. Der Schlüssel zu diesen häufigen Schwachstellen ist die Erklärung, wie diese ausgenutzt werden, und wie Administratoren ihr Netzwerk ordnungsgemäß gegen solche Angriffe schützen können.

SicherheitslochBeschreibungHinweise
Null- oder StandardpasswortDas Leerlassen von Passwörtern oder das Verwenden von Standardpasswörtern, die mit einer Applikation mitgeliefert werden. Dies kommt am häufigsten bei Hardware wie Router und BIOS vor; einige Services, die unter Linux laufen, können jedoch auch standardmäßige Administratoren-Passwörter enthalten (Red Hat Enterprise Linux wird jedoch nicht mit solchen ausgeliefert)

Häufig mit Netzwerk-Hardware wie Routers, Firewalls, VPNs und Netzwerkspeicher-Applikationen (NAS) assoziiert.
Tritt häufig in Legacy-Betriebssystemen auf, insbesondere bei Betriebssystemen, die Services wie UNIX und Windows kombinieren.
Administratoren erstellen manchmal berechtigte Benutzer in Eile, und lassen das Passwort frei, ein perfekter Zugangspunkt für bösartige Benutzer, die dies entdecken.

Standard Shared KeysSichere Services werden manchmal mit standardmäßigen Sicherheitsschlüsseln für Entwicklung oder zu Evaluationszwecken ausgeliefert. Werden diese Schlüssel nicht geändert und in eine Produktionsumgebung im Internet gestellt, kann jeder Benutzer mit dem gleichen Standardschlüssel auf diese Ressourcen und damit auf alle empfindlichen Informationen darin zugreifen

Tritt in Wireless Access Points und bei vorkonfigurierten, sicheren Servern auf.
CIPE (siehe Kapitel 6) enthält als Beispiel einen statischen Schlüssel, der geändert werden muss, bevor dieser in einer Produktionsumgebung angewendet wird.

IP-SpoofingEine entfernte Maschine verhält sich wie ein Knoten im lokalen Netzwerk, findet Schwachstellen auf Ihrem Server und installiert ein Backdoor-Programm oder Trojanischen Virus, um Kontrolle über Ihre Netzwerkressourcen zu erlangen.

Spoofing ist relativ schwierig, da es vom Angreifer erfordert, dass er TCP/IP SYN-ACK-Nummern voraussagt, um eine Verbindung zum Zielsystem zu koordinieren. Es sind jedoch verschiedene Tools erhältlich, die dem Cracker bei diesem Angriff helfen können.
Spoofing ist abhängig von den auf dem System laufenden Services (wie rsh, telnet, FTP und andere), die Source-basierte Authentifizierungstechniken verwenden, die im Vergleich zu PKI oder anderen Formen der Verschlüsselung wie ssh oder SSL/TLS nicht empfohlen werden.

LauschenDas Sammeln von Daten zwischen zwei aktiven Knoten auf einem Netzwerk durch das Abhören der Verbindung dieser beiden Knoten.

Diese Art Angriff funktioniert am besten mit Klartext-Übertragungsprotokollen wie telnet, FTP und HTTP-Übertragungen.
Angreifer von außen müssen Zugang zu einem kompromittierten System in einem LAN haben, um solch eine Attacke durchführen zu können; meistens hat der Cracker bereits aktiv eine Attacke ausgeführt (wie z.B. IP-Spoofing oder Man-in-the-Middle).
Vorbeugende Maßnahmen umfassen Services mit verschlüsseltem Schlüssel-Austausch, einmalige Passwörter oder verschlüsselte Authentifizierung gegen das Erschnüffeln von Passwörtern; verstärkte Verschlüsselung während der Übertragung ist auch angeraten.

Service-AnfälligkeitenEin Angreifer findet einen Fehler oder ein Schlupfloch in einem Service, der über das Internet läuft. Durch diese Anfälligkeit kann der Angreifer das gesamte System und alle Daten darauf sowie weitere Systeme im Netzwerk kompromittieren.

HTTP-basierte Services wie CGI sind anfällig für entfernte Befehlsausführungen und sogar Zugang zur Shell. Auch wenn der HTTP-Service unter einem nicht-privilegierten Benutzer wie "nobody" ausgeführt wird, können Informationen wie Konfigurationsdateien und Netzwerkpläne gelesen werden. Der Angreifer könnte auch eine Denial-of-Service-Attacke starten, die die Systemressourcen lahmlegt oder für andere Benutzer unzugänglich macht.
Services weisen manchmal Anfälligkeiten auf, die während der Entwicklung und dem Testen unbemerkt bleiben. Diese Anfälligkeiten sind z.B. Buffer Overflow, bei dem Angreifer Zugang erhalten, indem sie den Adress-Speicher mit mehr als vom Service akzeptiertem Inhalt füllen, den Service zum Absturz bringen und somit Zugang zu einem interaktiven Befehlsprompt bekommen, von dem aus sie Befehle ausführen können.
Administratoren sollten sicherstellen, dass Services nicht als root ausgeführt werden und ein Auge auf Patches und Errata-Updates von Herstellern oder Sicherheitsorganisationen wie CERT und CVE für ihre Applikationen halten.

Schwachstellen von ApplikationenAngreifer finden Fehler in Desktop- und Workstation-Applikationen wie E-Mail-Clients und können Code ausführen, Trojaner für zukünftige Attacken implantieren oder Systeme zum Absturz bringen. Es kann weiterer Schaden auftreten, wenn die kompromittierte Workstation administrative Berechtigungen für den Rest des Netzwerkes hat.

Workstations und Desktops sind anfälliger für eine Ausbeutung als Server, die von Adminsitratoren verwaltet werden, da die Benutzer keine Erfahrung oder nicht das Wissen zur Verhinderung oder Aufdeckung von Einbrüchen haben. Es ist von oberster Wichtigkeit, Einzelpersonen über die Risiken bei der Installation unberechtigter Software oder beim Öffnen vom E-Mail unbekannter Herkunft zu informieren
Es können Schutzeinrichtungen installiert werden, so dass z.B. E-Mail-Software nicht automatisch Anhänge öffnen oder ausführen kann. Zusätzlich dazu kann das automatische Aktualisieren der Workstation-Software über das Red Hat Network oder andere System-Management-Services die Last einer vielschichtigen Sicherheitsimplemetierung ausgleichen.

Denial-of-Service (DoS) AttackenAngreifer oder Gruppen von Angreifern koordinieren eine Attacke auf ein Netzwerk oder Serverressourcen, bei der unbefugte Pakete an den Zielcomputer gesendet werden (entweder Server, Router oder Workstation). Dies zwingt die Ressource, für berechtigte Benutzer unverfügbar zu werden.

Der am häufigsten berichtete DoS-Vorfall trat im Jahr 2000 auf, als mehrere stark besuchte Websites durch eine koordinierte Ping-Flut über mehrere kompromittierte Systeme mit Breitbandverbindungen unverfügbar gemacht wurden.
Quell-Pakete werden allgemein gefälscht (oder umgeleitet), was das Auffinden der wahren Quelle der Attacke schwierig macht.
Fortschritte beim Ingress Filtering (IETF rfc2267) mittels iptables und Netzwerk-IDS-Technologien wie snort helfen Administratoren, DoS-Attacken herauszufinden und zu verhindern.

Tabelle B-1. Häufige Sicherheitslöcher