Follow Techotopia on Twitter

On-line Guides
All Guides
eBook Store
iOS / Android
Linux for Beginners
Office Productivity
Linux Installation
Linux Security
Linux Utilities
Linux Virtualization
Linux Kernel
System/Network Admin
Programming
Scripting Languages
Development Tools
Web Development
GUI Toolkits/Desktop
Databases
Mail Systems
openSolaris
Eclipse Documentation
Techotopia.com
Virtuatopia.com
Answertopia.com

How To Guides
Virtualization
General System Admin
Linux Security
Linux Filesystems
Web Servers
Graphics & Desktop
PC Hardware
Windows
Problem Solutions
Privacy Policy

  




 

 

Linuxtopia - Red Hat Enterprise Linux Sicherheitshandbuch - H�ufige Schwachstellen und Attacken

Anhang B. H�ufige Schwachstellen und Attacken

Tabelle B-1 zeigt einige der von Eindringlingen am h�ufigsten ausgenutzten Schwachstellen und Zugangspunkte zum Zugriff auf Netzwerkressourcen in einem Unternehmen. Der Schl�ssel zu diesen h�ufigen Schwachstellen ist die Erkl�rung, wie diese ausgenutzt werden, und wie Administratoren ihr Netzwerk ordnungsgem�� gegen solche Angriffe sch�tzen k�nnen.

SicherheitslochBeschreibungHinweise
Null- oder StandardpasswortDas Leerlassen von Passw�rtern oder das Verwenden von bereits bestehenden Standardpassw�rtern, die mit einer Applikation mitgeliefert werden. Dies kommt am h�ufigsten bei Hardware wie Router und BIOS vor; einige Dienste, die unter Linux laufen, k�nnen jedoch auch standardm��ige Administratoren-Passw�rter enthalten (Red Hat Enterprise Linux wird jedoch nicht mit Solchen ausgeliefert)

H�ufig mit Netzwerk-Hardware wie Routers, Firewalls, VPNs und Netzwerkspeicher-Applikationen (NAS) assoziiert.
Tritt h�ufig in Legacy-Betriebssystemen auf, insbesondere bei Betriebssystemen, die Dienste wie UNIX und Windows kombinieren.
Administratoren erstellen manchmal berechtigte Benutzer in Eile, und lassen das Passwort frei, ein perfekter Zugangspunkt f�r b�sartige Benutzer, die dies entdecken.

Standard Shared KeysSichere Dienste werden manchmal mit standardm��igen Sicherheitsschl�sseln f�r Entwicklung oder zu Evaluationszwecken ausgeliefert. Werden diese Schl�ssel nicht ge�ndert und in eine Produktionsumgebung im Internet gestellt, kann jeder Benutzer mit dem gleichen Standardschl�ssel auf diese Ressourcen und damit auf alle empfindlichen Informationen darin zugreifen.

Tritt in Wireless Access Points und bei vorkonfigurierten, sicheren Servern auf.
CIPE (siehe Kapitel 6) enth�lt als Beispiel einen statischen Schl�ssel, der ge�ndert werden muss, bevor dieser in einer Produktionsumgebung angewendet wird.

IP-SpoofingEine sich entfernt befindliche Maschine verh�lt sich wie ein Knoten im lokalen Netzwerk, findet Schwachstellen auf Ihrem Server und installiert ein Backdoor-Programm oder Trojanisches Pferd, um Kontrolle �ber Ihre Netzwerkressourcen zu erlangen.

Spoofing ist relativ schwierig, da es vom Angreifer erfordert, dass er TCP/IP SYN-ACK-Nummern voraussagt, um eine Verbindung zum Zielsystem zu koordinieren. Es sind jedoch verschiedene Tools erh�ltlich, die dem Cracker bei diesem Angriff helfen k�nnen.
Spoofing ist abh�ngig von den auf dem System laufenden Dienste (wie rsh, telnet, FTP und andere), die Source-basierte Authentifizierungstechniken verwenden, die im Vergleich zu PKI oder anderen Formen der Verschl�sselung wie ssh oder SSL/TLS nicht empfohlen werden.

LauschenDas Sammeln von Daten zwischen zwei aktiven Knoten auf einem Netzwerk durch das Abh�ren der Verbindung dieser beiden Knoten.

Diese Art Angriff funktioniert am besten mit Klartext-�bertragungsprotokollen wie Telnet-, FTP- und HTTP-�bertragungen.
Angreifer von au�erhalb m�ssen Zugang zu einem kompromittierten System in einem LAN haben, um solch eine Attacke durchf�hren zu k�nnen; meistens hat der Cracker bereits aktiv eine Attacke ausgef�hrt (wie z.B. IP-Spoofing oder Man-in-the-Middle).
Vorbeugende Ma�nahmen umfassen Dienste mit verschl�sseltem Schl�ssel-Austausch, einmalige Passw�rter oder verschl�sselte Authentifizierung gegen das Erschn�ffeln von Passw�rtern; verst�rkte Verschl�sselung w�hrend der �bertragung ist auch angeraten.

Schwachstellen von DienstenEin Angreifer findet einen Fehler oder ein Schlupfloch in einem Dienst, der �ber das Internet l�uft. Durch diese Anf�lligkeit kann der Angreifer das gesamte System und alle Daten darauf sowie weitere Systeme im Netzwerk kompromittieren.

HTTP-basierte Dienste wie CGI sind anf�llig f�r entfernte Befehlsausf�hrungen und sogar interaktiven Zugang zur Shell. Auch wenn der HTTP-Dienst unter einem nicht-privilegierten Benutzer wie "Nobody" ausgef�hrt wird, k�nnen Informationen wie Konfigurationsdateien und Netzwerkpl�ne gelesen werden. Der Angreifer k�nnte auch eine Denial-of-Service-Attacke starten, die die Systemressourcen lahmlegt oder f�r andere Benutzer unzug�nglich macht.
Dienste weisen manchmal Anf�lligkeiten auf, die w�hrend der Entwicklung und dem Testen unbemerkt bleiben. Diese Anf�lligkeiten sind z.B. Buffer Overflows, bei dem Angreifer Zugang erhalten, indem sie den Adress-Speicher mit mehr als vom Dienst akzeptierten Inhalt f�llen, den Dienst damit zum Absturz bringen und somit Zugang zu einem interaktiven Befehlsprompt bekommen, von dem aus sie Befehle ausf�hren k�nnen. Dies kann komplette administrative Kontrolle f�r den Attacker bedeuten.
Administratoren sollten sicherstellen, dass Dienste nicht als root ausgef�hrt werden und wachsam sein, wenn es zu Patches und Errata-Updates von Herstellern oder Sicherheitsorganisationen wie CERT und CVE kommt.

Schwachstellen von ApplikationenAngreifer finden Fehler in Desktop- und Workstation-Applikationen wie E-Mail-Clients und k�nnen willk�rlich Code ausf�hren, Trojaner f�r zuk�nftige Attacken implantieren oder Systeme zum Absturz bringen. Es kann noch gr��erer Schaden angerichtet werden, wenn die kompromittierte Workstation administrative Berechtigungen f�r den Rest des Netzwerkes hat.

Workstations und Desktops sind anf�lliger f�r eine Ausbeutung als Server, die von Adminsitratoren verwaltet werden, da die Benutzer keine Erfahrung oder nicht das Wissen zur Verhinderung oder Aufdeckung von Einbr�chen haben. Es ist von oberster Wichtigkeit, Einzelpersonen �ber die Risiken bei der Installation unberechtigter Software oder beim �ffnen vom E-Mail unbekannter Herkunft zu informieren
Es k�nnen Schutzeinrichtungen installiert werden, so dass z.B. E-Mail-Software nicht automatisch Anh�nge �ffnen oder ausf�hren kann. Zus�tzlich dazu kann das automatische Aktualisieren der Workstation-Software �ber das Red Hat Network oder andere System-Management-Services die Last einer vielschichtigen Sicherheitsimplemetierung ausgleichen.

Denial-of-Service (DoS) AttackenAngreifer oder Gruppen von Angreifern koordinieren eine Attacke auf ein Netzwerk oder Serverressourcen, bei der unbefugte Pakete an den Zielcomputer gesendet werden (entweder Server, Router oder Workstation). Dies zwingt die Ressource f�r berechtigte Benutzer unverf�gbar zu werden.

Der am h�ufigsten berichtete DoS-Vorfall trat im Jahr 2000 auf, als mehrere stark besuchte kommerzielle Websites und Websites der Regierung angegriffen wurden, wobei durch eine koordinierte Ping-Flut-Attacke mehrere kompromittierte Systeme mit Breitbandverbindungen unverf�gbar gemacht wurden, indem sich diese wie Zombiesverhielten oder �bertragungsknoten umgeleitet wurden.
Quell-Pakete werden allgemein gef�lscht (oder umgeleitet), was das Auffinden der wahren Quelle der Attacke schwierig macht.
Fortschritte beim Ingress Filtering (IETF rfc2267) mittels iptables und Netzwerk-IDS-Technologien wie snort helfen Administratoren, DoS-Attacken herauszufinden und zu verhindern.

Tabelle B-1. H�ufige Sicherheitsl�cher

 
 
  Published under the terms of the GNU General Public License Design by Interspire