EDV Beratung Pohmer, München, Security Audit

Home
Über uns
Kontakt
Referenzen
Impressum
Security
Linux
Virus
Exploits
Wlan
Downloads
Links
Kooperationen
Profil

Modularer Aufbau eines Security Audits

Das Projektziel besteht darin, die IT-Infrastruktur des Kunden auf

Sicherheitsschwächen zu analysieren.

Im ersten Teil des Testes werden die IP-Adressen des Unternehmens

im Rahmen eines Blindversuchs von außen angegriffen.

Im zweiten Teil wird dieser Angriff von innen, aus der Perspektive einer

Person mit Zugang zum Intranet, gegen wichtige Anwendungsserver durchgeführt.

Das Assessment setzt sich aus folgenden Projektbausteinen zusammen:

(1) Optional: Zero-Knowledge Test (1.5 MT)

Auf Wunsch wird im Rahmen eines Zero-Knowledge-Test (d.h. aus der

Perspektive eines Hackers) von außen angegriffen.

Wir erhalten dazu vom Kunden keinerlei Informationen.

Unter Anwendung im Internet verfügbarer

Datenbanken wird zunächst analysiert,

über welche Zugänge/IP-Adressen in das zu

prüfende Unternehmen mit dem Internet verbunden ist.

Die von uns ermittelten Daten werden dem Projektverantwortlichen beim

Kunden mitgeteilt.

Falls wir während des Projektablaufs Informationen  vom Kunden erhalten,

wird dies von uns mit Zeitstempel dokumentiert.

Informationsbeschaffung:

Es wird eine Liste der IP-Adressen erstellt, die zum Kunden gehören.

Hierzu gehören auch Router beim ISP,  oder vom Kunden

genutzte Fremdsysteme (DNS, Mail, WWW,...).

Mit Kreativität wird versucht, möglichst viele Informationen

über die vorliegende Infrastruktur zu erfassen:

 · Mailrouting

 · DNS-Infrastruktur

 · Unternehmensübergreifende Kommunikationsbeziehungen

 · Anbindung von Niederlassungen

 · Identifikation von Tochterunternehmen

 · Recherche in Mailinglistenarchiven/Newsgroups

 · Etc.

Die von uns ermittelten Systeme werden dem Ansprechpartner mitgeteilt.

(2) Kick-Off (0-1 Tage)

In einer Vorbesprechung (auch telefonisch möglich) werden die Ziele des

Assessments definiert. Dabei wird festgelegt, mit welchen Techniken

sicherheitsrelevante Probleme identifiziert werden sollen und vor allem,

wie aggressiv

(mit welcher Aussicht auf tatsächliche Ausfälle im Erfolgsfall) diese sein

sollen.

(3) Durchführung der Analyse aus dem Internet (2-8 Tage)

Im Rahmen dieses Tests wird versucht, über das Internet in die zu

Prüfenden Systeme einzudringen.

Wir setzen dreierlei Methoden zum Test ein:

1. Test anhand eines Sicherheitsscanners (z.B. Nessus, ISS oder NetRecon).

2. Portscan mittels einer modifizierten Version von Nmap.

3. Manuelle Tests ("Hacking") mit selbstentwickelter Software und Techniken.

Sicherheitsscanner setzen wir lediglich zur Beschleunigung unserer Arbeit

ein. Der tatsächliche Wert unserer Arbeit liegt jedoch in den manuellen

Tests:

Wir verifizieren das Ergebnis des Scans und versuchen, aktuelle

Sicherheitsschwächen zu identifizieren, die von Scannern nicht entdeckt

werden konnten.

Die Erfahrung zeigt, dass ca. 75% der während eines Tests kompromittierten

Systeme nur durch den Einsatz von Erfahrung, Phantasie und menschlicher

Intelligenz überwunden werden.

Folgende Punkte gehören zum Test:

· Überprüfung der auf den Servern eingesetzten Software auf

  Sicherheitsmängel.

· Passwortrateattacken

· Portscans mit nicht-RFC-konformen Paketen (SYN-, ACK-, FIN- und

  Xmas-Scan), mit denen Firewalls (z.B. statische Paketfilter) unter

  Umständen überwunden werden können.

 · Identifizierung der eingesetzten Betriebssysteme und Software.

   Gezielte Überprüfung der einzelnen Dienste anhand von Hackersoftware,

   sowie  von selbst erstellter Software.

 · Analyse der SNMP-Wartbarkeit von Routern und sonstigen

   Netzwerkkomponenten.

 · Überprüfung des DNS-Servers und des Mailservers (Betrachtung aktueller

   Schwächen populärer DNS-Software)

 · Darüber hinaus werden auf Wunsch aggressive Scans durchgeführt - sowohl

   solche, bei denen es ein Absturzrisiko gibt als auch solche, deren Ziel

   der  Absturz des jeweiligen Systems ist.

 · Identifikation von offenen "Relays", alten DNS-Versionen, nicht

   hinreichend gepatschten MS-IIS-Servern und von anfälligen CGI-Skripten

   usw.

 · Einsatz der neusten "Exploits" und Hackertools aus dem Internet.

Dieser Test kann als "Blindversuch" durchgeführt werden, d.h. unsere

Sicherheitsspezialisten erhalten keinerlei Insider-Informationen, sondern

lediglich

einen Domain-Namen oder eine Liste von IP-Adressen, die sie überprüfen

sollen.

IDS-Test:

Der Kunde kann während unserer Tests die Logfiles des IDS betrachten und

ermittelt so, inwiefern sich unsere Angriffe/Scans im Logfile

niederschlagen.

Auf Wunsch tarnen wir unsere Angriffe unter Anwendung von

Stealth-Techniken

("IDS-Evading").

(4) Security-Assessment des Corporate Networks (2 MT)

Aus dem Intranet werden ebenfalls Sicherheitstests durchgeführt: Es kommen

die gleichen Test-Methoden zum Einsatz - bis auf Angriffsmethoden, die nur

bei Firewalls wirksam sind.

Dennoch unterscheidet sich ein interner Test erheblich von einem externen:

Während aus dem Internet nur ein Minimum der Rechner des Unternehmens

erreichbar sind und diese durch eine Firewall geschützt werden, sind aus

dem Intranet meist sämtliche Rechner den Angriffen schutzlos ausgeliefert.

Der Kreis der potentiellen Innentäter ist dafür aber geringer.

In Großunternehmen existieren oft sehr viele identisch konfigurierte Systeme,

von denen jeweils nur ein Repräsentant gescannt wird.

Passwort-Audits:

Auf Wunsch des Kunden können die beim Kunden eingesetzten Passworte einer

Gütekontrolle unterzogen werden. Wir setzen Prüftechniken der Klassen A-D

ein:

Wörtterbuchbasiert (Dictionary Attack) Buchstaben- oder Silbenorientierte

Angriffe

"Cracking" von Passwort-Hashes (z.B. der Windows SAM-Datei) A B

Angriffe auf Protokollebene C D

(5) Prüfung einer Webapplikation (2-3 Tage pro Applikation)

Angriffe auf Web-Applikationen sind von Natur aus anspruchsvoll; da es

sich  meist um Individuallösungen handelt, ist Erfahrung und Phantasie gefragt.

Automatisierte Scanner sind nicht geeignet,

solche Applikationen zu testen.

Es zeigt sich, dass die Entwickler der Weblösungen oftmals

viel zu wenig Augenmerk auf IT-Security legen.

Oft lassen sich fremde Sitzungen übernehmen ("Session Hijacking")

oder unter Anwendung von Meta-Charakter Attacks Verzeichnisse ausspähen.

Auf dem Markt verfügbare Webserver (Apache, IIS, Domino, IPlanet,

Websphere etc.) haben oft selbst Schwächen oder sind unzureichend konfiguriert.

Zum Test benötigen wir einen normalen Benutzer-Zugang und versuchen, in

geschützte Bereiche einzudringen. Die http-Kommunikation wird dabei genau

analysiert und auf Schwachstellen hin untersucht. Oft hat folgender

Angriff Erfolg:

man meldet sich als Benutzer A an und ist durch geschickt

URL-Manipulationen

in der Lage, Daten anderer Benutzer einzusehen.

Durch eigene Techniken funktioniert dies sogar bei SSL/HTTPS-Vebindungen:

(6) WLAN-Test (1-2 Tage)

WLANs sind komfortabel und preisgünstig. Teilweise werden "wilde" WLANS

ohne Wissen der IT-Abteilung installiert. Im Rahmen des Test-Moduls werden

WLANs des Kunden identifiziert; es wird geprüft, ob eine effektive

Zugriffskontrolle (Authentifikation) durchgeführt wird, und ob

Verschlüsselung und Zugriffskontrolle korrekt konfiguriert sind. Etwaige im Einsatz

befindliche Erweiterungen zu IEEE 802.11b

(wie z.B. Cisco's LEAP) werden erkannt und bewertet.

Mein Partner verfügt über ein für sogenanntes "Wardriving" ausgerüstetes

KFZ, sodass auch größere Firmengelände auf WLANs hin geprüft werden

können.

(7) Review des Netzplans und anderer Dokumente (1.5 MT)

Der Kunde stellt die eigene Infrastruktur anhand eines Netzwerkplans vor.

Optimierungspotentialen und Sicherheitsschwächen werden gemeinsam

erörtert.

In diesem Teilprojekt sollen darüber hinaus existierende Dokumentation

analysiert werden. Hierzu gehören (falls vorhanden) folgende Dokumente:

 · Sicherheitskonzept

 · Sicherheitsrichtlinien (Security Guidelines, Security Policies)

 · QM-Handbuch, Dokumentation von Geschäftsprozessen

 · Organigramme

 · Dokumentation zu IT-Systemen:

 o Firewalls

 o Intrusion-Detection Systeme (IDS)

 o Etc.

(8) Interviews mit Kernmitarbeitern (2 MT)

Die Praxis zeigt, dass in Unternehmen informelle Prozesse existieren, die

nirgends dokumentiert sind. Zudem sind sich Mitarbeiter oft über Mängel

und

Verbesserungsmöglichkeiten sehr wohl bewusst. Das Ziel der Interviews

besteht darin, das Wissen der Mitarbeiter zu erfassen und auszuwerten.

Es sollen ca. 7 Mitarbeiter befragt werden. Jedes Interview dauert etwa 50 Minuten.

Unser  Fragekatalog hat sich bei einer Vielzahl von Projekten bewährt.

 Als  Interviewpartner kommen Mitarbeiter aus unterschiedlichen Bereichen in Frage.

Besonders  geeignet sind langjährige Mitarbeiter.

(9) Traffic-Analyse (1 MT)

In Firmennetzen ist eine Vielzahl von Protokollen im Einsatz. Im Rahmen

einer Traffic-Analyse soll festgestellt werden, welche Protokolle

eingesetzt werden, und welche Datenströme existieren.

Auf Protokolle, die Nutzdaten und  Passworte im

Klartext transportieren wird im Report besonders hingewiesen.

(10) Dokumentation (2 MT)

Zu jedem Teilschritt wird eine detaillierte Dokumentation angefertigt:

Dies ist eine wichtige Maßnahme der Qualitätssicherung. Die Dokumentation

umfasst ca. 20-80 Seiten und enthält folgende Punkte:

 · Alle während der Tests erzeugten Protokolle und Logfiles.

 · Die Ergebnisse der eingesetzten Security-Scanner

 · Nicht-technische Darstellung der Ergebnisse ("Management Overview").

 · PPT-Präsentation (auf Wunsch).

Zu den identifizierten Sicherheitsschwächen wird die eindeutige CVE-ID

angegeben (siehe auch http://cve.mitre.org). Diese CVE-ID versetzt Sie in

die Lage, die Resultate unterschiedlicher Beratungsunternehmen in der

Security-Branche zu vergleichen. Sind die Sicherheitsschwächen zu neu, so

dass keine CVE-IDs  existieren,

geben wir die Bugtraq-IDs oder Referenzen auf entsprechende  Announcements an.

Zudem wird gemeinsam eine Bedarfsanalyse erstellt, und Empfehlungen

ausgesprochen.

Die Kernpunkte des Assessments werden in einem Executive Summary

zusammengefasst: Sämtliche Schwächen werden aufgelistet, kommentiert und

bewertet.

Zu allen Punkten schlagen wir Maßnahmen vor.

Die letzte Spalte "Aktion" wird bei der Präsentation gemeinsam ausgefüllt.

Es wird definiert, inwiefern die vorgeschlagene Maßnahme umgesetzt werden soll,

wann dies geschehen soll und wer für  ihre Umsetzung verantwortlich ist.

Das Executive Summary sieht dann etwa wie folgt aus:

Stichwort, Erläuterung, Maßnahmenvorschlag, Risiko, Aktion, Verantwortlicher,

Prüfungstag, ProFTPD auf ftp.firma.de

Der installierte ProFTPD FTP-Server hat eine Reihe von Sicherheitsschwächen.

Migration zu einem sicheren FTP-Server

Verzicht auf  das unsichere Protokoll

FTP Migration

 Herr Schmid

 1.3.2001

IIS/dvwssr.dll

Eine Sicherheitslücke in dieser DLL gestattet Unbefugten

Zugriff.

Betroffen sind die Systeme banking.firma.de und

www.firma.de.

Deinstallation der Office 2000 Server Extensions

oder der Frontpage 2000 Server Extensions.

Deaktivierung FP-Extensions

 Herr Maier

1.2.2001

Die Abgabe der Dokumentation erfolgt entweder per verschlüsselte Email

oder auf dem Postweg per Einschreiben.

(11) Präsentations-Workshop "Ergebnisse & Maßnahmen" (1MT)

Im Rahmen eines Workshops werden mit dem Kunden die Ergebnisse des

Security-Assessments anhand der in Schritt (4) erstellten Dokumentation

diskutiert.

Der Maßnahmenkatalog wird vorgestellt und besprochen, mögliche

Lösungsansätze

werden vorgestellt und diskutiert. Die letzte Spalte des Executive

Summaries wird gemeinsam ausgefüllt.

(12) Nachtest (1MT)

Nach der Übergabe des Maßnahmenkatalogs (oder beim "Präsentations- und

Maßnahmenworkshop") entscheidet der Kunde, welche der vorgeschlagenen

Maßnahmen auch wirklich umgesetzt werden sollen.

Nach der Umsetzung (etwa 2 Wochen nach Abgabe der Dokumentation) wird geprüft,

inwiefern die Maßnahmen wirksam  umgesetzt wurden.

Anhang

Die Arbeit im Team:

Auch in kleinen und mittleren Unternehmen liegen heterogene Netze vor:

eine

Vielzahl von Produkten und Protokollen sind im Einsatz. Um

sicherzustellen,

dass wir keine schwerwiegenden Mängel übersehen, arbeiten wir bei

Sicherheitstests oft im Team.

Full Disclosure:

Der Kunde ist eingeladen, bei unseren Tests anwesend zu sein. Er wird

dadurch in die Lage versetzt, die Qualität unserer Arbeit zu begutachten

und aus

unsere Vorgehensweise zu lernen.

Kommentare zu großen Netzen:

Die Überprüfung von großen Netzen (z.B. ein Subnetz der Klasse B) kann

Sehr  zeitintensiv sein, insbesondere, wenn im Internet erreichbare Rechner

existieren, die nicht auf Pings antworten und die Firewall Verbindungsaufbauversuche

auf geschlossene Ports überhaupt nicht beantwortet ("drop"). Wir verfügen

jedoch über selbst erstellte Tools, die sich für den Scan von sehr großen

Netzen (5000 Rechner) eignen.

Automatisierte Blockierung:

Wir gehen davon aus, dass der Kunde auf unsere Angriffe nicht mir einer

Blockierung unserer IP-Adresse reagiert. Andernfalls werden unsere

Ergebnisse

verfremdet.

Wir treffen keinerlei Maßnahmen, unsere Angriffe zu tarnen.

Automatisierte Reaktionen auf Angriffsversuche sind ohnehin eine fragliche

Maßnahme.