Vorlesungsreihe Computersicherheit

Vorlesungsreihe Computersicherheit
Teil III: Das Erkennen der Port-Stati mittels Portscanning
Winterquartal 2004/2005

Mittwoch, 3. November 2004

Marc Ruef
marc.ruef at computec dot ch
http://www.computec.ch

technikkurse.ch
c/o Handelsschule Dr. Raeber
Bederstrasse 4, 8027 Zürich
http://www.technikkurse.ch

Stichworte

Computersicherheit
Netzwerksicherheit
Transmission Control Protocol (TCP, RFC 793, http://www.faqs.org/rfcs/rfc793.html)
User Datagram Protocol (UDP, RFC 768, http://www.faqs.org/rfcs/rfc768.html)
Port-Stati
Portscanning
Auswertung
Firewalling

Zusammenfassung

Das Portscanning ist wichtiger und oft ausgiebig genutzter Teil der Vorbereitung einer Attacke und der Auswertung eines Angriffsziells. Durch entsprechende Kommunikations-Analysen lassen sich die Port-Stati eines Hosts ermitteln und so angebotene Dienste und etwaige Firewall-Mechanismen entdecken. Erstere sind das Hauptziel und werden für weitere Auswertungen sowie Angriffe herangezogen werden können.

Es gibt verschiedene Scanning-Techniken, wobei klassisches full-connect TCP-Scanning als populärste und einfachste Methode gilt. Dabei wird ein kompletter Handschlag des Verbindungsaufbaus einer TCP-Sitzung durchlaufen. Kommt ein solcher zustande, kann der Zielport als im LISTENING-Status identifiziert, der Port somit als offen klassifiziert und der Dienst als Angeboten deklariert werden. Abgebrochene TCP-Verbindungsanfragen deuten je nach Situation auf einen geschlossenen (CLOSED) oder gefilterten (FILTERED) Zielport hin.

Als erweiterte, effizientere und schwerer zu entdeckende Portscan-Methode gilt das half-open SYN-Scanning. Bei diesem wird der Versand des letzten ACK-Segments im Rahmen des Drei-Wege-Handschlags von TCP unterlassen. Eine Vielzahl exotischer Scan-Techniken, zum Beispiel das FIN- oder Xmas-Scanning, nutzen spezielle Gegebenheiten, um die Port-Stati eines Systems zu identifizieren. Die direkt oder indirekt durch einen (exotischen) Portscan gewonnenen Informationen werden beim Thema Auswertung und im speziellen bei OS-Fingerprinting zur Identifizierung des am Ziel eingesetzten Betriebssystems eine wichtige Rolle spielen.

Vorstudium

Die folgenden Publikationen gelten als empfohlene Lektüre des Vorstudiums für diese Vorlesung:

McClure, Stuart, Scambray, Joel, Kurtz, 1. Februar 2003, Hacking Exposed, Osborne/McGraw-Hill, ISBN 0072227427, vierte Auflage, deutsche Übersetzung durch Ian Travis, Das Anti-Hacker-Buch, MITP, ISBN 3826613759
Eine sehr detaillierte und tiefgründige Einführung in die Welt der Netzwerksicherheit wartet auf den aufmerksamen Leser dieses sehr umfassenden Buches. Neben den verschiedenen Scanning- und Footprinting-Methoden werden Bufferoverflows, Race-Conditions und Core-Dump-Attacken genau erläutert, wobei der Schwerpunkt des Buches auf Windows NT und UNIX liegt. Nebenbei wird der Leser auch für die komplexe Thematik der Firewalls, VPNs und Netzwerkgeräte vorbereitet und mit höchst amüsanten Gedankenspielen belohnt.
Ruef, Marc, 21. Januar 2001, Die Sicherheit von Windows, Kapitel 2.3 (Portscans), http://www.computec.ch/dokumente/windows/sicherheit_von_windows/
Die von unter dem Namen "Die Sicherheit von Windows" publizierte Dokumentation beschäftigt sich mit der Sicherheit von Windows-Systemen und -Netzwerken. Ich habe versucht die verschiedenen Stufen eines Angriffs, sowie die entsprechenden Schutzmassnahmen darzulegen. Dieses Online-Buch wurde von 1999 bis 2001 in die von mir geführten Unterrichte miteinbezogen. Ausserdem nutzen einige Informatik-Schulen "Die Sicherheit von Windows" als Begleitmaterial. Praktisch jeder Neuling auf dem Gebiet der Computersicherheit wird hier solide Informationen zum Thema finden können.
Ruef, Marc, Rogge, Marko, Velten, Uwe, Gieseke, Wolfram, September 2002, Hacking Intern, Data Becker, Düsseldorf, ISBN 381582284X
In diesem werden die grundlegenden Aspekte der modernen Computer-/Netzwerksicherheit erläutert. Dabei wird primär versucht zeitlosen Inhalt zu gewähren, denn der Leser soll über die Mechanismen Bescheid wissen und nicht irgendwelche veralteten Angriffs-Tools kennenlernen.
Stevens, Richard W., 1. Januar 1994, TCP/IP Illustrated, Volume 1: The Protocols, Addison-Wesley Professional, ISBN 0201633469, deutsche Übersetzung, September 2003, Hüthig/VMI Buch Verlag, ISBN 3826650425
Der erste Band von Stevens' Trilogie zum Thema TCP/IP ist ein wahrer Schatz. Einmal mehr versteht es der Autor eine hochkomplexe Materie dem Leser leicht verständlich und mit interessanten Hintergrundinformationen gesprickt vorzulegen. Jeder, der sich für aktuelle Netzwerk-Technologien, die TCP/IP-Protokollfamilie und moderne Netzwerkprogrammierung interessiert, der wird früher oder später nicht um dieses Meisterwerk herumkommen.

Voraussetzungen

Das Lesen der als Vorstudium empfohlenen Lektüre
Grundverständnis für Netzwerke und TCP/IP

Ablauf

Folgend der angestrebte Ablauf der Vorlesung. Dieser muss nicht exakt eingehalten werden und kann jenachdem in gewissen Punkten (z.B. Pause) mit den Studenten abgestimmt werden.

Zeit Thema

18:30-19:00 Einführung in TCP/IP-Kommunikationen

19:00-19:30 Klassisches TCP-Portscanning

19:30-19:40 Pause

19:40-20:00 Exotische Scanning-Techniken

20:00-20:15 UDP-Portscanning

20:15-20:30 Diskussion, letzte Fragen, Aufgaben und Ausblick auf die nächste Vorlesung

Zeit	Thema
18:30-19:00	Einführung in TCP/IP-Kommunikationen
19:00-19:30	Klassisches TCP-Portscanning
19:30-19:40	Pause
19:40-20:00	Exotische Scanning-Techniken
20:00-20:15	UDP-Portscanning
20:15-20:30	Diskussion, letzte Fragen, Aufgaben und Ausblick auf die nächste Vorlesung