Mittwoch, ??. November 2004
Marc Ruef
marc.ruef
at computec dot ch
http://www.computec.ch
technikkurse.ch
c/o Handelsschule Dr. Raeber
Bederstrasse 4, 8027 Zürich
http://www.technikkurse.ch
Stichworte
Die aktive Sicherheitsüberprüfung von frisch installierten oder seit einiger Zeit gegebener IT-Installationen ist ein wichtiger Bestandteil der Computersicherheit. Durch Security Assessment und Auditing sollen sämtliche potentielle und bestehende Schwachstellen einer Umgebung erkannt und Gegenmassnahmen entwickelt werden. Penetration Tests stellen in einem weiteren Schritt die Überprüfung der abgesicherten Umgebung auf Herz und Nieren dar. Der Tester versucht die letzten existenten Schwachstelle auszunutzen, um praktikable Erfolge führen und dadurch eine Einschätzung der Sicherheit einer Umgebung geben zu können.
Wie bei Intrusion Detection-Systemen kann hier zwischen hostbasierenden und netzwerkbasierenden Überprüfungen unterschieden werden. Erstere finden auf einem System selbst statt und spiegeln die Sicherheit bei lokalem Zugriff wieder. Letztere zeigen die Sicht eines Angreifers über ein Netzwerk.
Um die Wirtschaftlichkeit bei einem Audit aufrecht zu erhalten, kommen in den meisten Fällen automatisierte Tools zum Einsatz, die innert kürzester Zeit etwaige Schwachstellen aufspüren können. Scanning- und Auswertungs-Tools, wie sie in der entsprechenden Vorlesung diskutiert wurden, spielen auch hier eine wichtige Rolle. Das Herzstück der automatisierten Überprüfung sind jedoch sogenannte Security Scanner oder Vulnerability Scanner. Lösungen wie das offene Nessus oder die kommerzielle Lösung ISS Internet Scanner können automatisiert Schwachstellen suchen, identifizieren und dokumentieren.
Die Arbeit nach der technischen Durchführung der Überprüfungen ist nicht zu unterschätzen und mindestens von gleicher Wichtigkeit. So gilt es die gefundenen Schwachstellen zu dokumentieren und adäquate Lösungsansätze (z.B. Einspielen von Patches oder Erweitern der Firewall-Regeln) zu empfehlen. In der letzten Phase des Audit-Projekts oder nach Abschluss dieses gilt es die potentiellen Risiken durch Umsetzung der besprochenen Gegenmassnahmen zu minimieren.
Vorstudium
Die folgenden Publikationen gelten als empfohlene Lektüre des Vorstudiums für diese Vorlesung:
Crash Override, 2000, SATAN, computec.ch, http://www.computec.ch/dokumente/unix/satan/satan.htmlVoraussetzungenDieses von Crash Override verfasste Textdokument behandelt den Urvater aller modernen Netzwerkscanner: SATAN (Security Administrator Tool for Analyzing Networks) von Dan Farmer. Wer sich für Vulnerability Assessment, Security Auditing und Penetration Testing interessiert, der wird mit diesem Kompendium einen guten Einstieg in den Umgang mit der dafür notwendigen Software finden.Rey, Enno, Thumann, Michael, 25. September 2001, Penetration Tests - Herausforderung Sicherheit, IIR Internet Security Forum, 25.-27. September 2001, http://www.computec.ch/dokumente/unsortiert/penetrationtests.pdf[...]Ruef, Marc, 19. November 2003, Auditing mit Linunx, computec.ch, http://www.computec.ch/dokumente/unsortiert/security_audit_mit_linux.pdf[...]Ruef, Marc, Rogge, Marko, Velten, Uwe, Gieseke, Wolfram, September 2002, Hacking Intern, Data Becker, Düsseldorf, ISBN 381582284X[...]
Folgend der angestrebte Ablauf der Vorlesung. Dieser muss nicht exakt
eingehalten werden und kann jenachdem in gewissen Punkten (z.B. Pause)
mit den Studenten abgestimmt werden.
| Zeit | Thema |
| 18:30-19:00 | Einführung in Security Auditing und Penetration Testing |
| 19:00-19:15 | Security Assessment - Vorbereiten eines Security Audits |
| 19:15-19:20 | Pause |
| 19:20-20:00 | Durchführen von automatisierten Scans |
| 20:00-20:15 | Reporting, Gegenmassnahmen und weitere Schritte |
| 20:15-20:30 | Diskussion, letzte Fragen, Aufgaben und Ausblick auf die nächste Vorlesung |