Security Audit - Penetrationstest (Diplomarbeit)

#0
10.05.2004, 14:38
...neu hier

Beiträge: 4
#1 Einführung

Hi !
Bin gerade neu hier im Forum und starte mal meinen ersten Thread...
Ich habe gerade mit meiner Abschlussarbeit zum Thema Security Audit begonnen...
Ich habe die letzten 3 Jahre einen dualen Studiengang zum Bachelor of Information & Communications gemacht und habe jetzt 3 Monate für meine Abschlussarbeit.
Die Arbeit schreibe ich in der Firma, welche mir diesen Studiengang gezahlt hat... das nur mal so nebenbei...

Ich habe meiner Firma dieses Thema vorgeschlagen, weil wir uns ein Thema aussuchen sollten, welches für unsere Unternehmen von praktischem Nutzen ist. Da wir hier bei uns in der Firma keine wirklichen Security-Maßnahmen haben, bzw. die Geschäftsführung zu geizig ist dafür "unnötig" viel Geld auszugeben, habe ich mir gedacht das ich das ganze mal genauer unter die Lupe nehme und den zuständigen Leuten die Schwächen und Risiken unserer Systeme aufzeige und Verbesserungsvorschläge mache.
Ist ganz gut angekommen der Vorschlag und jetzt bin ich dabei...

Die erste Woche habe ich zunächst mal alles gesammelt was ich so an Informationen bekommen konnte... von Netzwerkplänen über allgemeine Sicherheitsrichtlinien (welche nicht vorhanden sind) bis hin zu Informationen über vorhandene Zugangskontrollen zu Serverräumen usw...
Mittlerweile habe ich mir einen Überblick über das vorhandene Netzwerk (wir haben hier bei uns am Standort ca. 300 Client Systeme und ca. 40 Server Systeme) geschafft und die ersten IST-Aufnahmen der Systeme mit Hilfe von selbst erstellten Fragebögen gemacht.
Ich denke das ich die Aufnahme der vorhandenen Sicherheitsmaßnahmen diese Woche abschließen werden.
Der nächste Schritt bei der Informationsbeschaffung wird der sein, das ich Portscans durchführe. Diese werde ich von intern und extern laufen lassen.

Nachdem diese erste Phase der Informationsbeschaffung abgeschlossen ist, werde ich die gesammelten Informationen analysieren und eine erste Klassifikation des folgenden Penetrationstestes entwickeln.

Der eigentliche Penetrationstest wird dann Sicherheitsüberprüfungen mit Nessus sowie Passwort-Crackern (hydra) und auch Social Engineering Ansätzen bestehen...

Nachdem das alles abgeschlossen ist, habe ich dann planmäßig noch ca. 1 Monat zeit um alles formal hinzubiegen,bzw das ganze in die vorgeschriebene schriftliche Form zu bringen...

Ich habe das jetzt alles mal kurz niedergeschrieben, weil ich wahrscheinlich ab und zu mal ein paar Fragen habe und dafür dann diesen Thread nutzen möchte... ich hoffe Ihr könnt mir das eine oder andere Mal behilflich sein...
Seitenanfang Seitenende
10.05.2004, 15:36
Member

Beiträge: 201
#2 Gerne doch. Bei der ein oder anderen Frage wenns mal schnell gehen muß kannst du z.B. mich (und sicher auch einige andere hier) auch per Chat (AIM/ICQ oder Mail) erreichen. Ist vielleicht auch bei einigen Fragen die spezieller werden und nicht umbedingt jeder Möchtegernhacker hier lesen soll angebracht.
Z.B. "Wie kann ich Rechner 'anpingen' obwohl mein Ping geblockt wird" usw. sind Sachen die nicht umbedingt jeder wissen muß ;)
Seitenanfang Seitenende
10.05.2004, 17:13
Member
Avatar Dafra

Beiträge: 1122
#3 Natürlich, ich helfe auch gern mit, wir können ja teoretisch in em Irc channel quatschen ;) oder sonst auch mit Mail/ICQ
MFG
DAFRA
Seitenanfang Seitenende
10.05.2004, 17:31
Ehrenmitglied

Beiträge: 831
#4 http://linux.regionnet.de/

Wo sind deine Konkreten Fragen?
Welche Vorstellung hast du von einem Audit?
Audits sollten nur von Externen nicht beeinflussbaren Personen gemacht werden, welche am besten Ausgebildeter Auditor sind.
__________
http://linux.regionnet.de/ - http://www.pf-lug.de/ - http://www.4logistic.de/ - http://www.pfenz.de
Seitenanfang Seitenende
10.05.2004, 17:58
Member
Avatar Dafra

Beiträge: 1122
#5 @poiin2000
Er hat doch uns erstmal gefragt, ob wir ihm überhaupt helfen wollen.
Er hat ja noch keine Fragen, aber die können ja noch kommen.
MFG
DAFRA
Seitenanfang Seitenende
11.05.2004, 07:34
...neu hier

Themenstarter

Beiträge: 4
#6 Danke für eure Hilfsbereitschaft !!!
Scheint ja wirklich super hier zu sein... ;)

Ich habe gestern mal die ersten internen Scans auf die betroffenen bzw. zu analysierenden Server gemacht... bin noch nicht ganz fertig... aber hab schon einiges gesammelt...
mache das ganze mit nmap und folgenden Optionen:

nmap -sT -sR -sV -P0 -O -oN /home/Scansxxx/Scansxxx.scanlog xxx.xxx.xxx.xxx

Bis jetzt hat auch alles super funktioniert...

@MacDefender
hast recht...einige Server bzw. die meisten kann ich nicht anpingen... deshalb hatte ich beim Scannen die Option -P0 benutzt... du hast aber anmerken lassen dass das doch irgendwie möglich ist... ich werde mich mal bei dir per ICQ melden...
Seitenanfang Seitenende
11.05.2004, 13:35
Ehrenmitglied
Avatar Robert

Beiträge: 2283
#7 @MacDefender & markwaldhoff: Ich denke wir können hier offen drüber diskutieren. Nur wer die Sicherheitslücken kennt, kann sich auch davor schützen. Ich halte nicht sehr viel, davon etwas zu wissen und nicht erzählen zu wollen.

Robert
__________
powered by http://different-thinking.de - Netze, Protokolle, Sicherheit, ...
Seitenanfang Seitenende
11.05.2004, 18:45
Member

Beiträge: 201
#8 Naja, das größte Problem was ich dabei sehe ist das man sich gegen die Art mit der man dennoch "pingen" kann schwer stoppen kann. Einem normalen User zu sagen das er die Option "Disable Ping from Net" aktivieren soll damit ein neuer Wurm nicht feststellen kann ob die IP aktiv ist geht ja noch. Werden zwar viele User trotzdem nicht machen aber das wäre ja noch einfach und bei den meisten Routern möglich.

Gegen die andere Art gibt es aber bei vielen Routern und Rechnern so keinen Schutz da das OS (auch das im Router) einfach "falsch" reagiert. Und man kann keinem normalen User sagen "Schütz dich und kauf ein 1000 Euro Router". Das macht einfach keiner. Und wenn der nächste Virenprogrammier dann anstatt Ping einen anderen Weg nimmt ist man wieder ungeschützt.

Ich denke für den normalen User reicht es zu wissen das man trotzdem gucken kann ob er online ist. Wie das geht muß nicht jeder wissen finde ich. Sonst können wir auch anfangen und erklären wie man für 2 Euro ein Maschienengewehr basteln kann (Naja, so günstig gehts sicher nicht aber ist ja nur ein doofes Beispiel). Dann wäre auch jeder informiert wie das geht. Wäre aber sicher ebenso schlecht da man sichj dagegen nicht schützen kann als normaler Mensch ;)

Aber wenn du möchtest kann ich dir das sonst per AIM/ICQ/MAIL erklären.
Dieser Beitrag wurde am 11.05.2004 um 18:55 Uhr von MacDefender editiert.
Seitenanfang Seitenende
12.05.2004, 11:19
Ehrenmitglied

Beiträge: 831
#9 @MacDefender
Ich möchte hier keinen Flameware verursachen, daher fasse ich mich nur Kurz.
Warum sollen der Allgemeinheit zugängliche Methoden verschleiert/versteckt werden?

Ich habe da eine sehr ähnliche Meinung wie Robert.
Wenn du diese Meinung nicht teilst, bitte ich dich freundlich deine 'Ich erkläre es dir in ICQ...' Mitteilungen zu lassen da dieses Forum nicht nur dir und dem Fragesteller dienen soll, sondern der Allgemeinheit, welche nichts davon hat wenn die Informationen nicht publik gemacht werden - wovon bekanntlich ein Forum lebt.

@markwaldhoff

Du solltest zuvor Festlegen was du machen möchtest.

Es gibt einen Riesen Unterschied zwischen Security Audit und Penetration Testing.
Ich habe unter http://linux.regionnet.de/itaudit_penetration_1.php versucht dies voneinander zu Trennen und grob zu erklären.

Bevor wir dir hier weiterhelfen können, sollten wir Wissen was du vor hast zu machen und wie weit dein Wissen in etwa führt.

Desweiteren würde mich interessieren ob du dieses Arbeit nach Vollendung veröffentlichen möchtest.


Erreichbarkeit des Host feststellen

http://www.insecure.org/nmap/
http://www.different-thinking.de/nmap_teil1.php
http://www.different-thinking.de/nmap_teil2.php
http://www.insecure.org/nmap/data/nmap_manpage-de.html

Zitat

-O Diese Option aktiviert das Identifizieren des am
Zielsystem eingesetzten Betriebssystems anhand des
TCP/IP-Fingerabdrucks (engl. TCP/IP fingerprint).
Es wird eine Anzahl spezifischer Tests umgesetzt,
die das typische Verhalten der jeweiligen TCP/IP-
Implementierungen erkennen koennen sollen. Die
gegebenen Informationen stellen quasi einen 'Fin
gerabdruck' dar, der mit der Datenbank der bekan
nten Betriebssystem-Fingerabdrucke (die nmap-os-
fingerprints Datei) verglichen wird.
Desweiteren könnte http://www.insecure.org/nmap/nmap-fingerprinting-article-de.html interessant sein. Hier wird erklärt wie nmap das Betriebssystem Identifiziert.


-----------


Übliche Ports einer Windows/Linux/MacOS Maschine per Bannergrabbing untersuchen

Zitat

echo "QUIT" | netcat ip 21 22 23 80 139
Ist einer der Ports positiv, befindet sich dahinter eine Maschine.
Diese Erkenntnis kann auch zur Führung einer DB der laufenden Dienste genutzt werden.


----

nmap

Auch interessant wäre

-sO # (Protokollscan)
-sA # (ACK-Scan)


-----


Alternativ zu Nmap gibt es zur OS Erkennung noch

http://winfingerprint.sourceforge.net/
Winfingerprint

http://www.symantec.com/
Symantec Netrecon

http://www.iss.net/
ISS Internet Scanner

http://www.hoobie.net/mingsweeper/
MingSweeper

http://www.sys-security.com/html/projects/X.html
XProbe2

http://www.nessus.org
Nessus

http://www.saintcorporation.com/saint/
Saint

Nur für Webserver
http://news.netcraft.com/

Nur für MailServer
http://linuks.mine.nu/smtp/

Nur für SSH
http://www.openssh.org/usage/index.html

http://www.google.de/search?q=RemOS.zip&...gle+Suche&meta=
RemOS.zip

http://packetstormsecurity.nl/filedesc/snacktime.html
Snacktime

Domain Survey Information
http://www.isc.org/index.pl?/ops/ds/



Verarbeite dies erst mal

Gruss p2k
__________
http://linux.regionnet.de/ - http://www.pf-lug.de/ - http://www.4logistic.de/ - http://www.pfenz.de
Seitenanfang Seitenende
12.05.2004, 15:22
...neu hier

Themenstarter

Beiträge: 4
#10 Also ich möchte in erster Linie ein allgemeines Security Audit in der Firma durchführen. Ein Teil dieses Audit wird jedoch auch ein Penetrationstest der betroffenen Systeme.
In dem Security Audit möchte ich z.B. folgende Dinge testen bzw analysieren und versuchen zu verbessern:

- vorhandene Sicherheitsrichtlinien überprüfen
- vorhandene Notfallpläne prüfen
- Rechtevergaben (locker oder restriktiv)
- Mitarbeiter- / Administrator- schulungen (wie oft ?)
- Zugangsberechtigungen / physikalische Sicherheit der Serversysteme
- Updates / Patchen der Systeme (Wie oft ?, wann ? wer ?)
- Backupkonzepte
- Firewall
- Netzwerkaufbau
- usw...

Das sind jetzt so ein paar Sachen die mir gerade eingefallen sind...
Das ganze bin ich bis jetzt so angegangen das ich mir alle Möglichen Sicherheitsrelevanten Unterlagen besorgt und studiert habe...außerdem werde ich Interviews mit Mitarbeitern/Administratoren führen.
Für die Aufnahme bzw. beurteilung der Server-Systeme habe ich einen Fragebogen entwickelt, der kurz die wichtigsten Eigenschaften und Besonderheiten der Systeme aufzeigt und mir somit einen guten Überblick liefert.

Desweiteren möchte ich im Anschluss an diese allgemeinen Analysen aber noch Tests der betroffenen Server (hauptsächlich die Server, die eine Verbindung zum Internet oder anderen Netzten haben) durchführen... ich wollte dazu interne und externe Scans durchführen... die internen Scans habe ich schon erledigt... mit Nmap komme ich mittlerweile sehr gut zurecht... ist wirklich ein super Tool !
Nachdem ich dann alles von innen und außen gescannt habe, möchte ich Tests mit Nessus machen. Natürlich werde ich das vorher mit den zuständigen Administratoren abklären und dann dementsprechend an die Gegebenheiten anpassen.

Ach ja... als "Einleitung" in meine Arbeit kommt dann noch was Grundsätzliches zu Security Audits und Penetrationstest...
Ich denke ich werde da schon gut was zu tun haben in den nächsten 3 Monaten ... möchte mich wie gesagt 2 Monate mit der praktischen Arbeit "aufhalten" und dann den schriftlichen Teil erledigen... natürlich bin ich schon fleißig jeden Schritt am dokumentieren damit ich mir das ganze für später so leicht wie möglich mache...

@poiin2000
Danke für die Infos !!! ;)

..ich werde euch hier auf dem laufenden halten... echt super das Forum !
Seitenanfang Seitenende
12.05.2004, 15:31
Member

Beiträge: 201
#11

Zitat

Ich möchte hier keinen Flameware verursachen, daher fasse ich mich nur Kurz.
Warum sollen der Allgemeinheit zugängliche Methoden verschleiert/versteckt werden?
Hehe, keine Sorge. Ich hab das gar nicht nötig mich zu streiten. Wenn mich jemand beschimpft oder mir was nicht passt geh ich einfach weg ;) (Keine Sorge, mir gefällt dies Forum hier ;) ) Und generell sehe ich das ja ähnlich. Der normale User sollte auf jeden Fall wissen welche Lücken sein System besitzt und wie er die alle schliessen kann oder sich sonstwie schützen muß. Nur bin ich persönlich der Meinung das es eh schon viel zu viele Anleitungen für Script Kiddies gibt und die nicht umbedingt alles zum abtippen vorgelegt bekommen sollten.

Was mich wundert ist das in der ganzen auflistung der Programme eben ein sehr schönes Universaltool was in keiner Sammlung fehlen darf nicht dabei ist: hping
Aktuell ist noch Version 2 (wobei man schon Version 3 bekommen kann ;) )
http://www.hping.org/

Auch das Tool netwox sollte man für ein Audit besitzen da man mit kaum einem Tool die Flag von Paketen besser ansehen kann. Zusammen mit Tools wie sed usw. kann man daraus auch super selber Tools basteln die nur auch was bestimmtes warten.

Mit hping kann man sich seine IP Packete so zusammenbauen wie man möchte. Man hat volle Kontrolle über JEDES Flag und über kann sogar den kompletten Dateninhalt aus Dateien holen lassen. Damit kann man einfach alles machen auch wenn es viel Erfahrung und Wissen über IP erfordert da man nix fertiges (beschränkendes) hat was einem das abnimmt.

Um zu gucken ob ein andere Rechner online ist gibt es viele Möglichkeiten. Den Weg per ICMP ist ja oft geblockt (Normale Pings deaktiviert). Mann kann aber mit Hping z.B. wunderbar Pakete zusammenbauen und dem 'Opfer' per SYN ACK mitteilen das sein Verbindungsaufbau zu unserem Port X erfolgreich ist. Darauf reagieren fast alle Rechner/Router dann mit einem RESET Paket da sie das ja nich wollten und schon ist der Ping fertig ;) Man kann aber auch andere Sachen probieren wie nur ein SYN oder ein FIN etc. Eines geht meistens. Hping ist übrigens auch super geeignet um sich Mini-Fragmente zu basteln um Firewalls zu testen etc.

Wer kein Hping hat dem fehlt das wichtigste ;)

Und was meiner Meinung nach in einem Aufsatz über Sicherheit rein sollte ist, das Angreifer die Möglichkeit haben (z.B. mit HPing) von extern unauffällig zu gucken wann ein Server/Router wieviel Traffik hat. Das ganze geht über die ID's die von vielen Systemen einfach nur incrementiert werden für jedes Paket. Dann guck ich z.B. ganz schnell wie viele Pakete und kb das anfordern einer Webseite des Servers produziert (oder ermittel die MTU etc. anders) und kann so über ein Test-Ping alle paar Sekunden-Stunden (je nach gewünschter Genauigkeit) herausfinden wieviel Daten der Server grob verschickt hat. Ist zwar nicht auf das kb genau aber es reicht um zu testen wann ein User/Firma aktiv ist und wenn Spitzenzeiten sind oder ob mehrere Server existieren die Loadbalancing betreiben (anderer Server=Sprung in den ID's ;) ) . Und das Wissen wann ein Rechner wieviel Daten transferiert kann oft (auch als Planung für Social Engineering) sehr wichtig sein für ein Angreifer. Komisch finde ich nur das dieses Thema nicht sehr öffentlich ist und kaum jemand weiß das sowas geht.
Dieser Beitrag wurde am 12.05.2004 um 15:44 Uhr von MacDefender editiert.
Seitenanfang Seitenende
12.05.2004, 20:31
Member
Avatar Laserpointa

Beiträge: 2175
#12 Hi Mark,

grossartiges Thema, ich beschäftige mich auch sehr gerne (beruflich) mit der Materie und helfe / recherchiere (BSI Info PDF) gerne mit!

bin gespannt was hier entsteht und lese schon fleissig mit... ;)
Danke auch an poiin für die Infos!!

Greetz Lp
Seitenanfang Seitenende
13.05.2004, 07:14
...neu hier

Themenstarter

Beiträge: 4
#13 Super !
An hping habe ich noch gar nicht gedacht... ist aber echt ne super Idee !
Werde jetzt am Wochenende das erste mal die betroffenen Rechner (Webserver, SSH Gateway, Mailserver, Proxyserver, VPN Gateway, Firewall, FTPserver ...) von extern, d.h. von mir Zuhause aus scannen... hatte es letztens schonmal kurz versucht aber keine antworten bekommen...
Vielleicht funktioniert es ja auf die Art wie du es beschrieben hast..

Ach ja... hat dazu vielleicht noch jemand ein paar Tipps ? Ich meine jetzt wie ich die Rechner die hier in der Firma vom Netz erreichbar sind und eine feste externe IP-Adresse haben von außerhalb scannen kann ?
Seitenanfang Seitenende
25.05.2004, 20:15
Administrator
Avatar Lukas

Beiträge: 1742
#14 cooles Thema, bin auch sehr gespannt, was sich hier entwickelt! ;)

Gruß
Lukas (der postet damit markwaldhoff auf seinen Beitrag antworten kann - Doppelpostsperre)
__________
Gruß Lukas :yo
Seitenanfang Seitenende
26.05.2004, 07:53
...neu hier

Beiträge: 5
#15 Danke Lukas !
Hab mich trotzdem mittlerweile nochmal neu angemeldet... wollte ich sowieso machen, weil mein anderer Name einfach zu "offensichtlich" war... ;)
Ich hoffe Du bist nicht böse... kannst den anderen User von mir aus auch löschen...wenn dann nicht die Beiträge von oben verloren gehen...

--------------------------------------------------------------------------

Ok, weiter gehts... mittlerweile habe ich alle Sicherheitsrelevanten Dokumente zusammengesucht und mich damit beschäftigt... das erste Problem was wir bei uns in der Firma haben ist die Dokumentation...
Wir haben nur eine Passwort/ID-Richtlinie, ein Backupkonzept und einen total unvollständigen Notfallplan für unsere neuen Micro$oft Server...
Es gibt keine Security Policy oder sonstiges !!!
Und das in einem internationalen Unternehmen, welches 3Mrd. EURO Umsatz im Jahr macht, hier in der Hauptverwaltung 300 Mitarbeiter beschäftigt und dessen Hauptgeschäft die Abrechnung von diversen Dienstleistungen ist (damit möchte ich sagen, das so ziemlich alle Daten mit denen hier hantiert wird, sehr sensibel sind-->nur personenbezogene/firmenbezogene Daten).
Vor 2 jahren wurde hier ein Mitarbeiter eingestellt der sich um die Security kümmern sollte und Sicherheitsrichtlinien etc einführen sollte... natürlich alles nach dem BSI Grundschutzhandbuch.
Nur leider wurde dieser besagte Mitarbeiter von Anfang so eingespannt das er keine Zeit dafür hatte... dieser Mitarbeiter ist jetzt übrigens auch mein Betreuer, der eigentlich gut Ahnung von dem Themengebiet hat, da er in seinem Leben vor diesem Unternehmen auch für sowas zuständig war.
Naja... jedenfalls haben wir hier eine Person (!!!) die den ganzen Security Bereich abdecken soll und dafür zusätzlich viel zu wenig Zeit hat...also ich finde das richtig krass...das Unternehmen sieht das Theme Security zwar als wichtig an, aber 500 weitere Themen sind genauso wichtig... versteht Ihr was ich meine ? ;)

Ok... also das als erster Einblick...
Desweiteren habe ich interne Scans (einmal mit Firewall und einmal ohne Firewall) und externe Scans durchgeführt...
Die Externen Scans waren überraschend gut... nur beim SSH Gateway bekam ich einen Fingerprint des OS... aber ansonsten war alles Dicht...
Bei den internen Scans sah das ganze schon anders aus... als ich zuerst als normaler User (mit Firewall) das interne Netz + DMZ gescannt habe, sind mir so ein paar Server aufgefallen die die folgenden Ports offen haben:

22 ssh
23 telnet
25 smtp
135 msrpc
139 netbios-ssn
445 microsoft-ds
6000 X11

Natürlich waren das dann nur Server die diese Dienste eigentlich nicht benötigen...
Vielleicht kennt jemand ein paar Aktionen die ich ausprobieren könnte um diese Server wärend des Penetrationstestes zum schwitzen zu bringen... ich denke vor allem bei den Server mit den Ports 23,135,139 wird so das ein oder andere Möglich sein... oder was meint Ihr ?

--------------------------------------------------------------------------

Ach ja... noch was... kann mir jemand erklären wie ich selber einen fingerprint-scan durchführen kann ? Also ich meine damit das man das doch bestimmt auch selber machen kann, indem man irgendwelche Pakete, z.B. mit hping erzeugt... programme gibt es ja genug...
__________
....::::einmal LINUX, immer LINUX::::....
Dieser Beitrag wurde am 26.05.2004 um 08:44 Uhr von linux4ever editiert.
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: