Bufferzone......
kig lige igennem, og sig til hvis du mener du \"fortjener\" mere end 20 point (så får du dem uden brok, og sure miner)
Her er svarene:
8.1 Lave en opsummering af de sikkerhedsrisici der er forbundet med TCP/IP protokollen. Søg informationer på nettet
can be spoofed:
Where spoofing is the term for establishing a connection with a forged sender address; this normaly involves exploiting trust relations between the source and the destination address
can be highjacked:
The control of a connection will be taken by the attacker after the user authenication has been done (.i.e. one-time-passwords ). Possibly via icmp redirect or RIP.
can be manipulated:
The attacker can insert arbitrary streams of data without the user noticing it
Typer af angreb
eSec\'s stikprøvemålinger af angreb på danske netværk viser for januar 2001 en markant stigning i den samlede aktivitet til index 182 (182% af niveauet for oktober 2000), Servicescanningerne i januar 2001 er steget til index 160 mod 128 i december. Den største stigning er scanning efter trojanske programmer, der er på index 483. Den trojanske scannning har dog store månedlige udsving.
Service scanninger
De 6 hyppigste typer af servicescanninger er sammensat således:
Den største aktivitet er rettet mod Sun RPC. Denne service er en indgang til en del forskellige programmer, der ofte kører per default på UNIX. En del af disse programmer er ældre versioner med kendte sikkerhedshuller, men en stor del af scanningen retter sig mod bestemte sikkerhedshuller i forholdsvis nye versioner f.eks. Red Hat Linux 6.2.
FTP ligger fortsat højt i servicescanninger. I sidste halvdel af 2000 er der blevet rapporteret forskelllige sårbarheder i bl.a. WU-ftp serveren. Mange af scanningerne mod FTP sker med værktøjer, der benytter ulovlige TCP flag kombinationer.
På tredjepladsen kommer scanning mod DNS servere. Der findes stadig mange sårbare ældre versioner af DNS servere på Internettet, og i uge 5 blev det offentliggjort, at der finder et alvorligt sikkerhedshul i den nu forrige version af det mest brugte DNS-serverprogram BIND.
I slutningen af november2000 blev det kendt, at der findes en sårbarhed i LPRng, som benyttes i TCP/IP print servicen i bl. a. version 7.0 af Linux fra RedHat. Siden er et værktøj til at udnytte dette sikkerhedshul blevet spredt bredt. Dette har givet en bølge af scanninger mod \"printer\" porten.
Linux Ramen ormen angriber RedHat 7.0 gennem denne printer sårbarhed og ormen angriber RedHat 6.2 gennem sårbarheder i rpc.statd og ftp. Ormen er dog ikke hovedkilden til de angreb vi ser mod disse services.
Hackerne viser stor interesse for Linux, der har et stort antal services med sikkerhedsproblemer, hvis sikkerheden ikke er vedligeholdt. På femtepladsen kommer scannning efter \"linuxconf\", der er en entydig signatur på en Linux-server
Endelig har vi i januar set en hel del scanninger efter WWW servere, ofte med værktøjer der benytter ulovlige TCP flag kombinationer. Ved at samle versionsinformation fra WWW servere kan man danne en liste over servere med sikkerhedsproblemer, der så kan udnyttes i en anden runde.
Types of Attack
In general, firewalls are intended to protect network resources from several kinds of attacks:
Passive Eavesdropping/Packet Sniffing—Attacker uses a packet sniffer to glean sensitive information from data streams between two sites or to steal username/password combinations, either on a private carrier or a public network. Even if applications such as Lotus Notes were to encrypt traffic within their own streams, a sniffer could still detect sites using Notes in a form of traffic analysis. The attacker could then concentrate on transmissions involving that application.
IP Address Spoofing—An attacker pretends to be a trusted computer by using an IP address that is within the accepted range of IP addresses for an internal network.
Port Scans—An active method of determining to which ports on a network device a firewall is listening. After attackers discover the \"holes\" in a firewall, they can concentrate on finding an attack that exploits the applications that use those ports.
Denial-of-Service Attack—Differs from other types of attack because, instead of seeking access, the attacker attempts to block valid users from accessing a resource or gateway. This blockage can be achieved through SYN flooding a network resource to exhaustion through using half-open sessions (sending TCP packets with the SYN bit set from a false address) or by crafting packets that cause a resource to perform incorrectly or crash.
Application-Layer Attack—Takes many forms, exploiting weaknesses in server software to access hosts by obtaining the permission of the account that runs an application. For example, an attacker might use Simple Mail Transfer Protocol (SMTP) to compromise hosts that run older versions of sendmail using undocumented commands in the sendmail application.
Another method of attack is via a \"Trojan horse,\" whereby the user is induced to run a malicious piece of software by being misled into believing it is something other than what it really is. More advanced application-layer attacks exploit the complexity of new technologies such as HTML, Web browser functionality, and the Hypertext Transfer Protocol (HTTP). These attacks include Java applets and ActiveX controls to pass harmful programs across a network and load them via user Web browsers.
Both the Cisco Secure Integrated Software (IS) and Cisco IOS encryption features can prevent many of these attacks. The Cisco Secure IS contains functionality to identify attacks within data streams, perform Java blocking, and limit SMTP commands that can be sent. It also contains advanced denial-of-service detection and prevention capabilities. Networks configured with Cisco IOS encryption and IPSec can protect against IP spoofing and sniffer attacks.
8.2 Hvilke sikkerhedsrisici er forbundet med brug af en webbrowser generelt. Hvad kan man gøre for at skikre sig?
Computerprogrammer, herunder web-browsere bør vedligeholdes på samme måde som et hus eller en lejlighed. Fra tid til anden bliver der opdaget fejl eller uhensigtmæssigheder i Internet-browsere, e-postprogrammer med mere, som en hacker - eller under tiden hjulpet af en virus - kan udnytte til at få adgang til computeren. Den slags uhensigtsmæssigheder kaldes ofte for sikkerhedshuller eller bare „huller“.
Når producenten af programmet bliver opmærksom på sådanne „huller“, laver producenten en såkaldt fejlrettelse/hotfix.
De største farer/sikkerhedshuller ved brug af browsere er ved indlæsning af sider, hvor browseren ikke har den nødvendige beskyttelse til at afvise/undgå indlæsning af vira, postscripts, Java, JavaScripts osv
Hvad kan man gøre for at skikre sig?
Som privat bruger bør man mindst én gang om måneden kontrollere, om der er nye fejlrettelser til de programmer, der benyttes. Hvis du har en konstant Internet-forbindelse, eksempelvis en ADSL forbindelse, bør du overveje at kigge efter nye fejlrettelser oftere. Dette skyldes, at en konstant Internet-forbindelse øger risikoen for, at en hacker identificerer din computer.
For at hente og installere eventuelle fejlrettelser skal du gå ind på programproducentens hjemmeside. Nogle producenter har specifikke sider, der kun omhandler fejlrettelser og programopdateringer.
Medarbejderen kan som hovedregel gå ud fra, at den IT-sikkerhedsansvarlige løbende vurderer, hvilke fejlrettelser der skal lægges ind i virksomhedens programmer.
Medarbejderen bør kunne gå ud fra, at den IT-sikkerhedsansvarlige har konfigureret Internet-browseren, så den svarer til det sikkerhedsniveau, der er gældende for virksomheden. Medarbejderen bør derfor aldrig ændre på sikkerhedsopsætningen i Internet-browseren uden først have fået den IT-sikkerhedsansvarliges tilladelse.
Vær opmærksom, når du surfer på Internettet. Mange hjemmesider bruger specielle browserudvidelser, såkaldte plug-ins, der giver mulighed for at vise forskellige former for film. Det kan for eksempel være Macromedia Shockwave eller Macromedias Flash player.
Hvis browseren har brug for en plug-in til at vise indholdet af en hjemmeside, og denne plug-in ikke er installeret på din computer, vil browseren spørge, om den nødvendige plug-in skal hentes og installeres automatisk. Inden du svarer ja til dette, skal du indhente den IT-sikkerhedsansvarliges tilladelse.
Den IT-sikkerhedsansvarlige bør ugentligt checke, om der er kommet fejlrettelser/opdateringer til de programmer, der anvendes i virksomheden, herunder specielt e-postprogrammer og Internet-browsere. For hver enkelt ny fejlrettelse bør den IT-sikkerhedsansvarlige aktivt tage stilling til, om det „hul“, fejlrettelsen lukker, er relevant for virksomheden eller ej. Hvis det er relevant, bør fejlrettelsen lægges ind hos alle brugere så hurtigt som muligt.
Den IT-sikkerhedsansvarlige skal sikre, at den enkelte browser er konfigureret til det sikkerhedsniveau, som virksomheden har defineret som hensigtsmæssigt. Det vil normalt være det næsthøjeste niveau. Det højeste sikkerhedsniveau kræver, at der eksplicit åbnes for hver enkelt hjemmeside, som medarbejderen skal have adgang til. Dette er ikke overkommeligt i ret mange virksomheder, hvis Internettet skal være til nogen nytte.
Den IT-sikkerhedsansvarlige bør installere de mest almindelige plug-ins, således at medarbejderne kun undtagelsesvis får behov for at installere plug-ins. Herved øges forståelsen for, at medarbejderne skal indhente samtykke til installation af mere sjældent forekommende plug-ins. Denne procedure giver også den IT-sikkerhedsansvarlige overblik over mulige „huller“ i systemet.
I forbindelse med udgivelsen af Windows 2000 er der oprettet en ny service fra Windows (
http://www.microsoft.com/technet/mpsa/start.asp) hvor man indlæser/kører en fil som systematisk gennemgår sikkerheden, og påpeger mangler, huller og lign. på computeren.
sund fornuft og agtpågivenhed er også en ting der skal nævnes, for uanset hvad man gør/ikke gør vil der altid være farer
Se også 8.11
8.3 Hvordan kan man udføre et angreb på en webserver generelt?
Den mest brugte måde på at komme ind i en webserver er ved at modificere URL ’er så den bliver provokeret til at sende systemfiler som eks. Passwords eller andre dataoplysninger som hackeren kan benytte. Hackeren benytter sig af CGI-Scriptet som findes i Web-Serverens bibliotek/cgibin, scriptet blev oprindeligt oprettet til at føre brugerlister, og herved kan man nemt røbe password-filen.Andre metoder er bl.a. at ændre portnummer som URL’en henviser til, og dermed åbne et sikkerhedshul.
8.4 Vælg en webserver implemtering, feks Microsoft ISS eller Apache og søg på nettet efter mulige sikkerhedshuller
Til søgning efter huller i microsofts IIS webserver, er der ikke nogen på hele nettet der vil være mere opdateret end microsoft selv. En søgning på Microsofts hjemmeside førte til meget gode sider som Tools and Checklists for Windows 2000 Server:
http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/tools/w2ksvrcl.asp Og IIS 5.0 Baseline Security Checklist:
http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/tools/iis5cl.asp Som kommer meget vidt omkring.
Verify that all disk partitions are formatted with NTFS
Verify that the Administrator account has a strong password
Disable unnecessary services
Disable or delete unnecessary accounts
Protect files and directories
Make sure the Guest account is disabled
Protect the registry from anonymous access
Apply appropriate registry ACLs
Restrict access to public Local Security Authority (LSA) information
Set stronger password policies
Set account lockout policy
Configure the Administrator account
Remove all unnecessary file shares
Set appropriate ACLs on all necessary file shares
Install antivirus software and updates
Install the latest Service Pack
Install the appropriate post-Service Pack security hotfixes
Set appropriate ACLs on virtual directories
Set appropriate IIS Log file ACLs
Enable logging
Disable or remove all sample applications
Remove the iisadmpwd virtual directory
Remove unused script mappings
En liste over flere Tools and Checklists til microsofts produkter kan findes på:
http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/default.asp 8.5 Hvad er et cgi script?
CGI-script kan bruges, hvis du gerne vil opretholde en statistik over antal gange der trykkes på et bestemt link på din hjemmeside. Scriptet er meget simpelt, og er umiddelbart lige til at gå til.
The purpose of CGI is to allow people to access information on your server. However A poorly designed CGI script can leave gaps in your servers’ security, making it easy for a potential ‘hacker’ to access unauthorised files. There are a number of potential pitfalls when using CGI.
One potential problem is simply changing the HTML form. If is relatively easy for someone to use a browser to view a source code, and change it. However if this is a form with a CGI target, the form could be changed to send values or field names not expected. To compensate for this the person running the server must ensure that some king of field checking procedure is used to eradicate rogue values.
The second major problem is running a CGI script on your server is it’s like adding a map your computer filing system. Depending on where the script is stored, with a bit of ‘hacking’ a user may be able to access unauthorised files. To solve this problem, servers usually store scripts in a CGI-bin. This is a directory of CGI files that makes it easier to control. For more information on CGI scripts see
http://194.80.193.185/scotty/security/wwwsf4.html 8.6 Hvad mener Othmar er farlige søgemaskiner
Mange brugere benytter sig af søgemaskiner når de færdes på nettet. En søgemaskine er en slags robot, også kaldet en indekseringsrobot, som er et ”convenient” værktøj når man hurtigt vil finde emner på nettet. Hackere udnytter dette, bl.a. er søgemaskinen Alta Vista ofte brugt af disse, da det er et fuldtekstsøgesystem, som gennemsøger millioner af Web-sider for at finde bestemte opslagsord. Når der søges på tegnstrenge som
url: etc AND link:passwd
kan hackeren I mange tilfælde finde placeringen af passwd-filen og/eller placeringen af biblioteker med begrænset adgang.
8.7 Hvad er Java, Java appletter og Java virtual maskine? (det har I svaret på før i datamatarkitektur – men hvis I nu har glemt det…..)
Hvad er Java;
Java er et programmeringssprog som er udarbejdet af Sun Microsystem i 1995. Programmeringssproget var egentlig ment som brug til interaktivt fjernsyn og styring af husholdningsapparater, men i dag bruges sproget hovedsageligt af World Wide Web.
Følgende funktionaliteter opnås ved brug af Java i forbindelse med WWW;
Dynamisk informationsinfrastruktur
Interaktivt informationsinfrastruktur
Intelligent informationsinfrastruktur
Hvad er Java appletter;
Dette er betegnelsen for et Java-program som indlæses af serversystemet over nettet, og bliver senere afviklet på det lokale klientsystem. Kan afviklet på praktisk taget alle hardwareplatforme vha. Java-fortolkere – også kaldet Java Virtual Machines. Hele programafviklingen ved Java sker på det lokale computersystem, og er derfor væsentligt hurtigere sammenlignet med CGI conceptet. Ved benyttelse af Java er det også muligt at afvikle applikationer som grafik eller spil. Bytecodes (kompilerede Java-Applets) kan også overføres direkte ind i WWW-sider via JavaScriptprogrammer, dette muliggør meget krævende multimedie- og animationsindhold.
Overordnede begreber i Java;
Applet:
Det HTML-element der skal indføje Java-programmer i WWW-sider
CODEBASE:
Angiver URLén til Java-programdata, hvor CODE er en betegnelse på filnavnet på Java-programmer.
Klasser(Applet)/Klassedefinitioner;
Alle Java-programmer består af ovennævnte, når programmet er klart, oversættes hver klasse til mellemformat, den såkaldte BYTECODE, denne fortolkes herefter og bliver udført af Java Virtual Machine på klientens computer.
Operationer i Java;
Init, fortolkes automatisk af Java-applet
Start, programmet er aktivt
Stop, det siger sig selv!!!!!!!
8.8 Hvad er java script?
Java er et såkaldt script-sprog, som er udviklet af Sun Microsystems, Inc. Et script-sprog er en begrænset form for programmeringssprog, der er designet til at udvikle anvendeligheden af et eksisterende program eller programmeringssprog. JavaScript er en udvidelse af HTML (Hyper Text Markup Langue) og giver en mulighed for at skabe interaktive Web-sider. på Web-sider der er udstyret med JavaScript kan brugerne trykke på knapper, indskrive tekst, foretage udregninger og kalde java-programmer eller plug-ins- uden at du skal skrive flere kilometer programkode.
Der findes også andre måder at skabe interaktive Web-sider på. En af de mest populære er, at bruge en såkaldt server-baseret scripting, der bygger på CGI-programmering (Common Gateway Interface ). Til denne form for programmering skal man næsten have en doktor grad i programmering for at kunne tumle denne form for programmering.
JavaScript
JavaScript programstykker i HTML-dokumenter. De er som oftest at finde mellem <script language=\"JavaScript\">- og </script>-mærkerne et sted i HTML-dokumentets hoved. JavaScript kan indsætte lysaviser på enhver HTML-side, de kan checke indholdet af formularer og åbne nye vinduer. Det er slet og ret den bedste måde at føje funktionalitet til dine statiske HTML-dokumenter. JavaScript er uundværlig for folk, der ikke har adgang til den server, deres dokumenter ligger på, og for folk, der gerne vil have, at tingene går hurtigt.
For 1 år siden kunne man ikke regne på oplysninger afgivet på en hjemmeside på anden måde end via CGI ( Common Gateway Interface ). Det betød, at man for at regne 2+2 ud blev nødt til, at indsende en formular til en www-server, sende det matematiske udtryk gennem Common Gateway Interface til et program, der regnede resultatet ud og sendte det tilbage gennem Common Gateway Interface og fra www-serveren sendte en ny side til brugeren. Det kunne snildt tage 20 sekunder, belastede netværk, brugertålmodighed og www-server helt unødigt. Med et JavaScript klares den slags på millisekunder. Til alles tilfredshed.
JavaScript er også objekt-orienteret og hændelsesstyret. Det lyder kompliceret, men betyder i praksis blot at JavaScript ved, hvad en knap på en HTML-formular er, og kan aflæse, hvornår den trykkes ned. Af objekter kan nævnes dokumentet selv, ethvert felt i en formular, billeder og frames. Af hændelser kan nævnes når musen er over objektet, når noget er blevet ændret og når der klikkes på noget. Du kan finde en liste over dem alle i en ramme i nærheden. Så langt så godt. Script-sproget skal også kunne gøre noget med objekterne. Som i vanlig C-programmering jonglerer man her med datatyper, variable og funktioner. Kan man i forvejen programmere i sådan noget som Basic, Pascal eller C++, er det ikke svært at forstå JavaScripts syntaks. Men har man ingen programmeringserfaring, må man nok påregne nogle ekstra timer med at lære JavaScript. Men vil man gerne lære det, kan det vigtigste læres på en dag eller to
8.10 Hvad er Active X?
Active X er ikke et programmeringssprog, men nærmere et regelsæt. Det er en teknologi som Microsoft har udviklet, som fortæller hvordan delingen af informationer mellem forskellige applikationer skal foregå. Teknologien bygger på to andre Microsoft teknologier, nemlig OLE (Object Linking and Embedding) og COM (Common Object Model). Active X er ment til brug på internettet, hvor f.eks. en side kan indeholde en ActiveX-kontrol. Pga. at Active X er et regelsæt, kan Active X-kontroller skrives i flere forskellige sprog. En sådan kontrol ligner til forveksling en java-applet, men har i modsætning til en java-applet, fuld adgang til Windows operrativsystemet. Dette betyder også at der i enkelte tilfælde er risiko for sikkerhedsbrist.
8.11 Hvilke sikkerhedsrisici er der forbundet med Active X
ActiveX har den uheldige egenskab at den arver brugerrettigheder, dvs. for den bruger, som er logget på det system, hvor ActiveX-kontrollerne blev afviklet.
Programmeringsværktøjer såsom JavaScript, Java, VBScript og Active X giver alle mulighed for, at en indehaver af en hjemmeside kan lave programmer, som, når du besøger sådanne hjemmesider, bliver kørt på din computer.
Hvad et sådant program kan, afhænger af hvad det er for et program. I de fleste tilfælde bliver sådanne programmer brugt til at lette brugernes søgning. Der er imidlertid også eksempler på, at programmerne har sendt kodeord eller andre hemmelige oplysninger til en hacker.
Java og Active X programmer kan underskrives af producenten med en elektronisk signatur, som sikrer, hvem programmet kommer fra. En sådan signatur sikrer ikke, at programmet er virusfrit, men du kan være sikker på, hvorfra programmet kommer.
Både Internet Explorer og Netscape kan sættes op, så de kun giver mulighed for at aktivere programmerne, hvis de er underskrevne
Den private bruger bør slå mulighederne for at køre disse programmer fra, med mindre de er underskrevne.
I Internet Explorer sker dette i „Sikkerhed“, som findes under „Indstillinger“ under „Værktøjer“ i menulinien. Sikkerhedsindstillingen skal sættes til „mellem“.
I Netscape sker dette i „Avanceret“, som findes under „Præferencer“ under „Redigere“ i menulinien. Der må ikke være mærke ved „Aktivere JAVA“.
Ny bruger
Nybegynder
Opret
Preview
