AVANTEC Know-how

Wie Hacker vorgehen, Teil 2

Wie wir im 1. Teil dieser Artikelserie im Newsletter IT-Security INSIDE 1/2003 (rsp. auf www.avantec.ch/hacker1) gesehen haben, besteht ein geplanter Angriff oft aus den folgenden 4 Schritten: 1. Erkundungen einholen, 2. Schwach-punkt finden und System angreifen, 3. vollen Systemzugriff erlangen und Tat ausführen, 4. alle Spuren verwischen. Dieser Teil behandelt nun Port Scanning und OS-Erkennung.

Port Scanning

Unter Port Scanning versteht man den automatischen Verbindungsaufbau auf TCP- und UDP-Ports eines Netzwerk-bereichs. Das Resultat zeigt an, welche Rechner in Betrieb sind und welche Services darauf laufen rsp. auf welchem Port ein Service Anfragen empfangen kann. Dies ermöglicht, die laufenden Applikationen und teils auch das Be-triebssystem festzustellen (z.B. Port 80 offen: http-Server, Ports 137-139 offen: Windows Filesharing). hacker2text

Bei einem Port Scanner wird üblicher-weise eine IP-Adresse rsp. ein Adress-Bereich eingegeben sowie die zu scannenden Ports: Entweder alle 65'535 Ports, was sehr lange dauern kann, oder aber nur ein Subset davon mit den bekannten Ports. (Eine umfangreiche Liste der bekannten Ports finden Sie auf support.avantec.ch unter Toolbox).

Verschiedene Typen von Scannern werden von Hackern eingesetzt. Die jenigen Scanner, die komplette TCP Verbindungen aufbauen (Syn, Syn/Ack, Ack) sind relativ einfach durch das Zielsystem detektierbar, weshalb es Scanner gibt, die nur halbe Verbindungen aufbauen, um gewisse IDS (Intrusion Detection Systeme) zu täuschen. Wieder andere Scannermethoden können es dem Angreifer ermöglichen, herauszufinden, ob die Firewall ein simpler Paketfilter ist oder eine Stateful Inspection Firewall. Ein bekannter Scanner für Linux ist nmap und für Windows SuperScan für TCP rsp. WUPS für UDP.

Schwieriger zu detektieren sind verteilte Scans von verschiedenen PCs aus, die zudem noch langsam ablaufen und mit nicht aufsteigenden Ports, sondern zufällig gewählten. Aber auch diese Scanner können detektiert werden von IDS wie beispielsweise ISS RealSecure oder Snort. Empfehlenswert ist selbstverständlich, alle nicht benutzen Dienste auszuschalten. Zudem sollten auf der Firewall die ICMP rsp. UDP Ports so unterbunden werden, dass keine einkommenden Ping- rsp. Traceroute-Anfragen möglich sind (sehr einfach mit Stateful ICMP unter Check Point NG). Auch können interne Dienste auf nicht-standard Ports verlegt werden, um Angreifer zu täuschen. Sie sollten sich jedoch auch nicht zu sehr von detektierten und blockierten Port Scans auf Ihr System beunruhigen lassen, da die meisten Netzwerke täglich mehrfach gescannt werden, jedoch noch keinen Schaden anrichten.

Erkennung des Betriebssystems

Sehr wichtig für den Hacker ist das Feststellen des Betriebssystems, da die nachfolgenden Schritte davon abhängig sind. Das OS kann teilweise erkannt werden aufgrund der spezifischen Ports oder aber auf Applikationsebene. Eine simple Telnet-Verbindung auf einen offenen Port kann beispielsweise folgende Resultate liefern: 220-InterScan VirusWall Version 3.7-Build_Linux_1190 oder aber Server: Apache/2.0.40 (Unix) mod_ssl/2.0.40 OpenSSL/0.9.6g DAV/2 PHP/4.2.2.

Da jeder OS-Hersteller spezifische Eigenheiten in seinen TCP/IP Stack einbaut, kann durch gezielte Massnahmen (z.B. nmap -O) das OS erkannt werden, indem die empfangenen Pakete genau analysiert werden. Eine andere Variante ist das passive Mithören des Verkehrs zwischen dem Zielserver und einem beliebigen Client. Die spezifischen Einstellungen des TTL (Time-To-Live), des Don't-fragment Bits oder aber der TCP Window Size erlauben entsprechende Rückschlüsse auf das OS.

Massnahmen gegen die Erkennung des Bestriebssystems sind schwierig. Auf Applikationseben kann zwar die Begrüssungsmeldung vieler Server modifiziert werden, der TCP/IP-Stack lässt sich jedoch kaum modifizieren. Wichtig ist wiederum, dass die Umgebung so abgesichert ist, dass auch bei Kenntnis des OS ein potentieller Hacker keine Chance hat.

Nachdem der Hacker nun die Netzwerktopologie kennt, die Dienste sowie das OS, wird er versuchen, Löcher zu finden.

Lesen Sie weitere Artikel zum Vorgehen von Hackern im Bereich Know-how.