Beveiliging

18 april 2001

Enno Laverman en Johan Swenker

(page 1)

Inleiding

Drie onderdelen

waarom zou je beveiligen
welke bedreigingen zijn er
hoe kun je je daartegen beschermen

Beveiliging:

vertrouwelijkheid
integriteit
beschikbaarheid

(page 2)

Waarom?

Vergelijk: computer <-> woonhuis

Vertrouwelijkheid
- brieven
- wachtwoorden
- foto's
- belasting gegevens

Tijd energie en aandacht
- score van freecell
- postzegelverzameling

Aansprakelijkheid
- bron van aanval
- opslagplaats illegaal materiaal
- verspreiden virussen

(page 3)

Thuisnetwerk

Af en toe een uurtje on-line
- POTS (plain old telephone system)
- ISDN (integrated services digital network)

Continu beschikbaar voor aanvallers
- Kabel
- ADSL (asymmetric digital subscriber line)

(page 4)

Bedreigingen en tegenmaatregelen

virus
hoax
hackers en script kiddies
- back up
- restore
back doors
bugs (java, active X)
spyware
switchpoint
slechte configuratie

(page 5)

Virus

bootsector virussen (oud)
e-mail attachments (Anna K)
macro virussen

Voorkomen

anti virus software
provider die filtert (dubieus)

(page 6)

Hoax (nep-waarschuwing)

computer virussen
gsm virussen
snel rijk
Subject: Foot N Mouth Virus Warning

Voorkomen

opvoeden verzenders

Herkennen

stuur mij door naar iedereen
het komt van een goede bekende
http://www.symantec.com/avcenter/
http://hoaxbusters.ciac.org/
zoekmachine
- http://www.ibm.com/search (zoek naar: spot hoax)

(page 7)

Hackers en script kiddies

Hackers

vinden bugs in software
melden dat
maken soms compleet voorbeeld (exploit)
stellen eer in hun werk

Script kiddies

gebruiken standaard tools
weten niet wat ze doen
'brandstichting' om ontdekking te voorkomen

Voorkomen

security patches bijhouden
firewalls

(page 8)

Backup

Herstellen

backup
restore

(page 9)

(page 10)

(page 11)

(page 12)

(page 13)

(page 14)

(page 15)

(page 16)

Backdoors

'Beheertools'

Back Orifice
Netbus

Voorkomen

virus protectie

Effect beperken

Firewall

(page 17)

Bugs

Netscape voorbeeld

Google: java security webserver
http://www.brumleve.com/BrownOrifice/
http://localhost/BOHTTPD-0.2
Netscape is nu webserver

Verisign/IE voorbeeld

Active X
Certificaat

Voorkomen

security patches bijhouden
firewall

(page 18)

Spyware

kost je je privacy
lijkt op gratis software

Voorbeelden

CuteFTP
FreeZip!
Tucows Uploader
meer dan 600 andere

Voorkomen

spyware list van http://www.hazeleger.net
firewall

(page 19)

Switchpoint

Duur internetten (0900 nummer)

Openbaar Vervoer website
- schakelen terug naar gewone provider

Sex sites
- instelling vast aanpassen

Voorkomen

0900 blokkering
aparte PC met proxy server (WinProxy)
aparte PC met router software (FreeSco)
ISDN router

(page 20)

Slechte configuratie

File sharing over Internet
- Share sniffer, beter dan Napster
Alle cookies accepteren
Scripting ongelimiteerd
- Java, Javascript, ActiveX, VBScript

(page 21)

PAUZE

na de pauze: techniek van firewalls

(page 22)

IP

IP = Internet Protocol

source adres, bv 213.75.110.61
- inbelpunt van HetNet

destination adres, bv 62.251.0.16
- www.hccnet.nl

protocollen
- UDP
- TCP
- ICMP

[ 213.75.110.61 | 62.251.0.16 | TCP | payload ]
(page 23)

UDP (User Datagram Protocol)

Toepassing

nameserver
streaming audio
filesharing (CIFS/SMB/LanM)

Kenmerk

source poort
- 1024
destination poort
- 53 (DNS)
antwoord
- poorten verwisseld

[ 213.75.110.61 | 62.251.0.4 | UDP | 1024 | 53 | www.hccnet.nl ]
[ 62.251.0.4 | 213.75.110.61 | UDP | 53 | 1024 | 62.251.0.16 ]

(page 24)

TCP (Transmission Control Protocol)

Toepassing

bulk data transfer
websurfen
mail

Kenmerk

verbindingsopbouw
source poort
- 1024
destination poort
- 80

[ 213.75.110.61 | 62.251.0.16 | TCP | 1024 | 80 | 'GET /' ]
[ 62.251.0.16 | 213.75.110.61 | TCP | 80 | 1024 | '404 not found' ]

(page 25)

ICMP (Internet Control Messaging Protocol)

Toepassing

besturing van het Internet

Voorbeeld

ping
destination unreachable

(page 26)

Risico's en beveiliging (I)

ICMP

ping of death
- blokkeer ping requests

UDP

Linux
- ramen worm gebruikt bug in BIND
Windows
- file sharing

blokkeer alle UDP m.u.v.
- nameserver request
- antwoord nameserver

(page 27)

Risico's en beveiliging (II)

TCP

trojan servers
- blokkeer opbouwen verbinding

spyware
- ZoneAlarm

blokkeer alle TCP m.u.v. uitgaande verbindingsopbouw naar
- webservers (80)
- e-commerce webservers (443)
- mail servers (25 en 110)
- ftp server (21)
leer je firewall overig gewenst verkeer
- IRC, ICQ, games, napster, ...

(page 28)

Risico's en beveiliging (III)

FTP en POP3 (mail ophalen)

wachtwoorden in klare tekst, dus:
- geen mail ophalen bij LAN-party
- geen website updaten via andere provider

(page 29)

Firewall

Voor thuisgebruik

Linux ;)
Zone Alarm http://www.zonelabs.com (DEMO)

Professioneel

Linux ;)
Firewall-1

(page 30)

Websites

http://www.security.nl
http://www.securityportal.com
http://packetstorm.securify.com
http://security-archive.merton.ox.ac.uk
http://cert.org
(page 31)