Für das Testen der Sicherheitsmaßnahmen können aufgrund
des sehr differenzierten Sicherheitsbedürfnisses und der
sehr unterschiedlichen Ausrichtung der Systeme nur bedingt
allgemeingültige Richtlinien festgelegt werden. Deshalb
werden hier nur einige wenige Maßnahmen aufgeführt, die
weder für alle Systeme gelten noch für alle Systeme
ausreichend sind. Sie sollen lediglich als Einstieg einer
kontinuierlichen Prüfung angesehen werden.
Der Systemtest erfolgt durch "Experimentelle Prozessanalyse",
also durch (simulierte) Angriffe gegen den eigenen Rechner
oder das eigene Netzwerk, die natürlich außerhalb des
eigentlichen Systembetriebes stattfinden sollten. Damit können
Einbruchserkennungssysteme (IDS), Firewalls (Paketfilter)
und die Systemstabilität getestet werden. Allerdings werden
auf diesem Weg niemals alle Schwachstellen gefunden,
weil diese entweder noch nicht bekannt sind (z.B. Buffer
Overflows, unbekannte Viren) oder weil ein Angriff nicht zu
verantworten ist (Elektrische Überspannung zerstört unter
Umständen Hardware).
Bei Netzwerksystemen sollte der erste Angriff ein Portscan
(z.B. mit dem Tool nmap) sein. Anschließend ist eine
Analyse des Datenverkehrs ( Sniffer) denkbar, zumindest
wenn vertrauliche Informationen über das Netzwerk übertragen
werden. Eine Vielzahl an Angriffsszenarien bietet der
Security Scanner Nessus. Die Schwachstellenanalyse erfolgt
durch derzeit 1049 Plugins aus 23 Kategorien (Ende 2002),
die natürlich auch andere Systeme wie Windows-Rechner
oder Cisco Router untersuchen. Zu den interessantesten Plugins
gehören:
Backdoors
- mstream, shaft, TFN, Trin00, trinityV3 (alles DDOS-Tools)
- alya.cgi (verwendet von vielen root-Kits)
Denial of Service
- Teardrop
- Bonk
- BlackIce DoS (ping flood)
- Generic flood
Firewalls
- icmp Angriffe
- Proxy Angriffe entfernter Shell-Zugriff
- Apache-SSL, Squid, SSH Buffer Overflows
- MySQL Schwachstellen entfernter Superuser-Zugriff
- Samba: Entfernte Erstellung beliebiger Dateien
- thttpd 2.04 buffer overflow
- HTTP header overflow
misc
- X Server
- Apache Serverstatus verfügbar
- RedHat 6.2 inetd
CGI Missbrauch
- Apache Tomcat /servlet ...
- Oracle 9iAS ...
- phpMyAdmin Zugriff ...
Die Angriffe sollten selbstverständlich abgewährt und
gegebenenfalls protokolliert werden. Eine detailliertere
Beschreibung dieses Security-Scanners wird zu einem
späteren Zeitpunkt in einem eigenständigem Kapitel
erfolgen.
|