Omijanie firewalli w systemach Windows

Transkrypt

1 Omijanie firewalli w systemach Windows Zagro rożenia i ochrona Jakub Tomaszewski Zespół Bezpieczeństwa PCSS Poznań,

2 Agenda 10:00 Rozpoczęcie, cie, powitanie uczestników, informacje organizacyjne 10:05 Poznajmy się: : czym jest PCSS i MIC? 10:15 Omijanie firewalli w systemach Windows (cz. 1) 11:00 Przerwa 11:10 Omijanie firewalli w systemach Windows (cz. 2) 11:50 Podsumowanie, dyskusja, zaproszenie na kolejne szkolenia 12:00 Zakończenie 2

3 Informacje organizacyjne Ankieta Krótka i anonimowa Pomoc na przyszłość Lista obecności ci Proszę zaznaczyć,, czy chcecie Państwo otrzymywać informacje o kolejnych szkoleniach Prezentacja dostępna na stronach WWW mic.psnc.plpl man.poznan.plpl security.psnc.plpl Webcast Dostępny w późniejszym p terminie na mic.psnc.plpl 3

4 Kim jesteśmy i co robimy? 4

5 PCSS Poznańskie Centrum Superkomputerowo-Sieciowe: 15 lat Operator sieci PIONIER (sieć dla edukacji i nauki) oraz POZMAN Uczestnik projektów naukowobadawczych Główne obszary zainteresowań Gridy, sieci nowej generacji, portale Bezpieczeństwo sieci i systemów 5

6 Zespół Bezpieczeństwa PCSS Dedykowany zespół istnieje od 1996r. Podstawowy zakres prac Zespołu Zabezpieczanie infrastruktury PCSS Zadania bezpieczeństwa w projektach naukowo badawczych Szkolenia i transfer wiedzy Badania własnew Audyty i doradztwo w zakresie bezpieczeństwa IT Niektóre badania z ostatnich lat Raport o bezpieczeństwie bankowości elektronicznej ( 2006 ) Bezpieczeństwo serwerów w WWW Apache i MS IIS ( 2007 ) Bezpieczeństwo sklepów w internetowych ( 2008 ) security.psnc.plpl 6

7 Centrum Innowacji Microsoft Pierwsze w Polsce MIC Centrum bezpieczeństwa i usług ug outsourcingowych Partnerzy Microsoft Corporation Poznańskie Centrum Superkomputerowo-Sieciowe Sieciowe Politechnika Poznańska Otwarcie: r. mic.psnc.plpl 7

8 Cele i zadania MIC Wybrane cele MIC Edukacja poprzez zdalne udostępnianie aplikacji MS Szybszy rozwój j lokalnych firm (MŚP) poprzez doradztwo w zakresie podnoszenia poziomu bezpieczeństwa teleinformatycznego, audyty oraz szkolenia Poprawa dostę tępu i jakości usług ug medycznych w Wielkopolsce Łatwy i bezpieczny dostęp p do e-use usług ug w urzędach Główne zadania MIC w roku 2008 Usługi hostingowe dla edukacji, instytucji charytatywnych i użytkowników w indywidualnych Szkolenia w zakresie bezpieczeństwa IT Rozwój j systemu telekonsultacji medycznych Telesfor Badania nad technologią Silverlight 2.0 8

9 Szkolenia bezpieczeństwa MIC 4 szkolenia rocznie html man.poznan.pl/kdm Tematy szkoleń w roku : Format OpenXML : Bezpieczeństwo w firmach : Niechciane wiadomości : Omijanie firewalli w systemach Windows Zachęcamy camy do zgłaszania w ankietach propozycji tematów na rok 2009! 9

10 Omijanie firewalli w systemach Windows Zagrożenia i ochrona

11 ... a może e jeszcze nie (; Zacznijmy od początku czysta instalacja 11

12 ... a może e jeszcze nie (; Konfiguracja sieci 12

13 A agresor nie śpi... Zacznijmy od początku czysta instalacja 13

14 Czy te informacje sąs niebezpieczne? Mamy nowy system, więc c o co chodzi? 14

15 Informacja o systemie jest już luką! 15

16 Wiemy, co jest wiemy, jak to atakować 16

17 Duża a paleta możliwych działań łań... 17

18 I co to wszystko? 18

19 Za proste, żeby było o prawdziwe? 19

20 A jednak to prawda =/ 20

21 21

22 Pytanie 22

23 Nie ma się czego bać! Hakerzy nie używaju ywająjuż tych luk! 23

24 Kto ich używa? u isc.sans.org/survivaltime.html 24

25 25

26 A co z nowymi lukami? tzw. 0day? 26

27 Czas reakcji na luki... 27

28 Ciekawostka MS Internet Explorer XML Parsing Remote Buffer Overflow Exploit 0day (v. 5.01, 6, 7 & 8 Beta (

29 0day exploit IE 7 na wolności I co dalej?... hack.pl/aktualnosci/0_ /0_day_exploit_ie_7_na_wolnosci_1112 Olbrzymi wzrost liczby ataków w przez lukę w IE! hack.pl/aktualnosci/olbrzymi_wzrost_liczby_ /olbrzymi_wzrost_liczby_atakow_przez_lu ke_w w_ie_1114 Luka w IE7 hacking.pl/pl/news luka_w_ie7. Luka_w_IE7.html (Prawie) wszystkie Internet Explorery są podatne na lukę hacking.pl/pl/news Prawie_wszystkie_Internet_Explorery Explorery_sa_podatne_na podatne_na_luke.html Wzrost liczby ataków w na IE

30 30

31 Aktualizacje (!) Jak temu przeciwdziałać łać? NAT - Network Address Translation Firewall 31

32 Firewall idea powstania, definicja Firewall-ściana ogniowa, to system (sprzętowy, programowy lub mieszany) stojący na straży y naszego systemu komputerowego (firewall( osobisty, lokalny) lub całych sieci (firewalle( filtrujące i pośrednicz ( ce redniczące) 32

33 Firewall osobisty 33

34 Firewall filtrujący 34

35 Firewall pośrednicz redniczącycy 35

36 Nie mylmy pojęć ęć! Firewall Filtr pakietów 36

37 Filtrowanie: Port (lokalny i zdalny), Adres (lokalny i zdalny), Protokół, Zawartość pakietu, Długość pakietu, Interfejsy systemowe Flagi itp. Funkcje firewalli Badanie heurystyczne przepływaj ywającego ruchu Logowanie zdarzeń Pośredniczenie w transmisji 37

38 Firewalle w systemach rodziny Windows 38

39 Które Windowsy? Windows XP SP2 Windows Server 2003 Windows Vista Windows Server

40 Windows XP SP2 Funkcje wykonywane: "Ułatwianie blokowania wirusów w i robaków w internetowych" "Proszenie o zezwolenie" "Tworzenie rejestru (dziennika zabezpieczeń)" Funkcje nie wykonywane: "Wykrywanie lub wyłą łączanie wirusów w i robaków w internetowych" "Uniemożliwianie otwarcia wiadomości e z niebezpiecznymi załą łącznikami" "Blokowanie spamu lub niepożą żądanych wiadomości e mail /sp2/wfintro.mspx 40

41 41

42 Windows Vista Co się zmieniło o od czasu Firewalla Windows XP Połą łączenia wchodzące ce i wychodzące ce (XP - tylko wchodzące), ce), Domyślna akcja definiowalna oddzielnie dla każdego z kierunków, Duża liczba monitorowanych protokołów w (XP -TCP, UDP, część ICMP), Rozbudowane definicje reguł (XP -aplikacja, ( pakiet Akcje reguł z priorytetami Dodatkowy interface zarządzania i zarzadzanie zdalne Strategia Defense in Depth /technet/article/art0045_01.mspx 42

43 43

44 Ok, ale mieliśmy my je atakować, więc c... 44

45 Ataki na filtrowanie Port - ustawienie usługi ugi na innym porcie niż standardowy: Radio na 80-tym porcie na serwerze zdalnym ;P VNC na lokalnym porcie 22 Adres -spoofing w dowolnej postaci podmiana adresów w IP w pakietach atak na urządzenia pośrednicz redniczącece ataki na DNS LAN - arp spoofing Zawartość pakietów, protokół Tunelowanie 45

46 Ataki oszukujące algorytmy heurystyczne Opóźnienia czasowe (np. Slow scan) Spoofowanie różnych adresów Brak regularności ataku (np. skanowania) Rozproszony atak (np. Distributed Coordinated ( scan Ataki ze sztucznym zalewaniem (fake( ( flood Itp., itd. Dobry przykład nmap( ( 46

47 Inne... Ataki na przejęcie aktywnej sesji, Ataki na oprogramowanie, Firewalla Przeglądarki internetowe Oprogramowanie serwerowe Fuzzing, I dużo o innych... 47

48 Wróćmy zatem do naszego XP,... Właśnie, dlaczego XP? 48

49 Windows XP po zainstalowaniu SP2 49

50 A co na to nasz znajomy agresor? 50

51 A luki...? 13:29:59 -ms03_026_dcom [*] Launching exploit windows/dcerpc dcerpc/ms03_026_ /ms03_026_dcom... 13:30:01 -ms03_026_dcom [*] Handler binding to LHOST :30:01 -ms03_026_dcom [*] Started reverse handler 13:30:12 -ms03_026_dcom dcom[-] Exploit failed: The connection timed out ( :135). 51

52 A jeśli nawet wyłą łączymy firewalla? 13:27:49 -ms03_026_dcom dcom[*] Launching exploit windows/dcerpc dcerpc/ms03_026_ /ms03_026_dcom... 13:27:50 -ms03_026_dcom dcom[*] Handler binding to LHOST :27:50 -ms03_026_dcom dcom[-] Bind failed on :27:50 -ms03_026_dcom dcom[*] Handler binding to LHOST :27:50 -ms03_026_dcom dcom[*] Started reverse handler 13:28:01 -ms03_026_dcom dcom[-] Exploit failed: The connection timed out ( :135). 13:29:23 -ms03_026_dcom dcom[*] Launching exploit windows/dcerpc dcerpc/ms03_026_ /ms03_026_dcom... 13:29:24 -ms03_026_dcom dcom[*] Handler binding to LHOST :29:24 -ms03_026_dcom dcom[*] Started reverse handler 13:29:25 -ms03_026_dcom dcom[*] Trying target Windows NT SP3-6a/2000/XP/2003 Universal... 13:29:25 -ms03_026_dcom dcom[*] Binding to 4d9f4ab8-7d1c 7d1c-11cf-861e- ncacn_ip_tcp: [135]... 13:29:25 -ms03_026_dcom dcom[*] Bound to 4d9f4ab8-7d1c 7d1c-11cf-861e- ncacn_ip_tcp: [135]... 13:29:25 -ms03_026_dcom dcom[*] Sending exploit... 13:29:25 -ms03_026_dcom dcom[-] Exploit failed: : DCERPC FAULT => nca_s s_fault_access_denied 52

53 Zatem teraz jesteśmy bezpieczni? Zobaczmy... 53

54 Przykładowy scenariusz założ łożenia Piszemy trojana z z przeznaczeniem Ofiara posiada firewalla i używa u funkcji blokowania połączeń w stosunku do poszczególnych aplikacji Wiemy, czego używa u ofiara (np. Internet ( Explorera 54

55 Przykładowy scenariusz -działania ania Jak wyjść z systemu bez wiedzy firewalla? WinAPI! Znajdź proces, który może e się komunikować ze światem Utwórz wątek w dla znalezionego procesu CreateRemoteThread() () Prześlij komunikaty do tego wątkuw Zabezpiecz się przed błęb łędami (dekonspiracją) Działaj! aj! 55

56 56

57 Jak się bronić? Aktualizacja systemu i oprogramowania Świadome zarządzanie systemem Dobre praktyki w bezpieczeństwie Systemy wspomagające bezpieczeństwo: Firewalle Antywirusy IDSy/IPSy IPSy AntySpyware Logiczne myślenie... 57

58 Podsumowanie 58

59 Trochę więcej szczegółó łów Instalacja i konfiguracja SP2 dla Windowsa XP, html Optymalizacja usług ug w Windowsie XP porad/serwisy.html Kilka rad od producenta: ct/windowsxpsp2/default.mspx sktopsecurity5.mspx 59

60 Więcej informacji: 60

61 Informacje kontaktowe Autor prezentacji man.poznan.plpl Centrum Innowacji Microsoft mic.psnc.plpl man.poznan.plpl PCSS Zespół Bezpieczeństwa PCSS security.psnc.plpl man.poznan.plpl 61

62 Pytania i dyskusja, propozycje? Dziękuj kuję za uwagę! 62