5.7 Revisionen

Gegenstand und Ziele

• Untersuchen: entsprechen Security-Maßnahmen den Festlegungen der Policies und Entwurfskriterien?
• Vergleich der Inhalte von Authentisierungs-/Berechtigungsdatenbasen mit den Listen der Angestellten und Vertragspartner
• Inventur der eingesetzten Maschinen, Kabel, TK-Anlagen, Räume, Verteilerschränke, Racks, ...
• Inventur der vergebenen Namensräume (IP-Adressen, Verzeichnisse in Filesystemen, ...)
• Zustand der installierten Software
  Versionen, Security-Patches, ...
• Überprüfen der installierten Netzdienste
  z.B. durch Port-Scanning aller Maschinen
• gezielte Angriffe gegen Teile der Infrastruktur
  Penetration Tests

• durchgeführt von einem eigenem (internem) Team
• Nutzung von "Insider"-Wissen
  Organisationsformen, Strukturen, interne Policies, ...
• Logging und Auswertung von Log-Protokollen

  • Security-Sicht: es kann nicht genug Logs geben
  • automatische Auswertung und Archivierung für bestimmte Zeiträume
  • security-relevante Logs zentral ablegen, nicht auf security-sensitiven Maschinen (Firewall, ...)

• interne Überprüfung

  • Anomalien im Netzwerk oder auf wichtigen Systemen
    Einträge in Routing-Tabellen, Netzverkehr mit unerwarteten Partnern
  • TK-Anlage auf angeschlossene Modems überprüfen
    war dialing
  • von aussen sichtbare Maschinen und Dienste
  • Art der Verwendung von Accounts
    gleichzeitige Benutzung eines Accounts in verschiedenen Räumen, lokal und remote über Einwahlknoten/Internet
  • Einsatz von Intrusion Detection Systemen (IDS)

• projektbezogene Überprüfung

  • installierte Security-Techniken verifizieren
    Konfiguration von Firewalls, IDS-Systemen, ...
  • Weiterentwicklungen
  • Erfüllung der Policies
  • Akzeptanz/Zufriedenheit der Benutzer

• physische Überprüfung

  • versteckte Geräte
    Sniffer, Monitoring-Systeme, Access Points, ...
  • Kabel in und zwischen Gebäuden

• externe Firma (Security Consultants) beauftragen
• typische Aufgabenstellung: Zugriff zu Rechnern der Finanzverwaltung oder Forschungsabteilungen erlangen
  nicht: Überwinden der Firewall
• Vorgehen ohne Erwartungen und "Insider"-Wissen
  Angreifer-Sicht
• Einsatz vertraglich absichern, Grenzen und Techniken vereinbaren

  • Ziele vorgeben
  • Penetration Tests
  • denial-of-service (DoS)-Attacken
  • social engineering

• Einsatz von Techniken des social engineering

  • vortäuschen fremder Identitäten (neuer Angestellter, Vertragspartner, externer Techniker, ...)
  • Ausnutzen von Vertrauensseligkeit, Hilfsbreitschaft, unklarer Kompetenzen, Wichtigtuerei, ...
  • typischerweise schwächstes Glied in der Kette

• Ergebnisse liefern unabhängiges feedback für Security-Team
• evtl. Revision von Policies notwendig

Penetration Testing
[http://www.sans.org/rr/catindex.php?cat_id=42]

Owens, D.:
War Dialing Your Company: A How To
http://www.giac.org/practical/GSEC/Dave_Owens_GSEC.pdf

NetStumbler.org
[http://www.netstumbler.org/]
War Driver: Suche nach Access Points

Nmap stealth port scanner
[http://www.nmap.org/]

Security Scanner Nessus
[http://www.nessus.org/]

Snort - The Open Source Network Intrusion Detection System
[http://www.snort.org/]

Potter, B.; Fleck, B.:
802.11 Security
O'Reilly & Associates, 2003, ISBN 0-596-00290-4

Peikari, C.; Fogie, S.:
Maximum Wireless Security - An Insiders Guide to Protecting Your Wireless Network
Sams Publishing, 2003, ISBN 0-672-32488-1

Haffner, K; Markoff, J.:
Kevin Mitnick, Der Hacker - Wie alles anfing
ECON Taschenbücher 1995; ISBN 3-612-26216-5

Mitnick, K.:
Die Kunst der Täuschung
Mitp-Verlag, 2003, ISBN 3-826-60999-9