| Null- oder Standardpasswort | Das Leerlassen von Passw�rtern oder das Verwenden von bereits bestehenden Standardpassw�rtern, die mit einer Applikation mitgeliefert werden. Dies kommt am h�ufigsten bei Hardware wie Router und BIOS vor; einige Dienste, die unter Linux laufen, k�nnen jedoch auch standardm��ige Administratoren-Passw�rter enthalten (Red Hat Enterprise Linux wird jedoch nicht mit Solchen ausgeliefert) | | H�ufig mit Netzwerk-Hardware wie Routers, Firewalls, VPNs und Netzwerkspeicher-Applikationen (NAS) assoziiert. | | Tritt h�ufig in Legacy-Betriebssystemen auf, insbesondere bei Betriebssystemen, die Dienste wie UNIX und Windows kombinieren. | | Administratoren erstellen manchmal berechtigte Benutzer in Eile, und lassen das Passwort frei, ein perfekter Zugangspunkt f�r b�sartige Benutzer, die dies entdecken. |
|
| Standard Shared Keys | Sichere Dienste werden manchmal mit standardm��igen Sicherheitsschl�sseln f�r Entwicklung oder zu Evaluationszwecken ausgeliefert. Werden diese Schl�ssel nicht ge�ndert und in eine Produktionsumgebung im Internet gestellt, kann jeder Benutzer mit dem gleichen Standardschl�ssel auf diese Ressourcen und damit auf alle empfindlichen Informationen darin zugreifen. | | Tritt in Wireless Access Points und bei vorkonfigurierten, sicheren Servern auf. | | CIPE (siehe Kapitel 6) enth�lt als Beispiel einen statischen Schl�ssel, der ge�ndert werden muss, bevor dieser in einer Produktionsumgebung angewendet wird. |
|
| IP-Spoofing | Eine sich entfernt befindliche Maschine verh�lt sich wie ein Knoten im lokalen Netzwerk, findet Schwachstellen auf Ihrem Server und installiert ein Backdoor-Programm oder Trojanisches Pferd, um Kontrolle �ber Ihre Netzwerkressourcen zu erlangen. | | Spoofing ist relativ schwierig, da es vom Angreifer erfordert, dass er TCP/IP SYN-ACK-Nummern voraussagt, um eine Verbindung zum Zielsystem zu koordinieren. Es sind jedoch verschiedene Tools erh�ltlich, die dem Cracker bei diesem Angriff helfen k�nnen. | | Spoofing ist abh�ngig von den auf dem System laufenden Dienste (wie rsh, telnet, FTP und andere), die Source-basierte Authentifizierungstechniken verwenden, die im Vergleich zu PKI oder anderen Formen der Verschl�sselung wie ssh oder SSL/TLS nicht empfohlen werden. |
|
| Lauschen | Das Sammeln von Daten zwischen zwei aktiven Knoten auf einem Netzwerk durch das Abh�ren der Verbindung dieser beiden Knoten. | | Diese Art Angriff funktioniert am besten mit Klartext-�bertragungsprotokollen wie Telnet-, FTP- und HTTP-�bertragungen. | | Angreifer von au�erhalb m�ssen Zugang zu einem kompromittierten System in einem LAN haben, um solch eine Attacke durchf�hren zu k�nnen; meistens hat der Cracker bereits aktiv eine Attacke ausgef�hrt (wie z.B. IP-Spoofing oder Man-in-the-Middle). | | Vorbeugende Ma�nahmen umfassen Dienste mit verschl�sseltem Schl�ssel-Austausch, einmalige Passw�rter oder verschl�sselte Authentifizierung gegen das Erschn�ffeln von Passw�rtern; verst�rkte Verschl�sselung w�hrend der �bertragung ist auch angeraten. |
|
| Schwachstellen von Diensten | Ein Angreifer findet einen Fehler oder ein Schlupfloch in einem Dienst, der �ber das Internet l�uft. Durch diese Anf�lligkeit kann der Angreifer das gesamte System und alle Daten darauf sowie weitere Systeme im Netzwerk kompromittieren. | | HTTP-basierte Dienste wie CGI sind anf�llig f�r entfernte Befehlsausf�hrungen und sogar interaktiven Zugang zur Shell. Auch wenn der HTTP-Dienst unter einem nicht-privilegierten Benutzer wie "Nobody" ausgef�hrt wird, k�nnen Informationen wie Konfigurationsdateien und Netzwerkpl�ne gelesen werden. Der Angreifer k�nnte auch eine Denial-of-Service-Attacke starten, die die Systemressourcen lahmlegt oder f�r andere Benutzer unzug�nglich macht. | | Dienste weisen manchmal Anf�lligkeiten auf, die w�hrend der Entwicklung und dem Testen unbemerkt bleiben. Diese Anf�lligkeiten sind z.B. Buffer Overflows, bei dem Angreifer Zugang erhalten, indem sie den Adress-Speicher mit mehr als vom Dienst akzeptierten Inhalt f�llen, den Dienst damit zum Absturz bringen und somit Zugang zu einem interaktiven Befehlsprompt bekommen, von dem aus sie Befehle ausf�hren k�nnen. Dies kann komplette administrative Kontrolle f�r den Attacker bedeuten. | | Administratoren sollten sicherstellen, dass Dienste nicht als root ausgef�hrt werden und wachsam sein, wenn es zu Patches und Errata-Updates von Herstellern oder Sicherheitsorganisationen wie CERT und CVE kommt. |
|
| Schwachstellen von Applikationen | Angreifer finden Fehler in Desktop- und Workstation-Applikationen wie E-Mail-Clients und k�nnen willk�rlich Code ausf�hren, Trojaner f�r zuk�nftige Attacken implantieren oder Systeme zum Absturz bringen. Es kann noch gr��erer Schaden angerichtet werden, wenn die kompromittierte Workstation administrative Berechtigungen f�r den Rest des Netzwerkes hat. | | Workstations und Desktops sind anf�lliger f�r eine Ausbeutung als Server, die von Adminsitratoren verwaltet werden, da die Benutzer keine Erfahrung oder nicht das Wissen zur Verhinderung oder Aufdeckung von Einbr�chen haben. Es ist von oberster Wichtigkeit, Einzelpersonen �ber die Risiken bei der Installation unberechtigter Software oder beim �ffnen vom E-Mail unbekannter Herkunft zu informieren | | Es k�nnen Schutzeinrichtungen installiert werden, so dass z.B. E-Mail-Software nicht automatisch Anh�nge �ffnen oder ausf�hren kann. Zus�tzlich dazu kann das automatische Aktualisieren der Workstation-Software �ber das Red Hat Network oder andere System-Management-Services die Last einer vielschichtigen Sicherheitsimplemetierung ausgleichen. |
|
| Denial-of-Service (DoS) Attacken | Angreifer oder Gruppen von Angreifern koordinieren eine Attacke auf ein Netzwerk oder Serverressourcen, bei der unbefugte Pakete an den Zielcomputer gesendet werden (entweder Server, Router oder Workstation). Dies zwingt die Ressource f�r berechtigte Benutzer unverf�gbar zu werden. | | Der am h�ufigsten berichtete DoS-Vorfall trat im Jahr 2000 auf, als mehrere stark besuchte kommerzielle Websites und Websites der Regierung angegriffen wurden, wobei durch eine koordinierte Ping-Flut-Attacke mehrere kompromittierte Systeme mit Breitbandverbindungen unverf�gbar gemacht wurden, indem sich diese wie Zombiesverhielten oder �bertragungsknoten umgeleitet wurden. | | Quell-Pakete werden allgemein gef�lscht (oder umgeleitet), was das Auffinden der wahren Quelle der Attacke schwierig macht. | | Fortschritte beim Ingress Filtering (IETF rfc2267) mittels iptables und Netzwerk-IDS-Technologien wie snort helfen Administratoren, DoS-Attacken herauszufinden und zu verhindern. |
|
