Networking Primer - Layers 5-7

Überblick

Dieser Beitrag betrachtet Netzwerkprotokolle der Ebenen 5-7 des OSI-Modells, darunter TLS, FTP, SMB und HTTP. Wir untersuchen typische Kommunikationsmuster, analysieren Sicherheitsprobleme und zeigen, wie diese Protokolle im Netzwerkverkehr erscheinen. Bilder dienen zur Visualisierung der Kommunikation und spezifischer Protokolldetails.

HTTP-Methoden

HTTP (Hypertext Transfer Protocol) ist ein zustandsloses Protokoll zur Übertragung von Daten zwischen Client und Server. Die verschiedenen Methoden definieren die Art der Anfrage an den Server und können unterschiedlich genutzt werden, was auch zu Schwachstellen führen kann.

Beschreibung der Methoden:

  • GET: Wird verwendet, um Daten vom Server abzurufen. Beispiel: Eine HTML-Seite anfordern. Diese Methode kann für Angriffe wie SQL-Injection oder Cross-Site Scripting (XSS) ausgenutzt werden, wenn Benutzereingaben nicht korrekt gefiltert werden.

  • POST: Wird genutzt, um Daten an den Server zu senden (z.B. Formulare). Angreifer könnten versuchen, Command Injection durch unsichere Formularverarbeitung durchzuführen.

  • PUT: Speichert Daten unter einer bestimmten URI. Wenn PUT aktiviert ist, können Angreifer Dateien auf den Server hochladen, was möglicherweise eine Web Shell sein könnte.

  • DELETE: Entfernt eine Ressource von einem Server. Diese Methode sollte gut geschützt sein, da ein Angreifer andernfalls wichtige Dateien löschen könnte.

  • HEAD: Ähnlich wie GET, aber ohne Nachrichtentext in der Antwort. Kann verwendet werden, um Informationen über den Server zu sammeln, ohne eine vollständige Antwort zu erhalten.

  • OPTIONS: Dient zur Abfrage, welche Methoden der Server unterstützt. Diese Information kann Angreifern dabei helfen, mögliche Schwachstellen zu identifizieren.

  • TRACE: Diese Methode sendet die empfangene Nachricht an den Client zurück, was für Cross-Site Tracing (XST)-Angriffe ausgenutzt werden könnte.

  • CONNECT: Wird hauptsächlich für HTTP-Proxies verwendet, um eine Tunnelverbindung herzustellen. Kann missbraucht werden, um eine nicht autorisierte Verbindung aufzubauen.

FTP Protokollanalyse

Beschreibung: FTP (File Transfer Protocol) wird zur Übertragung von Dateien verwendet. Es verwendet die Ports 20 (Daten) und 21 (Kontrolle). FTP kann im aktiven oder passiven Modus betrieben werden. In der Analyse wurden verschiedene Dateiübertragungen und authentifizierte Sitzungen beobachtet.

Beobachtung:

  • Verbindung wird über Port 21 hergestellt.

  • Authentifizierung erfolgt mit Benutzer anonymous.

  • Im passiven Modus wird eine Datei (secrets.txt) erfolgreich übertragen, was zeigt, dass die Verbindung korrekt konfiguriert ist (siehe Bild 2).

Mögliche Schwachstelle: Anonymer FTP-Zugang erlaubt unbefugten Zugriff auf Dateien, wenn falsch konfiguriert. Angreifer könnten Dateien herunterladen oder hochladen, was ein Risiko für die Serverintegrität darstellt.

SMB Protokollanalyse

Beschreibung: SMB (Server Message Block) wird häufig für die Freigabe von Ressourcen wie Dateien und Druckern verwendet, insbesondere in Windows-Netzwerken. Das Protokoll benötigt Authentifizierung und nutzt standardmäßig Port 445.

Beobachtung:

  • Es wird eine Verbindung über Port 445 aufgebaut.

  • Mehrere Authentifizierungsversuche scheitern mit dem Status STATUS_LOGON_FAILURE. Dies deutet auf möglicherweise falsche Anmeldeinformationen oder einen Brute-Force-Angriff hin (siehe Bild 1).

Mögliche Schwachstelle: Wiederholte Authentifizierungsfehler könnten auf einen Brute-Force-Angriff oder das Erraten von Zugangsdaten hinweisen.

TLS/HTTPS Protokollanalyse

Beschreibung: TLS (Transport Layer Security) wird verwendet, um HTTP-Kommunikation zu verschlüsseln. Ein TLS-Handshake startet mit dem Client Hello, gefolgt vom Server Hello, um kryptographische Parameter zu vereinbaren.

Beobachtung:

  • Die Verbindung beginnt mit einem Client Hello, worauf der Server mit Server Hello antwortet.

  • Danach erfolgt die Übertragung der verschlüsselten TLSv1.3 Application Data (siehe Bild 3).

Mögliche Schwachstelle: Falls TLS unsicher konfiguriert ist (z.B. schwache Cipher Suites oder keine Zertifikatsüberprüfung), kann es zu Man-in-the-Middle-Angriffen kommen.

Zusammenfassung und Empfehlungen

  • HTTP: Nutze sichere HTTP-Methoden, schränke POST, PUT und DELETE auf vertrauenswürdige Benutzer ein. Führe eine Whitelist für erlaubte Methoden.

  • FTP: Deaktiviere den anonymen Zugang. Verwende stattdessen SFTP, um eine verschlüsselte Verbindung zu gewährleisten.

  • SMB: Überwache wiederholte Authentifizierungsversuche und setze Mechanismen wie Account-Lockout-Richtlinien ein, um Brute-Force-Angriffe zu verhindern.

  • TLS: Setze nur sichere Cipher Suites ein und überprüfe Zertifikate, um Man-in-the-Middle-Angriffe zu verhindern.

Die Bilder verdeutlichen typische Kommunikationsmuster der Protokolle sowie mögliche Schwachstellen, die Angreifer ausnutzen könnten. Nutze diese Informationen zur Verbesserung der Sicherheit deiner Netzwerkinfrastruktur.

PreviousWireshark PaketNextGlossar

Last updated