Unsere Datenschutzrichtlinie wird in Kürze aktualisiert. Bitte sehen Sie sich die Vorschau an.

Netzwerksicherheit Grundkurs

Windows-TCP/IP-Protokoll härten

Testen Sie unsere 2021 Kurse

10 Tage kostenlos!

Jetzt testen Alle Abonnements anzeigen
Die Härtung des TCP/IP-Protokolls in Windows dient der Anpassung der Einsatzgebiete sowie der Milderung von Technologieschwächen. Dies erfolgt über die Veränderung verschiedener TCP/IP-Parameter.

Transkript

Widmen wir uns nun dem Härten des TCP-Stacks. Warum Härten? Zum einen, um Einsatzgebiete anzupassen. Es gibt Situationen, da passt das Ganze so, wie es ist. Es gibt Situationen, da könnte man gegebenenfalls noch etwas verändern. Je nachdem, wofür das System eingesetzt wird, können Anpassungen hinsichtlich des Stacks durchgeführt werden. Ein weiterer Punkt sind Technologieschwächen beseitigen. TCP/IP beziehungsweise diese ganze Protokoll-Suite hat schon ein paar Jahre auf dem Buckel. Wenn wir beim IP mal schauen, wann die ersten Versionen rauskamen, 70er Jahre und etwas später, dann haben wir ja schon immense Zeiten hinter uns. Wenn Sie sich überlegen, was damals ging und was heute geht, kann man sich vorstellen, dass das, was damals entwickelt wurde, heute Schwachstellen aufweist. Um mal die Länge der Zeit zwischen dem Entwickeln von IP und heute darzustellen: Zu der Zeit, wo die IP auf den Markt kam, gab es zwei berühmte Sprüche: Der eine Spruch war: Der Computer wird unter einer Tonne wiegen. Das haben wir ja geschafft, aber das muss man sich mal vorstellen, heute, wo wir mit unseren Smartphones durch die Gegend rennen. Und ein weiterer Satz aus dieser Zeit: Ich weiß nicht, wofür man einen Computer zu Hause braucht. Aber ich glaube, da wissen wir inzwischen schon, wie es funktioniert. Ich möchte damit nur klarstellen, wie lange es das schon gibt. Demnach hat dieses Protokoll logischerweise Schwächen, die wir versuchen können, mit einer Stack-Härtung zu erreichen. Zuerst gucken wir uns die Parameter an, die wir härten können und zwar unter Windows. Das Ganze gibt es auch unter Linux und OS X. Da schauen wir uns dann auch noch etwas an, aber grundsätzlich schauen wir bei Windows. Man kann dann die Parallelen zu den anderen Betriebsssystemen ziehen. Verarbeitet wird das Ganze mit Hilfe des regedit. Das heißt also, wir gehen direkt in die Registrierungsdatenbank und verändern dort Informationen. Wenn man in die Registrierungsdatenbank hineingeht, gilt eins: Aufpassen! Wir sind hier mehr oder weniger im Echtzeitbetrieb, das heißt, wir können da relativ viel Schaden anrichten. Deswegen sollte gut überlegt sein, was Sie im einzelnen tun. Der Bereich, wo die Parameter sich befinden, ist HKEYLM\System\CurrentControlSet\ Services\Tcpip und dann dort Parameters. Dort können oder müssen Sie Parameter verändern. Das ist meistens der Fall: neue Einträge machen, weil die noch nicht hinterlegt sind. Nochmal drauf hingewiesen: Ändern der Parameter auf eigene Gefahr. Ganz wichtiger Punkt. Der TCP/IP-Stack hat auch von den Windows- Versionen her eine Änderung vollzogen. Das heißt, wenn wir vom Härten sprechen, meinen wir einmal das Zeitalter XP/2003 und von den neueren Varianten. Das heißt also, Vista/2008 und was dann noch nachkam. Microsoft hat nämlich den TCP-Stack, richtig heißt es IP-Stack, von Grund auf modernisiert. und hat dementsprechend der ganzen Sache Folge getragen. Schauen wir uns das Ganze mal unter XP und 2003 an. Da gibt es zum Beispiel SynAttack Protection. Wenn eine Verbindung hergestellt wird, das heißt, jemand möchte gern über TCP mit Ihrem Rechner kommunizieren, dann findet hier ein sogenannter Handshake statt. Das heißt, ich als Client schicke eine Synchronisation, der Server schickt ebenfalls eine Synchronisation und ich bestätige das Ganze. Damit habe ich die Verbindung hergestellt. Das ist der normale Weg. Wenn jetzt jemand attackieren möchte, dann schickt er zum Beispiel eine Synchronisation, hat aber als Quelladresse nicht seine eigene, sondern irgendeine eingetragen. und passt darauf auf, dass diese eingetragene garantiert nicht da ist. Die Verbindung wird also teilweise geöffnet. Ich schicke als Angreifer ein Synchronisationspaket. Der Server schickt das Paket irgendwohin, wo sich keiner befindet, und jetzt warten wir alle auf das Acknowledge-Paket, das Antwort-Paket. Das Antwort-Paket kommt nicht, also zögere ich das Ganze schon ganz schön hinaus. Das mache ich jetzt mehrmals, haue tausende von Synchronisationen heraus und kann damit eigentlich eine Maschine stilllegen. Denn irgendwann ist die Anzahl der möglichen Ports ausgefüllt und dann ist die Maschine nicht mehr erreichbar. Dort greift jetzt die sogenannte SynAttack Protection ein. Wenn ich dieses Teil aktiviere, wird unter Umständen erkannt, abhängig von bestimmten Parametern, Hier findet eine Attacke statt und jetzt werden wir uns dagegen wehren. Wer dieses Patching in der Registrierung nicht selbst ausführen möchte: Es gibt ein Programm namens zigstack.exe. Das können Sie aus dem Internet beziehen. Damit können Sie diese Parameter etwas gefahrenfreier patchen. Bei SynAttack Protection heißt 0 aus und 1 heißt, der Schutz ist aktiviert. Das wäre eine Aktion, die Sie in der Registrierung durchführen können. Dann haben wir den Punkt: TcpMaxPortsExhausted. Hier geht es darum, ab wann das System reagiert. Das sind quasi Zubringerinformationen. Wenn jetzt zum Beispiel der Server oder der, der angegriffen wird, mehr als fünf Verbindungen ablehnen muss, weil er zum Beispiel keine Kapazität mehr hat, würde das System anspringen und sagen, hier handelt es sich um eine SynAttack und würde dementsprechend Gegenmaßnahmen einleiten. Deswegen wird hier, das ist ein Vorgabewert, der Wert wird in dem Fall mit 5 angegeben. Das sollte man auch so durchführen. Dann haben wir den Punkt TcpMaxHalfOpen. MaxHalfOpen bedeutet, was ich kurz beschrieben habe, die Verbindung wird aufgemacht, aber nicht weitergeführt. Sie hängt quasi da rum, es antwortet keiner mehr. So was nennt man Half Open. Da wird zum Beispiel empfohlen, den Wert 100 anzugeben. Bei TcpMaxHalfOpen Wert 100. Damit wird das System Gegenmaßnahmen einleiten. Dann sagt das System: Wenn ich mehr als 100 halbgeöffnete Verbindungen habe, ist irgendetwas faul. Und dann fängt es an, Verbindungen abzuwerfen, um wieder Platz für wirkliche Verbindungen zu schaffen, die dann auch arbeiten wollen. Bei Vista/2008 hat sich der Stack geändert. Man hat das Ganze automatisiert. SynAttack Protection ist in dem Fall standardmäßig eingeschaltet und kann nicht ausgeschaltet werden. Abhängig von bestimmten Informationen wird ein sogenannter dynamischer Schwellwert berechnet. Anhand von CPU-Kernen und Speichern wird ermittelt: Wann entscheiden wir uns, dass hier eine Syn Protection vorliegt? Das ist ein interessanter Ansatz, dass man sagt: Je leistungsfähiger ein System ist, umso mehr kann ich unter Umständen diese Sachen abfangen. Je schwächer mein System ist, umso eher muss ich zugreifen. Hier in diesem Falle gibt es den Befehl nicht, von dem ich bei 2003 erzählt habe. Hier wird das Ganze dynamisch gehandhabt. Es gibt natürlich auch Parameter, die für beide gelten. Die schauen wir uns mal an. Grundsätzlich gilt immer: Die Parameter können sich ändern. Darauf muss man immer aufpassen, wenn ein neues Service-Pack kommt, da kann sich der Stack ändern. Davor ist man nie sicher, das muss immer kontrolliert werden. Deswegen müssen solche Sachen natürlich ordentlich dokumentiert werden. Ein weiterer Punkt, der für das Härten von Betriebssystemen wichtig ist: Es spielt keine Rolle, ob das XP/2003 oder Vista/2008 ist, ist der Punkt IPSourceRouting. Bei den IP-Protokollen gibt es eine Möglichkeit festzulegen, wie ein Paket zu gehen hat. Das heißt also, einen Weg vorzuschreiben, wie und welche Router benutzt werden sollen, um an eine bestimmte Stelle zu kommen. Das ist natürlich eine Supersache. Dann könnte man einfach dafür Sorge tragen, dass das Paket genau zum Man in the Middle geht und dann dort ankommt. Darum ollte das IP Source Routing immer abgeschaltet werden. Um solche Man in the Middle-Attacken oder -Mechanismen nicht initiieren zu können. Ein weiterer Punkt ist KeepAliveTimer. Der KeepAliveTimer ist ein Timer, der dafür Sorge trägt, dass bei existierenden Verbindungen nachgeguckt wird, ob es sie noch gibt. Er sollte etwas kürzer gesetzt werden, so dass wir nicht unnötig Verbindungen offenhalten, die schon längst nicht mehr existieren. Auch das wäre ein Punkt, der verändert werden kann. Wir haben gesehen, dass es unter Microsoft eine ganze Menge Möglichkeiten gibt, den Stack zu härten. Da gibt es noch wesentlich mehr Mechanismen, aber das muss man im Einzelfall dann nachschauen und dann muss man genau gucken, was man da tut. Denn Sie wollen ja nicht durch das Härten das Betriebssystem außer Kraft setzen, oder seine Funktionalitäten außer Kraft setzen. Wir haben gesehen, dass wir Windows-Betriebssysteme härten können und dass das meistens mit Veränderungen in der Registrierungsdatenbank einhergeht.

Netzwerksicherheit Grundkurs

Machen Sie sich mit den grundlegenden Konzepten der Netzwerksicherheit vertraut und erfahren Sie, wie Sie Ihre Kenntnisse unter Windows, OS X und Linux praktisch umsetzen können.

11 Std. 47 min (142 Videos)
Derzeit sind keine Feedbacks vorhanden...
 

Dieser Online-Kurs ist als Download und als Streaming-Video verfügbar. Die gute Nachricht: Sie müssen sich nicht entscheiden - sobald Sie das Training erwerben, erhalten Sie Zugang zu beiden Optionen!

Der Download ermöglicht Ihnen die Offline-Nutzung des Trainings und bietet die Vorteile einer benutzerfreundlichen Abspielumgebung. Wenn Sie an verschiedenen Computern arbeiten, oder nicht den ganzen Kurs auf einmal herunterladen möchten, loggen Sie sich auf dieser Seite ein, um alle Videos des Trainings als Streaming-Video anzusehen.

Wir hoffen, dass Sie viel Freude und Erfolg mit diesem Video-Training haben werden. Falls Sie irgendwelche Fragen haben, zögern Sie nicht uns zu kontaktieren!