Red Hat Enterprise Linux 4 Sicherheitshandbuch
Contents
1. S Schwachstellen Analyse 79 Definition 80 Entwickeln einer Methode 81 Test 80 Analyse mit VLAD the Scanner 83 mit Nessus bewerten 82 mit Nikto bewerten 83 mit Nmap bewerten 82 sendmail 38 DoS einschr nken 54 Einf hrung 54 und NFS 55 Server Sicherheit Apache HTTP Server 51 cgi Sicherheit 51 Direktiven 51 FTP 52 Anonymer Zugang 53 anonymes Hochladen 53 Benutzeraccounts 54 Gru banner 52 TCP Wrapper und 54 vsftpd 52 NFS 49 Netzwerkdesign 50 Syntax Fehler 50 NIS 47 IPTables 49 Kerberos 49 Netzwerke planen 48 NIS Domain Name 48 securenets 48 Statische Ports 49 portmap 46 Ports berwachen 55 Sendmail 54 Dos einschr nken 54 und NFS 55 TCP Wrapper 43 Angriffswarnungen 44 Banner 44 Logging 45 xinetd 45 DoS verhindern mit 46 Ressourcen verwalten mit 46 SENSOR Falle 45 berblick ber 43 Services Configuration Tool 38 Sicherheits Errata 17 Anwenden der nderungen 20 via Red Hat Errata Webseite 18 wann neu starten 20 ber Red Hat Network 17 Sicherheitsbetrachtungen Hardware 103 Netzwerk bertragung 104 Physische Netzwerke 103 Wireless 105 Snort 92 sshd 38 stat Datei Pr fung mit 96 strings Datei Pr fung mit 96 su und root 34 sudo und root 36 T TCP Wrapper Angriffswarnungen 44 Banner 44 Logging 45 und FTP 54 und portmap 46 Tripwire 88 U Unsichere Dienste 39 rsh 39 Telnet 39 vsftpd 39 Updates Siehe Sic2. 5232 sgi dgl SGI Distributed Graphics Library 5354 NOCOL Network Operation Center Logging Daemon noclogd 5355 NOCOL Network Operation Center Host Monitoring el D z va zi je gt z2 S 5 G e en e ca 56801cp OIONcH 6667 Hypertext Tranfer Protocol HTTP Alternate 9100 tcp jetdirect laserjet Hewlett Packard HP JetDirect Netzwerk Druck Service hplj Anhang C H ufige Ports 123 Port Layer_ Name Kommentar _ 9359 mandelspawn Parallel Mandelbrot Spawning Programm f r das X mandelbrot Window System System fido FidoNet Elektronische Mail und News Netzwerk Tabelle C 6 Unregistrierte Ports 22289 tcp cWnn Chinesisch Eingabesystem 22305 tcp kWnn Koreanisch Eingabesystem 124 Anhang C H ufige Ports Stichwortverzeichnis Symbole 802 11x 105 und Sicherheit 105 berblick 1 berblick ber Sicherheit 1 Definition von Computersicherheit 1 Denial of Service DoS 4 Entwicklung von Computersicherheit 1 Fazit 7 Kontrollen Siehe Kontrollen Viren 4 A Abonnement Registrierung v Aktivieren Ihres Abonnements v Angreifer und Schwachstellen 9 Apache HTTP Server cgi Sicherheit 51 Direktiven 51 Einf hrung 51 B Basic Input Output System Siehe BIOS Beweise sammeln Siehe Vorfallsreaktion Datei Pr f Tools 96 dd 96 file 96 find 96 grep 96 md5sum 96 script 95 stat 96 strings 96 BIOS nicht x86 quivalente Pa
3. Wrapper Banner f r einen Dienst zu implementieren verwenden Sie die Option banner In diesem Beispiel wird ein Banner f r vsftpd implementiert Sie m ssen zuerst eine Banner Datei anlegen Diese kann sich irgendwo auf dem System befinden muss aber den gleichen Namen wie der Daemon haben In diesem Beispiel nennen wir die Datei etc banners vsftpd Der Inhalt der Datei sieht wie folgt aus 220 Hello c 220 All activity on ftp example com is logged 220 Act up and you will be banned Der c Token liefert eine Reihe von Client Informationen wie den Benutzernamen oder den Hostna men oder den Benutzernamen und die IP Adresse um die Verbindung einsch chternder zu machen In Red Hat Enterprise Linux Referenzhandbuch finden Sie eine Liste mit anderen verf gbaren Tokens f r TCP Wrapper Damit dieses Banner eingehenden Verbindungen pr sentiert werden kann f gen Sie die folgende Zeile in die Datei etc hosts allow ein vsftpd ALL banners etc banners 5 1 1 2 TCP Wrapper und Warnung vor Angriffen Wenn ein bestimmter Host oder ein Netzwerk bei einem Angriff auf den Server ertappt wurde k n nen TCP Wrapper mit der spawn Direktive vor weiteren Angriffen von diesem Host oder Netzwerk warnen In diesem Beispiel gehen wir davon aus dass ein Cracker vom 206 182 68 0 24 Netzwerk bei ei nem Angriffsversuch auf den Server erwischt wurde Indem Sie die folgende Zeile in die Datei etc hosts deny einf gen wird der Verbindungsver
4. berpr fen dass sie ber IPsec verschl sselt werden Um die IPsec Verbindungsqualit t z B f r LAN A zu pr fen geben sie folgendes ein tcpdump n i eth0 host lana example com Das Paket sollte eine AH Kopfzeile enthalten und sollte als ESP Paket angezeigt werden ESP hei t dass es verschl sselt ist Zum Beispiel ein inverser Schr gstrich kennzeichnet die Fortsetzung einer Zeile 12 24 26 155529 lanb example com gt lana example com AH spi 0x021c9834 seq 0x358 lanb example com gt lana example com ESP spi 0x00c887ad seq 0x358 DF ipip proto 4 66 Kapitel 6 Virtuelle Private Netzwerke Kapitel 7 Firewalls Die Sicherheit von Informationen wird blicherweise als Prozess und nicht als Produkt angesehen Allerdings werden bei der Realisierung von standardm igen Sicherheitsvorg ngen normalerweise gewisse Formen angepasster Mechanismen verwendet So k nnen Privilegien zug nglich gemacht und Netzwerke auf Benutzer beschr nkt werden die autorisiert identifizierbar und r ckverfolgbar sind Red Hat Enterprise Linux enth lt mehrere kompetente Tools die Systemadministratoren und Sicherheitstechnikern bei Fragen der Netzwerklevel Zugangskontrolle unterst tzen k nnen Zusammen mit VPN L sungen wie IPsec siehe Kapitel 6 sind Firewalls einer der Kernbestandteile bei der Realisierung von Netzwersicherheit Einige Vertreiber bieten Firewall L sungen an die f r alle Bereiche des Marktes geeignet sind vom
5. etc pam d pop und etc pam d imap f r Mail Cli ents oder etc pam d ssh f r SSH Clients hinzugef gt werden Weitere Informationen zu PAM finden Sie im Kapitel Pluggable Authentication Modules PAM im Red Hat Enterprise Linux Referenzhandbuch 4 4 3 Root Zugang beschr nken Anstelle dass der Zugang zum root Benutzer vollst ndig verweigert wird kann der Administrator Zugang nur ber setuid Programme wie z B su oder sudo gew hren 4 4 3 1 Der Befehl su Wenn Sie den Befehl su eingeben wird der Benutzer nach dem root Passwort gefragt und erh lt nach der Authentifizierung ein root Shell Prompt Wenn ber den Befehl su angemeldet ist der Benutzer der root Benutzer und hat absoluten admini strativen Zugang zum System Zus tzlich dazu ist es dem Benutzer mit root Berechtigungen m glich Kapitel 4 Workstation Sicherheit 35 in einigen F llen den Befehl su zu verwenden um sich als ein anderer Benutzer im System anzumel den ohne nach einem Passwort gefragt zu werden Da dieses Programm sehr m chtig ist sollten Administratoren innerhalb eines Unternehmens den Zugang zu diesem Befehl beschr nken Einer der einfachsten Wege ist es Benutzer zur administrativen Gruppe mit dem Namen wheel hinzu zuf gen Hierzu geben Sie den folgenden Befehl als root ein usermod G wheel lt username gt Ersetzen Sie in diesem Befehl lt username gt mit dem Benutzernamen der zur whee1 Gruppe hin zugef gt werden soll Um f r di
6. tifizierung anwendet 5 7 3 Nur Mail Benutzer Um ein Ausbeuten des Sendmail Servers durch lokale Benutzer zu vermeiden ist es am besten wenn Mail Benutzer auf den Sendmail Server nur ber ein E Mail Programm zugreifen Shell Accounts auf dem Mail Server sollten nicht erlaubt sein und alle Benutzer Shells in der Datei etc passwd sollten auf sbin nologin gesetzt sein evtl unter Ausnahme des Root Benutzers 5 8 Best tigen welche Ports auf Verbindungen abh ren Nachdem Sie die Netzwerk Dienste konfiguriert haben ist es wichtig zu berpr fen welche Ports die Netzwerkschnittstellen im System tats chlich abh ren Alle offenen Ports k nnen Beweis f r ein unbefugtes Eindringen sein Es gibt zwei grundlegende Herangehensweisen f r das Auflisten der Ports die das Netzwerk abh ren Die weniger zuverl ssige Methode ist den Netzwerkstack durch Befehle wie netstat an oder lsof i abzufragen Diese Methode ist daher unzuverl ssiger da die Programme sich nicht vom Netzwerk aus mit dem Computer verbinden sondern eher pr fen was auf dem System ausgef hrt wird Aus diesen Grund sind diese Applikationen h ufig Ziel f r Ersetzungen durch Angreifer Durch diese Methode versuchen Cracker ihre Spuren zu verwischen wenn diese unbefugt Netzwerkports ge ffnet haben Ein etwas zuverl ssigerer Weg f r das Pr fen welche Ports das Netzwerk abh ren ist mit einem Port Scanner wie z B nmap Der folgende Befehl von einer Konsole a
7. 104 und Sicherheit 103 Wireless 105 Netzwerktopologien 103 Linearer Bus 103 Ring 103 Stern 103 NFS 49 Netzwerkdesign 50 Syntax Fehler 50 und Sendmail 55 Nikto 83 NIS Einf hrung 47 IPTables 49 Kerberos 49 Netzwerke planen 48 NIS Domain Name 48 securenets 48 Statische Ports 49 nmap 55 82 Befehlszeilenversion 82 0 OpenSSH 40 scp 40 sftp 40 ssh 40 127 P Password Aging 30 Passwortsicherheit 26 aging 30 Durchsetzung 29 in einem Unternehmen 28 Methodologie 28 Revisionstools 29 Crack 29 John the Ripper 29 Slurpie 29 sichere Passw rter 26 und PAM 29 Passw rter in einem Unternehmen 28 Pluggable Authentication Modules PAM Durchsetzung sicherer Passw rter 29 portmap 38 und IPTables 47 und TCP Wrapper 46 Ports h ufig 113 berwachen 55 Post Mortem 95 R rechtliche Angelegenheiten 94 Registrieren Ihres Abonnements v Risiken Netzwerke 10 Architekturen 10 Offene Ports 10 Patches und Errata 11 Server 10 Unaufmerksame Administration 11 unsichere Dienste 12 Workstations und PCs 12 12 Applikationen 12 root 31 Methoden 32 mit PAM 34 SSH Anmeldungen deaktivieren 34 ndern der root Shell 33 Zugang beschr nken 34 mit User Manager 35 und su 34 und sudo 36 Zugang erlauben 31 Zugang sperren 31 root Benutzer Siehe root RPM GPG Schl ssel importieren 18 signierte Pakete verifizieren 18 19 128 und Intrusion Detection 88
8. 192 168 0 0 24 dport 835 j DROP o Jam Unter Kapitel 7 finden Sie weitere Informationen zum Errichten von Firewalls mit dem IPTables Befehl 5 3 5 Verwenden Sie Kerberos Authentifizierung Einer der gr ten M ngel beim Verwenden von NIS f r Authentifizierung ist dass wenn sich ein Be nutzer an einem Computer anmeldet ein Passwort Hash der etc shadow Map ber das Netzwerk verschickt wird Wenn ein Angreifer Zugang zu einer NIS Domain erh lt und Verkehr ber das Netz werk durchschn ffelt k nnen Benutzernamen und Passwort Hashes unbemerkt gesammelt werden Mit gen gend Zeit kann dann ein Passwort Knack Programm schwache Passw rter ermitteln und ein Angreifer kann dann auf einen g ltigen Account im Netzwerk zugreifen Da Kerberos Verschl sselungen mit geheimen Schl sseln einsetzt werden niemals Passwort Hashes ber das Netzwerk versandt was das System erheblich sicherer macht Weitere Informationen ber Kerberos finden Sie im Kapitel Kerberos im Red Hat Enterprise Linux Referenzhandbuch 5 4 Sicherung von NFS Das Network File System oder NFS ist ein RPC Dienst der Client Maschinen Dateisysteme die vom Netzwerk aus zug ngig sind bereitstellt Weitere Informationen zur Funktion von NFS finden Sie im Kapitel Netzwerkdateisystem NFS im Red Hat Enterprise Linux Referenzhandbuch Weitere Infor mationen zur Konfiguration von NFS finden Sie im Red Hat Enterprise Linux Handbuch zur System Administration In den folgen
9. Arbeitsplatz und Heimgebrauch ben tigt werden Durch Wissen Wachsamkeit und Tools kann Red Hat Enterprise Linux zu einem voll funktionsf higen und zugleich sicheren Betriebsystem werden das vor allgemeinen Angriffen und Methoden des Datenraubs gesch tzt ist In diesem Handbuch werden verschiedene sicherheits bezogene Themen im Detail beschrieben Unter anderem e Firewalls e Verschl sselung e Sicherheitskritische Services e Virtuelle Private Netzwerke e Intrusion Detection Das Handbuch ist in folgende Teile unterteilt Allgemeine Einf hrung in die Sicherheit e Konfigurieren von Red Hat Enterprise Linux f r Sicherheit e Sicherheitsanalyse e Einbr che und Vorfallsreaktion Anhang Wir m chten auf diesem Wege Thomas Rude f r seine gro z gigen Beitr ge zu diesem Handbuch danken Aus seiner Feder stammen die Kapitel Anf lligkeits Analyse und Vorfalls Reaktion Danke Thomas In diesem Handbuch wird davon ausgegangen dass Sie bereits ber ein tiefgreifendes Wissen ber Red Hat Enterprise Linux verf gen Sind Sie noch neu oder verf gen ber geringes bis mittelm iges Wissen ber Red Hat Enterprise Linux und ben tigen weitere Informationen ber den Umgang mit diesem System dann lesen Sie bitte folgende Handb cher die die grundlegenden Aspekte von Red Hat Enterprise Linux n her beschreiben als das Red Hat Enterprise Linux Sicherheitshandbuch e Red Hat Enterprise Linux Installationshandbuch f r Information
10. PAM im Red Hat Enterprise Linux Referenzhand buch Es sollte jedoch beachtet werden dass das Pr fen von Passw rtern zum Erstellungszeitpunkt nicht die effektivste Methode zum Herausfinden unsicherer Passw rter ist Die Ausf hrung von Passwort Cracking Programmen ber alle Passw rter innerhalb der Organisation ist wesentlich effektiver Es gibt eine Vielzahl an Passwort Knack Programmen die unter Red Hat Enterprise Linux laufen jedoch nicht mit dem Betriebssystem ausgeliefert werden Nachfolgend finden Sie eine kurze Liste der beliebtesten Passwort Knack Programme f Hinweis Keines dieser Tools wird mit Red Hat Enterprise Linux ausgeliefert und auch in keiner Weise von Red Hat Inc unterst tzt John The Ripper Ein schnelles und flexibles Passwort Cracking Programm Es erm glicht die Verwendung mehrerer Wortlisten und Brute Force Passwort Cracking Es ist unter http www openwall com john erh ltlich e Crack die vielleicht bekannteste Passwort Knack Software Crack ist auch sehr schnell jedoch nicht so einfach zu verwenden wie John The Ripper Es ist unter http www crypticide org users alecm erh ltlich Slurpie Slurpie funktioniert hnlich wie John The Ripper und Crack ist jedoch zum gle ichzeitigen Laufen auf mehreren Computern entwickelt und erstellt so eine Distributed Passwort Cracking Attacke Es ist erh ltlich unter http www ussrback com distributed htm A Achtung Bitte holen Sie si
11. Sie sind auf der sicheren Seite indem Sie Hacker Begriffe auch 1337 LEET genannt f r Ihre Passw rter verwenden sollten Sie sich das nocheinmal berlegen Viele Wortlisten enthalten LEET Begriffe Hier einige Beispiele f r schlechte Passw rter H4XOR 1337 Verwenden Sie keine pers nlichen Informationen Halten Sie sich von pers nlichen Infor mationen fern Wenn der Angreifer Sie kennt kann dieser Ihr Passwort leichter herausfinden wenn das Passwort z B folgende Informationen enth lt Hier einige Beispiele f r schlechte Passw rter Ihren Namen Den Namen von Haustieren Die Namen von Familienmitgliedern Geburtstage Ihre Telefonnummer oder Postleitzahl Drehen Sie keine erkennbaren W rter um Gute Passwortprogramme drehen gemeinsprach liche W rter um das Invertieren von schlechten Passw rtern machen diese also nicht sicherer Hier einige Beispiele f r schlechte Passw rter ROX4H e nauj 9 DS Schreiben Sie sich Ihr Passwort nicht auf Bewahren Sie Ihr Passwort niemals auf Papier auf Es ist wesentlich sicherer sich das Passwort zu merken e Verwenden Sie nie das gleiche Passwort f r alle Ihre Rechner Es ist wichtig dass Sie separate Passw rter f r jede Maschine erstellen So sind nicht alle Maschinen auf einen Schlag betroffen falls ein System einer Attacke zum Opfer f llt 28 Kapitel 4 Workstation Sicherheit Was Sie tun sollten Das Passwor
12. ber ein unsicheres Netzwerk bertragen werden wird das Abfangen von Daten riskiert Hier kann ein sorgf ltiges Design des Netzwerks schwerwiegende Sicherheitsbr che verhindern 5 3 2 Verwenden Sie Passwort hnliche NIS Domainnamen und Hostnamen Jede Maschine innerhalb einer NIS Domain kann ber bestimmte Befehle ohne Authentifizierung Informationen von einem Server extrahieren solange der Benutzer den DNS Hostnamen und den NIS Domain Namen des NIS Servers kennt Wenn sich zum Beispiel jemand mit einem Laptop in das Netzwerk einklinkt oder von au en ins Netzwerk eindringt und es schafft eine interne IP Adresse vorzut uschen enth llt der folgende Befehl die etc passwd Map ypcat d lt NIS_domain gt h lt DNS_hostname gt passwd Ist der Angreifer ein Root Benutzer kann dieser die Datei etc shadow durch folgenden Befehl einsehen ypcat d lt NIS_domain gt h lt DNS_hostname gt shadow f Hinweis Wenn Kerberos verwendet wird wird die Datei etc shadow nicht innerhalb einer NIS Map gespe ichert Um den Zugang zu NIS Maps f r einen Angreifer zu erschweren erstellen Sie einen zuf lligen String f r den DNS Hostnamen wie zum Beispiel o7hfawtgmhwg domain com Erstellen Sie in gleicher Weise einen anderen zufallsgenerierten NIS Domain Namen Hierdurch wird es einem Angreifer erheblich erschwert Zugang zum NIS Server zu erhalten 5 3 3 Bearbeiten Sie die Datei var yp securenets NIS h rt alle Netzwerke ab
13. der Empf nger dieses verarbeitet In einem Broadcast Netzwerk werden alle Pakete auf diese Weise gesendet In einem Switch Netzwerk werden Pakete nicht weitergeleitet sondern in einer Switched Hub ver arbeitet die dann wiederum eine direkte Verbindung zwischen den Sender und Empf ngerknoten ber Unicast bertragungsprinzipien herstellt Dies eliminiert die Notwendigkeit Pakete ber jeden Knoten zu senden und verringert so das Verkehrsaufkommen Das Switched Netzwerk verhindert au erdem ein Abfangen von Paketen durch b sartige Knoten oder Benutzer In einem Broadcast Netzwerk in dem jeder Knoten ein Paket auf dem Weg zum Zielemp f nger erh lt k nnen b sartige Benutzer deren Ethernet Ger t in den Promiscuous Modus versetzen und alle Pakete annehmen egal ob die Daten f r diesen bestimmt sind oder nicht Im Promiscuous Modus kann eine Sniffer Applikation zum Filtern Analysieren und Rekonstruieren von Paketen f r Passw rter pers nliche Daten und mehr verwendet werden Fortgeschrittene Sniffer Applikationen k nnen solche Informationen in Textdateien speichern und diese eventuell an willk rliche Quellen z B die E Mail Adresse des Angreifers senden Ein Switched Netzwerk ben tigt einen Netzwerk Switch eine besondere Hadrwarekomponente die den Platz einer traditionellen Hub in der alle Knoten auf einem LAN verbunden sind einnimmt Switches speichern MAC Adressen aller Knoten innerhalb einer internen Datenbank die dann f
14. die kleiner oder gr er als die urspr nglich auf dem System installierte Datei ist e 5 Es wurde eine Datei gefunden deren md5 Pr fsumme nicht mit der urspr nglichen Pr f summe dieser Datei bereinstimmt e M Es wurde ein Fehler in der Dateiberechtigung oder mit dem Typ der Datei gefunden D Es wurde ein bereinstimmungsfehler in der Major Minor Nummer der Ger tedateien gefunden e L Es wurde ein symbolischer Link gefunden der zu einem anderen Dateipfad weist e U Es wurde eine Datei gefunden deren Besitzer ge ndert wurde e G Es wurde eine Datei gefunden deren Gruppenrechte ge ndert wurden e T Es wurden mt ime Verifizierungsfehler in der Datei gefunden Va Die Option va verifiziert alle installierten Pakete und findet jegliche Fehler in deren Veri fizierungstests fast genauso wie die Option v jedoch genauer in der Ausgabe da jedes in stallierte Paket verifiziert wird Vf bin ls Die Option v verifiziert individuelle Dateien in einem installierten Paket Dies kann sehr hil freich sein wenn Sie eine schnelle Verifikation einer verd chtigen Datei durchf hren wollen K application 1 0 1386 rpm Die Option K ist hilfreich f r das Pr fen der md5 Pr fsumme und der GPG Signatur einer RPM Paket Datei Dies ist sinnvoll wenn Sie feststellen wollen ob ein Paket dass Sie installieren von Red Hat oder einer anderen Organisation deren GPG Schl ssel Sie in Ihrem Schl sselring 9
15. erhalb des LAN funktionieren Manche Proxy Server k nnen Daten auf welche h ufig zugegriffen wird in einer Cache Datei speichern damit Clients Zugang zu oftmals gebrauchten Daten von der lokalen Cache Datei haben anstelle die Internetverbindung ben tzen zu m ssen Dies ist hilfreich beim Einsparen von unn tigem Bandbreitenkonsum Proxy Dienste k nnen genau dokumentiert und beobachtet werden was bessere Kontrolle bez glich der Nutzung von Netzwerkressourcen erm glicht auch die M glichkeit Kann Pakete nicht nach Inhalt filtern wie Proxy Firewalls Verarbeitet Pakete auf dem Protokoll Layer aber kann sie nicht auf dem Layer der Anwendungen filtern Eine komplizierte Netzwerkarchitektur kann das Erstellen von Regeln zur Paketfilterung schwierig machen im Speziellen wenn sie mit IP masquerading oder mit lokalen Subnetzen und DMZ Netzwerken gekoppelt sind Proxies sind oft anwendungsspezifisch HTTP telnet etc oder protokollbeschr nkt die meisten Proxies arbeiten nur mit TCP verbundenen Servicen Die Dienste von Anwendungen k nnen nicht hinter einem Proxy laufen daher m ssen Ihre Anwendungsserver eine andere Form von Netzwerksicherheit verwenden Proxies k nnen zu einer Engstelle in einem Netzwerk werden da alle Anfragen und betragungen durch eine Quelle gehen im Gegensatz zu direkten Verbindungen vom Client zum Remote Service IP Kopfzeileninformation f r
16. haben Sie den gewissen Vor teil das Sie bereits intern sind und Sie einen Status des vertrauens haben Dies ist der Blickwinkel den Sie und Ihre Kollegen haben wenn Sie sich einmal im System angemeldet haben Sie sehen Druckserver Dateiserver Datenbanken und andere Ressourcen Es gibt klare Unterschiede zwischen diesen beiden Arten der Schwachstellenanalyse Als interner Mitarbeiter Ihres Unternehmens besitzen Sie erh hte Privilegien weit mehr als jeder Au enstehen de In den meisten Unternehmen sind Sicherheitsvorkehrungen derartig getroffen um Eindringlinge fernzuhalten Es wird nur sehr wenig f r die interne Sicherung des Unternehmens getan z B Fire walls f r Abteilungen Zugangskontrollen auf Benutzerebene Authentifizierungsvorg nge f r interne Ressourcen und so weiter blicherweise gibt es wesentlich mehr Ressourcen wenn man sich intern umschaut da die meisten Systeme in einem Unternehmen intern sind Sobald Sie sich einaml au er halb eines Unternehmens befinden erhalten Sie sofort den Status vertrauensunw rdig zu sein Die extern zug nglichen Systeme und Ressourcen sind f r gew hnlich wesentlich st rker eingeschr nkt Betrachten Sie die Unterschiede zwischen Schwachstellenanalyse und Eindringungstests Sehen Sie die Schwachstellenanalyse als ersten Schritt zu einem Eindringungstest an Die Informationen aus der Schwachstellenanalyse werden im Test angewendet Mit der Analyse wird nach L chern und m glichen Schw
17. nach seinem Passwort gefragt Nach der Authentifizierung und vorausgesetzt dass der Befehl erlaubt ist wird der administrative Befehl wie von einem root Benutzer ausgef hrt Das Format des sudo Befehls ist wie folgt sudo lt command gt Im obigen Beispiel w rde lt command gt durch einen Befehl der normalerweise f r den root Benutzer reserviert ist wie z B mount ersetzt chic Alle die den Befehl sudo ausf hren sollten sicherstellen dass sie abgemeldet sind bevor sie sich vom Computer entfernen da der Befehl innerhalb von 5 Minuten nochmal ausgef hrt werden kann ohne dass Sudoers nach einem Passwort gefragt werden Diese Einstellung kann in der Konfigura tionsdatei etc sudoers ge ndert werden Der sudo Befehl erm glicht einen h heren Grad an Flexibilit t So k nnen z B nur Benutzer die in der Konfigurationsdatei etc sudoers aufgef hrt sind den Befehl sudo ausf hren dieser Befehl wird dann in der Shell des Benutzers ausgef hrt und nicht in der root Shell Dies bedeutet das die root Shell vollst ndig deaktiviert werden kann wie in Abschnitt 4 4 2 1 gezeigt Der sudo Befehl liefert auch einen umfangreichen Audit Trail Jede erfolgreiche Authentifizierung wird in die Datei var log messages und der ausgef hrte Befehl sowie der Benutzername in die Datei var log secure geschrieben Ein weiterer Vorteil des sudo Befehls ist dass ein Administrator verschiedenen Benutzern Zugang zu bestimmten Befehlen basieren
18. rtern f r den Benutzer stellt sicher dass die Passw rter sicher sind kann aber schnell zu einer ausufernden Arbeit werden wenn das Unternehmen w chst Au erdem erh ht dies das Risiko dass die Benutzer ihre Passw rter aufschreiben Aus diesen Gr nden ziehen es Systemadministratoren vor das die Benutzer ihre eigenen Passw rter erstellen diese jedoch auf Sicherheit pr fen und in einigen F llen Benutzer durch Passwort Aging dazu zu zwingen ihre Passw rter in periodischen Abst nden zu ndern 4 3 2 1 Forcieren sicherer Passw rter Um das Netzwerk vor Eindringlingen zu sch tzen ist es sinnvoll f r Systemadministratoren si cherzustellen dass die in einem Unternehmen verwendeten Passw rter sicher sind Wenn Benut zer aufgefordert werden ihre eigenen Passw rter zu erstellen oder zu ndern k nnen sie dies ber die Befehlszeilenapplikation passwd tun da dies Kenntnis ber den Pluggable Authentication Ma nager PAM hat und Sie daher ber das PAM Modul pam_cracklib so pr fen k nnen ob ein Passwort leicht zu knacken oder zu kurz ist Da PAM anpassbar ist ist es m glich weitere Passwort Integrit tspr fer wie z B pam_passwdac erh ltlich ber http www openwall com passwdgqc oder Ihr selbstgeschriebenes Modul zu integrieren Eine Liste erh ltlicher PAM Module finden Sie unter http www kernel org pub linux libs pam modules html Weitere Informationen zu PAM finden Sie im Kapitel Pluggable Authentication Modules
19. sollte das root Passwort geheim gehalten und Zugang zu Runlevel 1 oder Einzelbe nutzermodus durch Passwortschutz f r den Bootloader verhindert werden weitere Informationen zu diesem Thema finden Sie unter Abschnitt 4 2 2 32 Kapitel 4 Workstation Sicherheit Tabelle 4 1 zeigt Methoden mit denen ein Administrator Anmeldungen als root verhindern kann Methode Beschreibung BR I Betrifft nicht ndern der root Shell Sperren des root Zugangs ber ein Kon solenger t tty als root Bearbeiten Sie die Datei etc passwd und ndern Sie die Shell von bin bash zu sbin nologin Eine leere etc securetty Datei verhindert die Anmeldung als root f r jegliche Ger te die am Computer angeschlossen sind erBearbeiten Sie die Datei ete ssh sshd_config und setzen Sie den PermitRootLogin Parameter auf no Verhindert Zugang zur root Shell und zeichnet den Versuch auf Die folgenden Programme k nnen nicht mehr auf den root Account zugreifen login gdm kdm lt xdm Bu ssh SCP SREP Verhindert den Zugang zum root Account ber die Konsole oder das Netzwerk Die folgenden Programme sind f r den Zugang zum root Account gesperrt login gdm kdm xdm Andere Netzwerkdienste die eine tty ffnen Verhindert root Zugang ber die OpenSSH Toolsuite Die folgenden Programme sind f r den Zugang zum root Account gesperrt ssh scp sftp Programme die k
20. 8 3 5 Ihre zuk nftigen Bed rfnisse vorausplanen Abh ngig von Ihrem Ziel und den Ressourcen gibt es viele Tools auf dem Markt Es gibt Tools f r Wireless Netzwerke Novell Netzwerke Windows Systeme Linux Systeme und vieles mehr Einen weiteren wichtigen Teil der Analysen kann auch die physikalische Sicherheit Mitarbeiter berwa chung oder Voice PBX Netzwerkanalysen sein Sie k nnen neue Konzepte wie das War Walking das Scannen der Perimeter der physischen Struktur des Unternehmens auf Schwachstellen im Wire less Netzwerk erforschen und in Ihre Analysen bernehmen Fantasie und Erfahrung im Umgang mit der Auffindung und L sung von Sicherheitsproblemen sind die einzigen Grenzen bei der Planung und Durchf hrung von Schwachstellenanalysen IV Eindringung und Gegenma nahmen Es ist unvermeidbar dass ein Netzwerk einem Einbruch zur Last f llt oder Netzwerk Ressourcen missbraucht werden Dieser Abschnitt spricht pro aktive Ma nahmen an die ein Administrator treffen kann um Sicherheitseinbr che zu verhindern Das Einrichten eines IDS Intrusion Detection System oder die Formierung eines ER Teams Emergency Response das schnell und effektiv auf Sicher heitsprobleme antworten kann sind einige solcher Ma nahmen Dieser Abschnitt beschreibt auch die Schritte die ein Administrator vornehmen kann um Beweise eines Sicherheitseinbruchs zu sammeln und auszuwerten Inhaltsverzeichnis 9 Intrusion Detecti ni cesassscssssiossse
21. Deamons und Konfigurationsdateien die bei der Einrichtung der IPsec Verbindung helfen e lib libipsec so Bibliothek die die PF_KEY Trusted Key Management Socket Schnittstelle zwischen dem Linux Kernel und der IPsec Implementierung enth lt die in Red Hat Enterprise Linux verwendet wird e sbin setkey ver ndert das Schl sselmanagement und die Sicherheitsattribute von IPsec im Kernel Dieser Befehl wird vom racoon Schl sselmanagement Daemon kontrolliert F r weitere Informationen ber setkey siehe setkey 8 man Seite e sbin racoon der IKE Schl sselmanagement Daemon der dazu verwendet wird die Sicherheitszusammenh nge und das gemeinsame Verwenden von Schl sseln zwischen IPsec verbundenen Systemen zu leiten und zu kontrollieren Dieser Daemon kann konfiguriert werden indem die etc racoon racoon conf Datei bearbeitet wird F r weitere Informationen ber racoon siehe racoon 8 man Seite e etc racoon racoon conf die racoon Daemon Konfigurationsdatei die verwendet wird um verschiedene Bereiche der IPsec Verbindung zu konfigurieren Enthalten sind auch Methoden der Authentifizierung und Algorythmen zur Verschl sselung die bei der Verbindung verwendet werden Eine komplette Liste der vorhandenen Direktiven finden Sie unter racoon con 5 man Seite Die Konfiguration von IPsec auf Red Hat Enterprise Linux kann ber das Network Administration Tool gemacht werden oder durch manuelle Bearbeitung der Konfiguration
22. Desweiteren sollten Sie nur IP Adressen verwenden wenn Sie den Zugriff auf den Dienst einschr n ken wollen Vermeiden Sie Hostnamen da sie durch DNS Poisoning und andere Methoden gef lscht werden k nnen Kapitel 5 Server Sicherheit 47 5 2 2 Sch tzen von portmap mit IPTables Um den Zugriff auf den portmap Dienst weiter einzuschr nken ist es sinnvoll IPTables Regeln zum Server hinzuzuf gen die den Zugriff auf bestimmte Netzwerke einschr nken Unten finden Sie zwei Beispiele f r IPTables Befehle die TCP Verbindungen zum portmap Dienst auf Port 111 vom 192 168 0 24 Netzwerk und vom Localhost der f r den sgi_fam Dienst f r Nautilus ben tigt wird erm glichen Alle anderen Pakete werden abgelehnt iptables A INPUT p tcp s 192 168 0 0 24 dport 111 j DROP iptables A INPUT p tcp s 127 0 0 1 dport 111 j ACCEPT Um auf gleiche Weise UDP Traffic einzuschr nken verwenden Sie den folgenden Befehl iptables A INPUT p udp s 192 168 0 0 24 dport 111 j DROP Sr Unter Kapitel 7 finden Sie weitere Informationen zum Errichten von Firewalls mit dem IPTables Befehl 5 3 Sichern von NIS NIS steht f r Network Information Service Es ist ein RPC Dienst mit dem Namen ypserv der zu sammen mit portmap und anderen zugeh rigen Diensten verwendet wird um Informationen zu Be nutzernamen Passw rtern und anderen empfindlichen Daten an jeden beliebigen Computer innerhalb dessen Domain weiterzugeben Ein NIS Serv
23. Die Reaktion auf einen Vorfall sollte wenn immer m glich von Informationssammlung begleitet werden Das Ausf hren von Prozessen Netzwerkverbindungen Dateien Verzeichnissen und vielem mehr sollte aktiv in Echtzeit berpr ft werden Ein Schnappschuss der Produktionsressourcen zum Vergleich ist hilfreich beim Verfolgen von schlechten Services oder Prozessen CERT Mitglieder und In House Experten stellen gro artige Ressourcen bei der Verfolgung dieser Anomalien in einem Sy stem dar Systemadministratoren wissen welche Prozesse erscheinen sollten und welche nicht wenn die Befehle top oder ps ausgef hrt werden Netzwerkadministratoren wissen wie normaler Netz werkverkehr aussieht wenn snort oder tcpdump ausgef hrt wird Diese Team Mitglieder kennen ihre Systeme und sollten in der Lage sein Anomalien schneller zu entdecken als jemand der sich mit der Infrastruktur nicht auskennt 10 4 Untersuchen des Vorfalls Das Untersuchen einer Computerverletzung ist wie das Untersuchen eines Tatortes Kriminalbeamte sammeln Beweise bemerken verd chtige Hinweise und notieren Verluste und Sch den Eine Analyse einer Computerverletzung kann entweder noch w hrend der Attacke geschehen oder post mortem nach dem Versto Obwohl man System Logdateien auf einem angegriffenen System nicht trauen kann gibt es krimi naltechnische Utensilien die Ihnen bei der Analyse helfen Der Zweck und die Features dieser Tools variieren aber allgemein erstellen die
24. Hilfe vonnetstat zu pr fen geben Sie folgenden Befehl ein netstat anp grep 834 Dieser Befehl erh lt folgende Ausgabe tcp 0 0 0 0 0 0 834 0 0 0 0 LISTEN 653 ypbind Das Vorhandensein eines offenen Ports in netstat ist beruhigend da ein Cracker der einen Port heimlich auf einem geknackten System ffnet das Anzeigen des Ports durch diesen Befehl h chst wahrscheinlich nicht zulassen w rde Desweiteren zeigt die Option p die Prozess ID PID des Dienstes an der diesen Port ge ffnet hat In diesem Fall geh rt der offene Port zu ypbind NIS ein RPC Dienst der zusammen mit dem portmap Dienst abl uft Der 1sof Befehl zeigt hnliche Informationen an da auch hiermit offene Ports mit Diensten ver kn pft werden lsof i grep 834 Unten finden Sie den betreffenden Teil der Ausgabe f r diesen Befehl ypbind 653 o Tu IPv4 1319 TCP 834 LISTEN ypbind 655 o Tu IPv4 1319 TCP 834 LISTEN ypbind 656 o Tu IPv4 1319 TCP 834 LISTEN ypbind 657 o Tu IPv4 1319 TCP 834 LISTEN Wie Sie sehen k nnen diese Tools eine Menge Informationen ber den Status von Diensten auf ei nem Computer geben Diese Tools sind flexibel und liefern eine Vielzahl von Informationen zu den Netzwerkdiensten und zur Konfiguration Es wird deswegen dringend empfohlen die man Seiten zu lsof netstat nmap und services zu lesen Kapitel 6 Virtuelle Private Netzwerke Unternehmen mit mehreren Zweigstellen sind h ufig ber spezielle Leitungen m
25. Kapitel 7 Firewalls 69 fortgeschrittenes Routing und zur berpr fung des Verbindungszustandes zu berarbeiten mangle Netfilter wird durch das iptables Utility kontrolliert 7 1 1 iptables berblick Die Kompetenz und Flexibilit t von Netfilter wird durch die iptables Schnittstelle erreicht Die ses Tool f r die Befehlszeile ist syntaxgleich zu seinem Vorl ufer ipchains iptables verwendet jedoch das Netfilter Subsystem um die Netzwerkverbindung die Inspektion und die Verarbeitung zu verbessern w hrend ipchains komplizierte Regeln zur Filterung von Quell und Zielpfaden so wie zugeh rige Verbindungsports verwendete iptables bietet in einer Befehlszeilen Schnittstelle fortschrittliche Dokumentation Vor und Nachrouting Aktionen bersetzung von Netzwerkadressen und Port Weiterleitung Dieser Abschnitt enth lt eine bersicht ber iptables F r genauere Informationen ber iptables siehe das Red Hat Enterprise Linux Referenzhandbuch 7 2 Verwendung von iptables Der erste Schritt bei der Verwendung von iptables ist den iptables Dienst zu starten F hren Sie folgenden Befehl aus service iptables start A wamung Die ip6tables Dienste sollten abgeschaltet sein wenn IPTables mit dem folgenden Befehl verwen det wird service ip6tables stop chkconfig ip6tables off Damit iptables immer standardm ig startet wenn das System hochgefahren wird m ssen Sie mit chkconfig den Runlevel Status ndern chkconfig
26. Konsumenten haben auch den Standard f r kleine B ros Heimb ros SOHO bernommen Die Beliebtheit hat sich auch von LANs zu MANS Metropolitan Area Networks ausgedehnt insbesondere in dichtbev lkerten Gegenden wo eine Konzentration von Wireless Access Points WAPSs zur Verf gung steht Es gibt desweiteren Wireless Internet Service Provider WISPs die sich auf Reisende mit Bedarf an Broadband Internet Zugang spezialisieren Die 802 11x Spezifikation erm glicht direkte Peer to Peer Verbindungen zwischen Knoten durch wireless NICs Diese lose Gruppe von Knoten auch ad hoc Netzwerk genannt ist ideal f r schnelles Teilen von Verbindungen zwischen zwei oder mehr Knoten besitzt jedoch Anpassbarkeitsprobleme die nicht f r bestimmte Wireless Konnektivit t geeignet sind Eine besser geeignete L sung f r Wireless Zugang in festen Strukturen ist die Installation einer oder mehrerer WAPs drahtlose Anwenderprotokolle die mit dem traditionellen Netzwerk verbunden sind und Wireless Knoten erm glichen sich mit dem WAP zu verbinden als wenn dies ein Ethernet Netzwerk w re Das WAP handelt hier effektiv als eine Br cke zwischen den Knoten die mit ihm und dem Rest des Netzwerks verbunden sind A 1 3 1 802 11x Sicherheit Auch wenn Wireless Netzwerk von Geschwindigkeit und Bequemlichkeit her geeigneter sind als tra ditionelle Netzwerke gibt es einige Einschr nkungen f r die Spezifikationen die eine genaue Be trachtung erfordern Di
27. L sungen f r die Anforderungen des Unternehmens zu erstellen Dadurch dass die meisten Unter nehmen dynamisch arbeiten mit Mitarbeitern die auf IT Ressourcen der Firma intern und extern zugreifen wird der Bedarf an sicheren Computing Umgebungen immer deutlicher Leider betrachten viele Unternehmen sowie auch Einzelbenutzer die Sicherheit immer erst ganz zum Schluss ein Prozess der zu Gunsten erh hter Leistung Produktivit t und Kostenfaktoren gerne bersehen wird Angemessene Sicherheitsimplementierung wird oftmals postmortem durchgef hrt erst nachdem ein unberechtigter Zugriff erfolgte Sicherheitsexperten sind sich einig dass das Ergreifen richtiger Ma nahmen vor dem Verbinden mit einem unzuverl ssigen Netzwerk wie dem Internet ein sicheres Mittel zum Verhindern von unerlaubten Zugriffen ist 1 1 Was ist Computersicherheit Computersicherheit ist ein h chst allgemeiner Begriff der einen weitreichenden Bereich an Compu ting und Informationsverarbeitung umfasst Industriezweige die von Computersystemen und Netz werken hinsichtlich deren t glicher Gesch ftstransaktionen und Zugriffe auf wichtige Daten abh n gen betrachten deren Daten als einen wichtigen Teil des Gesamtkapitals Mehrere Begriffe und Me triken sind in unseren tagt gliches Gesch fts Vokabular eingeflossen wie zum Beispiel Total Cost of Ownership TOC und Quality of Service QoS Anhand dieser Metriken kalkulieren Unternehmen Aspekte wie Datenin
28. Netzwerk bedient gibt es mehrere M glichkeiten f r eine Netzwerk Implementierung Jede Topologie hat ein zigartige Vorteile und wirft Sicherheitsfragen auf die Netzwerkarchitekten bei der Entwicklung des Netzwerklayouts ber cksichtigen sollten A 1 1 Physische Topologien Wie durch das Institute of Electrical and Electronics Engineers IEEE festgelegt gibt es drei allge meine Topologien f r die physikalische Verbindung eines LAN A 1 1 1 Ring Topologie Die Ring Topologie verbindet jeden Knoten durch genau zwei Verbindungen Dies erstellt eine Ringstruktur in der jeder Knoten durch einen anderen zug ngig ist Dies geschieht entweder direkt durch die Nachbarknoten oder indirekt durch den Ring Token Ring FDDI und SONET Netzwerke sind auf diese Weise verbunden FDDI verwendet dar berhinaus eine Doppel Ring Technik es gibt jedoch keine allgemeinen Ethernet Verbindungen die diese physikalische Topologie einsetzen Aus 104 Anhang A Hardware und Netzwerkschutz diesem Grund werden Ringe allgemein eher selten verwendet au er als Verm chtnis oder auf Institutionellen Systemen mit einer gro en Anzahl von Knoten z B eine Universit t A 1 1 2 Lineare Bus Topologie Die Linear Bus Topologie besteht aus Knoten die mit einem linearen Kabel das mit Endwiderst n den abgeschlossen ist Backbone verbunden sind Die Linear Bus Topologie ben tigt die wenigsten Kabel und Netzwerkausr stung und l sst dies somit zur kosteneff
29. Richtlinien zum 72 Kapitel 7 Firewalls Routing und Weiterleiten die eingesetzt werden k nnen um f lschlicher Verwendung von Netzwerk Ressourcen vorzubeugen Die FORWARD Richtlinie erlaubt einem Administrator zu kontrollieren wohin die Pakete innerhalb eines LAN geroutet werden k nnen Wenn z B ein Weiterleiten an den gesamten LAN erlaubt werden soll angenommen die Firewall Gateway hat eine interne IP Adresse auf ethl k nnen die folgenden Regeln eingestellt werden iptables A FORWARD i ethl j ACCEPT iptables A FORWARD o ethl j ACCEPT Diese Regel erm glicht Systemen hinter der Firewall dem Gateway Zugang zum internen Netzwerk Der Gateway leitet Pakete von einem LAN Knoten zu dessem beabsichtigten Ziel Knoten indem alle Pakete durch dessen eth1 Ger t durchlaufen Anmerkung Die IPv4 Richtlinie in Red Hat Enterprise Linux Kernels verhindert standardm ig die Unterst tzung von IP Weiterleitung was verhindert dass Boxen die Red Hat Enterprise Linux ausf hren als zugeordnete Edge Router fungieren F hren Sie den folgenden Befehl aus um IP Weiterleitung einzuschalten sysctl w net ipv4 ip_forward 1 Wenn dieser Befehl ber einen Shell Prompt ausgef hrt wird wird die Einstellung nach einem Neustart nicht behalten Sie k nnen permanentes Weiterleiten einstellen indem Sie die etc sysctl conf Datei bearbeiten Suchen Sie die folgende Zeile und ersetzen Sie o mit 1 net ipv4 ip_forward 0 F hren Sie den
30. Systeme zum Absturz bringen Es kann noch gr erer Schaden angerichtet werden wenn die kompromittierte Workstation administrative Berechtigungen f r den Rest des Netzwerkes hat Angreifer oder Gruppen von Angreifern koordinieren eine Attacke auf ein Netzwerk oder Serverressourcen bei der unbefugte Pakete an den Zielcomputer gesendet werden entweder Server Router oder Workstation Dies zwingt die Ressource f r berechtigte Benutzer unverf gbar zu werden Tabelle B 1 H ufige Sicherheitsl cher Workstations und Desktops sind anf lliger f r eine Ausbeutung als Server die von Adminsitratoren verwaltet werden da die Benutzer keine Erfahrung oder nicht das Wissen zur Verhinderung oder Aufdeckung von Einbr chen haben Es ist von oberster Wichtigkeit Einzelpersonen ber die Risiken bei der Installation unberechtigter Software oder beim ffnen vom E Mail unbekannter Herkunft zu informieren Es k nnen Schutzeinrichtungen installiert werden so dass z B E Mail Software nicht automatisch Anh nge ffnen oder ausf hren kann Zus tzlich dazu kann das automatische Aktualisieren der Workstation Software ber das Red Hat Network oder andere System Management Services die Last einer vielschichtigen Sicherheitsimplemetierung ausgleichen Der am h ufigsten berichtete DoS Vorfall trat im Jahr 2000 auf als mehrere stark besuchte kommerzielle Websites und Websites der Regierung angegriffen wurden wobei durch eine koor
31. addr 127 0 0 1 Mask 255 0 0 0 UP LOOPBACK RUNNING MTU 16436 Metric l RX packets 21621 errors 0 dropped 0 overruns O0 frame 0 TX packets 21621 errors 0 dropped 0 overruns O0 carrier 0 collisions O txqueuelen 0 RX bytes 1070918 1 0 Mb TX bytes 1070918 1 0 Mb Durch das Verwenden eines Tools wie tcpdump mit Red Hat Enterprise Linux ausgeliefert k nnen wir den Verkehr im Netzwerk sehen tcpdump listening on eth0 02 05 53 702142 pinky example com ha cluster gt heavenly example com 860 udp 92 DF 02 05 53 702294 heavenly example com 860 gt pinky example com ha cluster udp 32 DF 02 05 53 702360 pinky example com 55828 gt dnsl example com domain PTR 192 35 168 192 in addr arpa 45 DF 02 05 53 702706 nsl example com domain gt pinky example com 55828 6077 NXDomain 0 1 0 103 DF 02 05 53 886395 shadowman example com netbios ns gt 172 16 59 255 netbios ns NBT UDP PACKET 137 QUERY BROADCAST 02 05 54 103355 802 1d config c000 00 05 74 8c 41 2b 8043 root 0001 00 40 01 23 a5 2b pathcost 3004 age 1 max 20 hello 2 fdelay 15 02 05 54 636436 konsole example com netbios ns gt 172 16 59 255 netbios ns NBT UDP PACKET 137 QUERY REQUEST BROADCAST 02 05 56 323715 pinky example com 1013 gt heavenly example com 860 udp 56 DF 02 05 56 323882 heavenly example com 860 gt pinky example com 1013 udp 28 DF 92 Kapitel 9 Intrusion Detection Beachten Sie dass die Pakete die nicht f r unseren C
32. auf dem Remote Netzwerk geroutet werden kann Abbildung 6 1 zeigt eine Netzwerk zu Netzwerk Verbindung mittels IPsec Tunnel gatewayO gateway1 192 168 1 0 24 192 168 2 0 24 Abbildung 6 1 Eine Netzwerk zu Netzwerk Verbindung mittels IPsec Tunnel Das Diagramm zeigt zwei separate LANs die durch das Internet getrennt sind Diese Netzwerke ver wenden IPsec Routers um eine Verbindung in einem sicheren Tunnel im Internet zu authentifizieren und zu initialisieren Pakete die im Transit gefasst werden m ssten brute force entschl sselt wer den damit der Code geknackt werden kann der die Pakete zwischen diesen LANs besch tzt Der Kapitel 6 Virtuelle Private Netzwerke 63 Prozess der Kommunikation von einem Netzknoten in der 192 168 1 0 24 IP Reihe zu einem ande ren auf 192 169 2 0 24 ist f r die Knoten vollst ndig transparent da die Verarbeiteng die Ver und Entschl sselung und das Routing der IPsec Pakete komplett vom IPsec Router gehandhabt wird Die Information die f r eine Netzwerk zu Netzwerk Verbindung gebraucht wird umfasst e Die IP Adressen der festgesetzten IPsec Routers auf die extern zugegriffen werden kann e Die Netzwerk Adressen Reihen des LAN WAN die von den IPsec Routers bedient werden z B 192 168 0 0 24 or 10 0 1 0 24 Die IP Adressen der Gateway Einrichtungen die die Daten von den Netzwerkknoten zum Internet leiten e Einen einmaligen Namen um die IP
33. berdenken Die Beliebtheit des Internets war eine der wichtigsten Entwicklungen die intensivere Bem hungen im Bereich der Datensicherheit mit sich brachte Eine immer gr er werdende Anzahl von Anwendern verwendet deren pers nliche Computer f r den Zugriff auf Ressourcen die das Internet zu bieten hat Von simplen Nachforschungen und Recherchen bis hin zu E Mail und Handelstransaktionen wird das Internet als eine der bedeutendsten Entwicklun gen des 20 Jahrhunderts angesehen Das Internet und seine fr heren Protokolle wurden jedoch als ein trust based auf Vertrauen basieren des System entwickelt Das hei t dass das Internetprotokoll nicht von vornherein als sicher ausgelegt war Es sind keine anerkannten Sicherheitsstandards im TCP IP Kommunikations Stack integriert was eine Angriffsfl che f r potentiell b swillige Benutzer und Prozesse im gesamten Netzwerk bil det Moderne Entwicklungen haben die Kommunikation ber das Internet sicherer gemacht wobei es jedoch immer wieder zu Vorf lle kommt die breites nationales Aufsehen erregen und uns bewusst machen dass nichts hundertprozentig sicher ist 1 1 2 Zeitleiste der Computer Sicherheit Verschiedene Schl sselmomente trugen zur Geburt und zum Aufstieg von Computersicherheit bei Im Folgenden werden einige wichtige Ereignisse genannt welche die Aufmerksamkeit auf Computer und Informationssicherheit lenkten und zur deren heutiger Bedeutung beitrugen 1 1 2 1 Die 30er und 4
34. diese davon ab schnell Zugang zu Informationen auf der Festplatte zu erhalten oder zu stehlen Stiehlt jedoch der Angreifer den PC der h ufigste Fall von Diebstahl unter Reisenden die Laptops und andere mobile Ger te mit sich tragen und bringt diesen zu einem Ort an dem er den PC ausein andernehmen kann h lt das BIOS Passwort den Angreifer nichr davon ab die Festplatte zu entfernen und diese in einem PC ohne BIOS Einschr nkungen einzubauen und somit Zugang zu den Informa tionen zu erhalten In diesen F llen wird empfohlen dass Workstations abgeschlossen werden um Zugang zur internen Hardware einzuschr nken Besondere Sicherheitsma nahmen wie abschlie bare Stahlkabel k nnen an einem PC oder Laptop angebracht werden um Diebstahl zu verhindern und dar berhinaus Schl sser am Geh use um internen Zugang zu verhindern Diese Art Hardware ist nahezu berall von Herstellern wie z B Kensington und Targus erh ltlich Server Hardware insbesondere Produktionsserver sind gew hnlich auf Regalen in Serverr umen montiert Server Schr nke haben normalerweise abschlie bare T ren und einzelne Servergeh use sind auch mit abschlie baren Fronten erh ltlich um den Schutz vor unbeabsichtigtem oder beab sichtigtem Herunterfahren zu erh hen Unternehmen k nnen auch sog Co Location Anbieter zur Unterbringung derer Server verwenden da diese h here Bandbreite 24 7 Support und Erfahrung in der System und Serversicherheit besitzen Dies
35. effektives Mittel f r die Verbindung mehrerer entfernter Knoten die sich dann als ein vereinheitlichtes Intranet verhalten 6 1 VPNs und Red Hat Enterprise Linux Red Hat Enterprise Linux Benutzern stehen verschiedene Optionen in Hinsicht der Implementation einer Softwarel sung um sich sicher mit derem WAN verbinden zu k nnen Internet Protocol Secu rity oder IPsec ist die unterst tzte VPN Implementation f r Red Hat Enterprise Linux welches aus reichend den Nutzungsanforderungen von Organisationen mit Zweigstellen oder Remote Benutzern gerecht wird 58 Kapitel 6 Virtuelle Private Netzwerke 6 2 IPsec Red Hat Enterprise Linux unterst tzt ein Protokoll zur gemeinsamen Verbindung von Remote Hosts und Netzwerken das einen sicheren Tunnel auf einem ffentlichen Netzwerk wie dem Internet ver wendet Das Protokoll IPsec genannt kann unter Verwendung einer Host zu Host eine Workstation zu einer anderen oder Netzwerk zu Netzwerk eine LAN WAN zu einem anderen Verbindung im plementiert werden Die IPsec Implementation in Red Hat Enterprise Linux benutzt Internet Key Ex change IKE das ein von Internet Engineering Task Force IETF implementiertes Protokoll darstellt Es ist f r beiderseitige Authentifizierung und sichere Verbindungen zwischen Systemen bestimmt Eine IPsec Verbindung wird in zwei logische Phasen unterteilt In Phase 1 initialisiert ein IPsec Knoten die Verbindung mit dem Remote Knoten oder Netzwerk Der Remote K
36. etc fest Es ist n tzlich f r das Feststellen ob eine ausf hrbare Datei wie bin 1s mittels statischen Bibliotheken ge ndert wurde was ein sicheres Zeichen daf r ist das die ausf hrbare Datei durch eine von einem Benutzer mit b swilliger Absicht installierte Datei ersetzt wurde Durchsucht Verzeichnisse auf bestimmte Dateien Es ist ein n tzliches Tool f r das Durchsuchen der Verzeichnisstruktur nach Schl sselw rtern Datum und Zeit des Zugangs Berechtigungen und so weiter Dies ist n tzlich f r Administratoren die allgemeine Systempr fungen f r Verzeichnisse oder Dateien durchf hren 97 dd if bin ls of 1s dd Imd5sum 1s dd gt 1s sum txt ps auxw grep bin strings bin ps mail grep file bin ls find atime 12 name log perm u rw 98 Kapitel 10 Vorfallsreaktion Befehl Funktion Bei Zeigt verschiedene Informationen stat bin netstat ber eine Datei an inklusive Zeitpunkt des letzten Zugriffs Berechtigungen UID und GID Einstellungen und vieles mehr Dies kann n tzlich f r das Pr fen sein wann eine ausf hrbare Datei in einem betroffenen System zuletzt verwendet und oder ver ndert wurde md5sum Berechnet die 128 Bit Pr fsummen md5sum usr bin gdm mit dem md5 Hash Algorithmus gt gt md5sum txt Sie k nnen diesen Befehl verwenden um eine Textdatei mit einer Liste aller wichtigen Executables die bei einem Systemeinbruch ver ndert oder ersetzt we
37. folgenden Befehl aus um die nderung der sysct1 conf Datei zu erm glichen sysctl p etc sysctl conf Dies erlaubt LAN Netzwerkknoten miteinander zu kommunizieren Es ist ihnen jedoch nicht gestat tet extern zum Beispiel mit dem Internet zu kommunizieren Um LAN Netzwerkknoten mit privaten IP Adressen das Kommunizieren mit externen ffentlichen Netzwerken zu erm glichen konfigurie ren Sie die Firewall f r P Masquerading Dies maskiert Anfragen der LAN Netzwerkknoten mit der IP Adresse der u eren Einstellung der Firewall in diesem Fall ethO iptables t nat A POSTROUTING o eth0 j MASQUERADE Die Regel benutzt die NAT Paketverwaltungstabelle Packet Matching t nat und legt die ein gebaute POSTROUTING Kette f r NAT A POSTROUTING auf dem externen Netzwerkger t der Firewall fest 0o eth0 POSTROUTING erlaubt es Paketen abge ndert zu werden da diese das ex terne Ger t der Firewall verlassen Das j MASOUERADE Target Option ist festgelegt um die private IP Adresse eines Knotens mit der externen IP Adresse der Firewall des Gateways zu maskieren Wenn Sie einen Server in Ihrem internen Netzwerk extern zug nglich machen m chten k nnen Sie die Target Option j DNAT der PREROUTING Kette in NAT dazu verwenden Ziel IP Adresse und Port festzulegen wo eingehende Pakete die um eine Verbindung mit Ihrem internen Service anfragen weitergeleitet werden k nnen Wenn Sie zum Beispiel eingehende HTTP Anfragen an Ihr Apache HT
38. handbuch Co Autor Co Bearbeiter des Red Hat Enterprise Linux Sicherheitshandbuch Co Autor des Red Hat Enterprise Linux Handbuch zur System Administration Paul Kennedy Verantwortlicher Autor Bearbeiter des Red Hat GFS Administrator s Guide Co Autor des Red Hat Cluster Suite Configuring and Managing a Cluster Mark Johnson Verantwortlicher Autor Bearbeiter des Red Hat Enterprise Linux Desktop Configu ration and Administration Guide Melissa Goldin Verantwortlicher Autor Bearbeiter des Red Hat Enterprise Linux Schrittweise Ein f hrung Das Red Hat Team verantwortlich f r bersetzungen besteht aus Amanpreet Singh Alam Technische bersetzung Punjabi Jean Paul Aubry Technische bersetzung Franz sisch David Barzilay Technische bersetzung Portugiesisch Brasilien Runa Bhattacharjee Technische bersetzung Bengali Chester Cheng Technische bersetzung Traditionelles Chinesisch Verena Fuehrer Technische bersetzung Deutsch Kiyoto Hashida Technische bersetzung Japanisch N Jayaradha Technische bersetzung Tamil Michelle Jiyeen Kim Technische bersetzung Koreanisch Yelitza Louze Technische bersetzung Spanisch Noriko Mizumoto Technische bersetzung Japanisch Ankitkumar Rameshchandra Patel Technische bersetzung Gujarati 132 Rajesh Ranjan Technische bersetzung Hindi Nadine Richter Technische bersetzung Deutsch Audrey Simo
39. herausgegeben Enth lt die Ank ndigung keinen Patch arbeitet ein Red Hat Entwickler mit dem Herausgeber des Pakets zusammen um das Problem zu l sen Wurde das Problem behoben wird das Paket getestet und als Errata Update herausgegeben Wenn Sie ein Paket verwenden f r das ein Sicherheits Errata Report herausgegeben wurde wird strengstens empfohlen dass Sie Ihre Sicherheits Errata Pakete sobald wie m glich aktualisieren um die Zeit die Ihr System angreifbar ist zu minimieren 3 1 Pakete aktualisieren Wenn Sie Pakete auf Ihrem System aktualisieren ist es wichtig das Update von einer vertrauensw r digen Quelle herunterzuladen Ein Cracker kann leicht eine Version eines Paketes nachbauen mit der gleichen Versionsnummer des Pakets das theoretisch das Problem l sen sollte mit einem anderen Sicherheitsrisiko im Paket und dieses im Internet ver ffentlichen Falls dies geschieht kann durch Sicherheitsma nahmen wie das Abgleichen der Pakete gegen die urspr nglichen RPMs dieses Risiko nicht entdeckt werden Es ist daher wichtig dass Sie RPMs nur von Quellen wie Red Hat Inc her unterladen und die Signatur des Pakets pr fen um sicherzustellen dass es wirklich von dieser Quelle entwickelt wurde Red Hat bietet zwei M glichkeiten um Informationen ber Sicherheitsupdates zu erhalten 1 Gelistet und erh ltlich zum Download von Red Hat Network 2 Gelistet und ungelinkt auf der Red Hat Errata Webseite Hinweis Mit der
40. kann eine aktualisierte Version des Kernels nicht verwendet werden bis das System neu gestartet wird Kapitel 3 Sicherheits Updates 21 Shared Bibliotheken Shared Bibliotheken sind Einheiten von Code wie z B glibc die von einer Reihe von App likationen und Softwareprogrammen gemeinsam verwendet werden Applikationen die Shared Bibliotheken verwenden laden normalerweise den gemeinsamen Code beim Starten der App likation so dass alle Applikationen die die aktualisierte Bibliothek verwenden neu gestartet werden m ssen Um festzustellen welche laufenden Applikationen mit einer bestimmten Bibliothek verkn pft sind verwenden Sie den Befehl 1so wie im folgenden Beispiel lsof usr lib libwrap so Dieser Befehl gibt eine Liste aller laufenden Programme aus die TCP Wrappers f r die Host Zugangskontrolle verwenden Alle aufgelisteten Programme m ssen angehalten und neu gestar tet werden wenn das tcp_wrappers Paket aktualisiert wird SysV Services SysV Services sind best ndige Server Programme die w hrend es Bootens gestartet werden Beispiele f r SysV Services sind sshd vsftpd und xinetd Da sich diese Programme normalerweise im Speicher aufhalten solange die Maschine gebootet wird muss jeder aktualisierte SysV Service nach dem Upgrade des Pakets angehalten und neu gestartet werden Dies kann ber das Services Configuration Tool oder durch das Anmelden an einem Shell Prompt und Eingeben des Befehls sbin service wie
41. kann eine effektive Methode zum Auslagern von Sicherheits und Konnektivit tsanfoderungen f r HTTP Transaktionen oder Streaming Media Services sein Co Location kann sich jedoch als sehr kostenintensiv erweisen Co Location Standorte sind bekannt f r starke Absicherung durch geschultes Sicherheitspersonal und st ndige berwachung 108 Anhang A Hardware und Netzwerkschutz Anhang B H ufige Schwachstellen und Attacken Tabelle B 1 zeigt einige der von Eindringlingen am h ufigsten ausgenutzten Schwachstellen und Zu gangspunkte zum Zugriff auf Netzwerkressourcen in einem Unternehmen Der Schl ssel zu diesen h ufigen Schwachstellen ist die Erkl rung wie diese ausgenutzt werden und wie Administratoren ihr Netzwerk ordnungsgem gegen solche Angriffe sch tzen k nnen Sicherheitsloch Beschreibung ee 2 Null oder Standardpasswort Standard Shared Keys Das Leerlassen von Passw rtern oder das Verwenden von bereits bestehenden Standardpassw rtern die mit einer Applikation mitgeliefert werden Dies kommt am h ufigsten bei Hardware wie Router und BIOS vor einige Dienste die unter Linux laufen k nnen jedoch auch standardm ige Administratoren Passw rter enthalten Red Hat Enterprise Linux wird jedoch nicht mit Solchen ausgeliefert Sichere Dienste werden manchmal mit standardm igen Sicherheitsschl sseln f r Entwicklung oder zu Evaluationszwecken ausgeliefert Werden diese Schl ssel nicht ge ndert und in
42. nicht dahin gehend ver ndert werden so dass sie unvollst ndig oder falsch werden Unbefugte d rfen nicht in der Lage sein vertrauliche Informationen ndern oder zerst ren zu k nnen e Verf gbarkeit Informationen m ssen jederzeit f r befugte Personen zug nglich sein Verf g barkeit ist die Garantie daf r dass Informationen mit einer vereinbarten H ufigkeit und rechtzeitig abgerufen werden k nnen Dies wird h ufig in Prozent gemessen und formell in Service Level Vereinbarungen SLAs die von Netzwerkservice Anbietern und deren Gesch ftskunden verwen det werden festgelegt 1 Quelle http www cert org 2 Quelle http www cert org stats 6 Kapitel 1 berblick ber Sicherheit 1 2 Sicherheits Kontrollen Computersicherheit wird h ufig in drei deutliche Hauptkategorien eingeteilt die allgemein als Kon trollen bezeichnet werden Zugangskontrolle Technische Kontrolle Administrative Kontrolle Diese drei Kategorien definieren die Hauptziele einer ordnungsgem en Sicherheitsimplementierung Innerhalb dieser Kontrollen befinden sich Unterkategorien die deren Implementation tiefergehend beschreiben 1 2 1 Zugangskontrollen Die physikalische Zugangskontrolle ist die Implementierung von Sicherheitsma nahmen in einer fest gelegten Struktur die f r die Verhinderung von unberechtigten Zugriffen auf empfindliche Informa tionen verwendet wird Beispiele f r physikalische Zugangskontrollen Gesc
43. normalerweise darin dass Systeme aktuell gehalten und mit Patches versehen werden e F rdert Wachstum und hilft bei der Entwicklung von Mitarbeiter Kompetenz e Vermindert finanzielle Verluste und negative Publicity 8 2 1 Entwickeln einer Methode Um die Auswahl der richtigen Tools f r die Schwachstellenanalyse zu unterst tzen ist es sinnvoll zu erst eine Methode f r die Schwachstellenanalyse zu entwickeln Es gibt zur Zeit leider keine vordefi nierten oder industrieweit bew hrten Methoden jedoch reichen meistens gesunder Menschenverstand und optimale Verfahren als Leitfaden aus Was ist das Ziel Betrachten wir nur einen Server oder das gesamte Netzwerk und alles innerhalb des Netzwerks Betrachten wir die Firma intern oder extern Die Antworten auf diese Fragen sind wichtig da diese Ihnen bei der Entscheidung ber die richtigen Tools und den Einsatz derer helfen Weitere Informationen zur Entwicklung von Methoden finden Sie auf den folgenden Webseiten http www isecom org projects osstmm htm The Open Source Security Testing Methodology Manual OSSTMM http www owasp org The Open Web Application Security Project 8 3 Auswerten der Tools Eine typische Analyse beginnt mit dem Einsatz eines Tools f r das Sammeln von Informationen Bei der Analyse des gesamten Netzwerks sollten Sie zuerst das Layout festlegen um aktive Hosts zu identifizieren Sobald diese gefunden wurden sollten Sie jeden Host einzeln untersuc
44. pr fen dass Intrusion Detection Systeme umgangen werden Es wird von ausgezeichneter Dokumentation begleitet die vor dem Aus f hren des Programms sorgf ltig gelesen werden sollte Wenn Sie Webserver mit CGI Skripten besit zen ist Nikto eine ausgezeichnete Quelle f r das Pr fen der Sicherheit dieser Server Hinweis Nikto wird nicht mit Red Hat Enterprise Linux mitgeliefert und wird nicht unterst tzt Die Erw hnung in diesem Handbuch gilt nur als Referenz f r Benutzer die an dieser beliebten Applikation interessiert sind Weitere Informationen zu Nikto finden Sie unter folgender URL http www cirt net code nikto shtml 8 3 4 VLAD Scanner VLAD ist ein Schwachstellen Scanner der vom RAZOR Team bei Bindview Inc entwickelt wurde und f r das Pr fen auf Schwachstellen eingesetzt werden kann Es pr ft laut SANS Top Ten Liste der h ufigsten Sicherheitsprobleme SNMP Probleme Datei Sharing Fragen etc Obwohl er nicht soviele Features wie Nessus besitzt ist VLAD auf jeden Fall wert genauer betrachtet zu werden Hinweis VLAD wird nicht mit Red Hat Enterprise Linux mitgeliefert und wird nicht unterst tzt Die Erw hnung in diesem Handbuch gilt nur als Referenz f r Benutzer die an dieser beliebten Applikation interessiert sind Weitere Informationen zu VLAD finden Sie auf der Webseite des RAZOR Teams unter folgender URL http www bindview com Support Razor Utilities 84 Kapitel 8 Schwachstellenanalyse
45. sie hier im Detail zu beschreiben Vor dem Konfigurieren von Apache HTTP Server sollten Sie die verf gbare Dokumentation f r diese Applikation lesen Dies umfasst das Kapitel Apache HTTP Server im Red Hat Enterprise Linux Referenzhandbuch das Kapitel Apache HTTP Server Konfiguration im Red Hat Enterpri se Linux Handbuch zur System Administration und die Handb cher zu Stronghold verf gbar unter http www redhat com docs manuals stronghold Unten finden Sie eine Liste mit Konfigurationsoptionen die Administratoren nur mit Vorsicht ver wenden sollten 5 5 1 FollowSymLinks Diese Direktive ist standardm ig aktiviert seien Sie also vorsichtig wenn Sie symbolische Links zur Dokument Root des Webservers erstellen Es ist zum Beispiel keine gute Idee einen symbolischen Link zu zu setzen 5 5 2 Die Indexes Direktive Diese Direktive ist standardm ig aktiviert ist jedoch unter Umst nden nicht w nschenswert Wenn Sie nicht m chten dass Benutzer Dateien auf dem Server durchsuchen ist es sinnvoll diese Direktive zu entfernen 5 5 3 Die UserDir Direktive Die UserDir Direktive ist standardm ig deaktiviert da sie das Bestehen eines Benutzeraccounts im System best tigen kann Wenn Sie das Browsen von Verzeichnissen auf dem Server durch Benutzer erlauben m chten sollten Sie die folgenden Direktiven verwenden UserDir enabled UserDir disabled root Diese Direktiven aktivieren das Browsen von Verzeichnissen f r alle
46. sind solche Dienste Paket Sniffing Software die den Verkehr zwischen entfernten Benutzern und einem solchen Server berwacht kann dann einfach die Benutzernamen und Passw rter stehlen Die oben genannten Dienste k nnen auch leichter einer im Industriejargon Man in the Middle ge nannten Attacke zum Opfer fallen Bei dieser Art Angriff leitet ein Cracker den Netzwerkverkehr um indem er einen gecrackten Name Server austrickst auf seinen Rechner zu weisen und nicht auf den eigentlichen Server Sobald dann jemand eine Remote Session zu dem Server ffnet verh lt sich der Rechner vom Angreifer als unsichtbare Leitung und sitzt leise zwischen dem Remote Service und dem ahnungslosen Benutzer und sammelt Informationen Auf diese Weise kann ein Cracker Administrations Passw rter und Daten sammeln ohne das der Server oder der Benutzer dies merkt Ein weiteres Beispiel f r unsichere Dienste sind Netzwerkdateisysteme und Informationssysteme wie zum Beispiel NFS oder NIS die ausdr cklich f r eine Verwendung in LANs entwickelt wur den und dann jedoch f r WANs erweitert wurden f r entfernte Benutzer NFS hat standardm ig keine Authentifizierungs oder Sicherheitsmechanismen konfiguriert um Cracker vom Mounten des NFS Shares und Zugang zu allem was darin enthalten ist abzuhalten NIS verf gt auch ber wichti ge Informationen die jedem Computer im Netzwerk bekannt sein m ssen einschlie lich Passw rter und Dateiberechtigungen innerhalb
47. sung f r Linux mit dem Namen FreeS Wan die eine standardisierte IPSec Internet Protocol Security Implementierung verwendet Diese VPN L sungen verhalten sich wie spezielle Router die sich in der IP Verbindung von einem B ro zum n chsten befinden Wird ein Paket von einem Client bertragen wird wird dies durch den Router oder das Gateway geschickt die wiederum Header Informationen f r Routing und Authentifizierung hinzuf gen die Authentication Header AH genannt werden Die Daten sind verschl sselt und mit Anleitungen zur Entschl sselung und Handhabung versehen die Encapsulating Security Payload ESP genannt wer den Der empfangende VPN Router holt sich die Header Information und leitet diese zum Zielort weiter entweder zu einer Workstation oder einem Knoten im Netzwerk Unter Verwendung einer Netzwerk zu Netzwerk Verbindung erh lt der empfangende Knoten am lokalen Netzwerk die Pakete unverschl sselt und bereit zur Verarbeitung Der Verschl sselungs Entschl sselungsprozess in einer Netzwerk zu Netzwerk VPN Verbindung ist f r den lokalen Knoten transparent Durch solch einen erh hten Grad an Sicherheit muss ein Cracker nicht nur ein Paket abfangen sondern dies auch entschl sseln Eindringlinge die eine Man in the Middle Attacke zwischen einem Server und einem Client durchf hren m ssen daher auch Zugang zu mindestens einem der Schl ssel besit zen die f r die Authentifizierung verwendet werden VPNs sind ein sicheres und
48. wenn die Datei var yp securenets leer ist oder gar nicht existiert dies ist z B nach einer Standard Installation der Fall Als erstes sollten Sie ein Netmask Netzwerkpaar in der Datei hinterlegen damit ypserv nur auf Anfragen des richtigen Netzwerks reagiert Unten finden Sie einen Beispieleintrag einer var yp securenets Datei 255 255 255 0 192 168 0 0 Ad Achtung Sie sollten niemals einen NIS Server zum ersten Mal starten ohne vorher die Datei var yp securenets erstellt zu haben Kapitel 5 Server Sicherheit 49 Diese Methode sch tzt nicht vor einer IP Spoofing Attacke schr nkt jedoch die Netzwerke die von NIS bedient werden zumindest ein 5 3 4 Zuweisung von Static Ports und Verwendung von IPTables Regeln Jedem der zu NIS geh renden Server kann ein bestimmter Port zugewiesen werden mit Ausnahme von rpc yppasswdd dem Daemon der Benutzern das ndern ihrer Login Passw rter erlaubt Indem Sie den anderen beiden NIS Server Daemons rpc ypxfrd und ypserv Ports zuweisen k nnen Sie Firewall Regeln erstellen um die NIS Server Daemons noch mehr vor Eindringlingen zu sch tzen Hierzu f gen Sie die folgenden Zeilen zu etc sysconfig network hinzu YPSERV_ARGS p 834 YPXFRD_ARGS p 835 Die folgenden IPTables Regeln k nnen erlassen werden um festzulegen welches Netzwerk der Ser ver f r diese Ports abh ren soll iptables A INPUT p ALL s 192 168 0 0 24 dport 834 j DROP iptables A INPUT p ALL s
49. zu wissen welche Faktoren und Bedingungen die Sicherheit ausmachen um eine richtige Strategie planen und implementieren zu k nnen Mit diesen Informationen im Hinterkopf kann der Prozess formalisiert werden und der Weg wird klarer je tiefer Sie in die Details des Sicherheitspro zesses eintauchen Kapitel 1 berblick ber Sicherheit Kapitel 2 Angreifer und Schwachstellen Um eine gute Sicherheitsstrategie planen und implementieren zu k nnen m ssen Sie als erstes einige der Wege die entschlossene motivierte Angreifer auskundschaften um Systeme zu beeintr chtigen verstehen Bevor wir Ihnen jedoch diese im Detail beschreiben geben wir Ihnen erstmal einen ber blick ber die Terminologie die zur Identifikation eines Angreifers verwendet wird 2 1 Ein kurzer geschichtlicher berblick ber Hacker Die moderne Bedeutung des Begriffs Hacker geht auf die 60er Jahre und den Massachusetts Institute of Technology MIT Tech Model Railroad Club zur ck der Modelleisenbahnen von gro em Umfang und kleinstem Detail entwickelte Als Hacker wurden Clubmitglieder bezeichnet die einen Trick oder eine L sung f r ein Problem gefunden hatten Der Begriff Hacker wurde seit dem zur Beschreibung vieler verwendet von Computerfreaks bis hin zu talentierten Programmierern Was viele Hacker gemeinsam haben ist das Verlangen im Detail herauszufinden wie Computersysteme und Netzwerke funktionieren und das mit nur wenig oder ganz ohne Motivatio
50. 0er Jahre e Polnische Kryptografen Entschl ssler entwickeln 1918 die Enigma Maschine eine elektro mechanische Ziffern Rotor Anlage welche reine Textnachrichten verschl sselt Urspr nglich entwickelt um Kommunikation im Bankensektor abzusichern wurde das Ger t von der Deutschen Streitmacht im Zweiten Weltkrieg zur sicheren Kommunikation eingesetzt Ein brillianter Mathematiker namens Alan Turing entwickelt eine Methode um die Verschl sselungscodes von Enigma zu knacken was den Alliierten wiederum erm glichte Colossus zu entwickeln eine Maschine die wie so oft behauptet wird dazu beigetragen hat den Krieg ein Jahr fr her zu beenden 1 1 2 2 Die 60er Jahre Studenten am Massachusetts Institute of Technology MIT bilden den Tech Model Railroad Club TMRC und beginnen mit der Erforschung und Programmierung des PDP 1 Mainframe Comput ersystems dieser Universit t Durch diese Gruppe wurde eventuell auch der Begriff Hacker im heutzutage bekannten Kontext gepr gt Das US Verteidigungsministerium bildet das Advanced Research Projects Agency Network ARPANet das in akademischen und Forschungs Kreisen gro e Beliebtheit als Kanal f r elektronischen Daten und Informationsaustausch erlangt Dies ebnet den Weg f r die Erschaffung des Tr gernetzwerks das heute als das Internet bekannt ist Kapitel 1 berblick ber Sicherheit 3 1 1 Ken Thompson entwickelt das UNIX Betriebssystem weitverbreitet gepriesen als das Ha
51. 1 html A 1 4 Netzwerk Segemntierung und DMZ Administratoren die extern zug ngliche Dienste wie HTTP E Mail FTP und DNS ausf hren wollen wird empfohlen diese ffentlich zug nglichen Dienste physikalisch und oder logisch getrennt vom internen Netzwerk zu halten Firewalls und das Sichern von Hosts und Applikationen sind effektive Methoden m gliche Einbrecher abzuhalten Entschlossene Cracker k nnen jedoch Wege in das interne Netzwerk finden wenn sich die gecrackten Dienste auf der gleichen logischen Route wie der Rest des Netzwerks befinden Die extern zug nglichen Dienste sollten sich in der De Militarisierten Zone DMZ befinden ein logisches Netzwerksegment bei dem eingehender Verkehr vom Internet auch nur auf diese Dienste und nicht auf das interne Netzwerk zugreifen kann Dies ist effektiv da selbst wenn ein Computer oder DMZ von einem Angreifer erforscht wird der Rest des internen Netzwerkes hinter einer Firewall auf einem separaten Segment liegt Da die meisten Unternehmen einen begrenzten Pool an ffentlich weiterleitbaren IP Adressen haben von denen aus externe Dienste ausgef hrt werden k nnen verwenden Administratoren ausgekl gelte Firewall Regeln zum Annehmen Weiterleiten Ablehnen und Verweigern von Paket bertragungen Firewall Regeln die mit iptables implementiert wurden oder spezielle Hardware Firewalls erm g lichen komplexe Routing und Forwarding Regeln mit denen Administratoren eingehenden Verkehr an bestimmt
52. 1337 sport 31337 j DROP iptables A FORWARD o eth0 p tcp dport 31337 sport 31337 j DROP Sie k nnen auch Verbindungen von au en blockieren die versuchen eine Reihe von privaten IP Adressen zu knacken um Ihren LAN infiltrieren zu k nnen Wenn Ihr LAN die 192 168 1 0 24 Reihe verwendet kann zum Beispiel eine Regel aufgestellt werden dass alle Pakete ausgelassen werden die 74 Kapitel 7 Firewalls eine IP Adresse haben wie sie in Ihrem LAN vorkommt Da als Standard Richtlinie empfohlen wird weitergeleitete Pakete zur ckzuweisen werden auch andere geknackte IP Adressen automatisch vom nach au en gerichteten Ger t eth0 zur ckgewiesen iptables A FORWARD s 192 168 1 0 24 i eth0 j DROP Anmerkung Beim Arbeiten mit appended Regeln wird zwischen den REJECT und proPp Zielaktionen unterschieden REJECT verweigert den Zugriff und zeigt bei Benutzern die versuchen sich mit dem Service zu verbinden einen connection refused Error an DROP l sst das Paket ohne jede Warnung f r telnet Benutzer aus Die Administratoren k nnen diese Aktionen nach ihrem eigenem Ermessen verwenden Es wird allerdings REJEcT empfohlen um Verwirrung beim Benutzer und wiederholte Verbindungsversuche zu vermeiden 7 6 iptables und dynamische Paketfilterung iptables beinhaltet ein Modul welches Administratoren erlaubt Verbindungen zu Diensten auf einem internen Netzwerk zu berpr fen und einzuschr nken mittels einer Methode die Connectio
53. 6 Mikroprozessor einer relativ kosteng nstigen Architektur die elektronische Datenverarbeitung vom B ro ins traute Heim brachte Dies half den PC zu einem allgemeinen zug nglichen Tool werden zu lassen was wiederum zur Verbreitung dieser Hardware in den Haushalten und B ros b swilliger Anwender beitrug Das Transmission Control Protocol TCP von Vint Cerf entwickelt ist in zwei Teile unterteilt Das Internet Protokoll IP wurde aus dieser Unterteilung geschaffen und das TCP IP Protokoll wird zum Standard jeglicher Kommunikation ber das Internet Basierend auf den Entwicklungen im Bereich des Phreaking mit anderen Worten des Auskund schaften und Hacken von Telefonsystemen wurde das Magazin 2600 The Hacker Quarterly ins Leben gerufen und behandelt Themen wie das Hacken von Computern und Computer Netzwerken f r eine breite Leserschaft Die 414 Gang benannt nach der Vorwahlnummer des Wohnorts wurde von den Beh rden nach einer 9 Tage Cracking Tour bei der in Systeme von geheimen Orten wie das Los Alamos National Laboratory einer Atomwaffen Forschungseinrichtung eingebrochen wurde aufgegriffen Die Legion of Doom und der Chaos Computer Club sind zwei Hacker Gruppen die mit der Erforschung von Anf lligkeiten in Computer und Datennetzwerken beginnen Der Computer Fraud and Abuse Act des Jahres 1986 Gesetz gegen Computerbetrug und missbrauch wurde vom Kongress als Gesetz erlassen basierend auf den Taten von Ian Mur
54. Benutzer Verzeichnisse au er root Wenn Sie Benutzer zu der Liste deaktivierter Accounts hinzuf gen m chten k nnen Sie eine durch Leerstellen getrennte Liste der Benutzer in die Zeile UserDir disabled einf gen 5 5 4 Entfernen Sie nicht die Inc1udesNoExec Direktive Standardm ig kann das serverseitige Includes Modul keine Befehle ausf hren Es wird davon ab geraten diese Einstellungen zu ndern au er wenn unbedingt notwendig da dies einem Angreifer erm glichen k nnte Befehle auf dem System auszuf hren 5 5 5 Schr nken Sie Berechtigungen f r ausf hrbare Verzeichnisse ein Stellen Sie sicher dass Sie Schreibberechtigungen f r Verzeichnisse die Skripte oder CGIs enthalten nur f r den Root Benutzer vergeben Dies erreichen Sie durch die folgenden Befehle chown root lt directory_name gt chmod 755 lt directory_name gt 52 Kapitel 5 Server Sicherheit Pr fen Sie au erdem dass jegliche Skripte die Sie ausf hren auch wie beabsichtigt funktionieren bevor sie in Produktion gegeben werden 5 6 Sicherung von FTP Das File Transport Protocol oder FTP ist ein lteres TCP Protokoll das zum bertragen von Dateien ber ein Netzwerk entwickelt wurde Da alle Transaktionen mit dem Server einschlie lich der Be nutzerauthentifizierung unverschl sselt ablaufen wird es als ein unsicheres Protokoll betrachtet und sollte sorgf ltig konfiguriert werden Red Hat Enterprise Linux bietet drei FTP Server gssft
55. DROP iptables P OUTPUT DROP Zus tzlich wird empfohlen dass jeder forwarded packets Netzwerkverkehr der von der Firewall zu seinem Zielknoten geleitet werden soll ebenfalls verhindert wird Interne Clients werden so vor unabsichtlichem Kontakt mit dem Internet gesch tzt Ben tzen Sie hierf r folgende Regel iptables P FORWARD DROP Nachdem die Ketten gem der Richtlinien eingestellt sind k nnen Sie neue Regeln f r Ihre beson deren Netzwerk und Sicherheitsbed rfnisse erstellen Im Folgenden sind einige Regeln beschrieben die sie beim Aufbau Ihrer iptables Firewall verwenden k nnen 7 2 2 Speichern und Wiederherstellen von iptables Regeln Firewall Regeln sind nur aktiv wenn der Computer l uft Wenn Sie das System neu starten werden die Regeln automatisch gel scht und r ckgestellt Verwenden Sie folgenden Befehl um die Regeln zu speichern damit sie nachher wieder geladen werden k nnen sbin service iptables save Die Regeln werden in der Datei etc sysconfig iptablesgespeichert und werden immer dann aktiviert wenn das Service gestartet oder neu gestartet wird auch wenn das System neu hochgefahren wird 7 3 bliche iptables Filterung Fremde Angriffe von einem LAN fernzuhalten ist ein wichtiger Aspekt der Netzwerksicherheit wenn nicht der Wichtigste Die Integrit t eines LAN sollte durch die Verwendung strenger Firewall Regeln vor b sartigen ausw rtigen Benutzern gesch tzt werden Mit Standard Richtlini
56. Datagram Deliver Protocol Ports Tabelle C 5 ist eine Liste von Ports die sich auf das Kerberos Netzwerk Authentifizierungsprotokoll beziehen Wenn angegeben bezieht sich v5 auf das Kerberos Version 5 Protokoll Beachten Sie bitte dass diese Ports nicht bei der IANA registriert sind Port Layer _ Name Kommentar Tabelle C 5 Kerberos Project Athena MIT Ports Tabelle C 6 ist eine Liste unregistrierter Ports die von Services und Protokollen die auf Ihrem Red Hat Enterprise Linux System installiert sind verwendet werden oder die notwendig f r die Kommu nikation zwischen Red Hat Enterprise Linux und anderen Betriebssystemen sind Port Layer_ Name Kommentar 15 tcp Network Status netstat 98 tcp Linuxconf Linux AdministrationS Tool 122 Anhang C H ufige Ports Port Laer Nme2 Kommentar _ 106 poppassd Post Office Protocol Password Change Daemon POPPASSD 465 tcp smtps Simple Mail Transfer Protocol over Secure Sockets Layer SMTPS Tinep 901p Remote Configuration Tool 1127hcp supfiledbg 1178p 13131p a p 1529 tcp support prmsd GNATS Bug Tracking System gnatsd 2003 tcp lefinser GNU Finger 2150 ninsa Network Installation Service 2988 afbackup afbackup Client Server Backup System 3128 tcp Squid Web Proxy Cache 3455 RSVP port 5432 PostgreSQL Datenbank 4557 tcp FAX bertragungs Service alter Service 4559 tcp hylafax HylaFAX Client Server Protokoll neuer Service
57. Die folgende Zeile in der Datei etc exports legt fest dass der Host bob example com Lese und Schreibberechtigung auf das gemeinsame Verzeichnis tmp n s erh lt tmp n s bob example com rw Diese Zeile in der Datei etc exports beschreibt dass der Host bob example com lediglich Le seberechtigung besitzt allerdings jeder Lese und Schreibberechtigung hat wegen eines einzelnen Leerzeichens nach dem Hostnamen tmp n s bob example com rw Es ist sehr sinnvoll jegliche konfigurierte NFS Shares mit dem Befehl showmount zu pr fen showmount e lt hostname gt 5 4 3 Verwenden Sie nicht die Option no_root_squash Standardm ig ndern NFS Shares den Root Benutzer in den Benutzer nfsnobody um einem unprivilegierten Benutzer Account Auf diese Art geh ren alle root erstellten Dateien dem User nfsnobody wodurch das Hochladen von Programmen mit der Setuid Bit Einstellung verhindert wird Wenn no_root_squash verwendet wird k nnen ausw rtige Root Benutzer jede Datei in dem ge meinsamen Dateisystem ver ndern und dabei trojanisierte Anwendungen hinterlassen die von ande ren Benutzern unabsichtlich ausgef hrt werden Kapitel 5 Server Sicherheit 51 5 5 Sicherung des Apache HTTP Server Das Apache HTTP Server ist einer der stabilsten und sichersten Dienste die mit Red Hat Enterprise Linux ausgeliefert werden Es gibt eine unglaubliche Anzahl von Optionen und Methoden um Apache HTTP Server zu sichern zu viele um
58. Filesystem Portmapper 370 codaaun Coda File System Authentication Services j I O O Ke O N 372 wipe __ UNIXLISTSERV 339 fap Lightweight Directory Access Protocol LDAP Service Location Protocol SLP 116 Anhang C H ufige Ports Port Layer Name Kommentar Kerberos Passwort und Schl sse nderungs Service 468 Photuris Session Key Management Protokoll 488 496 pim rp disc Rendezvous Point Discovery RP DISC f r Protocol Independent Multicast PIM Services 500 isakmp Internet Security Association und Key Management Protocol ISAKMP 535 Internet Inter Orb Protocol NOP 538 GNUstep Distributed Objects Mapper GDOMAP 546 dhcpv6 client Dynamic Host Configuration Protocol DHCP Version 6 Client 565 Whoami User ID Listing 587 Mail Message Submission Agent MSA 610 npmp local Network Peripheral Management Protocol NPMP local Distributed Queueing System DQS 611 npmp gui Network Peripheral Management Protocol NPMP GUI Distributed Queueing System DQS 612 HyperMedia Management Protocol HMMP Indication DQS Internet Printing Protocol IPP Sockets Layer LDAPS 547 dhcpv6 server Dynamic Host Configuration Protocol DHCP Version 6 Service 554 Real Time Stream Control Protocol RTSP 563 nntps Network News Transport Protocol ber Secure Sockets Layer NNTPS Anhang C H ufige Ports 117 Port Layer Name Kommentar 993 imaps Interne
59. Heimben tzer wo ein PC gesch tzt wird bis hin zu L sungen f r Datenzentren wo wichtige Unternehmensinformationen gesch tzt werden Firewalls k nnen alleinstehende Hardware L sungen sein wie die Firewall Einrichtungen von Cisco Nokia und Sonicwall Es gibt aber auch gesch tzte Software Firewall L sungen f r den Heim und Firmen bereich von Vertreibern wie z B Checkpoint McAfee und Symantec Neben den Unterschieden zwischen Hardware und Software Firewalls gibt es auch Unterschiede in der Funktionsweise von Firewalls die die verschiedenen L sungen voneinander abheben Tabelle 7 1 erkl rt drei g ngige Firewall Typen und wie sie funktionieren Network Address Translation NAT reiht Subnetzwerke von internen IP Netzwerken hinter eine externe IP Adresse oder eine kleine Gruppe von externen IP Adressen Alle Anfragen werden nur f r eine Quelle maskiert nicht f r alle Kann f r Machinen an einem LAN bersichtlich konfiguriert werden Sch tzt viele Maschinen und Service hinter einer oder mehreren IP Adresse n Vereinfacht die Aufgaben der Systemadministratoren Durch das ffnen und Schlie en von Ports an der NAT Firewall Gateway kann eine Benutzerbeschr nkung zu und von dem LAN konfiguriert werden Kann keine b sartigen Aktivit ten verhindern sobald der Benutzer mit einem Service au erhalb der Firewall verbunden ist 68 Kapitel 7 Firewalls Paketfiltet Tabelle 7 Paketfilter F
60. Kapitel 9 Intrusion Detection haben signiert ist Wurde ein Paket nicht ordnungsgem signiert wird eine Fehlermeldung wie folgende ausgegeben application 1 0 1386 rpm SHAl DSA shal md5 GPG NOT OK MISSING KEYS GPG 897da07a Seien Sie vorsichtig wenn Sie unsignierte Pakete installieren da diese nicht von Red Hat Inc anerkannt sind und b swilligen Code enthalten k nnen RPM kann ein leistungstarkes Tool sein wie durch die vielen Verifizierungstools f r installierte Pakete und RPM Paket Dateien Es wird dringend empfohlen dass Sie ein Backup des Inhalts Ihres RPM Datenbank Verzeichnisses var 1lib rpm auf CD ROM etc durchf hren nachdem Sie Red Hat Enterprise Linux installiert haben Hierdurch k nnen Sie sicher Dateien und Pakete gegen diese Da tenbank verifizieren anstelle die Datenbank auf dem System zu verwenden da b swillige Benutzer die Datenbank korrumpieren und dadurch Ihre Ergebnisse beeinflussen k nnen 9 2 3 Andere host basierte IDS Im folgenden werden einige der anderen erh ltlichen und beliebten host basierten Intrusion Detection Systme beschrieben Bitte lesen Sie dazu die Webseiten der jeweiligen Utilities f r weitere Informationen zur Installation und Konfiguration f Hinweis Diese Applikationen werden nicht mit Red Hat Enterprise Linux ausgeliefert und werden nicht unter st tzt Sie werden in diesem Handbuch als Referenz f r Benutzer die Interesse an der Evaluation dieser Tools haben g
61. Nmap pr ft die h ufigsten Ports f r die Netzwerkkommunikation auf mith rende oder wartende Ser vices Dieses Wissen ist sinnvoll f r Administratoren die unn tige Services abschalten m chten Weitere Informationen zu Nmap finden Sie auf der offiziellen Homepage unter folgender URL http www insecure org 8 3 2 Nessus Nessus ist ein Komplett Service Sicherheitsscanner Die Plug In Architektur von Nessus erm glicht Benutzern das Anpassen an deren Systeme und Netzwerke Wie mit jedem Scanner ist Nessus nur so gut wie die Signatur Datenbank die verwendet wird Gl cklicherweise wird Nessus h ufig ak tualisiert und dessen Features beinhalten vollst ndige Berichterstattung Host Scanning und Echtzeit Schwachstellensuche Denken Sie jedoch immer daran dass fehlerhafte Ergebnisse auch bei einem so leistungsstarken und h ufig aktualisiertem Tool wie Nessus auftreten k nnen Kapitel 8 Schwachstellenanalyse 83 S Hinweis Nessus wird nicht mit Red Hat Enterprise Linux mitgeliefert und wird nicht unterst tzt Die Erw hnung in diesem Handbuch gilt nur als Referenz f r Benutzer die eventuell an dieser beliebten Applikation interessiert sind Weitere Informationen zu Nessus finden Sie auf der offiziellen Homepage unter folgender URL http www nessus org 8 3 3 Nikto Nikto ist ein ausgezeichneter CGI Scanner Common Gateway Interface Nikto hat die F higkeit nicht nur CGI Schwachstellen zu suchen sondern diese auch so zu
62. Optionen von iptables und ber iptables selbst Diese Regeln erlauben eingehenden und ausgehenden Zugang f r ein individuelles System wie einen Einzel PC der direkt mit dem Internet oder Firewall Gateway verbunden ist Sie erlauben jedoch keinen Zugang zu diesen Diensten f r Netzwerkknoten hinter der Firewall Sie k nnen NAT mit iptables Filterregeln verwenden um LAN Zugang zu diesen Diensten zu erm glichen 7 4 FORWARD und NAT Regeln Den meisten Organisationen wird eine limitierte Anzahl von ffentlich routbaren IP Adressen von ihrem ISP zugewiesen Aufgrund dieser Einschr nkungen m ssen die Administratoren kreative Wege finden den Zugang zum Internet aufzuteilen ohne dass jedem Knoten am LAN kostbare IP Adressen zugeteilt werden Der normale Weg damit alle Knoten auf einem LAN die Netzwerkdienste in tern und extern n tzen k nnen ist die Verwendung von privaten IP Adressen Edge Routers wie Firewalls k nnen eingehende bertragungen vom Internet empfangen und die Pakete zu den ge w nschten LAN Knoten leiten Gleichzeitig k nnen Firewalls Gateways auch ausgehende Anfragen von einem LAN Knoten zu dem entfernten Internetdienst leiten Dieses Weiterleiten des Netzwerk verkehrs kann manchmal gef hrlich werden vor allem wenn moderne Cracking Tools verwendet werden die interne IP Adressen austricksen k nnen und den Computer des externen Angreifers wie einen Netzwerkknoten des LAN erscheinen lassen Zur Vorbeugung bietet iptables
63. Red Hat Enterprise Linux 4 Sicherheitshandbuch I redhat Red Hat Enterprise Linux 4 Sicherheitshandbuch Copyright 2005 von Red Hat Inc a Red Hat Inc 1801 Varsity Drive Raleigh NC 27606 2072 USA Phone 1 919 754 3700 Phone 888 733 4281 Fax 1 919 754 3701 PO Box 13588 Re search Triangle Park NC 27709 USA rhel sg DE 4 Print RHI 2004 09 30T17 12 Copyright 2005 Red Hat Inc Das vorliegende Material darf nur unter Einhaltung der in Open Publication License V1 0 oder neuer dargelegten Gesch ftsbedingungen vertrieben werden die neueste Version ist gegenw rtig unter http www opencontent org openpub verf gbar Betr chtlich modifizierte Versionen dieses Dokumentes d rfen nur mit ausdr cklicher Genehmigung des Copyright Inhabers vertrieben werden Der Vertrieb des Werks oder einer Ableitung des Werks in Standardbuchform Papier zu kommerziellen Zwecken ist nicht zul ssig sofern dies nicht zuvor durch den Copyright Inhaber genehmigt wurde Red Hat und das Red Hat Shadow Man Logo sind eingetragene Warenzeichen oder Warenzeichen der Red Hat Inc in den USA und anderen L ndern Alle weiteren hier genannten Rechte an Warenzeichen sowie Copyrights liegen bei den jeweiligen Eigent mern Der GPG Code des security redhat com Schl ssels lautet CA 20 86 86 2B D6 9D FC 65 F6 EC C4 21 91 80 CD DB 42 A6 0E Inhaltsverzeichnis Einf hrung AEE A AE E T EE E E A E A A i 1 Architektur
64. Red Hat Enterprise Linux Produktlinie beginnend k nnen aktualisierte Pakete nur von Red Hat Network heruntergeladen werden Obwohl die Red Hat Errata Website aktualisierte Informatio nen enth lt so enth lt diese nicht die eigentlichen Download Pakete 3 1 1 Red Hat Network benutzen Red Hat Network erm glicht Ihnen den gr ten Teil des Update Prozesses zu automatisieren Es stellt fest welche RPM Pakete f r Ihr System ben tigt werden l dt diese von einer sicheren Quelle herunter pr ft die RPM Signatur um festzustellen ob diese nicht unbefugt ge ndert wurden und aktualisiert diese Die Paketinstallation kann sofort erfolgen oder auf einen bestimmten Zeitpunkt verlegt werden Red Hat Network ben tigt von Ihnen ein Systemprofil von jeder Maschine die aktualisiert werden soll Dieses Systemprofil enth lt Hardware und Softwareinformationen ber das System Diese In formationen werden vertraulich behandelt und werden an niemanden weitergegeben Sie werden nur 18 Kapitel 3 Sicherheits Updates ben tigt um festzustellen welche Errata Updates auf Ihr System angewendet werden k nnen Oh ne diese kann Red Hat Network nicht feststellen ob Ihr System aktualisiert werden muss Wenn ein Sicherheits Errata oder ein anderes Errata herausgegeben wird schickt Red Hat Network Ihnen ei ne E Mail mit einer Beschreibung der Errata sowie eine Liste mit Informationen welche Teile Ihres Systems betroffen sind Um das Update anzuwenden
65. TP Server Server System auf IP Adresse 172 31 0 23 weiterleiten m chten f hren Sie folgenden Befehl aus iptables t nat A PREROUTING i eth0 p tcp dport 80 j DNAT Kapitel 7 Firewalls 73 0 172 31 0 23 80 Diese Regel legt fest dass die NAT Tabelle die eingebaute PREROUTING Kette zur Weiterleitung eingehender HTTP Anfragen ausschlie lich an die gelistete Ziel IP Adresse von 172 31 0 23 benutzt f Anmerkung Wenn sich die Standardmethode DROP in Ihrer FORWARD Kette befindet m ssen Sie eine Regel anh ngen die das Weiterleiten von eingehenden HTTP Anfragen erm glicht sodass das Ziel NAT Routing erm glicht wird F hren Sie dazu folgenden Befehl aus iptables A FORWARD i eth0 p tcp dport 80 d 172 31 0 23 j ACCEPT Die Regel erlaubt das Weiterleiten von eingehenden HTTP Anfragen von der Firewall zu deren vorge sehenem Ziel auf dem Apache HTTP Server Server hinter der Firewall 7 4 1 DMZs und iptables iptables Regeln k nnen daf r verwendet werden den Verkehr zu bestimmten Maschinen zu lei ten wie zum Beispiel einem zweckbestimmten HTTP oder FTP Server in einer demilitarisierten Zone DMZ ein spezielles lokales Subnetzwerk das dazu bestimmt ist Dienste ffentlich z B im Internet anzubieten Um eine Regel f r das Routen von allen eingehenden HTTP Anfragen zu ei nem ausgewiesenen HTTP Server auf IP Adresse 10 0 4 2 festzulegen au erhalb der 192 168 1 0 24 Reichweite des LAN ruft Network Add
66. achstellen im System gesucht w hrend der Eindringungstest die Ergebnisse in die Tat umsetzt Die Einsch tzung der Netzwerk Infrastruktur ist ein dynamischer Prozess Das Durchf hren der Ana lyse gibt einen berblick ber positive sowie negative Aspekte Sicherheits Administratoren sind nur so gut wie die Tools die diese benutzen und das Wissen das diese bewahren Nehmen Sie eines der aktuell erh ltlichen Analysetools und lassen Sie es ber Ihr System laufen Dabei ist fast garantiert dass einige Schwachstellen gefunden werden die gar nicht existieren Ob durch einen Programmfehler oder Benutzerfehler hervorgerugen das Ergebnis ist das gleiche Das Tool findet Schwachstellen die gar nicht existieren oder schlimmer noch findet wirklich existierende Schwachstellen nicht Da wir nun den Unterschied zwischen Schwachstellenanalyse und Eindringungstest definiert haben ist es ratsam die Ergebnisse der Analyse sorgf ltig zu pr fen bevor Sie den Eindringungstest tats ch lich durchf hren Kapitel 8 Schwachstellenanalyse 81 A Achtung Der Versuch Schwachstellen in Produktionsressourcen aufzudecken kann einen negativen Effekt auf die Produktivit t und Effizienz Ihrer Systeme und Netzwerke haben In der folgenden Liste werden einige der Vorteile einer Schwachstellenanalyse aufgezeigt Proaktiver Fokus auf Informationssicherheit Auffinden potentieller Schwachstellen bevor diese von Crackern gefunden werden Resultiert
67. anipuliert und bertr gt erfordert Das Verst ndnis dar ber auf welche Art ein Unternehmen und dessen Mitarbei ter Gesch fte betreibt ist von h chster Bedeutung f r die Einf hrung eines entsprechenden Sicher heitsplans 1 1 4 Standardisierung von Sicherheit Unternehmen in jedem Industriezweig sind auf Richtlinien und Regeln von Standardisierungsorgani sationen wie z B der American Medical Association AMA oder dem Institute of Electrical and Elec tronics Engineers IEEE angewiesen Die gleichen Ideale gelten f r Informationssicherheit Viele Si cherheitsberater und Hersteller haben sich auf das Standard Sicherheitsmodell CIA Confidentiality Integrity und Availability Vertraulichkeit Integrit t und Verf gbarkeit geeinigt Dieses 3 Schichten Modell ist eine allgemein anerkannte Komponente f r das Einsch tzen von Risiken f r vertrauliche Informationen und das Einrichten einer Sicherheitspolice Im folgenden wird das CIA Modell n her beschrieben e Vertraulichkeit Vertrauliche Informationen d rfen nur f r im vornherein festgelegte Einzelpersonen verf gbar sein Unautorisierte bertragung und Verwendung von Informationen muss eingeschr nkt werden So stellt zum Beispiel die Vertraulichkeit von Informationen sicher dass pers nliche oder finanzielle Details von Kunden nicht von Unbefugten f r b swillige Zwecke wie Identit tsraub oder Kreditbetrug missbraucht werden kann e Integrit t Informationen d rfen
68. ann problema tisch werden da eventuell unben tigte Dienste installiert werden die mit den Standard Einstellungen konfiguriert und standardm ig aktiviert werden Dies kann dazu f hren dass unerw nschte Dienste wie Telnet DHCP oder DNS auf einem Server oder einer Workstation laufen ohne dass der Syste madministrator es merkt was wiederum zu unerw nschtem Verkehr zum Server oder zur Hintert r f r Cracker in das System werden kann Weitere Informationen zum Schlie en von Ports und Deakti vieren unbenutzer Dienste finden Sie unter Kapitel 5 2 3 2 Dienste ohne Patches Die meisten Serverapplikationen die in einer Standard Installation enthalten sind sind solide gr nd lich getestete Softwareapplikationen Dadurch dass diese viele Jahre in Produktionsumgebungen ein gesetzt wurden ist ihr Code ausgereift und viele Fehler sind gefunden und behoben worden So etwas wie perfekte Software gibt es jedoch nicht es ist immer Platz f r weitere Verbesserungen Desweiteren ist neuere Software nicht immer so durchg ngig getestet wie man erwarten w rde z B dadurch dass diese erst seit kurzem in der Produktionsumgebung eingesetzt wird oder weil diese noch nicht ganz so beliebt ist wie andere Server Software Entwickler und Systemadministratoren finden h ufig ausbeutbare Fehler in Serverapplikationen und ver ffentlichen diese Informationen auf Bug Tracking und sicherheitsbezogenen Webseiten wie die Bugtrag Mailingliste http www securi
69. asierte IDS werden mit wachsendem Internet immer beliebter IDS die gro e Mengen an Netzwerkaktivit ten scannen und verd chtige bertragungen erfolgreich mit Tags versehen k nnen Kapitel 9 Intrusion Detection 9 sind in der Sicherheitsindustrie hoch angesehen Durch die Unsicherheit des TCP IP Protokolls wurde es unumg nglich Scanner Schn ffler und andere Netzwerkpr f und Erkenntools zu entwickeln die Sicherheitsbr che durch unter anderem folgende Netzwerkaktivit ten verhindern IP Spoofing Denial of Service Attacken e arp Cache Poisoning DNS Name Korruption Man in the Middle Attacken Die meisten netzwerk basierten IDS erfordern dass das Netzwerkger t des Hostsystems auf Promis cuous gesetzt wird was dem Ger t erlaubt jedes Paket im Netzwerk abzufangen Der Promiscuous Moduskann durch den Befehl ifconfig z B wie folgt gesetzt werden ifconfig eth0 promisc Das Ausf hren von ifconfig ohne Optionen zeigt dass ethO sich nun im Promiscuous Modus PROMISC befindet eth0 Link encap Ethernet HWaddr 00 00 D0 0D 00 01 inet addr 192 168 1 50 Bcast 192 168 1 255 Mask 255 255 252 0 UP BROADCAST RUNNING PROMISC MULTICAST MTU 1500 Metric l RX packets 6222015 errors 0 dropped 0 overruns 138 frame 0 TX packets 5370458 errors dropped 0 overruns O carrier 0 collisions Q txqueuelen 100 RX bytes 2505498554 2389 4 Mb TX bytes 1521375170 1450 8 Mb Interrupt 9 Base address 0xec80 lo Link encap Local Loopback inet
70. at Enterprise Linux Handbuch zur System Administration Elle View Actions Edit Runlevel Help gt 80 Stat Stop Restart Save Revert Currently Running in Runlevel 3 Editing Runlevel 3 K a Description talk Vsftpd is a ftp daemon which is the program that answers telnet incoming ftp service requests CO tftp time C time udp tux LU vncserver E vsftpd Status winbind vsftpd is stopped K xinetd ypbind C yppasswdd C ypserv ypxfrd zebra x Abbildung 4 3 Services Configuration Tool Wenn Sie sich nicht sicher sind welchen Zweck ein Dienst hat finden Sie im Services Configuration Tool ein Beschreibungsfeld in Abbildung 4 3 abgebildet das Ihnen von Nutzen sein kann Das reine berpr fen welche Netzwerkdienste zum Bootzeitpunkt verf gbar sind ist jedoch nicht ge nug Kompetente Systemadministratoren sollten auch pr fen welche Ports offen sind und eingehende Signale abh ren Weitere Informationen zu diesem Thema finden Sie unter Abschnitt 5 8 Kapitel 4 Workstation Sicherheit 39 4 5 3 Unsichere Dienste Jeder Netzwerkdienst is potentiell unsicher Aus diesem Grund ist es wichtig nicht ben tigte Dienste zu deaktivieren Angriffsfl chen f r Dienste werden so erkannt und k nnen gepatcht werden Es ist daher wichtig Pakete die f r einen Netzwerkdienst ben tigt werden auf dem neuesten Stand zu halten Weitere Inform
71. ationen hierzu finden Sie unter Kapitel 3 Einige Netzwerkprotokolle sind von Natur aus unsicherer als andere Dies umfasst Dienste die wie folgt eingesetzt werden e Unverschl sselte bertragung von Benutzernamen und Passw rtern ber ein Netzwerk Viele ltere Protokolle z B Telnet und FTP verschl sseln die Authentifizierung nicht und sollten m glichst deaktiviert werden e Emfpindliche Daten unverschl sselt ber ein Netzwerk versenden Viele Protokolle bertragen Daten unverschl sselt ber ein Netzwerk Diese Protokolle sind unter anderem Telnet FTP HTTP und SMTP Viele Netzwerk Dateisysteme z B NFS und SMB bertragen auch Informationen unverschl sselt ber das Netzwerk Es liegt in der Verantwortung des Benutzers einzuschr nken welche Art Daten bei der Verwendung dieser Protokolle bertragen werden d rfen Auch remote Speicherabbildungsdienste wie netdump bertragen den Inhalt eines Speichers un verschl sselt ber das Netzwerk Memory Dumps k nnen Passw rter oder schlimmer noch Da tenbankeintr ge und andere empfindliche Informationen enthalten Andere Dienste wie finger und rwhod geben Informationen ber Benutzer im System preis Beispiele f r von Natur aus unsichere Dienste sind unter anderem folgende e rlogin rsh amp telnet vsftpd Alle Remote Login und Shell Programme rlogin rsh und telnet sollten zugunsten von SSH vermieden werden Unter Abschnitt 4 7 finden Sie weitere Inf
72. auf unbefugte Zugriffe und oder b swillige Aktivit ten analysiert Die Metho de wie IDS Anomalien entdeckt kann variieren das ultimative Ziel einer jeden IDS ist jedoch das Ertappen auf frischer Tat bevor ernsthafte Sch den am System angerichtet werden IDS sch tzen ein System vor einer Attacke vor Missbrauch und Kompromittierung Sie k nnen auch Netzwerkaktivit ten berwachen Netzwerk und Systemkonfigurationen auf Schwachstellen pr fen Datenintegrit t analysieren und vieles mehr Abh ngig von der Methode die Sie einsetzen m chten gibt es verschiedene direkte und indirekte Vorteile von IDS 9 1 1 Typen von IDS Das Verst ndnis was ein IDS ist und welche Funktionen bereitgestellt werden ist der Schl ssel zu der Entscheidung welche Art IDS in Ihrer Computersicherheitspolice angemessen ist In diesem Abschnitt werden die Konzepte hinter IDS die Funktionalit ten jeder IDS Art und das Auftauchen hybrider IDS die mehrere Erkennungstaktiken und Tools in einem Paket integrieren behandelt Einige IDS sind knowledge based und warnen im voraus Sicherheitsadministratoren vor einem Ein bruch mit Hilfe einer Datenbank der h ufigsten Attacken Alternativ dazu gibt es behavioral based verhaltens basierte IDS die Ressourcen auf Anomalien untersuchen was meistens ein Zeichen f r unbefugte Aktivit ten mit b swilliger Absicht ist Einige IDS sind Standalone Dienste die im Hin tergrund arbeiten und passiv auf Aktivit ten abh re
73. belle 109 IDS Siehe Intrusion Detection Systeme Intrusion Detection Systeme 87 definieren 87 Host basiert 88 netzwerk basiert 90 Snort 92 RPM Paket Manager RPM 88 Tripwire 88 Typen 87 und Log Dateien 88 ip6tables 74 IPsec 58 Host zu Host 59 Installieren 58 Konfiguration 62 Host zu Host 59 Netzwerk zu Netzwerk 62 Phasen 58 iptables 68 Dynamische Paketfilterung 74 Zust nde 74 Ketten 69 AUSGABE 70 EINGABE 70 FORWARD 71 POSTROUTING 72 PREROUTING 72 73 Regeln 70 allgemein 70 NAT 72 73 Speichern 70 Weiterleitung 71 Wiederherstellung 70 Richtlinien 70 und DMZs 73 und Viruse 73 Verwendung von 69 Zustands berpr fung 74 Zust nde 74 Zus tzliche Informationsquellen 75 K Kerberos NIS 49 Kommunikationsports 113 Kommunikationstools Sicher 40 GPG 40 OpenSSH 40 Kontrollen 6 administrative 6 technische 6 Zugang 6 Konventionen Dokument ii L lpd 38 lsof 55 md5sum Datei Pr fung mit 96 N NAT Siehe Network Address Translation NAT Nessus 82 Netfilter 68 Zus tzliche Informationsquellen 75 Netfilter 6 74 netstat 55 Network Address Translation NAT 71 mit iptables 71 Netzwerkdienste 37 Buffer Overflow ExecShield 37 Identifizieren und Konfigurieren 38 Risiken 37 Buffer Overflow 37 Denial of Service 37 Skript Anf lligkeiten 37 Netzwerke 103 de Militarisierte Zonen DMZ 106 Hubs 104 Segemtierung 106 Switches
74. beste Tool zur Konfiguration einer einfachen Firewall das einfa che grafische Firewall Konfiguration Tool das mit Red Hat Enterprise Linux ausgeliefert wird Se curity Level Configuration Tool system config securitylevel Dieses Tool erzeugt breite iptables Regeln f r eine allgemeine Firewall unter Verwendung eines Control Panel Interface Weitere Informationen ber die Verwendung dieser Applikation und deren Optionen finden Sie im Kapitel Basiskonfiguration der Firewall im Red Hat Enterprise Linux Handbuch zur System Administration F r fortgeschrittene Benutzer und Server Administratoren ist wahrscheinlich die beste Option das Konfigurieren einer Firewall von Hand mit dem Befehl iptables Weitere Informationen finden Sie unter Kapitel 7 Einen umfassenden Leitfaden zum iptables Befehl finden Sie im Kapitel Firewalls und iptables im Red Hat Enterprise Linux Referenzhandbuch 4 7 Kommunikationstools mit erh hter Sicherheit Mit wachsender Verbreitung und Beliebtheit des Internets w chst auch die Bedrohung durch Abfan gen von Kommunikation In den letzten Jahren wurden Tools entwickelt die jegliche Kommunikation bei der bertragung ber das Netzwerk verschl sseln Red Hat Enterprise Linux wird mit zwei einfachen Tools geliefert die hochrangige Verschl sselungs algorithmen basierend auf ffentlichen Schl sseln verwenden um Informationen w hrend der ber tragung im Netzwerk zu sch tzen e OpenSSH Eine frei erh ltlich
75. bestimmte Datei oder ein bestimmtes Verzeichnis mit diesem Namen in Ihrem System vorhanden ist Beispiele Die Datei bashrc in Ihrem Home Verzeichnis enth lt Bash Shell Definitionen und Aliase f r Ihren Gebrauch Die Datei etc stab enth lt Informationen ber verschiedene Systemger te und Dateisyste me Installieren Sie den webalizer RPM wenn Sie ein Analyseprogramm f r eine Webserver Protokolldatei verwenden m chten Einf hrung iii Applikation Diese Darstellungsart weist darauf hin dass es sich bei diesem Programm um eine Endbenutzer Anwendung handelt im Gegensatz zur System Software Beispiel Verwenden Sie Mozilla um im Web zu browsen Taste Die Tasten der Tastatur werden auf diese Weise dargestellt Beispiel Um die Tab Vervollst ndigung zu verwenden geben Sie einen Buchstaben ein und dr cken Sie anschlie end die Taste Tab Auf diese Weise wird die Liste der Dateien im Verzeichnis angezeigt die mit diesem Buchstaben beginnen Tasten Kombination Eine Tastenkombination wird auf diese Art und Weise dargestellt Mit der Tastenkombination Strg Alt R cktaste beenden Sie Ihre grafische Sitzung und keh ren zum grafischen Anmeldebildschirm oder zur Konsole zur ck Text in der GUI Schnittstelle berschriften Worte oder S tze die Sie auf dem GUI Schnittstellenbildschirm oder in Window finden werden in diesem Stil wiedergegeben Wenn Sie daher einen Text in diesem Stil finden soll dieser
76. brasrv 2601 discp client discp client Zebra Integrated Shell zebra 2602 discp server discp server Routing Information Protocol Daemon ripd ripd 2603 servicemeter Service Meter RIP Daemon f r IPv6 ripngd 2604 nsc ccs ospfd NSC CCS Open Shortest Path First Daemon ospfd 2606 netmon ospf6d Dell Netmon OSPF f r IPv6 Daemon ospf6d 2605 NSC POSA Border Gateway Protocol Daemon bgpd 2809 corbaloc Common Object Request Broker Architecture CORBA Naming Service Locator 3130 icpv2 Internet Cache Protocol Version 2 v2 verwendet vom Squid Proxy Caching Server 3306 MySQL Datenbank Service 3346 Transparent Proxy 120 Anhang C H ufige Ports Port Layer Name Kommentar 4011 Pre execution Environment PXE Service 4321 Remote Whois rwhois Service Translator 6000 tcp x X Window System Services 7000 afs3 fileserver Andrew File System AFS Dateiserver 11 X 7001 afs3 callback AFS Port f r Callbacks to Cache Manager 7002 AFS Benutzer und Gruppendatenbank 7003 AFS Volume Location Datenbank 7005 AFS Volume Management Server 7006 AFS Fehler Interpretationsservice 7007 AFS Basic Overseer Process 7008 afs3 update AFS Server to Server Updater anda 7009 AFS Remote Cache Manager Service 9876 Session Director f r IP Multicast Conferencing d 10080 am Advanced Maryland Automatic Network Disk Archiver Amanda Backup Services 11371 pgpkeyserver Pretty Good Privacy PGP GNU Privacy Guard GPG P
77. ch der Definitionen f r alle Befehlsoptionen Die iptables man Seite enth lt ebenfalls eine kurze Zusammenfassung der verschiedenen Optio nen In Anhang C und in etc services befindet sich eine Liste der gebr uchlichen Dienste und ihrer Port Nummern 7 8 2 Hilfreiche Websites http www netfilter org Die offizielle Homepage des Netfilter und iptables Projekts http www tldp org Das Linux Dokumentations Projekt enth lt mehrere hilfreiche Anweisun gen in Zusammenhang mit der Erstellung und Administration von Firewalls http www iana org assignments port numbers Die offizielle Liste registrierter und blicher Service Ports zugeteilt von der Internet Assigned Numbers Authority 76 Kapitel 7 Firewalls 7 8 3 Verwandte Dokumentation Red Hat Linux Firewalls von Bill McCarty Red Hat Press eine umfassende Referenz beim Erstellen von Netzwerk und Open Source Firewalls mittels Open Source Paketfilterungs Technologie wie z B Netfilter und iptables Es beinhaltet Themen wie beispielsweise das Analysieren von Firewall Logs das Entwickeln von Firewall Regeln und das Anpassen Ihrer Firewall mit grafischen Tools wie z B lokkit Linux Firewalls von Robert Ziegler New Riders Press enth lt eine Menge an Informationen ber das Erstellen von Firewalls mit 2 2 kernel und ipchains sowie mit Netfilter und iptables Es werden auch zus tzliche Sicherheitsthemen abgedeckt wie Probleme mit Zuga
78. ch stets eine schriftliche Genehmigung ein bevor Sie Passw rter innerhalb eines Unternehmens zu knacken versuchen 30 Kapitel 4 Workstation Sicherheit 4 3 2 2 Password Aging Password Aging ist eine weitere Methode die von Systemadministratoren verwendet wird um un sichere Passw rter in einem Unternehmen zu verhindern Password Aging bedeutet dass Benutzer nach einer bestimmten Zeit gew hnlich 90 Tage aufgefordert wird ein neues Passwort festzulegen Die Theorie dahinter ist dass wenn ein Benutzer in periodischen Abst nden dazu aufgefordert wird sein Passwort zu ndern ein geknacktes Passwort einem Cracker nur f r eine gewisse Zeit n tzlich ist Der Nachteil von Password Aging ist jedoch dass Benutzer eher dazu neigen sich die Passw rter aufzuschreiben Es gibt zwei Programme f r das Festlegen von Password Aging unter Red Hat Enterprise Linux den Befehl chage oder die grafische Applikation User Manager system config users Die Option M des Befehls chage legt die maximale Anzahl von Tagen fest f r die das Passwort g ltig ist Wenn Sie zum Beispiel festlegen wollen dass ein Benutzer Passwort nach 90 Tagen ung ltig wird geben Sie den folgenden Befehl ein chage M 90 lt username gt Ersetzen Sie im oben genannten Befehl lt username gt mit dem Namen des Benutzers Wenn Sie nicht m chten dass das Passwort ung ltig wird verwenden Sie den Wert 99999 nach der Option M dies ist etwas mehr als 273 Jahre Wen
79. che Netzwerke und desweiteren zum Schutz empfindlicher Daten auf Festplatten eingesetzt werden Weitere Informationen zu GPG finden Sie im Anhang Einf hrung in Gnu Privacy Guard im lt Red Hat Enterprise Linux Schrittweise Einf hrung 42 Kapitel 4 Workstation Sicherheit Kapitel 5 Server Sicherheit Wenn ein System als Server in einem ffentlichen Netzwerk verwendet wird wird dieses zu einem Angriffsziel Aus diesem Grund ist das Abh rten des Systems und Sperren von Diensten von erhebli cher Bedeutung f r den Systemadministrator Bevor Sie die Details eines bestimmten Themas erforschen sehen Sie sich die folgenden allgemeinen Hinweise f r das Erh hen der Server Sicherheit an Halten Sie alle Dienste auf dem neuesten Stand um vor den neuesten Bedrohungen gesch tzt zu sein Verwenden Sie sichere Protokolle Wenn m glich sollte immer nur eine Maschine einen Netzwerkdienst bereitstellen e berwachen Sie alle Server sorgf ltig auf verd chtige Aktivit ten 5 1 Sichern von Diensten mit TCP Wrappern und xinetd TCP Wrapper bieten Zugriffskontrolle f r eine Reihe von Diensten Die meisten modernen Netz werkdienste wie z B SSH Telnet und FTP verwenden TCP Wrapper die als Wachposten zwischen einer eingehenden Anfrage und dem angefragten Dienst stehen Die Vorteile von TCP Wrappern werden noch erweitert wenn diese zusammen mit xinetd einem Super Dienst der zus tzliche Zugriffs Log Bindungs Umleitun
80. chem Zweck Pakete gesendet wurden Dies bringt uns ins neue Jahrtausend einer Zeit in der gesch tzte 945 Millionen Menschen weltweit das Internet verwenden oder verwendet haben Computer Industry Almanac 2004 Zur gleichen Zeit e Jeden Tag werden um die 225 schwerwiegenden F lle von Sicherheitsverletzungen beim CERT Koordinationszentrum der Carnegie Mellon Universit t USA gemeldet e Im Jahre 2003 stieg die Anzahl der bei CERT gemeldeten Vorf lle sprunghaft von 82 094 im Jahre 2002 auf 137 529 an 52 658 im Jahre 2001 Der weltweite wirtschaftliche Schaden der durch die drei gef hrlichsten Internetviren in den letzten zwei Jahren verursacht worden ist wurde auf ungef hr 13 2 Billionen US Dollar gesch tzt Quelle http www newsfactor com perl story 16407 html Computersicherheit ist zu einer quantifizierbaren und berechtigten Ausgabe f r alle IT Budgets ge worden Unternehmen die Datenintegrit t und Hochverf gbarkeit ben tigen eruieren die F higkeiten von Systemadministratoren Entwicklern und Ingenieuren um eine 24 7 Verl sslichkeit ihrer Syste me Services und Informationen zu garantieren Opfer von b swilligen Anwendern Prozessen oder koordinierten Attacken zu werden ist eine direkte Bedrohung in Hinsicht des Gesch ftserfolges Leider kann System und Netzwerksicherheit eine gewisse Schwierigkeit darstellen die ein genau es Verst ndnis dar ber wie ein Unternehmen Informationen betrachtet verwendet m
81. chen Sie die Zeile title des unsicheren Betriebssystems und f gen Sie direkt darunter eine Zeile mit dem Befehl lock ein F r ein DOS System sollte die Zeile hnlich wie folgt beginnen title DOS lock A Achtung Sie m ssen die Zeile password im Hauptabschnitt der Datei boot grub grub conf haben damit dies funktioniert Ansonsten kann ein Angreifer auf den GRUB Editor zugreifen und die lock Zeile entfernen Wenn Sie ein anderes Passwort f r einen bestimmten Kernel oder ein Betriebssystem festlegen m ch ten f gen Sie eine Lock Zeile gefolgt von einer Passwortzeile in den Abschnitt ein Jeder Abschnitt den Sie mit einem einzigartigen Passwort sch tzen m chten sollte mit Zeilen hnlich dem folgenden Beispiel beginnen title DOS lock password md5 lt password hash gt 2 GRUB akzeptiert auch Klartext Passw rter es wird jedoch empfohlen dass Sie die md5 Version verwenden da boot grub grub conf standardm ig allgemeine Leseberechtigungen besitzt 26 Kapitel 4 Workstation Sicherheit 4 3 Passwortsicherheit Passw rter werden von Red Hat Enterprise Linux als Hauptmethode zur berpr fung der Benutze ridentit t eingesetzt Aus diesem Grund ist die Passwortsicherheit von erheblicher Bedeutung zum Schutz des Benutzers der Workstation und dem Netzwerk Aus Sicherheitsgr nden konfiguriert das Installationsprogramm das System so dass ein Message Digest Algorithm MD5 und Shadow Passw rter verwendet werden E
82. cker freundlichste Betriebssystem aufgrund der zug nglichen Entwicklungstools und Compilers und der hilfsbereiten Anwendergemeinschaft Etwa zur gleichen Zeit entwickelt Dennis Ritchie die Programmiersprache C die wohl beliebteste Hacker Sprache in der Geschichte des Computers 1 2 3 Die 70er Jahre Bolt Berank und Newman ein Vertragsunternehmen f r Forschung und Entwicklung f r die US Regierung und Industrie entwickelt das Telnet Protokoll eine ffentliche Erweiterung des ARPANets Dies ffnete das Tor zur ffentlichen Verwendung von Datennetzwerken einst beschr nkt auf Vertragsunternehmen f r die Regierung und akademische Forschung Telnet ist jedoch laut verschiedenen Sicherheitsexperten das wohl unsicherste Protokoll f r ffentliche Netzwerke Steve Jobs und Steve Wozniak gr ndeten Apple Computer und begannen mit der Vermarktung des Personal Computer PC Der PC ist das Sprungbrett f r b swillige Anwender zum Erlernen der Kunst Systeme von au en mittels allgemein erh ltlicher PC Kommunikations Hardware wie z B analoge Modems und War Dialers zu cracken Jim Ellis und Tom Truscott erschaffen USENET ein Bulletin Board artiges System f r elektron ische Kommunikation zwischen ungleichen Anwendern USENET wird schnell zu einem der be liebtesten Foren f r den Ideenaustausch im Bereich Computing Netzwerke und nat rlich Cracking 1 2 4 Die 80er Jahre IBM entwickelt und vertreibt PCs basierend auf dem Intel 808
83. d auf deren Bed rfnissen geben kann Administratoren die die sudo Konfigurationsdatei etc sudoers bearbeiten wollen sollten den Befehl visudo verwenden Um jemandem volle administrative Rechte zu geben geben Sie visudo ein und f gen Sie eine Zeile hnlich der folgenden in den Abschnitt f r die Benutzerrechte ein juan ALL ALL ALL In diesem Beispiel kann dann der Benutzer juan den Befehl sudo von jedem Host aus verwenden und jeden Befehl ausf hren Das untenstehende Beispiel zeigt die m gliche Granularit t bei der Konfiguration von sudo users localhost sbin shutdown h now In diesem Beispiel kann jeder Benutzer den Befehl sbin shutdown h now ausf hren solange dieser von der Konsole aus eingegeben wird Die man Seite zu sudoers enth lt eine detaillierte Liste aller Optionen f r diese Datei Kapitel 4 Workstation Sicherheit 37 4 5 Verf gbare Netzwerkdienste W hrend Benutzerzugriff zu administrativen Kontrollen ein wichtiges Thema f r Systemadministrato ren innerhalb eines Unternehmens ist ist die Kontrolle der Netzwerkdienste von oberster Wichtigkeit f r jeden der ein Linux System installiert und anwendet Viele Dienste unter Red Hat Enterprise Linux verhalten sich als Netzwerkserver Wenn ein Netzwerk dienst auf einem Computer ausgef hrt wird h rt eine Server Applikation auch Daemon genannt auf einem oder mehreren Ports die Verbindungen ab Jeder dieser Server sollte als potentielle Angriffs stelle b
84. dant 8 2 Definition von Analyse und Test BR 83 Auswerten der Tools neerhsnitneene IV Eindringung und Gegenma nahmen 9 Intrusion Detection 9 1 Definition der Intrusion Detection Systeme 9 2 Host basiertes IDS nenene Br 9 3 Netzwerk b sierte IDS u nase asien 10 Vorfallsre ktion as 10 1 Definition der Vorfallsreaktion ser 10 2 Erstellen eines Incident Response Plans 10 3 Implementieren des Incident Response Plans ueeeeennenne 95 10 4 Untersuchen des Vorfalls 10 5 Wiederherstellen von Ressourcen 10 6 Den Vorfall melden V Anh nge A Hardware und Netzwerkschutz uuuessessessessesseesennseenennensnnsensnnnnennennnnnennensonsensnnsnennennen A 1 Sichere Netzwerktopologien A 2 Hardware Sicherheit 106 B H ufige Schwachstellen und Attacken 109 C H ufige Poilsis rse tt see AE ETE EEA han erkennen 113 Stichwortverzeichnis Colophon Einf hrung Willkommen beim Red Hat Enterprise Linux Sicherheitshandbuch Das Red Hat Enterprise Linux Sicherheitshandbuch wurde entworfen um Benutzern von Red Hat Enterprise Linux beim Verst ndnis und Umgang mit der Sicherung von Arbeitsplatzrechnern und Servern gegen lokales und remotes Eindringen Ausnutzung und b swillige Aktivit ten zu helfen Das Red Hat Enterprise Linux Sicherheitshandbuch beschreibt im Detail die Planung und die Tools die f r die Errichtung einer sicheren Umgebung f r Datenzentrum
85. den Nehmen Sie an es besteht eine einzelne Festplatte in einem System von dem Sie ein Abbild machen m chten F gen Sie diese Festplatte als Slave zu Ihrem System hinzu und verwenden Sie den Befehl dd um eine Image Datei zu erstellen dd if dev hdd bs 1k conv noerror sync of home evidence imagel Dieser Befehl erstellt eine einzige Datei mit dem Namen imagel und verwendet einen IK Block aus Geschwindigkeitsgr nden Die Option conv noerror sync zwingtdd dazu mit dem Lesen und Ablegen von Daten fortzufahren auch wenn defekte Sektoren auf dem verd chtigen Laufwerk gefunden werden Jetzt k nnen Sie die resultierende Image Datei studieren oder versuchen gel schte Dateien wiederherzustellen 10 4 2 Post Breach Informationen sammeln Das Thema digitale Untersuchungen und Analysen ist relativ breitgef chert dennoch sind die Tools ziemlich Architektur spezifisch und k nnen nicht allgemein angewendet werden Vorfallsreaktion Analyse und Wiederherstellung sind jedoch wichtige Themen Mit dem richtigen Wissen und der Erfahrung wird Red Hat Enterprise Linux zu einer ausgezeichneten Plattform f r solche Arten von Analysen da es verschiedene Utilities f r die R ckantwort nach einem Versto und f r die Wieder herstellung bietet Tabelle 10 1 beschreibt im Detail einige Befehle f r das Pr fen und Verwalten von Dateien Es werden au erdem einige Beispiele aufgelistet die Sie zum richtigen Identifizieren von Dateitypen und Datei attribu
86. den Unterabschnitten wird ein grundlegendes Wissen ber NFS voraus gesetzt 50 Kapitel 5 Server Sicherheit chic Die Version von NFS die in Red Hat Enterprise Linux inkludiert ist NFSv4 ben tigt nicht mehr l nger den portmap Dienst wie in Abschnitt 5 2 beschrieben NFS Verkehr benutzt nunmehr eher TCP in allen Versionen als UDP und erfordert TCP unter Verwendung von NFSv4 NFSv4 beinhaltet nunmehr Kerberos Benutzer und Gruppen Authentifizierung als Teil des Recsec_ess Kernel Moduls Informationen ber portmap sind weiterhin beinhaltet da Red Hat Enterprise Linux ebenso NFSv2 und NFSv3 unterst tzt welche portmap einsetzen 5 4 1 Planen Sie das Netzwerk sorgf ltig Da nunmehr von NFSv4 s mtliche Informationen verschl sselt mittels Kerberos ber das Netzwerk bertragen werden k nnen ist es wichtig dass dieser Dienst richtig konfiguriert wird sollte sich dieser hinter einer Firewall oder auf einem segmentierten Netzwerk befinden NFSv2 und NFSv3 bergeben Daten noch immer nicht sicher Dabei besteht immer ein gewisser Grund zur Besorgnis Hier kann ein sorgf ltiges Design des Netzwerks schwerwiegende Sicherheitsbr che verhindern 5 4 2 Achtung vor Syntax Fehlern Der NFS Server entscheidet ber die Datei etc exports welche Dateisysteme exportiert werden sollen und zu welchen Hosts diese Dateisysteme exportiert werden sollen Achten Sie darauf dass Sie keine Extra Leerstellen beim Bearbeiten dieser Datei einf gen
87. der Zugriff verweigert Andere Werte f r das deny_tiime Attribut sind FOREVER der solange wirksam ist bis xinetd neu gestartet wird und NEVER der die Verbindung zul sst und sie dokumentiert Die letzte Zeile sollte wie folgt aussehen disable no Obwohl SENSOR eine gute Methode ist Verbindungen von b swilligen Hosts zu erkennen und zu stoppen hat es jedoch zwei Nachteile Es hilft nicht gegen heimliches Scannen Stealth Scans 46 Kapitel 5 Server Sicherheit Ein Angreifer der wei dass ein SENSOR ausgef hrt ist kann eine DoS Attacke gegen bestimmte Hosts ausf hren indem er ihre IP Adressen f lscht und sich mit dem verbotenen Port verbindet 5 1 2 2 Kontrollieren von Server Ressourcen Ein weiteres wichtiges Feature von xinetd ist die F higkeit die Anzahl der Ressourcen die Dienste zur Verf gung haben zu kontrollieren Dies wird durch die folgenden Direktiven erreicht e cps lt number_of_connections gt lt wait_period gt Gibt die Verbindungen pro Sekunde zu einem Service vor Diese Direktive akzeptiert nur ganze Zahlen e instances lt number_of_connections gt Gibt die Gesamtzahl aller erlaubten Verbindungen zu einem Dienst an Diese Direktive akzeptiert entweder ganze Zahlen oder UNLIMITED e per_source lt number_of_connections gt Gibt die Verbindungen zu einem Dienst pro Host vor Diese Direktive akzeptiert entweder einen ganzzahligen Wert oder UNLIMITED e rlimit_as lt
88. die Systeme von Kunden von denen sie zum Zwecke der Sicherheitspr fung beauftragt wurden Akademische Forscher und professionelle Sicherheitsberater sind zwei Beispiele f r White Hat Hackers Ein Black Hat Hacker ist synonym mit einem Cracker Im allgemeinen konzentrieren sich Cracker weniger auf das Programmieren und die akademische Seite des Einbruchs in Systeme Sie verlassen sich h ufig auf verf gbare Cracking Programme und nutzen bekannte Schwachstellen in Systemen zur Aufdeckung empfindlicher Informationen aus f r pers nlichen Gewinn oder um Schaden auf dem System oder Netzwerk anzurichten Ein Grey Hat Hacker auf der anderen Seite hat die F higkeiten und die Absichten eines White Hat Hackers in den meisten F llen nutzt sein Wissen von zeit zu Zeit jedoch auch f r weniger edle Absich ten Ein Grey Hat Hacker kann also als jemand bezeichnet werden der grunds tzlich gute Absichten hat jedoch manchmal aus Eigennutz zum Black Hat Hacker wird 10 Kapitel 2 Angreifer und Schwachstellen Sogenannte Grey Hat Hacker halten sich h ufig an eine andere Form von Hacker Ethik die besagt dass es akzeptabel ist in Systeme einzubrechen solange der Hacker nicht Diebstahl begeht oder den Datenschutz verletzt Man kann sich jedoch dar ber streiten ob das eigentliche Einbrechen in Systeme nicht bereits unethisch ist Unabh ngig von der Absicht des Eindringlings ist es wichtig die Schwachstellen zu kennen die ein Cracker am ehesten vers
89. dinierte Ping Flut Attacke mehrere kompromittierte Systeme mit Breitbandverbindungen unverf gbar gemacht wurden indem sich diese wie Zombiesverhielten oder bertragungsknoten umgeleitet wurden Quell Pakete werden allgemein gef lscht oder umgeleitet was das Auffinden der wahren Quelle der Attacke schwierig macht Fortschritte beim Ingress Filtering IETF rfc2267 mittels iptables und Netzwerk IDS Technologien wie snort helfen Administratoren DoS Attacken herauszufinden und zu verhindern AnhangC H ufige Ports In der folgenden Tabelle werden die h ufigsten Kommunikationsports die von Services Daemons und Programmen unter Red Hat Enterprise Linux verwendet werden aufgelistet Diese Liste finden Sie auch in der Datei etc services Diese offizielle Liste bekannter registrierter und Dynamischer Ports wie von der Internet Assigned Numbers Authority IANA ausgegeben finden Sie unter der folgenden URL http www iana org assignments port numbers j gt Hinweis Der Layer wenn aufgelistet besagt ob der Service oder das Protokoll TCP oder UDP f r die ber tragung verwendet Wenn nicht aufgelistet verwenden Service Protokoll beides TCP und UDP Tabelle C 1 listet die von IANA ausgegebenen Bekannten Ports auf und wird von Red Hat Enterprise Linux f r Standard Komminukations Ports f r verschiedene Services inklusive FTP SSH und Samba verwendet Port Layer _ Name Kommentar System Status Service
90. dministrator ber einen sicheren und gepatchten Server verf gt hei t dies noch lange nicht dass Remote Benutzer sicher sind wenn sie auf diesen zugreifen Wenn zum Beispiel der Server Telnet oder FTP Dienste ber ein ffentliches Netzwerk zur Verf gung stellt kann ein Angreifer die Kapitel 2 Angreifer und Schwachstellen 13 Nur Text Benutzernamen und Passw rter abgreifen wenn diese ber das Netzwerk bertragen wer den und dann diese Account Informationen zum Zugriff auf die Workstation des Remote Benutzers missbrauchen Selbst wenn sichere Protokolle wie z B SSH verwendet werden kann ein Remote Benutzer anf llig f r bestimmte Attacken sein wenn ihre Client Applikationen nicht auf dem neuesten Stand sind So kann zum Beispiel ein v 1 SSH Client anf llig sein f r eine X Forwarding Attacke eines b swilli gen SSH Servers Sobald dieser mit dem Server verbunden ist kann der Angreifer leise s mtliche Tastatureingaben und Mausklicks des Benutzers im Netzwerk registrieren Dieses Problem wurde im v 2 SSH Protokoll behoben es liegt jedoch am Benutzer festzustellen welche Applikationen solche Anf lligkeiten aufweisen und diese wenn n tig auf den neuesten Stand zu bringen Kapitel 4 beschreibt im Detail welche Schritte Administratoren und Heimanwender einleiten sollten um die Anf lligkeit von Computer Workstations einzuschr nken 14 Kapitel 2 Angreifer und Schwachstellen Il Red Hat Enterprise Linux f r Sicherheit ko
91. e Dienste an bestimmten Adressen und Ports segmentieren k nnen Lediglich dem LAN wird erlaubt auf interne Dienste zuzugreifen was wiederum IP Spoofing verhindert Weitere Infor mationen ber das Implementieren von iptables finden Sie unter Kapitel 7 Anhang A Hardware und Netzwerkschutz 107 A 2 Hardware Sicherheit Laut einer im Jahre 2000 vom FBI und CSI Computer Security Institute durchgef hrten Studie erfolgten ber siebzig Prozent aller gemeldeten Angriffe auf empfindliche Daten und Ressourcen von innerhalb des jeweiligen Unternehmens Das Implementieren einer internen Sicherheits Police ist daher genauso wichtig wie eine externe Strategie Dieser Abschnitt erkl rt einige der Schritte die Administratoren und Benutzer zur Sicherung der Systeme vor internen Angriffen durchf hren k nnen Mitarbeiter Workstations sind relativ unwahrscheinliche Angriffsziele f r aus der Ferne ver bte Attacken insbesondere solche hinter einer gut konfigurierten Firewall Es k nnen jedoch einige Schutzma nahmen implementiert werden um interne oder physikalische Attacken auf individuelle Workstation Ressourcen zu verhindern Moderne Workstation und Heim PCs haben BIOSe die Systemressourcen auf Hardwareebene kon trollieren Workstation Benutzer k nnen administrative Passw rter innerhalb des BIOS festlegen um b sartige Benutzer am Zugriff oder am Booten des Systems zu hindern BIOS Passw rter hindern Angreifer amf Booten des Systems und halten
92. e Implementierung des SSH Protokolls zur Verschl sselung von Netzwerkkommunikation Gnu Privacy Guard GPG Eine frei erh ltliche Implementierung der PGP Pretty Good Pri vacy Verschl sselungs Applikation zur Verschl sselung von Daten OpenSSH ist eine sichere Methode f r den Zugang zur einer entfernten Maschine und ersetzt lte re unverschl sselte Dienste wie telnet und rsh OpenSSH enth lt einen Netzwerkdienst mit dem Namen sshd und drei Befehlszeilen Client Applikationen e ssh Ein sicherer Zugangs Client f r Remote Konsolen e scp Ein sicherer Befehl f r Remote Copy e sftp Ein sicherer Pseudo FTP Client der interaktive Datei bertragung erm glicht Es wird dringend empfohlen das jegliche Remote Kommunikation in Linux Systemen ber das SSH Protokoll abgewickelt werden Weitere Informationen zu OpenSSH finden Sie im Kapitel OpenSSH Kapitel 4 Workstation Sicherheit 4 im Red Hat Enterprise Linux Handbuch zur System Administration Weitere Informationen ber das SSH Protokoll finden Sie im Kapitel SSH Protokoll im Red Hat Enterprise Linux Referenzhandbuch Bicon Obwohl der ssha Dienst von Natur aus unsicher ist muss dieser Dienst auf dem neuesten Stand gehalten werden um Sicherheitsgef hrdungen zu vermeiden Unter Kapitel 3 finden Sie weitere Informationen zu diesem Thema GPG ist eine sehr gute Methode um private Daten privat zu halten Es kann zum Versenden emp findlicher Daten ber ffentli
93. e in diesem Handbuch als Referenz f r Benutzer die Interesse an der Evaluation dieses Tools haben gegeben Weitere Informationen zu Snort finden Sie auf der offiziellen Webseite unter http www snort org Kapitel 10 Vorfallsreaktion Im Falle dass das die Sicherheit eines Systems kompromittiert wurde ist eine Vorfallsreaktion not wendig Es liegt in der Verantwortung des Sicherheitsteams schnell und effektiv auf das Problem zu reagieren 10 1 Definition der Vorfallsreaktion Vorfallsreaktion ist eine Express Reaktion auf ein sicherheitsbezogenens Problem oder einen Vorfall In Bezug auf Informationssicherheit w re dies z B das Vorgehen eines Sicherheitsteams gegen einen Hacker der eine Firewall durchdrungen hat und nun das interne Netzwerk auskundschaftet Dieser Vorfall ist ein Sicherheitsbruch Die Reaktion h ngt vom Sicherheitsteam ab was diese tun um den Schaden gering zu halten und wann die Ressourcen wiederhergestellt werden w hrend die Datenin tegrit t weiterhin aufrechterhalten wird Denken Sie an Ihr Unternehmen und wie fast alles sich auf Technologie und Computersysteme ver l sst Wird dies kompromittiert stellen Sie sich die m glichen verheerenden Sch den vor Abgesehen von einem Systemausfall und Datendiebstahl k nnten Daten korrumpiert werden Identit tendiebstahl kann auftreten durch Online Personalakten und peinliche Publicity oder sogar finanzieller Ruin kann die Folge sein wenn Kunden und Gesch
94. e wichtigste Einschr nkung ist die Implementierung der Sicherheit In der Aufregung eines erfolgreichen Einsatzes eines 802 11x Netzwerks vergessen viele Administra toren selbst die grundlegendsten Sicherheitsma nahmen Da das 802 11x Networking ber hochfre quente RF Signale durchgef hrt wird ist dies leicht zug nglich f r Benutzer mit einem kompatiblem NIC einem Wireless Netzwerk Scan Tool wie NetStumbler oder Wellenreiter und herk mmlichen Sniffing Tools wie dsniff und snort Um einen Missbrauch privater Wireless Netzwerke zu ver hindern verwendet der 802 11b Standard das Wired Equivalency Privacy WEP Protokoll das ein RC4 basierter 64 oder 128 Bit verschl sselter Schl ssel ist der von den Knoten oder zwischen AP und Knoten gemeinsam verwendet wird Dieser Schl ssel verschl sselt bertragungen und entschl s selt eingehende Pakete dynamisch und transparent Administratoren denken oft nicht an den Einsatz dieses Shared Key Verschl sselungs Schematas entweder weil diese es schlichtweg vergessen oder aufgrund der Leistungsbeeintr chtigung insbseondere ber weite Entfernungen Der Einsatz von WEP f r Wireless Netzwerke kann die Wahrscheinlichkeit des Abfangens von Daten wesentlich verringern Red Hat Enterprise Linux unterst tzt mehrere 802 11x Produkte verschiedener Hersteller Das Net work Administration Tool beinhaltet eine M glichkeit f r das Konfigurieren von Wireless NICs und WEP Sicherheit Weitere Informationen zum N
95. eben werden 5 1 2 Erh hen der Sicherheit mit xinetd Der xinetd Super Server ist ein weiteres n tzliches Tool zur Zugriffskontrolle auf die untergeord neten Server In diesem Abschnitt wird beschrieben wie xinetd eingesetzt werden kann um einen sogenannten Trap Service einzurichten und die Anzahl der Ressourcen die zur Unterbindung von DoS Angriffen in jedem beliebigen xinetd Dienst zu Verf gung stehen zu kontrollieren Eine einge hendere Liste der verf gbaren Optionen finden Sie auf den man Seiten zu xinetd und xinetd conf 5 1 2 1 Eine Falle aufstellen Ein wichtiges Feature von xinetd ist die F higkeit Hosts zu einer globalen no_access Liste hin zuf gen zu k nnen Den Hosts auf dieser Liste werden Verbindungen zu Diensten die von xinetd verwaltet werden f r einen bestimmten Zeitraum oder bis xinetd neu gestartet wird verweigert Dies wird durch das SENSOR Attribut erreicht Durch diese Methode k nnen Sie auf einfache Weise Hosts blockieren die den Server auf offene Ports absuchen Der erste Schritt f r das Einrichten des SENSOR ist einen Dienst auszuw hlen den Sie nicht f r eine Verwendung einplanen In diesem Beispiel wird Telnet verwendet Bearbeiten Sie die Datei etc xinetd d telnet und ndern Sie die Zeile flags in folgendes um flags SENSOR F gen Sie die folgendes Zeile innerhalb der Klammern hinzu deny_time 30 Hierdurch wird dem Host der 30 Minuten lang versucht hat sich mit dem Port zu verbinden
96. egeben SWATCH http sourceforge net projects swatch Der Simple WATCHer SWATCH verwendet von syslog generierte Logdateien zur Warnung vor Anomalien die auf Benutzerkonfigurations dateien beruhen SWATCH wurde entworfen um jedes Ereignis das der Benutzer zur Konfigura tionsdatei hinzuf gen will aufzuzeichnen Es wurde jedoch weitestgehend als host basiertes IDS bernommen LIDS http www lids org Das Linux Intrusion Detection System LIDS ist ein Kernel Patch und ein Administrationstool das auch Datei nderungen ber Zugangskontrolllisten ACLs kon trolliert und Prozesse und Dateien sch tzt selbst vor dem root Benutzer 9 3 Netzwerk basierte IDS Netzwerk basierte Intrusion Detection Systeme funktionieren anders als host basierte IDS Die Design Philosophie eines netzwerk basierten IDS ist das Scannen von Netzwerkpaketen am Router oder Host Pr fen von Paket Informationen und das Logging jeglicher verd chtiger Pakete in einer speziellen Log Datei mit erweiterten Informationen Basierend auf diesen verd chtigen Paketen kann ein netzwerk basiertes IDS deren eigene Datenbank mit Signatur bekannter Netzwerkattacken scannen und einen Gewichtigkeitsgrad f r jedes Paket festlegen bersteigt der Grad der Gewichtigkeit einen bestimmten Wert wird eine Warn E Mail oder eine Nachricht ber Mobil Pager an die Mitarbeiter des Sicherheitsteams abgeschickt sodass diese die Art der Anomalie weiter pr fen k nnen Netzwerk b
97. eine Produktionsumgebung im Internet gestellt kann jeder Benutzer mit dem gleichen Standardschl ssel auf diese Ressourcen und damit auf alle empfindlichen Informationen darin zugreifen H ufig mit Netzwerk Hardware wie Routers Firewalls VPNs und Netzwerkspeicher Applikationen NAS assoziiert Tritt h ufig in Legacy Betriebssystemen auf insbesondere bei Betriebssystemen die Dienste wie UNIX und Windows kombinieren Administratoren erstellen manchmal berechtigte Benutzer in Eile und lassen das Passwort frei ein perfekter Zugangspunkt f r b sartige Benutzer die dies entdecken Tritt in Wireless Access Points und bei vorkonfigurierten sicheren Servern auf CIPE siehe Kapitel 6 enth lt als Beispiel einen statischen Schl ssel der ge ndert werden muss bevor dieser in einer Produktionsumgebung angewendet wird 110 Anhang B H ufige Schwachstellen und Attacken Sicherheitsloch Beschreibung Bez IP Spoofing Lauschen Eine sich entfernt befindliche Maschine verh lt sich wie ein Knoten im lokalen Netzwerk findet Schwachstellen auf Ihrem Server und installiert ein Backdoor Programm oder Trojanisches Pferd um Kontrolle ber Ihre Netzwerkressourcen zu erlangen Das Sammeln von Daten zwischen zwei aktiven Knoten auf einem Netzwerk durch das Abh ren der Verbindung dieser beiden Knoten Spoofing ist relativ schwierig da es vom Angreifer erfordert dass er TCP IP SYN ACK Nummern voraussagt um e
98. eine Shell ben tigen wie z B FTP ClientsMail Clients und viele setuid Programme F r die folgenden Programme wird der root Account nicht gesperrt sudo FTP Clients E Mail Clients Programme die sich nicht als root anmelden aber administrative Aufgaben durch setuid oder andere Mechanismen ausf hren Die folgenden Programme werden nicht f r den Zugang zum root Account gesperrt gu sudo ssh 890p sftp Das dies nur die OpenSSH Toolsuite betrifft sind keine anderen Programme von dieser Einstellung betroffen Kapitel 4 Workstation Sicherheit 33 Methode Beschreibung Em Betrifft nicht Mit PAM Bearbeiten Sie die Datei f r Verhindert root Zugang Programme und Dienste den root den Zieldienst im zu Netzwerkdienste die die PAM nicht Zugang Verzeichnis etc pam d PAM ber cksichtigen ber cksichtigen zu Stellen Sie sicher dass Die folgenden Programme Diensten pam_listfile so f r die sind f r den Zugang zum ein Authentifizierung Rot Account gesperrt schr nken erforderlich ist a FTP Clients E Mail Clients login gdm kdm xdm ssh Sep SEEP Alle anderen Dienste die PAM ber cksichtigen Bemerkungen a Weitere Informationen finden Sie unter Abschnitt 4 4 2 4 Tabelle 4 1 Methoden zum Deaktivieren des root Accounts 4 4 2 1 Die Root Shell deaktivieren Um zu verhindern dass sich Benutzer direkt als root anmelden kann der Systemadm
99. einen bestimmten GUI Bildschirm oder ein Element eines GUI Bildschirms z B ein Text der sich auf ein Kontrollk stchen oder auf ein Feld bezieht identifizieren Beispiel W hlen Sie das Kontrollk stchen Passwort erforderlich wenn Ihr Bildschirmschoner passwort gesch tzt sein soll Erste Men stufe auf einem GUI Bildschirm oder in einem Fenster Wenn ein Wort auf diese Art und Weise dargestellt ist zeigt dies an dass es sich hierbei um den Anfang eines Pulldown Men s handelt Beim Klicken auf das Wort auf dem GUI Bildschirm erscheint der Rest des Men s Zum Beispiel Unter Datei auf dem GNOME Terminal sehen Sie die Option Neuer Tab mit dem Sie mehrere Shell Prompts im gleichen Fenster ffnen k nnen Wenn Sie eine Befehlsreihe aus einem GUI Men eingeben wollen wird diese entsprechend dem folgenden Beispiel angezeigt Indem Sie Hauptmen im Panel gt Programmieren gt Emacs w hlen starten Sie den Tex teditor Emacs Schaltfl che auf einem GUI Bildschirm oder in einem Fenster Diese Darstellungsweise zeigt an dass man den betreffenden Text auf der Schaltfl che eines GUI Bildschirms finden kann Zum Beispiel Indem Sie auf die Schaltfl che Zur ck klicken kehren Sie auf die Website zur ck die Sie zuletzt angesehen haben Computerausgabe Text der in diesem Stil dargestellt wird ist Text der in einem Shell Prompt ausgegeben wird wie Fehlermeldungen und Antworten auf bestimmte Befehle Zum Beispiel Durc
100. einer Nur Text ASCII oder DBM ASCIH abgeleiteten Daten bank Ein Cracker der Zugang zu dieser Datenbank erh lt kann dann auf jeden Benutzeraccount in diesem Netzwerk zugreifen einschlie lich dem des Administrators Standardm ig sind bei Red Hat Enterprise Linux solche Dienste deaktiviert Da Administratoren h ufig jedoch zur Verwendung dieser Dienste gezwungen sind ist Sorgfalt von oberster Wichtigkeit Weitere Informationen zum sicheren Einrichten eines Servers finden Sie unter Kapitel 5 2 4 Bedrohungen der Workstation und Heim PC Sicherheit Workstations und Heim PCs sind nicht ganz so anf llig f r Attacken wie Netzwerke oder Server da sie jedoch h ufig empfindliche Informationen wie zum Beispiel Kreditkartendaten enthalten werden sie schnell zum Ziel von Crackern Workstations k nnen kooptiert werden ohne das der Benutzer dies merkt und von Angreifern als Sklaven Maschinen f r koordinierte Angriffe verwendet werden Aus diesem Grund kann die Kenntnis der Schwachstellen einer Workstation Benutzern den Kopfschmerz der Neuinstallation eines Betriebssystems oder das Erholen nach einem Datendiebstahl ersparen 2 4 1 Ungeeignete Passw rter Schlechte Passw rter ist einer der leichtesten Methoden f r einen Angreifer Zugang zu einem System zu erhalten Weitere Informationen zur Vermeidung der Fallen bei der Erstellung von Passw rtern finden Sie unter Abschnitt 4 3 2 4 2 Anf llige Client Applikationen Auch wenn ein A
101. eit vielen Jahren auf dem Markt und ist das wahrscheinlich am h ufigsten verwendete Tool f r die Sammlung von Informationen Es enth lt eine ausgezeichnete man Seite die detaillierte Informationen zu Optionen und Verwendung bietet Administratoren k nnen Nmap in einem Netzwerk verwenden um Hosts und offene Ports auf diesen Systemen zu finden Nmap ist ein kompetenter erster Schritt bei der Schwachstellenanalyse Sie k nnen die Hosts in Ihrem Netzwerk aufzeigen und eine Option angeben die versucht zu bestimmen welches Betriebssystem auf einem bestimmten Host l uft Nmap ist eine gute Grundlage f r das Einf hren sicherer Services und das Abstellen unbenutzter Services 8 3 1 1 Nmap verwenden Nmap kann von einem Shell Prompt aus verwendet werden Geben Sie an einem Shell Prompt den Befehl nmap gefolgt vom Hostnamen oder der IP Adresse des zu scannenden Computers ein nmap foo example com Die Ergebnisse des Scannens die einige Minuten brauchen k nnen abh ngig davon wo sich der Host befindet sollten wie folgt aussehen Starting nmap V 3 50 www insecure org nmap Interesting ports on localhost localdomain 127 0 0 1 The 1591 ports scanned but not shown below are in state closed Port State Service 22 tcp open ssh 25 tcp open smtp 111 tcp open sunrpc 443 tcp open https 515 tcp open printer 950 tcp open oftep rpc 6000 tcp open XiT Nmap run completed 1 IP address 1 host up scanned in 71 825 seconds
102. ektivsten L sung werden Der Liner Bus ist jedoch von der st ndigen Verf gbarkeit des Backbone abh ngig und wird so zu einem einzigen Ausfallpunkt falls dieser offline genommen werden muss oder die Leitung gekappt wird Linear Bus Topologien werden h ufig in Peer to Peer LANs mit Koaxialkabeln und 50 Ohm Endwiderst nden an beiden Enden des Buses eingesetzt A 1 1 3 Stern Topologie Die Stern Topologie besteht aus einem zentralen Punkt an den die Knoten angeschlossen sind und durch den die Kommunikation weitergeleitet wird Dieser zentrale Punkt als Hub bezeichnet kann entweder broadcasted oder switched sein Diese Topologie f hrt zu einem einzigen Schwachpunkt in der zentralisierten Netzwerkhardware die die Knoten verbindet Durch diese Zentralisierung sind jedoch Netzwerkprobleme die entweder Teile des LAN oder das gesamte LAN beeintr chtigen leicht auf diese eine Fehlerquelle zur ckzuf hren A 1 2 bertragungs Betrachtungen Abschnitt A 1 1 3 stellte das Konzept des Broadcast Networking und Switched Networking vor Es gibt mehrere Faktoren die bei der Auswahl der Art von Netzwerk Hardware die geeingnet und sicher f r Ihre Netwerkumgebung sein muss beachtet werden m ssen Das Folgende kennzeichnet diese eindeutigen Arten des Netzwerbetriebes In einem Broadcast Netzwerk sendet ein Knoten ein Paket das durch jeden Knoten geht bis der Empf nger das Paket annimmt Jeder Knoten im Netzwerk kann dieses Datenpaket empfangen bis
103. el oder Netzwerkverkehr zu beobachten Ein weiterer h ufiger Fehler ist standardm ige Standardpassw rter oder Schl ssel f r Dienste so zu belassen wie sie sind So haben zum Beispiel einige Datenbanken standardm ige Administrationspassw rter weil die Da tenbankentwickler annehmen dass der Systemadministrator diese sofort nach der Installation ndert Vergisst nun ein Systemadministrator diese Passw rter zu ndern k nnen sogar unerfahrene Cracker mit einem weitverbreiteten Standard Passwort auf administrative Privilegien dieser Datenbank zugrei fen Dies sind nur einige Beispiele daf r wie unaufmerksame Administration zu unsicheren Servern f hren kann 1 Quelle http www sans org newlook resources errors html 12 Kapitel 2 Angreifer und Schwachstellen 2 3 4 Von Natur aus unsichere Dienste Auch das wachsamste Unternehmen kann Opfer von Schwachstellen werden wenn die gew hlten Netzwerkdienste von Natur aus unsicher sind Es werden zum Beispiel viele Dienste unter der Annah me entwickelt dass diese ber sichere Netzwerke verwendet werden diese Annahme schl gt jedoch fehl sobald diese Dienste ber das Internet verf gbar gemacht werden welches in sich unsicher und vertrauensunw rdig ist Eine Art von unsicheren Netzwerkdienste ist die die Benutzernamen und Passw rter f r die Au thentifizierung ben tigt diese Informationen bei der bertragung ber das Netzwerk jedoch nicht verschl sselt Telnet und FTP
104. em nur befugte oder vertrauensw rdige Personen Zugang haben ist das Sichern des BIOS oder des Bootloaders nicht unbedingt von N ten 24 Kapitel 4 Workstation Sicherheit 4 2 1 BIOS Passw rter Die folgenden sind die zwei Hauptgr nde f r den Schutz des BIOS eines Computers durch Passw rter 1 1 nderungen an den BIOS Einstellungen verhindern Hat ein Eindringling Zugang zum BIOS kann dieser den Bootvorgang von einer Diskette oder einer CD ROM festlegen Dies erm glicht dann in den Rettungsmodus oder Einzelbenutzermodus zu gelangen und von hier aus sch dliche Programme in das System zu pflanzen oder empfindliche Daten zu kopieren 2 System Boot verhindern Einige BIOS erlauben Ihnen den Bootvorgang selbst mit einem Passwort zu sch tzen Ist dies aktiviert muss ein Passwort eingegeben werden bevor das BIOS den Bootloader startet Da die Methoden f r das Einstellen von BIOS Passw rtern sich von Computerhersteller zu Computer hersteller unterscheiden lesen Sie bitte das Handbuch zu Ihrem Computer f r weitere Informationen Sollten Sie das BIOS Passwort vergessen kann es oft entweder mit Br cken im Motherboard oder durch das Entfernen der CMOS Batterie zur ckgesetzt werden Daher ist es sinnvoll wenn m glich das Computergeh use abzuschlie en Bevor Sie jedoch diesen Vorgang versuchen sollten Sie das Handbuch zu Ihrem Computer oder Motherboard lesen 4 2 1 1 Sicherung von nicht x86 Plattformen Andere Plattf
105. en die alle einge henden ausgehenden und weitergeleiteten Pakete blockieren ist es allerdings Firewall Gateway und internen LAN Benutzern nicht m glich miteinander oder extern zu kommunizieren Damit die Benut zer Netzwerk bezogene Funktionen aus ben und Netzwerk Anwendungen verwenden k nnen m s sen die Administratoren bestimmte Ports f r die Kommunikation ffnen Um Beispielsweise Zugang zu Part 80 an der Firewall zu erm glichen f gen Sie die fogende Regel hinzu iptables A INPUT p tcp m tcp sport 80 j ACCEPT iptables A OUTPUT p tcp m tcp dport 80 j ACCEPT Dies erm glicht normales Webbrowsing von Websites die ber Port 80 kommunizieren Um Zugang zu sicheren Websites zu erhalten wie z B https www example com m ssen Sie auch Port 443 ffnen iptables A INPUT p tcp m tcp sport 443 j ACCEPT Kapitel 7 Firewalls 71 iptables A OUTPUT p tcp m tcp dport 443 j ACCEPT Bivicntio Wenn ein iptables Regelsystem erstellt wird darf nicht vergessen werden dass die Reihenfolge wichtig ist Wenn z B eine Kette festlegt dass alle Pakete des lokalen 192 168 100 0 24 Subnet zes ausgelassen werden und dann eine Kette angef gt wird a die Pakete von 192 168 100 13 dies liegt innerhalb des ausgelassenen beschr nkten Subnetzes genehmigt dann wird die ange f gte Regel ignoriert Sie m ssen in diesem Fall zuerst eine Regel aufstellen die 192 168 100 13 genehmigt und dann eine Auslassungsregel i
106. en k nnen was sich innerhalb des Verzeichnisses befindet chmod 730 var ftp pub upload Eine detaillierte Auflistung des Verzeichnisses sollte wie folgt aussehen drwx wx 2 root ftp 4096 Feb 13 20 05 upload A Achtung Administratoren die anonymen Benutzern Lese und Schreibberechtigungen f r Verzeichnisse ge ben stellen h ufig fest dass ihr Server dann zu einer Fundgrube gestohlener Software wird F gen Sie zus tzlich unter vsftpd die folgende Zeile in die Datei etc vsftpd vsftpd conf ein anon_upload_enable YES 54 Kapitel 5 Server Sicherheit 5 6 3 Benutzeraccounts Da FTP unverschl sselt Benutzernamen und Passw rter ber unsichere Netzwerke zur Authentifizie rung bertr gt ist es ratsam Systembenutzerzugang zum Server von den Benutzeraccounts aus zu verbieten Um Benutzeraccounts in vsftpd zu deaktivieren f gen Sie die folgende Direktive zu etc vsftpd vsftpd conf hinzu local_enable NO 5 6 3 1 Benutzeraccounts einschr nken Der einfachste Weg eine bestimmte Gruppe von Accounts wie den Root Benutzer und solche mit sudo Berechtigungen am Zugriff auf den FTP Server zu hindern ist durch eine PAM Liste wie unter Abschnitt 4 4 2 4 beschrieben Die PAM Konfigurationsdatei f r vsftpd ist etc pam d vsftpd Es ist auch m glich Benutzeraccounts innerhalb jeden Dienstes direkt zu deaktivieren Um bestimmte Benutzeraccounts in vsftpd zu deaktivieren f gen Sie den Benutzernamen zu etc vsftpd ftpus
107. en von Networking und Kapitel 6 Virtuelle Private Netzwerke 59 IPsec Weitere Informationen ber die Verwendung von Network Administration Tool siehe Red Hat Enterprise Linux Handbuch zur System Administration Wenn Sie zwei Netzwerk verbundene Hosts ber IPsec verbinden wollen siehe Abschnitt 6 4 Um einen LAN WAN mit einem anderen ber IPsec zu verbinden siehe Abschnitt 6 5 6 4 Konfiguration von IPsec Host zu Host Sie k nnen IPsec so konfigurieren dass ein Desktop oder eine Workstation mit einem r anderen ber eine Host zu Host Verbindung verbunden werden kann Diese Art der Verbindung verwendet das Netzwerk mit dem jeder Host verbunden ist um einen sicheren Tunnel zueinander zu schaffen Die Erfordernisse f r eine Host zu Host Verbindung sind minimal wie auch die Konfiguration von IPsec bei jedem Host Die Hosts brauchen lediglich eine bestimmte Verbindung zu einem Tr ger Netzwerk wie das Internet und Red Hat Enterprise Linux um die IPsec Verbindung herzustellen Der erste Schritt bei der Erstellung einer Verbindung ist das Einholen von System und Netzwerk informationen von jeder Workstation F r eine Host zu Host Verbindung brauchen Sie die folgende Information Die IP Adressen f r beide Hosts Einen einmaligen Namen um die IPsec Verbindung zu identifizieren und sie von anderen Ger ten oder Verbindungen zu unterscheiden z B ipsec0 Einen fixen Schl ssel zur Verschl sselung oder einen der automatisc
108. en zur Installation Das Red Hat Enterprise Linux Einf hrung in die System Administration enth lt einf hrende Infor mationen f r neue Red Hat Enterprise Linux Systemadministratoren Das Red Hat Enterprise Linux Handbuch zur System Administration enth lt weitere detaillierte Informationen zur Konfiguration von Red Hat Enterprise Linux abgestimmt auf Ihre Bed rfnisse als Anwender Dieses Handbuch behandelt einige Services die vom Sicherheitsstandpunkt aus auch im Red Hat Enterprise Linux Sicherheitshandbuch beschrieben werden e Red Hat Enterprise Linux Referenzhandbuch liefert detaillierte Informationen f r erfahrenere Be nutzer auf die im Bedarf im Gegensatz zu einer Schritt f r Schritt Anleitung zur ckgegriffen wer den k nnen Einf hrung HTML PDF und RPM Versionen der Handb cher sind auf der Red Hat Enterprise Linux Dokumentations CD und Online unter http www redhat com docs erh ltlich Anmerkung Obwohl dieses Handbuch die neuesten Informationen enth lt lesen Sie die Red Hat Enterprise Linux Release Notes f r weitere Information die zum Druck dieses Handbuchs noch nicht vorlagen Diese k nnen auf der Red Hat Enterprise Linux CD 1 und Online unter http www redhat com docs gefunden werden 1 Architektur spezifische Informationen Sofern nicht anders angegeben bezieht sich jegliche Information in diesem Handbuch nur auf den x86 Prozessor und auf Prozessoren mit Intel Extended Memory 64 Technol
109. enn Sie einen modularen Kernel verwenden kann das Patchen eines Systems noch wesentlich schwieriger werden Die meisten rootkits Programme oder Pakete die ein Cracker hinterl sst um Root Zugang zu Ihrem System zu erhalten trojanische Systembefehle und Shell Umgebungen wurden so entwickelt dass ihre boswil ligen Aktivit ten bei Pr fungen nicht gefunden werden Verwenden Sie die Patch Methode sollten nur vertrauensw rdige Binaries wie zum Beispiel von einer Nur Lese CD ROM verwendet werden 10 6 Den Vorfall melden Der letzte Teil des Incident Response Plans ist das Melden des Vorfalls Das Sicherheitsteam sollte sich w hrend des Vorfalls Notizen machen um den Vorfall dann Organisationen wie den rtlichen oder bundesweiten Beh rden oder hersteller bergreifenden Sicherheitsportals wie die Common Vul nerabilities and Exposures Site CVE unter http cve mitre org zu melden Abh ngig von der Art des Rechtsbeistandes den Ihr Unternehmen hat ist u U eine Post Mortem Analyse erforderlich Auch wenn dies keine funktionale Anforderung einer Analyse ist kann eine Post Mortem Analyse doch wertvolle Informationen dazu liefern wie der Cracker denkt und wie Ihre Systeme strukturiert sind um zuk nftige Probleme zu verhindern 100 Kapitel 10 Vorfallsreaktion V Anh nge Dieser Abschnitt spricht einige der am h ufigsten verwendeten Wege an in denen ein Eindringling in Ihr System einbrechen kann oder Ihre Daten w hrend der bertra
110. er besteht aus mehreren Applikationen unter anderem e usr sbin rpc yppasswdd Auch yppasswdd Dienst genannt Dieser Daemon erm glicht Benutzern ihre NIS Passw rter zu ndern e usr sbin rpc ypxfrd Auch ypxfrd Dienst genannt Dieser Daemon ist f r den NIS Map Transfer ber das Netzwerk verantwortlich e usr sbin yppush Diese Applikation verbreitet ge nderte NIS Datenbanken an mehrere NIS Server e usr sbin ypserv Dies ist der NIS Server Daemon Im Vergleich zu heutigen Standards ist NIS als eher unsicher einzustufen Es besitzt keine Host Authentifizierungsmechanismen und bertr gt Informationen einschlie lich Passwort Hashes unver schl sselt ber das Netzwerk Aus diesem Grund m ssen Sie beim Einrichten eines Netzwerks mit NIS extreme Vorsicht walten lassen Dadurch dass die Standard Konfiguration von NIS von Natur aus unsicher ist wird die Angelegenheit noch weiter verkompliziert Es wird empfohlen dass Sie bevor Sie einen NIS Server implementieren wollen zuerst den portmap Dienst wie unter Abschnitt 5 2 beschrieben sichern und dann weitere Angelegenheiten wie Netzwerkplanung angehen 48 Kapitel 5 Server Sicherheit 5 3 1 Planen Sie das Netzwerk sorgf ltig Da NIS empfindliche Informationen unverschl sselt ber das Netzwerk bertr gt ist es wichtig dass dieser Dienst hinter eine Firewall und auf einem segmentierten und sicheren Netzwerk ausgef hrt wird Jedes Mal wenn NIS Informationen
111. erbindung ipsec1 nennt Im folgenden sehen Sie die i cfg Datei f r eine Netzwerk zu Netzwerk Verbindung mit IPsec f r LAN A Der einmalige Name zur Identifizierung der Verbindung ist in diesem Beispiel ipsec1 die daraus resultierende Datei hei t daher etc sysconfig network scripts ifcfg ipsecl TYPE IPSEC ONBOOT yes IKE_METHOD PSK SRCGW 192 168 1 254 DSTGW 192 168 2 254 SRCNET 192 168 1 0 24 DSTNET 192 168 2 0 24 DST X X X X Die Verbindung ist so eingestellt dass sie beim Hochfahren ONBOOT yes startet Sie verwendet die Authentifikations Methode der vorher gemeinsam verwendeten Schl sseln IKE_METHOD PSK Der Administrator f r LAN A gibt sowohl den Ziel Gateway ein der der Gateway f r LAN B ist DSTGW 192 168 2 254 als auch den Quell Gateway der die Gateway IP Adresse von LAN A ist SRCGW 192 168 1 254 Der Administrator gibt dann sowohl das Ziel Netzwerk ein dass die Netzwerk Reihe f r LAN B ist DSTNET 192 168 2 0 24 als auch das Quell Netzwerk SRCNET 192 168 1 0 24 Abschlie end gibt der Administrator die Ziel IP Adresse ein die die extern zug ngliche IP Adresse f r LAN B ist X X X X Im folgenden finden Sie die Datei mit den vorinstallierten Schl sseln etc sysconfig network scripts keys ipsecX genannt wobei X die 0 f r LAN A und 64 Kapitel 6 Virtuelle Private Netzwerke die 1 f r LAN B ist die beide Netzwerke verwenden um sich gegenseitig zu authentifizieren Der Inhalt dieser Datei sollte
112. ers hinzu 5 6 4 TCP Wrapper f r die Zugriffskontrolle Sie k nnen TCP Wrapper f r die Zugriffskontrolle zu den FTP Daemons wie unter Abschnitt 5 1 1 beschrieben einsetzen 5 7 Sicherung von Sendmail Sendmail ist ein Mail Transport Agent MTA der das Simple Mail Transport Protocol SMTP zur bertragung elektronischer Nachrichten zwischen anderen MTAs und f r das E Mailen an Clients oder Delivery Agents einsetzt Obwohl viele MTAs den Verkehr untereinander verschl sseln k nnen tun dies viele nicht so dass das Versenden von E Mails ber ein ffentliches Netzwerk als eine von Natur aus unsichere Form der Kommunikation betrachtet wird Weitere Informationen zur Funktionsweise von E Mails und einen berblick allgemeiner Konfigura tionseinstellungen finden Sie im Kapitel E Mail im Red Hat Enterprise Linux Referenzhandbuch Die ser Abschnitt setzt ein Grundwissen ber das Generieren einer g ltigen etc mail sendmail cf durch das Bearbeiten von etc mail sendmail mc und dasAusf hren des Befehls m4 voraus Dies wird im Red Hat Enterprise Linux Referenzhandbuch beschrieben Es wird empfohlen dass Sie sich mit den folgenden Angelegenheiten auseinandersetzen wenn Sie die Implementierung eines Sendmail Servers planen 5 7 1 Limitierung einer Denial of Service Attacke Durch die Natur von E Mail kann ein dazu entschlossener Angreifer den Server leicht mit E Mails berfluten und so eine Verweigerung des Dienstes verursachen Indem S
113. erscheidet unterst tzen u U einige den Passwort schutz beider Typen w hrend andere vielleicht nur einen Typ und nicht den anderen unterst tzen Kapitel 4 Workstation Sicherheit 25 4 2 2 1 Passwortschutz f r GRUB Sie k nnen GRUB so konfigurieren dass die ersten beiden in Abschnitt 4 2 2 angesprochenen Pro bleme adressiert werden indem Sie eine Passwort Direktive zur Konfigurationsdatei hinzuf gen Hierf r legen Sie erst ein Passwort fest ffnen dann einen Shell Prompt melden sich als root an und geben folgendes ein sbin grub md5 crypt Wenn Sie aufgefordert werden geben Sie das GRUB Passwort ein und dr cken dann Enter Es wird dann ein MD5 Hash des Passworts ausgegeben Bearbeiten Sie dann die GRUB Konfigurationsdatei boot grub grub conf ffnen Sie die Datei und f gen Sie die nachfolgende Zeile unterhalb der timeout Zeile im Hauptabschnitt des Dokumen tes ein password md5 lt password hash gt Ersetzen Sie lt password hash gt mit dem Wert der von sbin grub md5 crypt ausgegeben wurde Wenn Sie das n chste Mal Ihr System booten m ssen Sie wenn Sie im GRUB Men auf den Editor oder die Befehlszeilen Schnittstelle zugreifen wollen erst p dr cken und dann das GRUB Passwort eingeben Diese L sung h lt jedoch Angreifer nicht davon ab in ein unsicheres Betriebssystem in einer Dual Boot Umgebung zu booten Hierf r m ssen Sie einen anderen Teil der Datei boot grub grub conf bearbeiten Su
114. erspringen k nnen Sie k nnen Ihre Abonnementnummer eingeben wenn Sie dazu im Setup Agent aufgefordert werden oder Sie besuchen http www redhat com register 3 3 Verbinden Sie Ihr System Der Red Hat Network Registrierungs Client hilft Ihnen bei Ihrer Systemverbindung sodass Sie schlussendlich Updates erhalten und mit dem System Management beginnen k nnen 1 W hrend der Registrierung im Setup Agent Ticken Sie die Optionen Hardware Information senden und System Paketliste senden sobald Sie dazu die Eingabeaufforderung erhalten 2 Nachdem die Registrierung im Setup Agent abgeschlossen wurde Vom Hauptmen aus gehen Sie zu System Tools und w hlen dort Red Hat Network aus 3 Nachdem die Registrierung im Setup Agent abgeschlossen wurde Geben Sie folgenden Befehl von der Befehlszeile als root Benutzer ein e usr bin up2date register 4 In der Planung Das Red Hat Enterprise Linux Sicherheitshandbuch ist Bestandteil von Red Hats wachsender Ver antwortung Red Hat Enterprise Linux Benutzern n tzlichen und rechtzeitigen Support zu liefern Mit dem Erscheinen neuer Tools und Sicherheitsmethodologien wird dieses Handbuch um diese erweitert 4 1 Senden Sie uns Ihr Feedback Wenn Sie einen Tippfehler im Red Hat Enterprise Linux Sicherheitshandbuch finden oder eine Idee haben wie wir dieses Handbuch verbessern k nnen lassen Sie uns dies bitte wissen Schreiben Sie an Bugzilla http bugzilla redhat com bugzilla
115. esen Zweck das User Manager zu verwenden klicken Sie auf die Schaltfl che Haupt men im Panel gt Systemeinstellungen gt Benutzer und Gruppen oder geben Sie den Befehl system config users an einem Shell Prompt ein W hlen Sie den Tab Benutzer w hlen Sie den Benutzer aus der Benutzerliste aus und klicken Sie auf Eigenschaften aus dem Men oder w hlen Sie Datei gt Eigenschaften aus dem Pull Down Men W hlen Sie dann den Tab Gruppen und klicken Sie auf die wheel Gruppe wie in Abbildung 4 2 abgebildet User Data Account Info Password Info Groups Select the groups that the user will be a member of LI ump uucp vcsa ID GLS mp webalizer wheel wnn Primary Group juan a Cancel 2 OK Abbildung 4 2 Das Gruppen Panel ffnen Sie als n chstes die PAM Konfigurationsdatei f r su etc pam d su in einem Texteditor und entfernen Sie den Kommentar aus der folgenden Zeile auth required lib security ISA pam_wheel so use_uid Hierdurch k nnen nur Mitglieder der administrativen Gruppe wheel das Programm verwenden Hinweis Der root Benutzer ist standardm ig Teil der whee1 Gruppe 36 Kapitel 4 Workstation Sicherheit 4 4 3 2 Der Befehlsudo Der Befehl sudo bietet eine weitere Methode Benutzern administrativen Zugang zu geben Wenn ein vertrauensw rdiger Benutzer einem administrativen Befehl den Befehl sudo voranstellt wird dieser
116. etrachtet werden 4 5 1 Risiken f r Dienste Netzwerkdienste k nnen viele Risiken f r Linux Systeme bedeuten Untenstehend finden Sie eine Liste der Hauptprobleme Denial of Service Attacken DoS In dem ein System mit Anfragen berflutet wird kann eine Denial of Service Attacke ein System zum v lligen Stillstand bringen da das System versucht jede Anfrage aufzuzeichnen und zu beantworten Skript Anf lligkeits Attacken Wenn ein Server Skripte zum Ausf hren von serverseitigen Auf gaben verwendet kann ein Cracker durch nicht sachgem erstellte Skripte eine Attacke initiieren Diese Skript Anf lligkeits Attacken k nnen zu einem Buffer Overflow f hren oder es dem An greifer erm glichen Dateien auf dem Server zu ndern Buffer Overflow Attacken Dienste die sich ber Ports 0 bis 1023 einw hlen m ssen als admin istrativer Benutzer ausgef hrt werden Hat die Applikation einen ausbeutbaren Buffer Overflow kann ein Angreifer Zugang zum System erlangen indem er als Benutzer diesen Daemon ausf hrt Da ausbeutbare Buffer Overflows existieren k nnen Cracker mit automatisierten Tools das Sys tem auf Anf lligkeiten pr fen Sobald diese dann Zugang zum System haben k nnen sie mithilfe automatisierter root Kits den Zugang zum System aufrecht erhalten f Hinweis Die Bedrohung durch Schwachstellen welche durch Puffer Overflow entstehen ist in Red Hat Enterprise Linux durch ExecShield entsch rft einer a
117. etwork Administration Tool finden Sie im Kapitel Netzwerk Konfiguration imRed Hat Enterprise Linux Handbuch zur System Administration Sich auf WEP zu verlassen ist jedoch weiterhin nicht ausreichend zum Schutz vor entschlossenen Angreifern Es gibt spezialisierte Utilities die zum Cracken der RC4 WEP Verschl sselungsalgorith men die ein Wireless Netzwerk sch tzen entwickelt wurden und die den gemeinsamen Schl ssel 106 Anhang A Hardware und Netzwerkschutz aufdecken AirSnort und WEP Crack sind solche Applikationen Um sich hiervor zu sch tzen soll ten Administratoren strenge Richtlinien f r die Verwendung von Wireless Methoden zum Zugang zu empfindlichen Informationen festlegen Administratoren k nnen z B die Sicherheit der Wireless Konnektivit t erh hen in dem diese auf nur VPN und SSH Verbindungen beschr nkt werden die eine weitere Verschl sselungschicht zus tzlich zur WEP Verschl sselung bietet Durch diese Richtli nien muss ein Angreifer au erhalb des Netzwerkes der die WEP Verschl sselung geknackt hat noch zus tzlich die VPN oder SSH Verschl sselung knacken die abh ngig von der Verschl sselungsme thode bis zu dreifach 168 bit DES Algorithmus Verschl sselung 3DES oder noch st rkere proprie t re Algorithmen enthalten kann Administratoren die diese Richtlinien anwenden sollten Nur Text Protokolle wie Telnet oder FTP einschr nken da Passw rter und Daten w hrend der bereits erw hnten Angriffe aufgedeckt
118. ezeichnen dies als den am best organisiertesten und systematischsten Angriff auf Regierungssysteme in der Geschichte der USA e Die US Generalbundesanw ltin Janet Reno gr ndet als Antwort auf eskalierende Sicherheitsbr che in Regierungssystemen das National Infrastructure Protection Center e Britische Kommunikationssatelliten werden von unbekannten Personen bernommen und L segeld gefordert Die Britische Regierung gewinnt letzten Endes die Kontrolle ber die Satelliten 1 1 3 Sicherheit Heute Im Februar 2000 wurde eine Distributed Denial of Service DDoS Attacke auf einige der am h u figsten besuchten Internetsites ausgef hrt Durch diese Attacke waren yahoo com cnn com fbi gov und einige andere Sites f r normale Benutzer unerreichbar da Router mit stundenlangen riesigen ICMP Paket bertragungen auch Ping Flood genannt berlastet waren Diese Attacke wurde von unbekannten Angreifern gestartet die speziell gefertigte berall erh ltliche Programme verwende ten die verletzliche Netzwerkserver suchen und dann Client Applikationen auch Trojaner genannt auf den Servern installieren und dann eine Attacke starten bei der die Site des Opfers durch jeden Kapitel 1 berblick ber Sicherheit 5 infizierten Server berflutet wird und somit unerreichbar wird Viele schieben die Schuld auf funda mentale Fehler in der Weise wie Router und Protokolle strukturiert sind um alle eingehenden Daten anzunehmen egal woher oder zu wel
119. f r das Auflisten verbundener Ports Sendet Datum und Zeit an anfragenden Host gt Sendet Zitat des Tages an einen verbundenen Host Message Send Protocol MSP 19 chargen Character Generation Service sendet endlose Zeichenketten FTP Datenport 21 ftp File Transfer Protocol FTP Port manchmal vom File Service Protocol FSP verwendet Secure Shell SSH Service Der Telnet Service Simple Mail Transfer Protocol SMTP Time Protocol Zeitproiokoll rlp Resource Location Protocol 18 114 Anhang C H ufige Ports Port Layer_ Name Kommentar WHOIS Verzeichnis Service 49 tacacs Terminal Access Controller Access Control System f r TCP IP basierte Authentifizierung und Zugriff Remote Mail Checking Protocol Domain Name Services wie BIND WHOIS erweiterte WHOIS Services 67 bootps Bootstrap Protocol BOOTP Services auch von Dynamic Host Configuration Protocol DHCP Services verwendet bootpc Bootstrap BOOTP Client auch von Dynamic Host Control Protocol DHCP Clients verwendet lo o deo Trivial File Transfer Protocol TFTP Gopher Internet Dokumentsuche und auffindung Remote Job Service 72 netrjs 2 Remote Job Service 73 netrjs 3 Remote Job Service 73 netrjs 4 Remote Job Service 79 Finger Service f r Benutzer Kontaktinformationen 80 http HyperText Transfer Protocol HTTP f r World Wide Web WWW Services 88 kerberos Kerberos Netzwerk Authentifizierungssystem 95 supdup Telnet Protokoll Erweiterung Hos
120. ftspartner von einem Sicherheitsbruch erfahren und negativ reagieren Untersuchungen vergangener Sicherheitsverletzungen intern und extern haben gezeigt dass Firmen als Folge eines Sicherheitsbruches bankrott gehen k nnen Ein Sicherheitsbruch kann Ressourcen unverf gbar machen oder zu Diebstahl oder Korruption von Daten f hren Man sollte auch nicht diejenigen Dinge vernachl ssigen die vom finanziellen Aspekt her schwer zu kalkulieren sind wie z B schlechte Publicity Ein Unternehmen muss die Kosten eines Sicherheitsbruches kalkulieren und die negativen Auswirkungen auf das Unternehmen kurz und langfristig einsch tzen k nnen 10 2 Erstellen eines Incident Response Plans Es ist wichtig das ein Vorfallsreaktionsplan formuliert im gesamten Unternehmen unterst tzt in die Tat umgesetzt und regelm ig getestet wird Ein guter Vorfallsreaktionsplan kann die Auswirkungen einer Sicherheitsverletzung minimieren Desweiteren kann er negative Publicity reduzieren Aus der Perspektive eines Sicherheitsteams ist es nicht wichtig ob ein Versto auftritt da solche Vorkommnisse ein vorherzusehender Teil der Verwendung eines vertrauensunw rdigen Tr gernetz werks wie das Internet sind sondern wann dieses Vergehen auftritt Denken Sie nicht das ein System grunds tzlich schwach und anf llig ist sondern machen Sie sich klar dass mit gen gend Zeit und Res sourcen jemand selbst in das sicherste System oder Netzwerk einbrechen kann Besuche
121. g f r weitere Details Die Detail Seite beschreibt das Sicherheitsproblem und gibt alle n tigen Anweisungen die zus tzlich zur Aktualisierung des Pakets befolgt werden m ssen um das Sicherheitsloch zu stopfen Um das die aktualisierte n Paket e herunterzuladen klicken Sie auf den Paketnamen und speichern Sie diese s auf der Festplatte Es wird dringend empfohlen dass Sie ein neues Verzeichnis wie z B tmp updates erstellen und dort die heruntergeladenen Pakete speichern 3 1 3 Signierte Pakete verifizieren Alle Red Hat Enterprise Linux Pakete sind signiert mit dem Red Hat Inc GPG Schl ssel GPG steht f r GNU Privacy Guard oder GnuPG einem freien Softwarepaket welches dazu dient die Authenti zit t von Dateien zu gew hrleisten Zum Beispiel Ein Private Key Secret Key von Red Hat h lt das Paket verschlossen wohingegen der Public Key das Paket verifiziert und freischaltet Im Falle dass der Public Key vertrieben durch Red Hat nicht mit dem Private Key im Laufe der RPM Verifizierung bereinstimmt so kann dies bedeuten dass das Paket in irgendeiner Form ge ndert worden ist und dies ein Sicherheitsrisiko darstellen k nnte Die RPM Utility in Red Hat Enterprise Linux versucht automatisch die GPG Signatur einer RPM vor der Installation zu verifizieren Wenn der Red Hat GPG Schl ssel noch nicht installiert worden ist Kapitel 3 Sicherheits Updates 19 dann sollten Sie diesen jetzt von einer sicheren statischen Quelle
122. g wird von Tripwire verwendet der in Abschnitt 9 2 1 n her beschrieben wird 9 2 1 Tripwire Tripwire ist das beliebteste host basierte IDS f r Linux Tripwire Inc die Entwickler von Tripwi re haben vor Kurzem den Software Quellcode f r die Linux Version ge ffnet und unter der GNU General Public License lizenziert Tripwire ist unter http www tripwire org erh ltlich S Hinweis Tripwire wird nicht mit Red Hat Enterprise Linux ausgeliefert und wird nicht unterst tzt Es wurde in diesem Handbuch als Referenz f r Benutzer die Interesse an der Verwendung dieses Tools haben gegeben 9 2 2 RPM als IDS Der RPM Paket Manager RPM ist ein weiteres Programm das als host basiertes IDS verwendet werden kann RPM enth lt verschiedene Optionen f r das Abfragen von Paketen und deren Inhalt Diese Verifizierungsoptionen k nnen von unsch tzbarem Wert f r einen Administrator sein der im Verdacht hat dass wichtige Systemdateien und Executables ver ndert wurden Im folgenden finden Sie eine ausf hrlichere Liste einiger RPM Optionen mit denen Sie die Datei integrit t auf einem Red Hat Enterprise Linux System verifizieren k nnen F r eine vollst ndige In formation ber die Verwendung von RPM finden Sie im Red Hat Enterprise Linux Handbuch zur System Administration chic Einige der Befehle in dieser Liste erfordern das Importieren des Red Hat GPG ffentlichen Schl s sels in Ihren RPM Schl sselring Dieser Schl ssel ver
123. gs und Ressourcenkontrolle bie tet Sr Es ist eine gute Idee die IPTables Firewall Regeln in Zusammenhang mit TCP Wrappern und xinetd zu verwenden um eine Redundanz innerhalb der Service Zugangskontrollen zu erreichen F r mehr Information ber das Errichten von Firewalls mit IPTables Befehlen sieheKapitel 7 Weitere Informationen zur Konfiguration von TCP Wrappern und xinetd finden Sie im Kapitel TCP Wrapper und xinetd im Red Hat Enterprise Linux Referenzhandbuch In den folgenden Unterkapiteln wird davon ausgegangen dass Sie ein grundlegendes Wissen ber jedes Thema besitzen und sich auf spezielle Sicherheitsoptionen konzentrieren 5 1 1 Erh hung der Sicherheit mit TCP Wrappern TCP Wrapper k nnen viel mehr als nur Zugriffe auf Dienste verweigern In diesem Abschnitt wird erl utert wie TCP Wrapper zum Versenden von Verbindungs Bannern Warnen vor Angriffen von bestimmten Hosts und Erweitern der Log Funktionalit t eingesetzt werden k nnen Eine ausf hrliche Liste der Funktionalit t und Kontrollsprache der TCP Wrapper finden Sie auf den man Seiten der hosts_options 44 Kapitel 5 Server Sicherheit 5 1 1 1 TCP Wrapper und Verbindungs Banner Den mit einem Dienst verbundenen Clients ein einsch chterndes Banner zu schicken ist eine gute Methode um zu verschleiern welches System der Server verwendet und im gleichen Zug Angreifer wissen zu lassen dass sie es mit einem wachsamen Systemadministrator zu tun haben Um ein TCP
124. gung abfangen kann Dieser Abschnitt beschreibt auch einige der am h ufigsten verwendeten Services und deren entsprechenden Port Nummern was f r einen Administrator der die Risiken eines Einbruchs vermindern will n tz lich ist Inhaltsverzeichnis A Hardware und Netzwerkschutz B H ufige Schwachstellen und Attacken C H ufige Ports Anhang A Hardware und Netzwerkschutz Der beste Ansatz vor dem Einsatz einer Maschine in einer Produktionsumgebung oder dem Verbinden Ihres Netzwerks mit dem Internet ist die Bed rfnisse Ihres Unternehmens festzulegen und festzustel len wie Sicherheit in die Anforderungen so transparent wie m glich passt Da das Hauptziel des Red Hat Enterprise Linux Sicherheitshandbuch ist zu erkl ren wie Red Hat Enterprise Linux si cherer gestaltet werden kann sprengt eine detailierte Untersuchung der Hardware und der physikali schen Netzwerksicherheit den Rahmen dieses Dokuments Dieses Kapitel liefert jedoch einen kurzen berblick ber das Einrichten von Sicherheitsrichtlinien im Hinblick auf Hardware und physikali sche Netzwerke Wichtige Faktoren sind u a wie Computing Bed rfnisse und Konnektivit t in die Gesamt Sicherheitsstrategie passen Im Folgenden werden einige der Faktoren im Detail behandelt Computing beinhaltet mehr als nur Workstations auf denen Desktop Software l uft Moderne Un ternehmen erfordern massive Rechnerleistungen und hochverf gbare Dienste die z B Mainframes Comp
125. h Eingabe von 1s erscheint der Inhalt eines Verzeichnisses Zum Beispiel Desktop about html logs paulwesterberg png Mail backupfiles mail reports Die Ausgabe die als Antwort auf den Befehl erscheint in diesem Fall der Inhalt des Verzeich nisses wird auf diese Art und Weise dargestellt iv Einf hrung Prompt Ein Prompt wird auf diese Art und Weise dargestellt wenn der Computer Ihnen mitteilen will dass Sie nun eine Eingabe t tigen k nnen Beispiele stephen maturin stephen leopard login Benutzereingabe Ein Text wird auf diese Art und Weise dargestellt wenn er vom Benutzer entweder in die Be fehlszeile oder in die Textbox auf einem GUI Bildschirm eingegeben werden soll Im folgenden Beispiel wird text in diesem Stil angezeigt Mit dem Befehl text am Prompt boot booten Sie Ihr System in das textbasierte Installations programm replaceable Text der f r Beispiele benutzt wird und daf r vorgesehen ist durch Daten ersetzt zu werden wird in diesem Stil dargestellt Im folgenden Beispiel ist lt version number gt in dieser Form dargestellt Das Verzeichnis f r den Kernel Source ist usr srce lt version number gt wobei lt version number gt die Version des installierten Kernel ist Zus tzlich machen wir Sie mit Hilfe von bestimmten Strategien auf bestimmte Informationen auf merksam Entsprechend dem Wichtigkeitsgrad das die jeweilige Information f r Ihr System hat sind diese Items entweder als An
126. h von racoon geschaffen wurde Ein bereits vorher gemeinsam verwendeter Schl ssel zu Authentifikation der verwendet wird um die Verbindung zu initialisieren und den Austausch von Schl sseln zur Verschl sselung m glich zu machen Stellen Sie sich z B vor Workstation A und Workstation B wollen sich durch einen IPsec Tunnel miteinander verbinden Sie wollen sich unter Verwendung eines vorher gemeinsam verwendeten Schl ssels mit dem Wert von foobarbaz Die Benutzer kommen berein racoon automatisch einen Schl ssel zur Authentifikation generieren zu lassen der von beiden Hosts gemeinsam verwendet wird Beide Hosts entscheiden sich daf r ihre Verbindungen ipsec0 zu nennen Im folgenden sehen Sie die Datei ifcfg f r Workstation A f r eine Host zu Host IPsec Verbindung mit Workstation B Der einmalige Name zur Identifizierung der Verbindung in diesem Beispiel ist ipsecO der daraus resultierende Dateiname ist daher etc sysconfig network scripts ifcfg ipsec0 DST X X X X TYPE IPSEC ONBOOT yes IKE_METHOD PSK Workstation A w rde X X X X mit der IP Adresse von Workstation B ersetzen w hrend Workstation BX X X X mit der IP Adresse von Workstation A ersetzen w rde Die Verbindung ist so eingestellt dass sie beim Hochfahren startet ONBOOT yes und verwendet die Authentifizierungs Methode der vorher gemeinsam verwendeten Schl ssel IKE_METHOD PSK Im folgenden finden Sie die Datei mit den vorher gemeinsam ben tzten Schl sse
127. heitsverlet zungen die Gefahren der Verbreitung von Kundendaten pers nliche gesundheitliche oder finanzielle Daten und die Wichtigkeit den Service in unternehmenskritischen Umgebungen wie Krankenh user oder Banken wiederherzustellen aufkl ren 10 3 Implementieren des Incident Response Plans Nachdem ein Schlachtplan erstellt wurde muss dieser verabschiedet und aktiv implementiert wer den Jeder Aspekt dieses Plans der w hrend der Implementierung in Frage gestellt wird resultiert wahrscheinlich in langsamer Reaktionszeit und Systemausfall falls ein Versto vorliegt Hier wird praktische bung unsch tzbar Solange nicht etwas bem ngelt wird bevor der Plan aktiv in der Pro duktionsumgebung eingesetzt wird sollte der Plan von allen direkt betroffenen Parteien verabschiedet und zuversichtlich implementiert werden Wird ein Bruch bemerkt w hrend die CERT f r eine schnelle Reaktion vor Ort ist k nnen m gliche Reaktionen variieren Das Team kann sich einigen das Netzwerk zu trennen die betroffenen Systeme zu trennen das Sicherheitsloch mit einem Patch zu versehen und schnell wieder ohne weitere Kom plikationen zu verbinden Das Team kann auch die Eindringlinge berwachen und deren Aktionen verfolgen Das Team kann sogar einen Eindringling an einen Honigtopf weiterleiten ein System oder Netzwerksegment das absichtlich falsche Daten enth lt um den Vorfall sicher zu verfolgen ohne Produktionsressourcen zu unterbrechen
128. hen Das Untersuchen dieser Hosts bedarf weiterer Tools Das Wissen welche Tools f r was verwendet werden ist der wohl bedeutendste Schritt beim Aufdecken von Schwachstellen Wie bei jedem Aspekt des t glichen Lebens gibt es viele verschiedene Tools die die gleiche Arbeit verrichten Dies trifft auch auf Schwachstellenanalysen zu Es gibt Tools die speziell f r Betriebssy steme Applikationen oder Netzwerke basierend auf Protokollen eingesetzt werden k nnen Einige Tools sind kostenlos andere wiederum nicht Einige Tools sind intuitiv und benutzerfreundlich ande re eher kryptisch und schlecht dokumentiert oder besitzen Features die andere Tools wiederum nicht haben Das Finden der richtigen Tools kann eine Herausforderung darstellen Schlussendlich z hlt die Erfah rung Wenn m glich richten Sie ein Testlabor ein und probieren soviele Tools aus wie nur m glich und beachten Sie dabei die St rken und Schw chen Lesen Sie die README Datei oder man Seite zum Tool Suchen Sie zus tzlich dazu im Internet nach weiteren Informationen wie Artikel Schritt f r Schritt Anleitungen und Mailinglisten f r ein Tool Die untenstehend beschriebenen Tools sind nur ein kleines Beispiel der erh ltlichen Tools 82 Kapitel 8 Schwachstellenanalyse 8 3 1 Scannen von Hosts mit Nmap Nmap ist ein beliebtes Tool das mit Red Hat Enterprise Linux ausgeliefert wird und zum Feststellen eines Netzwerk Layouts verwendet werden kann Nmap ist schon s
129. herheits Errata Vv Viren Trojaner 4 Virtuelle Private Netzwerke 57 IPsec 58 Host zu Host 59 Installieren 58 Konfiguration 62 VLAD Scanner 83 Vorfallsreaktion Beweise sammeln Verwenden von dd 96 Computer Emergency Response Team CERT 94 Definition von 93 Den Vorfall melden 99 einen Plan erstellen 93 Einf hrung 93 Implementierung 95 Informationen nach einem Versto sammeln 96 Post Mortem 95 und rechtliche Angelegenheiten 94 Untersuchung 95 Wiederherstellen von Ressourcen 98 Vorfallsreaktionsplan 93 VPN 57 Ww White Hat Hacker Siehe Hacker Wi Fi Netzwerke Siehe 802 11x Wiederherstellen von Ressourcen 98 Das System mit einem Patch versehen 99 Neuinstallieren des Systems 99 Wireless Sicherheit 105 802 11x 105 Workstation Sicherheit 23 Auswertung Administrative Kontrolle 23 BIOS 23 Bootloader 23 Kommunikation 23 Passw rter 23 Pers nliche Firewalls 23 BIOS 23 Bootloader Passw rter 24 x xinetd 38 DoS verhindern mit 46 Ressourcen verwalten mit 46 SENSOR Falle 45 129 Colophon Die Handb cher wurden im Format DocBook SGML v4 1 erstellt Die HTML und PDF Formate werden unter Verwendung benutzerdefinierter DSSSL Stylesheets und benutzerdefinierten Jade Wrap per Scripts angelegt Die DocBook SGML Dateien wurden in Emacs mithilfe von PSGML Mode geschrieben Garrett LeSage schuf das Design der Grafiken f r Meldungen Anmerkung Tipp Wic
130. hl gibt alle aktiven IMAP Sitzungen aus Individuelle Sitzungen k nnen dann durch den folgenden Befehl beendet werden kill 9 lt PID gt Ersetzen Sie im vorhergehenden Beispiel lt PID gt durch die Prozess Identifikationsnummer zu finden in der zweiten Spalte des ps Befehls f r eine IMAP Sitzung Um alle aktiven IMAP Sitzungen zu beenden geben Sie den folgenden Befehl ein killall imapd 22 Kapitel 3 Sicherheits Updates Im Kapitel TCP Wrappers und xinetd im Red Hat Enterprise Linux Referenzhandbuch finden Sie weitere Informationen zu xinetd Kapitel 4 Workstation Sicherheit Die Sicherung einer Linux Umgebung beginnt mit der Workstation Egal ob Sie Ihren pers nlichen Rechner oder ein Firmensystem sichern eine vern nftige Sicherheitspolice beginnt mit dem einzelnen Computer Im Endeffekt ist ein Computernetzwerk nur so sicher wie das schw chste Mitglied 4 1 Auswertung der Workstation Sicherheit Wenn Sie die Sicherheit einer Red Hat Enterprise Linux Workstation auswerten sollten Sie folgendes untersuchen BIOS und Bootloader Sicherheit Kann ein unbefugter Benutzer physisch auf den Rechner zu greifen und in den Einzelbenutzer oder Rettungsmodus booten ohne dass nach einem Passwort gefragt wird Passwort Sicherheit Wie sicher sind die Passw rter f r die Benutzeraccounts auf dem Com puter Administrative Kontrolle Wer hat alles einen Account auf dem System und wieviel administra tive Kont
131. hlossene berwachungskameras Bewegungs oder W rmemelder e Sicherheitspersonal Foto IDs e Verriegelte Stahlt ren e Biometrie inkludiert Fingerabdruck Stimmerkennung Gesichtskontur Irisscan Handschrift und andere Methoden um die Identit t von Individuen nachzuweisen 1 2 2 Technische Kontrollen Technische Kontrollen verwenden Technologie als Basis f r die Kontrolle von Zugang zu und Verwen dung von empfindlichen Daten durch eine physikalische Struktur und ber ein Netzwerk Technische Kontrollen sind weitreichend in Umfang und umfassen unter anderem folgende Technologien e Verschl sselung e Smart Cards e Netzwerkauthentifizierung e Zugangskontrolllisten ACLs e Dateiintegrit ts Pr fsoftware 1 2 3 Administrative Kontrollen Administrative Kontrollen definieren den menschlichen Faktor der Sicherheit Es umfasst alle Mitar beiter innerhalb eines Unternehmens und legt fest welche Anwender Zugang zu welchen Ressourcen und Informationen haben Dies geschieht unter anderem durch Training und Aufkl rung e Katastrophenvorbereitung und Wiederherstellungspl ne Einstellungs und Separationspl ne Kapitel 1 berblick ber Sicherheit 7 e Mitarbeiterregistrierung und Buchhaltung 1 3 Fazit Nachdem Sie jetzt etwas ber die Urspr nge Beweggr nde und Aspekte der Sicherheit gelernt ha ben k nnen Sie nun den richtigen Aktionsplan in Bezug auf Red Hat Enterprise Linux festlegen Es ist wichtig
132. hode des Austauschens der Schl ssel Die folgende Liste bestimmt die Felder der Phase 2 sainfo anonymous Bedeutet dass SA mit jedem Peer anonym initialisieren kann insofern die IPsec Attribute Cre dentials bereinstimmen pfs_group 2 Legt das Diffie Hellmann Schl sselaustauschprotokoll fest welches die Methode bestimmt in der die IPsec Knoten einen beiderseitigen tempor ren Sitzungsschl ssel f r die Verbindungsf higkeit von IPsec in der 2 Phase einrichten Standardm ig benutzt die Red Hat Enterprise Linux Implementierung von IPsec Gruppe 2 oder modp1024 der Diffie Hellmann kryptographischen Schl sselaustausch Gruppen Gruppe 2 benutzt eine 1024 Bit modulare Exponentiation welche Eindringlinge davon abhalten soll bisherige IPsec bertragungen zu entschl sseln auch wenn ein privater Schl ssel dadurch gef hrdet wird lifetime time 1 hour Dieser Parameter legt den Lebenszuklus einer AS fest und kann entweder durch Zeit oder durch Datenmengen Bytes quantitativ bestimmt werden Die Red Hat Enterprise Linux Implementierung von IPsec legt eine einst ndige Lebensdauer fest 62 Kapitel 6 Virtuelle Private Netzwerke encryption_algorithm 3des blowfish 448 rijndael Legt den unterst tzten Verschl sselungscode f r Phase 2 fest Red Hat Enterprise Linux unter st tzt 3DES 448 Bit Blowfish und Rijndael verwendet im Advanced Encryption Standard oder AES authentication_algorithm hmac_shal hmac_md5 Listet d
133. htig Achtung und Warnung Diese d rfen frei zusammen mit der Red Hat Dokumentation vertrieben werden Das Team der Red Hat Produktdokumentation besteht aus Sandra A Moore Verantwortliche Autorin Bearbeiterin des Red Hat Enterprise Linux Installa tionshandbuch f r x86 Itanium M AMD64 und Intel Extended Memory 64 Technology Intel EM64T Verantwortliche Autorin Bearbeiterin des Red Hat Enterprise Linux Installationshandbuch f r IBM S 390 und IBM eServer M zSeries Architekturen Verantwortliche Autorin Bearbeiterin des Red Hat Enterprise Linux Installationshandbuch f r IBM POWER Architecture Architekturen John Ha Verantwortlicher Autor Bearbeiter des Red Hat Cluster Suite Configuring and Managing a Cluster Co Autor Co Bearbeiter des Red Hat Enterprise Linux Sicherheitshandbuch Bearbeiter von custom DocBook Stylesheets und Skripts Edward C Bailey Verantwortlicher Autor Bearbeiter des Red Hat Enterprise Linux Einf hrung in die System Administration Verantwortlicher Autor Bearbeiter der Release Notes Co Autor des Red Hat Enterprise Linux Installationshandbuch f r x86 Itanium M AMD64 und Intel Extended Memory 64 Technology Intel EM64T Karsten Wade Verantwortlicher Autor Bearbeiter des Red Hat SELinux Application Development Guide Verantwortlicher Autor Bearbeiter des Red Hat SELinux Policy Writing Guide Andrius Benokraitis Verantwortlicher Autor Bearbeiter des Red Hat Enterprise Linux Referenz
134. icherheit 129 4 4 Administrative Kontrollen 4 5 Verf gbare Netzwerkdienste 4 6 Pers nliche Firewalls 4 7 Kommunikationstools mit erh hter Sicherheit eeeenenne 40 5 Server Sicherheit BR 5 1 Sichern von Diensten mit TCP Wrappern und xinetd nneeee 43 5 2 Portmap sichern 5 3 Sichern von NIS 5 4 Sicherung von NFS 5 5 Sicherung des Apache HTTP Server enenesesesnsnenenenenennenenennnnn 50 5 6 Sicherung von FTP 92 5 7 Sicherung von Sendmail 5 8 Best tigen welche Ports auf Verbindungen abh ren 6 Virtuelle Private Netzwerke 6 1 VPNs und Red Hat Enterprise Linux Se 6 2 IPSEC oie Ee E EE EAE AE EAA Ae 6 2 Installation von IPsect 22 Rennes leisen 6 4 Konfiguration von IPsec Host zu Host 3 6 5 Konfiguration von IPsec Netzwerk zu Netzwerk neeennnene 62 7 Firewalls iiaia aara EAA TEE NEA RI OSAERA SE EATS 67 7 1 Netzfiler und iptables 68 7 2 Verwendung von iptables 7 3 bliche iptables Filterung 70 7 4 FORWARD und NAT Regeln ERL 7 5 Viren und geknackte IP Adressen 73 7 6 iptables und dynamische Paketfilterung ennnennene 74 Ur iB6tablessiiue nennen E E TE 74 7 8 Zus tzliche Informationsquellen nneseeseseseseenenenesnenenenennnnenenennnennenenn 75 IH Sicherheit einsch tzen 8 Schwachstellenanalyse 8 1 Denken wi der Pen
135. identisch sein und nur der root Benutzer sollte die Datei lesen oder berschreiben k nnen IKE_PSK r3dh4tl1nux Wichtig Um die Datei keys ipsec zu ver ndern damit sie nur vom root Benutzer gelesen oder bearbeitet werden kann f hren Sie nach der Erstellung der Datei den folgenden Befehl aus chmod 600 etc sysconfig network scripts keys ipsecl Um den Authentifizierungs Schl ssel jederzeit zu ver ndern bearbeiten Sie die Datei keys ipsecX bei beiden IPsec Routern F r eine ordentliche Verbindung m ssen beide Schl ssel gleich sein Das ist die etc racoon racoon conf Konfigurationsdatei f r die IPsec Verbindung Beachten Sie dass die include Zeile am unteren Ende der Datei automatisch erstellt wird und nur dann er scheint wenn gerade eine Verbindung mit einem IPsec Tunnel vorhanden ist Racoon IKE daemon configuration file See man racoon conf for a description of the format and entries path include etc racoon path pre_shared_key etc racoon psk txt path certificate etc racoon certs sainfo anonymous pfs_group 2 lifetime time 1 hour encryption_algorithm 3des blowfish 448 rijndael authentication_algorithm hmac_shal hmac_md5 compression_algorithm deflate include etc racoon X X X X con Im folgenden sehen Sie die Konfigurationsdatei f r die Verbindung zum Remote Netzwerk Die Datei tr gt den Namen X X X X conf ersetzen Sie X X X X mit der IP Adresse des Remote IPsec R
136. ie in die folgenden Direktiven in etc mail sendmail mc limitieren kann die Wirksamkeit solcher Attacken stark abgeschw cht werden e confCONNECTION_RATE_THROTTLE Die Anzahl der Verbindungen die der Server pro Sekunde empfangen kann Standardm ig begrenzt Sendmail die Zahl der Verbindungen nicht Wird eine Grenze gesetzt werden dar ber hinaus gehende Verbindungen verz gert Kapitel 5 Server Sicherheit 55 e confMAX_DAEMON_CHILDREN Die maximale Anzahl von Child Prozessen die vom Server erzeugt werden k nnen Standardm ig begrenzt Sendmail die Anzahl der Child Prozesse nicht Wird eine Grenze gesetzt und diese erreicht werden alle weiteren Verbindungen verz gert e confMIN_FREE_BLOCKS Die minimale Anzahl freier Bl cke die f r den Server zur Verf gung stehen m ssen um E Mail empfangen zu k nnen Der Standard ist 100 Bl cke confMAX_HEADERS_LENGTH Die maximal akzeptierte Gr e in Bytes f r einen Nachricht enkopf confMAX_MESSAGE_SIZE Die maximal akzeptierte Gr e in Bytes pro Nachricht 5 7 2 NFS und Sendmail Legen Sie niemals das Mail Spool Verzeichnis var spool mail auf einem NFS Shared Volu men ab Da NFSv2 und NFSv3 keine Kontrolle ber Benutzer und Gruppen IDs haben k nnen zwei oder mehr Benutzer die gleiche UID besitzen und daher jeweils die E Mail des anderen lesen Mit NFSv4 und Kerberos ist dies nicht der Fall da das SECRPC_GSS Kernel Modul keine UID basierte Authen
137. ie unterst tzten Hash Algorithmen f r Authentifizierung Unterst tzte Modi sind shal und md5 Hashed Message Authentication Codes HMAC compression_algorithm deflate Legt den Deflate Compression Algorithmus f r IP Payload Compression IPCOMP Unterst tzung fest was m glicherweise eine schnellere bertragung von IP Datagrammen ber langsame Verbindungen erm glicht Um die Verbindung zu starten starten Sie entweder die Workstation neu oder f hren Sie den folgenden Befehl als root auf jedem Host aus sbin ifup ipsecO Um die IPsec Verbindung zu testen f hren Sie diet cpdump Utility aus Sie k nnen so die Netzwerk Pakete sehen die zwischen den Hosts oder den Netzwerken bermittelt werden und au erdem nach pr fen dass sie ber IPsec verschl sselt weren Jedes Paket sollte eine AH Kopfzeile einhalten und als ESP Paket angezeigt werden EHP bedeutet dass es verschl sselt ist Zum Beispiel 17 13 20 617872 pinky example com gt ijin example com AH spi 0x0aaa749f seq 0x335 ESP spi 0x0ec044le seq 0x335 DF 6 5 Konfiguration von IPsec Netzwerk zu Netzwerk Sie k nnen IPsec auch so konfigurieren dass ein ganzes Netzwerk z B LAN oder WAN mit einem Remote Netzwerk mittels einer Netzwerk zu Netzwerk Verbindung verbunden wird Daf r m ssen auf jeder Seite der zu verbindenden Netzwerke IPsec Routers erstellt werden damit Information ver arbeitet werden und von einem Netzwerkknoten des Netzwerkes zu einem Knoten
138. ifiziert dass die auf Ihrem System instal Kapitel 9 Intrusion Detection 89 lierten Pakete eine Paketsignatur von Red Hat enthalten die sicherstellt dass Ihre Pakete von Red Hat stammen Der Schl ssel kann mit dem folgenden Befehl importiert werden ersetzen Sie lt version gt durch die Version der RPM die auf Ihrem System installiert sind rpm import usr share doc rpm lt version gt RPM GPG KEY rpm V package_name rpm rpm rpm Die Option v verifiziert die Dateien im installierten Paket mit dem Namen package_name Wird keine Ausgabe ausgegeben und das Programm beendet bedeutet dies dass keine der Dateien seit dem letzten Update der RPM Datenbank in irgendeiner Weise ge ndert wurden Wird ein Fehler wie z B folgender angezeigt 5 52 44 T bin ps dann wurde die Datei in irgendeiner Weise ver ndert und Sie sollten berpr fen ob Sie die Da tei behalten wollen wie z B bei ge nderten Konfigurationsdateien im Verzeichnis etc oder diese Datei l schen und das Paket das die Datei enthielt neu installieren m chten In der fol genden Liste werden die Komponenten des 8 Zeichen Strings genauer beschrieben S 5 T im Beispiel oben die einen Verifizierungsfehler bekanntgeben e Der Test hat diese Phase der Verifizierung bestanden e Es wurde eine Datei gefunden die nicht gelesen werden konnte Dies ist wahrscheinlich ein Problem der Dateiberechtigungen e s Es wurde eine Datei gefunden
139. igkeit Netzwerk Verkehr dynamisch umzuleiten Informationssicherheitspersonal ist hilfreich f r das ge naueste Verfolgen von Sicherheitsproblemen und eine Post Mortem Analyse nach dem Angriff kom promittierter Systemen Es ist nicht immer tragbar aber es sollte ein gewisser Personal berschuss innerhalb eines CERT be stehen Sind tiefergehende Kompetenzen nicht auf ein Unternehmen anwendbar sollte zumindest Cross Training durchgef hrt werden Denken Sie daran dass wenn nur eine Person den Schl ssel zu Datensicherheit und Integrit t besitzt das gesamte Unternehmen hilflos wird falls diese Person abwesend ist 10 2 2 Rechtliche Betrachtungen Einige wichtige Aspekte einer Vorfallsreaktion die betrachtet werden m ssen sind rechtliche An gelegenheiten Sicherheitspl ne sollten zusammen mit Mitarbeitern der Rechtsabteilung oder einer allgemeinen Form von Rechtsbeistand erarbeitet werden Genauso wie jede Firma eine eigene Sicher heitspolice im Unternehmen haben sollte so sollte jedes Unternehmen seine eigene Methode Vorf lle vom rechtlichen Standpunkt aus zu behandeln haben Regionale landesweite oder bundesweite Ge setze w rden den Rahmen dieses Handbuchs sprengen werden jedoch kurz angerissen da die Metho dologie f r eine Post Mortem Analyse zumindest teilweise von rechtlicher Seite aus vorgegeben wird Kapitel 10 Vorfallsreaktion 95 Die Rechtsabteilung kann die technischen Mitarbeiter ber die Auswirkungen von Sicher
140. im folgenden Beispiel sbin service lt service name gt restart Ersetzen Sie im vorhergehenden Beispiel lt service name gt mit dem Namen des Services wie z B sshd Im Kapitel Zugangskontrolle f r Services imRed Hat Enterprise Linux Handbuch zur System Administration finden Sie weitere Informationen zum Services Configuration Tool xinetd Services Services die vom Super Service xinetd verwaltet werden werden nur ausgef hrt wenn eine aktive Verbindung vorliegt Beispiele von Services die von xinetd gesteuert werden sind Tel net IMAP und POP3 Da neue Instanzen dieser Services durch xinetd jedesmal gestartet werden wenn eine neue Anfrage empfangen wird werden die Verbindungen die nach einem Upgrade entstehen durch die aktualisierte Software verwaltet Bestehen jedoch aktive Verbindungen zur der Zeit zu der von xinetd verwaltete Services aktualisiert werden werden diese von der lteren Version der Software verwaltet Um ltere Instanzen eines bestimmten xinetd Services zu stoppen aktualisieren Sie das Paket f r den Service und stoppen Sie dann alle Prozesse die zur Zeit laufen Pr fen Sie zuerst welche Prozesse laufen mit dem Befehl ps und geben Sie dann den Befehl kill oder killall ein um alle aktuellen Instanzen dieses Service zu stoppen Wenn zum Beispiel Sicherheits Errata imap Pakere herausgegeben werden aktualisieren Sie die Pakete und geben Sie folgenden Befehl als root ein ps aux grep imap Dieser Befe
141. ine Verbindung zum Zielsystem zu koordinieren Es sind jedoch verschiedene Tools erh ltlich die dem Cracker bei diesem Angriff helfen k nnen Spoofing ist abh ngig von den auf dem System laufenden Dienste wie rsh telnet FTP und andere die Source basierte Authentifizierungstechniken verwenden die im Vergleich zu PKI oder anderen Formen der Verschl sselung wie ssh oder SSL TLS nicht empfohlen werden Diese Art Angriff funktioniert am besten mit Klartext bertragungsprotokollen wie Telnet FTP und HTTP bertragungen Angreifer von au erhalb m ssen Zugang zu einem kompromittierten System in einem LAN haben um solch eine Attacke durchf hren zu k nnen meistens hat der Cracker bereits aktiv eine Attacke ausgef hrt wie z B IP Spoofing oder Man in the Middle Vorbeugende Ma nahmen umfassen Dienste mit verschl sseltem Schl ssel Austausch einmalige Passw rter oder verschl sselte Authentifizierung gegen das Erschn ffeln von Passw rtern verst rkte Verschl sselung w hrend der bertragung ist auch angeraten Anhang B H ufige Schwachstellen und Attacken Sicherheitsloch Schwachstellen von Diensten Ein Angreifer findet einen Fehler oder ein Schlupfloch in einem Dienst der ber das Internet l uft Durch diese Anf lligkeit kann der Angreifer das gesamte System und alle Daten darauf sowie weitere Systeme im Netzwerk kompromittieren 111 HTTP basierte Dienste wie CGI sind anf llig f r e
142. ine der beliebtesten ist Akro nyme Zum Beispiel berlegen Sie sich einen einpr gsamen Satz wie zum Beispiel over the hills and far away to grandmother s house we go e Verwandeln Sie dies als n chstes in ein Akronym einschlie lich der Satzzeichen othafa tghwg e Machen Sie das Passwort komplexer indem Sie Buchstaben durch Zahlen und Sonderzeichen aus tauschen Ersetzen Sie zum Beispiel t durch 7 und a durch 07r 77w Tghwg e Machen Sie es noch komplexer indem Sie mindestens einen Buchstaben gro schreiben zum Beispiel H 07r 77w 7gHwg e Und bitte verwenden Sie nicht unser Beispielpasswort f r Ihre Systeme Das Erstellen sicherer Passw rter ist von oberster Wichtigkeit jedoch genauso wichtig ist das rich tige Verwalten der Passw rter insbesondere f r Systemadministratoren in gr eren Unternehmen Im n chsten Abschnitt werden Verfahren f r das Erstellen und Verwalten von Benutzerpassw rtern innerhalb eines Unternehmens beschrieben 4 3 2 Erstellen von Benutzerpassw rtern innerhalb eines Unternehmens Wenn es eine gro e Anzahl von Benutzern in einem Unternehmen gibt haben Systemadministratoren zwei grundlegende Optionen die Verwendung sicherer Passw rter zu forcieren Sie k nnen entweder Kapitel 4 Workstation Sicherheit 29 Passw rter f r die Benutzer selbst erstellen oder Benutzer ihre eigenen Passw rter erstellen lassen und diese dann auf Akzeptanz pr fen Das Erstellen von Passw
143. inistrativen Zugang die Benutzer auf ihrem Netzwerk erhalten sollen 4 4 1 Root Zugang erlauben Sind die Benutzer innerhalb eines Unternehmens vertrauensw rdig und kennen sich mit Computern aus ist das Vergeben von root Berechtigungen unter Umst nden sinnvoll root Zugang zu erlauben bedeutet dass kleinere Probleme wie das Hinzuf gen von Ger ten oder das Konfigurieren von Netz werkschnittstellen von den einzelnen Benutzern durchgef hrt werden kann und somit Systemadmini stratoren mehr Zeit f r Netzwerksicherheit und andere wichtige Aufgaben haben Auf der anderen Seite kann das Vergeben von root Rechten zu Einzelbenutzern zu folgenden Proble men f hren Fehlkonfigurationen Benutzer mit root Rechten k nnen ihre Computer falsch konfigurieren und ben tigen dann Hilfe oder schlimmer noch k nnen Sicherheitsl cher ffnen ohne dies zu merken e Unsichere Dienste Benutzer mit root Berechtigungen k nnen unsichere Dienste wie zum Beispiel FTP oder Telnet auf ihrem Computer laufen lassen und somit Benutzernamen und Passw rter einem Risiko aussetzen da diese im Klartext ber das Netzwerk verschickt werden e E Mail Anh nge als root ansehen Wenn auch selten gibt es doch E Mail Viren die Linux betr effen Dies wird jedoch nur zum Problem wenn sie als root ausgef hrt werden 4 4 2 Root Zugang sperren Wenn ein Administrator Benutzern keine root Berechtigungen aus diesen oder anderen Gr nden zu weisen m chte
144. inistrator die Shell des root Accounts auf sbin nologin in der Datei etc passwd setzen Dies verhindert Zugang zum root Account ber Befehle die eine Shell ben tigen wie zum Beispiel su oder ssh Bicon Programme die keinen Zugang zur Shell ben tigen wie z B E Mail Clients oder der Befehl sudo k nnen weiterhin auf den root Account zugreifen 4 4 2 2 Root Anmeldungen deaktivieren Um den Zugang zum root Account noch weiter einzuschr nken k nnen Administratoren root Anmeldungen an der Konsole verhindern in dem sie die Datei etc securetty bearbeiten In dieser Datei werden alle Ger te aufgelistet auf die der root Benutzer zugreifen kann Existiert die Datei nicht kann sich der root Benutzer durch ein beliebiges Kommunikationsmedium auf dem System anmelden sei es ber eine Konsole oder eine Raw Netzwerkschnittstelle Dies stellt ein Risiko dar da ein Benutzer sich ber Telnet am Computer als root anmelden kann und die Passw rter im Klartext bers Netzwerk versendet Standardm ig erlaubt die Red Hat Enterprise Linux Datei etc securetty dem root Benutzer nur sich an der mit dem Computer direkt verbundenen Konsole anzumelden Um das Anmelden von root zu verhindern l schen Sie den Inhalt dieser Datei indem Sie folgenden Befehl eingeben echo gt etc securetty 34 Kapitel 4 Workstation Sicherheit A Achtung Eine leere etc securetty Datei verhindert nicht dass der root Benutzer sich von au en ber die OpenSSH To
145. irewalls lesen alle Datenpakete die sich innerhalb und au erhalb eines LAN bewegen Pakete k nnen mit Hilfe der Kopfzeileninformation gelesen und bearbeitet werden Die Pakete werden auf der Grundlage von programmierbaren Regeln gefiltert werden die vom Systemadministrator der Firewall aufgestellt wurden Der Linux Kernel hat eine eingebaute Paketfilterfunktion ber das Netfilter Kernel Subsystem Proxy Firewalls filtern alle Anfragen eines bestimmten Protokolls oder Typs von den LAN Clients zu einer Proxy Maschine von wo aus die Anfragen im Namen des lokalen Clients an das Internet gestellt werden Eine Proxy Maschine fungiert als ein Buffer zwischen b sartigen Benutzern von au en und den internen Client Maschinen des Netzwerkes 1 Firewall Typen 7 1 Netzfiler und iptables Der Linux Kernel enth lt ein kompetentes Netzwerk Subsystem mit dem Namen Netfilter Das Netfilter Subsystem bietet eine Paketfilterung mit oder ohne Status sowie NAT und IP Maskierungsdienste Netfilter hat Anpassbar durch das iptables front end utility Erfordert keine Anpassung auf Seiten des Client da alle Netzwerkaktivit ten auf Router Level und nicht auf Ebene der Anwendung gefiltert werden Da Pakete nicht durch ein Proxy bertragenwerden ist das Netzwerk aufgrund direkter Verbindung vom Client zum Remote Host schneller Gibt dem Administrator Kontrolle dar ber welche Anwendungen und Protokolle au
146. istungsstarken Maschine zusam menzuf hren Dies ist bequem da einfacher zu verwalten und es kostet wesentliche weniger als Multiple Server Konfigurationen Ein zentralisierter Server bildet jedoch auch einen Fehlerpunkt im Netzwerk Wird der zentrale Server besch digt kann dadurch das gesamte Netzwerk nutzlos oder gar zur Angriffsfl che f r Datenmanipulation oder Diebstahl werden In diesen F llen wird ein zentraler Server zur offenen T r und erlaubt Zugang zum gesamten Netzwerk 2 3 Bedrohungen der Serversicherheit Serversicherheit ist genauso wichtig wie Netzwerksicherheit da Server meistens einen Gro teil der unternehmenskritischen Informationen halten Wird ein Server beeintr chtigt kann der Cracker auf den gesamten Inhalt zugreifen und nach Belieben Daten stehlen oder manipulieren Die folgenden Abschnitte behandeln die wichtigsten Punkte 2 3 1 Unbenutzte Dienste und offene Ports Eine Komplettinstallation von Red Hat Enterprise Linux enth lt ber 1000 Applikationen und Biblio theken Die meisten Systemadministratoren w hlen jedoch nicht jedes einzelne Paket zur Installation Kapitel 2 Angreifer und Schwachstellen 11 aus sondern ziehen es vor eine Basis Installation von Paketen inklusive mehrerer Serverapplikatio nen durchzuf hren Ein h ufig anzutreffendes Verhalten unter Systemadministratoren ist es das Betriebssystem zu instal lieren ohne darauf zu achten welche Programme eigentlich installiert werden Dies k
147. iteinander verbun den um Effizienz und Schutz empfindlicher Daten zu gew hren Viele Firmen nutzen zum Beispiel Frame Relay oder Asynchronous Transfer Mode ATM Leitungen als End to End Netzwerkl sung um B ros miteinander zu verbinden Dies kann eine teurere L sung darstellen insbesondere f r klei ne bis mittlere Unternehmen die sich vergr ern jedoch nicht die hohen Kosten f r hochrangige Digitalschaltungen in Kauf nehmen wollen Virtuelle Private Netzwerke VPN stellen eine L sung f r dieses Problem dar Dem Prinzip beson ders zugewiesener Digitalschaltungen folgend erm glichen VPNs gesicherte digitale Kommunikati on zwischen zwei Parteien oder Netzwerken und erstellen somit ein Wide Area Netzwerk WAN aus bestehenden Local Area Netzwerken LANs Der Unterschied zum Frame Relay oder ATM ist das Transportmedium VPNs bertragen ber IP oder Datagram UDP Schichten und sorgen somit f r einen sicheren Transfer durch das Internet zum Bestimmungsort Die meisten frei verf gbaren VPN Implementierungen enthalten Open Standard eine Open Source Verschl sselung f r das Mas kieren von Daten w hrend der bertragung Einige Unternehmen setzen VPN Hardwarel sungen ein um die Sicherheit zu erh hen w hrend an dere Software oder Protokoll basierte Implementierungen verwenden Es gibt mehrere Hersteller f r Hardware VPN L sungen wie z B Cisco Nortel IBM und Checkpoint Es gibt eine kostenlose Software basierte VPN L
148. k nnen Sie den Red Hat Update Agent ver wenden oder ein Update ber die Webseite http rhn redhat com planen Sr Red Hat Enterprise Linux enth lt das Red Hat Network Alert Notification Tool ein Symbol im Panel das sichtlich Hinweise f r verf gbare Updates f r ein Red Hat Enterprise Linux System anzeigt Weitere Informationen ber das Applet finden Sie unter folgender URL http rhn redhat com help basic applet html Weitere Informationen zu den Vorteilen des Red Hat Network finden Sie im Red Hat Network Reference Guide unter http www redhat com docs manuals RHNetwork oder besuchen Sie http rhn redhat com Ed ichtie Bevor Sie jegliche Sicherheits Errata installieren stellen Sie sicher dass Sie alle Anweisungen im Errata Report gelesen und diese genau befolgt haben Allgemeine Anweisungen ber das Anwenden von nderungen durch ein Errata Update finden Sie unter Abschnitt 3 1 5 3 1 2 Verwenden der Red Hat Errata Webseite Wenn Sicherheits Errata Berichte ver ffentlicht werden werden diese auf der Red Hat Errata Webseite unter http www redhat com apps support errata bekanntgegeben Sie k nnen auf dieser Seite das Produkt und die Version f r Ihr System ausw hlen und dann Security oben auf der Seite ausw hlen um nur Red Hat Enterprise Linux Sicherheitsinformationen anzuzeigen Beschreibt die Zusammenfassung in einer dieser Informationen ein Paket das auf Ihrem System verwendet wird klicken Sie auf die Zusammenfassun
149. keit der Verantwortlichen konstante Wachsamkeit im Netzwerk auszu ben Durch den dynamischen Zustand von Datensystemen und Technologien kann das Sichern Ihrer Res sourcen ziemlich komplex werden Aufgrund dieser Komplexit t kann es sich schwierig gestalten Experten f r Ihre Ressourcen zu finden Es ist zwar m glich Mitarbeiter mit reichhaltigem Wissen auf vielen Gebieten der Informationssicherheit zu besch ftigen aber es ist relativ schwierig Experten auf nur wenigen Gebieten zu behalten Dies liegt haupts chlich daran dass die Informationssicher heit st ndige Aufmerksamkeit und Fokus verlangt Informationssicherheit ist ein st ndig im Wandel begriffener Prozess 8 1 Denken wie der Feind Angenommen Sie verwalten ein Firmennetzwerk Solche Netzwerke bestehen meistens aus Betriebs systemen Applikationen Servern Netzwerk berwachung Firewalls Intrusion Detection Systemen und vielem mehr Stellen Sie sich jetzt vor Sie m ssen dahingehend immer auf dem neuesten Stand sein Durch die Komplexit t heutiger Software und Netzwerkumgebungen sind Angriffe auf einen Rechner unter Ausnutzung eines Sicherheitslochs und Bugs eine Gewissheit Mit allen Patches und Updates f r ein gesamtes Netzwerk auf dem Laufenden zu sein ist eine gewaltige Aufgabe innerhalb eines gro en Unternehmens mit heterogenen Systemen Wenn Sie nun diese gewaltigen Anforderungen an das Wissen mit der Aufgabe immer auf dem neue sten Stand zu sein kombinieren si
150. level 345 iptables on Die Syntax von iptables ist in Stufen unterteilt Die Hauptstufe ist die Kette Eine Kette Chain setzt den Satus fest bei dem ein Paket manipuliert wird Die Verwendung sieht so aus iptables A chain j target A f gt eine Regel an das Ende eines existierenden Regelsystems an Kette ist der Name der Kette f r eine Regel Die drei eingebauten Ketten von iptables sind INPUT OUTPUT und FORWARD Dies sind die Ketten die auf jedes Paket einwirken das ein Netzwerk durchl uft Diese Ketten sind permanent und k nnen nicht gel scht werden Die j target Option legt den Ort im iptables Regelsystem wohin diese bestimmte Regel springen sollte Neue Ketten auch benutzerdefinierte Ketten genannt k nnen mittels der N Option erstellt werden Eine neue Kette zu erzeugen ist n tzlich zum Anpassen von granularen oder aufwendigen Regeln 70 Kapitel 7 Firewalls 7 2 1 Grundlegende Firewall Richtlinien Die Festlegung grundlegender Firewall Richtlinien ist das Fundament auf dem mehr benutzerdefinier te und detaillierte Regeln erstellt werden k nnen iptables verwendet Richtlinien P um standard m ige Regeln zu erstellen Sicherheitsbewusste Administratoren entscheiden sich normalerweise f r die Norm alle Pakete auszulassen und nur bestimmte Pakete auf einer Fall zu Fall Basis zu genehmi gen Die folgenden Regeln blockieren alle eingehenden und ausgehenden Pakete am Gateway eines Netzwerkes iptables P INPUT
151. ll activity on ftp example com is logged EEE EEE E AE E AE FE AE AE FE AE HE AE AE AE AEE AE f Hinweis Es ist nicht n tig jede Zeile der Datei mit 220 wie in Abschnitt 5 1 1 1 beschrieben zu beginnen Um auf diese Gru bannerdatei f r vsftpd zu referenzieren f gen Sie folgende Direktive zu etc vsftpd vsftpd conf hinzu banner_file etc banners ftp msg Kapitel 5 Server Sicherheit 53 Es ist auch m glich zus tzliche Banner f r eingehende Verbindungen mittels TCP Wrappern zu sen den Dies wird unter Abschnitt 5 1 1 1 beschrieben 5 6 2 Anonymer Zugang Das Vorhandensein des var tp Verzeichnisses aktiviert das anonyme Account Der einfachste Weg dieses Verzeichnis zu erstellen ist durch die Installation des vs ftpd Pakets Dieses Paket erstellt einen Verzeichnisbaum f r anonyme Benutzer und vergibt anonymen Benutzern lediglich Lese Berechtigungen f r Verzeichnisse Standardm ig k nnen anonyme Benutzer nicht in Verzeichnisse schreiben Dersicn Wenn Sie einen anonymen Zugang zu FTP Servern zulassen sollten Sie darauf achten wo Sie empfindliche Daten speichern 5 6 2 1 Anonymes Hochladen Wenn Sie anonymen Benutzern erlauben m chten Dateien hochzuladen wird empfohlen ein Ver zeichnis nur mit Schreibberechtigung innerhalb von var ftp pub anzulegen Hierf r geben Sie folgendes ein mkdir var ftp pub upload ndern Sie dann wie folgt die Berechtigungen so dass anonyme Benutzer nicht seh
152. llman Gruppennummer zur Erstellung dynamisch generierter tempor rer Schl ssel Session Keys Standardm ig wird die 1024 Bit Gruppe benutzt Die etc racoon racoon conf Datei sollte auf allen IPsec Knoten identisch sein bis auf das include etc racoon X X X X conf Statement Dieses Statement und die Datei auf die es sich bezieht wird erstellt wenn der IPsec Tunnel aktiviert ist F r Workstation A ist X X X X im include Statement die IP Adresse von Workstation B Das Gegenteil gilt f r Workstation B Im Folgenden sehen Sie eine typische racoon conf Datei wenn die IPsec Verbindung aktiviert ist Racoon IKE daemon configuration file See man racoon conf for a description of the format and entries path include etc racoon path pre_shared_key etc racoon psk txt path certificate etc racoon certs sainfo anonymous pfs_group 2 lifetime time 1 hour encryption_algorithm 3des blowfish 448 rijndael authentication_algorithm hmac_shal hmac_md5 compression_algorithm deflate include etc racoon X X X X conf Diese standardm ige racoon conf Datei beinhaltet festgelegte Pfade f r die IPsec Konfiguration Dateien vorinstallierter Schl ssel und Zertifikate Die Felder in sainfo anonymous beschreiben die Phase 2 SA Security Association zwischen den IPsec Knoten die Natur der IPsec Verbindung inklusive den unterst tzten Verschl sselungs Algorithmen die Verwendung finden und die Met
153. ln etc sysconfig network scripts keys ipsec0 genannt die beide Workstations verwenden um sich gegenseitig zu authentifizieren Der Inhalt dieser Datei sollte auf beiden Workstations identisch sein und nur der root Benutzer sollte die Datei lesen oder berschreiben k nnen IKE_PSK foobarbaz 60 Kapitel 6 Virtuelle Private Netzwerke ichtie Um die keys ipseco Datei zu ver ndern damit sie lediglich vom root Benutzer gelesen oder bear beitet werden kann f hren Sie nach der Erstellung der Datei den folgenden Befehl aus chmod 600 etc sysconfig network scripts keys ipsec0 Sie k nnen den Authentifikations Schl ssel jederzeit ndern Bearbeiten Sie die keys ipsec0 Datei auf beiden Workstations F r eine ordentliche Verbindung m ssen beide Schl ssel identisch sein Im folgenden Beispiel schen Sie die Konfigurationsdatei f r die Verbindung zum Remote Netzwerk Die Datei tr gt den Namen x Xx X X conf ersetzen Sie X X X X mit der IP Adresse des Remote IPsec Routers Beachten Sie dass diese Datei automatisch erzeugt wird wenn der IPsec Tunnel ak tiviert wird und sollte nicht direkt bearbeitet werden i remote X X X X exchange_mode aggressive main my_identifier address proposal encryption_algorithm 3des hash_algorithm shal authentication_method pre_shared_key dh_group 2 Die Standardkonfigurationsdatei der Phase 1 die erzeugt wird wenn eine IPsec Verbindung initiali siert wird beinhaltet folgenden S
154. m Subnetz erstellen Um willk rlich eine Regel in eine existierende Kette von Regeln einzuf gen verwenden Sie gefolgt von der Kette in der Sie die Regel einf gen wollen und einer Regelnummer 1 2 3 n die besagt wo die Regel liegt Zum Beispiel iptables I INPUT 1 i lo p all j ACCEPT Die Regel wird als erste Regel in der INPUT Kette eingef gt damit Verkehr von einer lokalen Loopback Einrichtung m glich wird Es mag Zeiten geben in denen Sie einen Zugang zum LAN von au erhalb des LAN herstellen wol len F r einen verschl sselten Zugang von au en k nnen Sie sichere Services wie SSH oder CI PE verwenden Administratoren mit PPP Ressourcen wie Modem Banken oder ISP Massenkonten k nnen Einwahl Verbindungen verwenden um Firewall Barrieren sicher zu umgehen Modemverbin dungen sind direkte Verbindungen und befinden sich typischerweise hinter Firewalls Gateways F r Fernbenutzer mit Breitband Verbindungen k nnen spezielle Einstellungen gemacht werden Sie k n nen iptables so konfigurieren dass Verbindungen von entfernt liegenden SSH Clients akzeptiert werden Verwenden Sie die folgenden Regeln um zum Beispiel einen SSH Zugang von au en zu erm glichen iptables A INPUT p tcp dport 22 j ACCEPT iptables A OUTPUT p udp sport 22 j ACCEPT Es gibt noch andere Dienste f r die Sie Regeln definieren m ssen Siehe Red Hat Enterprise Linux Referenzhandbuch f r ausf hrliche Informationen ber die zahlreichen
155. merkung Hinweis oder Warnung gekennzeichnet Zum Beispiel g Anmerkung Beachten Sie dass Linux ein fallspezifisches System ist In anderen Worten bedeutet dies dass Rose nicht das gleiche ist wie ROSE und dies auch nicht das gleiche wie rOsE o Jim Das Verzeichnis usr share doc enth lt zus tzliche Dokumentationen f r im System installierte Pakete iicn Wenn Sie die DHCP Konfigurationsdatei bearbeiten werden die nderungen erst wirksam wenn Sie den DHCP Daemon neu gestartet haben Einf hrung v O scnuns F hren Sie keine allt glichen Aufgaben als root aus verwenden Sie hierzu ausser f r den Fall dass Sie einen root Account f r Ihre Systemverwaltung benutzen einen regul ren Benutzeraccount A warmung Seien Sie vorsichtig und entfernen Sie lediglich die notwendigen Red Hat Enterprise Linux Parti tionen Das Entfernen anderer Partitionen k nnte zu Datenverlusten oder zur Korruption der Syste mumgebung f hren 3 Aktivieren Sie Ihr Abonnement Bevor Sie auf Service und Softwarewartungs Information sowie auch der Support Dokumentation zugreifen k nnen welche in Ihrem Abonnement inkludiert ist m ssen Sie Ihr Abonnement aktivieren indem Sie sich bei Red Hat registrieren Die Registrierung setzt sich aus folgenden simplen Schritten zusammen e Geben Sie Ihre Red Hat Benutzerkennung und Passwort ein e Geben Sie Ihre Abonnementnummer ein Verbinden Sie Ihr System Wenn Sie das erste mal Ihre Red Hat E
156. n Tracking oder auch Dynamische Pakerfilterung genannt wird Dynamische Paketfilterung legt eine Tabelle an welche es Administratoren erm glicht Zugang zu erlauben oder abzulehnen basierend auf folgenden Verbindungs Zust nden NEW Ein Paket fragt eine neue Verbindung an wie z B eine HTTP Anfrage ESTABLISHED Ein Paket welches Teil einer bestehenden Verbindung ist RELATED Ein Paket welches eine neue Verbindung anfragt jedoch Teil einer bestehenden Verbindung ist wie z B passive FTP Verbindungen wo der Verbindungsport 20 ist und der Transfer oder bertragungs Port jeder unbenutzte Port 1024 und h her sein kann INVALID Ein Paket welches kein Teil irgendeiner Verbindung in der dynamischen Paketfil terungstabelle ist Sie k nnen die Zustandsfunktionalit t der dynamischen Paketfilterung von iptables mit jedem Netzwerkprotokoll benutzen auch wenn das Protokoll selbst statuslos ist wie z B UDP Das fol gende Beispiel zeigt eine Regel welche dynamische Paketfilterung dazu benutzt um nur die Pakete die mit einer unzweifelhaften Verbindung in Zusammenhang stehen iptables A FORWARD m state state ESTABLISHED RELATED j ALLOW 7 7 ip6tables Die Einf hrung des Internet Protokolls der n chsten Generation IPv6 genannt erweitert die M g lichkeiten des 32 Bit Adressenlimits von IPv4 oder IP IPv6 unterst tzt 128 Bit Adressen und daher k nnen IPv6 kompatible Tr ger Netzwerke eine gr ere A
157. n Sie die grafische Applikation User Manager f r Password Aging Policies verwenden m chten klicken Sie auf Hauptmen im Panel gt Systemeinstellungen gt Benutzer und Gruppen oder geben Sie den Befehl system config users an einem Shell Prompt ein z B in einem XTerm oder GNOME Terminal Klicken Sie auf den Tab Benutzer w hlen Sie den Benutzer aus der Liste aus und klicken Sie auf Eigenschaften im Men oder w hlen Sie Datei gt Eigenschaften aus dem Pull Down Men Klicken Sie dann auf Passwort Info und geben Sie hier die Anzahl der Tage ein bevor das Passwort ablaufen soll wie in Abbildung 4 1 gezeigt User Data Account Info Password Info Groups User last changed password on Thu 30 Sep 2004 12 00 00 AM EST Enable password expiration Days before change allowed 0 Days before change required 90 Days warning before change 0 Days before account inactive 0 Cancel 2 OK Abbildung 4 1 Passwort Info Panel Weitere Informationen zu Benutzern und Gruppen inklusive Anweisungen f r das Erzwingen erst maliger Passw rter finden Sie im Kapitel Benutzer und Gruppekonfiguration im Red Hat Enterprise Kapitel 4 Workstation Sicherheit 31 Linux Handbuch zur System Administration Einen berblick ber Benutzer und Ressourcenverwal tung finden Sie im Kapitel Verwalten von Benutzeraccounts und Zugang zu Ressourcen im Red Hat Enter
158. n Sie doch einmal die Security Focus Webseite unter http www securityfocus com f r aktuelle und detaillier te Informationen zu neuesten Sicherheitsbr chen und Anf lligkeiten von der h ufigen Verunstaltung von Firmenwebseiten bis hin zum legend ren Angriff auf die Root DNS Nameserver im Jahre 2002 Der positive Aspekt der Erkenntnis dass einer Systemverletzung unvermeidbar ist ist derjenige dass das Sicherheitsteam einen Aktionsplan entwickeln kann der m gliche Sch den verringert Die Kom bination eines Aktionsplans mit Kompetenz erm glicht dem Team auf widrige Umst nde formell zu reagieren Der Vorfallsreaktionsplan kann in vier Phasen unterteilt werden 1 http www gen com 21_32 web 20404 1 html 94 Kapitel 10 Vorfallsreaktion Sofortige Aktion um den Vorfall zu stoppen oder zu minimieren Untersuchen des Vorfalls Wiederherstellung von betroffenen Ressourcen Melden des Vorfalls an die richtigen Stellen Eine Vorfallsreaktion muss entschieden und schnell ausgef hrt werden Sie l sst in den meisten F llen wenig Raum f r Fehler Dadurch das Notf lle geprobt und die Reaktionszeiten gemessen werden ist es m glich eine Methodologie zu entwickeln die Schnelligkeit und Exaktheit f rdert Eine schnelle Reaktion kann die Auswirkung auf Ressourcen und m gliche Sch den im Ernstfall verringern Ein Vorfallsreaktionsplan hat eine Anzahl von Anforderungen inklusive Einem Team von In House Experten ein C
159. n auch jedes Fenster pr fen und sicherstellen dass diese richtig schlie en und abgeschlossen werden k nnen Das gleiche Konzept gilt auch f r Systeme Netzwerke und elektronische Daten Benutzer mit b swilligen Ab sichten sind die Diebe und Vandalen Ihrer Daten Konzentrieren Sie sich auf deren Tools Mentalit t und Beweggr nde denn so k nnen Sie schnell auf deren Taten reagieren 8 2 Definition von Analyse und Test Schwachstellenanalysen k nnen in zwei Arten klassifiziert werden von au en innen herumschn ffeln und innen herumschn ffeln Wenn Sie eine Schwachstellenanalyse von au en betrachtet durchf hren so versuchen Sie Ihr System von au en zu beeinflussen Wenn Sie Ihre Firma extern betrachten gibt Ihnen dies die Sichtweise eines Crackers Sie sehen was der Cracker sehen kann ffentlich weiterleitbare IP Adressen Systeme auf Ihrer DMZ externe Schnittstellen Ihrer Firewall und vieles mehr DMZ steht f r Demilitarized Zone was einem Computer oder einem kleinen Subnetzwerk entspricht und welche sich zwischen einem internen zuverl ssigen Netzwerk befindet wie z B einem gemeinschaftlichen privaten LAN und einem unzuverl ssigen externen Netzwerk wie z B das ffentliche Internet blicherweise bein haltet die DMZ Ger te die f r den Internetverkehr zug nglich sind wie z B Web HTTP Server FTP Server SMTP E Mail Server und DNS Server Wenn Sie eine Schwachstellenanalyse von innen betrachtet durchf hren
160. n und alle verd chtigen Pakete von au en proto kollieren Andere kombinieren Standard System Tools ver nderte Konfigurationen und detailliertes Logging mit der Intuition eines Administrators und der Erfahrung ein leistungsstarkes Einbruch Erkennungs Kit zu erstellen Das Auswerten dieser vielen Intrusion Detection Technologien kann Ihnen beim Finden des f r Sie richtigen Programms helfen Die g ngigsten IDS Arten in Bezug auf Sicherheit sind bekannt als host basiert und netzwerk basiert Ein host basiertes IDS ist gleichzeitig das Umfassendste von beiden was die Implementierung eines Detection Systems auf jedem individuellen Host umfasst Dies bedeutet dass der Host immer ge sch tzt ist unabh ngig von der Netzwerkumgebung Ein netzwerk basiertes IDS bertragt die Da ten zuerst an eine Einheit bevor diese an den Zielrechner geschickt werden Netzwerk basierte IDS werden meist als unzureichend anerkannt da viele Rechner in mobilen Umgeben eine zuverl ssige Datenflusskontrolle berwachung nicht erm glichen 88 Kapitel 9 Intrusion Detection 9 2 Host basiertes IDS Ein host basiertes IDS analysiert verschiedene Gebiete um Missbrauch Aktivit ten mit b swilliger oder missbr uchlicher Absicht innerhalb des Netzwerks oder Einbruch von au en festzustellen Host basierte IDS konsultieren verschiedene Arten von Log Dateien Kernel System Server Netz werk Firewall und viele mehr und vergleichen diese Logs mit einer internen Da
161. n von au en Open Source Softwareentwickler betrachten sich selbst und ihre Kollegen oftmals als Hacker und verwenden das Wort als einen Respektsbegriff Typischerweise folgen Hacker einer Form von Hacker Ethik die vorgibt dass die Suche nach In formationen und Wissen essentiell ist und das das Teilen dieses Wissens eine Pflicht des Hackers gegen ber der Community ist W hrend der Suche nach Wissen genie en einige Hacker die akademi sche Herausforderung Sicherheitskontrollen f r Computersysteme zu umgehen Aus diesem Grund verwenden die Medien h ufig den Begriff Hacker f r jemanden der unberechtigt mit skrupellosen b sen oder kriminellen Absichten auf Systeme und Netzwerke zugreift Ein zutreffenderer Begriff f r diese Art von Computerhacker ist Cracker ein Begriff der Mitte der 80er Jahre von Hackern geschaffen wurde um diese beiden Gruppen zu unterscheiden 2 1 1 Graustufen Es gibt einige wesentliche Unterschiede zwischen den einzelnen Personen die Schwachstellen in Systemen und Netzwerken finden und ausbeuten Diese Unterschiede werden durch die Farbe des Hutes den sie tragen w hrend sie ihre Sicherheitsforschungen durchf hren beschrieben wobei die jeweilige Farbe synonym mit den jeweiligen Absichten ist Ein White Hat Hacker ist jemand der Netzwerke und Systeme testet um deren Leistung zu untersu chen und Anf lligkeiten auf Angriffe herauszufinden Gew hnlich cracken White Hat Hackers ihre eigenen Systeme oder
162. nd Vorf lle Systemeinbr che Datenkorruption und Serviceunter brechungen unvermeidbar Um den Nutzen dieser Sicherheitstechnologien zu erh hen und dabei zu helfen Systeme Netzwerke und Daten zu sch tzen sollten Sie sich in die Lage eines Crackers versetzen und die Sicherheit der Systeme durch das Suchen von Schwachstellen testen Vorbeugende Schwachstellenanalysen f r Ihre eigenen Systeme und Netzwerkressourcen k nnen potentielle Problemstellen aufdecken bevor ein Cracker diese zu seinem Vorteil ausnutzen kann Eine Schwachstellenanalyse ist eine interne Pr fung Ihrer Netzwerk und Systemsicherheit Die Er gebnisse zeigen die Vertraulichkeit Integrit t und Verf gbarkeit Ihres Netzwerks auf wie in Abschnitt 1 1 4 beschrieben Eine Schwachstellenanalyse beginnt f r gew hnlich mit einer Erkundungsphase in der wichtige Daten zum System und Ressourcen gesammelt werden Diese Phase f hrt zur System bereitschaftsphase in der das Ziel auf alle bekannten Schwachstellen hin gepr ft wird Diese Phase f hrt dann zur Berichterstattungsphase in der die Ergebnisse in die Risiko Kategorien Hoch Mittel und Niedrig eingestuft und Methoden zur Verbesserung der Sicherheit oder Schw chung der Anf l ligkeit diskutiert werden 80 Kapitel 8 Schwachstellenanalyse W rden Sie zum Beispiel eine Schwachstellenanalyse f r Ihr Haus durchf hren w rden Sie wahr scheinlich pr fen ob jede T r geschlossen und auch abgeschlossen ist Sie w rde
163. nfigurieren Dieser Abschnitt informiert Administratoren ber die richtigen Methoden und Tools die zur Siche rung von Red Hat Enterprise Linux Workstations Red Hat Enterprise Linux Servern und Netzwerk Ressourcen verwendet werden sollten Weiter beschreibt dieser wie sichere Verbindungen hergestellt werden Ports und Services blockiert werden und aktive Filter zur Vorbeugung von Netzwerkeindrin gungen einzurichten sind Inhaltsverzeichnis 3 Sicherheits Updates 2os0s0esuonenenenenunnensnsnenennensnsnensnnensnenensnnensnsnsnsnnenenssensnnensnensnennenensnssnenensnnnen 4 Workstation Sicherheit 5 Server Sicherheit 6 Virtuelle Private Netzwerke nuessesnsenscunssnssnsinssnenneidesnennennsnnsensennensrhuenhnnnthnennseheshnesneh rennen ee 57 TARTEE WAS LE E E EEE E E S S nen seen nenne 67 Kapitel 3 Sicherheits Updates Wenn Sicherheitsrisiken in einer Software entdeckt werden muss die Software ge ndert werden um das m gliche Sicherheitsrisiko auszuschlie en Ist das Paket Teil einer Red Hat Enterprise Linux Dis tribution die derzeit unterst tzt wird liegt es im Interesse von Red Hat Inc so schnell wie m glich aktualisierte Pakete herauszugeben die Sicherheitsl cher stopfen Wird die Mitteilung eines Sicher heitsrisikos von einem Patch begleitet oder Code der den Fehler behebt wird der Patch auf das Red Hat Enterprise Linux Paket angewandt von unserem Qualit tssicherungsteam getestet und als Errata Update
164. ng von au en und Erkennungssysteme bei Eindringen Ill Sicherheit einsch tzen Dieser Abschnitt bietet einen berblick ber Theorie und Praxis der Sicherheitseinsch tzung Von Tools zum berwachen eines Netzwerks zu Cracking Tools ein Administrator kann mehr ber das Sichern eines Systems und Netzwerks erfahren wenn dieser selbst in diese einbricht Inhaltsverzeichnis 8 Schwachstellenanalyse ussesessensnsnesesnsnensnsnesennensnenensnnensnsnsnnenensnsnensnnensnsnensnnensnensnennensnsnssnnensnnnen 79 Kapitel 8 Schwachstellenanalyse Mit gen gend Zeit Ressourcen und Motivation kann ein Cracker in fast jedes System einbrechen Schlussendlich stellen alle derzeit erh ltlichen Technologien und Sicherheitsprozeduren keine Garan tie dar dass irgendein System vor Eindringlingen sicher ist Router k nnen bei der Sicherung Ihrer Gateways zum Internet helfen Firewalls helfen bei der Sicherung des Netzwerks Virtuelle Private Netzwerke k nnen auf sichere Art Daten verschl sselt bertragen Intrusion Detection Systeme k n nen Sie vor b swilligen Aktivit ten warnen Der Erfolg jeder dieser Technologien h ngt jedoch von einer Reihe von Variablen ab Diese sind unter anderem Die Kompetenz der Mitarbeiter die f r die Konfiguration berwachung und Wartung dieser Tech nologien verantwortlich sind e Die F higkeit Services und Kernel schnell und effizient mit Patches versehen und aktualisieren zu k nnen e Die F hig
165. ngen Nachdem Sie die Sicherheitserrata ber das Red Hat Network oder die Red Hat Errata Webseite her untergeladen und installiert haben ist es wichtig die ltere Software zu stoppen und die neue Soft ware zu verwenden Die Vorgehensweise h ngt von der Art der Software ab die aktualisiert wurde Die folgende Liste stellt die allgemeinen Kategorien der Software dar und gibt Anweisungen f r das Verwenden der aktualisierten Versionen nach einem Paket Upgrade f Hinweis Im allgemeinen ist ein Neustart der beste Weg sicherzustellen dass die aktuellste Version eines Softwarepakets verwendet wird Diese Option ist jedoch nicht immer f r den Systemadministrator verf gbar Applikaitonen User Space Applikationen sind alle Programme die durch einen Systembenutzer ausgel st wer den Gew hnlicherweise werden diese Applikationen nur verwendet wenn ein Benutzer ein Skript oder ein automatisierter Task diese startet und nicht lange ausf hrt Wird solch eine Applikation aktualisiert stoppen Sie alle Instanzen dieser Applikation auf dem System und starten Sie das Programm neu um die aktualisierte Version zu verwenden Kernel Der Kernel ist die Kern Softwarekomponente f r das Red Hat Enterprise Linux Betriebssystem Er verwaltet den Zugang zum Speicher zum Prozessor und zu Peripherieger ten sowie plant alle Aufgaben Durch dessen zentrale Rolle kann der Kernel nur durch ein Herunterfahren des Computers neu gestartet werden Daher
166. nnssnennnsossnertensnsnnsenennssntennsnustnennbgnennsneheneensensnnsshsenerhen sten ibare V Tisi 87 10 Vorfalls eaktioi enese ee eoret Eost aS o ODA Eroro ra S Erat oS E ora ENON een 93 Kapitel 9 Intrusion Detection Wertvolle G ter m ssen vor Diebstahl und Zerst rung gesch tzt werden Einige H user sind mit Alarmanlagen ausger stet die Einbrecher abwehren Beh rden nach einem Einbruch benachrichtigen oder sogar die Besitzer bei einem Hausbrand warnen k nnen Solche Ma nahmen sind notwendig um die Integrit t der H user und die Sicherheit der Hausbesitzer zu gew hrleisten Die gleiche Gew hrleistung von Integrit t und Sicherheit sollte auch auf Computersysteme und Daten angewandt werden Das Internet hat den Informationsfluss von pers nlichen bis zu finanziellen Da ten m glich gemacht Zur gleichen Zeit hat es genauso viele Gefahren heraufbeschworen B swillige Benutzer und Cracker suchen sich verletzbare Angriffsziele wie ungepatchte Systeme mit Trojanern infizierte Systeme und Netzwerke mit unsicheren Diensten Es wird ein Alarm ben tigt der Admini stratoren und Mitglieder des Sicherheitsteams warnt dass ein Bruch vorgefallen ist so dass diese in Echtzeit reagieren k nnen Intrusion Detection Systems wurden als ein solches Alarmsystem entwor fen 9 1 Definition der Intrusion Detection Systeme Ein Intrusion Detection System IDS ist ein aktiver Prozess oder ein aktives Ger t das die System und Netzwerkaktivit t
167. noten oder das Remote Netzwerk berpr ft die Attribute Credentials des anfragenden Knotens und beide Parteien entscheiden ber die Authentifizierungsmethode f r die Verbindung Auf Red Hat Enterprise Linux Systemen benutzt eine IPsec Verbindung die Pre shared Key Methode der IPsec Knoten Authentifizierung In dieser Art von Verbindung m ssen beide Hosts den selben Schl ssel verwenden um in die 2 Phase des IPsec Verbindungsprozesses zu gelangen Phase 2 der IPsec Verbindung ist diejenige in der Security Association SA zwischen den IPsec Knoten geschaffen wird Diese Phase errichtet eine SA Datenbank mit Konfigurationsinformatio nen wie z B die Verschl sselungsmethode Secret Session Key tempor rer Schl ssel den nur 2 Instanzen kennen Austauschparameter und vieles mehr In dieser Phase findet die eigentliche IPsec Verbindung zwischen den entfernten Knoten und Netzwerken statt Die Red Hat Enterprise Linux Implementierung von IPsec verwendet IKE damit die Schl ssel von den Hosts im ganzen Internet gemeinsam verwendet werden k nnen Der racoon Schl ssel Deamon bernimmt die IKE Schl sselvergabe und den Austausch 6 3 Installation von IPsec Die Implementierung von IPsec erfordert dass das ipsec tools RPM Paket auf allen IPsec Hosts wenn eine Host zu Host Konfiguration verwendet wird oder Routern wenn eine Netzwerk zu Netzwerk Konfiguration verwendet wird installiert wird Das RPM Paket enth lt essentielle Bibliotheken
168. ns Technische bersetzung Franz sisch Francesco Valente Technische bersetzung Italienisch Sarah Wang Technische bersetzung Vereinfachtes Chinesisch Ben Hung Pin Wu Technische bersetzung Traditionelles Chinesisch
169. nterprise Linux Installation booten werden Sie aufgefordert sich bei Red Hat mittels Setup Agent zu registrieren Indem Sie einfach den Eingabeaufforderun gen im Setup Agent folgen k nnen Sie s mtliche Registrierungsschritte vervollst ndigen und Ihr Abonnement aktivieren Wenn Sie die Registrierung mittels Setup Agent Netzwerkzugang ist erforderlich nicht durchf h ren k nnen so k nnen Sie alternativ dazu auch den Red Hat Registrierungsprozess online unter http www redhat com register verwenden 3 1 Geben Sie Ihre Red Hat Benutzerkennung und Passwort ein Sollten Sie kein bestehendes Red Hat Login besitzen so k nnen Sie Ihre Benutzerkennung und Passwort kreieren sobald Sie dazu im Setup Agent aufgefordert werden oder auch online unter https www redhat com apps activate newlogin html Ein Red Hat Login erm glicht Ihnen Zugang zu Software Updates Errata und Maintenance via Red Hat Network Red Hat Ressourcen auf Technischer Support Ebene Dokumentation und Wissensdatenbank Sollten Sie Ihr Red Hat Login vergessen haben so k nnen Sie nach Ihrem Red Hat Login auch online suchen https rhn redhat com help forgot_password pxt vi Einf hrung 3 2 Geben Sie Ihre Abonnementnummer ein Ihre Abonnementnummer befindet sich im Paket mit Ihrer Bestellung Sollte sich in Ihrem Paket keine Abonnementnummer befinden so bedeutet dies dass Ihr Abonnement f r Sie bereits aktiviert worden ist und Sie diesen Schritt b
170. ntfernte Befehlsausf hrungen und sogar interaktiven Zugang zur Shell Auch wenn der HTTP Dienst unter einem nicht privilegierten Benutzer wie Nobody ausgef hrt wird k nnen Informationen wie Konfigurationsdateien und Netzwerkpl ne gelesen werden Der Angreifer k nnte auch eine Denial of Service Attacke starten die die Systemressourcen lahmlegt oder f r andere Benutzer unzug nglich macht Dienste weisen manchmal Anf lligkeiten auf die w hrend der Entwicklung und dem Testen unbemerkt bleiben Diese Anf lligkeiten sind z B Buffer Overflows bei dem Angreifer Zugang erhalten indem sie den Adress Speicher mit mehr als vom Dienst akzeptierten Inhalt f llen den Dienst damit zum Absturz bringen und somit Zugang zu einem interaktiven Befehlsprompt bekommen von dem aus sie Befehle ausf hren k nnen Dies kann komplette administrative Kontrolle f r den Attacker bedeuten Administratoren sollten sicherstellen dass Dienste nicht als root ausgef hrt werden und wachsam sein wenn es zu Patches und Errata Updates von Herstellern oder Sicherheitsorganisationen wie CERT und CVE kommt 112 Anhang B H ufige Schwachstellen und Attacken Sicherheitsloch Beschreibung DE Schwachstellen von Applikationen Denial of Service DoS Attacken Angreifer finden Fehler in Desktop und Workstation Applikationen wie E Mail Clients und k nnen willk rlich Code ausf hren Trojaner f r zuk nftige Attacken implantieren oder
171. number K IM gt Gibt die Gr e der Speicheradresse in Kilobyte oder Megabyte an die der Dienst in Anspruch nehmen kann kann Diese Direktive akzeptiert entweder einen ganzzahligen Wert oder UNLIMITED e rlimit_cpu lt number_of_seconds gt Gibt die Zeit in Sekunden an die ein Dienst die CPU belegen kann Diese Direktive akzeptiert entweder einen ganzzahligen Wert oder UNLIMITED Mithilfe dieser Direktiven kann verhindert werden dass ein xinetd Dienst das gesamte System be legt und Denial of Service verursacht 5 2 Portmap sichern Der portmap Dienst ist ein dynamischer Port Zuweisungs Daemon f r RPC Dienste wie NIS und NFS Es besitzt schwache Authentifizierungsmechanismen und hat die F higkeit eine gro e Band breite an Ports f r die von ihm kontrollierten Dienste zuzuweisen Aus diesen Gr nden ist portmap schwer zu sichern f 8 Hinweis Das Sichern von portmap betrifft lediglich NFSv2 und NFSv3 Implementationen da dies f r NFSv4 nicht mehr l nger erforderlich ist Wenn Sie vorhaben einen NFSv2 oder NFSv3 Server zu impleme nieren dann ist portmap erforderlich und der folgende Abschnitt findet Anwendung Wenn Sie RPC Dienste ausf hren sollten Sie diese Grundregeln beachten 5 2 1 Sch tzen von portmap mit TCP Wrappern Es ist wichtig TCP Wrapper zur Einschr nkung des Zugriffs von Netzwerken und Hosts auf den portmap Dienst einzusetzen da letzterer keine integrierte Authentifizierungsm glichkeit bietet
172. nzahl routbarer Adressen ansprechen als mit IPv4 Red Hat Enterprise Linux unterst tzt die IPv6 Firewall Regeln unter Verwendung des Netfilter 6 Subsystems und des ip6tables Befehls Der erste Schritt bei der Verwendung von ip6tables ist das Starten des ip6tables Dienstes mit folgendem Befehl service ip6etables start Kapitel 7 Firewalls 75 AB Warnung Die iptables Dienste m ssen abgeschaltet sein damit der ip6tables Dienst exklusiv benutzt wer den kann service iptables stop chkconfig iptables off Damit ip6tables standardm ig startet wann immer das System hochgefahren wird m ssen Sie den Runlevel Status mit chkconfig ndern chkconfig level 345 ip6stables on Die Syntax ist identisch mit iptables au er dass ip6tables 128 Bit Adressen unterst tzt SSH Verbindungen auf einem IPv6 kompatiblen Netzwerk k nnen z B mt der folgenden Regel aktiviert werden ip6stables A INPUT i eth0 p tcp s 3ffe f fff 100 1 128 dport 22 j ACCEPT F r mehr Information ber IPv6 Networking siehe die IPv6 Informationsseiteunter http www ipv6 org 7 8 Zus tzliche Informationsquellen Einige Aspekte von Firewalls und des Linux Netfilter Subsystems konnten in diesem Kapitel nicht abgedeckt werden F r weitere Informationen ziehen Sie bitte die folgenden Quellen zu Rate 7 8 1 Installierte Dokumentation Das Red Hat Enterprise Linux Referenzhandbuch beinhaltet ein ausf hrliches Kapitel ber iptables einschlie li
173. ogy Intel EM64T und AMD64 Technologien F r Architektur spezifische Informationen siehe das Red Hat Enterprise Linux Installationshandbuch f r Ihre respektive Architektur 2 Dokumentkonventionen Beim Lesen dieses Handbuchs werden Sie feststellen dass bestimmte W rter in verschiedenen Fonts Schriftbildern Gr en usw dargestellt sind Diese Unterscheidung folgt einer bestimmten Ordnung bestimmte W rter werden auf die gleiche Weise dargestellt um darauf hinzuweisen dass sie zu einer bestimmten Kategorie geh ren Typen von Begriffen die auf diese Art dargestellt werden schlie en folgende Begriffe ein Befehl Linux Befehle sowie Befehle anderer Betriebssysteme sofern verwendet werden auf diese Weise dargestellt Diese Darstellungsart weist darauf hin dass Sie das Wort oder den Satz in die Befehlszeile eingeben und die Enter Taste dr cken k nnen um den entsprechenden Be fehl auszuf hren Gelegentlich enth lt ein Befehl W rter die eigentlich auf eine andere Weise dargestellt werden w rden beispielsweise Dateinamen In einem solchen Fall werden sie als Teil des Befehls betrachtet und der gesamte Satz wird als Befehl dargestellt Beispiel Verwenden Sie den Befehl cat testfile um den Inhalt einer Datei mit dem Namen testfile in einem aktuellen Verzeichnis anzeigen zu lassen Dateiname Datei und Verzeichnisnamen sowie die Namen von Pfaden und RPM Paketen werden auf diese Weise dargestellt was bedeutet dass eine
174. olsuite anmeldet da die Konsole erst nach der Authentifizierung ge ffnet wird 4 4 2 3 Root SSH Anmeldungen deaktivieren Um root Anmeldungen ber das SSH Protokoll zu verhindern bearbeiten Sie die Konfigurationsdatei des SSH Daemons etc ssh sshd_config Andern Sie folgende Zeile PermitRootLogin yes zu PermitRootLogin no 4 4 2 4 PAM f r root deaktivieren PAM erm glicht durch das 1ib security pam_listfile so Modul eine gr ere Flexibilit t in der Ablehnung bestimmter Accounts Dies erm glicht dem Administrator das Modul an eine Liste von Benutzern zu verweisen denen die Anmeldung nicht gestattet ist Unten finden Sie ein Beispiel wie das Modul f r den vs ftpd FTP Server in der etc pam d vsftpd PAM Konfigurationsdatei verwendet werden kann das Zeichen am Ende der ersten Zeile im folgenden Beispiel ist nicht n tig wenn die Direktive auf einer Zeile steht auth required lib security pam_listfile so item user sense deny file etc vsftpd ftpusers onerr succeed Dies weist PAM an die Datei etc vsftpd ftpusers zu konsultieren und allen hier aufgef hrten Benutzern Zugang zum Dienst zu verbieten Der Administrator kann den Namen dieser Datei ndern und separate Listen f r jeden Dienst oder eine einzige zentrale Liste f r die Zugriffsverweigerung f r mehrere Dienste f hren Wenn der Administrator den Zugang zu mehreren Diensten verbieten will kann eine hnliche Zeile zum PAM Konfigurationsdienste wie z B
175. omputer Emergency Response Team e Einer rechtlich abgesicherten und genehmigten Strategie Finanzieller Unterst tzung durch das Unternehmen Unterst tzung durch den Vorstand oder die obere F hrungsebene Eines durchf hrbaren und getesteten Aktionsplans e Physikalischer Ressourcen wie Extra Speicher Standby Systeme und Backup Services 10 2 1 Ein Computer Emergency Response Team CERT Ein Computer Emergency Response Team CERT zu deutsch Computer Notfall Reaktions Team ist eine Gruppe von In House Experten die im Falle einer Computer Katastrophe schnell handeln k nnen Die Kernkompetenzen f r ein CERT zu definieren kann eine Herausforderung darstellen Das Konzept von angemessenem Personal geht ber die technische Kompetenz hinaus und umfasst logistische Faktoren wie Ort Verf gbarkeit und die Einstellung das Unternehmen im Notfall allem voran zu stellen Ein Notfall tritt niemals geplant auf er kann jeden Moment eintreten und alle CERT Mitglieder m ssen dann die von ihnen verlangte Verantwortung bernehmen auf einen Notfall zu jeder Zeit zu reagieren Typische CERT Mitglieder sind z B System und Netzwerkadministratoren sowie Mitglieder der In formationssicherheitsabteilung Systemadministratoren liefern das Wissen und die Erfahrung in Be zug auf die Systemressourcen inklusive Daten Backups vorhandene Backup Hardware und vieles mehr Netzwerkadministratoren liefern deren Wissen ber Netzwerkprotokolle und die F h
176. omputer bestimmt waren pinky example com noch von tcpdump gescannt und geloggt werden 9 3 1 Snort Auch wenn tcpdump ein n tzliches Pr ftool darstellt wird es nicht als wahres IDS betrachtet da es Pakete nicht auf Anomalien analysiert und markiert tcpdump druckt alle Paketinformationen auf dem Ausgabebildschirm oder in einer Logdatei ohne Analyse oder Ausarbeitung Ein richtiges IDS analysiert die Pakete markiert potentiell sch dliche Pakete und speichert diese in einem formatierten Log Snort ist ein IDS das f r umfassendes und akkurates Logging von b swilligen Netzwerkaktivit ten und Benachrichtigung von Administratoren bei potentiellen Br chen entwickelt wurde Snort verwen det die Standard 1ibcap Bibliothek und tcpdump als Paket Logging Backend Das beste Feature von Snort zus tzlich zur Funktionalit t ist das flexible Attacken Signatur Subsystem Snort hat eine st ndig aktualisierte Attacken Datenbank die ber das Internet erg nzt und aktualisiert werden kann Benutzer k nnen Signaturen basierend auf Netzwerkattacken erstellen und diese an die Snort Signatur Mailinglisten weitergeben unter http www snort org lists html sodass alle Benutzer von Snort hiervon profitieren Diese Ethik der Community Informationen zu teilen hat Snort zu einem der aktuellsten und robustesten netzwerk basierten IDS gemacht gt Hinweis Snort wird nicht mit Red Hat Enterprise Linux ausgeliefert und wird nicht unterst tzt Es wurd
177. ormationen zu sshd FTP ist nicht ganz so gef hrlich f r die Sicherheit des Systems wie Remote Shells FTP Server m s sen jedoch sorgf ltig konfiguriert und berwacht werden um Probleme zu vermeiden Weitere Infor mationen ber das Sichern von FTP Servern finden Sie unter Abschnitt 5 6 Dienste die sorgf ltig implementiert und hinter einer Firewall verwendet werden sollten umfassen folgende e finger e identd netdump netdump server nfs e rwhod e sendmail e smb Samba e yppasswdd ypserv ypxfrd 40 Kapitel 4 Workstation Sicherheit Weitere Informationen zur Sicherung von Netzwerkdiensten ist unter Kapitel 5 erh ltlich Im n chsten Abschnitt werden Tools f r das Einrichten einer Firewall beschrieben 4 6 Pers nliche Firewalls Sobald die n tigen Netzwerkdienste konfiguriert sind ist es wichtig eine Firewall zu implementieren Firewalls verhindern dass Netzwerkpakete Zugriff auf die Netzwerkschnittstelle des Systems erhal ten Wird eine Anfrage an einen Port gestellt der von einer Firewall gesch tzt ist wird diese Anfrage ignoriert H rt ein Dienst einen dieser blockierten Ports ab kann dieser Dienst die Pakete nicht emp fangen und ist somit effektiv deaktiviert Aus diesem Grund sollte man bei der Konfiguration einer Firewall darauf achten dass der Zugang zu nicht benutzten Ports blockiert wird Ports f r konfigurierte Dienste jedoch offen bleiben F r die meisten Benutzer ist das
178. ormen verwenden verschiedene Programme zum Ausf hren geringf giger Aufgaben die mit denen des BIOS auf einem x86 System quivalent sind So verwenden zum Beispiel Intel ItaniumTM basierte Computer die Extensible Firmware Interface EFT Shell Anweisungen f r den Passwortschutz von BIOS hnlichen Programmen auf anderen Architekturen finden Sie in den Anweisungen vom Hersteller 4 2 2 Bootloader Passw rter Hier sind die Hauptgr nde einen Linux Bootloader mit einem Passwort zu sch tzen 1 Zugang zum Einzelbenutzermodus verhindern Wenn Eindringlinge in den Einzelbenutzermodus booten k nnen werden diese automatisch zu root Benutzern ohne nach dem root Passwort gefragt zu werden 2 Zugang zur GRUB Konsole verhindern Wenn der Computer GRUB als Bootloader verwen det kann ein Angreifer die GRUB Editor Schnittstelle verwenden um die Konfiguration zu ndern oder Informationen mithilfe des cat Befehls zu sammeln 3 Zugang zu unsicheren Betriebssystemen verhindern Haben Sie ein Dual Boot System kann ein Angreifer w hrend des Bootens ein Betriebssystem wie zum Beispiel DOS ausw hlen das Zugangskontrollen und Dateiberechtigungen ignoriert Mit Red Hat Enterprise Linux wird der GRUB Bootloader f r die x86 Plattform ausgeliefert Detail lierte Informationen zu GRUB finden Sie unter dem Titel der GRUB Bootloader im Red Hat Enter prise Linux Referenzhandbuch 1 Da sich das System BIOS von Hersteller zu Hersteller unt
179. outers Beachten Sie dass diese Datei automatisch erzeugt wird wenn der IPsec Tunnel aktiviert wird Sie sollte nicht direkt bearbeitet werden remote X X X X exchange_mode aggressive main my_identifier address proposal encryption_algorithm 3des hash_algorithm shal authentication_method pre_shared_key dh_group 2 Kapitel 6 Virtuelle Private Netzwerke 65 Bevor die IPsec Verbindung gestartet wird sollte IP Forwarding beim Kernel eingestellt werden Ak tivieren Sie IP Forwarding als root bei einem Shell Prompt 1 Bearbeiten Sie etc sysctl conf und stellen Sie net ipv4 ip_forward to 1 ein 2 F hren Sie den folgenden Befehl aus damit die nderung wirksam wird sysctl p etc sysctl conf Starten Sie die IPsec Verbindung indem Sie entweder die IPsec Router neu starten oder den folgen den Befehl als root bei jedem Router eingeben sbin ifup ipsec0 Die Verbindungen sind nun aktiviert und LAN A und LAN B sind in der Lage miteinander zu kommu nizieren Die Routen werden automatisch durch das Aufrufen des Initialisierungs Skriptes mit i fup bei der IPsec Verbindung erzeugt Um eine Liste der Routen f r das Netzwerk anzuzeigen f hren Sie folgenden Befehl aus sbin ip route list Um die IPsec Verbindung zu testen f hren Sie die tcpdump Utility auf dem extern routbaren Ger t aus ethO in diesem Beispiel So k nnen Sie die Netzwerk Pakete sehen die zwischen den Hosts oder Netzwerken bertragen werden und
180. pd Ein f r Kerberos aktivierte xinetd basierter FTP Daemon der keine Authentifizierungsinformationen ber das Netzwerk bertr gt Red Hat Content Accelerator tux Ein Kernel Space Webserver mit FTP F higkeiten e vsftpd Eine einzelstehende sicherheitsorientierte Implementierung des FTP Dienstes Die folgenden Sicherheitsrichtlinien gelten f r das Einrichten des vs ftpd FTP Dienstes 5 6 1 FTP Gru banner Bevor der Benutzername und das Passwort eingereicht werden erhalten alle Benutzer ein Gru banner Standardm ig enth lt dieses Banner Versionsinformationen die f r Cracker n tzlich sein k nnen die Schwachstellen in einem System herausfinden wollen Um dieses Gru banner f r vsftpd zu ndern f gen Sie die folgende Direktive zu etc vsftpd vsftpd conf hinzu ftpd_banner lt insert_greeting_here gt Ersetzen Sie lt insert_greeting_here gt in der obigen Direktive durch den Text Ihrer Begr Bung F r mehrzeilige Banner ist es ratsam eine Bannerdatei zu verwenden Um die Verwaltung von mehreren Bannern zu vereinfachen speichern Sie alle Banner in einem neuen Verzeichnis mit dem Namen etc banners Die Bannerdatei f r FTP Verbindungen in diesem Beispiel ist etc banners ftp msg Das untenstehende Beispiel zeigt wie eine derartige Datei assehen kann FEE AE AE AE HE E AE AE FE E AE AE E AE AE AE E AE AE AE HE E AE AE FE E AE AE AE AE FE E AE AE AE FE HE AE AE AE AE FE E AE FE FE HEE EAE FE Hello a
181. phy auch bekannt als Captain Zap der in Computer des Milit rs einbrach Informationen von Firmen datenbanken stahl und Anrufe ber Telefonnummern der Regierung t tigte Basierend auf dem Computer Fraud und Abuse Act war die Justiz in der Lage den Studenten Robert Morris zu verurteilen der den Morris Wurm auf ber 6000 anf llige Computer im Internet verbreitet hatte Der n chste bedeutende Fall im Rahmen dieses Gesetzes war Herbert Zinn ein Schulabbrecher der Systeme von AT amp T und dem DoD gecrackt und missbraucht hatte 4 Kapitel 1 berblick ber Sicherheit e Basierend auf den Bedenken dass der Morris Wurm jederzeit repliziert werden k nnte wird das Computer Emergency Response Team CERT gegr ndet um Benutzer von Computern vor Net zwerksicherheitsproblemen zu warnen e Clifford Stoll schreibt das Buch The Cuckoo s Egg das Kuckucksei eine Beschreibung der Un tersuchung von Crackern die unberechtigt auf sein System zugegriffen haben 1 1 2 5 Die 90er Jahre e ARPANet wird stillgelegt Verkehr ber dieses Netzwerk wir ans Internet weitergeleitet e Linus Torvalds entwickelt den Linux Kernel f r Verwendung mit dem GNU Betriebssystem die weitverbreitete Entwicklung und Verwendung von Linux liegt an der Zusammenarbeit der Benutzer und Entwickler die ber das Internet kommunizieren Durch die Unix Wurzeln ist Linux am be liebtesten bei Hackern und Administratoren die Linux n tzlich f r das Erstellen von siche
182. prise Linux Einf hrung in die System Administration 4 4 Administrative Kontrollen F r die Verwaltung eines Heim PCs muss der Benutzer einige Aufgaben als root Benutzer oder durch effektive root Berechtigungen durch ein setuid Programm wie sudo oder su ausf hren Ein setuid Programm arbeitet mit der Benutzer ID UID des Besitzers des Programms und nicht mit der des Benutzers des Programms Solche Programme werden durch ein kleines s im Abschnitt Besitzer einer detaillierten Auflistung wie im folgenden Beispiel markiert rwsr xr x 1 root root 47324 May 1 08 09 bin su F r Systemadministratoren eines Unternehmens muss festgelegt werden wieviel administrativen Zu gang Benutzer innerhalb des Unternehmens zu ihren Computern haben d rfen Durch ein PAM Modul mit dem Namen pam_console so k nnen einige Vorg nge die normalerweise nur dem root Benutzer erlaubt sind wie z B das Rebooten und Mounten externer Medien dem ersten Benutzer der sich an der physischen Konsole anmeldet erm glicht werden siehe auch das Kapitel Pluggable Authentication Modules PAM im Red Hat Enterprise Linux Referenzhandbuch f r weitere Informa tionen ber das pam_console so Modul Andere wichtige Systemadministrations Aufgaben wie das ndern von Netzwerkeinstellungen Konfigurieren einer neuen Maus oder das Mounten von Netz werkger ten sind jedoch ohne administrativen Zugang nicht m glich weswegen Systemadministra toren entscheiden m ssen wieviel adm
183. r ein direktes Routing verwendet wird Verschiedene Hersteller inklusive Cisco Systems Linksys und Netgear bieten mehrere Arten von Switches mit Eigenschaften wie 10 100 Base T Kompatibilit t Gigabit Ethernet Support und IPv6 Networking an Anhang A Hardware und Netzwerkschutz 105 A 1 3 Wireless Netzwerke Ein aufkommendes Problem f r Unternehmen heutzutage ist das der Mobilit t Mitarbeiter von zu hause oder abgelegenen Standorten Techniker und leitende Angestellte ben tigen tragbare L sungen wie z B Laptops Pers nliche Digitale Assistenten PDA und drahtlosen Zugang zu Netzwerkres sourcen Das IEEE Institue of Electrical and Electronics Engineers der als Standardisierungsgremi um fungierender Ingenieursverband in den USA hat eine Norm f r die 802 11 Wireless Spezifikation entworfen die Standards f r drahtlose Datenkommunikation in allen Industriezweigen festlegt Der heutige Standard ist die 802 11g Spezifikation w hrend 802 11a und 802 11b bereits veraltete Stan dards sind Der 802 11g Standard ist kompatibel mit der lteren Version 802 11b jedoch nicht mit 802 11a Die Spezifikationen 802 11b und 802 11g sind eine Gruppe von Standards die die drahtlose Kommu nikazion und Zugangskontrolle unter dem unlizensierten 2 4GHz Radiofrequenz Spektrum 802 11la verwendet das 5GHz Spektrum regeln Diese Spezifikationen wurden als Standard von IEEE akzep tiert und mehrere Hersteller vermarkten 802 11x Produkte und Dienste
184. rden k nnten zu erstellen Leiten Sie die Summen in eine Datei um um eine einfache Datenbank mit Pr fsummen zu erhalten und kopieren Sie dann die Datei auf ein Medium nur mit Leseberechtigung wie z B CD ROM Tabelle 10 1 Datei Pr f Tools 10 5 Wiederherstellen von Ressourcen W hrend eine Vorfallsreaktion ausgef hrt wird sollte das CERT Team auf Daten und Systemwieder herstellung hinarbeiten und diese untersuchen Es liegt jedoch in der Natur der Sicherheitsverletzung wie bei der Wiederherstellung zu verfahren ist Backups oder redundante Systeme offline zu haben hat sich in dieser Situation als unermesslich wertvoll erwiesen Um Systeme wiederherzustellen muss das Team jegliche ausgefallenen Systeme oder Applikationen wie z B Authentifitzierungsserver Datenbankserver und alle anderen Produktionsressourcen wieder online bringen Es wird dringend empfohlen Backup Hardware f r die Produktion einsatzbereit zu haben Dies um fasst Extra Festplatten Ersatz Server und hnliches Fertige Systeme sollten bereits alle Software geladen haben und f r sofortigen Einsatz bereit sein Es m ssen dann vielleicht nur die allerneuesten Daten importiert werden Dieses fertige System sollte isoliert vom potentiell betroffenen Netzwerk gehalten werden Tritt ein Sicherheitsbruch auf und das Backup System ist Teil des Netzwerks ist es zwecklos berhaupt ein Backup System anzulegen Systemwiederherstellung ist ein umst ndlicher Proze
185. ren Al ternativen zu Legacy Servern mit propriet ren nicht ver ffentlichter Quellcode Betriebssystemen fanden Der grafische Web Browser wird entwickelt und entflammt einen exponentiell h heren Bedarf an ffentlichem Internetzugang e Vladimir Levin und Komplizen knacken illegal die zentrale Datenbank der CitiBank und trans ferieren 10 Millionen US zu verschiedenen Konten Levin wird von der Interpol verhaftet und fast die gesamte Summe sichergestellt e Unter Crackern wohl am meisten gefeiert ist Kevin Mitnick der in verschiedene Systeme von Un ternehmen einbrach und alles stahl von pers nlichen Informationen bekannter Pers nlichkeiten bis zu mehr als 20 000 Kredikartennummern sowie Quellcode f r propriet re Software Er wurde verhaftet auf der Basis von Wire Fraud angeklagt und verurteilt und verbrachte 5 Jahre in Haft e Kevin Poulsen und ein unbekannter Komplize manipulieren Telefonsysteme von Radiosendern um bei Verlosungen Autos und Geldpreise zu gewinnen Er wird wegen Computerbetrugs angeklagt und zu 5 Jahren Gef ngnis verurteilt e Die Geschichten des Cracking und Phreaking werden zu Legenden und es treffen sich j hrlich ange henden Cracker auf der DefCon Versammlung um das Cracken zu feiern und Ideen auszutauschen e Ein 19 Jahre alter israelischer Student wird verhaftet und als Organisator zahlreicher Einbr che in Systeme der US Regierung w hrend des ersten Golfkrieges verurteilt Angestellte des Milit rs b
186. ress Translation NAT eine PREROUTING Tabelle auf Damit werden die Pakete an das richtige Ziel weitergeleitet iptables t nat A PREROUTING i eth0 p tcp dport 80 j DNAT to destination 10 0 4 2 80 Mit diesem Befehl werden alle HTTP Verbindungen zu Port 80 von au erhalb des LAN auf den HTTP Server in ein vom Rest des internen Netzwerks getrenntes Netzwerk geleitet Diese Art der Netzwerksegmentierung kann sicherer sein als wenn die HTTP Verbindungen auf einer Maschine im Netzwerk gestattet werden Wenn der HTTP Server so konfiguriert ist dass er sichere Verbindungen akzeptiert dann muss auch Port 443 weitergeleitet werden 7 5 Viren und geknackte IP Adressen Es k nnen auch kompliziertere Regeln erstellt werden die den Zugang zu bestimmten Subnetzwer ken oder sogar Netzwerkknoten innerhalb eines LAN kontrollieren Man kann auch diverse dubiose Dienste einschr nken wie Trojans Worms und andere Client Server Viren Es gibt zum Beispiel ei nige Trojans die Netzwerke nach Diensten durchsuchen und zwar von Port 31337 bis 31340 in der Cracker Sprache die elit renPorts genannt Da es keine legitimierten Dienste gibt die mit die sen nicht standardm igen Ports kommunizieren kann das Blockieren dieser Ports die Chance dass potentiell infizierte Netzwerkknoten in Ihrem Netzwerkes unabh ngig mit ihren ausw rtigen Master Servern kommunizieren so gering als m glich gehalten werden iptables A OUTPUT o eth0 p tcp dport 3
187. rolle ist ihnen zugewiesen Verf gbare Netzwerk Dienste Welche Dienste h ren das Netzwerk nach Anfragen ab und sollten diese wirklich alle aktiv sein e Pers nliche Firewalls Welche Art von Firewall wenn berhaupt ist n tig Kommunikationstools mit erweiterter Sicherheit Welche Tools sollten zur Kommunikation zwis chen Workstations verwendet werden und welche sollten vermieden werden 4 2 BIOS und Bootloader Sicherheit Passwort Schutz f r das BIOS oder BIOS quivalent und den Bootloader kann unbefugte Benut zer die physikalischen Zugang zu Ihren Systemen haben davon abhalten externe Medien zu booten oder sich durch den Einzelbenutzermodus als root anzumelden Die Sicherheitsma nahmen die man durchf hren sollte um vor solchen Attacken gesch tzt zu sein h ngt zum einen von den Informatio nen ab die auf der Workstation gespeichert sind und zum anderen vom Aufstellungsort des Rechners Wenn zum Beispiel ein Computer auf einer Messe verwendet wird und keine empfindlichen Daten enth lt ist es nicht unbedingt kritisch solche Attacken zu verhindern Wenn jedoch ein Laptop ei nes Mitarbeiters mit privaten nicht passwortgesch tzten SSH Schl sseln zum Firmennetzwerk auf der gleichen Messe unbeaufsichtigt gelassen wird kann dies zu einem bedeutenden Sicherheitsbruch f hren der Auswirkungen auf das gesamte Unternehmen haben kann Wenn auf der anderen Seite sich die Workstation an einem Ort befindet zu d
188. s wird dringend geraten diese Einstellungen nicht zu ver ndern Wenn Sie die MD5S Passw rter w hrend der Installation deaktivieren wird das ltere Data Encrypti on Standard DES Format verwendet Dieses Format beschr nkt Passw rter auf 8 alphanumerische Zeichen Satzzeichen und andere Sonderzeichen sind nicht erlaubt und bietet bescheidene 56 bit Verschl sselung Wenn Sie Shadow Passw rter w hrend der Installation deaktivieren werden alle Passw rter als One Way Hash in der allgemein lesbaren Datei etc passwd hinterlegt was das System f r Cracker Attacken offline anf llig macht Erlangt ein Eindringling Zugang zum Computer als normaler Be nutzer kann dieser die Datei etc passwd auf seinen eigenen Rechner kopieren und eine beliebige Anzahl Passwort Knack Programme dar ber laufen lassen Befindet sich ein unsicheres Passwort in der Datei ist es nur eine Frage der Zeit bis diese vom Passwort Cracker gefunden wird Shadow Passw rter machen diese Art von Angriff unm glich da die Passwort Hashes in der Datei etc shadow gespeichert werden die nur vom root Benutzer gelesen werden kann Dies zwingt einen m glichen Angreifer Passw rter von au en ber ein Netzwerkdienste auf dem Rechner wie zum Beispiel SSH oder FTP zu knacken Diese Art Angriff ist wesentlich langsamer und hinterl sst offensichtliche Spuren da hunderte von gescheiterten Log In Versuchen in Systemdateien aufgezeichnet werden Wenn jedoch der Cracker eine A
189. se Bit Image Kopien der Medien fassen Ereignisse und Prozes se zusammen zeigen detaillierte Dateisysteminformationen und stellen gel schte Dateien wo m glich wieder her Es ist auch ratsam alle durchgef hrten Untersuchungen auf einem kompromittierten System aufzu zeichnen in dem Sie den Befehl script wie im folgenden Beispiel verwenden script q lt file name gt Ersetzen Sie lt file name gt mit dem Dateinamen f r das script Log Speichern Sie die Log Datei immer auf einem anderem Medium als die Festplatte des kompromittierten Systems ein Diskette oder eine CD ROM sind bew hrte Medien f r diesen Zweck 96 Kapitel 10 Vorfallsreaktion Indem Sie Ihre Aktionen aufzeichnen wird ein Audit Trail erstellt der wertvoll sein kann falls der Angreifer gefasst wird 10 4 1 Erstellen eines Images als Beweis Das Erstellen einer Bit Image Kopie der Medien ist ein sinnvoller erster Schritt Wenn wir Daten untersuchen ist dies eine Anforderung Es wird empfohlen zwei Kopien zu erstellen Eine f r die Analyse und Untersuchung und eine zweite Kopie die zusammen mit dem Original gespeichert wird und als Beweismittel in jeglichen rechtlichen Verfahren gilt Sie k nnen den Befehl da der Teil des coreutils Pakets in Red Hat Enterprise Linux ist verwen den um ein monolithisches Abbild eines kompromittierten Systems zu erstellen und dies als Beweis in einer Untersuchung oder f r den Vergleich mit vertrauensw rdigen Images zu verwen
190. sec Verbindung zu identifizieren und sie von anderen Ger ten oder Verbindungen zu unterscheiden z B ipsec0 Einen fixen Schl ssel zur Verschl sselung oder einen der automatisch von racoon geschaffen wurde e Ein vorinstallierter Schl ssel zu Authentifikation der verwendet wird um die Verbindung zu initialisieren und den Austausch von Schl sseln zur Verschl sselung m glich zu machen Nehmen Sie z B an LAN A lana example com und LAN B lanb example com wollen sich miteinender durch einen IPsec Tunnel verbinden Die Netzwerk Adresse f r LAN A liegt in der 192 168 1 0 24 Reihe w hrend LAN B die 192 168 2 254 Reihe verwendet Die Gateway IP Adresse ist 192 168 1 254 f r LAN A und 192 168 2 254 f r LAN B Die IPsec Router sind von jedem LAN Gateway getrennt und verwenden zwei Netzwerk Ger te eth0 wird eine extern zug ngliche statische IP Adresse f r das Internet zugeteilt ethl fungiert als Routing Punkt f r das Bearbeiten und bertragen von LAN Paketen von einem Netzwerkknoten zu den Remote Netzwerkknoten Die IPsec Verbindung zwischen den Netzwerken verwendet einen vorinstallierten Schl ssel mit dem Wert r3dh4tl1nux Die Administratoren von A und B einigen sich racoon automatisch einen Authentifikations Schl ssel zwischen den beiden IPsec Routern erstellen zu lassen Der Administra tor von LAN A entscheidet sich daf r die IPsec Verbindung ipsecO zu nennen w hrend der Admi nistrator von LAN B die IPsec V
191. spezifische Informationen s ssesssestesseeeesieesesistststsrersesteestststnrsrstsrsrsrsssereseses ii 2 Dokumentkonventionen 3 Aktivieren Sie Ihr Abonnement cseseeesesessesnsennsennenenennnnenennnnnnnsenensennnnennenane v 3 1 Geben Sie Ihre Red Hat Benutzerkennung und Passwort ein v 3 2 Geben Sie Ihre Abonnementnummer ein 3 3 Verbinden Sie Ihi Systeh an 2 a aA RI ETE KRE i 4 In der Planung nin iiserssiaiiortesrriise tenar TIEA AEREAS EVES ENEE ES OVE SECES TERNER ESETE vi 4 1 Senden Sie uns Ihr Feedback vi I Eine allgemeine Einleitung in Sicherheit si 1 berblick ber Sicherheit 1 1 1 Was ist Computersicherheit 1 1 2 Sicherheits Kontrollen 6 1 3 Fazit ee eT 2 Angreifer und Schwachstellen 9 2 1 Ein kurzer geschichtlicher berblick ber Hacker 9 2 2 Bedrohungen der Netzwerksicherheit 2 3 Bedrohungen der Serversicherheit 2 4 Bedrohungen der Workstation und Heim PC Sicherheit nne 12 II Red Hat Enterprise Linux f r Sicherheit konfigurieren usssssssssnenenssenennenenenenensnnsnsneneneene 15 3 Sicherheits Updates nase ana rn Dehskn 17 3 1 Pakete aktualisieren sreesscieniisineennsiwansnanen ante 17 4 Workstation Sichefheit 40s0si000080 000800 rrsan etts oeSE Stonsi SooS EEE anI SS ETEV ESEESE EERENS tSS AEREA rare 23 4 1 Auswertung der Workstation Sicherheit 23 4 2 BIOS und Bootloader Sicherheit 23 4 3 Passworts
192. ss In vielen Situationen gibt es zwei Methoden aus denen man ausw hlen muss Administratoren k nnen entweder das Betriebssytem neu installie ren gefolgt von einer Neuinstallation aller Applikationen und Daten oder alternativ dazu kann der Administrator das System auch mit einem Patch versehen und das betroffene System wieder zur Pro duktion zur ckbringen Kapitel 10 Vorfallsreaktion 99 10 5 1 Neuinstallieren des Systems Das Durchf hren einer sauberen Neuinstallation versichert dass das betroffene System von allen Tro janern Backdoors und b swilligen Prozessen gereinigt wird Eine Neuinstallation stellt au erdem sicher dass jegliche Daten wenn von einer vertrauensw rdigen Quelle wiederhergestellt von b s willigen Ver nderungen gereinigt werden Der Nachteil einer vollst ndigen Systemwiederherstellung ist der Zeitaufwand das System von Grund auf neu aufzubauen Wenn jedoch ein aktuelles Backup System vorhanden ist bei dem Sie nur die neuesten Daten hinzuf gen m ssen wird die Systemaus fallzeit erheblich verringert 10 5 2 Das System mit Patches versehen Die zweite M glichkeit ist die betroffenen Systeme mit einem Patch zu versehen Diese Wieder herstellungsmethode ist risikoreicher und sollte nur mit gro er Vorsicht durchgef hrt werden Die Gefahr eines Patches anstelle einer Neuinstallation ist das Feststellen ob Sie das System ausreichend von Trojanern Sicherheitsl chern und korrupten Daten gereinigt haben W
193. ssw rter 24 Sicherheit 23 Passw rter 24 Black Hat Hacker Siehe Cracker Bootloader GRUB Passwortschutz 25 Sicherheit 24 c Co location Dienste 107 Computer Emergency Response Team 94 Cracker Black Hat Hacker 9 Definition 9 cupsd 38 D Datei Pr fung Tools 96 dd Beweise sammeln mit 96 Datei Pr fung mit 96 Demilitarisierte Zone 73 Den Vorfall melden 99 Denial of Service DoS Distributed 4 Dienste 55 DMZ Siehe Demilitarisierte Zone Siehe networks E EFI Shell Sicherheit Passw rter 24 Einf hrung i Andere Red Hat Enterprise Linux Handb cher i Kategorien Verwendung dieses Handbuchs i Themen i F file Datei Pr fung mit 96 find Datei Pr fung mit 96 Firewall Typen 67 Network Address Translation NAT 67 Paketfilter 67 Proxy 67 Firewalls 67 iptables 68 pers nliche 40 Richtlinien 70 stateful 74 Typen 67 und dynamische reflexive Paketfilterung 74 und Viruse 73 Zus tzliche Informationsquellen 75 FTP 126 Anonymer Zugang 53 anonymes Hochladen 53 Benutzeraccounts 54 Einf hrung 52 Gru banner 52 TCP Wrapper und 54 vsftpd 52 G grep Datei Pr fung mit 96 Grey Hat Hacker Siehe Hacker H Hacker Black Hat Siehe Cracker Definition 9 Grey Hat 9 White Hat 9 Hacker Ethik 9 Hardware 103 Laptops 107 Server 107 und Sicherheit 107 Workstations 107 H ufige Ports Tabelle 113 H ufige Schwachstellen und Attacken 109 Ta
194. such abgewiesen und in einer besonderen Da tei aufgezeichnet ALL 206 182 68 0 spawn bin date c d gt gt var log intruder_alert Das d Token liefert den Namen des Dienstes auf den der Angreifer zugreifen wollte Um die Verbindung zu erlauben und diese aufzuzeichnen f gen Sie die spawn Direktive in die Datei etc hosts allowein f Hinweis Da die spawn Direktive jeden beliebigen Shell Befehl ausf hrt k nnen Sie ein spezielles Skript schreiben das den Administrator im Falle eines Verbindungsversuchs eines bestimmten Clients mit dem Server benachrichtigt oder eine Reihe von Befehlen ausf hrt Kapitel 5 Server Sicherheit 45 5 1 1 3 TCP Wrapper und erweitertes Logging Wenn bestimmte Verbindungstypen eine gr ere Sorge darstellen als andere kann der Log Level f r diesen Dienst ber die Option severity angehoben werden In diesem Beispiel gehen wir davon aus dass jeder der eine Verbindung zu Port 23 dem Telnet Port auf einem FTP Server herstellen will ein Cracker ist Um dies zu kennzeichnen f gen Sie eine emerg Flag anstelle der Standard Flag info in die Log Datei ein und verweigern Sie die Verbindung Hierf r f gen Sie die folgende Zeile in die Datei etc hosts deny ein in telnetd ALL severity emerg Dies verwendet die standardm ige authpriv Logging Funktion jedoch wird die Priorit t vom Stan dardwert info auf emerg hinaufgesetzt wodurch Log Nachrichten direkt an die Konsole weiterge g
195. t Message Access Protocol ber Secure Sockets Layer IMAPS Internet Relay Chat ber Secure Sockets Layer IRCS 995 pop3s Post Office Protocol Version 3 ber Secure Sockets Layer POP3S Tabelle C 1 Bekannte Ports Tabelle C 2 listet UNIX spezifische Ports und Cover Services von Email bis hin zur Authentifizie rung und vieles mehr Namen in Klammern z B servi ce sind entweder Daemon Namen f r den Service oder bekannte Aliase Port Layer Name Kommentar Remote Login rlogin 513 udp Whod User Logging Daemon 514 tcp shell cmd Sen Shell rshell und Remote Copy rcp ohne ogging 520 udp router route Routing Information Protocol RIP routed 521 ripng Routing Information Protocol f r Internet Protocol Version 6 IPv6 525 timed Time Daemon timed timeserver 526hcp tempo newdate 530 tcp Courier Remote Procedure Call RPC Protokoll 531 tcp conference chat Internet Relay Chat Neinews Newsgroup Service 533 udp Netwall f r Notfall Broadcasts 118 Anhang C H ufige Ports Port Layer_ Name Kommentar 544 tcp Kerberos Version 5 v5 Remote Shell 548 afpovertcp Appletalk Filing Protocol AFP ber Transmission Control Protocol TCP 556 remotefs Brunhoff s Remote Filesystem RFS rfs_server rfs Tabelle C 2 UNIX spezifische Ports Tabelle C 3 listet Ports die von der Netzwerk und Software Community an die IANA f r formelle Registrierung in der Portnummernliste wei
196. t sollte mindestens 8 Zeichen enthalten Je l nger das Passwort desto besser Wenn Sie MD5 Passw rter verwenden sollten diese 15 Zeichen oder mehr enthalten DES Passw rter sollten die maximale L nge haben acht Zeichen Mischen Sie Gro und Kleinbuchstaben In Red Hat Enterprise Linuxwerden Gro und Kleinbuchstaben beachtet mischen Sie daher Gro und Kleinschreibung um die Sicherheit des Passwortes zu erh hen e Mischen Sie Buchstaben und Zahlen Das Hinzuf gen von Zahlen insbesondere in der Mitte des Passwortes nicht nur am Anfang oder Ende verst rkt die Sicherheit des Passwortes Verwenden Sie Sonderzeichen Nicht alphanumerische Zeichen wie z B amp und gt k nnen die Sicherheit des Passwortes erh hen dies gilt nicht wenn Sie DES Passw rter verwenden W hlen Sie ein Passwort das Sie sich leicht merken k nnen selbst das beste Passwort hilft Ihnen nicht weiter wenn Sie sich nicht daran erinnern k nnen Verwenden Sie daher Akronyme oder andere mnemonische Techniken um sich das Passwort zu merken Durch all diese Regeln erscheint es schwierig ein Passwort das all die Kriterien f r sichere Passw rter erf llt festzulegen Gl cklicherweise gibt es einige einfache Schritte mit deren Hilfe Sie ein leicht merkbares sicheres Passwort generieren k nnen 4 3 1 1 Methodologie zur Erstellung sicherer Passw rter Es gibt viele verschiedene Methoden sichere Passw rter zu erstellen E
197. tatements die von der Red Hat Enterprise Linux Implementierung von IPsec verwendet werden remote X X X X Legt fest dass die nachfolgenden Stanzen dieser Konfigurationsdatei nur auf den entfernten Knoten zutreffen der durch die IP Adresse X X X X identifiziert wird exchange_mode aggressive Die Standardkonfiguration f r IPsec auf Red Hat Enterprise Linux benutzt einen sog aggressiven Authentifizierungsmodus welcher den Overhead bei der Verbindung senkt w hrend gleichzeitig die Konfiguration von mehreren IPsec Verbindungen mit mehrfachen Host erm glicht wird my_identifier address Legt die Identifikationsmethode fest die bei der Authentifizierung von Knoten benutzt wird Red Hat Enterprise Linux benutzt IP Adressen um Knoten zu identifizieren encryption_algorithm 3des Legt den Verschl sselungscode fest der w hrend der Authentifizierung benutzt wird Standard m ig wird Triple Data Encryption Standard 3DES benutzt hash_algorithm shal Legt den Hash Algorithmus fest der w hrend der sogenannten Negotiation der Phase 1 zwischen den Knoten eingesetzt wird Secure Hash Algorithmus Version 1 ist Standard Kapitel 6 Virtuelle Private Netzwerke 61 authentication_method pre_shared_key Legt die Authentifizierungsmethode fest die w hrend der Knoten Negotiation benutzt wird Red Hat Enterprise Linux benutzt standardm ig vorinstallierte Schl ssel pre shared Keys zur Authentifizierung dh_group 2 Legt die Diffie He
198. tegrit t und Hochverf gbarkeit als Teil ihrer Planung Das Erheben von Metriken ist ein anspruchsvoller Prozess im Projektmanagement In einigen Industriezweigen wie zum Beispiel E Commerce ist die Verf gbarkeit und Verl sslichkeit von Daten der entscheidende Faktor zwischen Erfolg und Mi erfolg eines Unternehmens 1 1 1 Wie entwickelte sich die Computersicherheit Viele Leser erinnern sich vielleicht an den Film Wargames mit Matthew Broderick in der Hauptrolle als High School Sch ler der in den Supercomputer des US Verteidigungsministeriums DoD ein bricht und unabsichtlich fast einen Atomkrieg ausl st In diesem Film verwendet Broderick sein Mo dem um sich in den DoD Computer mit dem Namen WOPR einzuw hlen und mit der KI K nst liche Intelligenz Software die s mtliche Atomwaffenlager steuert Spiele zu spielen Dieser Film wurde 1983 w hrend des Kalten Krieges zwischen der ehemaligen Sowjetunion und den USA ver ffentlicht und wurde als Erfolg gefeiert Die Beliebtheit dieses Films inspirierte viele Individuen und Gruppen einige der Methoden des jungen Protagonisten zum Einbruch in geheime Systeme zu im plementieren einschlie lich des war dialing eine Methode zum Suchen nach Telefonnummern f r analoge Modemverbindungen in einem bestimmten Vorwahlbereich und einer Telefonvorwahlkombi nation Mehr als 10 Jahre sp ter nach einer 4 j hrigen mehrfachen gerichtlichen Verfolgung bei der sogar das FBI Federal Burea
199. ten wie z B Berechtigungen und Zugangsdaten ben tigen so dass Sie weitere Beweise f r die Analyse sammeln k nnen Diese Tools kombiniert mit Intrusion Detection Systemen Firewalls geh rtete Services und andere Sicherheitsma nahmen k nnen potentielle Sch den bei einer Attacke reduzieren Hinweis Detaillierte Informationen ber jedes Tool finden Sie auf den jeweiligen man Seiten Befehl Funktion Beispiei Kapitel 10 Vorfallsreaktion Befehl Funktion Bei Erstellt eine Bit Image Kopie oder disk dump von Dateien und Partitionen Kombiniert mit einer Pr fung der md5sums von jedem Image k nnen Administratoren ein Image der Partition oder der Datei vor dem Bruch mit einem Image das nach dem Bruch erstellt wurde vergleichen und pr fen ob die Pr fsummen bereinstimmen Findet n tzliche Text Informationen innerhalb von Dateien und Verzeichnissen wie zum Beispiel Berechtigungen Dateiattribute Skript nderungen und vieles mehr Wird haupts chlich als Pipe Befehl eines anderen Befehls wie 1s ps oder ifconfig verwendet Druckt Ketten druckbarer Zeichen in einer Datei aus Dies ist sehr n tzlich f r das Pr fen von ausf hrbaren Dateien auf Anomalien wie z B mail Befehle an unbekannte Adressen oder das Loggen in einer Nicht Standard Logdatei Legt die Charakteristiken von Dateien basierend auf Format Kodierung Bibliotheken die verkn pft werden falls vorhanden und Dateityp bin r Text
200. tenbank die h ufige Signaturen bekannter Attacken enth lt Host basierte IDS f r UNIX und Linux machen starken Ge brauch von syslog und dessen F higkeit geloggte Vorkommnisse je nach Gewichtigkeit einzuteilen z B geringf gige Drucker Nachrichten im Vergleich zu wichtigen Kernelwarnungen Der Befehl syslog kann durch die Installation des sysklogd Pakets angewandt werden welches in Red Hat Enterprise Linux inkludiert ist Dieses Paket bietet System Logging und Kernel Message Trapping Die host basierten IDS filtern Logs die im Falle einiger Netzwerk und Kernel Event Logs ziemlich detailliert sein k nnen analysieren diese versehen die abweichenden Nachrichten mit einem eigenen Kennzeichen je nach Gewichtigkeit des Vorfalles und sammeln diese in einem bestimmten Log f r die Analyse durch den Administrator Host basierte IDS k nnen auch die Datenintegrit t wichtiger Dateien und die von ausf hrbaren Pro grammen pr fen Eine Datenbank mit wichtigen Dateien und allen anderen Dateien die Sie hin zuf gen m chten wird gepr ft und eine Pr fsumme jeder Datei ber ein Programm wie md5sum 128 bit Algorithmus oder shalsum 160 bit Algorithmus erstellt Das host basierte IDS speichert diese Summen in einer Nur Textdatei und vergleicht in periodischen Abst nden die Pr fsummen mit den Werten in der Textdatei Stimmen die Pr fsummen der Datei nicht berein warnt das IDS den Administrator per E Mail oder Mobiltelefon Pager Dieser Vorgan
201. tergegeben wurden Port Layer_ Name Kommentar 1080 SOCKS Netzwerk Applikations Proxy Services rmtefg Netzwerk Switchea Microsoft SQL Server Microsoft SQL Monitor man Microsoft Windows Internet Name Server 1524 ingreslock Ingres Database Management System DBMS Lock Services 1525 Prospero Non Priveleged 1645 datametrics Datametrics old radius entry old radius 1649 Kermit Dateitransfer und Management Service 1701 l2tp I2f Layer 2 Tunneling Protocol LT2P Layer 2 Forwarding L2F 1789 radius 1812 Radius Dial up Authentifizierungs und Accounting Service 1646 sa msg port sa msg port old radacct entry oldradacct Anhang C H ufige Ports 119 Port Layer_ Name Kommentar 1813 Radius Accounting 1911 Starlight Networks Multimedia Transport Protocol MTP 1985 Cisco Hot Standby Router Protokoll 1986 Cisco License Management Daemon 1997 gdp port Cisco Gateway Discovery Protocol GDP 2049 nfs nfsd Network File System NFS 2102 Zephyr distributed Messaging Server 2103 zephyr clt Zephyr Client 2104 zephyr hm Zephyr Host Manager 2401 cvspserver Concurrent Versions System CVS Client Server Operations 2430 tcp venus Venus Cache Manager f r Coda Dateisystem codacon port 2430 udp venus Venus Cache Manager f r Coda Dateisystem callback wbc interface 2431 tcp Venus Transmission Control Protocol TCP Nebeneffekte 2433 tcp 2433 udp 2600 hpstgmgr Zebra Routingo ze
202. tion Sicherheit 4 5 2 Identifizieren und Konfigurieren von Diensten Zur Erh hung der Sicherheit sind die meisten mit Red Hat Enterprise Linux installierten Netzwerk dienste standardm ig deaktiviert Es gibt jedoch einige nennenswerte Ausnahmen cupsd Der standardm ige Druck Server f r Red Hat Enterprise Linux e 1pd Ein alternativer Druck Server e xinetd Ein Super Server der die Verbindungen zu einem Host von untergeordneten Servern wie zum Beispiel vsftpd und telnet regelt sendmail Der Sendmail Mail Transport Agent ist standardm ig aktiviert h rt jedoch nur Verbindungen vom localhost ab e sshd Der OpenSSH Server ein sicherer Ersatz f r Telnet Bei der Entscheidung ob diese Dienste aktiviert bleiben sollen sollten Sie mit gesundem Menschen verstand handeln und Vorsicht walten lassen Wenn Sie zum Beispiel keinen Drucker besitzen sollten Sie cupsd nicht laufen lassen nur weil Sie eines Tages eventuell einen Drucker kaufen werden Das gleiche gilt f r portmap Wenn Sie keine NFSv3 Volumen mounten oder NIS denypbind Dienst nicht verwenden sollte portmap deaktiviert werden Red Hat Enterprise Linux wird mit drei Programmen geliefert die f r das Aktivieren und Deaktivieren von Diensten entwickelt wurden Aus diesen besteht das Services Configuration Tool system config services ntsysv undchkconfig Informationen zu diesen Tools finden Sie im Kapitel Zugangskontrolle zu Diensten im Red H
203. tname Services auf SRI NIC Computern 102 tcp iso tsap ISO Development Environment ISODE Netzwerk Applikationen csnet ns Mailbox Nameserver auch von CSO Nameserver verwendet 109 Post Office Protocol Version 2 110 Post Office Protocol Version 3 111 sunrpc Remote Procedure Call RPC Protokoll f r Remote Befehlsausf hrung verwendet vom Network Filesystem NFS Authentication und Ident Protokolle Secure File Transfer Protocol SFTP Services uucp path Unix to Unix Copy Protocol UUCP Path Services nntp Network News Transfer Protocol NNTP f r das USENET Discussion System Anhang C H ufige Ports 115 Port Laer Name Kommentar _ Network Time Protocol NTP 137 netbios ns NETBIOS Name Service unter Red Hat Enterprise Linux von Samba verwendet 138 netbios dgm NETBIOS Datagram Service unter Red Hat Enterprise Linux von Samba verwendet 139 netbios ssn NETBIOS Session Service unter Red Hat Enterprise Linux von Samba verwendet 161 162 163 164 177 bep prospero smux atnmp at zis AppleTalk Zone Information qmtp Quick Mail Transfer Protocol QMTP 21000 239 50 NISO Z39 50 Database ipx Internetwork Packet Exchange IPX ein Datagram Protokoll das h ufig in Novell Netware Umgebungen verwendet wird 20 imap3 ____ nternet Message Access Protocol Version3 25 ink LINK SDNSiQuer Service 37 fatsev FATMEN File and Tape Management Server 363 pmet RSVP Tume 369 ipe2ponmap Coda
204. ttacke mitten in der Nacht startet und Sie ber schwache Passw rter verf gen hat der Angreifer eventuell Zugang noch vor Morgengrauen Ein weiteres Problem ber Format und Speicherung hinaus ist Inhalt Das wichtigste was ein Benutzer tun kann um seinen Account gegen eine Passwort Attacke zu sch tzen ist das Erstellen eines sicheren Passwortes 4 3 1 Erstellen sicherer Passw rter Beim Erstellen von Passw rtern ist es hilfreich die folgenden Richtlinien zu befolgen Was Sie nicht tun sollten Verwenden Sie nicht nur W rter oder Zahlen Sie sollten f r ein Passwort nicht nur W rter oder nur Zahlen verwenden Hier einige Beispiele f r schlechte Passw rter 8675309 e juan hackme Verwenden Sie keine erkennbaren W rter W rter wie Namen im W rterbuch stehende W rter oder Begriffe aus Fernsehsendungen oder Romanen sollten vermieden werden auch wenn diese am Ende mit Zahlen versehen werden Hier einige Beispiele f r schlechte Passw rter e john DS 9 Kapitel 4 Workstation Sicherheit 27 e mentat123 Verwenden Sie keine W rter in anderen Sprachen Passwort Knack Programme pr fen oft gegen Wortlisten die W rterb cher in anderen Sprachen umfassen Das Verlassen auf Fremd sprachen f r sichere Passw rter ist h ufig wenig hilfreich Hier einige Beispiele f r schlechte Passw rter e cheguevara bienvenidol ldumbKopf Verwenden Sie keine Hacker Begriffe Wenn Sie denken
205. tyfocus com oder die Webseite des Computer Emergency Response Team CERT http www cert org Auch wenn diese Mechanismen eine effektive Me thode zur Warnung der Community vor Sicherheitsproblemen darstellt liegt es letztendlich an den Systemadministratoren ihre Systeme sofort mit einem Patch zu versehen Dies ist insbesondere wich tig da Cracker auch Zugang zu den gleichen Tracking Dienste haben und diese Informationen ausnut zen um nicht gepatchte Systeme zu cracken Eine gute Systemadministration verlangt Wachsamkeit andauerndes Fehlertracking und vern nftige Systemwartung f r eine sichere Rechenumgebung Weitere Informationen dazu wie Sie ein System immer auf den aktuellen Stand bringen k nnen finden Sie unter Kapitel 3 2 3 3 Unaufmerksame Administration Administratoren die Systeme nicht mit den neuesten Patches versehen stellen eine der gr ten Bedro hungen f r die Serversicherheit dar Nach Angaben des System Administration Network and Security Institute SANS ist der Hauptgrund f r Computersicherheitsprobleme untrainierte Mitarbeiter die mit der Wartung der Sicherheit betraut werden ohne richtiges Training oder die n tige Zeit um den Job ordnungsgem auszuf hren Dies trifft sowohl auf unerfahrene Administratoren als auch auf vermessene oder unmotivierte Administratoren zu Einige Administratoren vergessen ihre Server oder Workstations zu patchen w hrend andere verges sen Log Mitteilungen vom Systemkern
206. u of Investigation und Computerexperten amerika weit eingeschaltet wurden wurde der Computer Cracker Kevin Mitnick verhaftet und f r 25 Straftaten durch Computerbetrug angeklagt Es wurden durch ihn Sch den in der H he von ber 80 Millionen US durch Verlust geistigen Eigentums sowie Quellcode von Nokia NEC Sun Microsystems Novell Fujitsu und Mo torola verursacht Zu dem Zeitpunkt sah das FBI hierin das gr te computer bezogene Verbrechen in der Geschichte der USA Kevin Mitnick wurde f r schuldig befunden und zu 68 Monaten Gef ngnis 2 Kapitel 1 berblick ber Sicherheit verurteilt von denen er 60 Monate absa bevor er wegen guter F hrung am 21 Januar 2000 entlas sen wurde Desweiteren durfte er keine Computer verwenden oder computer bezogenes Consulting bis 2003 durchf hren Fahnder best tigten dass Mitnick ein Experte auf dem Gebiet des Social En gineering war er missbrauchte soziale Kontakte um Zugang zu Passw rtern und Systemen durch gef lschte Unterlagen zu erlangen Informationssicherheit hat sich in den letzten Jahren in Anbetracht der wachsenden Abh ngigkeit von ffentlichen Netzwerken f r pers nliche finanzielle und andere vertrauliche Informationen ent wickelt Die unz hligen Vorf lle wie die Mitnick oder Vladimir Levin F lle weitere Informationen unter Abschnitt 1 1 2 haben Unternehmen aller Industriebereiche dazu veranlasst deren Methoden zur Informations bertragung und Aufbewahrung neu zu
207. ublic Keyserver 11720 h323callsigalt H 323 Call Signal Alternate 13720 Veritas NetBackup Request Daemon bprd 13721 bpdbm Veritas NetBackup Database Manager bpdbm 13722 bpjava msvc Veritas NetBackup Java Microsoft Visual C MSVC Protocol 13724 vne d 13782 bpd Veritas NetBackup i O 13783 Kana Kanji Konvertierungssysteme 26208 Wnn6 Kana Kanji Server 33434 Traceroute Netzwerk Tracking Tool 7004 AFS Kerberos Authentifizierungsservice T yr Q A Anhang C H ufige Ports 121 Port Layer_ Name Kommentar _ Bemerkungen a Hinweis in etc services Port 1236 ist registriert als bvcontrol wird jedoch auch von Gracilis Packeten Remote Config Server verwendet Der offizielle Name ist als Hauptname gelistet der unregistrierte Name wird als Alias gef hrt b Hinweis in etc services Ports mit der Nummer 2600 bis 2606 werden vom Zebra Paket ohne Registrierung verwendet Die Hauptnamen sind die registrierten Namen und die von zebra verwendeten unregistrierten Namen werden als Alias gelistet c Hinweis in etc services Dieser Port ist unter wnn6 registriert jedoch auch unter dem unregistrierten Namen wnnd vom FreeWnn Paket Tabelle C 3 Registrierte Ports Tabelle C 4 zeigt eine Liste der Ports die sich auf das Datagram Delivery Protocol DDP auf Apple Talk Netzwerken beziehen Port Layer Name Kommentar Name Binding Protocol AppleTalk Echo Protocol Tabelle C 4
208. ucht auszunutzen Das restliche Kapitel behandelt diese Thematik 2 2 Bedrohungen der Netzwerksicherheit Unzureichende Methoden bei der Konfiguration einiger Netzwerkaspekte kann das Risiko eines An griffs erheblich erh hen 2 2 1 Unsichere Architekturen Ein fehlerhaft konfiguriertes Netzwerk ist der erste Zugangspunkt f r unbefugte Benutzer Wenn Sie ein trust based offenes lokales Netzwerk ungesch tzt dem in h chstem Grad unsicheren Internet aussetzen ist das so als wenn Sie Ihre Haust r in einem unsicheren Vorort offenlassen f r eine Weile mag nichts passieren aber eventuell wird sich jemand die Gelegenheit zu Nutze machen 2 2 1 1 Broadcast Netzwerke Systemadministratoren vernachl ssigen oftmals die Bedeutung vernetzter Hardware in ihren Sicher heitssystemen Einfache Hardware wie z B Hubs und Router arbeiten nach dem Broadcast oder unge schaltetem Prinzip d h wenn ein Knoten Daten ber ein Netzwerk bertr gt sendet die Hub oder der Router die Datenpakete solange bis der Empf ngerknoten die Daten empfangen und verarbeitet hat Diese Methode ist am anf lligsten f r ARP Address Resolution Protocol oder MAC Media Access Control Spoofing durch au enstehende Angreifer oder unbefugte Benutzer in lokalen Knoten 2 2 1 2 Zentralisierte Server Eine weitere Netzwerkfalle ist die Verwendung zentralisierter Rechner Eine beliebte Ma nahme zur Kostensenkung f r Firmen ist es alle Dienste auf einer einzigen le
209. und geben Sie die Komponenten rhel sg an Vergessen Sie dabei nicht die Identifikationsnummer des Handbuchs anzugeben rhel sg DE 4 Print RHI 2004 09 30T17 12 Durch Angeben dieser Handbuch Identifikationsnummer wissen wir dann genau welche Version des Handbuches Sie haben Wenn Sie einen Vorschlag zur Verbesserung der Dokumentation haben sollten Sie uns hierzu m g lichst genaue Angaben machen Wenn Sie einen Fehler gefunden haben geben Sie bitte die Nummer des entsprechenden Abschnitts und ein weinig vom Umgebungstext an damit wir diesen leichter fin den k nnen l Eine allgemeine Einleitung in Sicherheit Dieser Abschnitt beschreibt Informationssicherheit die Geschichte und die Industrie die daraus ent standen ist Dieser Abschnitt schneidet auch einige Risiken an auf die Computer Benutzer und Ad ministratoren sto en Inhaltsverzeichnis 1 berblick ber Sicherheit 2 Angreifer und Schwachstellen 2 2usursneseenenenenenennonensnensnnenensnensonsnensnsnensnnensnssennenensnensnennenensnen 9 Kapitel 1 berblick ber Sicherheit Durch die wachsende Abh ngigkeit von leistungsstarken vernetzten Computern f r das F hren von Unternehmen und Aufzeichnen unserer pers nlichen Daten haben sich ganze Industriezweige um die Netzwerk und Computersicherheit herum gebildet Gro e Unternehmen haben das Wissen und die F higkeiten von Sicherheitsexperten zu Rate gezogen um Systeme zu pr fen und ma geschneiderte
210. us eingegeben stellt fest welche Ports auf TCP Verbindungen aus dem Netzwerk mith ren nmap sT O localhost Die Ausgabe dieses Befehls sieht wie folgt aus Starting nmap 3 55 http www insecure org nmap at 2004 09 24 13 49 EDT Interesting ports on localhost localdomain 127 0 0 1 The 1653 ports scanned but not shown below are in state closed PORT STATE SERVICE 56 Kapitel 5 Server Sicherheit 22 tcp open ssh 25 tcp open smtp 111 tcp open rpcbind 113 tcp open auth 631 tcp open ipp 834 tcp open unknown 2601 tcp open zebra 32774 tcp open sometimes rpcll Device type general purpose Running Linux 2 4 X12 5 X 2 6 X OS details Linux 2 5 25 2 6 3 or Gentoo 1 2 Linux 2 4 19 rcl rc7 Uptime 12 857 days since Sat Sep 11 17 16 20 2004 Nmap run completed 1 IP address 1 host up scanned in 5 190 seconds Diese Ausgabe zeigt dass das System portmap ausf hrt dadurch dass der Dienst sunrpc vorhanden ist Es wird jedoch auch ein unbekannter Dienst auf Port 834 ausgef hrt Um zu pr fen ob dieser Port zu der offiziellen Liste bekannter Dienste geh rt geben Sie folgendes ein cat etc services grep 834 Dieser Befehl erh lt keine Ausgabe Dies bedeutet dass der Port im reservierten Bereich 0 bis 1023 liegt und Root Zugang zum ffnen ben tigt jedoch nicht mit einem bekannten Dienste assoziiert ist Als n chstes k nnen Sie Informationen ber den Port mittels netstat oder 1sof abrufen Um Port 834 mit
211. usf hrbaren Speicher Segmentation und Schutztechnologie unterst tzt durch x86 kompatible Einzelprozessor und Multiprozessor Kernels ExecShield reduziert das Risiko eines Puffer Overflow indem virtueller Speicher in ausf hrbare und nicht ausf hrbare Segmente unterteilt wird Jeglicher Progammcode welcher versucht ausserhalb des ausf hrbaren Segments auszuf hren vors tzlich und b swillig unter Ausnutzung eines Sicherheitsloches in Zusammenhang mit Puffer Overflow implementierter Code l st einen Segmentierungsfehler aus und wird abgebrochen Execshield beinhaltet auch Unterst tzung f r No eXecute NX Technology auf AMD64 Plattformen und eXecute Disable XD Technologie auf Itanium und Intel EM64T Systemen Diese Technolo gien arbeiten in Zusammenhang mit ExecShield um b swilligen Code davon abzuhalten im aus f hrbaren Bereich des virtuellen Speichers mit einer Granularit t von 4 KB ausf hrbaren Codes abzulaufen wobei das Risiko eines heimlichen Eindringens in das System unter Ausnuztung eines Puffer Overflows verringert wird F r weitere Informationen ber ExecShield und NX oder XD Technologien siehe das Whitepaper mit dem Titel New Security Enhancements in Red Hat Enterprise Linux v 3 Update 3 welches unter folgender URL erh ltlich ist http www redhat com solutions info whitepapers Um die Angriffsfl che des Netzwerks zu verringern sollten alle nicht genutzten Dienste ausgeschaltet werden 38 Kapitel 4 Worksta
212. uter oder Applikationscluster leistungsstarke Workstations und spezialisierte Ger te um fassen k nnen Mit all diesen Anforderungen kommt jedoch auch eine erh hte Anf lligkeit f r Hardware Ausf lle Naturkatastrophen und Diebstahl der Ausr stung Konnektivit t ist die Methode mit der ein Administrator ungleichartige Ressourcen auf einem Net zwerk zu verbinden versucht Ein Administrator verwendet eventuell ein Ethernet Hub oder Switch CAT S RJ 45 Kabel Token Ring 10 base 2 Koaxialkabel oder sogar Wireless 802 11x Tech nologien Abh ngig vom gew hlten Medium erfordern bestimmte Medien und Netzwerktopolo gien komplement re Technologien wie z B Hubs Router Switches Base Stations und Access Points Das Festlegen einer funktionalen Netzwerkarchitektur erm glicht einen leichteren Verwal tungsaufwand sollten Sicherheitsprobleme auftreten Durch diese allgemeinen berlegungen kann ein Administrator eine bessere bersicht ber die Implementierung erhalten Das Design einer Computer Umgebung kann auf den Unternehmens Anforderungen und Sicherheitsbetrachtungen basieren eine Implementierung die beides ber cksichtigt A 1 Sichere Netzwerktopologien Das Grundger st eines LAN ist die Topologie oder Netzwerkarchitektur Eine Topologie ist das phy sikalische und logische Layout eines LAN inBezug auf die Ressourcen Entfernung zwischen Knoten und bertragungsmedium Abh ngig von den Bed rfnissen des Unternehmens die das
213. ver ndert wurden Nachdem der GPG Schl ssel verifiziert und alle Pakete im Zusammenhang mit dem Errata Bericht heruntergeladen wurden k nnen Sie diese als Root angemeldet in einem Shell Prompt installieren 3 1 4 Signierte Pakete installieren Die Installation f r die meisten Pakete kann sicher durch den folgenden Befehl erfolgen Kernel Pakete ausgenommen rpm Uvh tmp updates rpm F r Kernel Pakete sollten Sie den folgenden Befehl verwenden rpm ivh tmp updates lt kernel package gt Ersetzen Sie lt kernel package gt im vorhergehenden Beispiel mit dem Namen der Kernel RPM Nachdem die Maschine mithilfe des neuen Kernels sicher neu gestartet ist kann der alte Kernel mit dem folgenden Befehl entfernt werden rpm e lt old kernel package gt Ersetzen Sie lt old kernel package gt im vorhergehenden Beispiel mit dem Namen der lteren Kernel RPM 20 Kapitel 3 Sicherheits Updates Hinweis Es ist keine Voraussetzung dass der alte Kernel entfernt wird Der standardm ige Boot Loader GRUB erlaubt die Installation mehrerer Kernel welche dann von einem Men w hrend des Bootvor ganges ausgew hlt werden k nnen e E Bevor Sie jegliche Sicherheits Errata installieren stellen Sie sicher dass Sie alle Anweisungen im Errata Report gelesen und diese genau befolgt haben Allgemeine Anweisungen ber das Anwenden von Anderungen durch ein Errata Update finden Sie unter Abschnitt 3 1 5 3 1 5 Anwenden der nderu
214. werden k nnen Eine moderne Sicherheits und Authentifizierungsmethode welche von Herstellern von Netzwerk funkausr stung eingef hrt wurde ist Wi fi Protected Access WPA Administratoren k nnen WPA mit Hilfe eines Authentifizierungsservers auf deren Netzwerk konfigurieren welcher Keys f r Cli ents verwaltet die auf das funkbetriebene Netzwerk zugreifen WPA besitzt einen Vorteil gegen ber WEP Verschl sselung durch die Benutzung des Temporal Key Integrity Protocol TKIP wes sen Methodik auf der gemeinsamen Benutzung eines Keys basiert welcher mit der MAC Adresse derWireless Netzwerkkarte verbunden wird die auf dem jeweiligen Client installiert ist Der Wert des gemeinsam benutzten Keys und der MAC Adresse wird sodann von einem Initialization Vector IV oder Initialisierungs Vektor verarbeitet welcher zur Erstellung eines Keys verwendet wird welcher sodann jedes einzelne Datenpaket verschl sselt TV ndert die Verschl sselung jedes mal wenn ein Paket transferiert wird wobei die blichsten Funknetz Attacken vermieden werden k nnen Jedoch wird WPA unter Benutzung von TKIP als eher tempor re L sung angesehen L sungen wel che st rkere Verschl sselungsmethoden anwenden wie z B AES werden derzeit entwickelt und be sitzen das Potential die Funk Netzwerksicherheit im Unternehmensbereich weitgehend zu verbes sern F r weitere Informationen ber 802 11 siehe folgende URL http standards ieee org getieee802 802 1
215. wie einer Red Hat Enterprise Linux CD ROM installieren Unter der Annahme das die CD ROM in mnt cdrom gemountet ist k nnen Sie den folgenden Befehl zum Importieren des Schl ssels in den Keyring oder Schl sselring verwenden eine Datenbank bestehend aus zuverl ssigen Schl sseln auf dem System rpm import mnt cdrom RPM GPG KEY Um eine Liste aller installierten Schl ssel f r die RPM Verifikation anzuzeigen f hren Sie folgenden Befehl aus rpm qa gpg pubkey F r den Red Hat Schl ssel enth lt das Output folgendes gpg pubkey db42a60e 37ea5438 Um Details ber einen bestimmten Schl ssel anzuzeigen verwenden Sie den Befehl rpm qi gefolgt vom Output des vorhergehenden Befehls rpm qi gpg pubkey db42a60e 37ea5438 Es ist von gr ter Wichtigkeit dass Sie die Signatur der RPM Dateien verifizieren bevor Sie diese installieren Dieser Schritt versichert Ihnen dass die RPMs der Red Hat Inc Version nicht ver ndert wurden Um alle heruntergeladenen Pakete gleichzeitig zu pr fen geben Sie folgenden Befehl ein rpm K tmp updates rpm F r jedes einzelne Paket erhalten Sie im Falle einer erfolgreichen Verifikation den Output gpg OK Falls dies nicht der Fall ist so berpr fen Sie ob Sie den richtigen Red Hat Public Key verwenden und verifizieren Sie die Quelle des Inhalts Pakete welche die GPG Verifizierung nicht bestehen sollten nicht installiert werden da die M glichkeit besteht dass diese von einem Dritten
Download Pdf Manuals
Related Search