RedHat Sicherheitshandbuch
Contents
1. 33 Kapitel 2 Sichern Ihres Netzwerks FI Wichtig TU _ Programme die keinen Zugang zur Shell ben tigen wie z B E Mail Clients oder der sudo Befehl k nnen weiterhin auf den Root Account zugreifen 2 1 4 2 2 Deaktivieren von Root Anmeldungen Um den Zugang zum Root Account noch weiter einzuschr nken k nnen Administratoren Root Anmeldungen an der Konsole verhindern indem sie die Datei etc securetty bearbeiten In dieser Datei werden alle Ger te aufgelistet an denen sich der Root Benutzer anmelden darf Existiert die Datei nicht darf sich der Root Benutzer ber jedes beliebige Kommunikationsger t auf dem System anmelden sei es ber eine Konsole oder eine Raw Netzwerkschnittstelle Dies stellt ein Risiko dar da ein Benutzer sich ber Telnet am Computer als Root anmelden kann wobei die Passw rter im Klartext ber das Netzwerk versendet werden Standardm ig erlaubt die Red Hat Enterprise Linux Datei etc securetty dem Root Benutzer nur sich an der mit dem Rechner direkt verbundenen Konsole anzumelden Um das Anmelden von Root zu verhindern l schen Sie den Inhalt dieser Datei indem Sie folgenden Befehl eingeben echo gt etc securetty Wamuna Eine leere etc securetty Datei verhindert nicht dass der Root Benutzer sich von au en ber die OpenSSH Toolsuite anmeldet da die Konsole erst nach der Authentifizierung ge ffnet wird 2 1 4 2 3 Deaktivieren von Root SSH Anmeldungen Root Anmeldunge2. 2e4ssnnnnennnnnnennnnnnennn nennen nennen nn erasana nenn 17 1 5 2 Verifizieren von signierten Paketen 4444444444nnennnnnnnnnnnnnnnnnennnnnnnnnn 18 1 5 3 Installieren von signierten Paketen 44444444nnnensnnnnnnnennnnnen nenn rnnnnnn 19 1 5 4 Anwenden der nderungen u ensure rer aakne 19 2 Sichern Ihres Netzwerks 23 2 1 Sicherheit eines Arbeitsplatzrechners 4s44s444444nnnnnnnnnennnn ernennen nnnnnnnnn nn 23 2 1 1 Beurteilung der Arbeitsplatzrechner Sicherheit 4 44s444440Hnnnn ern ennn 23 2 1 2 BIOS und Bootloader Sicherheit uunsseennneeennnnenen en nnnnnn anne nennen 23 2 1 3 Passwortsicherneft o nioen eadi hei ENNE EEA 25 2 1 4 Administrative Kontrolle sirrin ie ee a armer ne 31 2 1 5 Verf gbare Netzwerkdienste u4444444snnnannnnnnnnnnnnnnn anne nnnnannnnnnnnnannnnnnnn 38 2 1 6 Pers nliche Firewalls 24 Karen EEA KEETE ERNE AE 41 2 1 7 Kommunikationstools mit verbesserter Sicherheit u444s en nn ernennen 42 2 2 SEIVer Sicherheilt rm en br tin anne FARETE SNERTA 43 2 2 1 Sichern von Diensten mit TCP Wrappern und xinetd 44444e nennen 43 22 2 Sichern Von POrtMAp a a Aa Tei Daa AUKA Aea ERa Sama AEN araa ee 47 2 2 3 SIchein Von NIS Hl as a insg 48 Leh Sleherni von NES NORPERPRREERFEFRREREPBERFERFEEFFFRUENFERFEEREEFERTELPTERFEUEPESRFBEFBERFFRERFEFFFLTRFEFFELERR 50 2
3. ndert lokal generierte Netzwerkpakete bevor diese gesendet werden e POSTROUTING ndert Netzwerkpakete bevor diese gesendet werden Die integrierten Ketten f r die mangle Tabelle sind e INPUT ndert Netzwerkpakete die f r den Host bestimmt sind e OUTPUT ndert lokal generierte Netzwerkpakete bevor diese gesendet werden e FORWARD ndert Netzwerkpakete die ber den Host geroutet werden e PREROUTING ndert eingehende Netzwerkpakete bevor diese geroutet werden e POSTROUTING ndert Netzwerkpakete bevor diese gesendet werden Jedes Netzwerkpaket das von einem Linux System empfangen oder ausgesendet wird f llt mindestens unter eine dieser Tabellen Ein Paket kann jedoch in jeder Tabelle auf mehrere Regeln 91 Kapitel 2 Sichern Ihres Netzwerks hin berpr ft werden bevor es am Ende der Kette wieder austritt Struktur und Zweck dieser Regeln k nnen unterschiedlich sein in der Regel versuchen sie jedoch ein Paket zu identifizieren das von einer bzw an eine bestimmte IP Adresse gesendet wurde wenn dieses ein bestimmtes Protokoll und einen bestimmten Netzwerkdienst benutzt Die folgende Abbildung veranschaulicht wie der Durchlauf der Pakete vom IPTables Subsystem untersucht wird PREROUTING FORWARD POSTROUTING Routing Decision OUTPUT J Inspection Point Local Process Standardm ig werden Firewall Regeln in den Dateien etc sysconfig iptables oder etc sysconf
4. Gibt die Zeit in Sekunden an die ein Dienst die CPU beanspruchen kann Diese Direktive akzeptiert entweder einen ganzzahligen Wert oder UNLIMITED Mithilfe dieser Direktiven kann verhindert werden dass ein einziger xinetd Dienst das gesamte System berschwemmt und einen Denial of Service verursacht 46 Sichern von Portmap 2 2 2 Sichern von Portmap Der portmap Dienst ist ein Daemon zur dynamischen Port Zuweisung f r RPC Dienste wie NIS und NFS Er besitzt schwache Authentifizierungsmechanismen und hat die F higkeit einen gro en Bereich an Ports f r die von ihm kontrollierten Dienste zuzuweisen Aus diesen Gr nden ist Portmap schwer zu sichern I Das Sichern von portmap betrifft lediglich NFSv2 und NFSv3 Implementationen da Portmap f r NFSv4 nicht mehr l nger erforderlich ist Wenn Sie einen NFSv2 oder NFSv3 Server implementieren m chten dann ist portmap demnach erforderlich und der folgende Abschnitt f r Sie wichtig Falls Sie RPC Dienste ausf hren sollten Sie die folgenden Grundregeln beachten 2 2 2 1 Sch tzen von Portmap mit TCP Wrappern Es ist wichtig TCP Wrapper zur Einschr nkung des Zugriffs von Netzwerken und Hosts auf den portmap Dienst einzusetzen da Portmap selbst keine integrierte Authentifizierungsm glichkeit bietet Des Weiteren sollten Sie nur IP Adressen verwenden um den Zugriff auf den Dienst einzuschr nken Vermeiden Sie den Gebrauch von Hostnamen da sie durch DNS Poisoning u
5. der sich f r einen bestimmten Dienst an einem System anmeldet ohne Unterbrechung umgeleitet werden Der xinetd Daemon kann diese Umleitung durch Erzeugen eines Prozesses ausf hren der w hrend der Verbindung des anfragenden Client Rechners mit dem Host Rechner der den eigentlichen Dienst liefert im Stay Alive Modus l uft und Daten zwischen den zwei Systemen austauscht Die eigentliche St rke der bind und redirect Optionen liegt in deren kombinierter Verwendung Durch Bindung eines Dienstes an eine bestimmte IP Adresse auf einem System und dem darauffolgenden Umleiten der Anfragen f r denselben Dienst an einen zweiten Rechner der nur f r den ersten Rechner sichtbar ist k nnen Sie ein internes System verwenden um Dienste f r vollkommen unterschiedliche Netzwerke zur Verf gung zu stellen Alternativ k nnen diese Optionen verwendet werden damit ein Dienst auf einem Multinomed Rechner weniger einer bekannten IP Adresse ausgesetzt ist und um jegliche Anfragen f r diesen Dienst an einen anderen Rechner weiterzuleiten der eigens f r diesen Zweck konfiguriert ist Nehmen wir zum Beispiel ein System das mit diesen Einstellungen f r seinen Telnet Dienst als Firewall verwendet wird service telnet socket_type stream wait no server usr kerberos sbin telnetd log_on_success DURATION USERID log_on_failure USERID bind redirect 123 123 123 123 10 0 1 13 23 Die bind und redirect Optionen in dieser Datei ste
6. 1 3 2 1 2 Zentralisierte Server Ein weiterer Fallstrick in Netzwerken ist die Verwendung zentralisierter Rechner Eine beliebte Ma nahme zur Kostensenkung f r Unternehmen ist es alle Dienste auf einer einzigen leistungsstarken Maschine zusammenzuf hren Dies ist bequem da einfacher zu verwalten und es kostet wesentlich weniger als eine Konfiguration mit mehreren Servern Ein zentralisierter Server stellt jedoch einen einzelnen Ausfallpunkt im Netzwerk dar Wird der zentrale Server besch digt kann dadurch das gesamte Netzwerk nutzlos oder gar zur Angriffsfl che f r Datenmanipulation oder Diebstahl werden In diesen F llen wird ein zentraler Server zum offenen Einfallstor und erlaubt Zugang zum gesamten Netzwerk 1 3 3 Bedrohungen der Serversicherheit Serversicherheit ist genauso wichtig wie Netzwerksicherheit da Server meistens einen Gro teil der unternehmenskritischen Informationen enthalten Wird ein Server angegriffen kann der Cracker auf den gesamten Inhalt zugreifen und nach Belieben Daten stehlen oder manipulieren Die folgenden Abschnitte behandeln die wichtigsten Aspekte der Serversicherheit 1 3 3 1 Unbenutzte Dienste und offene Ports Eine vollst ndige Installation von Red Hat Enterprise Linux enth lt ber 1000 Applikationen und Bibliotheken Die meisten Systemadministratoren w hlen jedoch nicht alle Paket der Distribution zur Installation aus sondern bevorzugen eine Basisinstallation von Paketen inklusive mehrerer
7. ig aktiviert horcht jedoch nur auf Verbindungen von localhost e sshd Der OpenSSH Server ein sicherer Ersatz f r Telnet Bei der Entscheidung ob diese Dienste aktiviert bleiben sollen sollten Sie mit gesundem Menschenverstand handeln und Vorsicht walten lassen Wenn Sie zum Beispiel keinen Drucker anschlie en sollten Sie cupsd nicht ausf hren Das gleiche gilt f r portmap Wenn Sie keine NFSv3 Datentr ger einh ngen oder NIS den ypbind Dienst nicht verwenden sollte Portmap deaktiviert werden 39 Kapitel 2 Sichern Ihres Netzwerks m Service Configuration d Program Service Help t e Q z B Disable Customize Stop Restart Help A Name The sshd service is started once usually when the system is booted runs in rpcsvcgssd the background and wakes up when needed rsync This service is enabled lt This service is running Description OpenSSH server daemon lt rsyslog saslauthd sendmail FEl setroubleshoot amp smartd smolt amp snmpd amp snmptrapd d sshd Faa udev post vsftpd winbind lt wpa_supplicant amp ypbind gt Abbildung 2 3 Tool zur Dienstkonfiguration Wenn Sie sich nicht sicher sind welchen Zweck ein Dienst hat finden Sie im Tool zur Dienstkonfiguration ein Beschreibungsfeld wie in Abbildung 2 3 Tool zur Dienstkonfiguration dargestellt das zus tzliche Informationen liefert Das reine berpr
8. ige Partitionstabelle anpassen k nnen Sie w hlen welche Partitionen Sie verschl sseln m chten Dies wird in den Partitionstabelleneinstellungen festgelegt Der standardm ige Schl ssel f r LUKS siehe cryptsetup help ist aes cbc essiv sha256 ESSIV Encrypted Salt Sector Initialization Vector Beachten Sie dass das Installationsprogramm Anaconda standardm ig den XTS Modus aes xts plain64 verwendet Die standardm ige Schl sselgr e f r LUKS ist 256 Bits Die standardm ige Schl sselgr e f r LUKS mit Anaconda xTS Modus ist 512 Bits Verf gbare Schl ssel sind e AES Advanced Encryption Standard FIPS PUB 197 e Twofish Eine 128 Bit Blockchiffre e Serpent e cast5 RFC 2144 e cast6 RFC 2612 3 8 2 Manuelle Verschl sselung von Verzeichnissen Warung Die folgenden Schritte l schen s mtliche Daten auf der zu verschl sselnden Partition Sie werden s mtliche Daten verlieren Erstellen Sie eine Sicherungskopie Ihrer Daten auf einem externen Speicherger t bevor Sie mit diesen Schritten fortfahren 3 8 3 Schrittweise Anleitung 1 Wechseln Sie zu Runlevel 1 telinit 1 2 H ngen Sie Ihre vorhandene home Partition aus umount home 3 Sollte dies fehlschlagen verwenden Sie fuser um noch aktive Prozesse auf home zu finden und zu beenden fuser mvk home 4 Vergewissern Sie sich dass home nicht mehr eingeh ngt ist cat proc mounts grep home 5 F llen Sie Ihre Partition
9. 1 2 Schwachstellenanalyse Mit gen gend Zeit Ressourcen und Motivation kann ein Angreifer in fast jedes System einbrechen Schlussendlich bieten alle derzeit erh ltlichen Technologien und Sicherheitsprozeduren keine Garantie daf r dass ein System vor Eindringlingen vollkommen sicher ist Router k nnen bei der Sicherung Ihrer Gateways zum Internet helfen Firewalls helfen bei der Sicherung des Netzwerks Virtuelle Private Netzwerke k nnen auf sichere Art Daten verschl sselt bertragen Intrusion Detection Systeme k nnen Sie vor b swilligen Aktivit ten warnen Der Erfolg jeder dieser Technologien h ngt jedoch von einer Reihe von Variablen ab Diese sind unter anderem e Die Kompetenz der Mitarbeiter die f r die Konfiguration berwachung und Wartung dieser Technologien verantwortlich sind Die F higkeit Dienste und Kernel schnell und effizient mit Patches versehen und aktualisieren zu k nnen Die F higkeit der Verantwortlichen konstante Wachsamkeit im Netzwerk auszu ben Durch die Dynamik von Datensystemen und Technologien kann das Sichern Ihrer Ressourcen ziemlich komplex werden Aufgrund dieser Komplexit t kann es sich schwierig gestalten Experten f r Ihre Systeme zu finden Es ist zwar m glich Mitarbeiter mit reichhaltigem Wissen auf vielen Gebieten der Informationssicherheit zu besch ftigen aber es ist relativ schwierig Experten auf mehr als nur wenigen Gebieten zu finden Dies liegt haupts chlich daran da
10. 2 5 4 H ufige IPTables Filter Zu den wichtigsten Aspekten der Netzwerksicherheit geh rt es Angreifer von au erhalb am Zugriff auf ein LAN zu hindern Die Integrit t eines LAN sollte mithilfe einer Firewall vor b swilligen Benutzern von au erhalb gesch tzt werden Allerdings ist es mit einer Standardrichtlinie die alle eingehenden ausgehenden und weitergeleiteten Pakete blockiert f r die Firewall das Gateway und interne LAN Benutzer unm glich miteinander oder mit externen Ressourcen zu kommunizieren Um es Benutzern zu erm glichen Netzwerkfunktionen und Netzwerkapplikationen auszuf hren m ssen Administratoren bestimmte Ports zur Kommunikation ffnen Um beispielsweise Zugriff auf Port 80 auf der Firewall zu erlauben f gen Sie die folgende Regel hinzu root myServer iptables A INPUT p tcp m tcp dport 80 j ACCEPT Dies erlaubt es Benutzern Websites zu besuchen die ber den Standardport 80 kommunizieren Um Zugriff auf sichere Websites zu erlauben z B https www example com m ssen Sie zudem den Zugriff auf Port 443 erlauben F hren Sie dazu den folgenden Befehl aus root myServer iptables A INPUT p tcp m tcp dport 443 j ACCEPT 84 FORWARD und NAT Regeln 3 Wichtig TU _ _ Beim Erstellen eines iptables Regelsets ist die Reihenfolge von entscheidender Bedeutung Wenn eine Regel spezifiziert dass alle Pakete vom 192 168 100 0 24 Subnetz verworfen werden und darauf eine
11. 4s444440HHnnnnnnnn nam nnnnnnnnnn anne nnnnnannn nenn ann ntanna nennen 117 5 2 Verwenden der LUKS Partitionsverschl sselung 4 44444440444nn nn nnnn en nnnenn 117 6 Software Wartung 119 6 1 Installieren minimaler Software sissien naeran nennen nenn nnnnnnn nn eia 119 6 2 Planen und Konfigurieren von Sicherheitsaktualisierungen 44s4nnnneenenenn 119 6 3 Anpassen der automatischen Aktualisierungen u ssssssnnnnnnnnnnnnnnen nenn nnnenn 119 6 4 Installieren signierter Pakete von bekannten RepositoryS _ sseesseennsnennnnnnnnnennn 119 7 Regierungsstandards und reglementierungen 121 1 1 gt EiHf hrUunga m 2 Een Dr Es rien 121 7 2 Federal Information Processing Standard FIPS 4444444ssnnennn en nnnn nenn 121 7 3 National Industrial Security Program Operating Manual NISPOM 122 7 4 Payment Card Industry Data Security Standard PCI DSS 7 5 Handbuch zur technischen Sicherheitsimplementierung 8 Weitere Informationsquellen A Verschl sselungsstandards A 1 Symmetrische Verschl sselung 4444440Bs4snnnn nenn anne nnnn nn antt artan EErEE nn A 1 1 Advanced Encryption Standard AES A 1 2 Data Encryption Standard DES A 2 Asymmetrische Verschl sselung A 2 1 Diffie Hellman A 2 2 RSA N23 DIA ar ana nl ri inne nnd A2 4 SSETLS un Asset Erste Hin ieraiistch res A 2 5 Cramer Shoup Krypt
12. Legt das IP Protokoll f r die Regel fest Dies kann entweder icmp tcp udp all oder aber ein numerischer Wert sein der f r eines dieser Protokolle oder f r ein anderes 96 Befehlsoptionen f r IPTables Protokoll steht Auch Protokolle die in etc protocols aufgelistet sind k nnen verwendet werden Die Option all bewirkt dass die Regel auf alle unterst tzte Protokolle angewendet wird Falls kein Protokoll in der Regel angegeben wird ist der Standardwert all e s Legt die Quelle eines bestimmten Pakets fest und zwar unter Verwendung derselben Syntax die auch der Parameter f r den Bestimmungsort d verwendet 2 6 2 4 IPTables bereinstimmungsoptionen Verschiedene Netzwerkprotokolle bieten verschiedene spezielle bereinstimmungsoptionen die konfiguriert werden k nnen um auf bestimmte Pakete zuzutreffen die diese Protokolle verwenden Das Protokoll muss jedoch zuerst im iptables Befehl spezifiziert werden So aktiviert p lt protocol name gt z B Optionen f r das angegebene Protokoll Beachten Sie dass Sie auch die Protokoll ID anstelle des Protokollnamens verwenden k nnen Werfen Sie einen Blick auf die folgenden Beispiele die jeweils denselben Effekt haben iptables A INPUT p icmp icmp type any j ACCEPT iptables A INPUT p 5813 icmp type any j ACCEPT Die Definition von Diensten wird in der Datei etc services geliefert Im Interesse der Lesbarkeit wird die Verwendung der Dienstnamen
13. example com spawn bin echo bin date from h gt gt var log telnet log allow e twist Ersetzt den angeforderten Dienst durch den angegebenen Befehl Diese Direktive wird oft verwendet um Fallen f r potenzielle Eindringlinge zu stellen Es kann auch dazu verwendet werden um Nachrichten an verbindende Clients zu senden Die twist Direktive muss am Ende der Regelzeile stehen Im folgenden Beispiel wird Clients die von der example com Domain aus auf einen FTP Dienst zuzugreifen versuchen mithilfe des echo Befehls eine Nachricht gesendet vsftpd example com twist bin echo 421 This domain has been black listed Access denied Weitere Informationen zur Verwendung von Shell Befehlsoptionen finden Sie auf der hosts_options Handbuchseite 65 Kapitel 2 Sichern Ihres Netzwerks 2 3 2 2 4 Erweiterungen Erweiterungen die zusammen mit den spawn und twist Direktiven verwendet werden liefern Informationen ber den Client den Server sowie die beteiligten Prozesse Sehen Sie nachfolgend eine Liste der unterst tzten Erweiterungen a Die IP Adresse des Clients A Die IP Adresse des Servers e c Verschiedene Client Informationen wie zum Beispiel der Benutzer und Host Name oder der Benutzername und die IP Adresse d Der Name des Daemon Prozesses h Der Host Name des Clients oder IP Adresse wenn der Host Name nicht verf gbar ist H Der Host Name des Servers
14. 2 3 2 2 Optionsfelder Zus tzlich zu den grundlegenden Regeln die den Zugriff gew hren oder ablehnen unterst tzt die Red Hat Enterprise Linux Implementierung von TCP Wrappern auch Erweiterungen der Zugriffskontrollsprache durch Optionsfelder Mithilfe von Optionsfeldern innerhalb einer Hosts Zugriffsregel k nnen Administratoren eine Reihe von Aufgaben durchf hren wie z B die nderung des Protokollierungsverhaltens die Zusammenfassung der Zugriffskontrolle und der Ausf hrung von Shell Befehlen 2 3 2 2 1 Protokollierung Optionsfelder erm glichen es Administratoren die Protokoll Facility und die Priorit tsstufe f r eine Regel einfach zu ndern indem die severity Direktive verwendet wird Im folgenden Beispiel werden Verbindungen zum SSH Daemon von jedem Host in der example com Domain in die standardm ige Protokoll Facility authpriv syslog geschrieben da kein Facility Wert angegeben ist und dies mit einer Priorit t von emerg sshd example com severity emerg Es ist auch m glich eine Facility mit der severity Option anzugeben Das folgende Beispiel protokolliert alle SSH Verbindungsversuche von Hosts aus der example com Domain zur 10cal0 Facility mit einer Priorit t von alert 64 TCP Wrapper Konfigurationsdateien sshd example com severity local alert In der Praxis wird dieses Beispiel nicht funktionieren so lange der Syslog Daemon syslogd nicht dazu konfiguriert ist an die Local0 Fac
15. ElIGamal Verschl sselung wird in der freien GNU Privacy Guard Software in aktuellen Versionen von PGP und anderen Kryptosystemen verwendet 1 TLSISSI Wikipedia 24 February 2010 http en wikipedia org wiki Transport_Layer_Security 1 Cramer Shoup cryptosystem Wikipedia 24 February 2010 http en wikipedia org wiki Cramer Shoup_cryptosystem 19 v ElGamal encryption Wikipedia 24 February 2010 http en wikipedia org wiki ElGamal_encryption 128 Anhang B Versionsgeschichte Version 1 5 0 Apr 19 2010 Scott Radvan sradvan redhat com Kleinere Fehlerbehebungen finaler Entwurf f r Beta Version Mar 5 2010 Scott Radvan sradvan redhat com 1 4 1 0 QE Pr fung und Aktualisierungen Version 1 3 0 Feb 19 2010 Scott Radvan sradvan redhat com Verlegen auf Testbereich bereit f r Pr fung 129 130
16. Serverapplikationen Systemadiministratoren tendieren h ufig dazu das Betriebssystem zu installieren ohne darauf zu achten welche Programme eigentlich installiert werden Dies kann problematisch werden da eventuell nicht ben tigte Dienste installiert werden die mit den Standardeinstellungen konfiguriert und standardm ig aktiviert werden Folglich laufen eventuell unerw nschte Dienste wie Telnet DHCP oder DNS auf einem Server oder einem Arbeitsplatzrechner ohne dass der Systemadministrator 11 Kapitel 1 berblick ber Sicherheit es merkt was wiederum zu unerw nschtem Netzwerkverkehr zum Server oder sogar zu einem m glichen Einstiegspunkt f r Angreifer f hren kann Weitere Informationen zum Schlie en von Ports und Deaktivieren unbenutzter Dienste finden Sie unter Abschnitt 2 2 Server Sicherheit 1 3 3 2 Dienste ohne Patches Die meisten Serverapplikationen die in einer Standardinstallation enthalten sind sind solide gr ndlich getestete Softwareapplikationen Dadurch dass diese viele Jahre in Produktionsumgebungen eingesetzt wurden ist ihr Code ausgereift und viele der Fehler sind gefunden und behoben worden So etwas wie perfekte Software gibt es jedoch nicht es ist immer Raum f r weitere Verbesserungen Des Weiteren ist neuere Software nicht immer so umfassend getestet wie man erwarten w rde Z B weil diese erst seit Kurzem in der Produktionsumgebung eingesetzt wird oder weil sie noch nicht so bel
17. beschrieben Die PAM Konfigurationsdatei f r vsftpd ist etc pam d vsftpd Es ist auch m glich Benutzer Accounts direkt innerhalb einzelner Dienste zu deaktivieren Um bestimmte Benutzer Accounts in vsftpd zu deaktivieren f gen Sie den Benutzernamen zu etc vsftpd ftpusers hinzu 2 2 6 4 TCP Wrapper f r die Zugriffskontrolle Sie k nnen TCP Wrapper f r die Zugriffskontrolle zu den FTP Daemons wie unter Abschnitt 2 2 1 1 Erh hung der Sicherheit mit TCP Wrappern beschrieben einsetzen 2 2 7 Sichern von Sendmail Sendmail ist ein Mail Transport Agent MTA der das Simple Mail Transport Protocol SMTP zur bertragung elektronischer Nachrichten zwischen anderen MTAs und f r das E Mailen an Clients oder Delivery Agents einsetzt Obwohl viele MTAs den Verkehr untereinander verschl sseln k nnen tun dies viele nicht so dass das Versenden von E Mails ber ein ffentliches Netzwerk als eine von Natur aus unsichere Form der Kommunikation gilt Es wird empfohlen dass Sie sich mit den folgenden Themen auseinandersetzen wenn Sie die Implementierung eines Sendmail Servers planen 2 2 7 1 Einschr nken von Denial of Service Angriffen Aufgrund der Beschaffenheit von E Mail kann ein dazu entschlossener Angreifer den Server leicht mit E Mails berfluten und so ein Denial of Service verursachen Indem Sie in die folgenden Direktiven in etc mail sendmail mc mit Grenzwerten versehen kann die Wirksamkeit solcher Angriffe stark a
18. cfm Fedora SELinux FAQ http docs fedoraproject org selinux fag SELinux NSA s Open Source Security Enhanced Linux http wwwm oreilly com catalog selinux Technologie Ein berblick ber Objektklassen und Berechtigungen http wwm tresys com selinux obj_perms_help html Integrieren flexibler Unterst tzung f r Sicherheitsrichtlinien in das Linux Betriebssystem eine Geschichte der Flask Implementierung in Linux http www nsa gov research _files selinux papers selsymp2005 pdf Implementieren von SELinux als Linux Sicherheitsmodul http www nsa gov research _files publications implementing_selinux pdf i http www nsa gov research selinux index shtml i http www nsa gov research selinux fags shtml 123 Kapitel 8 Weitere Informationsquellen Eine Sicherheitsrichtlinien Konfiguration f r Security Enhanced Linux http www nsa gov research files selinux papers policy policy shtmi Community Fedora SELinux Benutzerhandbuch http docs fedoraproject org en US Fedora 13 htmi Security Enhanced_Linux Fedora SELinux Handbuch zur Verwaltung eingeschr nkter Dienste http docs fedoraproject org en US Fedora 13 html Managing_Confined_Services SELinux Community Seite http selinuxproject org IRC irc freenode net selinux fedora selinux security Geschichte Geschichtliches zu Flask http www cs utah edu flux fluke htmi flask html Umfassende Hintergrundinformationen zu Fluke http www cs utah edu flux f
19. r eine durch genannte Gr nde fehlerhafte Regel warning etc hosts allow line 20 missing newline or line too long 2 3 2 1 Formatierung von Zugriffsregeln Das Format der beiden Dateien etc hosts allow and etc hosts deny ist identisch Jede Regel muss in einer neuen Zeile beginnen Leere Zeilen oder Zeilen die mit dem Rautenzeichen beginnen werden ignoriert Jede Regel verwendet das folgende grundlegende Format um den Zugriff zu Netzwerkdiensten zu steuern lt daemon list gt lt client list gt lt option gt lt option gt 60 TCP Wrapper Konfigurationsdateien lt daemon list gt Eine kommagetrennte Liste mit Prozessnamen nicht Dienstnamen oder der ALL Platzhalter Die Daemon Liste akzeptiert auch Operatoren siehe Abschnitt 2 3 2 1 4 Operatoren f r gr ere Flexibilit t lt client list gt Eine kommagetrennte Liste mit Hostnamen Host IP Adressen bestimmten Zeichenketten oder Platzhaltern die die von der Regel betroffenen Hosts spezifizieren Die Client Liste akzeptiert auch Operatoren siehe Abschnitt 2 3 2 1 4 Operatoren f r gr ere Flexibilit t lt opt ion gt Eine optionale Aktion oder durch Doppelpunkte getrennte Liste von Aktionen die ausgef hrt werden wenn eine Regel angewendet wird Optionsfelder unterst tzen Expansionen f hren Shell Befehle aus gew hren Zugriff oder lehnen diesen ab und ndern das Protokollierungsverhalten O Weitere
20. r xinetd unterst tzen auch die Bindung des Dienstes an eine bestimmte IP Adresse und Umleitung der eingehenden Anfragen f r diesen Dienst an andere IP Adressen Hostnamen oder Ports Die Bindung wird von der bind Option in den Dienstkonfigurationsdateien gesteuert und verkn pft den Dienst mit einer IP Adresse auf dem System Nach der Konfiguration l sst die bind Option nur Anfragen f r die richtige IP Adresse zum Zugriff auf den Dienst zu Auf diese Weise kann jeder Dienst je nach Bedarf an verschiedene Netzwerkschnittstellen gebunden werden Dies ist besonders n tzlich bei Systemen mit mehreren Netzwerkadaptern oder mehreren IP Adressen Bei solchen Systemen k nnen unsichere Dienste z B Telnet dazu konfiguriert werden nur auf die Schnittstelle zu horchen die mit einem privaten Netzwerk verbunden ist nicht auf die Schnittstelle zum Internet Die redirect Option akzeptiert eine IP Adresse oder einen Hostnamen gefolgt von einer Portnummer Sie konfiguriert den Dienst um alle Anfragen f r diesen Dienst an eine bestimmte Adresse und Portnummer weiterzuleiten Diese Option kann verwendet werden um auf eine andere Portnummer auf demselben System zu verweisen die Anfrage an eine andere IP Adresse auf demselben Rechner weiterzuleiten die Anfrage an ein anderes System oder eine andere Portnummer zu verschieben oder aber eine Kombination all dieser Optionen Auf diese Weise kann ein Benutzer 71 Kapitel 2 Sichern Ihres Netzwerks
21. sbin service iptables lt option gt Wird verwendet um verschiedene Funktionen von iptables zu handhaben unter Verwendung des init Skripts von IPTables Die folgenden Optionen stehen zur Verf gung e start Ist eine Firewall konfiguriert d h etc sysconfig iptables ist vorhanden werden alle laufenden iptables komplett beendet und dann mit dem Befehl sbin iptables restore gestartet Diese Option funktioniert nur dann wenn das ipchains Kernel Modul nicht geladen ist Um zu berpr fen ob dieses Modul geladen ist f hren Sie als Root folgenden Befehl aus root MyServer lsmod grep ipchains Wenn dieser Befehl keine Ausgabe zur ckgibt ist das Modul nicht geladen Falls n tig k nnen Sie das Modul mit dem Befehl sbin rmmod entfernen e stop Falls eine Firewall ausgef hrt wird werden die Firewall Regeln im Speicher gel scht und alle IPTables Module und Helfer entladen Wenn die IPTABLES_SAVE_ON_STOP Direktive in der Konfigurationsdatei etc sysconfig iptables config vom Standardwert auf yes ge ndert wurde werden die augenblicklichen Regeln unter etce sysconfig iptables gespeichert und jede bestehende Regel nach etc sysconfig iptables save verschoben 103 Kapitel 2 Sichern Ihres Netzwerks Werfen Sie einen Blick auf Abschnitt 2 6 4 1 Konfigurationsdatei der IPTables Kontrollskripte f r weitere Informationen zur iptables config Datei restart Falls eine Firewall ausgef hrt wird w
22. Befehle dies wird jedoch nicht empfohlen Kryptografische Unterst tzung Openswan verf gt ber eine integrierte kryptografische Bibliothek unterst tzt jedoch auch eine NSS Network Security Services Bibliothek die vollst ndig unterst tzt wird und zur Einhaltung der FIPS Sicherheitsstandards notwendig ist Weitere Informationen ber FIPS Federal Information Processing Standard finden Sie unter Abschnitt 7 2 Federal Information Processing Standard FIPS Installation F hren Sie den Befehl yum install openswan aus um Openswan zu installieren 2 4 2 2 Konfiguration Speicherorte Dieser Abschnitt erl utert die Dateien und Verzeichnisse die zur Konfiguration von Openswan wichtig sind etc ipsec d Hauptverzeichnis Speichert die Dateien im Zusammenhang mit Openswan etc ipsec conf Hauptkonfigurationsdatei Weitere conf Konfigurationsdateien f r individuelle Konfigurationen k nnen in etc ipsec d erstellt werden etc ipsec secrets Hauptgeheimnisdatei Weitere secrets Dateien f r individuelle Konfigurationen k nnen in etc ipsec d erstellt werden etc ipsec d cert db Zertifikatsdatenbankdateien Die alte standardm ige NSS Datenbankdatei ist cert8 db Ab Red Hat Enterprise Linux 6 werden NSS SQLite Datenbanken in der cert9 db Datei verwendet etc ipsec d key db Schl ssedatenbankdateien Die alte standardm ige NSS Datenbankdatei ist key3 db Ab Red Hat Enterprise Linux 6 werden NSS SQLit
23. Datei etc exports legt dagegen fest dass der Host bob example com lediglich Leseberechtigung besitzt allerdings jeder andere Host Lese und Schreibberechtigung hat und das wegen eines einzelnen Leerzeichens nach dem Hostnamen tmp nfs bob example com rw Es ist sehr sinnvoll alle konfigurierten NFS Shares mit dem showmount Befehl zu pr fen showmount e lt hostname gt 2 2 4 3 Verwenden Sie nicht die Option no_root_squash Standardm ig ndern NFS Shares den Root Benutzer in den Benutzer nfsnobody um einen unprivilegierten Benutzer Account Auf diese Weise geh ren alle von Root erstellten Dateien dem Benutzer nfsnobody wodurch das Laden von Programmen mit gesetztem Setuid Bit verhindert wird Wenn jedoch no_root_squash verwendet wird k nnen Remote Root Benutzer jede Datei in dem gemeinsamen Dateisystem ver ndern und dabei mit Trojanern infizierte Anwendungen hinterlassen die von anderen Benutzern unbeabsichtigt ausgef hrt werden 2 2 4 4 NFS Firewall Konfiguration Die f r NFS verwendeten Ports werden dynamisch von rpcbind zugewiesen was zu Schwierigkeiten bei der Konfiguration von Firewall Regeln f hren kann Um diesen Prozess zu vereinfachen verwenden Sie die etc sysconfig nfs Datei um die zu verwendenden Ports festzulegen MOUNTD_PORT TCP und UDP Port f r mountd rpc mountd e STATD_PORT TCP und UDP Port f r status rpc statd e LOCKD_TCPPORT TCP Port f r nlockmgr rpc lockd e LOCKD_UDPP
24. Ein weiteres wichtiges Feature von xinetd ist die F higkeit f r die von ihm kontrollierten Dienste Ressourcengrenzen festzulegen Dies wird durch die folgenden Direktiven erreicht e cps lt number_of_connections gt lt wait_period gt Begrenzt die Frequenz der eingehenden Verbindungen Diese Direktive akzeptiert zwei Parameter e lt number_of_connections gt Die Anzahl der zu verarbeitenden Verbindungen pro Sekunde Falls die Frequenz der eingehenden Verbindungen diesen Wert berschreitet wird der Dienst zeitweise deaktiviert Der Standardwert ist f nfzig 50 e lt wait_period gt Gibt die Anzahl der Sekunden an die gewartet werden soll bevor der Dienst nach dessen Deaktivierung neu gestartet werden soll Die Standardzeitspanne betr gt zehn 10 Sekunden e instances lt number_of_connections gt Gibt die Gesamtzahl aller erlaubten Verbindungen zu einem Dienst an Diese Direktive akzeptiert entweder einen ganzzahligen Wert oder UNLIMITED e per_source lt number_of_connections gt Gibt die Anzahl der Verbindungen an die pro Host zu einem Dienst erlaubt sind Diese Direktive akzeptiert entweder einen ganzzahligen Wert oder UNLIMITED e rlimit_as lt number K M gt Gibt die Gr e des Speicheradressraums in Kilobyte oder Megabyte an die der Dienst in Anspruch nehmen kann kann Diese Direktive akzeptiert entweder einen ganzzahligen Wert oder UNLIMITED e rlimit_cpu lt number_of_seconds gt
25. Firewall Ger te von Cisco Nokia und Sonicwall Anbieter wie z B Checkpoint McAfee und Symantec haben zudem propriet re Software Firewall L sungen f r den Heim und Firmenbereich entwickelt Neben den Unterschieden zwischen Hardware und Software Firewalls gibt es auch Unterschiede in der Funktionsweise von Firewalls die die verschiedenen L sungen voneinander abheben Tabelle 2 2 Firewall Typen erkl rt drei g ngige Firewall Typen und deren Funktionsweise 77 Kapitel 2 Sichern Ihres Netzwerks Tabelle 2 2 Firewall Typen Methode Beschreibung Vorteile NEWI NAT Network Address Kann transparent auf Kann keine b sartigen Translation NAT platziert Rechnern auf einem LAN Aktivit ten verhindern private IP Subnetzwerke konfiguriert werden sobald sich Benutzer mit hinter eine einzige oder eine Der Schutz vieler Rechner einem Dienst au erhalb der kleine Gruppe von externen und Dienste hinter einer Firewall verbinden IP Adressen wodurch alle oder mehreren externen IP Anfragen wie von einer Adressen vereinfacht die Quelle erscheinen statt von Verwaltung mehreren Der Linux Kernel Benutzerzugriff vom hat eine integrierte NAT bzw auf das LAN kann Funktionalit t durch das konfiguriert werden indem Netfilter Kernel Subsystem Ports auf der NAT Firewall Gateway ge ffnet bzw geschlossen werden Paketfilter Paketfilter Firewalls lesen Anpassbar mithilfe des Kann Pakete ni
26. Gr nden ziehen es die meisten Systemadministratoren vor dass die Benutzer ihre eigenen Passw rter erstellen diese jedoch auf ihre Sicherheit pr fen und in einigen F llen Benutzer durch die Passwortalterung dazu zu zwingen ihre Passw rter in regelm igen Abst nden zu ndern 2 1 3 2 1 Erzwingen sicherer Passw rter Um das Netzwerk vor Eindringlingen zu sch tzen sollten Systemadministratoren sicherstellen dass die im Unternehmen verwendeten Passw rter sicher sind Wenn Benutzer aufgefordert werden ihre eigenen Passw rter zu erstellen oder zu ndern k nnen sie dies ber die Befehlszeilenapplikation passwd tun die Pluggable Authentication Manager PAM unterst tzt und daher pr ft ob ein Passwort zu kurz oder anderweitig zu unsicher ist Diese Pr fung erfolgt mit dem pam_cracklib so PAM Modul Da PAM anpassbar ist ist es m glich weitere Passwort Integrit tspr fer hinzuzuf gen wie z B pam_passwdgc erh ltlich unter http www openwall com passwdgc oder ein neues Modul zu schreiben Eine Liste erh ltlicher PAM Module finden Sie unter http www kernel org pub linux libs pam modules htmi Weitere Informationen ber PAM finden Sie unter Managing Single Sign On and Smart Cards Die Passwortpr fung zum Erstellungszeitpunkt erkennt schlechte Passw rter jedoch nicht so effektiv wie ein Programm zum Knacken von Passw rtern Es gibt eine Vielzahl an Passwort Cracking Programmen die unter Red Hat Enterprise Linux laufen
27. Informationen zu den oben erw hnten Begriffen finden Sie an anderen Stellen in diesem Handbuch Abschnitt 2 3 2 1 1 Platzhalter e Abschnitt 2 3 2 1 2 Muster e Abschnitt 2 3 2 2 4 Erweiterungen e Abschnitt 2 3 2 2 Optionsfelder Nachfolgend sehen Sie ein einfaches Beispiel f r eine Hosts Zugriffsregel vsftpd example com Diese Regel weist TCP Wrapper an nach Verbindungen zum FTP Daemon vsftpd von jedem Host in der example com Domain Ausschau zu halten Wird diese Regel in hosts allow eingef gt so wird die Verbindung angenommen Wird diese Regel dagegen in hosts deny eingef gt so wird die Verbindung abgelehnt Folgendes Beispiel einer Hosts Zugriffsregel ist komplizierter und verwendet zwei Optionsfelder sshd example com spawn bin echo bin date access denied gt gt var log sshd log deny Beachten Sie dass in diesem Beispiel jedem der Optionsfelder ein Backslash vorausgeht Die Verwendung eines Backslash verhindert dass eine Regel aufgrund ihrer L nge nicht funktioniert Diese Beispielregel besagt dass bei einem Verbindungsversuch zum SSH Daemon sshd von einem Host in der example com Domain der echo Befehl ausgef hrt wird der den Verbindungsversuch in eine spezielle Protokolldatei schreibt und die Verbindung abgelehnt wird Da die optionale deny Direktive verwendet wird wird diese Zeile den Zugriff ablehnen auch wenn sie in der hosts allow Datei erscheint F
28. Jahren genutzt werden einen einzigen geheimen Schl ssel der vom Sender und Empf nger gemeinsam verwendet wird dar ber hinaus jedoch geheim gehalten werden muss was f r Verwirrung in der Terminologie sorgen kann zur Verschl sselung und zur Entschl sselung Um ein symmetrisches Verschl sselungsschema nutzen zu k nnen m ssen der Sender und der Empf nger im Voraus auf sichere Weise einen Schl ssel austauschen Da symmetrische Schl sselalgorithmen fast immer deutlich weniger rechenintensiv sind ist es blich zum Austausch eines Schl ssels einen Algorithmus zu diesem Zweck zu nutzen und die Daten mithilfe dieses Schl ssel und einem symmetrischen Schl sselalgorithmus zu bertragen PGP sowie Data Encryption Standard Wikipedia 14 November 2009 http en wikipedia org wiki Data_Encryption_Standard Data Encryption Standard Wikipedia 14 November 2009 http en wikipedia org wiki Data_Encryption_Standard Public key Encryption Wikipedia 14 November 2009 http en wikipedia org wiki Public key_cryptography Public key Encryption Wikipedia 14 November 2009 http en wikipedia org wiki Public key_cryptography Public key Encryption Wikipedia 14 November 2009 http en wikipedia org wiki Public key_cryptography 19 Public key Encryption Wikipedia 14 November 2009 http en wikipedia org wiki Public key_cryptography oeono u 126 Diffie Hellman die SSL TLS Familie gehen nach diesem Verfahren vor und werden daher o
29. N N N der IP Adressbereich und M die Bitmask ist e f Wendet diese Regel nur auf fragmentierte Pakete an Wird ein Ausrufezeichen als Option vor diesem Parameter verwendet werden nur unfragmentierte Pakete verglichen 95 Kapitel 2 Sichern Ihres Netzwerks O Die Unterscheidung zwischen fragmentierten und unfragmentierten Paketen ist w nschenswert auch wenn fragmentierte Pakete standardm ig Teil des IP Protokolls sind Fragmentierung wurde urspr nglich dazu konzipiert IP Paketen das Passieren von Netzwerken mit unterschiedlichen Frame Gr en zu gestatten wird heutzutage jedoch meist dazu verwendet mithilfe von fehlerhaften Paketen DoS Angriffe zu unternehmen An dieser Stelle sei auch erw hnt dass IPv6 Fragmentierung komplett verbietet e i Legt die Eingangsnetzwerkschnittstelle fest z B eth0 oder ppp Mit iptables darf dieser zus tzliche Parameter nur mit INPUT und FORWARD Ketten in Verbindung mit der filter Tabelle und der PREROUTING Kette mit den nat und mangle Tabellen verwendet werden Dieser Parameter unterst tzt dar berhinaus folgende spezielle Optionen Ausrufezeichen Kehrt die Direktive um was bedeutet dass jegliche angegebene Schnittstellen von dieser Regel ausgenommen sind Pluszeichen Ein Platzhalterzeichen mithilfe dessen alle Schnittstellen zutreffend sind die mit der angegebenen Zeichenkette bereinstimmen Der Parameter i eth w rde diese Regel z B f
30. are the property of their respective owners 1801 Varsity Drive Raleigh NC 27606 2072 USA Phone 1 919 754 3700 Phone 888 733 4281 Fax 1 919 754 3701 Dieses Handbuch hilft Benutzern und Administratoren beim Verst ndnis der notwendigen Prozesse und Verfahrensweisen zur Sicherung von Arbeitsplatzrechnern und Servern gegen Angriffe von innen und au en Ausnutzen von Sicherheitsl cken und b swilligen Aktivit ten Das Handbuch beschreibt die Planung und die n tigen Werkzeuge zur Einrichtung einer sicheren Rechenumgebung f r Rechenzentren Arbeitsplatzrecher oder Heimcomputer Dabei wird das Hauptaugenmerk zwar auf Red Hat Enterprise Linux gelegt die Konzepte und Techniken sind jedoch auf alle Linux Systeme bertragbar Mit ausreichenden administrativen Kenntnissen Wachsamkeit und den richtigen Werkzeugen k nnen Linux Systeme voll funktionsf hig gehalten werden und gleichzeitig vor den meisten blichen Angriffen gesch tzt werden Vorwort vii 1 Dokumentkonventionen u anne ln vii 1 1 Typografische Konventionen sssssssssssreesrsetrrttrtt rrtt rrtt rrtt rrtt nenn nnnnnsnennnnn EEEn nt vii 1 2 Konventionen f r Seitenansprachen engl pull quotes eeenn viii 1 3 Anmerkungen und Warnungen u 2ssssssensnnnnsneennnnennnnnsnen nenn nnnn nenn E EEE En Ent ix 2 Wir freuen uns auf Ihr Feedback rios ai o aE EEE A nenn x 1 berblick ber Sicherheit 1 1 1 Einf hrung in S
31. dem seahorse Paket und klicken Sie auf Anwenden um die Software hinzuzuf gen Sie k nnen Seahorse auch mithilfe des Befehls su c yum install seahorse ber die Befehlszeile installieren Um einen Schl ssel zu erstellen w hlen Sie aus dem Hauptmen Anwendungen gt Zubeh r den Men punkt Passw rter und Verschl sselung woraufhin die Seahorse Applikation startet W hlen Sie aus dem Datei Men Neu dann PGP Schl ssel Klicken Sie anschlie end auf Weiter Geben Sie Ihren vollst ndigen Namen Ihre E Mail Adresse und einen optionalen Kommentar an z B John C Smith jsmith example com The Man Klicken Sie auf Erstellen Ein Dialogfeld erscheint dass Sie zur Eingabe eines Passworts f r den Schl ssel auffordert W hlen Sie ein sicheres jedoch einfach zu merkendes Passwort Klicken Sie auf OK und der Schl ssel wird erstellt A Var TU Sollten Sie Ihr Passwort vergessen kann der Schl ssel nicht mehr genutzt werden und s mtliche mit diesem Schl ssel verschl sselten Daten sind verloren Um Ihre GPG Schl ssel ID zu finden sehen Sie in der Spalte Schl ssel ID neben dem neu erstellten Schl ssel nach Wenn Sie nach der Schl sel ID gefragt werden sollten Sie der Schl ssel ID in den meisten F llen 0x voranstellen also z B 0x6789ABCD Sie sollten eine Sicherungskopie Ihres Schl ssels anlegen und diesen an einem sicheren Ort aufbewahren 3 9 2 Erstellen von GPG Schl sseln in KDE Starten Si
32. der Netzwerke und Systeme testet um deren Leistung zu untersuchen und Anf lligkeiten auf Angriffe herauszufinden Gew hnlich greifen White Hat Hackers ihre eigenen Systeme oder die Systeme von Kunden an von denen sie zum Zwecke der Sicherheitspr fung beauftragt wurden Akademische Forscher und professionelle Sicherheitsberater sind zwei Beispiele f r White Hat Hackers Ein Black Hat Hacker ist synonym mit einem Cracker Im Allgemeinen konzentrieren sich Cracker weniger auf das Programmieren und die akademische Seite des Einbruchs in Systeme Sie verlassen sich h ufig auf verf gbare Cracking Programme und nutzen bekannte Schwachstellen in Systemen zur Aufdeckung sensibler Informationen aus entweder um pers nlichen Gewinn daraus zu erzielen oder um Schaden auf dem System oder Netzwerk anzurichten Ein Gray Hat Hacker dagegen hat in den meisten F llen die F higkeiten und die Absichten eines White Hat Hackers setzt sein Wissen gelegentlich jedoch auch mit weniger edlen Absichten ein Ein Gray Hat Hacker kann also als jemand bezeichnet werden der grunds tzlich die guten Absichten eines White Hat Hackers hat jedoch manchmal aus Eigennutz zum Black Hat Hacker wird Gray Hat Hacker halten sich h ufig an eine andere Form von Hacker Ethik nach der es akzeptabel ist in Systeme einzubrechen solange der Hacker keinen Diebstahl begeht oder den Datenschutz verletzt Man kann sich jedoch dar ber streiten ob das eigentliche Einbrechen in Systeme n
33. die Anzahl von Paketen die gleichzeitig mit einer Regel bereinstimmen k nnen Diese Option wird als ganzzahliger Wert angegeben und sollte zusammen mit der Option limit verwendet werden 99 Kapitel 2 Sichern Ihres Netzwerks Wird kein Wert angegeben so wird der Standardwert f nf 5 angenommen e state Modul Erm glicht bereinstimmungen nach Zustand Das state Modul akzeptiert die folgenden Optionen e state bereinstimmung mit einem Paket das folgenden Verbindungszustand hat e ESTABLISHED Das bereinstimmende Paket geh rt zu anderen Paketen in einer bestehenden Verbindung Sie m ssen diesen Zustand akzeptieren wenn Sie eine Verbindung zwischen Client und Server aufrecht erhalten m chten e INVALID Das bereinstimmende Paket kann nicht mit einer bekannten Verbindung verkn pft werden NEW Das bereinstimmende Paket stellt entweder eine neue Verbindung her oder ist Teil einer Zwei Wege Verbindung die vorher nicht gesehen wurde Sie m ssen diesen Zustand akzeptieren wenn Sie neue Verbindungen zu einem Dienst erlauben m chten e RELATED Ein bereinstimmendes Paket stellt eine neue Verbindung her die auf irgendeine Weise mit einer bestehenden Verbindung zusammenh ngt Ein Beispiel hierf r ist FTP das eine Verbindung zur Kontrolle des Datenverkehrs Port 21 und eine separate Verbindung zur bertragung von Daten Port 20 verwendet Diese Verbindungszust nde k nnen au
34. dieselben Daten zu einem bestimmten Zeitpunkt ruhend sind sich an einem anderen Zeitpunkt jedoch in bertragung befinden k nnen 3 1 Ruhende Daten Ruhende Daten auch Data at rest genannt sind Daten die auf einer Festplatte CD DVD Magnetband oder einem anderen Datentr ger gespeichert sind Die gr te Gefahr f r diese Daten besteht in einem simplen physischen Diebstahl Laptops an Flugh fen CDs in der Post und verlegte Backup B nder sind Beispiele daf r wie Daten durch Diebstahl in die falschen H nde geraten k nnen Falls die Daten auf dem Datentr ger jedoch verschl sselt waren brauchen Sie sich wenigstens weniger Sorgen darum zu machen dass die Daten ausgelesen und b swillig missbraucht werden 3 2 Vollst ndige Festplattenverschl sselung Die vollst ndige Verschl sselung der Festplatte oder Partition ist der beste Weg um Ihre Daten zu sch tzen Nicht nur jede Datei ist gesch tzt sondern auch der tempor re Speicher der unter Umst nden Teile dieser Dateien enth lt Eine vollst ndige Festplattenverschl sselung sch tzt Ihre gesamten Dateien Sie brauchen also nicht auszuw hlen welche Dateien gesch tzt werden sollen und riskieren daher auch nicht wichtige Dateien zu vergessen Red Hat Enterprise Linux 6 beinhaltet native Unterst tzung f r LUKS Verschl sselung LUKS verschl sselt Ihre Festplattenpartitionen so dass Ihre Daten gesch tzt sind w hrend Ihr Computer ausgeschaltet ist Es sch tzt Ihre D
35. einem privaten Schl ssel besteht Andere Leute k nnen Ihren ffentlichen Schl ssel nutzen um Ihre Nachrichten zu authentifizieren und oder zu entschl sseln Verbreiten Sie Ihren ffentlichen Schl ssel so weit wie m glich insbesondere an Personen von denen Sie wissen dass sie authentifizierte Nachrichten von Ihnen erhalten wollen z B eine Mailing Liste Eine Reihe von Eingabeaufforderungen f hrt Sie durch den Vorgang Dr cken Sie die Eingabetaste um einen Standardwert zuzuweisen falls gew nscht Die erste Eingabeaufforderung fordert Sie zur Auswahl auf welche Art von Schl ssel Sie bevorzugen Bitte w hlen Sie welche Art von Schl ssel Sie m chten 1 DSA und ElGamal voreingestellt 2 DSA und Elgamal 3 DSA nur unterschreiben beglaubigen 4 RSA nur unterschreiben beglaubigen Ihre Auswahl In den meisten F llen ist die Standardauswahl angemessen Ein DSA ElGamal Schl ssel erm glicht Ihnen nicht nur das Signieren von Nachrichten sondern auch die Verschl sselung von Dateien W hlen Sie als N chstes die Schl ssell nge Mindestschl ssell nge ist 768 Bits Standardschl ssell nge ist 1024 Bits und die h chste empfohlene Schl ssell nge ist 2048 Bits Welche Schl ssell nge w nschen Sie 1024 Auch hier gilt dass die Standardauswahl f r die meisten Benutzer angemessen sein sollte und ein sehr hohes Ma an Sicherheit bietet W hlen Sie als N chstes wann die G ltigkeit des Schl ssels ablaufen s
36. ihre t glichen Gesch ftstransaktionen und Zugriffe auf wichtige Daten auf Computersysteme und Netzwerke angewiesen sind betrachten ihre Daten als einen wichtigen Teil ihres Gesamtkapitals Mehrere Begriffe und Kennzahlen haben ihren Weg in die Gesch ftssprache gefunden wie zum Beispiel Total Cost of Ownership TCO Return on Investment ROI und Quality of Service QoS Anhand dieser Kennzahlen kalkulieren Unternehmen Aspekte wie Datenintegrit t und Hochverf gbarkeit als Teil ihrer Planung und Prozessverwaltung In einigen Industriezweigen wie zum Beispiel dem E Commerce kann die Verf gbarkeit und Vertrauensw rdigkeit von Daten ber Erfolg oder Misserfolg des Unternehmens entscheiden 1 1 1 1 Anf nge der Computersicherheit Die Datensicherheit hat sich in den letzten Jahren in Anbetracht der wachsenden Abh ngigkeit von ffentlichen Netzwerken f r pers nliche finanzielle und andere vertrauliche Informationen entwickelt Die zahlreichen F lle wie z B der Mitnick oder der Vladimir Levin Fall haben Unternehmen aller Industriebereiche dazu veranlasst ihre Methoden zur Daten bertragung und aufbewahrung neu zu berdenken Die wachsende Beliebtheit des Internets war eine der wichtigsten Entwicklungen die intensivere Bem hungen im Bereich der Datensicherheit mit sich brachte i http law jrank org pages 3791 Kevin Mitnick Case 1999 html http wwm livinginternet com i ia_hackers_levin htm Kapitel 1 berblick ber Sic
37. mit Schreibberechtigung innerhalb von var ftp pub anzulegen F hren Sie dazu den folgenden Befehl aus mkdir var ftp pub upload ndern Sie dann wie folgt die Berechtigungen so dass anonyme Benutzer nicht sehen k nnen was sich innerhalb des Verzeichnisses befindet chmod 730 var ftp pub upload Ein detailliertes Listing des Verzeichnisses sollte wie folgt aussehen drwx WxX 2 root ftp 4096 Feb 13 20 05 upload Administratoren die anonymen Benutzern Lese und Schreibberechtigungen f r Verzeichnisse geben stellen h ufig fest dass ihr Server dann zu einer Fundgrube gestohlener Software wird F gen Sie zus tzlich unter vsftpd die folgende Zeile in die Datei etc vsftpd vsftpd conf ein anon_upload_enable YES 2 2 6 3 Benutzer Accounts Da FTP Benutzernamen und Passw rter unverschl sselt ber unsichere Netzwerke zur Authentifizierung bertr gt ist es ratsam Systembenutzern den Zugang zum Server von ihren Benutzer Accounts aus zu verbieten Um alle Benutzer Accounts in vsftpd zu deaktivieren f gen Sie die folgende Direktive zu etc vsftpd vsftpd conf hinzu local_enable NO 2 2 6 3 1 Einschr nken von Benutzer Accounts Der einfachste Weg eine bestimmte Gruppe von Accounts wie den Root Benutzer und solche mit sudo Berechtigungen am Zugriff auf den FTP Server zu hindern ist durch eine PAM Listendatei wie 54 Sichern von Sendmail unter Abschnitt 2 1 4 2 4 Deaktivieren von PAM f r Root
38. nn 82 2 5 4 H ufige IP Tables Filter 24444440Hnnnnnnnnnnnnnnnnnnnnsnen nenn nnnn san nnnnnnnnnnn 84 2 5 5 FORWARD und NAT Regeln 244444n0nsennnnsnennnnnennne nam nnnnnnnen nam EEEE 85 2 5 6 Sch dliche Software und erschn ffelte IP Adressen nccc 88 2 5 7 IPTables und Connection Tracking 44444sssnennnennnnnennnnnnnnn en nnnn en nnnn nn 89 2 5 8 21PV On es Tee 89 2 5 9 Zus tzliche Informationsquellen 4444444444nRnnnnnnnnennnnennnnnnnnn nenn nn 90 PA ST N e OE E EEEE E EEEE A ENE E E E EE E E ET 90 20 1 Pakettiterung a a tie T a aa aTa ae aA 91 2 6 2 Befehlsoptionen f r IPTables sesssessserissrierrsrissrresrresrrssrretrretrrtnrrenrrenrtenr nnt 93 2 6 3 Speichern von IPTables Regeln nsssssssnssrssrrssrreerrrerresrtenrterrrernnetnnnrnrnnnennnt 102 2 6 4 IPTables Kontrollskripte eesisnssicnrssiriirrnnrnisrnnnrnsinnnnnrinansnansinnnnatdaarannnsinranns 103 205 PTRS UNI IPAG cocineta EEA E Heidi 105 2 6 6 Zus tzliche Informationsquellen sssssssssrsssrsssirsrrrerrrerirtrrrenttnnrt nrt nrtr errena 106 3 Verschl sselung 107 3 1 Ruhende D ten aan Ei se A nA SiR 107 3 2 Vollst ndige Festplattenverschl sselung 4444444444nennne anne nennen nenn nnnenn 107 3 3 Dateibasierte Verschl sselung 44444444444nRnnnnnnnn en nnnnnnnen nenn nnnnnnnnnnnnnnnnennn 107 34 DAlEHAN BEN AgUng ee
39. ordnungsgem konfigurierte Firewall kann die Sicherheit Ihres Systems signifikant erh hen Wir empfehlen Ihnen f r jedes Red Hat Enterprise Linux System mit Internetverbindung eine Firewall einzurichten 2 5 2 1 Firewall Konfigurationstool W hrend der Red Hat Enterprise Linux Installation hatten Sie auf dem Bildschirm zur Firewall Konfiguration bereits die M glichkeit eine einfache Firewall zu aktivieren und bestimmte Ger te eingehende Dienste und Ports festzulegen Nach der Installation k nnen Sie die dort vorgenommenen Einstellungen mithilfe des Firewall Konfigurationstools weiter anpassen F hren Sie den folgenden Befehl aus um diese Applikation zu starten root myServer system config firewall 79 Kapitel 2 Sichern Ihres Netzwerks File Options Help EN 5 Wizard Reload Disable Here you can define which services are trusted Trusted services are accessible from all Other Ports hosts and networks Trusted Interfaces Service A Port Protocol A Masquerading C WWW HTTP 80 tcp Port Forwarding M SSH 22 tcp ICMP filter O Secure WWW HTTPS 443 tcp Custom Rules Samba Client 137 udp 138 udp 0 Samba 137 udp 138 udp 139 tcp 445 tcp 1 RADIUS 1812 udp 1813 udp O POP 3 over SSL 995 tcp C OpenVPN 1194 udp O NFS4 2049 tcp 2049 udp _ Network Printing Server IPP 631 tcp 631 udp O Network Printing Client IPP 631 udp 7 Multicast DNS mDNS 5353 udp A Allow ac
40. r alle Ethnernet Schnittstellen Ihres Systems anwenden aber alle anderen Schnittstellen wie z B ppp0 auslassen Wenn der i Parameter ohne Angabe einer Schnittstelle verwendet wird ist jede Schnittstelle von dieser Regel betroffen e j Springt zum angegebenen Ziel wenn ein Paket einer bestimmten Regel entspricht Die Standardziele sind ACCEPT DROP QUEUE und RETURN Erweiterte Optionen sind zudem ber Module verf gbar die standardm ig mit mit dem Red Hat Enterprise Linux iptables RPM Paket geladen werden G ltige Ziele in diesen Modulen sind unter anderem LOG MARK und REJECT Weitere Informationen zu diesen und anderen Zielen finden Sie auf der iptables Handbuchseite Diese Option kann dazu verwendet werden ein Paket das einer bestimmten Regel entspricht an eine benutzerdefinierte Kette au erhalb der aktuellen Kette weiterzuleiten so dass andere Regeln auf dieses Paket angewendet werden k nnen Falls kein Ziel festgelegt ist durchl uft das Paket diese Regel ohne dass etwas unternommen wird Der Z hler f r diese Regel wird jedoch um eins erh ht e o Legt die Ausgangsnetzwerkschnittstelle f r eine bestimmte Regel fest die nur mit OUTPUT und FORWARD Ketten in der filter Tabelle und mit der POSTROUTING Kette in den nat und mangle Tabellen verwendet werden kann Die akzeptierten Optionen dieses Parameters sind dieselben wie die des Parameters der Eingangsnetzwerkschnittstelle i e p lt protocol gt
41. r die Zugriffskontrolle f r Portmap in hosts allow oder hosts deny IP Adressen oder den Schl sselbegriff ALL f r die Spezifizierung von Hosts verwenden 63 Kapitel 2 Sichern Ihres Netzwerks nderungen an den portmap Zugriffskontrollregeln werden nicht sofort wirksam Sie m ssen ggf den portmap Dienst neu starten Da der Betrieb von weit verbreiteten Diensten wie NIS und NFS von portmap abh ngt bedenken Sie diese Einschr nkungen 2 3 2 1 4 Operatoren Die Zugriffskontrollregeln akzeptieren derzeit einen Operator EXCEPT Dieser kann sowohl in der Daemon als auch in der Client Liste einer Regel verwendet werden Der EXCEPT Operator erlaubt spezifische Ausnahmen an breiter gef cherten Treffern in einer Regel Im folgenden Beispiel einer hosts allow Datei ist es allen example com Hosts gestattet sich mit allen Diensten mit Ausnahme von cracker example com zu verbinden ALL example com EXCEPT cracker example com In einem anderen Beispiel einer hosts allow Datei k nnen Clients des 192 168 0 x Netzwerks alle Dienste benutzen mit der Ausnahme von FTP ALL EXCEPT vsftpd 192 168 0 Der besseren bersicht halber ist es oft besser EXCEPT Operatoren zu vermeiden Dadurch k nnen andere Administratoren schnell die gew nschten Dateien durchsuchen um zu sehen welche Hosts Zugriff und welche keinen Zugriff auf bestimmte Dienste haben sollen ohne dass mehrere EXCEPT Operatoren ber cksichtigt werden m ssen
42. r die Zugriffsverweigerung f r mehrere Dienste f hren Wenn der Administrator den Zugang zu mehreren Diensten verbieten will kann eine hnliche Zeile zu den PAM Konfigurationsdateien wie z B etc pam d pop und etc pam d imap f r Mail Clients oder etc pam d ssh f r SSH Clients hinzugef gt werden Weitere Informationen ber PAM finden Sie unter Managing Single Sign On and Smart Cards 2 1 4 3 Beschr nken des Root Zugangs Statt dem Root Benutzer den Zugriff v llig zu verwehren kann der Administrator den Zugriff ausschlie lich ber setuid Programme wie su oder sudo gew hren 2 1 4 3 1 Der su Befehl Wenn ein Benutzer den su Befehl ausf hrt wird er nach dem Root Passwort gefragt und erh lt nach erfolgreicher Authentifizierung ein Root Shell Prompt Nach der Anmeldung ber den su Befehl ist der Benutzer tats chlich der Root Benutzer und hat vollst ndigen administrativen Zugriff auf das System Nachdem der Benutzer auf diese Weise zum Root Benutzer geworden ist kann er mit dem Befehl su zu jedem anderen Benutzer im System wechseln ohne nach einem Passwort gefragt zu werden Da dieses Programm sehr m chtig ist sollten Administratoren im Unternehmen den Zugang zu diesem Befehl beschr nken Einer der einfachsten Wege dazu ist es Benutzer zur administrativen Gruppe mit dem Namen wheel hinzuzuf gen Hierzu geben Sie den folgenden Befehl als Root ein usermod G wheel lt username gt Ersetzen Sie in diesem Bef
43. schen einer Regel lt chain name gt Legt die Kette fest die bearbeitet erstellt oder gel scht werden soll lt parameter gt lt option gt Paare Parameter und zugeh rige Optionen die festlegen wie ein Paket zu verarbeiten ist auf das diese Regel zutrifft Die L nge und Komplexit t eines iptables Befehls kann sich sehr unterscheiden abh ngig von dessen Zweck Beispielsweise kann ein Befehl zum L schen einer Regel aus einer Kette sehr kurz sein iptables D lt chain name gt lt line number gt Dagegen kann ein Befehl der eine Regel hinzuf gt die Pakete von einem bestimmten Subnetz anhand einer Vielzahl an speziellen Parametern und Optionen filtert ziemlich lang sein Beim Zusammensetzen des iptables Befehls muss bedacht werden dass einige Parameter und Optionen weitere Parameter und Optionen ben tigen um eine g ltige Regel zu bilden Dies kann einen Dominoeffekt hervorrufen mit weiteren Parametern die wiederum weitere Parameter ben tigen Solange nicht alle Parameter und Optionen die eine Reihe weiterer Optionen ben tigen erf llt sind ist die Regel nicht g ltig Wenn Sie iptables h eingeben erhalten Sie eine vollst ndige Liste der iptables Befehlsstrukturen 93 Kapitel 2 Sichern Ihres Netzwerks 2 6 2 2 Befehlsoptionen Mithilfe von Befehlsoptionen wird iptables angewiesen einen bestimmten Vorgang auszuf hren Nur eine einzige Befehlsoption pro iptables Befehl ist erlaubt Mit Ausnah
44. services Datei Die bereinstimmungsoption destination port ist dasselbe wie dport e sport Setzt den Ursprungsport des Pakets unter Verwendung derselben Optionen wie dport Die bereinstimmungsoption source port ist dasselbe wie sport e syn Gilt f r alle TCP Pakete die eine Kommunikation initialisieren sollen allgemein SYN Pakete genannt Alle Pakete die Nutzdaten enthalten werden nicht bearbeitet Wird ein Ausrufezeichen vor der syn Option verwendet wird die Regel nur auf Pakete angewendet bei denen es sich nicht um SYN Pakete handelt e tcp flags lt tested flag list gt lt set flag list gt Erm glicht TCP Paketen mit bestimmten Bits Flags mit einer Regel bereinzustimmen Die bereinstimmungsoption tcp flags akzeptiert zwei Parameter Beim ersten Parameter handelt es sich um eine Maske eine kommagetrennte Liste mit Flags die im Paket zu untersuchen sind Der zweite Parameter ist eine kommagetrennte Liste mit Flags die gesetzt sein m ssen um eine bereinstimmung mit der Regel zu erhalten M gliche Flags sind e ACK FIN e PSH e RST e SYN e URG e ALL NONE Eine iptables Regel die folgende Spezifikation enth lt trifft beispielsweise nur auf TCP Pakete zu in denen das SYN Flag aktiviert und die ACK und FIN Flags deaktiviert sind tcp flags ACK FIN SYN SYN Verwenden Sie das Ausrufezeichen hinter tcp flags um den Effekt der bereinstimmungsoption
45. standardm ige Fehlermeldung wenn keine 101 Kapitel 2 Sichern Ihres Netzwerks andere Option angewandt wurde Eine vollst ndige Liste der verf gbaren lt type gt Optionen finden Sie auf der iptables Handbuchseite Andere Zielerweiterungen die f r das IP Masquerading unter Verwendung der nat Tabelle oder f r Paket nderung mithilfe der mangle Tabelle n tzlich sind finden Sie auf der iptables Handbuchseite 2 6 2 6 Auflistungsoptionen Der standardm ige Befehl zum Auflisten iptables L lt chain name gt bietet eine sehr allgemeine bersicht ber die aktuellen Ketten der standardm igen Filtertabelle Doch es gibt zus tzliche Optionen die weitere Informationen liefern e v Zeigt eine ausf hrliche Ausgabe an wie z B die Anzahl der Pakete und Bytes die jede Kette abgearbeitet hat die Anzahl der Pakete und Bytes die von jeder Regel auf bereinstimmung berpr ft wurden und welche Schnittstellen f r eine bestimmte Regel zutreffen e x Erweitert die Zahlen auf ihre exakten Werte In einem ausgelasteten System kann die Anzahl der Pakte und Bytes die von einer bestimmten Kette oder Regel verarbeitet werden auf Kilobytes Megabytes und Gigabytes abgek rzt werden Diese Option erzwingt die Anzeige der vollst ndigen Zahl e n Zeigt IP Adressen und Portnummern in numerischem Format an statt im standardm igen Hostnamen und Netzwerkdienst Format e line numbers Listet Regeln in je
46. sub 1024g CEA4AB22E 2005 03 31 expires 2006 03 31 Der Fingerabdruck des Schl ssels ist eine abgek rzte Signatur f r Ihren Schl ssel Anhand dessen k nnen andere Personen berpr fen ob sie Ihren ffenlichen Schl ssel unversehrt erhalten haben Sie brauchen sich diesen Fingerabdruck nicht zu notieren Sie k nnen ihn jederzeit mit dem folgenden Befehl wieder anzeigen ersetzen Sie dabei Ihre E Mail Adresse gpg fingerprint jqdoe example com Ihre GPG Schl ssel ID besteht aus 8 Hexadezimalziffern die den ffentlichen Schl ssel identifizieren Im obigen Beispiel lautet die GPG Schl ssel ID 1B2AFA1C Wenn Sie zur Angabe Ihrer Schl ssel ID aufgefordert werden sollten Sie der Schl ssel ID 0x voranstellen z B Ox1B2AFAIC A Waruna T Sollten Sie Ihr Passwort vergessen kann der Schl ssel nicht mehr genutzt werden und s mtliche mit diesem Schl ssel verschl sselten Daten sind verloren 3 9 4 Informationen zur asymmetrischen Verschl sselung 1 Wikipedia Public Key Cryptography 2 HowStuffWorks Encryption 114 Allgemeine Prinzipien der Informationssicherheit Die folgenden allgemeinen Prinzipien liefern einen berblick ber bew hrte Sicherheitspraktiken Verschl sseln Sie alle Daten die ber das Netzwerk bertragen werden um Man in the Middle Angriffe und das Abgreifen von Daten zu verhindern Es ist insbesondere wichtig s mtliche Daten zur Authentifikation wie z B Passw rter zu vers
47. umzukehren e tcp option Versucht eine bereinstimmung anhand von TCP spezifischen Optionen die innerhalb eines bestimmten Pakets eingestellt werden k nnen Diese bereinstimmungsoption kann ebenfalls mit dem Ausrufezeichen umgekehrt werden 2 6 2 4 2 UDP Protokoll F r das UDP Protokoll stehen folgende bereinstimmungsoptionen zur Verf gung p udp 98 Befehlsoptionen f r IPTables e dport Spezifiziert den Ziel Port des UDP Pakets unter Verwendung von Dienstnamen Portnummer oder einem Portnummernbereich Die bereinstimmungsoption destination port ist dasselbe wie dport e sport Spezifiziert den Ursprungs Port des UDP Pakets unter Verwendung von Dienstnamen Portnummer oder einem Portnummernbereich Die bereinstimmungsoption source port ist dasselbe wie sport Um einen spezifischen Portnummernbereich f r die Optionen dport und sport anzugeben trennen Sie die zwei Nummern durch einen Doppelpunkt z B p tcp dport 3000 3200 Der gr tm gliche Bereich ist 0 65535 2 6 2 4 3 ICMP Protokoll Die folgenden bereinstimmungsoptionen sind f r das Internet Control Message Protocol ICMP p icmp verf gbar e icmp type Bestimmt den Namen oder die Nummer des ICMP Typs der mit der Regel bereinstimmen soll Durch Eingabe des Befehls iptables p icmp h wird eine Liste aller g ltigen ICMP Namen angezeigt 2 6 2 4 4 Module mit zus tzlichen bereinstimmungsopti
48. unten Die Rijndael Chiffre wurde von zwei belgischen Kryptografen Joan Daemen und Vincent Rijmen entwickelt und f r den AES Auswahlprozess eingereicht Rijndael ausgesprochen rlindall ist ein Kofferwort bestehend aus den Namen der beiden Erfinder A 1 2 Data Encryption Standard DES Der Data Encryption Standard DES ist eine Blockchiffre eine Form der Verschl sselung mit geheimen Schl sseln die im Jahr 1976 als offizieller Standard f r die US Regierung ausgew hlt und seither international vielfach eingesetzt wird Er basiert auf einem symmetrischen Schl sselalgorithmus der einen 56 bit Schl ssel verwendet Der Algorithmus war urspr nglich umstritten aufgrund seiner geheimen Design Elemente einer relativ kurze Schl ssell nge und Verd chtigungen ber eine integrierte Hintert r f r die National Security Agency NSA DES wurde infolgedessen einer eingehenden akademischen Pr fung unterzogen die unser modernes Verst ndnis von Blockchiffren und der Kryptoanalyse begr ndete A 1 2 1 Anwendungsf lle f r DES Advanced Encryption Standard Wikipedia 14 November 2009 http en wikipedia org wiki Advanced_Encryption_Standard Advanced Encryption Standard Wikipedia 14 November 2009 http en wikipedia org wiki Advanced_Encryption_Standard Advanced Encryption Standard Wikipedia 14 November 2009 http en wikipedia org wiki Advanced_Encryption_Standard Data Encryption Standard Wikipedia 14 November 2009 ht
49. zwei aktiven Knoten auf einem Netzwerk ausgetauscht werden indem die Verbindung dieser beiden Knoten abgeh rt wird Ein Angreifer findet einen Fehler oder ein Schlupfloch in einem Dienst der ber das Internet l uft Durch diese Schwachstelle kann der Angreifer das gesamte System und alle Daten darauf sowie weitere Systeme im Netzwerk kompromiittieren Spoofing ist relativ schwierig da es vom Angreifer erfordert dass er TCP IP Sequenznummern voraussagt um eine Verbindung zum Zielsystem zu koordinieren Es sind jedoch verschiedene Tools erh ltlich die dem Cracker bei diesem Angriff helfen k nnen Beruht auf einem Zielsystem auf dem Dienste laufen wie z B rsh telnet FTP und andere die Source basierte Authentifizierungstechniken verwenden welche im Vergleich zu PKI oder anderen Formen der Verschl sselung wie ssh oder SSL TLS nicht empfohlen werden Diese Art von Angriff funktioniert meistens bei Protokollen bei denen Text unverschl sselt bertragen wird wie zum Beispiel Telnet FTP und HTTP bertragungen Angreifer von au erhalb m ssen Zugriff auf ein kompromittiertes System in einem LAN haben um einen derartigen Angriff durchzuf hren blicherweise hat der Angreifer einen aktiven Angriff wie zum Beispiel IP Spoofing oder Man In The Middle benutzt um ein System im LAN zu kompromittieren Pr ventivma nahmen umfassen Dienste mit verschl sseltem Schl sselaustausch Einmal Passw r
50. 08 09 bin su Das s kann ein Gro oder Kleinbuchstabe sein Falls es ein Gro buchstabe ist bedeutet dies dass das darunterliegende Berechtigungs Bit nicht gesetzt ist Systemadiministratoren eines Unternehmens dagegen m ssen festlegen in welchem Umfang die Benutzer im Unternehmen administrative Kontrolle ber ihre Computer erhalten d rfen Mithilfe des PAM Moduls namens pam_console so k nnen einige Vorg nge die normalerweise nur dem Root 31 Kapitel 2 Sichern Ihres Netzwerks Benutzer erlaubt sind wie z B das Neustarten und Einh ngen von Wechseldatentr gern dem ersten Benutzer erlaubt werden der sich an der physischen Konsole anmeldet siehe auch Managing Single Sign On and Smart Cards f r weitere Informationen ber das pam_console so Modul Andere wichtige Systemadministrationsaufgaben wie das ndern von Netzwerkeinstellungen Konfigurieren einer neuen Maus oder das Einh ngen von Netzwerkger ten sind jedoch ohne Administratorrechte nicht m glich weshalb Systemadministratoren entscheiden m ssen in welchem Umfang die Benutzer in ihrem Netzwerk administrative Kontrolle erhalten sollen 2 1 4 1 Gew hren von Root Zugriff Sind die Benutzer innerhalb eines Unternehmens vertrauensw rdig und computerversiert ist das Vergeben von Root Berechtigungen unter Umst nden sinnvoll Root Zugang zu erlauben bedeutet dass kleinere Probleme wie das Hinzuf gen von Ger ten oder das Konfigurieren von Netzwerkschni
51. 2 5 Sicherung des Apache HTTP Server ssssssssssrissrrsrissrisrretrrsrrstrresrrsrrsrrresrnt 51 2 2 6 gt SIChEerN VO FTP ar H LI A T IT 52 2 2 7 Sichernvon Sendma il 2 2 2022 2 ae aan 55 2 2 8 berpr fen der horchenden Ports uuueeeesessenessnnnenennnnnnennnnnnnnnnnnnennnnennnnnnnn 56 2 3 TCP Wrapper und xinetd 4s4444404444nBnnnnnannnnnnnnn e iaa aaia aaa paaa nennen 57 2 32 12 FCP Wrappers unten enntele tal ei A aA 58 2 3 2 TCP Wrapper Konfigurationsdateien 444s4ssnssnnnnnnnnnennnn nenn nnnen nn 59 23 3 e e E a eure ei Ei EEEE E T ESNE 67 2 3 4 xinetd Konfigurationsdateien u s4sssssssnnnnnnnnnnnnsnennnnnnnnnn truan rnan rn nnt 67 2 3 5 Zus tzliche Informationsquellen 4444ss4444nnnnnnnsnennnnnnnnnennnn en nnnnnnnennn 73 2 4 Virtual Private Networks VPNS 44444444s4snnnnnnnennnnnnennnnnennnnn nen nnnnnsn en nnnn nenn 74 2 4 1 Funktionsweise eines VPNS uunnssseennnssennnnnsnnnnnnnnnnnnnnnnnnnnnnnnennnnnrnnnnnnrnnnnn 74 Sicherheitshandbuch 2 4 2 OPENSWAN a serie E ET 75 2 5 FIIrEWAllS rannte Blair esselletihmeslall teilten 77 2 5 1 Netfilter und IPTables u 2 een Banner AERAR NEE NAA 79 2 5 2 Grundlegende Firewall Konfiguration 444s4ssnsnnnnnnnnnnennnn nenn nnnen nn 79 2 5 3 Verwenden von IPTables us444nennnnnneennnnnnennnnnn en nennen nnnn nn nnnn nn
52. 9 Zus tzliche Informationsquellen Einige Aspekte von Firewalls und des Linux Netfilter Subsystems konnten in diesem Kapitel nicht abgedeckt werden F r weitere Informationen ziehen Sie bitte die folgenden Quellen zu Rate 2 5 9 1 Installierte Firewall Dokumentation e Abschnitt 2 6 IPTables beinhaltet ausf hrliche Informationen ber den iptables Befehl einschlie lich der Definitionen f r zahlreiche Befehlsoptionen e Die iptables Handbuchseite enth lt eine kurze Zusammenfassung der verschiedenen Optionen 2 5 9 2 Hilfreiche Firewall Websites htto www netfilter org Die offizielle Homepage des Netfilter und iptables Projekts http www tldp org Das Linux Dokumentations Projekt enth lt mehrere hilfreiche Handb cher in Zusammenhang mit der Erstellung und Administration von Firewalls http www iana org assignments port numbers Die offizielle Liste registrierter und blicher Dienst Ports zugeteilt von der Internet Assigned Numbers Authority 2 5 9 3 Verwandte Dokumentation Red Hat Linux Firewalls von Bill McCarty Red Hat Press ein umfassendes Nachschlagewerk zum Erstellen von Netzwerk und Server Firewalls mittels Open Source Pakeffilterungs Technologie wie z B Netfilter und iptables Es beinhaltet Themen wie beispielsweise das Analysieren von Firewall Protokollen das Entwickeln von Firewall Regeln und das Anpassen Ihrer Firewall mit grafischen Tools wie z B lokkit e Linux Firewall
53. Anmeldeversuche in var log messages protokolliert Sep 7 14 58 33 localhost xinetd 5285 FAIL telnet address from 172 16 45 107 Sep 7 14 58 33 localhost xinetd 5283 START telnet pid 5285 from 172 16 45 107 Sep 7 14 58 33 localhost xinetd 5283 EXIT telnet status 0 pid 5285 duration 0 sec Wenn Sie TCP Wrapper zusammen mit der Zugriffskontrolle von xinetd verwenden m ssen Sie die Beziehung dieser beiden Zugriffskontroll Mechanismen zueinander verstehen Im Folgenden wird die Abfolge der xinetd Vorg nge beschrieben wenn ein Client eine Verbindung anfordert 1 Der xinetd Daemon greift auf die Host Zugriffsregeln der TCP Wrapper durch einen libwrap a Bibliotheksaufruf zu Besteht eine Deny Regel f r den Client so wird die Verbindung nicht aufgebaut Besteht eine Allow Regel f r den Client wird die Verbindung an xinetd weitergegeben 2 Der xinetd Daemon berpr ft seine eigenen Zugriffskontrollregeln f r den xinetd Dienst und den angeforderten Dienst Besteht eine Deny Regel f r den Client wird die Verbindung nicht aufgebaut Andernfalls startet xinetd eine Instanz des angeforderten Dienstes und gibt die Kontrolle ber die Verbindung an diesen weiter FI Wichtig TU Seien Sie vorsichtig bei der Verwendung von TCP Wrapper Zugriffskontrollen in Verbindung mit xinetd Zugriffskontrollen Eine Fehlkonfiguration kann unerw nschte Auswirkungen haben 2 3 4 3 3 Bindungs und Unmleitungsoptionen Die Dienstkonfigurationsdateien f
54. Client Verbindung Bereiche die sich hinter einem NAT Router befinden k nnen ber den ein Client verbindet plutorestartoncrash standardm ig auf yes gesetzt plutostderr Pfad zum Puto Fehlerprotokoll Verweist standardm ig auf den syslog Speicherort connaddrfamily kann entweder auf ipv4 oder ipv6 gesetzt werden Weitere Details ber die Openswan Konfiguration finden Sie auf der ipsec conf 5 Handbuchseite 2 4 2 3 Befehle Dieser Abschnitt erl utert die f r Openswan verwendeten Befehle und zeigt entsprechende Beispiele Wie im folgenden Beispiel gezeigt wird die Verwendung von service ipsec start stop empfohlen um den Status des ipsec Dienstes zu ndern Dies ist auch die empfohlene Methode zum Starten und Stoppen aller anderen Dienste in Red Hat Enterprise Linux 6 Starten und Stoppen von Openswan e ipsec setup start stop e service ipsec start stop Hinzuf gen und L schen einer Verbindung e ipsec auto add delete lt connection name gt Erstellen und Abbrechen einer Verbindung 76 Firewalls e ipsec auto up down lt connection name gt e Generieren von RSA Schl sseln e ipsec newhostkey configdir etc ipsec d password password output etc ipsec d lt name of file gt e berpr fen von ipsec Richtlinien im Kernel e ip xfrm policy e ip xfrm state Erstellen eines selbst signierten Zertifikats e certutil S k rsa n lt ca cert nickname gt s CN ca cert comm
55. Computerkriminalit t f r US amerikanische Unternehmen f r das Jahr 2006 auf 67 2 Milliarden US Dollar gesch tzt j Eine globale Befragung unter Sicherheits und Informationstechnologie Experten im Jahre 2009 Why Security Matters Now durchgef hrt vom CIO Magazine brachte in diesem Zusammenhang einige bemerkenswerte Ergebnisse zu Tage 3 http www theregister co uk 2007 05 04 txj_nonfeasance 4 http www fudzilla com content view 7847 1 j http www internetworldstats com stats htm 9 http wwww cio com article 504837 Why_Security_Matters_Now SELinux Nur 23 der Befragten haben Richtlinien zur Verwendung von Web 2 0 Technologien Diese Technologien wie z B Twitter Facebook und Linkedin bieten zwar einen bequemen Weg f r Unternehmen und Privatpersonen zur Kommunikation und Zusammenarbeit ffnen gleichzeitig aber auch neue Schwachstellen insbesondere das m gliche Durchsickern vertraulicher Daten Sogar w hrend der k rzlichen Finanzkrise in 2009 waren die in der Befragung festgestellten Sicherheitsbudgets im Vergleich zu den Vorjahren etwa gleich geblieben oder gestiegen fast 2 von 3 Befragten erwarteten gleichbleibende oder steigende Ausgaben Das sind gute Neuigkeiten da es den Wert widerspiegelt den Unternehmen heutzutage auf Datensicherheit legen Diese Ergebnisse unterstreichen die Tatsache dass Computersicherheit mittlerweile eine messbare und gerechtfertigte Ausgabe in IT Budgets ist Unternehmen die auf
56. ORT UDP Port f r nlockmgr rpc lockd Die spezifizierten Port Nummern d rfen von keinem anderen Dienst verwendet werden Konfigurieren Sie anschlie end Ihre Firewall um die gew hlten Port Nummern sowie TCP und UDP Port 2049 NFS zu erlauben F hren Sie den Befehl rpcinfo p auf dem NFS Server aus um zu berpr fen welche Ports und RPC Programme verwendet werden 2 2 5 Sicherung des Apache HTTP Server Der Apache HTTP Server ist einer der stabilsten und sichersten Dienste die mit Red Hat Enterprise Linux ausgeliefert werden Es gibt eine gro e Anzahl von Optionen und Methoden um den Apache HTTP Server zu sichern zu viele um sie hier im Detail zu beschreiben Der folgende Abschnitt geht kurz auf die empfohlenen Verfahren beim Einsatz von Apache HTTP Server ein Vergewissern Sie sich grunds tzlich dass jegliche Skripte auf dem System auch wie beabsichtigt funktionieren bevor sie in Produktion gegeben werden Stellen Sie au erdem sicher dass nur der 51 Kapitel 2 Sichern Ihres Netzwerks Root Benutzer Schreibberechtigungen f r Verzeichnisse besitzt die Skripte oder CGIs enthalten F hren Sie dazu die folgenden Befehle als Root Benutzer aus 1 chown root lt directory_name gt chmod 755 lt directory_name gt Systemadministratoren sollten folgende Konfigurationsoptionen mit u erster Sorgfalt verwenden konfiguriert in ete httpd conf httpd conf FollowSymLinks Diese Direktive ist standardm i
57. ROP und REJECT Zielen Das REJECT Ziel verweigert den Zugang und gibt eine connection refused Fehlermeldung an Benutzer heraus die mit dem Dienst zu verbinden versuchen Das DROP Ziel verwirft das Paket dagegen ohne jegliche Fehlermeldung Administratoren k nnen diese Ziele nach eigenem Ermessen einsetzen Allerdings ist es empfehlenswert dass REJECT Ziel zu verwenden um Benutzer nicht unn tig zu verwirren und um wiederholte Verbindungsversuche zu vermeiden 2 5 7 IPTables und Connection Tracking Sie k nnen Verbindungen zu Diensten untersuchen und basierend auf deren Verbindungszustand einschr nken Ein Modul innerhalb von iptables verwendet eine Methode die Connection Tracking oder auch Dynamische Paketfilterung genannt wird um Informationen ber eingehende Verbindungen zu speichern Sie k nnen den Zugriff auf Grundlage der folgenden Verbindungszust nde erlauben oder verweigern NEW Ein Paket fordert eine neue Verbindung an z B eine HTTP Anfrage e ESTABLISHED Ein Paket ist Teil einer bestehenden Verbindung e RELATED Ein Paket fordert eine neue Verbindung an ist jedoch Teil einer bestehenden Verbindung So verwendet FTP beispielsweise Port 21 um eine Verbindung herzustellen die Daten werden jedoch auf einem anderen Port bertragen blicherweise Port 20 e INVALID Ein Paket geh rt zu keiner Verbindung in der Connection Tracking Tabelle Sie k nnen die iptables Funktion zur Zustands berpr fun
58. Red Hat Enterprise Linux 6 Sicherheitshandbuch Anleitung zur Sicherung von Red Hat Enterprise Linux Y redhat Sicherheitshandbuch Red Hat Enterprise Linux 6 Sicherheitshandbuch Anleitung zur Sicherung von Red Hat Enterprise Linux Ausgabe 1 5 Autor Copyright 2011 Red Hat Inc The text of and illustrations in this document are licensed by Red Hat under a Creative Commons Attribution Share Alike 3 0 Unported license CC BY SA An explanation of CC BY SA is available at http creativecommons org licenses by sa 3 0 In accordance with CC BY SA if you distribute this document or an adaptation of it you must provide the URL for the original version Red Hat as the licensor of this document waives the right to enforce and agrees not to assert Section Ad of CC BY SA to the fullest extent permitted by applicable law Red Hat Red Hat Enterprise Linux the Shadowman logo JBoss MetaMatrix Fedora the Infinity Logo and RHCE are trademarks of Red Hat Inc registered in the United States and other countries Linux is the registered trademark of Linus Torvalds in the United States and other countries Java is a registered trademark of Oracle and or its affiliates XFS is a trademark of Silicon Graphics International Corp or its subsidiaries in the United States and or other countries MySQL is a registered trademark of MySQL AB in the United States the European Union and other countries All other trademarks
59. Regel folgt die Pakete von 192 168 100 13 was innerhalb des verworfenen Subnetz liegts erlaubt dann wird die zweite Regel ignoriert Die Regel die Pakte von 192 168 100 13 erlaubt muss sich in der Reihenfolge vor der Regel befinden welche Pakete vom restlichen Subnetz verwirft Um eine Regel an einer bestimmten Stelle in eine vorhandene Kette einzuf gen verwenden Sie die I Option Zum Beispiel root myServer iptables I INPUT 1 i lo p all j ACCEPT Diese Regel wird als erste Regel in die INPUT Kette eingef gt um lokalen Datenverkehr vom Loopback Ger t zu erlauben In bestimmten Situationen ben tigen Sie unter Umst nden Zugriff auf das LAN von Remote aus Um diese Remote Verbindungen zu LAN Diensten zu verschl sseln k nnen Sie sichere Dienste wie z B SSH verwenden Administratoren mit PPP basierten Ressourcen wie z B Modemb nke oder ISP Accounts k nnen Einw hlverbindungen nutzen um sicher die Firewall Barrieren zu umgehen Da es sich bei Modemverbindungen um direkte Verbindungen handelt sind diese blicherweise hinter einer Firewall bzw einem Gateway F r Remote Benutzer mit Breitbandverbindungen k nnen jedoch Sonderf lle eingerichtet werden Sie k nnen iptables konfigurieren um Verbindungen von entfernten SSH Clients zu akzeptieren Die folgende Regel erlaubt beispielsweise SSH Zugriff von Remote aus root myServer iptables A INPUT p tcp dport 22 j ACCEPT root myServer iptable
60. Security Agency NSA bietet Leitf den zur Abh rtung von Systemen sowie Tipps f r viele verschiedene Betriebssysteme um Regierungsbeh ren Unternehmen und Privatleuten dabei zu helfen Ihre Systeme vor m glichen Angriffen zu sch tzen Die folgenden Handb cher bieten Leitf den f r Red Hat Enterprise Linux 6 im PDF Format Hardening Tips for the Red Hat Enterprise Linux 5 Guide to the Secure Configuration of Red Hat Enterprise Linux 5 1 Attp www nsa gov 115 Kapitel 4 Allgemeine Prinzipien der Informationssicherheit Wir verweisen an dieser Stelle auf das Handbuch zur Abh rtung von Red Hat Enterprise Linux 5 Systemen bis ein entsprechendes Handbuch f r Red Hat Enterprise Linux 6 ver ffentlicht wird Bis dahin beachten Sie bitte dass das Handbuch zur Abh rtung von Red Hat Enterprise Linux 5 Systemen nur begrenzt auf Red Hat Enterprise Linux 6 bertragbar ist Die Defense Information Systems Agency DISA bietet Dokumentation Checklisten und Tests die Ihnen bei der Absicherung Ihres Systems helfen k nnen Information Assurance Support Environment Der UNIX SECURITY TECHNICAL IMPLEMENTATION GUIDE PDF ist ein Handbuch speziell f r UNIX Sicherheit und setzt ein fortgeschrittenes Wissen ber UNIX und Linux voraus Die DISA Unix Security Checklist liefert eine Sammlung von Dokumenten und Checklisten mit Informationen ber richtige Besitzer und Modi f r Systemdateien bis hin zur Verwaltung von P
61. Trojaner Netzwerke nach Diensten auf Ports 31337 bis 31340 in Cracking Terminologie auch Elite Ports genannt Da es keine legitimen Dienste gibt die auf diesen nicht standardm igen Ports kommunizieren k nnen Sie durch deren Sperrung das Risiko mindern dass potenziell infizierte Knoten auf Ihrem Netzwerk selbstst ndig mit ihren entfernten Master Servern kommunizieren Die folgenden Regeln verwerfen jeglichen TCP Datenverkehr der Port 31337 zu benutzen versucht root myServer iptables A OUTPUT o eth p tcp dport 31337 sport 31337 j DROP root myServer iptables A FORWARD o eth p tcp dport 31337 sport 31337 j DROP Sie k nnen auch Verbindungen von au erhalb blockieren die versuchen private IP Adressbereiche zu erschn ffeln um damit Ihr LAN infiltrieren zu k nnen Wenn Ihr LAN zum Beispiel den Bereich 192 168 1 0 24 verwendet k nnen Sie eine Regel aufstellen die das mit dem Internet verbundene Ger t z B eth0 anweist alle Pakete an dieses Ger t zu verwerfen die eine IP Adresse innerhalb des Bereichs Ihres LANs haben Da als Standardrichtlinie empfohlen wird weitergeleitete Pakete zur ckzuweisen werden s mtliche andere erschn ffelte IP Adressen zum externen Ger t eth0 automatisch zur ckgewiesen root myServer iptables A FORWARD s 192 168 1 0 24 i eth j DROP 88 IPTables und Connection Tracking O Beim Anf gen von Regeln gibt es Unterschiede zwischen den D
62. achstellen eines Arbeitsplatzrechners bewusst zu sein um sich eine nervenaufreibende Neuinstallation eines Betriebssystems oder schlimmer noch die Schadensbegrenzung nach einem Datendiebstahl zu ersparen 1 3 4 1 Unsichere Passw rter Unsichere Passw rter sind eine der leichtesten Methoden f r einen Angreifer Zugang zu einem System zu erhalten Weitere Informationen dar ber wie Sie h ufige Fehler bei der Passwortwahl vermeiden finden Sie unter Abschnitt 2 1 3 Passwortsicherheit 1 3 4 2 Anf llige Client Applikationen Auch wenn ein Administrator ber einen sicheren und gepatchten Server verf gt hei t dies noch lange nicht dass Remote Benutzer sicher sind wenn sie auf diesen zugreifen Wenn zum Beispiel 13 Kapitel 1 berblick ber Sicherheit der Server Telnet oder FTP Dienste ber ein ffentliches Netzwerk zur Verf gung stellt kann ein Angreifer die Klartext Benutzernamen und Passw rter abgreifen wenn diese ber das Netzwerk bertragen werden und dann diese Account Informationen zum Zugriff auf den Arbeitsplatzrechner des Remote Benutzers missbrauchen Selbst wenn sichere Protokolle wie z B SSH verwendet werden kann ein Remote Benutzer anf llig f r bestimmte Angriffe sein wenn ihre Client Applikationen nicht auf dem neuesten Stand sind So kann zum Beispiel ein v 1 SSH Client anf llig sein f r eine X Forwarding Attacke eines b swilligen SSH Servers Sobald dieser mit dem Server verbunden i
63. aining oder die n tige Zeit zur Verf gung zu stellen um den Job ordnungsgem auszuf hren Dies trifft sowohl auf unerfahrene Administratoren als auch auf vermessene oder unmbotivierte Administratoren zu Einige Administratoren vers umen es ihre Server oder Workstations zu patchen w hrend andere vergessen Protokollmeldungen vom Systemkernel und den Netzwerkverkehr zu beobachten Ein weiterer h ufiger Fehler besteht darin die Standardpassw rter oder schl ssel f r Dienste nicht zu ver ndern So haben zum Beispiel einige Datenbanken standardm ige Administrationspassw rter weil die Datenbankentwickler annehmen dass der Systemadministrator diese sofort nach der Installation ndert Vergisst jedoch ein Systemadministrator diese Passw rter zu ndern k nnen sogar unerfahrene Cracker mit einem weitverbreiteten Standardpasswort auf administrative Privilegien dieser Datenbank zugreifen Dies sind nur einige Beispiele daf r wie unaufmerksame Administration zu unsicheren Servern f hren kann 1 3 3 4 Von Natur aus unsichere Dienste Auch das wachsamste Unternehmen kann Opfer von Schwachstellen werden wenn die gew hlten Netzwerkdienste von Natur aus unsicher sind Es werden zum Beispiel viele Dienste unter der 19 http www sans org resources errors php 12 Bedrohungen der Arbeitsplatzrechner und Heim PC Sicherheit Annahme entwickelt dass diese ber sichere Netzwerke verwendet werden diese Annahme ist jedoch hi
64. akete die dieser Regel entsprechen Da die Pakete vom Kernel protokolliert werden bestimmt die Datei etc syslog conf wohin diese Protokolleintr ge geschrieben werden Standardm ig werden sie in der Datei var log messages abgelegt Nach dem LOG Ziel k nnen verschiedene zus tzliche Optionen verwendet werden um die Art der Protokollierung zu bestimmen e log level Bestimmt die Priorit tsstufe eines Protokollereignisses Auf den Handbuchseiten von syslog conf finden Sie eine Liste der Priorit tsstufen e log ip options Protokolliert alle im Header eines IP Pakets enthaltenen Optionen e log prefix F gt beim Schreiben einer Protokollzeile eine Zeichenkette von bis zu 29 Zeichen vor der Protokollzeile ein Dies ist beim Schreiben von syslog Filtern im Zusammenhang mit der Paketprotokollierung sehr n tzlich Aufgrund eines Problems mit dieser Option sollten sie ein Leerzeichen hinter dem log prefix Wert einf gen e log tcp options Protokolliert alle im Header eines TCP Pakets enthaltenen Optionen e l0og tcp sequence Schreibt die TCP Sequenznummer f r das Paket in die Protokolldatei REJECT Sendet ein Fehlerpaket an das entfernte System zur ck und verwirft das Paket Mit dem REJECT Ziel kann die reject with lt type gt Option verwendet werden wobei lt type gt die Art der Zur ckweisung angibt um mehr Details zusammen mit dem Fehlerpaket zu senden Die Meldung port unreachable ist die
65. amba ist eine Implementierung von Microsofts propriet rem SMB Netzwerkprotokoll Falls Sie Dateien Verzeichnisse oder lokal angeschlossene Drucker f r Microsoft Windows Rechner auf dem Netzwerk freigeben m chten markieren Sie dieses Auswahlk stchen 2 5 2 4 Andere Ports Das Firewall Konfigurationstool enth lt einen Abschnitt namens Andere Ports um benutzerdefinierte IP Ports f r iptables als vertrauensw rdig festzulegen Um beispielsweise IRC und Internet Printing Protocol IPP das Passieren der Firewall zu erlauben f gen Sie Folgendes zum Andere Ports Abschnitt hinzu 194 tcp 631 tcp 2 5 2 5 Speichern der Einstellungen Klicken Sie auf OK um die nderungen zu speichern und die Firewall zu aktivieren bzw zu deaktivieren Falls Firewall aktivieren ausgew hlt wurde werden die gew hlten Optionen nun in iptables Befehle bersetzt und in die etc sysconfig iptables Datei geschrieben Zudem wird der iptables Dienst gestartet so dass die Firewall sofort nach Abspeichern der gew hlten Optionen aktiviert ist Falls Firewall deaktivieren ausgew hlt wurde wird die etc sysconfig iptables Datei gel scht und der iptables Dienst umgehend gestoppt Die gew hlten Optionen werden zudem in die Datei etc sysconfig system config firewall geschrieben so dass die Einstellungen beim n chsten Start der Applikation wiederhergestellt werden k nnen Bearbeiten Sie diese Datei nicht manuell Obwohl die Firewall sofort aktiviert wird ist de
66. angezeigt Dies bedeutet dass der Port 834 im reservierten Bereich 0 bis 1023 liegt und Root Zugang zum ffnen ben tigt jedoch nicht mit einem bekannten Dienste zusammenh ngt Rufen Sie als N chstes mittels netstat oder 1sof Informationen ber den Port ab Um Port 834 mithilfe von netstat zu pr fen geben Sie folgenden Befehl ein netstat anp grep 834 Dieser Befehl liefert folgende Ausgabe tcp 0 0 0 0 834 0 0 0 0 LISTEN 653 ypbind Dass der offene Port in netstat aufgef hrt wird ist ein gutes Zeichen da ein Cracker der einen Port heimlich auf einem geknackten System ffnet das Anzeigen des Ports durch diesen Befehl h chstwahrscheinlich nicht zulassen w rde Des Weiteren zeigt die Option p die Prozess ID PID des Dienstes an der diesen Port ge ffnet hat In diesem Fall geh rt der offene Port zu ypbind NIS ein RPC Dienst der zusammen mit dem portmap Dienst l uft Der 1sof Befehl zeigt hnliche Informationen wie der netstat Befehl an denn er kann offene Ports auch Diensten zuordnen lsof i grep 834 Der relevante Teil der Befehlsausgabe ist der folgende Abschnitt ypbind 653 0 7u IPv4 1319 TCP 834 LISTEN ypbind 655 0 7u IPv4 1319 TCP 834 LISTEN ypbind 656 0 7u IPv4 1319 TCP 834 LISTEN ypbind 657 0 7u IPv4 1319 TCP 834 LISTEN Wie Sie sehen k nnen diese Tools eine Menge Informationen ber den Status von Diensten auf einem Computer ausgeben Diese Tools sind flexibel und liefern ei
67. anstelle der Portnummern empfohlen 2 Warnung Sichern Sie die etc services Datei um ein unerlaubtes Bearbeiten zu verhindern Ist diese Datei editierbar k nnen Angreifer sie dazu missbrauchen Ports auf Ihrem Rechner zu aktivieren die Sie geschlossen hatten Um diese Datei abzusichern f hren Sie als Root folgende Befehle aus root myServer chown root root etc services root myServer chmod 0644 etc services root myServer chattr i etc services Auf diese Weise wird verhindert dass die Datei umbenannt oder gel scht wird bzw Links zu ihr erstellt werden 2 6 2 4 1 TCP Protokoll Folgende bereinstimmungsoptionen stehen f r das TCP Protokoll zur Verf gung p tcp e dport Definiert den Ziel Port f r das Paket Verwenden Sie den Namen eines Netzwerkdienstes wie z B www oder smtp eine Portnummer oder einen Bereich von Portnummern um diese Option zu konfigurieren Um einen Bereich von Portnummern anzugeben trennen Sie die zwei Nummern durch einen Doppelpunkt z B p tcp dport 3000 3200 Der gr tm gliche Bereich ist 0 65535 97 Kapitel 2 Sichern Ihres Netzwerks Sie k nnen auch ein Ausrufezeichen vor der dport Option verwenden um mit allen Paketen die nicht diesen Netzwerkdienst oder diesen Port verwenden bereinzustimmen Um die Namen und Aliasse von Netzwerkdiensten und den von ihnen verwendeten Portnummern zu durchsuchen werfen Sie einen Blick auf die etc
68. ap beschrieben Der NFS Datenverkehr benutzt statt UDP nunmehr TCP in allen Versionen und erfordert TCP bei der Verwendung von NFSv4 NFSv4 beinhaltet nun Kerberos Benutzer und Gruppenauthentifizierung als Teil des RPCSEC_GSS Kernel Moduls Informationen ber portmap sind jedoch nach wie vor enthalten da Red Hat Enterprise Linux 6 auch noch NFSv2 und NFSv3 unterst tzt die portmap einsetzen 2 2 4 1 Planen Sie das Netzwerk sorgf ltig Da nunmehr s mtliche Informationen von NFSv4 verschl sselt mittels Kerberos ber das Netzwerk bertragen werden k nnen ist es wichtig dass dieser Dienst richtig konfiguriert wird sollte sich dieser hinter einer Firewall oder in einem segmentierten Netzwerk befinden NFSv2 und NFSv3 bergeben Daten dagegen nach wie vor nicht sicher was unbedingt ber cksichtigt werden sollte Hier kann ein sorgf ltiges Design des Netzwerks schwerwiegende Sicherheitsbr che verhindern 2 2 4 2 Vermeiden Sie Syntaxfehler Der NFS Server entscheidet mithilfe der etc exports Datei welche Dateisysteme f r welche Hosts exportiert werden sollen Achten Sie darauf dass Sie keine berfl ssigen Leerstellen beim Bearbeiten dieser Datei einf gen 50 Sicherung des Apache HTTP Server Die folgende Zeile in der Datei etc exports legt fest dass der Host bob example com Lese und Schreibberechtigung auf das gemeinsam genutzte Verzeichnis tmp nfs erh lt tmp nfs bob example com rw Folgende Zeile in der
69. ar log xinetdlog w rde eine benutzerdefinierte Protokolldatei mit dem Namen xinetdlog im var 10g Verzeichnis erstellen 67 Kapitel 2 Sichern Ihres Netzwerks log_on_success Weist xinetd dazu an erfolgreiche Verbindungsversuche zu protokollieren Standardm ig werden die Remote Host IP Adresse und die ID des Servers der die Anfrage verarbeitet aufgezeichnet log_on_failure Weist xinetd dazu an fehlgeschlagene oder abgewiesene Verbindungsversuche zu protokollieren e cps Weist xinetd dazu an f r einen bestimmten Dienst nicht mehr als 25 Verbindungen pro Sekunde zuzulassen Wenn diese Grenze erreicht ist wird der Dienst f r 30 Sekunden ausgesetzt includedir etc xinetd d Enth lt Optionen der dienstspezifischen Konfigurationsdateien im Verzeichnis ete xinetd d Weitere Informationen zu diesem Verzeichnis finden Sie unter Abschnitt 2 3 4 2 Das etc xinetd d Verzeichnis I Die Einstellungen log_on_success und log_on_failure in etc xinetd conf werden oftmals von den dienstspezifischen Protokolldateien ge ndert Aus diesem Grund k nnen mehr Informationen in der Protokolldatei eines Dienstes angezeigt werden als die etc xinetd conf Datei angibt Weitere Informationen diesbez glich finden Sie unter Abschnitt 2 3 4 3 1 Protokolloptionen 2 3 4 2 Das letc xinetd d Verzeichnis Das etc xinetd d Verzeichnis enth lt die Konfigurationsdateien f r jeden einzelnen Dienst der von xin
70. atches http www disa mil i http iase disa mil index2 html s http iase disa mil stigs stig unix stig v5r1 pdf 7 http liase disa mil stigs checklist 116 Sichere Installation Eine gute Sicherheitsstrategie beginnt bereits dann wenn Sie die CD oder DVD zur Installation von Red Hat Enterprise Linux in Ihr Laufwerk einlegen Wenn Sie Ihr System von Beginn an sicher konfigurieren erleichtert Ihnen dies sp ter das Implementieren zus tzlicher Sicherheitseinstellungen 5 1 Festplattenpartitionen Die US amerikanische National Security Agency NSA empfiehlt separate Partitionen anzulegen f r boot home tmp und var tmp Die Gr nde daf r sind jeweils unterschiedlich und werden im Folgenden f r jede Partition einzeln erl utert boot Dies ist die erste Partition die w hrend des Starts vom System gelesen wird Der Bootloader und die Kernel Images die zum Booten Ihres Systems in Red Hat Enterprise Linux genutzt werden sind auf dieser Partition gespeichert Diese Partition sollte nicht verschl sselt werden Falls diese Partition in enthalten ist und diese Partition verschl sselt wird oder anderweitig nicht verf gbar ist wird Ihr System nicht booten k nnen home Wenn Benutzerdaten home in gespeichert werden statt auf einer separaten Partition kann die Partition voll werden und dadurch ein instabiles Betriebssystem verursachen Auch ist es sehr viel einfacher Ihr System auf eine neue Version von R
71. atei sch tzen nachdem Sie Ihren Computer verlassen hat z B wenn Sie eine CD per Post verschicken Einige L sungen f r dateibasierte Verschl sselung lassen Spuren der verschl sselten Dateien zur ck die ein Angreifer der Zugriff auf Ihren Computer 107 Kapitel 3 Verschl sselung erlangt unter Umst nden zur Wiederherstellung der urspr nglichen Datei nutzen kann Um die Inhalte dieser Dateien vor Angreifern zu sch tzen die Zugriff auf Ihren Computer erlangen verwenden Sie dateibasierte Verschl sselung zusammen mit einer anderen L sung wie z B der vollst ndigen Festplattenverschl sselung 3 4 Daten in bertragung Daten in bertragung auch Data in Motion genannt sind Daten die ber ein Netzwerk bertragen werden Die gr ten Gefahren f r Daten in bertragung sind das Abfangen oder ndern dieser Daten Ihr Benutzername und Passwort sollten niemals schutzlos ber ein Netzwerk gesendet werden da diese abgefangen und von Dritten verwendet werden k nnen um Zugriff auf sensible Daten zu erlangen Andere private Daten wie z B Kontoinformationen sollten bei der bertragung ber ein Netzwerk ebenfalls gesch tzt werden Falls die Netzwerksitzung verschl sselt ist brauchen Sie sich dagegen weniger Sorgen darum zu machen dass die Daten bei der bertragung abgefangen oder ver ndert werden Daten in bertragung sind deshalb besonders gef hrdet da sich der Angreifer nicht tats chlich in der N he des C
72. aten auch vor Angreifern die sich mittels Einzelbenutzermodus an Ihrem Computer anzumelden versuchen oder anderweitig darauf zuzugreifen versuchen L sungen zur vollst ndigen Festplattenverschl sselung wie z B LUKS sch tzen die Daten nur w hrend der Computer ausgeschaltet ist Sobald der Computer eingeschaltet ist und LUKS die Festplatten entschl sselt hat sind die Dateien nun f r jeden zug nglich der auch normalerweise Zugriff auf diese Dateien hat Um Ihre Dateien zu sch tzen w hrend Ihr Computer eingeschaltet ist verwenden Sie die vollst ndige Festplattenverschl sselung zusammen mit einer anderen L sung wie z B einer dateibasierten Verschl sselung Denken Sie zudem daran Ihren Computer zu sperren sobald Sie sich davon entfernen Ein passwortgesch tzter Bildschirmschoner der nach einigen Minuten der Inaktivit t automatisch startet ist eine gute M glichkeit Eindringlinge abzuhalten 3 3 Dateibasierte Verschl sselung GnuPG GPG ist eine quelloffene Version von PGP die es Ihnen erm glicht eine Datei oder eine E Mail zu signieren und oder zu verschl sseln Dies bewahrt die Integrit t der Nachricht oder Datei und sch tzt vertrauliche Informationen innerhalb der Nachricht oder Datei Im Falle von E Mail bietet GPG doppelten Schutz Es sch tzt nicht nur die ruhenden Daten sondern auch Daten w hrend der bertragung sobald die Nachricht ber das Netzwerk gesendet wird Dateibasierte Verschl sselung soll eine D
73. ateways zu maskieren 2 5 5 2 Prerouting Falls Sie einen Server auf Ihrem internen Netzwerk haben den Sie extern zug nglich machen m chten k nnen Sie das Ziel j DNAT der PREROUTING Kette in NAT verwenden um eine Ziel IP Adresse und einen Port anzugeben an die eingehende Pakete die eine Verbindung mit Ihrem internen Dienst anfragen weitergeleitet werden k nnen Um beispielsweise eingehende HTTP Anfragen an Ihren dedizierten Apache HTTP Server unter 172 31 0 23 weiterzuleiten verwenden Sie den folgenden Befehl root myServer iptables t nat A PREROUTING i ethO p tcp dport 80 j DNAT to 172 31 0 23 80 Diese Regel legt fest dass die nat Tabelle die integrierte PREROUTING Kette verwendet um eingehende HTTP Anfragen exklusiv an die aufgef hrte Ziel IP Adresse 172 31 0 23 weiterzuleiten Falls Sie in Ihrer FORWARD Kette die Standardrichtlinie DROP verwenden m ssen Sie eine Regel anh ngen die alle eingehenden HTTP Anfragen weiterleitet so dass das Ziel NAT Routing erm glicht wird F hren Sie dazu den folgenden Befehl aus root myServer iptables A FORWARD i ethO p tcp dport 80 d 172 31 0 23 j ACCEPT Die Regel leitet alle eingehenden HTTP Anfragen von der Firewall an das vorgesehene Ziel weiter den Apache HTTP Server hinter der Firewall 2 5 5 3 DMZs und IPTables Sie k nnen iptables Regeln erstellen um Daten an bestimmte Rechner weiterzuleiten wie z B an dedizierte HTTP oder FTP Ser
74. aubt nur den aufgef hrten Host Rechnern den Zugriff auf den Dienst e no_access Verwehrt den aufgef hrten Host Rechnern den Zugriff auf den Dienst e access_times Der Zeitraum in dem ein bestimmter Dienst verwendet werden darf Der Zeitraum muss im 24 Stunden Format also HH MM HH MM angegeben werden Die Optionen only_frrom und no_access k nnen eine Liste von IP Adressen oder Hostnamen verwenden oder ein gesamtes Netzwerk referenzieren Wie TCP Wrapper kann durch die Kombination der xinetd Zugriffskontrolle und der entsprechenden Protokollkonfiguration die Sicherheit durch das Abweisen von Anfragen von gesperrten Hosts und das Protokollieren aller Verbindungsversuche erh ht werden Zum Beispiel kann die folgende etc xinetd d telnet Datei verwendet werden um den Telnet Zugriff von einer bestimmten Netzwerkgruppe auf ein System zu verweigern und um die Zeitspanne die selbst erlaubte Benutzer angemeldet sein d rfen einzuschr nken service telnet disable no flags REUSE socket_type stream wait no user root server usr kerberos sbin telnetd log_on_failure USERID no_access 172 16 45 0 24 log_on_success PID HOST EXIT access_times 09 45 16 15 70 xinetd Konfigurationsdateien Wenn nun ein Client System vom 172 16 45 0 24 Netzwerk wie etwa von 172 16 45 2 versucht auf den Telnet Dienst zuzugreifen erh lt es die folgende Meldung Connection closed by foreign host Au erdem werden diese
75. aum oder bis xinetd neu gestartet wird verweigert Dies wird durch den SENSOR Parameter erreicht Mithilfe dieses einfachen Verfahrens k nnen Sie Hosts blockieren die den Server auf offene Ports absuchen Der erste Schritt f r das Einrichten von SENSOR ist die Auswahl eines Dienstes den Sie voraussichtlich nicht anderweitig brauchen werden In diesem Beispiel wird Telnet ausgew hlt Bearbeiten Sie die Datei etce xinetd d telnet und ndern Sie die Zeile flags folgenderma en um flags SENSOR F gen Sie folgende Zeile hinzu deny_time 30 45 Kapitel 2 Sichern Ihres Netzwerks Dadurch werden einem Host alle weitere Verbindungsversuche auf diesem Port f r 30 Minuten verweigert Andere g ltige Werte f r das deny_time Attribut sind FOREVER wodurch eine Verbindung solange verweigert wird bis xinetd neu gestartet wird und NEVER wodurch die Verbindung zugelassen und protokolliert wird Die letzte Zeile sollte Folgendes enthalten disable no Dadurch wird die Falle selbst aktiviert Obwohl SENSOR eine gute Methode ist Verbindungen von b swilligen Hosts zu erkennen und zu stoppen hat es jedoch zwei Nachteile Es hilft nicht gegen heimliches Scannen Stealth Scans Ein Angreifer der wei dass ein SENSOR aktiviert ist kann eine DoS Attacke gegen bestimmte Hosts ausf hren indem er ihre IP Adressen f lscht und sich mit dem verbotenen Port verbindet 2 2 1 2 2 Kontrollieren von Server Ressourcen
76. bar waren Auf diese Weise ist der vorherige sichere Austausch von einem oder mehreren geheimen Schl sseln der bei der Verwendung symmetrischer Schl sselalgoritnmen unabdingbar ist hier nicht mehr n tig Sie kann auch zur Erstellung digitaler Signaturen verwendet werden Die asymmetrische Verschl sselung ist eine grundlegende und weltweit verbreitete Technologie die auch Internet Standards wie Transport Layer Security TLS Nachfolger von SSL PGP und GPG zugrunde liegt Asymmetrische Kryptosysteme verwenden asymmetrische Schl sselalgorithmen bei denen der Schl ssel zur Verschl sselung einer Nachricht nicht identisch ist mit dem Schl ssel zur Entschl sselung Jeder Benutzer verf gt ber ein Paar von kryptografischen Schl sseln ein ffentlicher Schl ssel und ein privater Schl ssel Der private Schl ssel wird geheim gehalten w hrend der ffentliche Schl ssel weit verbreitet werden kann Nachrichten die mit dem ffentlichen Schl ssel des Empf ngers verschl sselt wurden k nnen nur mit dem dazugeh rigen privaten Schl ssel wieder entschl sselt werden Obwohl die Schl ssel mathematisch miteinander verwandt sind kann vom ffentlichen Schl ssel unm glich der private Schl ssel abgeleitet werden Die Entdeckung solcher Algorithmen revolutionierte die Kryptografie ab Mitte der 70er Jahre In Gegensatz dazu verwenden symmetrische Schl sselalgorithmen die in der ein oder anderen Form bereits seit einigen Tausend
77. begleitet oder Quell Code der den Fehler behebt Dieses Patch wird dann auf das Red Hat Enterprise Linux Paket angewendet getestet und als Errata Update herausgegeben Enth lt die Ank ndigung jedoch kein Patch arbeitet ein Entwickler mit dem Maintainer des Pakets zusammen um das Problem zu l sen Wurde das Problem behoben wird das Paket getestet und als Errata Update herausgegeben Wenn Sie ein Paket verwenden f r das ein Sicherheits Errata herausgegeben wurde wird dringend empfohlen dass Sie die betreffenden Pakete sobald wie m glich aktualisieren um die Zeit die Ihr System potenziell angreifbar ist zu minimieren 1 5 1 Aktualisieren von Paketen Wenn Sie Software auf Ihrem System aktualisieren ist es wichtig das Update von einer vertrauensw rdigen Quelle herunterzuladen Ein Angreifer kann leicht eine Version eines Paketes nachbauen mit der gleichen Versionsnummer des Pakets das theoretisch das Problem l sen sollte jedoch ein anderes Sicherheitsrisiko im Paket einbauen und dieses dann im Internet ver ffentlichen Falls dies geschieht kann dieses Risiko durch Sicherheitsma nahmen wie das Abgleichen der Pakete gegen das urspr ngliche RPM nicht aufgedeckt werden Es ist daher wichtig dass Sie RPMs nur von vertrauensw rdigen Quellen wie Red Hat herunterladen und die Signatur des Pakets pr fen um dessen Integrit t sicherzustellen 17 Kapitel 1 berblick ber Sicherheit Red Hat Enterprise Linux enth l
78. bekannte Sicherheitsl cken zum Einstieg in Ihr System auszunutzen 6 1 Installieren minimaler Software Es wird im Allgemeinen empfohlen nur ben tigte Pakete zu installieren da jede installierte Software auf Ihrem Computer potenziell eine Sicherheitsl cke enthalten k nnte Wenn Sie von CD DVD installieren nutzen Sie die M glichkeit nur die gew nschten Pakete f r die Installation auszuw hlen Sollten Sie sp ter feststellen dass Sie weitere Pakete ben tigen k nnen Sie diese bei Bedarf sp ter hinzuf gen 6 2 Planen und Konfigurieren von Sicherheitsaktualisierungen Jede Software enth lt Fehler Oft k nnen diese Fehler Sicherheitsl cken verursachen die Ihr System anf llig f r b swillige Angreifer macht Gew hnlich werden solche Systeme Opfer von Angriffen bei denen es vers umt wurde verf gbare Patches anzuwenden Sie sollten daher einen Plan haben nach dem Sicherheits Patches umgehend angewendet werden um diese Sicherheitsl cken zu schlie en Auch private Benutzer sollten Sicherheitsaktualisierungen so bald wie m glich installieren Sie k nnen eine automatische Installation dieser Sicherheitsaktualisierungen konfigurieren damit Sie nicht selbst daran denken m ssen Dies bringt allerdings ein gewisses Risiko mit sich dass eine Aktualisierung einen Konflikt mit Ihrer Konfiguration oder mit anderer Software auf Ihrem System verursacht Fortgeschrittene private Benutzer sowie Systemadministratoren in Unternehmen so
79. bgeschw cht werden confCONNECTION_RATE_THROTTLE Die Anzahl der Verbindungen die der Server pro Sekunde empfangen kann Standardm ig begrenzt Sendmail die Zahl der Verbindungen nicht Wird eine Grenze gesetzt werden dar ber hinaus gehende Verbindungen verz gert confMAX_DAEMON_CHILDREN Die maximale Anzahl von untergeordneten Prozessen die vom Server erzeugt werden k nnen Standardm ig begrenzt Sendmail die Anzahl der untergeordneten Prozesse nicht Wird eine Grenze gesetzt werden alle dar ber hinaus gehenden Verbindungen verz gert confMIN_FREE_BLOCKS Die minimale Anzahl freier Bl cke die f r den Server zur Verf gung stehen m ssen um E Mail empfangen zu k nnen Der Standard betr gt 100 Bl cke confMAX_HEADERS_LENGTH Die maximal akzeptierte Gr e in Bytes f r einen Nachrichten Header confMAX_MESSAGE_SIZE Die maximal akzeptierte Gr e in Bytes pro Nachricht 2 2 7 2 NFS und Sendmail Legen Sie niemals das Mail Spool Verzeichnis var spool mail auf einem durch NFS gemeinsam genutzten Datentr ger ab Da NFSv2 und NFSv3 keine Kontrolle ber Benutzer und Gruppen IDs haben k nnen zwei oder mehr Benutzer die gleiche UID besitzen und daher jeweils die E Mails des anderen lesen 55 Kapitel 2 Sichern Ihres Netzwerks Mit NFSv4 und Kerberos ist dies nicht der Fall da das SECRPC_6GSS Kernel Modul keine UID basierte Authentifizierung anwendet Allerdings sollten Sie dennoch da
80. cess to necessary services only The firewall is enabled Abbildung 2 5 Firewall Konfigurationstool Das Firewall Konfigurationstool konfiguriert lediglich eine sehr einfache Firewall Falls komplexere Regeln f r das System n tig sind werfen Sie bitte einen Blick auf Abschnitt 2 6 IPTables f r Informationen ber die Konfiguration spezifischer iptables Regeln 2 5 2 2 Aktivieren und Deaktivieren der Firewall W hlen Sie eine der folgenden Optionen f r die Firewall e Deaktiviert Mit deaktivierter Firewall werden keinerlei Sicherheitspr fungen durchgef hrt und der Zugang zu Ihrem System steht weit offen W hlen Sie diese Einstellung nur wenn sich Ihr System in einem vertrauensw rdigen Netzwerk befindet nicht dem Internet oder falls Sie mithilfe des iptables Befehlszeilentools eine angepasste Firewall konfigurieren m chten A am LT U Firewall Konfigurationen und benutzerdefinierte Firewall Regeln werden in der etc sysconfig iptables Datei gespeichert Falls Sie Deaktivieren w hlen und auf OK klicken gehen diese Konfigurationen und Firewall Regeln verloren 80 Grundlegende Firewall Konfiguration Aktiviert Diese Option konfiguriert das System derart dass eingehende Verbindungen die keine Antworten auf ausgehende Anfragen sind wie z B DNS Antworten oder DHCP Anfragen abgewiesen werden Falls der Zugriff auf Dienste n tig ist die auf diesem Rechner laufen k nnen Sie bestimmte Di
81. ch in Kombination verwendet werden wobei sie durch Kommas getrennt werden wie z B m state state INVALID NEN e mac Modul Erm glicht bereinstimmung anhand Hardware MAC Adressen Das mac Modul akzeptiert die folgende Option e mac source berpr ft die MAC Adresse der Netzwerkkarte die das Paket gesendet hat Um eine MAC Adresse von einer Regel auszuschlie en f gen Sie nach der mac source bereinstimmungsoption ein Ausrufezeichen hinzu Werfen Sie einen Blick auf die Handbuchseite von iptables f r weitere bereinstimmungsoptionen die ber Module verf gbar sind 2 6 2 5 Zieloptionen Sobald ein Paket mit einer bestimmten Regel bereinstimmt kann die Regel das Paket an viele verschiedene Ziele senden an denen dann die jeweiligen Aktionen durchgef hrt werden Jede Kette hat ein Standardziel das verwendet wird wenn ein Paket keiner Regel entspricht oder wenn in den Regeln mit dem das Paket bereinstimmt kein Ziel angegeben ist Dies sind die Standardziele e lt user defined chain gt Eine benutzerdefinierte Kette innerhalb der Tabelle Namen von benutzerdefinierten Ketten m ssen eindeutig sein Dieses Ziel leitet das Paket an die angegebene Kette weiter ACCEPT L sst das Paket zu dessen Bestimmungsort oder zu einer anderen Kette passieren DROP Das Paket wird ohne jegliche Antwort verworfen Das System das dieses Paket gesendet hat wird nicht ber das Verwerfen des Pakets b
82. chl sseln Installieren Sie nur die n tigste Software und f hren Sie nur die n tigsten Dienste aus Verwenden Sie Software und Tools zur Verbesserung der Sicherheit wie z B Security Enhanced Linux SELinux f r Mandatory Access Control MAC Netfilter IPTables zur Paketfilterung Firewall und den GNU Privacy Guard GnuPG zur Verschl sselung von Dateien Falls m glich f hren Sie jeden Netzwerkdienst auf einem separaten System aus um das Risiko zu verringern dass ein kompromittierter Dienst zur Sch digung weiterer Dienste eingesetzt wird Pflegen Sie die Benutzerkonten Setzen Sie eine Richtlinie f r sichere Passw rter durch und entfernen Sie ungenutzte Benutzerkonten Sehen Sie regelm ig die System und Applikationsprotokolle durch Standardm ig werden Systemprotokolle rund um die Sicherheit in var log secure und var log audit audit log geschrieben Beachten Sie auch dass der Einsatz eines dedizierten Protokollservers es Angreifern erschwert lokale Protokolle einfach zu ndern um ihre Spuren zu verwischen Melden Sie sich niemals als Root Benutzer an es sei denn es ist absolut notwendig Administratoren wird empfohlen m glichst sudo zur Ausf hrung von Befehlen als Root zu nutzen Benutzer die sudo nutzen d rfen k nnen in der etc sudoers Datei festgelegt werden Verwenden Sie das visudo Hilfsprogramm um etc sudoers zu bearbeiten 4 1 Tipps Handb cher und Werkzeuge Die US amerikanische National
83. cht mit diesen ausgeliefert Sichere Dienste werden manchmal mit standardm igen Sicherheitsschl sseln f r Entwicklung oder zu Evaluierungszwecken ausgeliefert Werden diese Schl ssel nicht ge ndert und auf einer Produktionsumgebung im Internet platziert kann jeder Benutzer mit denselben Standardschl sseln auf diese Ressourcen mit gemeinsam genutzten Schl sseln und damit auf alle sensiblen Informationen darin zugreifen Anmerkungen H ufig in Verbindung mit Netzwerk Hardware wie Routern Firewalls VPNs und Network Attached Storage Ger ten NAS Oft in vielen lteren Betriebssystemen besonders Betriebssysteme die Dienste kombinieren wie zum Beispiel UNIX und Windows Administratoren erzeugen gelegentlich privilegierte Benutzerkonten unter Zeitdruck und lassen Passw rter leer was einen idealen Einstiegspunkt f r b swillige Benutzer bietet die dieses Benutzerkonto entdecken Meistens in Wireless Access Points und vorkonfigurierten sicheren Serverger ten 14 H ufige Sicherheitsl cken und Angriffe Sicherheitsl cke Beschreibung Anmerkungen IP Spoofing Abh ren Schwachstellen von Diensten Eine sich entfernt befindliche Maschine verh lt sich wie ein Knoten im lokalen Netzwerk findet Schwachstellen auf Ihrem Server und installiert ein Backdoor Programm oder einen Trojaner um Kontrolle ber Ihre Netzwerkressourcen zu erlangen Das Sammeln von Daten die zwischen
84. cht nach alle Datenpakete die iptables Frontend Inhalt filtern wie Proxy sich im LAN bewegen Hilfsprogramms Firewalls Pakete k nnen mithilfe Erfordert keinerlei Verarbeitet Pakete auf der Kopfzeileninformation Anpassungen auf Client Protokollebene kann gelesen und bearbeitet Seite da s mtliche Pakete jedoch nicht auf werden Die Pakete Netzwerkaktivit t auf Applikationsebene filtern werden auf der Grundlage Routerebene statt auf Komplexe von programmierbaren Applikationsebene gefiltert Netzwerkarchitekturen Regeln gefiltert die vom wird erschweren das Einrichten Administrator der Firewall Da Pakete keinen von Paketfilter Regeln aufgestellt wurden Der Proxy passieren ist die insbesondere wenn Linux Kernel hat eine Netzwerkgeschwindigkeit es zusammen mit IP integrierte Paketfilterfunktion aufgrund der direkten Masquerading oder lokalen ber das Netfilter Kernel Verbindungen vom Client Subnetzen und DMZ Subsystem zum Remote Host h her Netzwerken eingesetzt wird Proxy Proxy Firewalls filtern alle Erm glicht Administratoren Proxys sind oft Anfragen eines bestimmten Protokolls oder Typs von den LAN Clients zu einer Proxy Maschine von wo aus die Anfragen im Auftrag des lokalen Clients an das Internet gestellt werden Eine Proxy Maschine fungiert als ein Puffer zwischen b sartigen Benutzern von au en und den internen Client Maschinen des Netzwerkes Kontrolle dar ber welche Applikationen und Protko
85. chzuweisen 1 1 3 2 Technische Kontrollen Technische Kontrollen verwenden Technologie als Basis f r die Kontrolle von Zugang zu bzw Verwendung von sensiblen Daten durch eine physische Struktur und ber ein Netzwerk Technische Kontrollen decken weite Bereiche ab und umfassen unter anderem folgende Technologien e Verschl sselung Smart Cards Netzwerkauthentifizierung e Zugangskontrolllisten ACLs Software zur Pr fung der Dateiintegrit t Fazit 1 1 3 3 Administrative Kontrollen Administrative Kontrollen definieren den menschlichen Faktor der Sicherheit Sie umfassen alle Mitarbeiter innerhalb eines Unternehmens und legen fest welche Benutzer Zugang zu welchen Ressourcen und Informationen haben Dies geschieht unter anderem durch Schulung und Aufkl rung e Katastrophenvorbereitung und Wiederherstellungspl ne e Personaleinstellungs und Separations Strategien e Mitarbeiterregistrierung und Buchhaltung 1 1 4 Fazit Nachdem Sie jetzt mehr ber die Urspr nge Beweggr nde und Aspekte der Sicherheit erfahren haben k nnen Sie nun den richtigen Aktionsplan f r Red Hat Enterprise Linux festlegen Es ist wichtig zu wissen welche Faktoren und Bedingungen die Sicherheit beinflussen um eine richtige Strategie planen und implementieren zu k nnen Mit diesen Informationen im Hinterkopf kann der Prozess formalisiert werden und der Weg wird klarer je tiefer Sie in die Details des Sicherheitsprozesses eintauchen
86. conf Die Handbuchseite mit einer Liste der xinetd Konfigurationsoptionen 2 3 5 2 Hilfreiche TCP Wrapper Websites http www docstoc com docs 2133633 An Unofficial Xinetd Tutorial Eine ausf hrliche Anleitung in der viele M glichkeiten beschrieben werden standardm ige xinetd Konfigurationsdateien f r bestimmte Sicherheitsanforderungen anzupassen 73 Kapitel 2 Sichern Ihres Netzwerks 2 3 5 3 B cher zum Thema Hacking Linux Exposed von Brian Hatch James Lee und George Kurtz Osbourne McGraw Hill Eine exzellente Informationsquelle zu TCP Wrappern und xinetd 2 4 Virtual Private Networks VPNs Unternehmen mit mehreren Zweigstellen sind h ufig ber spezielle Leitungen miteinander verbunden um die Effizienz und den Schutz sensibler Daten zu gew hrleisten Viele Unternehmen nutzen zum Beispiel Frame Relay oder Asynchronous Transfer Mode ATM Leitungen als Netzwerkl sung um B ros miteinander zu verbinden Dies kann jedoch eine teure L sung sein insbesondere f r kleine bis mittelst ndische Unternehmen die sich zwar vergr ern m chten jedoch nicht die hohen Kosten f r dedizierte Digitalleitungen der Unternehmensklasse in Kauf nehmen wollen Virtual Private Networks kurz VPN stellen eine L sung f r dieses Problem dar Dem Prinzip dedizierter Digitalschaltungen folgend erm glichen VPNs gesicherte digitale Kommunikation zwischen zwei Parteien oder Netzwerken und bilden somit ein Wide Area N
87. csa video wbpriv Bm a Primary Group scotti v cancel lt JoK Abbildung 2 2 Hinzuf gen von Benutzern zur wheel Gruppe ffnen Sie die PAM Konfigurationsdatei f r su etc pam d su in einem Texteditor und entfernen Sie die Kommentierung von der folgenden Zeile auth required lib security ISA pam_wheel so use_uid Hierdurch k nnen nur Mitglieder der administrativen Gruppe wheel dieses Programm nutzen Anmerkung Der Root Benutzer ist standardm ig Mitglied der wheel Gruppe 36 Administrative Kontrolle 2 1 4 3 2 Der sudo Befehl Der sudo Befehl bietet eine weitere Methode Benutzern administrativen Zugang zu gew hren Wenn ein vertrauensw rdiger Benutzer einem administrativen Befehl den sudo Befehl voranstellt wird dieser nach seinem eigenen Passwort gefragt Nach erfolgreicher Authentifizierung und vorausgesetzt dass der Befehl erlaubt ist wird der administrative Befehl wie von einem Root Benutzer ausgef hrt Das grundlegende Format des sudo Befehls lautet wie folgt sudo lt command gt Im obigen Beispiel w rde lt command gt durch einen Befehl ersetzt der normalerweise f r den Root Benutzer reserviert ist wie z B mount KT Benutzer des sudo Befehls sollten sicherstellen dass sie sich abmelden bevor Sie sich von Ihrem Rechner entfernen da Sudoers den Befehl innerhalb von f nf Minuten erneut ausf hren k nnen ohne nach e
88. damit diese Methode funktionieren kann Andernfalls kann ein Angreifer auf den GRUB Editor zugreifen und die lock Zeile entfernen Wenn Sie f r einen bestimmten Kernel oder ein Betriebssystem ein anderes Passwort festlegen m chten f gen Sie eine lock Zeile gefolgt von einer Passwortzeile in den Absatz ein Jeder Absatz den Sie mit einem eindeutigen Passwort sch tzen m chten sollte mit einer Zeile hnlich dem folgenden Beispiel beginnen title DOS lock password md5 lt password hash gt 2 1 3 Passwortsicherheit Passw rter werden in Red Hat Enterprise Linux als Hauptmethode zur berpr fung der Benutzeridentit t eingesetzt Aus diesem Grund ist die Passwortsicherheit sehr wichtig f r den Schutz des Benutzers des Arbeitsplatzrechners und des Netzwerks Aus Sicherheitsgr nden konfiguriert das Installationsprogramm das System zur Verwendung von Secure Hash Algorithm 512 SHA512 und Shadow Passw rtern Es wird dringend empfohlen diese Einstellungen nicht zu ver ndern GRUB akzeptiert auch Klartextpassw rter aus Sicherheitsgr nden wird jedoch empfohlen die md5 Hash Version zu verwenden 25 Kapitel 2 Sichern Ihres Netzwerks Wenn Sie die Shadow Passw rter w hrend der Installation deaktivieren werden alle Passw rter als unidirektionaler Hash in der allgemein lesbaren etc passwd Datei gespeichert wodurch das System potenziell f r Angriffe verwundbar wird bei denen Passw rter offline geknackt werden Erla
89. der Kette neben deren numerischer Position in der Kette auf Diese Option ist n tzlich wenn Sie versuchen eine bestimmte Regel aus einer Kette zu entfernen oder zu bestimmen wo eine Regel in einer Kette eingef gt werden soll e t lt table name gt Gibt einen Tabellennamen an Falls nicht angegeben wird standardm ig die Filtertabelle verwendet 2 6 3 Speichern von IPTables Regeln Regeln die mit dem iptables Befehl erstellt wurden werden zun chst nur im Arbeitsspeicher bewahrt Wird das System neu gestartet bevor die iptables Regeln gespeichert wurden gehen diese Regeln verloren Wenn Sie m chten dass Netfilter Regeln dauerhaft wirksam sind m ssen sie abgespeichert werden F hren Sie dazu folgenden Befehl als Root aus sbin service iptables save Dadurch wird das iptables init Skript angewiesen das sbin iptables save Programm auszuf hren und die aktuelle iptables Konfiguration in die etc sysconfig iptables Datei zu schreiben Die bestehende etc sysconfig iptables Datei wird unter etc sysconfig iptables save gespeichert Beim n chsten Systemstart wendet das iptables init Skript die in etc sysconfig iptables gespeicherten Regeln mittels des sbin iptables restore Befehls erneut an Es ist grunds tzlich empfehlenswert eine neue iptables Regel immer erst zu testen bevor sie in der etc sysconfig iptables Datei abgespeichert wird Sie k nnen die iptables Regeln aber auch von einer Datei eines anderen Systems i
90. dernfalls wird eine Fehlermeldung angezeigt P Legt die Standardrichtlinie f r die angegebene Kette fest Dadurch werden Pakete die eine Kette vollst ndig durchlaufen ohne mit einer Regel bereinzustimmen an das angegebene Ziel gesendet wie z B ACCEPT oder DROP e R Ersetzt eine Regel in einer angegebenen Kette Sie m ssen dazu nach dem Namen der Kette eine Regelnummer angeben um die Regel zu ersetzen Die erste Regel einer Kette ist die Regel Nummer 1 X L scht eine benutzerdefinierte Kette Eine integrierte Kette kann dagegen nicht gel scht werden Z Stellt Byte und Paketz hler in allen Ketten f r eine Tabelle auf Null 2 6 2 3 IPTables Parameteroptionen Bestimmte iptables Befehle zum Beispiel die Befehle zum Hinzuf gen Anh ngen Entfernen Einf gen oder Ersetzen von Regeln innerhalb einer bestimmten Kette erfordern verschiedene Parameter f r die Erstellung einer Paketfilterungsregel e c Setzt die Z hler f r eine angegebene Regel zur ck Dieser Parameter akzeptiert die PKTS und BYTES Optionen um anzugeben welche Z hler zur ckzusetzen sind d Legt den Bestimmungsort des Pakets als Hostnamen IP Adresse oder Netzwerk fest der mit der Regel bereinstimmt Zur bereinstimmung mit einem Netzwerk werden die folgenden Formate f r IP Adressen Netmasks unterst tzt N N N N M M M M Wobei N N N N der IP Adressbereich und M M M M die Netmask ist N N N N M Wobei N
91. des Dienstes wie z B sshd xinetd Dienste Dienste die vom Super Dienst xinetd gesteuert werden werden nur ausgef hrt wenn eine aktive Verbindung vorliegt Von xinetd gesteuert werden z B die Telnet IMAP und POP3 Dienste Da xinetd jedesmal neue Instanzen dieser Dienste startet wenn eine neue Anfrage empfangen wird werden die Verbindungen die nach einer Aktualisierung entstehen durch die aktualisierte Software gesteuert Bestehen jedoch zu dem Zeitpunkt an dem von xinetd verwaltete Dienste aktualisiert werden aktive Verbindungen so werden diese noch von der lteren Version der Software bedient Um ltere Instanzen eines bestimmten xinetd Dienstes zu stoppen aktualisieren Sie das Paket f r den Dienst und stoppen Sie anschlie end alle aktuell laufenden Prozesse Mit dem Befehl ps k nnen Sie feststellen welche Prozesse laufen Geben Sie dann den Befehl kill oder killall ein um alle aktuellen Instanzen dieses Dienstes zu stoppen Wenn zum Beispiel Sicherheits Errata f r die imap Pakete herausgegeben werden aktualisieren Sie die Pakete und geben Sie danach folgenden Befehl als Root ein ps aux grep imap Dieser Befehl gibt alle aktiven IMAP Sitzungen aus Einzelne Sitzungen k nnen dann mithilfe des folgenden Befehls beendet werden kill lt PID gt Falls das Beenden der Sitzung damit fehlschl gt verwenden Sie stattdessen folgenden Befehl kill 9 lt PID gt Ersetzen Sie im obigen Beispiel lt PID gt durch d
92. die Datenintegrit t und Hochverf gbarkeit angewiesen sind nehmen die Kenntnisse und F higkeiten von Systemadministratoren Entwicklern und Technikern in Anspruch um die Zuverl ssigkeit ihrer Systeme Dienste und Daten rund um die Uhr zu gew hrleisten B swillige Benutzer sch dliche Prozesse oder koordinierte Angriffe sind eine direkte Bedrohung f r den Erfolg eines Unternehmens Leider kann die System und Netzwerksicherheit ein schwieriges Thema sein welches zudem detailliertes Wissen dar ber erfordert wie ein Unternehmen seine Daten betrachtet nutzt bearbeitet und bertr gt Ein Verst ndnis davon wie ein Unternehmen und die Menschen in diesem Unternehmen seine Gesch fte t tigt ist daher von h chster Bedeutung um einen angemessenen Sicherheitsplan zu implementieren 1 1 1 3 Standardisierung der Sicherheit Unternehmen in jedem Industriezweig sind auf Richtlinien und Regeln von Standardisierungsorganisationen wie z B der American Medical Association AMA oder dem Institute of Electrical and Electronics Engineers IEEE angewiesen Die gleichen Ideale gelten f r die Datensicherheit Viele Sicherheitsberater und Hersteller haben sich auf das Standard Sicherheitsmodell CIA Confidentiality Integrity und Availability Vertraulichkeit Integrit t und Verf gbarkeit geeinigt Dieses 3 Schichten Modell ist eine allgemein anerkannte Komponente f r das Einsch tzen von Risiken f r sensible Daten und das Einrichten einer Siche
93. e Datenbanken in der cert9 db Datei verwendet etc ipsec d cacerts Speicherort f r Zertifikate von Zertifikatsstellen auch Certificate Authorities kurz CA etc ipsec d certs Speicherort f r Benutzerzertifikate Nicht notwendig bei der Verwendung von NSS etc ipsec d policies Gruppenrichtlinien Richtlinien k nnen als block clear clear or private private oder private or clear definiert werden 75 Kapitel 2 Sichern Ihres Netzwerks etc ipsec d nsspassword NSS Passwortdatei Diese Datei ist standardm ig nicht vorhanden wird jedoch ben tigt falls die NSS Datenbank mit einem Passwort erstellt wird Konfigurationsparameter Dieser Abschnitt listet einige der verf gbaren Konfigurationsoptionen auf von denen die meisten in etc ipsec conf gespeichert werden protostack definert den verwendeten Protokollstapel Die standardm ige Option in Red Hat Enterprise Linux 6 ist netkey Andere g ltige Werte sind auto klips und mast nat_traversal definiert ob NAT f r Verbindungen akzeptiert wird Standardm ig ist dies nicht der Fall dumpdir definiert den Speicherort f r Speicherauszugsdateien nhelpers falls NSS eingesetzt wird definiert dies die Anzahl der Threads die f r kryptografische Operationen verwendet werden Falls NSS nicht eingesetzt wird definiert dies die Anzahl der Prozesse die f r kryptografische Operationen verwendet werden virtual_private erlaubte Subnetze f r die
94. e IP Adressen ausschn ffeln k nnen und es dem Angreifer so erm glichen sich als Knoten auf Ihrem LAN auszugeben Um dies zu verhindern bietet iptables Richtlinien zur Um und Weiterleitung von Paketen die den untypischen Gebrauch von Netzwerkressourcen verhindern k nnen Mithilfe der FORWARD Kette kann ein Administrator steuern wohin innerhalb eines LANs Pakete weitergeleitet werden k nnen Um beispielsweise die Weiterleitung f r das gesamte LAN zu gestatten vorausgesetzt der Firewall bzw dem Gateway ist eine interne IP Adresse auf eth1 zugewiesen verwenden Sie die folgenden Regeln root myServer iptables A FORWARD i eth1 j ACCEPT root myServer iptables A FORWARD o eth1 j ACCEPT Diese Regeln erm glichen Systemen hinter der Firewall bzw dem Gateway Zugriff auf das interne Netzwerk Das Gateway leitet Pakete von einem LAN Knoten an den gew nschten Zielknoten weiter und leitet dabei alle Pakete durch sein eth1 Ger t Standardm ig deaktiviert die IPv4 Richtlinie in Red Hat Enterprise Linux Kernels die Unterst tzung f r IP Forwarding Dadurch ist es Rechnern auf denen Red Hat Enterprise Linux l uft nicht m glich als dedizierte Edge Router zu fungieren Um IP Forwarding zu aktivieren f hren Sie den folgenden Befehl aus root myServer sysctl w net ipv4 ip_forward 1 Diese Konfigurations nderung gilt nur f r die aktuelle Sitzung sie ist nicht ber einen Systemneustart oder Netzwerkneustart
95. e Netzwerkserver suchen und dann sogenannte Trojaner Client Applikationen auf den Servern installieren um schlie lich eine zeitlich koordinierte Attacke zu starten bei der die Site des Opfers durch jeden dieser infizierten Server mit Anfragen berflutet wird und somit unerreichbar wird Viele sehen die Ursache dieses Angriffs in fundamentalen Fehlern in der Weise wie Router und Protokolle strukturiert sind um alle eingehenden Daten anzunehmen egal woher oder zu welchem Zweck Pakete gesendet wurden Im Jahre 2007 f hrte ein Versto gegen die Datensicherheit der eine bekannte Schwachstelle des Wired Equivalent Privacy WEP Protokolls zur Verschl sselung von Funkverbindungen ausnutzte zum Diebstahl von ber 45 Millionen Kreditkartennummern von einem globalen Finanzinstitut In einem anderen Fall wurden die Abrechnungsunterlagen von ber 2 2 Millionen Patienten die auf einem Backup Band gespeichert waren vom Beifahrersitz eines Kurierfahrzeugs gestohlen Gesch tzte 1 4 Milliarden Menschen weltweit nutzen derzeit das Internet oder haben es genutzt Gleichzeitig wissen wir jedoch auch Folgendes Jeden Tag werden etwa 225 schwerwiegende F lle von Sicherheitsverletzungen an das CERT Koordinationszentrum an der Carnegie Mellon Universit t gemeldet Die Anzahl der bei CERT gemeldeten Vorf lle stieg sprunghaft von 52 658 im Jahre 2001 auf 82 094 in 2002 und auf 137 529 in 2003 an Laut dem FBI wurde der Schaden durch
96. e das KGpg Programm aus dem Hauptmen ber Anwendungen gt Dienstprogramme gt Verschl sselungs Tool Falls Sie KGpg noch nie zuvor benutzt haben leitet Sie das Programm durch die n tigen Schritte zur Erstellung Ihres eigenen GPG Schl sselpaars Ein Dialogfeld erscheint das Sie zur Erstellung eines neuen Schl sselpaares auffordert Geben Sie Ihren Namen Ihre E Mail Adresse und optional einen Kommentar ein Sie k nnen zudem ein Ablaufdatum f r Ihren Schl ssel w hlen sowie die St rke Anzahl der Bits und Algorithmen der Schl ssel Das n chste Dialogfeld fordert Sie zur Eingabe Ihres Passworts auf Daraufhin erscheint Ihr Schl ssel im Hauptfenster von KGpg 112 Erstellen von GPG Schl sseln per Befehlszeile Warung Sollten Sie Ihr Passwort vergessen kann der Schl ssel nicht mehr genutzt werden und s mtliche mit diesem Schl ssel verschl sselten Daten sind verloren Um Ihre GPG Schl ssel ID zu finden sehen Sie in der Spalte Schl ssel ID neben dem neu erstellten Schl ssel nach Wenn Sie nach der Schl sel ID gefragt werden sollten Sie der Schl ssel ID in den meisten F llen 0x voranstellen also z B 0x6789ABCD Sie sollten eine Sicherungskopie Ihres Schl ssels anlegen und diesen an einem sicheren Ort aufbewahren 3 9 3 Erstellen von GPG Schl sseln per Befehlszeile F hren Sie den folgenden Shell Befehl aus gpg gen key Dieser Befehl generiert ein Schl sselpaar das aus einem ffentlichen und
97. e dieser Option jeglichen weiteren Netzwerkverkehr stoppen und gleichzeitig den Rechner in einem Zustand belassen der eine Analyse oder andere forensische Untersuchungen erm glicht save Speichert Firewall Regeln mittels iptables save nach etc sysconfig iptables Werfen Sie einen Blick auf Abschnitt 2 6 3 Speichern von IPTables Regeln f r weitere Informationen I Um die gleichen Initskript Befehle zu verwenden um Netfilter f r IPv6 zu steuern ersetzen Sie iptables durch ip6tables in den in diesem Abschnitt angegebenen sbin service Befehlen F r weitere Informationen zu IPv6 und Netfilter werfen Sie einen Blick auf Abschnitt 2 6 5 IPTables und IPv6 2 6 4 1 Konfigurationsdatei der IPTables Kontrollskripte Das Verhalten des iptables init Skripts wird durch die Konfigurationsdatei ete sysconfig iptables config gesteuert Nachfolgend sehen Sie eine Liste der in dieser Datei enthaltenen Direktiven e IPTABLES_MODULES Gibt eine durch Leerzeichen getrennte Liste von zus tzlichen iptables Modulen an die beim Aktivieren einer Firewall geladen werden wie z B Verbindungs Tracker und NAT Helfer 104 IPTables und IPv6 e IPTABLES_MODULES_UNLOAD Entl dt Module beim Neustarten und Stoppen Diese Direktive akzeptiert die folgenden Werte e yes Der Standardwert Diese Option muss gesetzt sein um einen richtigen Status f r einen Firewall Neustart oder Stopp zu erhalten e no Diese Opt
98. ed Hat Enterprise Linux zu aktualisieren wenn Sie Ihre Daten in der home Partition speichern da diese bei der Installation nicht berschrieben wird Falls die Root Partition besch digt wird k nnten zudem Ihre Daten verloren gehen Indem Sie jedoch eine separate Partition verwenden ist das Risiko des Datenverlusts etwas geringer Dar ber hinaus k nnen Sie auf diese Weise regelm ige Backups dieser Partition durchf hren tmp und var tmp Sowohl die tmp als auch die var tmp Verzeichnisse werden f r Daten genutzt die nur f r k rzere Zeit gespeichert werden m ssen Falls jedoch gro e Mengen an Daten diese Verzeichnisse berschwemmen kann dies all Ihren Speicherplatz verbrauchen Befinden sich diese Verzeichnisse unter und tritt diese Situation auf dann k nnte Ihr System instabil werden und abst rzen Aus diesem Grund ist es empfehlenswert diese Verzeichnisse auf Ihre eigenen Partitionen zu legen 5 2 Verwenden der LUKS Partitionsverschl sselung W hrend des Installationsvorgangs wird Ihnen die Option zur Verschl sselung Ihrer Partitionen geboten Sie m ssen eine Passphrase angeben die den Verschl sselungscode zur Sicherung der Daten auf dieser Partition aktiviert 117 118 Software Wartung Die Software Wartung ist von entscheidender Bedeutung um ein System sicher zu halten Es ist unerl sslich Software Patches umgehend nach deren Ver ffentlichung anzuwenden um Angreifer daran zu hindern
99. egenden Text hervorgehoben viii Anmerkungen und Warnungen Eine Ausgabe die an das Terminal gesendet wird wird in den Schrifttyp nichtproportional Roman gesetzt und demnach wie folgt pr sentiert books Desktop documentation drafts mss photos stuff svn books_tests Desktopi1 downloads images notes scripts svgs Ausz ge aus dem Quellcode werden ebenfalls in den Schrifttyp nichtproportional Roman gesetzt doch wird zus tztlich noch die Syntax hervorgehoben package org jboss book jca ex1 import javax naming InitialContext public class ExClient public static void main String args throws Exception InitialContext iniCtx new InitialContext Object ref iniCtx lookup EchoBean EchoHome home EchoHome ref Echo echo home create System out printIn Created Echo System out printIn Echo echo Hello echo echo Hello 1 3 Anmerkungen und Warnungen Zu guter Letzt verwenden wir drei visuelle Stile um die Aufmerksamkeit auf Informationen zu lenken die andernfalls vielleicht bersehen werden k nnten Anmerkung Eine Anmerkung ist ein Tipp ein abgek rztes Verfahren oder ein alternativer Ansatz f r die vorliegende Aufgabe Das Ignorieren von Anmerkungen sollte keine negativen Auswirkungen haben aber Sie verpassen so vielleicht einen Trick der Ihnen das Leben vereinfachen k nnte Die Wichtig Schauk sten le
100. eger gt F gt eine Regel an einem bestimmten Punkt der anhand eines ganzzahligen benutzerdefinierten Werts spezifiziert wird in eine Kette ein Wird kein Wert angegeben wird die Regel am Anfang der Kette eingef gt FI Wichtig TU _ Wie bereits oben erw hnt bestimmt die Reihenfolge der Regeln in einer Kette welche Regeln auf welche Pakete angewendet werden Dies sollten Sie beim Hinzuf gen von Regeln mit der Option A oder 1 unbedingt bedenken Dies ist besonders wichtig wenn Regeln unter Verwendung der Option 1 mit einem ganzzahligen Parameter hinzugef gt werden Wenn Sie beim Hinzuf gen einer Regel zu einer Kette eine bereits existierende Nummer angeben f gt iptables die neue Regel vor also ber der existierenden Regel ein 94 Befehlsoptionen f r IPTables e L Listet alle Regeln in der angegebenen Kette auf Um alle Regeln in allen Ketten in der Standardtabelle filter aufzulisten spezifizieren Sie keine Kette oder Tabelle Ansonsten sollte folgende Syntax verwendet werden um die Regeln in einer bestimmten Kette in einer bestimmten Tabelle aufzulisten iptables L lt chain name gt t lt table name gt Zus tzliche Optionen f r die L Befehlsoption die z B Regelnummern anzeigen oder ausf hrlichere Regelbeschreibungen erm glichen finden Sie in Abschnitt 2 6 2 6 Auflistungsoptionen N Erstellt eine neue Kette mit benutzerdefiniertem Namen Der Name der Kette muss eindeutig sein an
101. ehend finden Sie eine Liste an Direktiven welche die Auswirkung dieser Angriffe abschw chen k nnen e per_source Legt die H chstanzahl von Verbindungen von einer bestimmen IP Adresse mit einem bestimmen Dienst fest Es werden nur ganzzahlige Werte als Parameter akzeptiert Diese Direktive kann sowohl in xinetd conf als auch in den dienstspezifischen Konfigurationsdateien im xinetd d Verzeichnis verwendet werden 72 Zus tzliche Informationsquellen cps Legt die H chstzahl der Verbindungen pro Sekunde fest Diese Option akzeptiert zwei ganzzahlige Parameter getrennt durch eine Leerstelle Die erste Zahl ist die H chstzahl von Verbindungen zum Dienst pro Sekunde Die zweite Zahl ist die Anzahl der Sekunden die xinetd warten muss bis der Dienst erneut aktiviert wird Es werden nur ganzzahlige Werte als Parameter akzeptiert Diese Direktive kann sowohl in xinetd conf als auch in den dienstspezifischen Konfigurationsdateien im xinetd d Verzeichnis verwendet werden max_load Legt den Schwellenwert f r die CPU Nutzung oder durchschnittliche Auslastung eines Dienstes fest Es akzeptiert deine Gleitkommazahl als Parameter Die durchschnittliche Auslastung ist ein ungef hres Ma daf r wie viele Prozesse zu einem bestimmten Zeitpunkt aktiv sind Weitere Informationen zur durchschnittlichen Auslastung finden Sie unter den uptime who und procinfo Befehlen Es gibt noch weitere Optionen f r die Ressourcenverwaltung mit xine
102. ehl lt username gt durch den Benutzernamen den Sie zur wheel Gruppe hinzuf gen m chten Sie k nnen auch die grafische Benutzerverwaltung nutzen um wie nachfolgend beschrieben Gruppenmitgliedschaften zu ndern Beachten Sie dass Sie zur Durchf hrung dieses Verfahrens ber Administratorrechte verf gen m ssen 3 Dieser Zugang unterliegt nach wie vor den von SELinux verh ngten Einschr nkungen falls aktiviert 35 Kapitel 2 Sichern Ihres Netzwerks 1 Klicken Sie im System Men auf der oberen Men leiste auf Administration und anschlie end auf Benutzer und Gruppen um die Benutzerverwaltung anzuzeigen Alternativ k nnen Sie dazu auch den Befehl system config users an einem Shell Prompt eingeben 2 Klicken Sie auf den Benutzer Reiter und w hlen Sie den gew nschten Benutzer aus der Liste aus 3 Klicken Sie auf Eigenschaften in der Werkzeugleiste um das Dialogfeld mit den Benutzereigenschaften anzuzeigen oder w hlen Sie Eigenschaften aus dem Datei Men 4 Klicken Sie auf den Gruppen Reiter markieren Sie das Auswahlk stchen f r die wheel Gruppe und klicken Sie anschlie end auf OK Siehe Abbildung 2 2 Hinzuf gen von Benutzern zur wheel Gruppe User Data Account Info Password Info Groups Select the groups that the user will be a member of stapdev stapusr sys tcpdump torrent O tty users utempter utmp uucp v
103. ehlssyntax von IPTables Das folgende Beispiel eines iptables Befehls veranschaulicht die grundlegende Befehlssyntax root myServer iptables A lt chain gt j lt target gt Die A Option gibt an dass die Regel ans Ende der lt chain gt Kette angeh ngt werden soll Jede Kette besteht aus einer oder mehrerer rules Regeln und wird daher auch als Regelset bezeichnet Die drei integrierten Ketten sind INPUT OUTPUT und FORWARD Diese Ketten sind dauerhaft integriert und k nnen nicht gel scht werden Die Kette spezifiziert den Punkt an dem ein Paket verarbeitet wird Die Option j lt target gt legt das Ziel der Regel fest also das Verhalten wenn ein Paket mit einer Regel bereinstimmt Beispiele f r integrierte Ziele sind ACCEPT DROP und REJECT Werfen Sie einen Blick auf die iptables Handbuchseite f r weitere Informationen ber die verf gbaren Ketten Optionen und Ziele 2 5 3 2 Grundlegende Firewall Richtlinien Das Einrichten einfacher Firewall Richtlinien kann als Grundlage f r detailliertere benutzerdefinierte Regeln dienen Jede iptables Kette besteht aus einer Standardrichtlinie und null oder mehr Regeln die zusammen mit der Standardrichtlinie das gesamte Regelset der Firewall definieren Die Standardrichtlinie f r eine Kette ist entweder DROP oder ACCEPT Sicherheitsbewusste Administratoren implementieren blicherweise die Standardrichtlinie DROP und erlauben spezifische Pakete nur fallweise Beispielsw
104. eichert sind w hrend der Rechner ausgeschaltet ist 3 8 5 Hilfreiche Links F r weiterf hrende Informationen ber LUKS oder das Verschl sseln von Festplatten unter Red Hat Enterprise Linux besuchen Sie bitte einen der folgenden Links e LUKS Homepage e LUKS cryptsetup FAQ e LUKS Linux Unified Key Setup e HOWTO Erstellen eines verschl sselten physischen Datentr gers unter Verwendung einer zweiten Festplatte und pvmove 111 Kapitel 3 Verschl sselung 3 9 Verwenden von GNU Privacy Guard GnuPG GPG wird zur Identifizierung Ihrer Person und zur Authentifizierung Ihrer Kommunikation eingesetzt auch mit Personen die Sie nicht kennen GPG erm glicht es jedem Leser einer GPG signierten E Mail deren Authentizit t zu berpr fen Mit anderen Worten GPG erm glicht es Leuten mit ziemlicher Sicherzeit zu best tigen dass von Ihnen signierte Nachrichten auch tats chlich von Ihnen stammen GPG ist hilfreich da es Dritte daran hindert Code zu ndern oder Nachrichtenwechsel abzufangen und deren Inhalt zu ver ndern 3 9 1 Erstellen von GPG Schl sseln in GNOME Installieren Sie das Seahorse Dienstprogramm das die Verwaltung von GPG Schl sseln erleichtert W hlen Sie aus dem Hauptmen System gt Administration gt Software hinzuf gen entfernen und warten Sie bis die Applikation gestartet ist Geben Sie Seahorse in das Textfeld ein und klicken Sie auf Suchen Markieren Sie das Auswahlk stchen neben
105. eien ber ein Netzwerk entwickelt wurde Da alle Transaktionen mit dem Server einschlie lich der Benutzerauthentifizierung unverschl sselt ablaufen gilt es als unsicheres Protokoll und sollte sorgf ltig konfiguriert werden Red Hat Enterprise Linux bietet drei FTP Server e gssftpd Ein Kerberos f higer xinetd basierter FTP Daemon der keine Authentifizierungsinformationen ber das Netzwerk bertr gt 52 Sichern von FTP Red Hat Content Accelerator tux Ein Kernel Space Webserver mit FTP F higkeiten e vsftpd Eine eigenst ndige sicherheitsorientierte Implementierung des FTP Dienstes Die folgenden Sicherheitsrichtlinien gelten f r das Einrichten des vsftpd FTP Dienstes 2 2 6 1 FTP Gru banner Bevor der Benutzername und das Passwort eingereicht werden erhalten alle Benutzer ein Gru banner Standardm ig enth lt dieses Banner Versionsinformationen die f r Cracker n tzlich sein k nnen die Schwachstellen in einem System herausfinden wollen Um dieses Gru banner f r vsftpd zu ndern f gen Sie die folgende Direktive zu etc vsftpd vsftpd conf Datei hinzu ftpd_banner lt insert_greeting_here gt Ersetzen Sie lt insert_greeting_here gt in der obigen Direktive durch den Text Ihrer Begr ung F r mehrzeilige Banner ist es ratsam eine Bannerdatei zu verwenden Um die Verwaltung von mehreren Bannern zu vereinfachen speichern Sie alle Banner in einem neuen Verzeichnis namens etc ba
106. eise blockieren die folgenden Richtlinien alle eingehenden und ausgehenden Pakete auf einem Netzwerk Gateway root myServer iptables P INPUT DROP root myServer iptables P OUTPUT DROP 83 Kapitel 2 Sichern Ihres Netzwerks Es wird empfohlen dass s mtliche weitergeleiteten Pakete also Netzwerkverkehr der von der Firewall an den Zielknoten geleitet wird ebenfalls abgewiesen werden um interne Clients davor zu bewahren unbeabsichtigt dem Internet ausgesetzt zu werden Verwenden Sie dazu die folgende Regel root myServer iptables P FORWARD DROP Nachdem Sie die Standardrichtlinien f r alle Ketten festgelegt haben k nnen Sie neue Regeln f r Ihre speziellen Netzwerk und Sicherheitsbed rfnisse erstellen Die folgenden Abschnitte beschreiben das Speichern von iptables Regeln sowie einige Beispiel f r Regeln die Sie beim Aufbau Ihrer iptables Firewall implementieren k nnen 2 5 3 3 Speichern und Wiederherstellen von IPTables Regeln nderungen an iptables sind nicht dauerhaft Wenn das System oder der iptables Dienst neu gestartet wird werden die Regeln automatisch gel scht und zur ckgesetzt Um die Regeln zu speichern und sie beim Start des iptables Dienstes zu laden f hren Sie den folgenden Befehl aus root myServer service iptables save Die Regeln werden in der etc sysconfig iptables Datei gespeichert und werden angewendet sobald der Dienst oder der Rechner neu gestartet wird
107. eitert wurden f r entfernte Benutzer NFS hat standardm ig keine Authentifizierungs oder Sicherheitsmechanismen konfiguriert um Angreifer daran zu hindern die NFS Freigabe einzuh ngen und Zugang zu s mtlichen Inhalten zu erlangen NIS verf gt auch ber wichtige Informationen die jedem Computer im Netzwerk bekannt sein m ssen einschlie lich Passw rter und Dateiberechtigungen innerhalb einer Nur Text ASCII oder DBM ASCIl abgeleiteten Datenbank Ein Angreifer der Zugang zu dieser Datenbank erh lt kann dann auf jedes Benutzerkonto in diesem Netzwerk zugreifen einschlie lich dem des Administrators Standardm ig sind bei Red Hat Enterprise Linux solche Dienste deaktiviert Da Administratoren h ufig jedoch zur Verwendung dieser Dienste gezwungen sind ist eine sorgf ltige Konfiguration entscheidend Weitere Informationen zum sicheren Einrichten eines Servers finden Sie unter Abschnitt 2 2 Server Sicherheit 1 3 4 Bedrohungen der Arbeitsplatzrechner und Heim PC Sicherheit Arbeitsplatzrechner und Heim PCs sind nicht ganz so anf llig f r Angriffe wie Netzwerke oder Server da sie jedoch h ufig sensible Informationen wie zum Beispiel Kreditkartendaten enthalten werden sie schnell zum Ziel von Crackern Arbeitsplatzrechner k nnen kooptiert werden ohne dass der Benutzer dies merkt und k nnen von Angreifern als Slave Maschinen f r koordinierte Angriffe verwendet werden Aus diesem Grund ist es wichtig sich der Schw
108. el beinhaltet einen Dateinamen einen Shell Befehl und eine Taste Alle werden nichtproportional fett dargestellt und alle k nnen dank des Kontextes leicht unterschieden werden Die Tastenkombination kann von einer Taste durch den Bindestrich der alle Teile der Tastenkombination miteinander verbindet unterschieden werden Zum Beispiel Dr cken Sie Enter um den Befehl auszuf hren Dr cken Sie Strg Alt F2 um zum ersten virtuellen Terminal zu wechseln Dr cken Sie Strg Alt F1 um zu Ihrer X Windows Sitzung zur ckzukehren Der erste Absatz hebt die jeweilige Taste hervor die gedr ckt werden soll Der zweite Absatz hebt zwei Tastenkombinationen hervor jeweils ein Satz von drei Tasten wobei jeder Satz gleichzeitig gedr ckt wird Falls Quellcode diskutiert wird werden Klassennamen Methoden Funktionen Variablennamen und R ckgabewerte die innerhalb eines Abschnitts erw hnt werden wie oben gezeigt nichtproportional fett dargestellt Zum Beispiel Zu dateiverwandten Klassen z hlen filesystem f r Dateisysteme file f r Dateien und dir f r Verzeichnisse Jede Klasse hat ihren eigenen Satz an Berechtigungen i https fedorahosted org liberation fonts vii Vorwort Proportional Fett Dies kennzeichnet W rter oder Phrasen die auf einem System vorkommen einschlie lich Applikationsnamen Text in Dialogboxen beschriftete Schaltfl chen Bezeichnungen f r Auswahlk stchen und Radio Buttons berschriften von Me
109. ele Hacker charakteristisch ist die Bereitschaft mit nur wenig oder ganz ohne Fremdmotivation im Detail herauszufinden wie Computersysteme und Netzwerke funktionieren Open Source Softwareentwickler betrachten sich selbst und ihre Kollegen oftmals als Hacker und verwenden das Wort als Ausdruck von Respekt Normalerweise folgen Hacker einer Form von Hacker Ethik die vorgibt dass die Suche nach Informationen und Wissen essentiell ist und dass die Weitergabe dieses Wissens eine Pflicht des Hackers gegen ber der Community ist W hrend dieser Suche nach Wissen genie en einige Hacker die intellektuelle Herausforderung Sicherheitskontrollen f r Computersysteme zu umgehen Aus diesem Grund verwenden die Medien h ufig den Begriff Hacker f r jemanden der unberechtigt mit skrupellosen b swilligen oder kriminellen Absichten auf Systeme und Netzwerke zugreift Ein zutreffenderer Begriff f r diese Art von Computerhacker ist Cracker ein Begriff der Mitte der 80er Jahre von Hackern geschaffen wurde um diese beiden Gruppen zu unterscheiden 1 3 1 1 Grauzonen Es gibt einige wesentliche Unterschiede zwischen den einzelnen Personengruppen die Schwachstellen in Systemen und Netzwerken finden und ausnutzen Diese unterschiedlichen Gruppen werden oft durch die Farbe des Hutes beschrieben den sie tragen w hrend sie ihre Sicherheitsrecherchen durchf hren Die jeweilige Farbe steht f r die Absichten dieser Gruppe Ein White Hat Hacker ist jemand
110. em Vorteil ausnutzen kann Eine Schwachstellenanalyse ist eine interne Pr fung Ihrer Netzwerk und Systemsicherheit Die Ergebnisse zeigen die Vertraulichkeit Integrit t und Verf gbarkeit Ihres Netzwerks auf wie in Abschnitt 1 1 1 3 Standardisierung der Sicherheit beschrieben Eine Schwachstellenanalyse beginnt f r gew hnlich mit einer Erkundungsphase in der wichtige Daten zum System und Ressourcen gesammelt werden Diese Phase f hrt zur Systembereitschaftsphase in der das Zielsystem auf alle bekannten Schwachstellen hin gepr ft wird Diese Phase f hrt dann zur Berichterstattungsphase in der die Ergebnisse in die Risikokategorien Hoch Mittel und Niedrig eingestuft und Methoden zur Verbesserung der Sicherheit oder Schw chung der Anf lligkeit des Zielsystems diskutiert werden W rden Sie zum Beispiel eine Schwachstellenanalyse f r Ihr Haus durchf hren w rden Sie wahrscheinlich pr fen ob jede T r geschlossen und verriegelt ist Sie w rden auch jedes Fenster pr fen und sicherstellen dass diese richtig geschlossen und verriegelt sind Das gleiche Prinzip gilt auch f r Systeme Netzwerke und elektronische Daten Benutzer mit b swilligen Absichten sind die Diebe und Vandalen Ihrer Daten Konzentrieren Sie sich auf deren Tools Mentalit t und Beweggr nde denn so k nnen Sie schnell auf deren Taten reagieren 1 2 2 Definition von Analyse und Test Schwachstellenanalysen k nnen in zwei Arten klassifiziert werden von a
111. em x86 System quivalent sind So verwenden zum Beispiel Intel ItaniumTM basierte Computer die Extensible Firmware Interface EFI Shell Anweisungen f r den Passwortschutz von BIOS hnlichen Programmen auf anderen Architekturen finden Sie in den Handb chern des Herstellers 2 1 2 2 Bootloader Passw rter Es gibt die folgenden wesentlichen Gr nde f r den Schutz eines Linux Bootloaders 1 Zugang zum Einzelbenutzermodus verhindern Wenn Angreifer in den Einzelbenutzermodus booten k nnen werden diese automatisch zu Root Benutzern ohne nach dem Root Passwort gefragt zu werden 2 Zugang zur GRUB Konsole verhindern Wenn der Rechner GRUB als Bootloader verwendet kann ein Angreifer die GRUB Editor Schnittstelle verwenden um die Konfiguration zu ndern oder Informationen mithilfe des cat Befehls zu sammeln 3 Zugang zu unsicheren Betriebssystemen verhindern Haben Sie ein Dual Boot System kann ein Angreifer w hrend des Bootens ein Betriebssystem wie zum Beispiel DOS ausw hlen das Zugangskontrollen und Dateiberechtigungen ignoriert Red Hat Enterprise Linux 6 wird mit dem GRUB Bootloader f r die x86 Plattform ausgeliefert Detaillierte Informationen zu GRUB finden Sie im Red Hat Installationshandbuch 2 1 2 2 1 Passwortschutz f r GRUB Sie k nnen GRUB konfigurieren um die ersten beiden in Abschnitt 2 1 2 2 Bootloader Passw rter angesprochenen Probleme zu vermeiden indem Sie eine Passwortdirektive zur Konfig
112. enachrichtigt 100 Befehlsoptionen f r IPTables QUEUE Das Paket wird zur Warteschlange f r die Bearbeitung durch eine Userspace Applikation hinzugef gt RETURN H lt die Suche nach bereinstimmungen des Pakets mit Regeln in der aktuellen Kette an Wenn ein Paket mit einem RETURN Ziel mit einer Regel in einer Kette bereinstimmt die von einer anderen Kette aufgerufen wurde wird das Paket an die erste Kette zur ckgesendet damit die berpr fung wieder dort aufgenommen werden kann wo sie unterbrochen wurde Wenn die RETURN Regel in einer integrierten Kette verwendet wird und das Paket nicht zu seiner vorherigen Kette zur ckkehren kann entscheidet das Standardziel f r die aktuelle Kette welche Ma nahme getroffen wird Zus tzlich sind Erweiterungen verf gbar mithilfe derer verschiedene andere Ziele angegeben werden k nnen Diese Erweiterungen werden Zielmodule oder auch bereinstimmungsoptionsmodule genannt und die meisten treffen lediglich auf spezielle Tabellen und Situationen zu Weitere Informationen zu bereinstimmungsoptionsmodulen finden Sie unter Abschnitt 2 6 2 4 4 Module mit zus tzlichen bereinstimmungsoptionen Es gibt viele erweiterte Zielmodule von denen sich die meisten nur auf bestimmte Tabellen oder Situationen beziehen Einige der gebr uchlichsten Zielmodule die standardm ig in Red Hat Enterprise Linux enthalten sind werden nachfolgend aufgef hrt LOG Protokolliert alle P
113. endet werden m ssen sollten stattdessen Passphrasen in Erw gung gezogen werden Passphrasen sind l nger als Passw rter und bieten eine h here Sicherheit selbst im Vergleich mit Passw rtern die Sonderzeichen und Ziffern enthalten 29 Kapitel 2 Sichern Ihres Netzwerks 2 1 3 2 3 Passwortalterung Passwortalterung ist eine weitere Methode die von Systemadministratoren verwendet wird um unsicheren Passw rtern in einem Unternehmen vorzubeugen Passwortalterung bedeutet dass ein Benutzer nach einer bestimmten Zeit gew hnlich 90 Tage aufgefordert wird ein neues Passwort festzulegen Wird der Benutzer regelm ig zur nderung seines Passworts gezwungen ist somit selbst ein geknacktes Passwort dem Angreifer nur f r eine begrenzte Zeit n tzlich Der Nachteil der Passwortalterung ist jedoch dass Benutzer eher dazu neigen sich die Passw rter aufzuschreiben Es gibt zwei Programme f r das Festlegen der Passwortalterung unter Red Hat Enterprise Linux den Befehl chage oder die grafische Benutzerverwaltung system config users Die Option M des chage Befehls legt die maximale Anzahl von Tagen fest f r die das Passwort g ltig ist Wenn Sie zum Beispiel festlegen wollen dass ein Benutzerpasswort nach 90 Tagen ung ltig wird geben Sie den folgenden Befehl ein chage M 90 lt username gt Ersetzen Sie im oben genannten Befehl lt username gt mit dem Namen des Benutzers Wenn Sie nicht m chten dass das Passwort ung lti
114. enste durch die Firewall erlauben Falls Sie Ihr System mit dem Internet verbinden jedoch nicht beabsichtigen einen Server auszuf hren ist dies die sicherste Wahl 2 5 2 3 Vertrauensw rdige Dienste Wenn Sie Optionen in der Liste der Vertrauensw rdige Dienste aktivieren wird diesen ausgew hlten Diensten erlaubt die Firewall zu passieren WWW HTTP Das HTTP Protokoll wird von Apache und anderen Webservern zur Bereitstellung von Webseiten genutzt Falls Sie beabsichtigen Ihren Webserver ffentlich verf gbar zu machen markieren Sie dieses Auswahlk stchen Diese Option ist dagegen nicht n tig wenn Sie die Seiten nur lokal anzeigen m chten oder w hrend Sie die Websites entwickeln Dieser Dienst erfordert die Installation des httpd Pakets Wenn Sie nur WWW HTTP aktivieren wird kein Port f r HTTPS ge ffnet die SSL Version von HTTP Falls dieser Dienst erforderlich ist markieren Sie ebenfalls das Secure WWW HTTPS Auswahlk stchen FTP Das FTP Protokoll wird zur bertragung von Dateien zwischen Rechnern auf einem Netzwerk verwendet Falls Sie beabsichtigen Ihren FTP Server ffentlich verf gbar zu machen markieren Sie dieses Auswahlk stchen Dieser Dienst erfordert die Installation des vsftpd Pakets SSH Secure Shell SSH ist eine Tool Suite zum Anmelden auf einem entfernten Rechner und zum Ausf hren von Befehlen darauf Um Fernzugriff auf den Rechner ber SSH zu erlauben markieren Sie dieses Auswahlk stchen Di
115. ente unterteilt wird Jeglicher Programmcode der versucht sich au erhalb des ausf hrbaren Segments auszuf hren wie z B sch dlicher Code der unter Ausnutzung einer Puffer berlauf Sicherheitsl cke eingeschleust wurde l st einen Segmentierungsfehler aus und wird beendet Execshield beinhaltet auch Unterst tzung f r No eXecute NX Technologie auf AMD64 Plattformen und eXecute Disable XD Technologie auf Itanium und Intel 64 Systemen Diese Technologien arbeiten zusammen mit ExecShield um sch dlichen Code davon abzuhalten im ausf hrbaren Bereich des virtuellen Speichers mit einer Granularit t von 4 KB ausf hrbaren Codes abzulaufen wodurch das Risiko eines heimlichen Angriffs unter Ausnutzung eines Puffer berlaufs verringert wird Sr Wichtig TU _ Um die Angriffsfl che des Netzwerks zu verringern sollten alle nicht genutzten Dienste ausgeschaltet werden 2 1 5 2 Identifizieren und Konfigurieren von Diensten Zur Erh hung der Sicherheit sind die meisten Netzwerkdienste die mit Red Hat Enterprise Linux installiert werden standardm ig deaktiviert Es gibt jedoch einige nennenswerte Ausnahmen e cupsd Der standardm ige Druckerserver f r Red Hat Enterprise Linux e lpd Ein alternativer Druckerserver e xinetd Ein Super Server der die Verbindungen zu einer Reihe untergeordneter Server wie zum Beispiel gssftp und telnet steuert e sendmail Der Sendmail Mail Transport Agent MTA ist standardm
116. er Legt fest unter welcher Benutzer ID der Prozess abl uft e server Legt die auszuf hrende Bin rdatei fest e log_on_failure Bestimmt die Protokollparameter f r log_on_failure zus tzlich zu den in xinetd conf bereits definierten e disable Legt fest ob der Dienst deaktiviert yes oder aktiviert no ist Weitere Informationen zu diesen Optionen und deren Gebrauch finden Sie auf der xinetd conf Handbuchseite 2 3 4 3 nderungen an xinetd Konfigurationsdateien Es gibt eine gro e Anzahl an Direktiven f r durch xinetd gesch tzte Dienste Dieser Abschnitt beschreibt einige der h ufig verwendeten Optionen 2 3 4 3 1 Protokolloptionen Die folgenden Protokolloptionen stehen f r ete xinetd conf und die dienstspezifischen Konfigurationsdateien im etc xinetd d Verzeichnis zur Verf gung Nachfolgend sehen Sie eine Liste der h ufig verwendeten Protokolloptionen e ATTEMPT Protokolliert einen fehlgeschlagenen Versuch log_on_failure e DURATION Protokolliert wie lange ein Remote System einen Dienst nutzt Log_on_success EXIT protokolliert den Exit Status oder das Endsignal des Dienstes log_on_success e HOST Protokolliert die IP Adresse des Remote Host Rechners log_on_failure und 109_on_success e PID Protokolliert die Prozess ID des Servers an den die Anfrage gesendet wird 1og_on_success e USERID Protokolliert den Remote Benutzer mithilfe der in RFC 1413 definierten Met
117. er anderem e usr sbin rpc yppasswdd Auch yppasswdd Dienst genannt Dieser Daemon erm glicht es Benutzern ihre NIS Passw rter zu ndern e usr sbin rpc ypxfrd Auch ypxfrd Dienst genannt Dieser Daemon ist f r den NIS Map Transfer ber das Netzwerk verantwortlich e usr sbin yppush Diese Applikation verbreitet ge nderte NIS Datenbanken an mehrere NIS Server e usr sbin ypserv Dies ist der NIS Server Daemon An heutigen Standards gemessen ist NIS als eher unsicher einzustufen Es besitzt keine Host Authentifizierungsmechanismen und bertr gt Informationen einschlie lich Passwort Hashes unverschl sselt ber das Netzwerk Aus diesem Grund m ssen Sie beim Einrichten eines Netzwerks mit NIS u erste Vorsicht walten lassen Dadurch dass die Standardkonfiguration von NIS von Natur aus unsicher ist wird die Angelegenheit noch weiter verkompliziert Es wird empfohlen dass Sie vor der Implementierung eines NIS Servers zuerst den portmap Dienst wie in Abschnitt 2 2 2 Sichern von Portmap beschrieben sichern und dann weitere Bereiche wie z B Netzwerkplanung angehen 2 2 3 1 Planen Sie das Netzwerk sorgf ltig Da NIS sensible Informationen unverschl sselt ber das Netzwerk bertr gt ist es wichtig dass dieser Dienst hinter einer Firewall und auf einem segmentierten und sicheren Netzwerk ausgef hrt wird Jedes Mal wenn NIS Informationen ber ein unsicheres Netzwerk bertragen werden wird das Ab
118. erden die Firewall Regeln im Speicher gel scht und die Firewall sollte sie in ete sysconfig iptables konfiguriert sein neu gestartet Diese Option funktioniert nur dann wenn das ipchains Kernel Modul nicht geladen ist Wenn die IPTABLES_SAVE_ON_RESTART Direktive der Konfigurationsdatei ete sysconfig iptables config vom Standardwert auf yes ge ndert wurde werden die augenblicklichen Regeln unter ete sysconfig iptables gespeichert und jede bestehende Regel nach etc sysconfig iptables save verschoben Werfen Sie einen Blick auf Abschnitt 2 6 4 1 Konfigurationsdatei der IPTables Kontrollskripte f r weitere Informationen zur iptables config Datei status Zeigt den Status einer Firewall an und listet alle aktiven Regeln auf Die Standardkonfiguration f r diese Option zeigt die IP Adressen in jeder Regel an Um Informationen ber Domain und Hostnamen anzuzeigen bearbeiten Sie die Datei etc sysconfig iptables config und setzen den Wert von IPTABLES_STATUS_NUMERIC auf no Werfen Sie einen Blick auf Abschnitt 2 6 4 1 Konfigurationsdatei der IPTables Kontrollskripte f r weitere Informationen zur iptables config Datei panic L scht alle Firewall Regeln Die Richtlinie aller konfigurierten Tabellen wird auf DROP gesetzt Diese Option kann n tzlich sein wenn ein Server im Verdacht steht kompromittiert worden zu sein Anstatt das System physisch vom Netzwerk zu trennen oder es herunterzufahren k nnen Sie mithilf
119. ere infizierte Rechner oft Tausende missbraucht werden um einen koordinierten Angriff auf einen Dienst durchzuf hren und diesen mit Anfragen zu berfluten Skript Angriff Wenn ein Server Skripte zum Ausf hren von serverseitigen Aufgaben verwendet wie es Webserver gew hnlich tun kann ein Cracker durch nicht sachgem erstellte Skripte einen Angriff initiieren Diese Skript Angriffe k nnen zu einem Puffer berlauf f hren oder es dem Angreifer erm glichen Dateien auf dem Server zu ndern Puffer berlauf Angriff Dienste die sich auf Ports O bis 1023 verbinden m ssen als administrativer Benutzer ausgef hrt werden Hat die Applikation einen Puffer berlauf kann ein Angreifer Zugang zum System erlangen als der Benutzer der den Daemon ausf hrt Da Puffer berl ufe existieren k nnen Cracker mit automatisierten Tools das System auf Schwachstellen pr fen Sobald diese dann Zugang zum System haben k nnen sie mithilfe automatisierter Root Kits den Zugang zum System aufrecht erhalten 38 Verf gbare Netzwerkdienste Die Bedrohung durch Schwachstellen die bei Puffer berl ufen entstehen wird in Red Hat Enterprise Linux durch ExecShield entsch rft einer ausf hrbaren Speichersegmentation und Schutztechnologie unterst tzt von x86 kompatiblen Einzelprozessor und Multiprozessor Kernels ExecShield reduziert das Risiko eines Puffer berlaufs indem virtueller Speicher in ausf hrbare und nicht ausf hrbare Segm
120. ert und bietet vollst ndige Berichterstattung Host Scanning und Schwachstellensuche in Echtzeit Denken Sie jedoch immer daran dass fehlerhafte Ergebnisse auch bei einem so leistungsstarken und h ufig aktualisierten Tool wie Nessus auftreten k nnen I Die Software f r den Nessus Client und den Nessus Server erfordert eine entsprechende Subskription Die Erw hnung in diesem Handbuch ist nur ein Hinweis f r Benutzer die eventuell an dieser beliebten Applikation interessiert sind Weitere Informationen zu Nessus finden Sie auf der offiziellen Homepage unter folgender URL http www nessus org 1 2 3 3 Nikto Nikto ist ein ausgezeichneter CGI Scanner Common Gateway Interface Nikto hat die F higkeit nicht nur CGI Schwachstellen zu suchen sondern diese auch so zu pr fen dass Intrusion Detection Systeme umgangen werden Es wird von ausgezeichneter Dokumentation begleitet die vor dem Ausf hren des Programms sorgf ltig gelesen werden sollte Wenn Sie Webserver mit CGI Skripten besitzen ist Nikto ein ausgezeichneter Scanner zum Pr fen der Sicherheit dieser Server Weitere Informationen zu Nikto finden Sie unter folgender URL http cirt net nikto2 1 2 3 4 F r Ihre zuk nftigen Bed rfnisse vorausplanen Abh ngig von Ihrem Ziel und den Ressourcen gibt es viele Tools auf dem Markt Es gibt Tools f r Wireless Netzwerke Novell Netzwerke Windows Systeme Linux Systeme und vieles mehr Ein weiterer wichtiger Teil der Anal
121. es Texts noch im Entwurfsstatus befindet und m glicherweise nicht den endg ltigen Standard bildet Der FIPS Standard bietet vier Sicherheits Level um verschiedenen Branchen Implementierungen kryptografischer Module und Unternehmensgr en und anforderungen gerecht zu werden Diese Level werden nachfolgend beschrieben e Level 1 Sicherheits Level 1 bietet das geringste Level an Sicherheit Nur einfache Sicherheitsanforderungen werden f r ein kryptografisches Modul spezifiziert z B muss mindestens ein best tigter Algorithmus oder eine best tigte Sicherheitsfunktion genutzt werden ber diese einfachen Anforderungen hinaus sind in einem kryptografischen Modul des Sicherheits Level 1 keine physischen Sicherheitsverfahren f r Produktionskomponenten erforderlich Ein Beispiel f r ein kryptografisches Modul auf Sicherheits Level 1 ist ein PC Encryption Board e Level 2 Sicherheits Level 2 verbessert die physischen Sicherheitsma nahmen eines kryptografischen Moduls des Sicherheits Level 1 durch zus tzlich notwendige Originalit tssicherung mithilfe von Siegeln oder Beschichtungen oder mithilfe von Sicherheitsschl ssern oder Abdeckungen f r das Modul Beschichtungen oder Siegel zur Originalit tssicherung werden auf einem kryptografischen Modul platziert so dass die Beschichtung oder das Siegel gebrochen werden m ssen um physischen Zugriff auf die kryptografischen Schl ssel in Klartext und auf kritische Sicherheitsparameter CSPs inne
122. eser Dienst erfordert die Installation des openssh server Pakets Telnet Telnet ist ein Protokoll zum Anmelden auf entfernen Rechnern Die Kommunikation ber Telnet ist nicht verschl sselt und bietet keinerlei Schutz gegen das Abfangen der Daten Es wird daher nicht empfohlen eingehenden Telnet Zugriff zu erlauben Um den Fernzugriff auf den Rechner ber Telnet zu erlauben markieren Sie dieses Auswahlk stchen Dieser Dienst erfordert die Installation des telnet server Pakets Mail SMTP SMTP ist ein Protokoll dass es entfernten Hosts erlaubt zum Zustellen von E Mail direkt mit Ihrem Rechner zu verbinden Sie brauchen diesen Dienst nicht zu aktivieren wenn Sie Ihre E Mails mittels POP3 oder IMAP von dem Server Ihres Internet Service Providers abrufen oder falls Sie ein Tool wie z B fetchmail verwenden Um die Zustellung von E Mail an Ihren Rechner zu erlauben markieren Sie dieses Auswahlk stchen Beachten Sie dass ein fehlerhaft konfigurierter SMTP Server es entfernten Rechnern erm glichen kann Ihren Server zum Versenden von Spam zu missbrauchen NFS4 Das Network File System NFS ist ein File Sharing Protokoll das h ufig auf NIX Systemen eingesetzt wird Version 4 dieses Protokolls ist sicherer als seine Vorl ufer Falls Sie Dateien 81 Kapitel 2 Sichern Ihres Netzwerks oder Verzeichnisse auf Ihrem System f r andere Benutzer auf dem Netzwerk freigeben m chten markieren Sie dieses Auswahlk stchen Samba S
123. etd verwaltet wird sowie die Namen der Dateien die mit dem Dienst zusammenh ngen Wie auch xinetd conf wird diese Datei nur gelesen wenn der xinetd Dienst gestartet wird Um nderungen wirksam werden zu lassen muss der Administrator den xinetd Dienst daher neu starten Die Dateien im etc xinetd d Verzeichnis verwenden dieselben Konventionen und Optionen wie etc xinetd conf Der Hauptgrund daf r dass sich diese in eigenen Konfigurationsdateien befinden ist zur einfacheren Anpassung und um Auswirkungen auf andere Dienste m glichst zu vermeiden Um einen berblick ber die Struktur dieser Dateien zu erhalten werfen Sie einen Blick auf die Datei etc xinetd d krb5 telnet service telnet flags REUSE socket_type stream wait no user root server usr kerberos sbin telnetd log_on_failure USERID disable yes Diese Zeilen kontrollieren die folgenden Aspekte des telnet Dienstes e service Definiert den Dienstnamen meist einer der in der ete services Datei aufgef hrten 68 xinetd Konfigurationsdateien e flags Legt eine beliebiege Anzahl von Parametern f r die Verbindung fest REUSE weist xinetd an den Socket f r eine Telnet Verbindung wiederzuverwenden Das REUSE Flag ist veraltet Alle Dienste verwenden jetzt implizit das REUSE Flag e socket_type Setzt den Netzwerk Sockettyp auf stream e wait Legt fest ob der Dienst einthreadig yes oder mehrthreadig no ist e us
124. etzbaren oder variablen Text hin Kursivdruck kennzeichnet Text der nicht w rtlich eingeben wird oder angezeigter Text der sich je nach gegebenen Umst nden ndert Zum Beispiel Um sich mit einer Remote Maschine via SSH zu verbinden geben Sie an einem Shell Prompt ssh username domain name ein Falls die Remote Maschine example com ist und Ihr Benutzername auf dieser Maschine John lautet geben Sie also ssh john example com ein Der Befehl mount o remount file system h ngt das angegebene Dateisystem wieder ein Um beispielsweise das home Dateisystem wieder einzuh ngen verwenden Sie den Befehl mount o remount home Um die Version des derzeit installierten Pakets zu sehen verwenden Sie den Befehl rpm q package Die Ausgabe sieht wie folgt aus package version release Achten Sie auf die oben aufgef hrten W rter die fett und kursiv gedruckt sind username domain name file system package version und release Jedes Wort ist ein Platzhalter entweder f r einen Text den Sie eingeben wenn Sie einen Befehl ausf hren oder f r Text der durch das System angezeigt wird Neben der Standardbenutzung f r die Darstellung des Titels eines Werks zeigt der Kursivdruck auch die erstmalige Nutzung eines neuen und wichtigen Begriffs an Zum Beispiel Publican ist ein DocBook Publishing System 1 2 Konventionen f r Seitenansprachen engl pull quotes Ausgaben des Terminals und Ausz ge aus dem Quellcode werden visuell vom umli
125. etzung mit SELinux geht ber den Rahmen dieses Handbuchs hinaus Werfen Sie f r mehr Informationen ber SELinux und dessen Anwendung in Red Hat Enterprise Linux bitte einen Blick auf das Red Hat Enterprise Linux SELinux Benutzerhandbuch Weitere Informationen ber das Konfigurieren und Ausf hren von Diensten die durch SELinux gesichert sind finden Sie im SELinux Handbuch zur Verwaltung eingeschr nkter Dienste Andere verf gbare Quellen f r SELinux finden Sie unter Kapitel 8 Weitere Informationsquellen 1 1 3 Sicherheitskontrollen Computersicherheit wird h ufig in drei verschiedene Hauptkategorien eingeteilt die allgemein als Kontrollen bezeichnet werden e Physische Kontrolle e Technische Kontrolle e Administrative Kontrolle Diese drei Kategorien definieren die Hauptziele einer ordnungsgem en Sicherheitsimplementierung Innerhalb dieser Kontrollen befinden sich Unterkategorien die deren Implementierung n her definieren 1 1 3 1 Physische Kontrolle Die physische Kontrolle ist die Implementierung von Sicherheitsma nahmen in einer festgelegten Struktur die unbefugten Zugriff auf sensible Daten verhindert Beispiele f r physische Zugangskontrollen e berwachungskameras Bewegungs oder W rmemelder Sicherheitspersonal e Ausweise Verriegelte Stahlt ren Biometrie z B Erkennung von Fingerabdr cken Stimme Gesicht Iris Handschrift oder andere automatisierte Methoden um die Identit t von Personen na
126. etzwerk WAN aus bestehenden Local Area Netzwerken LANs Der Unterschied zum Frame Relay oder ATM ist das Transportmedium VPNs bertragen via IP Datagrammen und sorgen somit f r eine sichere bertragung ber das Internet zum Bestimmungsort Die meisten frei verf gbaren VPN Implementierungen verwenden offene Standards als Verschl sselungsmethode um die Daten w hrend der bertragung weiter zu maskieren Einige Unternehmen setzen VPN Hardware L sungen ein um die Sicherheit zu erh hen w hrend andere Software oder Protokoll basierte Implementierungen verwenden Es gibt mehrere Hersteller f r Hardware VPN L sungen wie z B Cisco Nortel IBM und Checkpoint Es gibt eine kostenlose Software basierte VPN L sung f r Linux namens FreeS Wan die eine standardisierte IPSec Internet Protocol Security Implementierung verwendet Diese VPN L sungen egal ob Hardware oder Software basiert verhalten sich wie spezielle Router die sich zwischen der IP Verbindung von einem B ro zum anderen befinden 2 4 1 Funktionsweise eines VPNs Wenn ein Paket von einem Client verschickt wird wird es durch den VPN Router oder Gateway gesendet Dieser f gt ein Authentication Header AH f r das Routing und zur Authentifizierung hinzu Die Daten werden dann verschl sselt und schlie lich in ein Encapsulating Security Payload ESP Paket eingeschlossen Letzteres enth lt die Verschl sselung und Anweisungen zur Verarbeitung Der empfangende VPN Ro
127. f zu ALL 3ffe 505 2 1 64 Ein Sternchen Sternchen k nnen f r komplette Gruppen von Host Namen oder IP Adressen verwendet werden solange diese nicht in einer Client Liste verwendet werden die bereits andere Arten von Muster verwendet Das folgende Beispiel trifft auf alle Hosts in der example com Domain zu ALL example com Der Schr gstrich Wenn die Client Liste mit einem Schr gstrich beginnt wird diese als Dateiname behandelt Dies ist n tzlich wenn Regeln ben tigt werden die eine gro e Anzahl von Hosts angeben Das folgende Beispiel verweist TCP Wrapper auf die etc telnet hosts Datei f r alle Telnet Verbindungen in telnetd etc telnet hosts Es gibt noch weitere weniger h ufig verwendete Muster die ebenfalls von TCP Wrappern akzeptiert werden Weitere Informationen finden Sie auf der hosts_access 5 Handbuchseite Warnung Seien Sie sehr vorsichtig bei der Verwendung von Host und Domain Namen Ein Angreifer kann verschiedene Tricks anwenden um die richtige Namensaufl sung zu umgehen Zudem hindert ein Ausfall des DNS Dienstes sogar berechtigte Benutzer an der Verwendung von Netzwerkdiensten Es sollten daher wann immer m glich IP Adressen verwendet werden 2 3 2 1 3 Portmap und TCP Wrappers Portmaps Implementierung von TCP Wrappern unterst tzt keine Namensaufl sung was bedeutet dass por tmap keine Host Namen zur Identifizierung von Hosts verwenden kann Daher m ssen Regeln f
128. fangen dieser Daten riskiert Hier kann ein sorgf ltiges Design des Netzwerks schwerwiegende Sicherheitsbr che verhindern 2 2 3 2 Verwenden Sie passwort hnliche NIS Domain Namen und Hostnamen Jede Maschine innerhalb einer NIS Domain kann ber bestimmte Befehle ohne Authentifizierung Informationen von einem Server abrufen wenn der Benutzer den DNS Hostnamen und den NIS Domain Namen des NIS Servers kennt Wenn sich zum Beispiel jemand mit einem Laptop mit dem Netzwerk verbindet oder von au en ins Netzwerk eindringt und es schafft eine interne IP Adresse vorzut uschen enth llt der folgende Befehl die etc passwd Map ypcat d lt NIS_domain gt h lt DNS_hostname gt passwd Ist der Angreifer ein Root Benutzer kann dieser die Datei etc shadow durch folgenden Befehl einsehen ypcat d lt NIS_domain gt h lt DNS_hostname gt shadow 48 Sichern von NIS Wenn Kerberos verwendet wird wird die Datei etc shadow nicht innerhalb einer NIS Map gespeichert Um den Zugang zu NIS Maps f r einen Angreifer zu erschweren erstellen Sie einen zuf lligen String f r den DNS Hostnamen wie zum Beispiel 07hfawtgmhwg domain com Erstellen Sie auf die gleiche Weise einen anderen zufallsgenerierten NIS Domain Namen Hierdurch wird es einem Angreifer erheblich erschwert Zugang zum NIS Server zu erlangen 2 2 3 3 Bearbeiten Sie die Datei var yp securenets NIS horcht auf alle Netzwerke wenn die Datei var yp sec
129. fehl durchgef hrt werden Kernel Pakete ausgenommen rpm Uvh tmp updates rpm F r Kernel Pakete sollten Sie den folgenden Befehl verwenden rpm ivh tmp updates lt kernel package gt Ersetzen Sie lt kernel package gt im obigen Beispiel durch den Namen des Kernel RPM Nachdem der Rechner unter Verwendung des neuen Kernels sicher neu gestartet ist kann der alte Kernel mit dem folgenden Befehl entfernt werden rpm e lt old kernel package gt Ersetzen Sie lt old kernel package gt im obigen Beispiel durch den Namen des lteren Kernel RPM I Es ist nicht unbedingt erforderlich dass der alte Kernel entfernt wird Der standardm ige Bootloader GRUB erlaubt mehrere installierte Kernel aus denen dann w hrend des Boot Vorgangs im Men einer ausgew hlt werden kann 9 Wichtig TU _ Vergewissern Sie sich dass Sie vor der Installation von Sicherheits Errata jegliche speziellen Anweisungen in der Errata Meldung lesen und diese entsprechend befolgen Siehe Abschnitt 1 5 4 Anwenden der nderungen f r allgemeine Anweisungen zum Anwenden von nderungen durch ein Errata Update 1 5 4 Anwenden der nderungen Nachdem Sie die Sicherheits Errata und Aktualisierungen heruntergeladen und installiert haben ist es wichtig die ltere Software nicht mehr einzusetzen sondern stattdessen die neue Software zu verwenden Die Vorgehensweise h ngt von der Art der Software ab die aktualisiert wurde Die folgende Liste ste
130. fen welche Netzwerkdienste zum Bootzeitpunkt verf gbar sind ist jedoch nicht genug Sie sollten auch pr fen welche Ports offen sind und horchen Weitere Informationen zu diesem Thema finden Sie unter Abschnitt 2 2 8 berpr fen der horchenden Ports 2 1 5 3 Unsichere Dienste Jeder Netzwerkdienst ist potenziell unsicher Aus diesem Grund ist es wichtig nicht ben tigte Dienste zu deaktivieren Zudem werden regelm ig neue Schwachstellen in Diensten gefunden und gepatcht weshalb es ebenfalls enorm wichtig ist die Pakete f r Netzwerkdienste immer auf dem neuesten Stand zu halten Weitere Informationen hierzu finden Sie unter Abschnitt 1 5 Sicherheitsaktualisierungen Einige Netzwerkprotokolle sind von Natur aus unsicherer als andere Dazu geh ren insbesondere Dienste mit folgenden Merkmalen e Unverschl sselte bertragung von Benutzernamen und Passw rtern ber ein Netzwerk Viele ltere Protokolle wie beispielsweise Telnet und FTP verschl sseln die Authentifizierung nicht und sollten m glichst deaktiviert werden e Unverschl sselte bertragung von sensiblen Daten ber ein Netzwerk Viele Protokolle bertragen Daten unverschl sselt ber das Netzwerk Zu diesen Protokollen geh rt unter anderem Telnet FTP HTTP und SMTP Viele Netzwerkdateisysteme wie z B NFS und SMB bertragen ebenfalls Informationen unverschl sselt ber das Netzwerk Es liegt in der Verantwortung des Benutzers einzuschr nken we
131. ft Hybrid Kryptosysteme 11 genannt A 2 1 Diffie Hellman Der Diffie Hellman Schl sselaustausch D H ist ein kryptografisches Protokoll mit dem zwei Kommunikationspartner die sich vorher nicht kennen ber einen unsicheren Kommunikationskanal zusammen einen geheimen gemeinsam genutzten Schl ssel erzeugen k nnen Dieser Schl ssel wird anschlie end verwendet um Nachrichten mittels einer symmetrischen Chiffre zu verschl sseln A 2 1 1 Geschichte von Diffie Hellman Das Schema wurde zum ersten Mal in 1976 von Whitfield Diffie und Martin Hellman ver ffentlicht obwohl sp ter bekannt wurde dass es unabh ngig davon bereits einige Jahre zuvor innerhalb des britischen Government Communications Headquarters GCHQ von Malcolm J Williamson erfunden wurde jedoch unter Verschluss gehalten wurde Im Jahre 2002 schlug Hellman vor den Algorithmus Diffie Hellman Merkle Schl sselaustausch zu nennen um den Beitrag von Ralph Merkle zur Erfindung der asymmetrischen Kryptografie zu w rdigen Hellman 2002 Obwohl die Diffie Hellman Schl sselvereinbarung selbst ein anonymes nicht authentifiziertes Schl sselvereinbarungsprotokoll ist bildet es die Grundlage f r eine Vielzahl an authentifizierten Protokollen und wird eingesetzt um perfekte Weiterleitungssicherheit in den Transport Layer Security Modi EDH bzw DHE zu bieten Das U S Patent 4 200 770 mittlerweile abgelaufen beschreibt den Algorithmus und nennt Hellman Diffie und Me
132. g e Machen Sie das Passwort komplexer indem Sie Buchstaben durch Zahlen und Sonderzeichen austauschen Ersetzen Sie zum Beispiel t durch 7 und a durch das at Symbol 07r 77w 7ghwg e Machen Sie es noch komplexer indem Sie mindestens einen Buchstaben gro schreiben zum Beispiel H 07r 77w 79Hwg Und bitte verwenden Sie nicht unser Beispielpasswort f r Ihre Systeme Das Erstellen sicherer Passw rter ist von gr ter Wichtigkeit genauso wichtig ist jedoch die richtige Verwaltung der Passw rter insbesondere f r Systemadministratoren in gr eren Unternehmen Im n chsten Abschnitt werden Verfahren f r das Erstellen und Verwalten von Benutzerpassw rtern innerhalb eines Unternehmens beschrieben 2 1 3 2 Erstellen von Benutzerpassw rtern innerhalb eines Unternehmens Wenn es eine gro e Anzahl von Benutzern in einem Unternehmen gibt haben Systemadministratoren zwei grundlegende M glichkeiten um die Verwendung sicherer Passw rter zu erzwingen Sie k nnen entweder selbst Passw rter f r die Benutzer erstellen oder aber Benutzer ihre eigenen Passw rter erstellen lassen und dabei deren Qualit t berpr fen Das Erstellen der Passw rter f r den Benutzer stellt sicher dass die Passw rter sicher sind kann aber schnell zu einer ausufernden Arbeit werden wenn das Unternehmen w chst Au erdem erh ht dies das Risiko dass die Benutzer ihre Passw rter aufschreiben 28 Passwortsicherheit Aus diesen
133. g aktiviert seien Sie also vorsichtig wenn Sie symbolische Links zum Document Root des Webservers erstellen Es ist zum Beispiel keine gute Idee einen symbolischen Link zu anzugeben Indexes Diese Direktive ist standardm ig aktiviert ist jedoch unter Umst nden nicht w nschenswert Wenn Sie nicht m chten dass Benutzer Dateien auf dem Server durchsuchen ist es sinnvoll diese Direktive zu entfernen UserDir Die UserDir Direktive ist standardm ig deaktiviert da sie das Vorhandensein eines Benutzer Accounts im System best tigen kann Wenn Sie das Durchsuchen von Verzeichnissen auf dem Server durch Benutzer erlauben m chten sollten Sie die folgenden Direktiven verwenden UserDir enabled UserDir disabled root Diese Direktiven aktivieren das Durchsuchen von Verzeichnissen f r alle Benutzerverzeichnisse au er root Wenn Sie Benutzer zu der Liste deaktivierter Accounts hinzuf gen m chten k nnen Sie eine durch Leerstellen getrennte Liste der Benutzer in die Zeile UserDir disabled einf gen Pr Wichtig U Entfernen Sie nicht die IncludesNoExec Direktive Standardm ig kann das Modul Server Side Includes SSI keine Befehle ausf hren Es wird davon abgeraten diese Einstellungen zu ndern au er wenn unbedingt notwendig da dies einem Angreifer erm glichen k nnte Befehle auf dem System auszuf hren 2 2 6 Sichern von FTP Das File Transport Protocol FTP ist ein lteres TCP Protokoll das zum bertragen von Dat
134. g mit jedem Netzwerkprotokoll verwenden selbst wenn das Protokoll selbst zustandslos ist wie z B UDP Das folgende Beispiel zeigt eine Regel die mithilfe der dynamischen Paketfilterung nur solche Pakete weiterleitet die mit einer bereits bestehenden Verbindung zusammenh ngen root myServer iptables A FORWARD m state state ESTABLISHED RELATED j ACCEPT 2 5 8 IPv6 Die Einf hrung des Internet Protokolls der n chsten Generation IPv6 genannt erweitert die M glichkeiten des 32 Bit Adressenlimits von IPv4 oder IP IPv6 unterst tzt 128 Bit Adressen weshalb IPv6 kompatible Tr gernetzwerke eine gr ere Anzahl routbarer Adressen ansprechen k nnen als mit IPv4 Red Hat Enterprise Linux unterst tzt die IPv6 Firewall Regeln unter Verwendung des Netfilter 6 Subsystems und des ip6tables Befehls In Red Hat Enterprise Linux 6 sind sowohl IPv4 als auch IPv6 Dienste standardm ig aktiviert Die ip6tables Befehlssyntax ist identisch mit iptables mit Ausnahme der Tatsache dass es 128 Bit Adressen unterst tzt F hren Sie beispielsweise den folgenden Befehl aus um SSH Verbindungen auf einem IPv6 kompatiblen Netzwerkserver zu aktivieren 89 Kapitel 2 Sichern Ihres Netzwerks root myServer ip6tables A INPUT i eth p tcp s 3ffe ffff 100 1 128 dport 22 j ACCEPT F r mehr Information ber IPv6 Networking werfen Sie bitte einen Blick auf die IPv6 Informationsseite unter http www ipv6 org 2 5
135. g wird verwenden Sie den Wert 99999 nach der Option M dies entspricht etwas mehr als 273 Jahren Sie k nnen den Befehl chage auch im interaktiven Modus verwenden um mehrere Details der Passwortalterung und des Benutzerkontos zu ndern Verwenden Sie folgenden Befehl f r den interaktiven Modus chage lt username gt Nachfolgend sehen Sie eine interaktive Beispielsession mit diesem Befehl root myServer chage davido Changing the aging information for davido Enter the new value or press ENTER for the default Minimum Password Age 0 10 Maximum Password Age 99999 90 Last Password Change YYYY MM DD 2006 08 18 Password Expiration Warning 7 Password Inactive 1 Account Expiration Date YYYY MM DD 1969 12 31 root myServer Werfen Sie einen Blick auf die Handbuchseite f r weitere Informationen ber verf gbare Optionen Sie k nnen auch die grafische Applikation zur Benutzerverwaltung nutzen um wie nachfolgend beschrieben Richtlinien zur Passwortalterung festzulegen Beachten Sie dass Sie zur Durchf hrung dieses Verfahrens ber Administratorrechte verf gen m ssen 1 Klicken Sie im System Men auf der oberen Men leiste auf Administration und anschlie end auf Benutzer und Gruppen um die Benutzerverwaltung anzuzeigen Alternativ k nnen Sie dazu auch den Befehl system config users an einem Shell Prompt eingeben 2 Klicken Sie auf den Benutzer Reiter und w hlen Sie den gew nschten Benutzer au
136. hend sind die Sicherheitsrichtlinien in den meisten Unternehmen nach wie vor so konfiguriert externe Eindringlinge fernzuhalten Es wird nur sehr wenig f r die interne Sicherung des Unternehmens getan z B Firewalls f r Abteilungen Zugangskontrollen auf Benutzerebene Authentifizierungsvorg nge f r interne Ressourcen und so weiter blicherweise gibt es wesentlich mehr Ressourcen wenn man sich intern umschaut da die meisten Systeme in einem Unternehmen intern sind Sobald Sie sich einmal au erhalb eines Unternehmens befinden erhalten Sie sofort Definition von Analyse und Test den Status nicht vertrauensw rdig Die extern zug nglichen Systeme und Ressourcen sind f r gew hnlich wesentlich st rker eingeschr nkt Beachten Sie die Unterschiede zwischen Schwachstellenanalyse und Penetration Test Sehen Sie die Schwachstellenanalyse als ersten Schritt zu einem Penetration Test an Die Informationen aus der Schwachstellenanalyse werden im Test angewendet Mit der Analyse wird nach L cken und m glichen Schwachstellen im System gesucht w hrend der Penetration Test die Ergebnisse in die Tat umsetzt Die Einsch tzung der Netzwerkinfrastruktur ist ein dynamischer Prozess Sowohl Informationssicherheit als auch physische Sicherheit ist dynamisch Das Durchf hren der Analyse gibt einen berblick kann jedoch auch falsche Ergebnisse liefern Sicherheitsadministratoren sind nur so gut wie die Tools die diese benutzen und das W
137. herheit Eine stetig wachsende Zahl von Nutzern verwenden ihre eigenen Computer f r den Zugriff auf Ressourcen die das Internet zu bieten hat Von Recherchen und Informationssuche bis hin zu E Mail und Handelstransaktionen das Internet gilt als eine der bedeutendsten Entwicklungen des 20 Jahrhunderts Das Internet und seine fr heren Protokolle wurden jedoch als ein System auf Vertrauensbasis entwickelt Mit anderen Worten das Internetprotokoll IP war von vornherein nicht als sicher ausgelegt Es sind keine anerkannten Sicherheitsstandards im TCP IP Kommunikationsstapel integriert was eine Angriffsfl che f r potenziell b swillige Benutzer und Prozesse im gesamten Netzwerk bildet Moderne Entwicklungen haben die Kommunikation ber das Internet zwar sicherer gemacht allerdings kommt es immer wieder zu Vorf llen die Aufsehen erregen und uns bewusst machen dass nichts hundertprozentig sicher ist 1 1 1 2 Heutige Sicherheit Im Februar 2000 wurde ein Distributed Denial of Service DDoS Angriff auf einige der am h ufigsten besuchten Internetsites ausgef hrt Durch diesen Angriff waren yahoo com cnn com amazon com fbi gov und einige andere Sites f r normale Benutzer unerreichbar da Router mit stundenlangen riesigen ICMP Paket bertragungen auch Ping Flood genannt berlastet waren Diese Attacke wurde von unbekannten Angreifern gestartet die speziell daf r erstellte einfach erh ltliche Programme verwendeten die angreifbar
138. hinweg persistent Um das IP Forwarding dauerhaft zu aktivieren bearbeiten Sie die etc sysctl conf Datei wie folgt Suchen Sie die folgende Zeile net ipv4 ip_forward Bearbeiten Sie sie wie folgt net ipv4 ip_forward 1 Verwenden Sie den folgenden Befehl um die nderung an der sysctl conf Datei zu aktivieren root myServer sysctl p etc sysctl conf 86 FORWARD und NAT Regeln 2 5 5 1 Postrouting und IP Masquerading Indem weitergeleitete Pakete ber das interne IP Ger t der Firewall akzeptiert werden wird LAN Knoten zwar die Kommunikation untereinander erm glicht Allerdings k nnen sie nach wie vor nicht extern mit dem Internet kommunizieren Um LAN Knoten mit privaten IP Adressen die Kommunikation mit externen ffentlichen Netzwerken zu erm glichen konfigurieren Sie die Firewall f r IP Masquerading Dies maskiert Anfragen der LAN Knoten mit der IP Adresse des externen Ger ts der Firewall in diesem Fall ethO root myServer iptables t nat A POSTROUTING o eth j MASQUERADE Diese Regel nutzt die NAT Tabelle t nat und spezifiziert die integrierte POSTROUTING Kette f r NAT A POSTROUTING auf dem externen Netzwerkger t der Firewall o eth0 POSTROUTING erm glicht die Ver nderung von Paketen wenn diese das externe Ger t der Firewall verlassen Das Ziel j MASQUERADE wird spezifiziert um die private IP Adresse eines Knotens mit der externen IP Adresse der Firewall bzw des G
139. hode f r alle mehrthreadigen Stream Dienste log_on_failure und log_on_success Eine vollst ndige Liste der Protokolloptionen finden Sie auf der xinetd conf Handbuchseite 69 Kapitel 2 Sichern Ihres Netzwerks 2 3 4 3 2 Zugriffskontroll Optionen Benutzer von xinetd Diensten k nnen w hlen ob sie die Host Zugriffskontrolldateien der TCP Wrapper Zugriffskontrolle mittels der xinetd Konfigurationsdateien oder eine Kombination aus beidem verwenden wollen Informationen zum Gebrauch von Host Zugriffskontrolldateien der TCP Wrapper finden Sie in Abschnitt 2 3 2 TCP Wrapper Konfigurationsdateien In diesem Abschnitt wird der Einsatz von xinetd f r die Kontrolle von Zugriffen auf bestimmte Dienste behandelt Im Gegensatz zu TCP Wrappern muss der xinetd Administrator nach jeder nderung den xinetd Dienst neu starten damit diese wirksam werden Ebenfalls im Gegensatz zu TCP Wrappern betrifft die Zugriffskontrolle durch xinetd lediglich die Dienste die durch xinetd kontrolliert werden Die xinetd Host Zugriffskontrolle unterscheidet sich von der von TCP Wrappern verwendeten Methode W hrend TCP Wrapper die gesamte Zugriffskonfiguration in zwei Dateien ablegt etc hosts allow und etc hosts deny befindet sich die xinetd Zugriffskontrolle in den jeweiligen Dienstkonfigurationsdateien im etc xinetd d Verzeichnis Die folgenden Optionen werden von xinetd f r die Host Zugriffskontrolle unterst tzt only_from Erl
140. hren Sie den folgenden Befehl aus um die Geschwindigkeit zu berpr fen openssl speed aes 128 cbc F hren Sie einen Befehl wie den folgenden aus um die Geschwindigkeit von OpenSSH zu berpr fen dd if dev zero count 100 bs 1M ssh c aes128 cbc localhost cat gt dev null Mehr Informationen ber die VIA PadLock Engine finden Sie unter den folgenden URLs http www logix cz michal devel padlock und http www via com tw en initiatives padlock 3 8 LUKS Festplattenverschl sselung Linux Unified Key Setup on disk format kurz LUKS erm glicht Ihnen die Verschl sselung von Partitionen auf Ihrem Linux Rechner Dies ist besonders wichtig bei mobilen Rechnern und Wechseldatentr gern LUKS erlaubt multiple Benutzerschl ssel zur Verschl sselung eines Master Schl ssels der zur gesamten Verschl sselung der Partition genutzt wird 109 Kapitel 3 Verschl sselung 3 8 1 LUKS Implementierung in Red Hat Enterprise Linux Red Hat Enterprise Linux 6 setzt LUKS zur Dateisystemverschl sselung ein Standardm ig ist die Option zur Verschl sselung der Dateisysteme bei der Installation nicht ausgew hlt Falls Sie die Option zur Festplattenverschl sselung ausw hlen werden Sie zur Eingabe einer Passphrase aufgefordert die dann bei jedem Hochfahren Ihres Rechners abgefragt wird Diese Passphrase entschl sselt dann den Schl ssel der zur gesamten Verschl sselung der Partition verwendet wurde Falls Sie die standardm
141. hres Netzwerks iptables A INPUT p ALL s 192 168 0 0 24 dport 835 j DROP Dies bedeutet dass der Server nur Verbindungen zu den Ports 834 und 835 zul sst wenn die Anfrage aus dem 192 168 0 0 24 Netzwerk kommt unabh ngig vom Protokoll I Siehe auch Abschnitt 2 5 Firewalls f r weitere Informationen zum Einrichten von Firewalls mit dem IPTables Befehl 2 2 3 5 Verwenden Sie Kerberos Authentifizierung Einer der gr ten M ngel beim Verwenden von NIS f r Authentifizierung ist dass ein Passwort Hash der etc shadow Map ber das Netzwerk verschickt wird sobald sich ein Benutzer an einem Computer anmeldet Wenn ein Angreifer Zugang zu einer NIS Domain erh lt und Datenverkehr ber das Netzwerk abf ngt k nnen somit Benutzernamen und Passwort Hashes unbemerkt gesammelt werden Mit gen gend Zeit kann dann ein Programm zum Knacken von Passw rtern schwache Passw rter ermitteln wodurch ein Angreifer auf einen g ltigen Account im Netzwerk zugreifen kann Da Kerberos Verschl sselungen mit geheimen Schl sseln einsetzt werden niemals Passwort Hashes ber das Netzwerk versandt was das System erheblich sicherer macht Siehe Managing Single Sign On and Smart Cards f r weitere Informationen ber Kerberos 2 2 4 Sichern von NFS FI Wichtig TU __ Die Version von NFS die Bestandteil von Red Hat Enterprise Linux 6 ist NFSv4 ben tigt nicht l nger den portmap Dienst wie im Abschnitt 2 2 2 Sichern von Portm
142. hstellenanalyse zu entwickeln Es gibt zur Zeit leider keine vordefinierte oder industrieweit bew hrte Methodik jedoch reichen meistens gesunder Menschenverstand und empfohlene Verfahren als Leitfaden aus Was ist das Ziel Betrachten wir nur einen Server oder das gesamte Netzwerk und alles innerhalb des Netzwerks Betrachten wir das Unternehmen intern oder extern Die Antworten auf diese Fragen sind wichtig da diese Ihnen bei der Entscheidung ber die richtigen Tools und deren Einsatz helfen Weitere Informationen zur Entwicklung von Methodiken finden Sie auf den folgenden Websites Kapitel 1 berblick ber Sicherheit htto www isecom org osstmm The Open Source Security Testing Methodology Manual OSSTMM htto www owasp org The Open Web Application Security Project 1 2 3 Bewerten der Tools Eine typische Analyse beginnt mit dem Einsatz eines Tools f r das Sammeln von Informationen Bei der Analyse des gesamten Netzwerks sollten Sie zuerst das Layout festlegen um aktive Hosts zu identifizieren Sobald diese gefunden wurden sollten Sie jeden Host einzeln untersuchen Das Untersuchen dieser Hosts bedarf weiterer Tools Das Wissen welche Tools f r was verwendet werden ist der wohl bedeutendste Schritt beim Aufdecken von Schwachstellen Wie in jedem Bereich des t glichen Lebens gibt es viele verschiedene Tools die die gleiche Arbeit verrichten Dies trifft auch auf Schwachstellenanalysen zu Es gibt Tools die speziel
143. ht nur W rter oder Zahlen Sie sollten f r ein Passwort nicht ausschlie lich W rter oder ausschlie lich Zahlen verwenden Hier einige Beispiele f r unsichere Passw rter e 8675309 e juan e hackme e Verwenden Sie keine erkennbaren W rter W rter wie Namen im W rterbuch stehende W rter oder Begriffe aus Fernsehsendungen oder Romanen sollten vermieden werden auch wenn diese am Ende mit Zahlen versehen werden Hier einige Beispiele f r unsichere Passw rter e john1 e DS 9 e mentat123 Verwenden Sie keine W rter in anderen Sprachen Programme zum Knacken von Passw rtern pr fen oft anhand von Wortlisten die W rterb cher in anderen Sprachen umfassen Sich f r sichere Passw rter auf Fremdsprachen zu verlassen ist daher h ufig wenig hilfreich Hier einige Beispiele f r unsichere Passw rter e cheguevara e bienvenido1 26 Passwortsicherheit e 1dummkopf Verwenden Sie keine Hacker Begriffe Glauben Sie nicht dass Sie auf der sicheren Seite sind wenn Sie Hacker Begriffe auch 1337 LEET genannt f r Ihre Passw rter verwenden Viele Wortlisten enthalten LEET Begriffe Hier einige Beispiele f r unsichere Passw rter e H4X0R e 1337 Verwenden Sie keine pers nlichen Informationen Vermeiden Sie die Verwendung von pers nlichen Informationen in Ihren Passw rtern Wenn der Angreifer Sie kennt kann er Ihr Passwort leichter herausfinden Sehen Sie nachfolgend eine Liste mit z
144. icherheit 2 2 ea een par ran dee rare 1 1 1 1 Definition von Computersicherheit 44444nsssssnnnnnnnnnnnne nen nennen 1 Kpa BAAB a a TS are T E A E A E A EA E 3 1 1 3 S cherheitsk ntrto llen 222 2222 Ha HER ER 4 L BY Bl 2r VA BOFBERREPRERFERTRFENERREFRECEFFERFFERRNETFEENEHERTEECHREFFETERFERFERERFEFRETEERERTERBERFEFFETEFFERFERRRTEFFECHERHRR 5 1 2 Schwachstellenanalyse 44444404444HBnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnan nennen 5 12 1 Denken wie der Feind 2er rinnen 5 1 2 2 Definition von Analyse und Test ussssssssnnnnnnnnnnennnnnnnnnnnnnen nam nnnnnnnnan 6 1 2 3 Bewerten def TOO 4 nannte 8 1 3 Angreifer und Schwachstellen 44444nssssennnnnnnnnnnnen anne nnnnnnnnnnnnnenrnnnnnnn 10 1 3 1 Ein kurzer geschichtlicher berblick ber Hacker nnennn 10 1 3 2 Bedrohungen der Netzwerksicherheit 444ss4444400nnnnnnnnennnn nennen 11 1 3 3 Bedrohungen der Serversicherheit 4444444B4snnennnnnnnnnnnnnennnn nennen 11 1 3 4 Bedrohungen der Arbeitsplatzrechner und Heim PC Sicherheit 13 1 4 H ufige Sicherheitsl cken und Angriffe s4sssnnnnnennnnnnnsnnnnnnennnnnnnnnnnnnnnnnnnn 14 1 5 Sicherheitsaktualisierungen 444444sn44nnonnnnnnnnnn namen nnnnnnnnnnnnnnnnnnnnannn nenn san 17 1 5 1 Aktualisieren von Paketen
145. icht bereits unethisch ist 10 Bedrohungen der Netzwerksicherheit Unabh ngig von der Absicht des Eindringlings ist es wichtig die Schwachstellen zu kennen die ein Cracker am ehesten versucht auszunutzen Das restliche Kapitel behandelt diese Thematik 1 3 2 Bedrohungen der Netzwerksicherheit Unzureichende Methoden bei der Konfiguration einiger Netzwerkaspekte kann das Risiko eines Angriffs erheblich erh hen 1 3 2 1 Unsichere Architekturen Ein fehlerhaft konfiguriertes Netzwerk ist ein Hauptangriffspunkt f r unbefugte Benutzer Ein offenes lokales Netzwerk ungesch tzt dem h chst unsicheren Internet auszusetzen ist vergleichbar damit Ihre Haust r in einem unsicheren Stadtteil offen zu lassen f r eine Weile mag nichts passieren aber irgendwann wird sich jemand die Gelegenheit zu Nutze machen 1 3 2 1 1 Broadcast Netzwerke Systemadiministratoren untersch tzen oftmals die Bedeutung der Netzwerk Hardware in ihren Sicherheitssystemen Einfache Hardware wie z B Hubs und Router arbeiten nach dem Broadcast oder ungeschaltetem Prinzip d h wenn ein Knoten Daten ber ein Netzwerk bertr gt sendet der Hub oder der Router die Datenpakete solange bis der Empf ngerknoten die Daten empfangen und verarbeitet hat Diese Methode ist am anf lligsten f r ARP Address Resolution Protocol oder MAC Media Access Control Adress Spoofing sowohl durch Angreifer von au en als auch durch unbefugte Benutzer auf lokalen Hosts
146. ie Prozess Identifikationsnummer zu finden in der zweiten Spalte des ps Befehls der fraglichen IMAP SIitzung Um alle aktiven IMAP Sitzungen zu beenden geben Sie den folgenden Befehl ein killall imapd 21 22 Sichern Ihres Netzwerks 2 1 Sicherheit eines Arbeitsplatzrechners Die Sicherung einer Linux Umgebung beginnt beim Arbeitsplatzrechner Ungeachtet dessen ob Sie Ihren pers nlichen Rechner oder ein Firmensystem sichern beginnt eine vern nftige Sicherheitsrichtlinie mit dem einzelnen Computer Im Endeffekt ist ein Computernetzwerk nur so sicher wie das schw chste Glied 2 1 1 Beurteilung der Arbeitsplatzrechner Sicherheit Wenn Sie die Sicherheit eines Red Hat Enterprise Linux Arbeitsplatzrechners auswerten sollten Sie Folgendes beachten BIOS und Bootloader Sicherheit Kann ein unbefugter Benutzer physisch auf den Rechner zugreifen und in den Einzelbenutzer oder Rettungsmodus booten ohne dass nach einem Passwort gefragt wird Passwortsicherheit Wie sicher sind die Passw rter f r die Benutzeraccounts auf dem Rechner Administrative Kontrolle Wer hat alles einen Account auf dem System und wie viel administrative Kontrolle wird diesen Accounts gew hrt Verf gbare Netzwerkdienste Welche Dienste horchen auf dem Netzwerk auf Anfragen und sollten diese berhaupt aktiv sein Pers nliche Firewalls Welche Art von Firewall wenn berhaupt ist n tig Kommunikationstools mit erwe
147. iebt ist wie andere Serversoftware Entwickler und Systemadministratoren finden h ufig Schwachstellen in Serverapplikationen und ver ffentlichen diese Informationen auf Bug Tracking Websites und anderen sicherheitsbezogenen Websites wie die Bugtrag Mailingliste http www securityfocus com oder die Website des Computer Emergency Response Team CERT http www cert org Auch wenn diese Mechanismen eine effektive Methode zur Warnung der Community vor Sicherheitsproblemen darstellt liegt es letztendlich an den Systemadministratoren ihre Systeme sofort mit einem Patch zu versehen Dies ist insbesondere wichtig da auch Cracker Zugang zu denselben Tracking Diensten haben und diese Informationen ausnutzen um nicht gepatchte Systeme anzugreifen Eine gute Systemadministration verlangt Wachsamkeit andauerndes Bug Tracking und vern nftige Systemwartung f r eine sichere Rechenumgebung Weitere Informationen dazu wie Sie ein System immer auf dem aktuellsten Stand halten k nnen finden Sie unter Abschnitt 1 5 Sicherheitsaktualisierungen 1 3 3 3 Unaufmerksame Administration Administratoren die ihre Systeme nicht mit den neuesten Patches versehen stellen eine der gr ten Bedrohungen f r die Serversicherheit dar Nach Angaben des SysAdmin Audit Network Security Institute SANS liegt der Hauptgrund f r Computersicherheitsprobleme darin unqualifizierte Mitarbeiter mit der Wartung der Sicherheit zu betrauen ohne ihnen richtiges Tr
148. ierten Schl ssel f r die RPM Verifikation anzuzeigen f hren Sie folgenden Befehl aus rpm qa gpg pubkey Die Ausgabe sollte etwa folgenderma en aussehen gpg pubkey db42a60e 37ea5438 Um Details ber einen bestimmten Schl ssel anzuzeigen verwenden Sie den Befehl rpm qi gefolgt von der Ausgabe des vorherigen Befehls in diesem Beispiel also rpm qi gpg pubkey db42a60e 37ea5438 Es ist von gr ter Wichtigkeit dass Sie die Signatur der RPM Dateien verifizieren bevor Sie diese installieren Dieser Schritt gew hrleistet dass die RPMs der Pakete nicht ver ndert wurden Um alle heruntergeladenen Pakete gleichzeitig zu pr fen geben Sie folgenden Befehl ein rpm K tmp updates rpm F r jedes einzelne Paket erhalten Sie im Falle einer erfolgreichen Verifikation die Ausgabe gpg OK Ist dies nicht der Fall berpr fen Sie ob Sie den richtigen ffentlichen Schl ssel von Red Hat 18 Installieren von signierten Paketen verwenden und verifizieren Sie die Quelle des Inhalts Pakete welche die GPG Verifizierung nicht bestehen sollten nicht installiert werden da sie m glicherweise von Dritten ver ndert wurden Nachdem der GPG Schl ssel verifiziert und alle Pakete im Zusammenhang mit der Errata Meldung heruntergeladen wurden k nnen Sie diese als Root an einem Shell Prompt installieren 1 5 3 Installieren von signierten Paketen Die Installation f r die meisten Pakete kann auf sichere Weise durch den folgenden Be
149. ig ip6tables gespeichert Der iptables Dienst startet beim Booten eines Linux Systems vor jeglichen DNS Diensten Aus diesem Grund k nnen Firewall Regeln nur auf numerische IP Adressen zum Beispiel 192 168 0 1 verweisen Domainnamen wie beispielsweise host example com in solchen Regeln verursachen dagegen Fehler Sobald Pakete mit einer bestimmten Regel in einer der Tabellen bereinstimmen wird unabh ngig von ihrem Bestimmungsort ein Ziel bzw eine Aktion auf sie angewendet Falls die Regel ein ACCEPT Ziel f r ein bereinstimmendes Paket spezifiziert berspringt das Paket die restlichen Regeln und darf somit seinen Weg zum Bestimmungsort fortsetzen Wenn aber eine Regel ein DROP Ziel spezifiziert wird dem Paket der Zugriff auf das System verwehrt ohne eine Meldung an den Host Rechner von dem das Paket stammt zur ckzusenden Wenn eine Regel ein QUEUE Ziel spezifiziert wird das Paket an den Userspace weitergeleitet Wenn eine Regel ein optionales REJECT Ziel spezifiziert wird das Paket verworfen und es wird ein Fehlerpaket an den Ursprungs Host zur ckgesendet Jede Kette hat eine Standardrichtlinie entweder ACCEPT DROP REJECT oder QUEUE Wenn das Paket keiner der Regeln in der Kette entspricht wird auf dieses Paket die Standardrichtlinie angewendet Der iptables Befehl konfiguriert diese Tabellen und erstellt neue falls n tig 92 Befehlsoptionen f r IPTables 2 6 2 Befehlsoptionen f r IPTables Regeln zum Fil
150. ility zu protokollieren Weitere Informationen zur Konfiguration von benutzerdefinierten Facilitys finden Sie auf der syslog conf Handbuchseite 2 3 2 2 2 Zugriffskontrolle Optionsfelder erlauben es den Administratoren Hosts mit einer einzelnen Regel explizit anzunehmen oder abzulehnen indem sie die allow oder deny Direktive als letzte Option hinzuf gen Die folgenden Regeln etwa erlauben SSH Verbindungen von client 1 example com lehnen aber Verbindungsversuche von client 2 example com ab sshd client 1 example com allow sshd client 2 example com deny Indem die Zugriffskontrolle pro Regel erm glicht wird k nnen Administratoren mithilfe des Optionsfelds alle Zugriffsregeln in einer einzelnen Datei vereinen Entweder in hosts allow oder in hosts deny Einige Administratoren finden diese Art die Zugriffsregeln zu organisieren einfacher 2 3 2 2 3 Shell Befehle Optionsfelder erm glichen es Zugriffsregeln durch die folgenden beiden Direktiven Shell Befehle auszuf hren e spawn Startet einen Shell Befehl als untergeordneten Prozess Diese Direktive kann Aufgaben wie usr sbin safe_finger durchf hren um weitere Informationen ber den anfragenden Client zu erhalten oder spezielle Protokolldateien mit dem echo Befehl erzeugen Im folgenden Beispiel werden Clients die von der example com Domain aus auf einen Telnet Dienst zuzugreifen versuchen unbemerkt in einer speziellen Protokolldatei aufgezeichnet in telnetd
151. indig gemacht werden kann lehnt der Dienst die Verbindung ab Wenn nicht wird der Zugang zu diesem Dienst bewilligt Die folgenden Punkte sind wichtig wenn TCP Wrapper verwendet werden um Netzwerkdienste zu sch tzen Da Zugriffsregeln in hosts allow zuerst angewendet werden haben diese Vorrang vor den Regeln in hosts deny Sollte der Zugriff zu einem Dienst in hosts allow erlaubt sein so wird eine den Zugriff auf diesen Dienst verbietende Regel in hosts deny ignoriert Da alle Regeln von oben nach unten abgearbeitet werden wird lediglich die erste auf einen Dienst passende Regel angewendet weshalb die Reihenfolge der Regeln extrem wichtig ist Sollte keine Regel f r den Dienst gefunden werden oder keine der beiden Dateien vorhanden sein so wird der Zugriff zu diesem Dienst gew hrt TCP wrapped Dienste speichern Regeln f r die Hosts Zugriffsdateien nicht zwischen Jegliche nderungen an hosts allow oder hosts deny treten daher auch ohne Neustart der Netzwerkdienste sofort in Kraft A Wamuna TU _ Sollte die letzte Zeile einer Hosts Zugriffsdatei kein Zeilenvorschubzeichen sein durch Dr cken der Enter Taste erzeugt schl gt die letzte Regel in der Datei fehl und ein Fehler wird entweder in var log messages oder var log secure protokolliert Dies ist auch der Fall f r Regeln die ohne Backslash Zeichen auf mehrere Zeilen umgebrochen sind Das folgende Beispiel zeigt den relevanten Teil einer Protokollmeldung f
152. inem Passwort gefragt zu werden Diese Einstellung kann mithilfe der Konfigurationsdatei etc sudoers ge ndert werden Der sudo Befehl erm glicht einen hohen Grad an Flexibilit t So k nnen z B nur Benutzer die in der Konfigurationsdatei etc sudoers aufgef hrt sind den Befehl sudo ausf hren dieser Befehl wird dann in der Shell des Benutzers ausgef hrt und nicht in der Root Shell Dies bedeutet das die Root Shell vollst ndig deaktiviert werden kann wie in Abschnitt 2 1 4 2 1 Deaktivieren der Root Shell gezeigt Der sudo Befehl liefert auch ein umfangreiches Audit Protokoll Jede erfolgreiche Authentifizierung wird in die Datei var log messages geschrieben und der ausgef hrte Befehl samt Benutzername wird in die Datei var log secure geschrieben Ein weiterer Vorteil des sudo Befehls ist dass ein Administrator verschiedenen Benutzern Zugang zu bestimmten Befehlen basierend auf deren Bed rfnissen geben kann Administratoren die die sudo Konfigurationsdatei etc sudoers bearbeiten wollen sollten dazu den Befehl visudo verwenden Um einem Benutzer umfassende administrative Rechte zu geben geben Sie visudo ein und f gen Sie eine Zeile hnlich der folgenden in den Abschnitt f r die Benutzerrechte ein juan ALL ALL ALL Dieses Beispiel besagt dass der Benutzer juan den sudo Befehl auf jedem Host f r jeden Befehl ausf hren kann Das nachfolgende Beispiel veranschaulicht die m glichen Feinheiten bei der Konfig
153. ion sollte nur dann gesetzt sein wenn es Probleme beim Entladen der Netfilter Module gibt e IPTABLES_SAVE_ON_STOP Speichert die aktuellen Firewall Regeln unter etc sysconfig iptables wenn die Firewall gestoppt wird Diese Direktive akzeptiert folgende Werte e yes Speichert vorhandene Regeln unter etc sysconfig iptables wenn die Firewall gestoppt wird Die vorherige Version wird unter etc sysconfig iptables save abgelegt e no Der Standardwert Bestehende Regeln werden nicht gespeichert wenn die Firewall gestoppt wird e IPTABLES_SAVE_ON_RESTART Speichert die aktuellen Firewall Regeln wenn die Firewall neu gestartet wird Diese Direktive akzeptiert die folgenden Werte e yes Speichert bestehende Regeln unter etc sysconfig iptables wenn die Firewall neu gestartet wird Die vorherige Version wird dabei unter etc sysconfig iptables save abgelegt no Der Standardwert Bestehende Regeln werden nicht gespeichert wenn die Firewall neu gestartet wird e IPTABLES_SAVE_COUNTER Speichert und stellt alle Paket und Byte Z hler in allen Ketten und Regeln wieder her Diese Direktive akzeptiert die folgenden Werte e yes Speichert die Werte der Z hler e no Der Standardwert Speichert die Werte der Z hler nicht e IPTABLES_STATUS_NUMERIC Gibt die IP Adressen in numerischer Form aus anstelle der Domain oder Hostnamen Diese Direktive akzeptiert die folgenden Werte e yes Der Standardwer
154. isecuritystandards org security_standards pci_dss shtml herunterladen 7 5 Handbuch zur technischen Sicherheitsimplementierung Ein Handbuch zur technischen Sicherheitsimplementierung engl Security Technical Implementation Guide oder kurz STIG ist eine Methode zur standardisierten sicheren Installation und Verwaltung von Computer Software und Hardware Siehe folgende URL f r eine Liste verf gbarer Handb cher http iase disa mil stigs stig index html 122 Weitere Informationsquellen Die folgenden Links verweisen auf weitere Informationsquellen die f r SELinux und Red Hat Enterprise Linux relevant sind jedoch ber den Rahmen dieses Handbuchs hinausgehen Beachten Sie dass aufgrund der schnellen Entwicklung von SELinux einige dieser Materialien nur auf bestimmte Releases von Red Hat Enterprise Linux anwendbar sind B cher SELinux by Example Mayer MacMillan and Caplan Prentice Hall 2007 Tutorials und Hilfen Verstehen und Anpassen der Apache HTTP SELinux Richtlinie http docs fedoraproject org selinux apache fc3 Tutorials und Vortr ge von Russell Coker http www coker com au selinux talks ibmtu 2004 Allgemeines HOWTO zum Schreiben von SELinux Richtlinien http wvwm lurking grue org writingselinuxpolicyHOWTO html Red Hat Wissensdatenbank http kbase redhat com Allgemeine Informationen NSA SELinux Hauptwebsite http www nsa gov selin ux NSA SELinux FAQ http www nsa gov selinux info fag
155. issen das diese besitzen Nehmen Sie eines der aktuell erh ltlichen Analyse Tools und lassen Sie es ber Ihr System laufen Dabei ist fast garantiert dass einige Schwachstellen gefunden werden die gar nicht existieren Ob durch einen Programmfehler oder Benutzerfehler hervorgerufen das Ergebnis ist das gleiche Das Tool findet Schwachstellen die gar nicht existieren oder schlimmer noch es findet wirklich existierende Schwachstellen nicht Da wir nun den Unterschied zwischen Schwachstellenanalyse und Penetration Test definiert haben ist es ratsam die Ergebnisse der Analyse sorgf ltig zu pr fen bevor Sie den Penetration Test tats chlich durchf hren A Wamu Der Versuch Schwachstellen in Produktionsressourcen aufzudecken kann einen negativen Effekt auf die Produktivit t und Effizienz Ihrer Systeme und Netzwerke haben In der folgenden Liste werden einige der Vorteile einer Schwachstellenanalyse aufgezeigt e Proaktiver Fokus auf Informationssicherheit Auffinden potenzieller Schwachstellen bevor diese von Angreifern gefunden werden e Resultiert normalerweise darin dass Systeme aktuell gehalten und mit Patches versehen werden F rdert Wachstum und hilft bei der Entwicklung von Mitarbeiterkompetenz e Vermindert finanzielle Verluste und negative Presse 1 2 2 1 Entwickeln einer Methodik Um die Auswahl der richtigen Tools f r die Schwachstellenanalyse zu unterst tzen ist es sinnvoll zuerst eine Methodik f r die Schwac
156. iterter Sicherheit Welche Tools sollten zur Kommunikation zwischen Arbeitsplatzrechnern verwendet werden und welche sollten vermieden werden 2 1 2 BIOS und Bootloader Sicherheit Passwortschutz f r das BIOS oder BIOS quivalent und den Bootloader kann unbefugte Benutzer die physischen Zugang zu Ihren Systemen erlangen davon abhalten externe Medien zu booten oder sich durch den Einzelbenutzermodus als Root anzumelden Die Sicherheitsma nahmen mithilfe derer Sie sich vor solchen Attacken sch tzen sollten h ngen zum einen von den Informationen ab die auf dem Arbeitsplatzrechner gespeichert sind und zum anderen vom Standort des Rechners Wenn zum Beispiel ein Computer auf einer Messe verwendet wird und keine sensiblen Daten enth lt ist es nicht unbedingt wichtig solche Attacken zu verhindern Wenn jedoch ein Laptop eines Mitarbeiters mit privaten nicht passwortgesch tzten SSH Schl sseln zum Firmennetzwerk auf der gleichen Messe unbeaufsichtigt gelassen wird kann dies zu einem bedeutenden Sicherheitsbruch f hren der Auswirkungen auf das gesamte Unternehmen haben kann Wenn sich der Rechner dagegen an einem Ort befindet zu dem nur befugte oder vertrauensw rdige Personen Zugang haben ist das Sichern des BIOS oder des Bootloaders nicht unbedingt notwendig 2 1 2 1 BIOS Passw rter Es gibt zwei Hauptgr nde f r den Schutz des BIOS eines Computers durch Passw rter k 1 Da sich das System BIOS von Hersteller zu Hersteller
157. jedoch ge ndert werden indem Sie die Konfigurationsdatei etc ssh sshd_config bearbeiten und den Dienst neu starten Diese Datei enth lt zudem weitere Konfigurationsoptionen f r SSH Secure Shell SSH bietet zudem verschl sselte Tunnel zwischen Computern nutzt jedoch nur einen einzigen Port Port Weiterleitung kann ber einen SSH Tunnel erfolgen und die Daten werden bei der bertragung ber diesen Tunnel verschl sselt allerdings ist die Verwendung von Port Weiterleitung nicht so fl ssig wie ein VPN g http www redhatmagazine com 2007 11 27 advanced ssh configuration and tunneling we dont need no stinking vpn software 108 OpenSSL PadLock Engine 3 7 OpenSSL PadLock Engine Die PadLock Engine steht auf einigen VIA C3 Prozessoren Nehemia zur Verf gung und erm glicht extrem schnelle Hardware Verschl sselung und Entschl sselung O 64 bit Systeme enthalten keine Unterst tzung f r VIA Padlock Um es zu aktivieren bearbeiten Sie die Datei etc pki tls openssl cnf und f gen Folgendes am Anfang der Datei hinzu openssl_conf openssl_init F gen Sie anschlie end Folgendes am Ende der Datei hinzu openssl_init engines openssl_engines openssl_engines padlock padlock_engine padlock_engine default_algorithms ALL dynamic_path usr lib openssl engines libpadlock so init 1 F hren Sie den folgenden Befehl aus um zu berpr fen ob das Modul aktiviert ist openssl engine c tt F
158. jedoch nicht mit dem Betriebssystem ausgeliefert werden Nachfolgend finden Sie eine kurze Liste der beliebtesten Passwort Cracking Programme John The Ripper Ein schnelles und flexibles Passwort Cracking Programm Es erm glicht die Verwendung mehrerer Wortlisten und ist f hig zum Brute Force Passwort Cracking Es ist unter http www openwall com john erh ltlich Crack Die vielleicht bekannteste Passwort Cracking Software Crack ist ebenfalls sehr schnell jedoch nicht so einfach zu verwenden wie John The Ripper Es ist unter hitp www crypticide com alecm security crack c50 fag htmi erh ltlich Slurpie Slurpie funktioniert hnlich wie John The Ripper und Crack ist jedoch darauf ausgelegt auf mehreren Computern gleichzeitig zu laufen und erm glicht so einen verteilten Passwort Cracking Angriff Es ist erh ltlich unter http www ussrback com distributed htm zusammen mit einer Reihe anderer Tools zur Bewertung der Sicherheit bei verteilten Passwort Cracking Angriffen Warung U TU U U Bitte holen Sie sich stets eine schriftliche Genehmigung ein bevor Sie Passw rter innerhalb eines Unternehmens zu knacken versuchen 2 1 3 2 2 Passphrasen Passphrasen und Passw rter bilden die Eckpfeiler der Sicherheit in den meisten heutigen Systemen Leider geh ren Technologien wie biometrische Daten oder Zwei Wege Authentifikation in den meisten Systemen noch nicht zum Standard Wenn Passw rter zur Sicherung eines Systems verw
159. kender zu machen Damit dieses Banner bei eingehenden Verbindungen angezeigt wird f gen Sie die folgende Zeile in die Datei etc hosts allow ein vsftpd ALL banners etc banners 2 2 1 1 2 TCP Wrapper und Warnung vor Angriffen Wenn ein bestimmter Host oder ein Netzwerk bei einem Angriff auf den Server erwischt wurde k nnen TCP Wrapper mit der spawn Direktive vor weiteren Angriffen von diesem Host oder Netzwerk warnen In diesem Beispiel gehen wir davon aus dass ein Cracker vom 206 182 68 0 24 Netzwerk bei einem Angriffsversuch auf den Server erwischt wurde Indem Sie die folgende Zeile in die Datei etc hosts deny einf gen wird der Verbindungsversuch abgewiesen und in einer speziellen Datei aufgezeichnet ALL 206 182 68 0 spawn bin echo date c d gt gt var log intruder_alert Der d Token gibt den Namen des Dienstes an auf den der Angreifer zugreifen wollte Um die Verbindung zu erlauben und diese aufzuzeichnen f gen Sie die spawn Direktive in die Datei etc hosts allow ein 44 Sichern von Diensten mit TCP Wrappern und xinetd A Da die spawn Direktive jeden beliebigen Shell Befehl ausf hrt k nnen Sie ein spezielles Skript schreiben das den Administrator im Falle eines Verbindungsversuchs eines bestimmten Clients mit dem Server benachrichtigt oder eine Reihe von Befehlen ausf hrt 2 2 1 1 3 TCP Wrapper und erweiterte Protokollierung Falls bestimmte Verbindungstypen Anlass zu gr erer So
160. l f r Betriebssysteme Applikationen oder Netzwerke basierend auf den verwendeten Protokollen eingesetzt werden k nnen Einige Tools sind kostenlos andere wiederum nicht Einige Tools sind intuitiv und benutzerfreundlich andere eher kryptisch und schlecht dokumentiert aber besitzen Features die andere Tools wiederum nicht haben Die Suche der richtigen Tools kann eine Herausforderung sein schlussendlich z hlt die Erfahrung Wenn m glich richten Sie ein Testlabor ein und probieren so viele Tools aus wie nur m glich und beachten Sie dabei die St rken und Schw chen Lesen Sie die README Datei oder Handbuchseite zum Tool Suchen Sie zus tzlich dazu im Internet nach weiteren Informationen wie Artikel Schritt f r Schritt Anleitungen und Mailing Listen f r ein Tool Die unten beschriebenen Tools sind nur wenige Beispiele f r die erh ltlichen Tools 1 2 3 1 Scannen von Hosts mit Nmap Nmap ist ein beliebtes Tool das zum Feststellen eines Netzwerk Layouts verwendet werden kann Nmap ist schon seit vielen Jahren auf dem Markt und ist das wahrscheinlich am h ufigsten verwendete Tool zum Sammeln von Informationen Es enth lt eine ausgezeichnete Handbuchseite die detaillierte Informationen zu Optionen und zur Verwendung bietet Administratoren k nnen Nmap in einem Netzwerk verwenden um Hosts und offene Ports auf diesen Systemen zu finden Nmap ist ein kompetenter erster Schritt bei der Schwachstellenanalyse Sie k nnen die Hosts i
161. lche Art von Daten bei der Verwendung dieser Protokolle bertragen werden 40 Pers nliche Firewalls Auch Remote Speicherabbildungsdienste wie netdump bertragen den Speicherinhalt unverschl sselt ber das Netzwerk Speicherausz ge k nnen Passw rter oder schlimmer noch Datenbankeintr ge und andere sensible Informationen enthalten Andere Dienste wie finger und rwhod geben Informationen ber Benutzer im System preis Zu den von Natur aus unsicheren Diensten geh ren unter anderem rlogin rsh telnet und vsftpd Alle Remote Login und Shell Programme rlogin rsh und telnet sollten zugunsten von SSH vermieden werden Siehe Abschnitt 2 1 7 Kommunikationstools mit verbesserter Sicherheit f r weitere Informationen ber sshd FTP ist von Natur aus nicht ganz so gef hrlich f r die Sicherheit des Systems wie Remote Shells FTP Server m ssen jedoch sorgf ltig konfiguriert und berwacht werden um Probleme zu vermeiden Weitere Informationen ber das Sichern von FTP Servern finden Sie unter Abschnitt 2 2 6 Sichern von FTP Dienste die sorgf ltig implementiert und hinter einer Firewall platziert werden sollten umfassen e finger e authd in fr heren Red Hat Enterprise Linux Releases identd genannt e netdump e netdump server nfs e rwhod e sendmail smb Samba e yppasswdd e ypserv ypxfrd Weitere Informationen zur Sicherung von Netzwerkdiensten finden Sie unter Abschnitt 2 2 Ser
162. le Netfilter wird durch das iptables Hilfsprogramm gesteuert 2 5 1 1 berblick ber IPTables Die Leistungsst rke und Flexibilit t von Netfilter wird mithilfe des iptables Verwaltungstools implementiert ein Befehlszeilentool das eine hnliche Syntax wie sein Vorg nger ipchains verwendet ipchains wurde ab dem Linux Kernel 2 4 durch Netfilter iptables abgel st iptables verwendet das Netfilter Subsystem zur Erweiterung Untersuchung und Verarbeitung der Netzwerkverbindungen iptables bietet verbesserte Protokollierung Pre und Post Routing Aktionen Network Address Translation und Port Weiterleitung alles in einer einzigen Befehlszeilenschnittstelle Dieser Abschnitt enth lt eine bersicht ber iptables F r weitere Informationen werfen Sie bitte einen Blick auf Abschnitt 2 6 IPTables 2 5 2 Grundlegende Firewall Konfiguration Vergleichbar mit einer Brandmauer in einem Geb ude die das Ausbreiten eines Feuers verhindern soll so soll eine Firewall das Ausbreiten sch dlicher Software auf Ihrem Computer verhindern Sie hilft au erdem dabei unberechtigten Benutzern den Zugriff auf Ihren Computer zu verwehren In einer standardm igen Red Hat Enterprise Linux Installation befindet sich eine Firewall zwischen Ihrem Computer oder Netzwerk und allen nicht vertrauensw rdigen Netzwerken wie z B dem Internet Die Firewall legt fest auf welche Dienste auf Ihrem Computer Benutzer von Remote aus zugreifen k nnen Eine
163. le von Firewalls innerhalb einer umfassenden Sicherheitsstrategie sowie Strategien zum Erstellen von Firewall Regeln 2 6 6 1 Installierte IPTables Dokumentation man iptables Enth lt eine Beschreibung von iptables sowie eine umfangreiche Liste verschiedener Ziele Optionen und bereinstimmungserweiterungen 2 6 6 2 Hilfreiche IPTables Websites htto www netfilter org Die Homepage des Netfilter iptables Projekts Enth lt ausgew hlte Informationen zu iptables sowie ein FAQ zu spezifischen Problemen und verschiedene hilfreiche Handb cher von Rusty Russell dem Linux IP Firewall Maintainer In diesen Anleitungen werden Themen wie z B grundlegende Netzwerkkonzepte Kernel Paketfilterung und NAT Konfigurationen behandelt http www linuxnewbie org nhf Security IPtables_Basics html Eine Einf hrung in die Art und Weise wie sich Pakete durch den Linux Kernel bewegen sowie eine bersicht zur Erstellung von einfachen iptables Befehlen 106 Verschl sselung Grunds tzlich gibt es zwei Arten von Daten die gesch tzt werden m ssen Data at rest ruhende gespeicherte Daten und Data in motion Daten w hrend der bertragung Diese verschiedenen Arten von Daten werden auf hnliche Weise unter Verwendung hnlicher Technologien gesichert die Implementierungen k nnen sich jedoch ma geblich unterscheiden Keine einzelne Sicherheitsimplementierung kann alle m glichen Arten von Bedrohungen verhindern da
164. len Client Applikationen e ssh Ein sicherer Client f r den Zugriff auf Remote Konsolen e scp Ein sicherer Befehl f r Remote Copy e sftp Ein sicherer Pseudo FTP Client der interaktive Datei bertragung erm glicht Siehe Abschnitt 3 6 Secure Shell f r weitere Informationen ber OpenSSH 42 Server Sicherheit 9 Wichtig TU __ Obwohl der sshd Dienst von Natur aus sicher ist muss dieser Dienst auf dem neuesten Stand gehalten werden um Sicherheitsgef hrdungen zu vermeiden Unter Abschnitt 1 5 Sicherheitsaktualisierungen finden Sie weitere Informationen zu diesem Thema GPG ist eine m gliche Methode um die private E Mail Kommunikation sicherzustellen Es kann zum Versenden sensibler Daten per E Mail ber ffentliche Netzwerke sowie zum Schutz sensibler Daten auf Festplatten eingesetzt werden 2 2 Server Sicherheit Wenn ein System als Server in einem ffentlichen Netzwerk verwendet wird stellt es ein Ziel f r Angreifer dar Aus diesem Grund ist das Abh rten des Systems und Sperren von Diensten von erheblicher Bedeutung f r den Systemadministrator Bevor Sie die Details eines bestimmten Themas erforschen sehen Sie sich die folgenden allgemeinen Hinweise f r das Erh hen der Server Sicherheit an e Halten Sie alle Dienste auf dem neuesten Stand um vor den neuesten Bedrohungen gesch tzt zu sein e Verwenden Sie nach M glichkeit sichere Protokolle e Wenn m glich sollte immer nur ei
165. lle au erhalb des LAN funktionieren sollen Einige Proxy Server k nnen Daten auf die h ufiger zugegriffen wird lokal zwischenspeichern so dass diese Daten nicht jedesmal neu ber die Internetverbindung abgefragt werden m ssen Dadurch wird Bandbreite gespart Proxy Dienste k nnen genauestens berwacht und protokolliert werden wodurch eine bessere Kontrolle des applikationsspezifisch HTTP Telnet etc oder beschr nkt auf ein Protokoll die meisten Proxys funktionieren ausschlie lich mit Diensten die ber TCP verbinden Applikationsdienste k nnen nicht hinter einem Proxy ausgef hrt werden Ihre Applikationsserver m ssen demnach eine separate Form der Netzwerksicherheit verwenden Proxys k nnen zu einem Engpass im Netzwerk werden da alle Anfragen und bertragungen diese 78 Netfilter und IPTables Methode Beschreibung Vorteile Nachteile Ressourcenverbrauchs auf eine Stelle passieren dem Netzwerk erm glicht m ssen statt direkt vom wird Client zum entfernten Dienst zu verbinden 2 5 1 Netfilter und IPTables Der Linux Kernel enth lt ein leistungsstarkes Netzwerk Subsystem namens Netfilter Das Netfilter Subsystem bietet eine Paketfilterung mit oder ohne Status sowie NAT und IP Maskierungsdienste Netfilter ist zudem dazu in der Lage IP Kopfzeileninformation f r fortgeschrittenes Routing und zur berpr fung des Verbindungszustandes zu berarbeiten engl mang
166. llen sicher dass der Telnet Dienst auf dem Rechner an eine externe IP Adresse 123 123 123 123 gebunden ist und zwar die Internet seitige Au erdem werden alle an 123 123 123 123 gesendeten Telnet Anfragen ber einen zweiten Netzwerkadapter an eine interne IP Adresse 10 0 1 13 weitergeleitet auf die nur die Firewall und interne Systeme Zugriff haben Die Firewall sendet dann die Kommunikation von einem System an das andere und f r das sich verbindende System sieht es so aus als ob es mit 123 123 123 123 verbunden sei w hrend es in Wirklichkeit mit einem anderen Rechner verbunden ist Diese Funktion ist besonders n tzlich f r Benutzer mit Breitbandverbindungen und nur einer festen IP Adresse Wird Network Address Translation NAT verwendet sind die Systeme hinter dem Gateway Rechner die nur interne IP Adressen verwenden au erhalb des Gateway Systems nicht verf gbar Wenn jedoch bestimmte Dienste die von xinetd kontrolliert werden mit den Optionen bind und redirect konfiguriert sind kann der Gateway Rechner als eine Art Proxy zwischen externen Systemen und einem bestimmten internen Rechner fungieren der konfiguriert ist um den Dienst breitzustellen Au erdem sind die verschiedenen xinetd Zugriffskontroll und Protokollierungsoptionen auch f r zus tzlichen Schutz verf gbar 2 3 4 3 4 Optionen zur Ressourcenverwaltung Der xinetd Daemon kann einen einfachen Grad an Schutz vor Denial of Service DoS Angriffen bieten Untenst
167. llt die allgemeinen Kategorien der Software dar und gibt Anweisungen f r das Verwenden der aktualisierten Versionen nach einer Paketaktualisierung 19 Kapitel 1 berblick ber Sicherheit Im Allgemeinen ist ein Neustart der beste Weg um sicherzustellen dass die aktuellste Version eines Software Pakets verwendet wird allerdings ist dies f r den Systemadministrator nicht immer machbar Applikationen Bei User Space Applikationen handelt es sich um alle Programme die durch einen Systembenutzer gestartet werden k nnen F r gew hnlich laufen diese Anwendungen nur wenn ein Benutzer ein Skript oder ein automatisiertes Dienstprogramm diese startet und sie werden in der Regel nicht f r l ngere Zeit ausgef hrt Wird solch eine User Space Applikation aktualisiert stoppen Sie alle Instanzen dieser Anwendung auf dem System und starten Sie das Programm erneut um die aktualisierte Version zu verwenden Kernel Der Kernel ist die Kern Software Komponente f r das Red Hat Enterprise Linux Betriebssystem Er verwaltet den Zugriff auf den Speicher den Prozessor und auf Peripherieger te und plant s mtliche Aufgaben Aufgrund seiner zentralen Rolle kann der Kernel nur durch ein Herunterfahren des Computers neu gestartet werden Daher kann eine aktualisierte Version des Kernels erst verwendet werden wenn das System neu gestartet wird Gemeinsam verwendete Bibliotheken Gemeinsam verwendete Bibliotheken sind Einheiten von Code
168. llten die Sicherheitsaktualisierungen zun chst testen und erst dann zur Installation einplanen In der Zwischenzeit sollten weitere Sicherheitsma nahmen ergriffen werden um das System zu sch tzen Diese Sicherheitsma nahmen h ngen von der jeweiligen Sicherheitsl cke ab k nnten aber zum Beispiel aus zus tzlichen Firewall Regeln der Verwendung externer Firewalls oder nderungen der Softwareeinstellungen bestehen 6 3 Anpassen der automatischen Aktualisierungen Red Hat Enterprise Linux ist standardm ig dazu konfiguriert t glich alle verf gbaren Aktualisierungen zu installieren Falls Sie ndern m chten wie Ihr System Aktualisierungen installiert k nnen Sie dies im Dialogfeld Softwareaktualisierungs Einstellungen tun Sie k nnen dort den Zeitplan ndern sowie die Art der anzuwendenden Aktualisierungen und Benachrichtigungen ber verf gbare Aktualisierungen festlegen In Gnome finden Sie die Einstellungen f r Aktualisierungen unter System gt Einstellungen gt Software Aktualisierungen In KDE finden Sie dies unter Anwendungen gt Einstellungen gt Software Aktualisierungen 6 4 Installieren signierter Pakete von bekannten Repositorys Software Pakete werden ber Repositorys vertrieben Alle bekannten Repositorys unterst tzen das Signieren von Paketen Die Paketsignatur nutzt die asymmetrische Kryptotechnologie um zu 119 Kapitel 6 Software Wartung beweisen dass das im Repository ver ffentlich
169. luke htmi index html 124 Anhang A Verschl sselungsstandards A 1 Symmetrische Verschl sselung A 1 1 Advanced Encryption Standard AES In der Kryptografie ist der Advanced Encryption Standard AES ein Verschl sselungsstandard der von der U S Regierung bernommen wurde Der Standard besteht aus drei Blockchiffren AES 128 AES 192 und AES 256 die von einer gr eren urspr nglich als Rijndael ver ffentlichten Gruppe bernommen wurden Jede AES Chiffre hat eine 128 bit Blockgr e mit Schl sselgr en von 128 192 bzw 256 Bits Wie auch schon der Vorg ngerstandard Data Encryption Standard DES wurden die AES Chiffren eingehend analysiert und werden nun weltweit eingesetzt A 1 1 1 Anwendungsf lle f r AES A 1 1 2 Geschichte von AES AES wurde am 26 November 2001 vom National Institute of Standards and Technology NIST als U S FIPS PUB 197 FIPS 197 angek ndigt nach einem f nfj hrigen Standardisierungsprozess in dessen Verlauf 15 konkurrierende Entw rfe vorgestellt und untersucht wurden bevor schlie lich Rijndael als zweckm f igster Entwurf ausgew hlt wurde siehe Advanced Encryption Standard Prozess f r weitere Einzelheiten Dieser Standard trat am 26 Mai 2002 in Kraft Er steht in vielen verschiedenen Verschl sselungspaketen zur Verf gung AES ist die erste ffentlich verf gbare und offene Chiffre die von der NSA f r streng geheime Informationen zugelassen wurde siehe Sicherheit von AES
170. m Jahr 2000 auf Eine Reihe hoch frequentierter kommerzieller 16 Sicherheitsaktualisierungen Sicherheitsl cke Beschreibung Anmerkungen Unternehmens bei der unbefugte und Regierungs Websites wurden Pakete an den Zielcomputer vor bergehend au er Gefecht gesetzt entweder Server Router oder durch eine koordinierte Ping Flood Arbeitsplatzrechner gesendet Attacke bei der mehrere als Zombies werden Dies macht die Ressource f r agierende kompromiittierte Systeme berechtigte Benutzer nicht verf gbar mit schneller Bandbreitenverbindung benutzt wurden Quellpakete werden gew hnlich gef lscht sowie weiterversendet was die Suche nach dem wahren Ursprung des Angriffs erschwert Fortschritte bei Ingress Filtern IETF rfc2267 durch die Verwendung von iptables und Network Intrusion Detection Systemen wie zum Beispiel snort unterst tzen Administratoren beim Aufsp ren und Verhindern von verteilten DoS Attacken 1 5 Sicherheitsaktualisierungen Wenn Sicherheitsl cken in einer Software entdeckt werden muss die betroffene Software aktualisiert werden um m gliche Sicherheitsrisiken zu minimieren Ist die Software Teil eines Pakets einer Red Hat Enterprise Linux Distribution die derzeit unterst tzt wird liegt es im Interesse von Red Hat so schnell wie m glich aktualisierte Pakete herauszugeben die diese Sicherheitsl cken schlie en H ufig wird die Mitteilung eines Sicherheitsrisikos von einem Patch
171. me des Hilfebefehls sind alle Befehle in Gro buchstaben geschrieben Die iptables Befehle sind e A H ngt die Regel an das Ende der angegebenen Kette an Im Gegensatz zur weiter unten beschriebenen Option I wird hierbei kein ganzzahliger Parameter verwendet Die Regel wird immer an das Ende der angegebenen Kette geh ngt e D lt integer gt lt rule gt Entfernt eine Regel in einer bestimmten Kette anhand ihrer Nummer z B 5 f r die f nfte Regel einer Kette oder durch Angabe einer Regelspezifikation Die Regelspezifikation muss exakt mit einer bestehenden Regel bereinstimmen e E Benennt eine benutzerdefinierte Kette um Eine benutzerdefinierte Kette ist jede Kette die nicht eine standardm f ige voreingestellte Kette ist Werfen Sie einen Blick auf die Option N weiter unten f r Informationen zur Erstellung von benutzerdefinierten Ketten Dies ist eine reine Sch nheitskorrektur und beeinflusst nicht die Struktur der Tabelle Falls Sie versuchen eine der Standardketten umzubenennen gibt das System die Fehlermeldung Match not found aus Sie k nnen die Standardketten nicht umbenennen e F L scht den Inhalt der gew hlten Kette woraufhin effektiv jede Regel in der Kette entfernt wird Wenn keine Kette angegeben wird l scht dieser Befehl jede Regel in jeder Kette e h Liefert eine Liste mit Befehlsstrukturen sowie eine kurze Zusammenfassung der Befehlsparameter und optionen e I lt int
172. mit zuf lligen Daten dd if dev urandom of dev V6G00 LV_home Dieser Vorgang kann mehrere Stunden dauern 110 Ergebnis 10 11 12 13 14 15 16 17 O Dieser Vorgang ist von entscheidender Bedeutung f r die Sicherung gegen Einbruchsversuche Lassen Sie den Vorgang ggf ber Nacht laufen Initialisieren Sie Ihre Partition cryptsetup verbose verify passphrase luksFormat dev VG00 LV_home ffnen Sie das neu verschl sselte Ger t cryptsetup luksOpen dev VG00 LV_home home Vergewissern Sie sich dass das Ger t vorhanden ist 1s 1 dev mapper grep home Erstellen Sie ein Dateisystem mkfs ext3 dev mapper home H ngen Sie es ein mount dev mapper home home berpr fen Sie ob es sichtbar ist df h grep home F gen Sie Folgendes zur etc crypttab hinzu home dev VG00 LV_home none Bearbeiten Sie Ihre etc fstab entfernen Sie den alten Eintrag f r home und f gen Sie Folgendes hinzu dev mapper home home ext3 defaults 1 2 Stellen Sie die standardm igen SELinux Sicherheitskontexte wieder her sbin restorecon V R home Starten Sie das Sytem neu shutdown r now Der Eintrag in der etc crypttab Datei weist Ihr System dazu an beim Hochfahren zur Eingabe der luks Passphrase aufzufordern Melden Sie sich als Root an und stellen Sie Ihre gesicherten Daten wieder her 3 8 4 Ergebnis Gl ckwunsch Sie haben nun eine verschl sselte Partition auf der Ihre Daten sicher gesp
173. n Verhindert den Root Zugriff via OpenSSH Suite Tools Mechanismen ausf hren Folgende Programme werden nicht daran gehindert auf den Root Account zuzugreifen Su sudo ssh SCP sftp Da dies nur die OpenSSH Tool Suite betrifft sind Logins als und setzen Sie den Folgende Programme keine anderen Programme Root PermitRootLogin werden daran gehindert von dieser Einstellung Parameter auf no auf den Root Account betroffen zuzugreifen ssh SCp sftp Mit PAM Bearbeiten Sie die Datei Verhindert den Root Zugriff Programme und den Root f r den Zieldienst im auf Netzwerkdienste die Dienste die PAM nicht Zugang Verzeichnis etc pam d PAM verwenden ber cksichtigen zu Stellen Sie sicher dass Die folgenden Dienste Diensten die pam_listfile so werden daran gehindert einschr nkeaur Authentifizierung erforderlich ist auf den Root Account zuzugreifen FTP Clients E Mail Clients login gdm kdm xdm ssh Scp sftp Jegliche Dienste die PAM verwenden t Siehe Abschnitt 2 1 4 2 4 Deaktivieren von PAM f r Root f r Einzelheiten 2 1 4 2 1 Deaktivieren der Root Shell Um zu verhindern dass sich Benutzer direkt als Root anmelden kann der Systemadministrator die Shell des Root Accounts in der etc passwd Datei auf sbin nologin setzen Dies verhindert Zugang zum Root Account ber Befehle die eine Shell ben tigen wie zum Beispiel su oder ssh
174. n ber das SSH Protokoll sind in Red Hat Enterprise Linux 6 standardm ig deaktiviert Falls diese Option jedoch zwischenzeitlich aktiviert wurde kann sie wieder deaktiviert werden indem Sie die Konfigurationsdatei des SSH Daemons etc ssh sshd_config bearbeiten ndern Sie folgende Zeile PermitRootLogin yes zu PermitRootLogin no Damit diese nderungen wirksam werden muss der SSH Daemon neu gestartet werden F hren Sie dazu den folgenden Befehl aus kill HUP cat var run sshd pid 34 Administrative Kontrolle 2 1 4 2 4 Deaktivieren von PAM f r Root PAM erm glicht durch das lib security pam_listfile so Modul eine gr ere Flexibilit t in der Ablehnung bestimmter Accounts Mithilfe dieses Moduls kann der Administrator eine Liste von Benutzern festlegen denen die Anmeldung nicht gestattet ist Unten finden Sie ein Beispiel wie das Modul f r den vsftpd FTP Server in der etc pam d vsftpd PAM Konfigurationsdatei verwendet werden kann das Zeichen am Ende der ersten Zeile im folgenden Beispiel ist nicht n tig wenn die Direktive auf einer Zeile steht auth required lib security pam_listfile so item user sense deny file etc vsftpd ftpusers onerr succeed Dies weist PAM an die Datei etc vsftpd ftpusers zu lesen und allen hier aufgef hrten Benutzern Zugang zum Dienst zu verbieten Der Administrator kann den Namen dieser Datei ndern und separate Listen f r jeden Dienst oder eine einzige zentrale Liste f
175. n s und Untermen s Zum Beispiel W hlen Sie System Einstellungen Maus in der Hauptmen leiste aus um die Mauseinstellungen zu ffnen Klicken Sie im Reiter Tasten auf das Auswahlk stchen Mit links bediente Maus und anschlie end auf Schlie en um die prim re Maustaste von der linken auf die rechte Seite zu ndern d h um die Maus auf Linksh nder anzupassen Um ein spezielles Zeichen in eine gedit Datei einzuf gen w hlen Sie Anwendungen Zubeh r gt Zeichentabelle in der Hauptmen leiste aus W hlen Sie als N chstes Suchen Suchen aus der Men leiste der Zeichentabelle aus geben den Namen des Zeichens in das Suchbegriff Feld ein und klicken auf Weiter Das gesuchte Zeichen wird in der Zeichentabelle hervorgehoben Doppelklicken Sie auf das hervorgehobene Zeichen um es in das Feld Zu kopierender Text einzuf gen und klicken Sie auf die Schaltfl che Kopieren Wechseln Sie nun zur ck in Ihr Dokument und w hlen Sie Bearbeiten Einf gen aus der gedit Men leiste aus Der oben aufgef hrte Text enth lt Applikationsnamen systemweite Men namen und elemente applikationsspezifische Men namen sowie Schaltfl chen und Text innerhalb einer GUI Oberfl che Alle werden proportional fett dargestellt und sind anhand des Kontextes unterscheidbar Nichtproportional Fett Kursiv oder Proportional Fett Kursiv Egal ob nichtproportional fett oder proportional fett ein zus tzlicher Kursivdruck weist auf einen ers
176. n Ihrem Netzwerk aufzeigen und eine Option angeben die versucht zu bestimmen welches Betriebssystem auf einem bestimmten Host l uft Nmap ist eine gute Grundlage zum Einf hren einer Richtlinie nach der sichere Dienste verwendet werden und unbenutzter Dienste eingeschr nkt werden 1 2 3 1 1 Verwendung von Nmap Nmap kann von einem Shell Prompt aus verwendet werden Geben Sie an einem Shell Prompt den Befehl nmap gefolgt vom Hostnamen oder der IP Adresse des zu scannenden Computers ein nmap foo example com Die Ergebnisse des Scannens was einige Minuten dauern kann abh ngig davon wo sich der Host befindet sollten wie folgt aussehen Interesting ports on foo example com Not shown 1710 filtered ports PORT STATE SERVICE Bewerten der Tools 22 tcp open ssh 53 tcp open domain 80 tcp open http 113 tcp closed auth Nmap pr ft die h ufigsten Ports f r die Netzwerkkommunikation auf horchende oder wartende Dienste Dieses Wissen ist sinnvoll f r Administratoren die unn tige Dienste abschalten m chten Weitere Informationen zu Nmap finden Sie auf der offiziellen Homepage unter folgender URL http wwwn insecure org 1 2 3 2 Nessus Nessus ist ein umfassender Sicherheitsscanner Die Plug In Architektur von Nessus erm glicht Benutzern das Anpassen an deren Systeme und Netzwerke Wie jeder Scanner ist auch Nessus nur so gut wie die Signatur Datenbank die verwendet wird Gl cklicherweise wird Nessus h ufig aktualisi
177. n Ne en ee 108 3 5 Virtuelle Private Netzwerke resio oi s e aa a is E a AE nn 108 KA eT E E OT AE TA E a T EA T E A AT 108 3 7 OpenSSL PadLock ENNE misan aaa a aaaea aiaa ra a arai 109 3 8 LUKS Festplattenverschl sselung ssssssssessserrserrrerrrerrrerrreriterrnsrtnsrrnsrrsrrnrrsrnnntnt 109 3 8 1 LUKS Implementierung in Red Hat Enterprise Linux u ssssesssennnnnenennnnnen 110 3 8 2 Manuelle Verschl sselung von Verzeichnissen 4444s4sssnsn essen ernennen 110 3 8 3 Schrittweise Anleitung u 44444400444nHBnnnnnnnn nn nnnnnnnnnnnnnnnnnnnnnnnnn nenn namen 110 3 8 4 Erge DNS en ee en ee ee einher 111 285 Hilfreiche Links a Hr er area ra han ran here EFT are rer ler 111 3 9 Verwenden von GNU Privacy Guard GnuPG 444sssenssnnnnnnnenennnn nennen nn 112 3 9 1 Erstellen von GPG Schl sseln in GNOME smsnssnnennnsnnnennnenn nennen 112 3 9 2 Erstellen von GPG Schl sseln in KDE 44ms4ss nn nnnnn nennen nennen nn 112 3 9 3 Erstellen von GPG Schl sseln per Befehlszeile 4444sess nennen 113 3 9 4 Informationen zur asymmetrischen Verschl sselung 4esenn nn 114 4 Allgemeine Prinzipien der Informationssicherheit 115 4 1 Tipps Handb cher und Werkzeuge 4s444ssssnsnennnnnnnnnnnnnnnnn nennen nnennnnn nenn nen 115 5 Sichere Installation 117 5 1 Festplattenpartitionen
178. n diese Datei kopieren wodurch sie in kurzer Zeit ganze Gruppen von iptables Regeln an verschiedene Rechner verteilen k nnen Weiterhin haben Sie die M glichkeit die iptables Regeln in einer separaten Datei zur weiteren Verteilung zur Sicherung oder anderen Zwecken zu speichern Um Ihre IPTables Regeln zu speichern geben Sie als Root folgenden Befehl ein 102 IPTables Kontrollskripte root myServer iptables save gt lt filename gt wobei lt filename gt ein benutzerdefinierter Name f r Ihr Regelset ist 9 Wichtig TU __ Wenn Sie die etc sysconfig iptables Datei an andere Rechner verteilen m ssen Sie sbin service iptables restart ausf hren damit die neuen Regeln wirksam werden Beachten Sie bitte den Unterschied zwischen dem iptables Befehl sbin iptables der dazu verwendet wird die Tabellen und Ketten zu handhaben die die iptables Funktionalit t darstellen und dem iptables Dienst sbin iptables service der zum Aktivieren und Deaktivieren des iptables Dienstes selbst verwendet wird 2 6 4 IPTables Kontrollskripte In Red Hat Enterprise Linux gibt es zwei grundlegende Methoden zur Steuerung von iptables Firewall Konfigurationstool system config selinux Eine grafische Benutzeroberfl che zum Erstellen Aktivieren und Speichern von einfachen Firewall Regeln Weitere Informationen ber die Verwendung dieses Tools finden Sie unter Abschnitt 2 5 2 Grundlegende Firewall Konfiguration
179. nd andere Methoden gef lscht werden k nnen 2 2 2 2 Sch tzen von Portmap mit IPTables Um den Zugriff auf den portmap Dienst weiter einzuschr nken ist es sinnvoll IPTables Regeln zum Server hinzuzuf gen die den Zugriff auf bestimmte Netzwerke einschr nken Nachfolgend finden Sie zwei Beispiele f r IPTables Befehle Der erste Befehl erlaubt TCP Verbindungen auf Port 111 welcher vom portmap Dienst verwendet wird vom 192 168 0 24 Netzwerk Der zweite Befehl erlaubt TCP Verbindungen auf demselben Port vom lokalen Host was f r den sgi_fam Dienst f r Nautilus ben tigt wird Alle anderen Pakete werden abgelehnt iptables A INPUT p tcp s 192 168 0 0 24 dport 111 j DROP iptables A INPUT p tcp s 127 0 0 1 dport 111 j ACCEPT Um auf gleiche Weise UDP Datenverkehr einzuschr nken verwenden Sie den folgenden Befehl iptables A INPUT p udp s 192 168 0 0 24 dport 111 j DROP Siehe auch Abschnitt 2 5 Firewalls f r weitere Informationen zum Einrichten von Firewalls mit dem IPTables Befehl 47 Kapitel 2 Sichern Ihres Netzwerks 2 2 3 Sichern von NIS Der Network Information Service NIS ist ein RPC Dienst namens ypserv der zusammen mit portmap und anderen zugeh rigen Diensten verwendet wird um Informationen zu Benutzernamen Passw rtern und anderen sensiblen Daten an jeden beliebigen Computer innerhalb dessen Domain weiterzugeben Ein NIS Server besteht aus mehreren Applikationen unt
180. ne Maschine eine Art von Netzwerkdienst bereitstellen e berwachen Sie alle Server sorgf ltig auf verd chtige Aktivit ten 2 2 1 Sichern von Diensten mit TCP Wrappern und xinetd TCP Wrapper bieten Zugriffskontrolle f r eine Reihe von Diensten Die meisten modernen Netzwerkdienste wie z B SSH Telnet und FTP verwenden TCP Wrapper die als Wachposten zwischen einer eingehenden Anfrage und dem angefragten Dienst stehen Die Vorteile von TCP Wrappern werden noch erweitert wenn diese zusammen mit xinetd verwendet werden einem Super Serverdienst der zus tzliche Zugriffs Protokollierungs Binding Umleitungs und Ressourcenkontrolle bietet Es ist von Vorteil die IPTables Firewall Regeln zusammen mit TCP Wrappern und xinetd zu verwenden um eine Redundanz innerhalb der Dienst Zugangskontrollen zu erreichen F r mehr Information ber das Einrichten von Firewalls mit IPTables Befehlen siehe Abschnitt 2 5 Firewalls Die folgenden Abschnitte setzen ein grundlegendes Wissen ber das jeweilige Thema voraus und konzentrieren sich daher auf spezielle Sicherheitsoptionen 43 Kapitel 2 Sichern Ihres Netzwerks 2 2 1 1 Erh hung der Sicherheit mit TCP Wrappern TCP Wrapper k nnen viel mehr als nur Zugriffe auf Dienste verweigern In diesem Abschnitt wird erl utert wie TCP Wrapper zum Versenden von Verbindungs Bannern Warnen vor Angriffen von bestimmten Hosts und Erweitern der Protokollierungsfunktionalit t ei
181. ne Vielzahl von Informationen ber die Netzwerkdienste und zur Konfiguration Werfen Sie einen Blick auf die Handbuchseiten von 1sof netstat nmap und services f r weitere Informationen 2 3 TCP Wrapper und xinetd Die Kontrolle ber den Zugriff auf Netzwerkdienste ist eine der wichtigsten Sicherheitsaufgaben denen sich ein Server Administrator stellen muss Unter Red Hat Enterprise Linux gibt es eine Reihe von Tools zu diesem Zweck Eine iptables basierte Firewall etwa filtert alle unerw nschten Netzwerkpakete im Netzwerkstapel des Kernels heraus F r Netzwerkdienste die davon Gebrauch machen f gt TCP Wrapper eine zus tzliche Schutzschicht hinzu indem dieser definiert welchen Hosts es erlaubt ist mit Netzwerkdiensten zu verbinden die von TCP Wrappern gesch tzt werden und welchen nicht Einer dieser durch TCP Wrapper gesch tzten Netzwerkdienste ist der xinetd 57 Kapitel 2 Sichern Ihres Netzwerks Super Server Dieser Dienst wird Super Server genannt da er Verbindungen zu einer Untergruppe von Netzwerkdiensten steuert und die Zugriffskontrolle weiter verfeinert Abbildung 2 4 Zugriffskontrolle zu Netzwerkdiensten ist eine einfache Illustration die die Zusammenarbeit dieser Tools beim Schutz von Netzwerkdiensten darstellt Incoming Request from the internet Firewall Request accepted Request rejected TCP Wrappers xinetd Request Request accepted accepted TCP Wrapped xinetd Controlled Netw
182. nf llig sobald diese Dienste ber das Internet verf gbar gemacht werden welches selbst von Natur aus unsicher ist Eine Art von unsicheren Netzwerkdienste sind solche die Benutzernamen und Passw rter f r die Authentifizierung ben tigen diese Informationen bei der bertragung ber das Netzwerk jedoch nicht verschl sseln Telnet und FTP sind solche Dienste Paket Sniffing Software die den Verkehr zwischen entfernten Benutzern und einem solchen Server berwacht kann so problemlos die Benutzernamen und Passw rter abfangen Die oben genannten Dienste k nnen somit auch leichter einem sogenannten Man in the Middle Angriff zum Opfer fallen Bei dieser Art von Angriff leitet ein Cracker den Netzwerkverkehr um indem er einen kompromittierten Name Server dazu bringt auf seinen Rechner zu verweisen anstatt auf den richtigen Server Sobald daraufhin jemand eine Remote Session zu dem Server ffnet verh lt sich der Rechner des Angreifers als unsichtbare Zwischenleitung und sitzt dabei unerkannt zwischen dem entfernten Dienst und dem ahnungslosen Benutzer und sammelt Informationen Auf diese Weise kann ein Angreifer Administrationspassw rter und Daten sammeln ohne dass der Server oder der Benutzer dies merkt Eine weitere Art von unsicheren Diensten sind Netzwerkdateisysteme und Informationssysteme wie zum Beispiel NFS oder NIS die ausdr cklich f r eine Verwendung in LANs entwickelt wurden dann jedoch ungl cklicherweise f r WANs erw
183. ng dieser Applikation und ihrer verf gbaren Optionen finden Sie unter Abschnitt 2 5 2 Grundlegende Firewall Konfiguration F r fortgeschrittene Benutzer und Server Administratoren ist wahrscheinlich die manuelle Konfiguration einer Firewall mittels iptables die bessere Wahl Weitere Informationen finden Sie unter Abschnitt 2 5 Firewalls Einen umfassenden Leitfaden zum iptables Befehl finden Sie unter Abschnitt 2 6 IPTables 2 1 7 Kommunikationstools mit verbesserter Sicherheit Mit wachsender Verbreitung und Beliebtheit des Internets w chst auch das Risiko dass Kommunikationsdatenverkehr abgefangen wird In den letzten Jahren wurden Tools entwickelt die jegliche Kommunikation bei der bertragung ber das Netzwerk verschl sseln Red Hat Enterprise Linux 6 wird mit zwei einfachen Tools geliefert die Verschl sselungsalgoritnmen auf h chster Ebene basierend auf ffentlichen Schl sseln zum Schutz der Daten bei der bertragung im Netzwerk verwenden e OpenSSH Eine offene Implementierung des SSH Protokolls zur Verschl sselung von Netzwerkkommunikation e Gnu Privacy Guard GPG Eine offene Implementierung der PGP Pretty Good Privacy Verschl sselungsapplikation zur Verschl sselung von Daten OpenSSH ist eine sichere Methode f r den Zugang zur einer entfernten Maschine und ersetzt ltere unverschl sselte Dienste wie telnet und rsh OpenSSH umfasst einen Netzwerkdienst namens sshd und drei Befehlszei
184. ngesetzt werden k nnen Mehr Informationen ber die Funktionalit t und Kontrollsprache der TCP Wrapper finden Sie auf der hosts_options Handbuchseite Werfen Sie zudem einen Blick auf die xinetd conf Handbuchseite erh ltlich online unter http linux die net man 5 xinetd conf f r Informationen ber verf gbare Flags die Sie als Optionen auf einen Dienst anwenden k nnen 2 2 1 1 1 TCP Wrapper und Verbindungsbanner Benutzern beim Verbinden mit einem Dienst ein einsch chterndes Banner anzuzeigen ist eine gute Methode um potenzielle Angreifer wissen zu lassen dass sie es mit einem aufmerksamen Systemadministrator zu tun haben Zugleich k nnen Sie auf diese Weise steuern welche Informationen ber das System den Benutzern gezeigt werden Um ein TCP Wrapper Banner f r einen Dienst zu implementieren verwenden Sie die Option banner In diesem Beispiel wird ein Banner f r vsftpd implementiert Erstellen Sie zun chst einmal eine Bannerdatei Es ist unerheblich wo diese sich auf dem System befindet muss aber den gleichen Namen wie der Daemon tragen In diesem Beispiel hei t die Datei etc banners vsftpd und enth lt die folgende Zeile 220 Hello c 220 All activity on ftp example com is logged 220 Inappropriate use will result in your access privileges being removed Der c Token liefert eine Reihe von Client Informationen wie den Benutzernamen und Hostnamen oder den Benutzernamen und die IP Adresse um die Verbindung noch abschrec
185. ngt ein Angreifer als regul rer Benutzer Zugriff auf das System kann er die etc passwd Datei auf seinen eigenen Rechner kopieren und diverse Programme zum Knacken von Passw rtern dar ber laufen lassen Befindet sich ein unsicheres Passwort in der Datei ist es nur eine Frage der Zeit bis es von diesen Programmen geknackt wird Shadow Passw rter machen diese Art von Angriff unm glich da die Passwort Hashes in der Datei etc shadow gespeichert werden die nur vom Root Benutzer gelesen werden kann Dies zwingt einen m glichen Angreifer Passw rter auf dem Rechner von Remote aus ber einen Netzwerkdienst wie zum Beispiel SSH oder FTP zu knacken Diese Art von Angriff ist wesentlich langsamer und hinterl sst offensichtliche Spuren da Hunderte von gescheiterten Anmeldeversuchen in Systemdateien aufgezeichnet werden Wenn der Angreifer jedoch eine Attacke mitten in der Nacht startet und Sie schwache Passw rter auf dem System haben erlangt der Angreifer eventuell Zugang noch vor Morgengrauen und konnte seine Spuren in den Protokolldateien bereits verwischen Ein weiteres Problem ber die berlegungen zu Format und Speicherung hinaus ist der Inhalt Das wichtigste was ein Benutzer tun kann um seinen Account gegen eine Passwortattacke zu sch tzen ist das Erstellen eines sicheren Passworts 2 1 3 1 Erstellen sicherer Passw rter Beim Erstellen von Passw rtern ist es sinnvoll die folgenden Richtlinien zu befolgen e Verwenden Sie nic
186. nken die Aufmerksamkeit auf Dinge die sonst leicht bersehen werden k nnen Konfigurations nderungen die nur f r die aktuelle Sitzung gelten oder Dienste f r die ein Neustart n tig ist bevor eine Aktualisierung wirksam wird Das Ignorieren von Wichtig Schauk sten w rde keinen Datenverlust verursachen kann aber unter Umst nden zu rgernissen und Frustration f hren Vorwort Eine Warnung sollte nicht ignoriert werden Das Ignorieren von Warnungen f hrt mit hoher Wahrscheinlichkeit zu Datenverlust 2 Wir freuen uns auf Ihr Feedback Falls Sie einen Fehler in diesem Handbuch finden oder eine Idee haben wie dieses verbessert werden k nnte freuen wir uns ber Ihr Feedback Bitte reichen Sie einen Fehlerbericht in Bugzilla http bugzilla redhat com f r das Produkt Red Hat Enterprise Linux ein Vergewissern Sie sich beim Einreichen eines Fehlerberichts dass Sie die Kennung des Handbuchs mit angeben doc Security_Guide sowie die Versionsnummer 6 Falls Sie uns einen Vorschlag zur Verbesserung der Dokumentation senden m chten sollten Sie hierzu m glichst genaue Angaben machen Wenn Sie einen Fehler gefunden haben geben Sie bitte die Nummer des Abschnitts und einen Ausschnitt des Textes an damit wir diesen leicht finden k nnen berblick ber Sicherheit Durch die wachsende Abh ngigkeit von leistungsstarken vernetzten Computern f r das F hren von Unternehmen und Aufzeichnen
187. nners Die Bannerdatei f r FTP Verbindungen in diesem Beispiel ist etc banners ftp msg Das nachfolgende Beispiel zeigt wie eine derartige Datei aussehen kann HHHHHHHH Hello all activity on ftp example com is logged HHHHHHHHH A Es ist nicht n tig jede Zeile der Datei mit 220 wie in Abschnitt 2 2 1 1 1 TCP Wrapper und Verbindungsbanner beschrieben zu beginnen Um f r vsftpd auf diese Gru banner Datei zu verweisen f gen Sie folgende Direktive zu etc vsftpd vsftpd conf hinzu banner_file etc banners ftp msg Es ist auch m glich zus tzliche Banner f r eingehende Verbindungen mittels TCP Wrappern zu senden Dies wird unter Abschnitt 2 2 1 1 1 TCP Wrapper und Verbindungsbanner beschrieben 2 2 6 2 Anonymer Zugang Die Existenz des var ftp Verzeichnisses aktiviert den anonymen Account Der einfachste Weg dieses Verzeichnis zu erstellen ist durch die Installation des vsftpd Pakets Dieses Paket erstellt einen Verzeichnisbaum f r anonyme Benutzer und vergibt anonymen Benutzern lediglich Leseberechtigungen f r Verzeichnisse Standardm ig k nnen anonyme Benutzer nicht in Verzeichnisse schreiben 53 Kapitel 2 Sichern Ihres Netzwerks Wenn Sie einen anonymen Zugang zu FTP Servern zulassen sollten Sie darauf achten wo Sie sensible Daten speichern 2 2 6 2 1 Anonymes Hochladen Wenn Sie anonymen Benutzern erlauben m chten Dateien hochzuladen wird empfohlen ein Verzeichnis nur
188. nst hat seine Ressourcengrenze nicht erreicht und es werden keine definierten Regeln verletzt so startet xinetd eine Instanz des angefragten Dienstes und gibt die Kontrolle ber die Verbindung daran ab Sobald die Verbindung besteht greift xinetd nicht weiter in die Kommunikation zwischen Client Host und Server ein 2 3 4 xinetd Konfigurationsdateien Die Konfigurationsdateien f r xinetd lauten wie folgt e etc xinetd conf Die allgemeine xinetd Konfigurationsdatei e etc xinetd d Das Verzeichnis das alle dienstspezifischen Dateien enth lt 2 3 4 1 Die letc xinetd conf Datei Die etc xinetd conf Datei enth lt allgemeine Konfigurationseinstellungen die sich auf jeden Dienst unter der Kontrolle von xinetd auswirken Bei jedem Start des xinetd Dienstes wird diese Datei gelesen Damit Konfigurations nderungen wirksam werden muss der Administrator den xinetd Dienst also neu starten Nachfolgend sehen Sie ein Beispiel f r eine etce xinetd conf Datei defaults instances 60 log_type SYSLOG authpriv log_on_success HOST PID log_on_failure HOST cps 25 30 includedir etc xinetd d Diese Zeilen kontrollieren die folgenden Aspekte von xinetd e instances Legt die H chstzahl von Anfragen fest die xinetd gleichzeitig bearbeiten kann e 10o9_type Weist xinetd an die authpriv Facillity zu verwenden die Protokolleintr ge in die var log secure Datei schreibt Das Hinzuf gen einer Direktive wie FILE v
189. nste von der example com Domain aus zuzugreifen versuchen mitgeteilt dass diese vom Server ausgeschlossen wurden vsftpd example com twist bin echo 421 h has been banned from this server Eine vollst ndige Erkl rung der verf gbaren Erweiterungen sowie der zus tzlichen Zugriffskontrolloptionen finden Sie in Abschnitt 5 der Handbuchseiten von hosts_access man 5 hosts_access sowie der Handbuchseite f r hosts_options 66 xinetd Weitere Informationen zu TCP Wrappern finden Sie unter Abschnitt 2 3 5 Zus tzliche Informationsquellen 2 3 3 xinetd Der xinetd Daemon ist ein TCP wrapped Super Dienst der den Zugriff auf eine Reihe g ngiger Netzwerkdienste wie FTP IMAP und Telnet steuert Er bietet au erdem dienstspezifische Konfigurationsoptionen zur Zugriffskontrolle erweiterte Protokollierung Binding Umleitungen sowie Ressourcenverwaltung Wenn ein Client einen Verbindungsversuch mit einem durch xinetd gesteuerten Netzwerkdienst unternimmt so erh lt der Super Dienst die Anfrage und pr ft auf Zugriffskontrollregeln der TCP Wrapper Falls der Zugriff gestattet ist so verifiziert xinetd dass die Verbindung unter den eigenen Zugriffsregeln f r diesen Dienst gestattet ist Es wird auch gepr ft ob dem Dienst mehr Ressourcen zugewiesen werden k nnen und dass keine definierten Regeln verletzt werden Falls alle diese Bedingungen erf llt sind d h der Zugriff auf den Dienst wurde gew hrt der Die
190. oder IP Adresse wenn der Host Name nicht verf gbar ist n Der Host Name des Clients Wenn dieser nicht verf gbar ist so wird unknown ausgegeben Wenn der Host Name und die Host Adresse des Clients nicht bereinstimmen wird paranoid ausgegeben N Der Host Name des Servers Wenn dieser nicht verf gbar ist wird unknown ausgegeben Wenn der Host Name und die Host Adresse des Servers nicht bereinstimmen wird paranoid ausgegeben p Die ID des Daemon Prozesses e s Verschiedene Server Informationen wie zum Beispiel der Daemon Prozess und die Host oder IP Adresse des Servers u Der Benutzername des Clients Wenn dieser nicht verf gbar ist wird unknown ausgegeben Die folgende Beispielregel verwendet eine Erweiterung in Verbindung mit dem spawn Befehl um den Client Host in einer benutzerdefinierten Protokolldatei zu identifizieren Sollte ein Verbindungsversuch zum SSH Daemon sshd von einem Host in der example com Domain unternommen werden f hren Sie den echo Befehl aus um den Versuch in eine spezielle Protokolldatei zu schreiben einschlie lich des Host Namens des Clients unter Verwendung der h Erweiterung sshd example com spawn bin echo bin date access denied to h gt gt var log sshd log deny Auf hnliche Weise k nnen Erweiterungen dazu verwendet werden um Nachrichten f r bestimmte Clients zu personalisieren Im folgenden Beispiel wird Clients die auf FTP Die
191. oll Es ist empfehlenswert ein Ablaufdatum anzugeben statt den Standardwert kein Ablaufdatum zu bernehmen Falls beispielsweise die E Mail Adresse auf dem Schl ssel ung ltig wird kann ein Ablaufdatum andere Nutzer daran erinnern diesen ffentlichen Schl ssel nicht l nger zu verwenden Bitte w hlen Sie wie lange der Schl ssel g ltig bleiben soll O Schl ssel verf llt nie d Schl ssel verf llt nach n Tagen w Schl ssel verf llt nach n Wochen m Schl ssel verf llt nach n Monaten y Schl ssel verf llt nach n Jahren Wie lange bleibt der Schl ssel g ltig 0 Wenn Sie beispielsweise den Wert 1y eingeben bleibt der Schl ssel f r ein Jahr g ltig Sie k nnen dieses Ablaufdatum auch noch nach Erzeugung des Schl ssels ndern sollten Sie es sich anders berlegen Bevor das gpg Programm die Signaturinformationen abfragt erscheint die folgende Eingabeaufforderung Ist dies richtig J N Tippen Sie j um den Vorgang abzuschlie en Geben Sie als N chstes Ihren Namen und Ihre E Mail Adresse an Denken Sie daran dass der Sinn und Zweck dieser Schl ssel darin besteht Sie als echte Person zu authentifizieren geben Sie also 113 Kapitel 3 Verschl sselung Ihren richtigen Namen an Verwenden Sie keine Aliasse oder Decknamen da diese Ihre Identit t verschleiern Geben Sie Ihre richtige E Mail Adresse f r Ihren GPG Schl ssel an Falls Sie eine falsche oder erfundene E Mail Adresse angeben ersch
192. omputers befinden muss auf dem die Daten gespeichert werden sondern nur irgendwo auf dem bertragungsweg Verschl sselungstunnel k nnen die Daten auf Ihrem Kommunikationsweg sch tzen 3 5 Virtuelle Private Netzwerke Virtuelle Private Netzwerke Virtual Private Networks oder kurz VPNs bieten verschl sselte Tunnel zwischen Computern oder Netzwerken von Computern ber alle Ports hinweg Ist ein VPN eingerichtet wird s mtlicher Netzwerkverkehr vom Client durch den verschl sselten Tunnel zum Server weitergeleitet Das bedeutet dass sich der Client logisch auf demselben Netzwerk wie der Server befindet mit dem er ber das VPN verbunden ist VPNs sind weit verbreitet sowie einfach einzurichten und zu handhaben 3 6 Secure Shell Secure Shell SSH ist ein leistungsstarkes Netzwerkprotokoll das zur Kommunikation mit einem anderen System ber einen sicheren Tunnel verwendet wird Die mit SSH bertragenen Daten sind verschl sselt und vor dem Abfangen durch Angreifer gesch tzt Zudem kann eine kryptografische Anmeldung verwendet werden um eine bessere Authentifizierungsmethode als herk mmliche Benutzernamen und Passw rter zu bieten SSH ist sehr einfach zu aktivieren Sobald der sshd Dienst gestartet wird akzeptiert das System Verbindungen und erlaubt Zugriff auf das System wenn beim Verbindungsvorgang eine korrekte Benutzername Passwort Kombination angegeben wird Der standardm ige TCP Port f r den SSH Dienst ist 22 dies kann
193. on name w 12 t C C C x d etc ipsec d Erstellen von Benutzerzertifikaten signiert durch die vorherige CA e certutil S k rsa c lt ca cert nickname gt n lt user cert nickname gt s CN user cert common name w 12 t u u u d etc ipsec d 2 4 2 4 Informationsquellen zu Openswan http www openswan org http lists openswan org pipermail users http lists openswan org pipermail dev http www mozilla org projects security pki nss Das Openswan doc Paket HTML Beispiele README e README nss 2 5 Firewalls Die Informationssicherheit wird blicherweise als Prozess und nicht als Produkt angesehen Allerdings setzen standardm ige Sicherheitsimplementierungen normalerweise gewisse Mechanismen ein um Zugriffsrechte zu steuern und Netzwerkressourcen auf Benutzer zu beschr nken die autorisiert identifizierbar und nachverfolgbar sind Red Hat Enterprise Linux enth lt mehrere Tools die Administratoren und Sicherheitstechnikern bei Fragen der Zugangskontrolle auf Netzwerkebene unterst tzen k nnen Firewalls sind einer der Kernbestandteile bei einer Sicherheitsimplementierung im Netzwerk Mehrere Hersteller bieten Firewall L sungen an die f r alle Bereiche des Marktes geeignet sind vom privaten Benutzer zum Schutz eines einzelnen PCs bis hin zu L sungen f r Datenzentren wo wichtige Unternehmensinformationen gesch tzt werden Firewalls k nnen eigenst ndige Hardware L sungen sein wie die
194. onen Zus tzliche bereinstimmungsoptionen stehen durch Module zur Verf gung die vom Befehl iptables geladen werden k nnen Um ein Modul f r bereinstimmungsoptionen zu verwenden m ssen Sie das Modul namentlich mithilfe der Option m lt module name gt laden wobei lt module name gt der Name des Moduls ist Viele Module stehen standardm ig zur Verf gung Sie k nnen zudem Ihre eigenen Module erstellen um die Funktionalit t zu erweitern Sehen Sie nachfolgend einige der am h ufigsten verwendeten Module e limit Modul Schr nkt die Anzahl der Pakete ein auf die eine bestimmte Regel zutrifft Wenn das limit Modul in Verbindung mit dem LOG Ziel verwendet wird kann es verhindern dass eine Flut bereinstimmender Pakete das Systemprotokoll mit sich wiederholenden Nachrichten berschwemmen bzw Systemressourcen verbrauchen Werfen Sie einen Blick auf Abschnitt 2 6 2 5 Zieloptionen f r weitere Informationen zum LOG Ziel Das limit Modul akzeptiert die folgenden Optionen e limit Bestimmt die maximale Zahl der bereinstimmungen innerhalb eines bestimmten Zeitraums im Format lt value gt lt period gt Mit limit 5 hour darf die Regel beispielsweise nur 5 Mal pro Stunde bereinstimmen Die Zeitr ume k nnen in Sekunden Minuten Stunden oder Tagen angegeben werden Wenn keine Angaben zur Anzahl oder Zeit gemacht werden wird der Standardwert 3 hour angenommen limit burst Setzt eine Grenze f r
195. ork Service Network Service Abbildung 2 4 Zugriffskontrolle zu Netzwerkdiensten Dieses Kapitel besch ftigt sich mit der Rolle von TCP Wrappern und xinetd bei der Zugriffskontrolle auf Netzwerkdienste sowie mit Wegen wie mithilfe dieser Tools die Verwaltung der Protokollierung und der Anwendung verbessern werden kann Weitere Informationen zum Einsatz von Firewalls mit iptables finden Sie unter Abschnitt 2 6 IPTables 2 3 1 TCP Wrappers Die TCP Wrapper Pakete tcp_wrappers und tcp_wrappers libs sind standardm ig installiert und stellen Host basierte Zugriffskontrolle f r Netzwerkdienste zur Verf gung Die wichtigste Komponente in diesen Paketen ist die 1lib libwrap a oder 1ib64 1libwrap a Bibliothek Im Wesentlichen handelt es sich bei einem von TCP Wrappern kontrollierten Dienst um einen Dienst der mit der libwrap a Bibliothek kompiliert wurde Wenn ein Verbindungsversuch zu einem TCP wrapped Dienst eingeleitet wird so wird der Dienst zuerst die Zugriffsdateien des Hosts etc hosts allow und etc hosts deny untersuchen um festzustellen ob eine Verbindung des Clients erlaubt ist In den meisten F llen schreibt er anschlie end mithilfe des syslog Daemons syslogd den Namen des anfordernden Hosts und Dienstes in var log secure oder var log messages 58 TCP Wrapper Konfigurationsdateien Wenn es einem Client erlaubt ist sich zu verbinden gibt der TCP Wrapper die Kontrolle ber die Verbindung an den angeforder
196. osystem 4 24444ssnnensnennnnnnnnnnnnnnen nennen EEn nam EEEn nen A 2 6 ElGamal Verschl sselung B Versionsgeschichte vi Vorwort 1 Dokumentkonventionen Dieses Handbuch verwendet mehrere Konventionen um bestimmte W rter und Phrasen hervorzuheben und Aufmerksamkeit auf spezifische Informationen zu lenken In PDF und Papierausgaben verwendet dieses Handbuch Schriftbilder des Liberation Fonts Sets Das Liberation Fonts Set wird auch f r HTML Ausgaben verwendet falls es auf Ihrem System installiert ist Falls nicht werden alternative aber quivalente Schriftbilder angezeigt Beachten Sie Red Hat Enterprise Linux 5 und die nachfolgende Versionen beinhalten das Liberation Fonts Set standardm ig 1 1 Typografische Konventionen Es werden vier typografische Konventionen verwendet um die Aufmerksamkeit auf spezifische W rter und Phrasen zu lenken Diese Konventionen und die Umst nde unter denen sie auftreten sind folgende Nichtproportional Fett Dies wird verwendet um Systemeingaben hervorzuheben einschlie lich Shell Befehle Dateinamen und Pfade Es wird ebenfalls zum Hervorheben von Tasten und Tastenkombinationen verwendet Zum Beispiel Um den Inhalt der Datei my_next_bestselling_novel in Ihrem aktuellen Arbeitsverzeichnis zu sehen geben Sie den Befehl cat my_next_bestselling_novel in den Shell Prompt ein und dr cken Sie Enter um den Befehl auszuf hren Das oben aufgef hrte Beispi
197. pedia 14 November 2009 http en wikipedia org wiki Diffie Hellman 16 DSA Wikipedia 24 February 2010 http en wikipedia org wiki Digital_Signature_Algorithm 14 15 127 Anhang A Verschl sselungsstandards Mehrere Versionen dieser Protokolle werden weitl ufig in Anwendungen wie Webbrowsern E Mail Internet Fax Instant Messaging und Voice Over IP VoIP eingesetzt A 2 5 Cramer Shoup Kryptosystem Das Cramer Shoup System ist ein asymmetrischer Verschl sselungsalgorithmus und war das erste praktikable Verschl sselungsverfahren das im Standardmodell ohne Zufallsorakel gegen adaptive Chosen Ciphertext Angriffe sicher war Die Sicherheit des Verfahrens beruht auf der Schwierigkeit des Decisional Diffie Hellman Problems Es wurde in 1998 von Ronald Cramer und Victor Shoup entwickelt als Erweiterung des Elgamal Kryptosystems Im Gegensatz zu dem sehr verformbaren Elgamal f gt Cramer Shoup zus tzliche Elemente hinzu um die Nicht Verformbarkeit selbst gegen hartn ckige Angreifer zu erh hen Diese Nicht Verformbarkeit wird mithilfe einer kollisionsresistenten Pla UnEUgn und zus tzlichen Berechnungen erreicht die in zweimal so umfangreichen Chiffraten resultieren A 2 6 ElGamal Verschl sselung In der Kryptografie ist das ElGamal Kryptosystem ein asymmetrischer Verschl sselungsalgorithmus der asymmetrischen Kryptografie das auf der Diffie Hellman Schl sselvereinbarung basiert Es wurde in 1985 von Taher Elgamal beschrieben
198. r einen detaillierteren berblick der Optionen siehe Abschnitt 2 3 2 2 Optionsfelder 61 Kapitel 2 Sichern Ihres Netzwerks 2 3 2 1 1 Platzhalter Platzhalter erlauben TCP Wrappern eine einfachere bereinstimmung mit Gruppen von Daemons oder Hosts Platzhalter werden h ufig im Client Listenfeld der Zugriffsregeln verwendet Die folgenden Platzhalter stehen zur Verf gung e ALL Stimmt mit allen Werten berein Kann sowohl f r die Daemon Liste als auch f r die Client Liste verwendet werden e LOCAL Stimmt mit jedem Host berein der keinen Punkt enth lt wie z B localhost e KNOWN Stimmt mit jedem Host berein dessen Host Name und Host Adresse oder der Benutzer bekannt sind UNKNOWN Stimmt mit jedem Host berein dessen Host Name und Host Adresse oder der Benutzer unbekannt sind e PARANOID Stimmt mit jedem Host berein dessen Host Name nicht mit der Host Adresse bereinstimmt BI Wichtig UT __ Die Platzhalter KNOWN UNKNOWN und PARANOID sollten mit Vorsicht verwendet werden da deren ordnungsgem er Betrieb von einem funktionierenden DNS Server abh ngt Ein Problem bei der Namensaufl sung kann eine Zugriffsverweigerung auf Dienste f r berechtigte Benutzer zur Folge haben 2 3 2 1 2 Muster Muster k nnen im Client Listenfeld von Zugriffsregeln benutzt werden um Gruppen von Client Hosts genauer zu bestimmen Nachfolgend sehen Sie eine Liste der g ngigsten Mus
199. r iptables Dienst nicht zum automatischen Start beim Systemstart konfiguriert Siehe Abschnitt 2 5 2 6 Aktivieren des IPTables Dienstes f r weitere Informationen 2 5 2 6 Aktivieren des IPTables Dienstes Die Firewall Regeln sind nur aktiv wenn der iptables Dienst l uft Um den Dienst manuell zu starten f hren Sie den folgenden Befehl aus root myServer service iptables restart Um zu gew hrleisten dass iptables zum Zeitpunkt des Systemstarts ebenfalls gestartet wird verwenden Sie den folgenden Befehl root myServer chkconfig level 345 iptables on 2 5 3 Verwenden von IPTables Um iptables verwenden zu k nnen m ssen Sie zun chst den iptables Dienst starten F hren Sie den folgenden Befehl aus um den iptables Dienst zu starten root myServer service iptables start 82 Verwenden von IPTables Der ip6tables Dienst kann ausgeschaltet werden falls Sie ausschlie lich den iptables Dienst nutzen m chten Falls Sie den ip6tables Dienst deaktivieren vergessen Sie nicht auch das IPv6 Netzwerk zu deaktivieren Lassen Sie nie ein Netzwerkger t aktiv das keine entsprechende Firewall besitzt Um iptables dazu zu zwingen beim Hochfahren des Systems ebenfalls zu starten f hren Sie den folgenden Befehl aus root myServer chkconfig level 345 iptables on Dadurch wird iptables dazu gezwungen zu starten sobald das System in Runlevel 3 4 oder 5 hochgefahren wird 2 5 3 1 Bef
200. rator Anmeldungen als Root noch weiter verhindern kann Tabelle 2 1 Methoden zum Deaktivieren des Root Accounts Methode Effekt ndern Bearbeiten Sie die Verhindert Zugang zur Programme die keine der Root etc passwd Datei und Root Shell und protokolliert Shell ben tigen wie zum Shell ndern Sie die Shell von jegliche Versuche Beispiel FTP Clients Mail Beschreibung bin bash auf sbin nologin Die folgenden Programme werden daran gehindert auf den Root Account zuzugreifen login gehindert auf den Root gdm Account zuzugreifen kdm sudo xdm FTP Clients su E Mail Clients ssh Keine Auswirkung auf Clients und viele setuid Programme Folgende Programme werden nicht daran 32 Administrative Kontrolle Methode Beschreibung Effekt Keine Auswirkung auf SCP sftp DeaktivierenEine leere etc Verhindert den Zugriff Programme die sich nicht des Root securetty Datei auf den Root Account als Root anmelden jedoch Zugriffs verhindert die ber die Konsole oder administrative Aufgaben ber Anmeldung als Root auf das Netzwerk Folgende mittels setuid oder anderen Konsolengej glichen am Computer tty Deaktiviere von SSH angeschlossenen Ger ten nBearbeiten Sie die Datei etc ssh sshd_config Programme werden daran gehindert auf den Root Account zuzugreifen login gdm kdm xdm Andere Netzwerkdienste die ein tty ffne
201. rge geben als andere kann die Protokollierungsebene f r den jeweiligen Dienst ber die Option severity angehoben werden Lassen Sie uns f r dieses Beispiel annehmen dass jeder der eine Verbindung zu Port 23 dem Telnet Port auf einem FTP Server herstellen will ein Cracker ist Um dies zu kennzeichnen f gen Sie ein emerg Flag anstelle des Standard Flags info in die Protokolldatei ein und verweigern Sie die Verbindung F gen Sie dazu die folgende Zeile in die Datei etc hosts deny ein in telnetd ALL severity emerg Dadurch wird die standardm ige authpriv Protokollierungs Facility verwendet jedoch wird die Priorit t vom Standardwert info auf emerg angehoben wodurch Protokollnachrichten direkt auf der Konsole ausgegeben werden 2 2 1 2 Erh hen der Sicherheit mit xinetd In diesem Abschnitt wird erl utert wie xinetd dazu eingesetzt werden kann einen so genannten Trap Dienst einzurichten sowie die verf gbaren Ressourcen f r jeden xinetd Dienst zu kontrollieren Das Setzen von Ressourcengrenzen kann dabei helfen Denial of Service DoS Angriffe zu unterbinden Eine Liste der verf gbaren Optionen finden Sie auf den Handbuchseiten zu xinetd und xinetd conf 2 2 1 2 1 Aufstellen einer Falle Ein wichtiges Feature von xinetd ist die F higkeit Hosts zu einer globalen no_access Liste hinzuf gen zu k nnen Den Hosts auf dieser Liste werden Verbindungen zu Diensten die von xinetd verwaltet werden f r einen bestimmten Zeitr
202. rhalb des Moduls zu erlangen Sicherheitsschl sser oder Siegel zur Originalit tssicherung werden auf Abdeckungen oder ffnungen platziert um gegen unbefugten physischen Zugriff zu sch tzen Level 3 Zus tzlich zur den Sicherheitsma nahmen zur Originalit tssicherung f r Sicherheits Level 2 versucht das Sicherheits Level 3 einen Angreifer daran zu hindern Zugriff auf die kritischen Sicherheitsparameter innerhalb des kryptografischen Moduls zu erlangen Die f r Sicherheits Level 3 n tigen physischen Sicherheitsmechanismen sollen mit hoher Wahrscheinlichkeit Versuche auf das kryptografische Modul zuzugreifen es zu verwenden oder zu ver ndern erkennen und darauf reagieren Zu den physischen Sicherheitsmechanismen geh ren der Einsatz von stabilen Geh usen sowie Schaltkreise zur Erkennung von Einbr chen die s mtliche kritische Sicherheitsparameter mit Nullen berschreiben wenn die Abdeckungen oder ffnungen des kryptografischen Moduls ge ffnet werden Level 4 Das Sicherheits Level 4 bietet das h chste Ma an Sicherheit das in diesem Standard definiert ist Bei diesem Sicherheits Level bieten die physischen Sicherheitsmechanismen einen vollst ndigen Schutzschild um das kryptografische Modul um alle unerlaubten physischen Zugriffe darauf zu erkennen und entsprechend zu reagieren Ein wie auch immer geartetes Eindringen in 121 Kapitel 7 Regierungsstandards und reglementierungen das Geh use des kryptografischen Mod
203. rheitsrichtlinie Im Folgenden wird das CIA Modell n her beschrieben Vertraulichkeit Vertrauliche Informationen d rfen nur f r im vornherein festgelegte Einzelpersonen verf gbar sein Unautorisierte bertragung und Verwendung von Informationen muss verhindert werden So stellt zum Beispiel die Vertraulichkeit von Informationen sicher dass pers nliche oder finanzielle Details von Kunden nicht von Unbefugten f r b swillige Zwecke wie Identit tsraub oder Kreditbetrug missbraucht werden k nnen Integrit t Informationen d rfen nicht derart ver ndert werden dass sie unvollst ndig oder falsch werden Unbefugte m ssen daran gehindert werden vertrauliche Informationen ndern oder zerst ren zu k nnen Verf gbarkeit Informationen m ssen jederzeit f r befugte Personen zug nglich sein Verf gbarkeit ist die Garantie daf r dass Informationen mit einer vereinbarten H ufigkeit und rechtzeitig abgerufen werden k nnen Dies wird h ufig in Prozent gemessen und formell in Service Level Agreements SLAs zwischen Netzwerkservice Anbietern und deren Gesch ftskunden festgelegt 1 1 2 SELinux Red Hat Enterprise Linux beinhaltet eine Erweiterung zum Linux Kernel namens SELinux die eine Mandatory Access Control MAC Architektur implementiert welche feingranulare Kontrolle ber Dateien Prozesse Benutzer und Applikationen im System erm glicht Eine detaillierte Kapitel 1 berblick ber Sicherheit Auseinanders
204. rkle als Erfinder A 2 2 RSA In der Kryptografie ist RSA was f r ihre Erfinder Rivest Shamir und Adleman steht ein Algorithmus der asymmetrischen Kryptografie Es war der erste Algorithmus der sowohl zur Signierung als auch zur Verschl sselung eingesetzt werden konnte und stellte so einen Meilenstein in der asymmetrischen Kryptografie dar RSA wird weit verbreitet im elektronischen Handel eingesetzt und gilt aufgrund seiner ausreichend langen Schl ssel und der Verwendung von aktuellen Implementierungen als sicher A 2 3 DSA DSA Digital Signature Algorithm ist ein Standard der US Regierung f r Digitale Signaturen Der DSA ist ein reines Signatur Verfahren es gibt kein verwandtes Verschl sselungsverfahren A 2 4 SSLITLS Transport Layer Security TLS und sein Vorg nger Secure Sockets Layer SSL sind kryptografische Protokolle die Sicherheit f r Daten bertragungen ber Netzwerke wie das Internet erm glichen TLS und SSL verschl sseln die Segmente der Netzwerkverbindungen auf der Transportschicht zwischen zwei Endpunkten Public key Encryption Wikipedia 14 November 2009 http en wikipedia org wiki Public key_cryptography 12 Diffie Hellman Wikipedia 14 November 2009 http en wikipedia org wiki Diffie Hellman 2 Diffie Hellman Wikipedia 14 November 2009 http en wikipedia org wiki Diffie Hellman Diffie Hellman Wikipedia 14 November 2009 http en wikipedia org wiki Diffie Hellman Diffie Hellman Wiki
205. s A OUTPUT p tcp sport 22 j ACCEPT Diese Regeln erlauben eingehende und ausgehende Verbindungen f r ein einzelnes System wie z B ein einzelner PC der direkt mit dem Internet oder einer Firewall bzw einem Gateway verbunden ist Allerdings erlauben diese Regeln Knoten hinter der Firewall bzw dem Gateway nicht den Zugriff auf diese Dienste Um LAN Zugriff auf diese Dienste zu erlauben k nnen Sie Network Address Translation NAT mit iptables Filterungsregeln nutzen 2 5 5 FORWARD und NAT Regeln Die meisten Internet Anbieter stellen ihren Unternehmenskunden nur eine begrenzte Anzahl an ffentlich routbaren IP Adressen zur Verf gung Administratoren m ssen daher andere Wege finden um den Zugang auf Internetdienste gemeinsam zu verwenden ohne an jeden Knoten auf dem LAN ffentliche IP Adressen zu vergeben blicherweise werden private IP Adressen genutzt um allen Knoten auf einem LAN den einwandfreien Zugriff auf interne und externe Netzwerkdienste zu erm glichen 85 Kapitel 2 Sichern Ihres Netzwerks Edge Router wie z B Firewalls k nnen eingehende Daten vom Internet empfangen und die Pakete an den entsprechenden LAN Knoten weiterleiten Gleichzeitig k nnen Firewalls Gateways ausgehende Anfragen von einem LAN Knoten an den entfernten Internet Dienst weiterleiten Diese Weiterleitung von Netzwerkdaten kann jedoch unter Umst nden gef hrlich werden insbesondere angesichts moderner Cracking Werkzeuge die intern
206. s von Robert Ziegler New Riders Press enth lt eine Menge an Informationen ber das Erstellen von Firewalls mit 2 2 Kernel und ipchains sowie mit Netfilter und iptables Es werden auch zus tzliche Sicherheitsthemen behandelt wie z B der Fernzugriff und Intrusion Detection Systeme 2 6 IPTables Red Hat Enterprise Linux beinhaltet erweiterte Tools f r die Paketfilterung den Prozess zur Kontrolle von Netzwerkpaketen w hrend diese den Netzwerkstapel des Kernels durchlaufen Die Kernel Versionen vor 2 4 nutzten ipchains zur Paketfilterung und wendeten Regellisten auf Pakete in jeder Phase des Filterungsprozesses an Mit der Kernel Version 2 4 wurde iptables eingef hrt auch Netfilter genannt die den ipchains zwar hnlich sind jedoch den Wirkungsbereich und die Kontrollm glichkeiten bei der Filterung von Netzwerkpaketen stark erweitern Dieses Kapitel behandelt die Grundlagen der Paketfilterung und erl utert die verschiedenen verf gbaren Optionen f r die iptables Befehle Es wird au erdem gezeigt wie Filterungsregeln ber Neustarts des Systems hinweg bewahrt werden k nnen Unter Abschnitt 2 6 6 Zus tzliche Informationsquellen finden Sie Anweisungen wie Sie iptables Regeln angelegen und darauf basierend eine Firewall einrichten k nnen 90 Paketfilterung Fr Wichtig TU __ In Kernel Versionen 2 4 und h her ist der standardm ige Firewall Mechanismus zwar iptables allerdings kann iptables nicht benut
207. s Mail Spool Verzeichnis nicht auf einem durch NFS gemeinsam genutzten Datentr ger ablegen 2 2 7 3 Nur Mail Benutzer Um Sicherheitsl cken des Sendmail Servers bei lokalen Benutzern zu vermeiden ist es am besten wenn Mail Benutzer nur ber ein E Mail Programm auf den Sendmail Server zugreifen Shell Accounts auf dem Mail Server sollten nicht erlaubt sein und alle Benutzer Shells in der Datei etc passwd sollten auf sbin nologin gesetzt sein evtl unter Ausnahme des Root Benutzers 2 2 8 berpr fen der horchenden Ports Nachdem Sie die Netzwerkdienste konfiguriert haben ist es wichtig zu berpr fen welche Ports auf die Netzwerkschnittstellen im System horchen Etwaige offene Ports k nnen Beweis f r ein unbefugtes Eindringen sein Es gibt zwei grundlegende Herangehensweisen f r das Auflisten der Ports die auf das Netzwerk horchen Die weniger zuverl ssige Methode ist den Netzwerkstapel durch Befehle wie netstat an oder 1sof i abzufragen Diese Methode ist deshalb unzuverl ssiger da derartige Programme sich nicht vom Netzwerk aus mit dem Computer verbinden sondern vielmehr pr fen was auf dem System ausgef hrt wird Aus diesen Grund sind diese Anwendungen h ufig Ziel f r Ersetzungen durch Angreifer Bei dieser Methode versuchen Cracker ihre Spuren zu verwischen wenn diese unbefugt Netzwerkports ge ffnet haben indem sie die Anwendungen netstat und 1sof durch ihre eigenen modifizierten Versionen ersetzen Ein zu
208. s der Liste aus 3 Klicken Sie auf Eigenschaften in der Werkzeugleiste um das Dialogfeld mit den Benutzereigenschaften anzuzeigen oder w hlen Sie Eigenschaften aus dem Datei Men 30 Administrative Kontrolle 4 Klicken Sie auf den Passwort Info Reiter und markieren Sie das Auswahlk stchen Ablauf des Passworts aktivieren 5 Geben Sie im Feld Verbleibende Tage bis zur nderung den gew nschten Wert ein und klicken Sie anschlie end auf OK E User Properties User Data Account Info Password Info Groups User last changed password on Fri 09 Jan 2009 12 00 00 AM EST I Enable password expiration Days before change allowed 0 Days before change required 99999 Days warning before change 7 Days before account inactive 1 cacei Bok Abbildung 2 1 Angeben der Optionen zur Passwortalterung 2 1 4 Administrative Kontrolle Bei der Verwaltung eines Heimcomputers muss der Benutzer einige Aufgaben als Root Benutzer durchf hren oder unter Verwendung eines setuid Programms wie sudo oder su Ein setuid Programm ist ein Programm das mit der Benutzer ID UID des Besitzers dieses Programms ausgef hrt wird statt mit der Benutzer ID desjenigen Benutzers der dieses Programm ausf hrt Solche Programme sind durch ein s im Besitzerabschnitt eines ausf hrlichen Listings gekennzeichnet wie im folgenden Beispiel veranschaulicht rwsr xr x 1 root root 47324 May 1
209. sich verbindende Client noch der wrapped Netzwerkdienst merken dass TCP Wrapper in Einsatz sind Verbindungsversuche von berechtigten Benutzern werden protokolliert und mit dem geforderten Dienst verbunden w hrend Verbindungsversuche unzul ssiger Clients fehlschlagen Zentralisierte Verwaltung mehrerer Protokolle TCP Wrapper arbeiten unabh ngig von den Netzwerkdiensten die sie sch tzen Dadurch k nnen sich mehrere Server Applikationen einen gemeinsamen Satz von Konfigurationsdateien der Zugriffskontrolle teilen was die Verwaltung vereinfacht 2 3 2 TCP Wrapper Konfigurationsdateien Um festzustellen ob es einem Client erlaubt ist sich mit einem bestimmten Dienst zu verbinden verwenden TCP Wrapper die folgenden beiden Dateien die auch als hosts access Dateien bezeichnet werden etc hosts allow 59 Kapitel 2 Sichern Ihres Netzwerks e etc hosts deny Wenn bei einem TCP wrapped Dienst eine Client Anfrage eingeht f hrt er die folgenden Schritte durch 1 Erreferenziert etc hosts allow Der TCP wrapped Dienst analysiert die etc hosts allow Datei sequentiell und wendet die erste Regel an die f r diesen Dienst festgelegt wurde Wenn eine passende Regel ausfindig gemacht werden kann erlaubt der Dienst die Verbindung Wenn nicht geht er zum n chsten Schritt ber 2 Erreferenziert etc hosts deny Der TCP wrapped Dienst analysiert die etc hosts deny Datei sequentiell Wenn eine passende Regel ausf
210. ss die Informationssicherheit st ndige Aufmerksamkeit verlangt Die Informationssicherheit befindet sich in stetigem Wandel 1 2 1 Denken wie der Feind Angenommen Sie verwalten ein Firmennetzwerk Solche Netzwerke bestehen meistens aus Betriebssystemen Applikationen Servern Netzwerk berwachung Firewalls Intrusion Detection Systemen und vielem mehr Stellen Sie sich jetzt vor Sie m ssen dahingehend immer auf dem neuesten Stand sein Durch die Komplexit t heutiger Software und Netzwerkumgebungen sind Angriffe auf einen Rechner unter Ausnutzung einer Sicherheitsl cke oder eines Bugs beinahe gewiss Mit allen Patches und Updates f r ein gesamtes Netzwerk auf dem Laufenden zu sein ist eine gewaltige Aufgabe innerhalb eines gro en Unternehmens mit heterogenen Systemen Kapitel 1 berblick ber Sicherheit Wenn Sie nun diese gewaltigen Anforderungen an das Wissen mit der Aufgabe immer auf dem neuesten Stand zu sein kombinieren sind Systemeinbr che Datenkorruption Serviceunterbrechungen und andere Vorf lle unvermeidbar Um den Nutzen von Sicherheitstechnologien zu erh hen und dabei zu helfen Systeme Netzwerke und Daten zu sch tzen sollten Sie sich in die Lage eines Angreifers versetzen und die Sicherheit der Systeme durch das Suchen von Schwachstellen testen Vorbeugende Schwachstellenanalysen f r Ihre eigenen Systeme und Netzwerkressourcen k nnen potenzielle Problemstellen aufdecken bevor ein Angreifer diese zu sein
211. st kann der Angreifer unbemerkt s mtliche Tastatureingaben und Mausklicks des Benutzers im Netzwerk registrieren Dieses Problem wurde im v 2 SSH Protokoll behoben es liegt jedoch am Benutzer festzustellen welche Applikationen solche Anf lligkeiten aufweisen und diese falls n tig auf den neuesten Stand zu bringen Abschnitt 2 1 Sicherheit eines Arbeitsplatzrechners beschreibt im Detail welche Schritte Administratoren und Heimanwender unternehmen sollten um die Anf lligkeit von Arbeitsplatzrechnern und Heim PCs einzuschr nken 1 4 H ufige Sicherheitsl cken und Angriffe Tabelle 1 1 H ufige Sicherheitsl cken zeigt einige der von Angreifern am h ufigsten ausgenutzten Sicherheitsl cken und Zugangspunkte um auf Netzwerkressourcen von Unternehmen zuzugreifen Der Schl ssel zu diesen h ufigen Sicherheitsl cken liegt in der Erkl rung wie diese ausgenutzt werden und wie Administratoren ihr Netzwerk ausreichend gegen solche Angriffe sch tzen k nnen Tabelle 1 1 H ufige Sicherheitsl cken Sicherheitsl cke Null oder Standardpasswort Gemeinsam genutzte Standardschl ssel Beschreibung Das Leerlassen von administrativen Passw rtern oder das Verwenden von Standardpassw rtern des Herstellers Dies betrifft h ufig Hardware wie Router und Firewalls jedoch k nnen auch einige Dienste die unter Linux laufen standardm ige Administratorenpassw rter enthalten Red Hat Enterprise Linux wird jedoch ni
212. t Gibt lediglich IP Adressen in der Statusanzeige aus e no Gibt Domain oder Hostnamen in der Statusanzeige aus 2 6 5 IPTables und IPv6 Wenn das Paket iptables ipv6 installiert ist kann der Netfilter in Red Hat Enterprise Linux das neueste IPv6 Internetprotokoll filtern Der Befehl zur Verwaltung des IPv6 Neffilters lautet ip6tables Die meisten Direktiven f r diesen Befehl sind identisch mit denen von iptables mit der Ausnahme dass die nat Tabelle noch nicht unterst tzt wird Infolgedessen ist es noch nicht m glich IPv6 Network Address Translation Aufgaben wie z B Masquerading oder Port Forwarding durchzuf hren Regeln f r ip6tables werden in der Datei etc sysconfig ip6tables gespeichert Vorherige durch die ip6tables init Skripte gespeicherte Regeln werden in der Datei etc sysconfig ip6tables save abgelegt 105 Kapitel 2 Sichern Ihres Netzwerks Die Konfigurationsoptionen f r ip6tables init Skripte werden in etc sysconfig ip6tables config gespeichert und die Namen der jeweiligen Direktiven unterscheiden sich leicht von ihren iptables Gegenst cken Das quivalent zur iptables config Direktive IPTABLES_MODULES ist zum Beispiel IP6TABLES_MODULES in der ip6tables config Datei 2 6 6 Zus tzliche Informationsquellen In den nachfolgend aufgef hrten Quellen finden Sie zus tzliche Informationen zur Paketfilterung mit iptables e Abschnitt 2 5 Firewalls Enth lt ein Kapitel ber die Rol
213. t ein praktisches Symbol in der Men leiste das Benachrichtigungen zu verf gbaren Updates anzeigt 1 5 2 Verifizieren von signierten Paketen Alle Red Hat Enterprise Linux Pakete sind mit dem Red Hat GPG Schl ssel signiert GPG steht f r GNU Privacy Guard oder GnuPG ein kostenloses Software Paket welches dazu verwendet wird die Authentizit t von Dateien zu gew hrleisten Ein Beispiel Ein privater Schl ssel geheimer Schl ssel h lt das Paket verschlossen wohingegen der ffentliche Schl ssel das Paket verifiziert und freischaltet Falls der von Red Hat Enterprise Linux ausgegebene ffentliche Schl ssel w hrend der RPM Verifizierung nicht mit dem privaten Schl ssel bereinstimmt kann dies bedeuten dass das Paket in irgendeiner Form ver ndert wurde und daher nicht vertrauensw rdig ist Das RPM Dienstprogramm in Red Hat Enterprise Linux 6 versucht automatisch die GPG Signatur eines RPM Paketes vor der Installation zu verifizieren Ist der Red Hat GPG Schl ssel nicht installiert sollten Sie diesen von einer sicheren statischen Quelle wie einer Red Hat Enterprise Linux Installations CD oder DVD installieren Angenommen die CD oder DVD ist in mnt cdrom eingeh ngt k nnen Sie den folgenden Befehl zum Importieren des Schl ssels in den Schl sselbund engl Keyring eine Datenbank bestehend aus vertrauensw rdigen Schl sseln auf dem System verwenden rpm import mnt cdrom RPM GPG KEY Um eine Liste aller install
214. td Auf der xinetd conf Handbuchseite finden Sie weitere Informationen diesbez glich 2 3 5 Zus tzliche Informationsquellen Weitere Informationen zu TCP Wrappern und xinetd finden Sie in der Systemdokumentation und im Internet 2 3 5 1 Installierte TCP Wrapper Dokumentation Die Dokumentation auf Ihrem System ist ein guter Ausgangspunkt wenn Sie weitere Informationen zu TCP Wrappern xinetd und zur Zugriffskontrolle suchen usr share doc tcp_wrappers lt version gt Dieses Verzeichnis enth lt eine README Datei in der die Funktionsweise von TCP Wrappern und die verschiedenen Hostname und Hostadress Spoofing Risiken beschrieben werden usr share doc xinetd lt version gt Dieses Verzeichnis enth lt eine README Datei in der Aspekte der Zugriffskontrolle beschrieben sind und eine sample conf Datei mit verschiedenen Ideen zum Bearbeiten der Konfigurationsdateien im etc xinetd d Verzeichnis Handbuchseiten zu TCP Wrappern und xinetd Es gibt eine Reihe von Handbuchseiten f r die verschiedenen Applikationen und Konfigurationsdateien rund um TCP Wrapper und xinetd Die folgende Liste benennt einige der wichtigeren Handbuchseiten Server Applikationen e man xinetd Die Handbuchseite f r xinetd Konfigurationsdateien man 5 hosts_access Die Handbuchseite f r die Hosts Zugriffskontrolldateien der TCP Wrapper e man hosts_options Die Handbuchseite f r die Optionsfelder der TCP Wrapper e man xinetd
215. te Paket nicht ver ndert wurde seit die Signatur darauf angewendet wurde Dies bietet einen gewissen Schutz vor der Installation von Software die mit b swilligen Absichten ver ndert wurde nachdem das Paket erstellt wurde und bevor Sie das Paket heruntergeladen haben Wenn Sie zu viele verschiedene Repositorys verwenden nicht vertrauensw rdige Repositorys oder Repositorys mit unsignierten Paketen so erh ht dies Ihr Risiko dass b sartiger oder anf lliger Code in Ihr System eingeschleust wird W hlen Sie daher mit Bedacht aus welche Repositorys Sie zum Yum Software Update hinzuf gen 120 Regierungsstandards und reglementierungen 7 1 Einf hrung Um ein gutes Ma an Sicherheit zu bewahren kann Ihre Organisation sich nach den Sicherheitsspezifikationen standards und reglementierungen von Regierung und Wirtschaft richten Dieses Kapitel beschreibt einige dieser Standards und Reglementierungen 7 2 Federal Information Processing Standard FIPS Die Federal Information Processing Standard FIPS Publikaton 140 2 ist ein Standard zur Computersicherheit entwickelt von einer Arbeitsgruppe bestehend aus Vertretern der U S Regierung und der Wirtschaft um die Qualit t von kryptografischen Modulen zu untersuchen FIPS Publikationen einschlie lich 140 2 sind unter der folgenden URL erh ltlich http csrc nist govw publications PubsFIPS html Beachten Sie dass sich die Publikation 140 3 zum Zeitpunkt der Abfassung dies
216. ten Dienst ab und greift nicht weiter in die Kommunikation zwischen Client und Server ein Zus tzlich zu Zugriffskontrolle und Protokollierung k nnen TCP Wrapper Befehle ausf hren um mit dem Client zu interagieren ehe die Kontrolle der Verbindung zum angeforderten Netzwerkdienst bergeben oder abgelehnt wird Da TCP Wrapper eine wertvolle Erg nzung im Arsenal von Sicherheitstools eines jeden Systemadministrators sind sind die meisten Netzwerkdienste unter Red Hat Enterprise Linux mit der libwrap a Bibliothek verbunden Zu diesen Applikationen geh ren usr sbin sshd usr sbin sendmail und usr sbin xinetd O Um festzustellen ob die Bin rdatei eines Netzwerkdienstes mit libwrap a verkn pft ist geben Sie folgenden Befehl als Root Benutzer ein ldd lt binary name gt grep libwrap Ersetzen Sie lt binary name gt dabei durch dem Namen der Bin rdatei des Netzwerkdienstes Falls der Befehl ohne Ausgabe direkt zur Befehlszeile zur ckkehrt so ist der Netzwerkdienst nicht mit libwrap a verkn pft Das folgende Beispiel zeigt dass usr sbin sshd mit libwrap a verkn pft ist root myServer ldd usr sbin sshd grep libwrap libwrap so gt lib libwrap so 0x00655000 root myServer 2 3 1 1 Vorteile von TCP Wrappern TCP Wrapper bieten im Vergleich zu anderen Kontrollmethoden f r Netzwerkdienste die folgenden Vorteile Transparenz f r sowohl Client als auch den TCP wrapped Netzwerkdienst Weder der
217. ter f r Eintr ge in der Client Liste Hostname beginnt mit einem Punkt Ein Punkt am Anfang eines Host Namens bewirkt dass auf alle Host Rechner die in diesem Hostnamen enden die Regel angewendet wird Das folgende Beispiel trifft auf jeden Host in der example com Domain zu ALL example com IP Adresse endet mit einem Punkt Ein Punkt am Ende einer IP Adresse bewirkt dass auf alle Hosts deren IP Adresse mit derselben numerischen Gruppe beginnt die Regel angewendet wird Das folgende Beispiel trifft auf jeden Host im 192 168 x x Netzwerk zu ALL 192 168 e IP Adresse Netzmaske Paar Netzmasken Ausdr cke k nnen auch als ein Muster verwendet werden um den Zugriff zu einer bestimmten Gruppe von IP Adressen zu regeln Das folgende Beispiel trifft auf alle Hosts mit einer Adresse zwischen 192 168 0 0 und 192 168 1 255 zu ALL 192 168 0 0 255 255 254 0 62 TCP Wrapper Konfigurationsdateien Er Wichtig U Wenn im IPv4 Adressraum gearbeitet wird werden paarweise Deklarationen von Adresse Pr fixl nge prefixien CIDR Notation nicht unterst tzt Lediglich IPv6 Regeln k nnen dieses Format verwenden IPv6 Adresse prefixlen Paar net prefixlen Paare k nnen auch als Muster verwendet werden um den Zugriff zu einer bestimmten Gruppe von IPv6 Adressen zu regeln Das folgende Beispiel trifft auf jeden Host mit einem Adressbereich von 3ffe 505 2 1 bis 3ffe 505 2 1 ffff ffff ffff fff
218. tern oder verschl sselter Authentifizierung um das Erschn ffeln von Passw rtern zu verhindern hohe Verschl sselung w hrend der bertragung ist ebenfalls ratsam HTTP basierte Dienste wie CGI sind anf llig f r das Ausf hren von Remote Befehlen bis hin zu interaktivem Shell Zugriff Auch wenn der HTTP Dienst als nicht privilegierter Benutzer wie zum Beispiel nobody l uft k nnen Informationen wie beispielsweise Konfigurationsdateien und Netzwerktabellen gelesen werden oder der Angreifer kann Denial of Service Attacken starten die die Ressourcen des Systems beeintr chtigen oder es f r weitere 15 Kapitel 1 berblick ber Sicherheit Sicherheitsl cke Beschreibung Schwachstellen von Applikationen Denial of Service DoS Angriffe Angreifer finden Fehler in Applikationen von Desktops und Arbeitsplatzrechnern wie z B E Mail Clients und f hren willk rlich Code aus implantieren Trojaner f r zuk nftige Attacken oder bringen Systeme zum Absturz Noch gr erer Schaden kann angerichtet werden falls der kompromittierte Arbeitsplatzrechner administrative Berechtigungen f r den Rest des Netzwerks besitzt Ein Angreifer bzw eine Gruppe von Angreifern koordiniert eine Attacke auf ein Netzwerk oder auf Serverressourcen eines Anmerkungen Zugriffe durch andere Benutzer unm glich macht Dienste k nnen manchmal Schwachstellen haben die auch nach Entwicklungs und Testphasen noch e
219. tern von Paketen werden mithilfe des iptables Befehls erstellt Die folgenden Aspekte eines Pakets werden h ufig als Kriterien verwendet Pakettyp Legt fest welche Pakete der Befehl filtert basierend auf dem Typ des Pakets Paketquelle bestimmungort Legt fest welche Pakete der Befehl filtert basierend auf der Quelle oder dem Bestimmungort des Pakets Ziel Legt fest welche Aktion auf den Paketen angewendet wird die den oben genannten Kriterien entsprechen Werfen Sie einen Blick auf Abschnitt 2 6 2 4 IPTables bereinstimmungsoptionen und Abschnitt 2 6 2 5 Zieloptionen f r weitere Informationen ber bestimmte Optionen die diese Aspekte eines Pakets betreffen Die mit bestimmten iptables Regeln verwendeten Optionen m ssen logisch gruppiert sein basierend auf Zweck und Bedingungen der gesamten Regel damit die Regel g ltig ist Der Rest dieses Abschnitts erl utert h ufig verwendete Optionen f r den iptables Befehl 2 6 2 1 Syntax der IPTables Befehlsoptionen Viele iptables Befehle folgen dem folgenden Format iptables t lt table name gt lt command gt lt chain name gt lt parameter 1 gt lt option 1 gt lt parameter n gt lt option n gt lt table name gt Legt fest auf welche Tabelle sich diese Regel bezieht Falls nichts angegeben ist wird die filter Tabelle verwendet lt command gt Legt fest welche Aktion durchgef hrt werden soll z B Hinzuf gen oder L
220. tp en wikipedia org wiki Data_Encryption_Standard e UNB 125 Anhang A Verschl sselungsstandards A 1 2 2 Geschichte von DES Heute gilt der DES aufgrund seiner geringen Schl ssell nge f r viele Applikationen als nicht mehr sicher genug Im Januar 1999 brachen distributed net in Kooperation mit der Electronic Frontier Foundation einen DES Schl ssel ffentlich in 22 Stunden und 15 Minuten Es gibt zudem Untersuchungsergebnisse die einige theoretische Schw chen in der Chiffre aufzeigen diese sind in der Praxis jedoch kaum auszunutzen Der Algorithmus in Form von Triple DES gilt als nahezu sicher obwohl es auch hier theoretische Schw chen gibt In den letzten Jahren wurde die Chiffre durch den Advanced Encryption Standard AES abgel st In einigen Quellen wird zwischen DES als Standard und DES als Algorithmus auch Data Encryption Algorithm oder kurz DEA genannt unterschieden Im Sprachgebrauch wird DES entweder als Abk rzung ausgesprochen ldillillls oder als einsilbiges Akronym Ndiz A 2 Asymmetrische Verschl sselung Die asymmetrische Verschl sselung die von vielen kryptografischen Algorithmen und Kryptosystemen eingesetzt wird verwendet asymmetrische Schl sselalgorithmen anstelle von oder zus tzlich zu symmetrischen Schl sselalgorithmen Mithilfe der asymmetrischen Verschl sselung sind nun viele Methoden zur Absicherung von Kommunikations oder Authentifizierungsdaten praktikabel die vorher undenk
221. ttstellen von den einzelnen Benutzern selbst durchgef hrt werden kann und somit Systemadministratoren mehr Zeit f r Netzwerksicherheit und andere wichtige Aufgaben haben Andererseits kann das Vergeben von Root Rechten an Einzelbenutzer zu folgenden Problemen f hren Fehlkonfiguration des Rechners Benutzer mit Root Rechten k nnen ihre Computer unter Umst nden falsch konfigurieren und ben tigen dann Hilfe oder schlimmer noch k nnen Sicherheitsl cken ffnen ohne dies zu merken Ausf hren unsicherer Dienste Benutzer mit Root Berechtigungen k nnen unsichere Dienste wie zum Beispiel FTP oder Telnet auf ihrem Rechner ausf hren und dadurch Benutzernamen und Passw rter einem Risiko aussetzen da diese im Klartext ber das Netzwerk verschickt werden Als Root E Mail Anh nge ffnen Wenn auch selten so gibt es doch E Mail Viren die Linux angreifen Dies wird jedoch nur dann zum Problem wenn sie als Root ausgef hrt werden 2 1 4 2 Verwehren von Root Zugriff Falls ein Administrator aus diesen oder anderen Gr nden den Benutzern keine Root Rechte gew hren m chte sollte das Root Passwort geheim gehalten werden und der Zugriff auf Runlevel 1 oder Einzelbenutzermodus mithilfe eines Bootloader Passworts verwehrt werden siehe Abschnitt 2 1 2 2 Bootloader Passw rter f r weitere Informationen diezbez glich Tabelle 2 1 Methoden zum Deaktivieren des Root Accounts zeigt Methoden mit denen ein Administ
222. u en hineinsp hen und innen herumschn ffeln Wenn Sie eine Schwachstellenanalyse von au en betrachtet durchf hren so versuchen Sie Ihr System von au en zu kompromittieren Wenn Sie Ihr Unternehmen von extern betrachten versetzen Sie sich in die Sichtweise eines Crackers Sie sehen was der Cracker sehen kann ffentlich weiterleitbare IP Adressen Systeme in Ihrer DMZ externe Schnittstellen Ihrer Firewall und vieles mehr DMZ steht f r Demilitarized Zone was einen Computer oder ein kleines Subnetzwerk bezeichnet das sich zwischen einem internen zuverl ssigen Netzwerk wie z B einem gemeinschaftlichen privaten LAN und einem unzuverl ssigen externen Netzwerk wie z B dem ffentlichen Internet befindet blicherweise beinhaltet die DMZ Ger te die f r den Internetverkehr zug nglich sind wie z B Web HTTP Server FTP Server SMTP E Mail Server und DNS Server Wenn Sie eine Schwachstellenanalyse von innen betrachtet durchf hren haben Sie den gewissen Vorteil das Sie bereits intern sind und Sie einen Status als vertrauensw rdig haben Dies ist der Blickwinkel den Sie und Ihre Kollegen haben wenn Sie sich einmal im System angemeldet haben Sie sehen Druckserver Dateiserver Datenbanken und andere Ressourcen Es gibt klare Unterschiede zwischen diesen beiden Arten der Schwachstellenanalyse Als interner Mitarbeiter Ihres Unternehmens besitzen Sie h here Privilegien weit mehr als jeder Au enstehende Entsprec
223. u vermeidenden Informationen beim Erstellen eines Passworts Hier einige Beispiele f r unsichere Passw rter e Ihren Namen Den Namen von Haustieren Die Namen von Familienmitgliedern e Jegliche Geburtstage Ihre Telefonnummer oder Postleitzahl Drehen Sie keine erkennbaren W rter um Gute Passwortprogramme berpr fen gemeinsprachliche W rter auch r ckw rts das Invertieren von schlechten Passw rtern machen diese also nicht sicherer Hier einige Beispiele f r unsichere Passw rter e ROX4H e nauj e 9 DS Schreiben Sie sich Ihr Passwort nicht auf Bewahren Sie Ihr Passwort niemals auf Papier auf Es ist wesentlich sicherer sich das Passwort zu merken Verwenden Sie nie das gleiche Passwort f r alle Ihre Rechner Es ist wichtig dass Sie separate Passw rter f r jeden Recher erstellen So sind nicht alle Rechner auf einen Schlag betroffen falls ein System einem Angriff zum Opfer f llt Die folgenden Richtlinien helfen Ihnen dabei ein sicheres Passwort zu erstellen Das Passwort sollte mindestens acht Zeichen enthalten Je l nger das Passwort desto besser Wenn Sie MD5 Passw rter verwenden sollten diese 15 Zeichen oder mehr enthalten DES Passw rter sollten die maximale L nge nutzen acht Zeichen Mischen Sie Gro und Kleinbuchstaben In Red Hat Enterprise Linux wird Gro und Kleinschreibung unterschieden mischen Sie daher Gro und Kleinbuchstaben um die Sicherheit des Passworts
224. uls wird mit hoher Wahrscheinlichkeit entdeckt woraufhin sofort s mtliche kritische Sicherheitsparameter in Klartext mit Nullen berschrieben werden Kryptografische Module des Sicherheits Level 4 sind n tzlich f r den Einsatz in Umgebungen die anderweitig nicht physisch gesch tzt sind Werfen Sie f r weitere Informationen ber diese Sicherheits Level sowie weitere Spezifikationen des FIPS Standards einen Blick auf den vollst ndigen FIPS 140 2 Standard unter http csrc nist gov publications fips fips140 2 fips1402 pdff 7 3 National Industrial Security Program Operating Manual NISPOM Das NISPOM auch DoD 5220 22 M genannt als Teil des National Industrial Security Program NISP legt eine Reihe von Verfahren und Anforderungen f r alle Subunternehmer der Regierung bez glich sensibler Informationen fest Das aktuelle NISPOM ist vom 28 Februar 2006 Das NISPOM Dokument kann von der folgenden URL heruntergeladen werden https www dss mil GW ShowBinary DSS isp fac_clear download_nispom html 7 4 Payment Card Industry Data Security Standard PCI DSS Auszug von https wwvw pcisecuritystandards org about index shtml Der PCI Security Standards Council ist ein offenes globales Forum gegr ndet in 2006 das sich der Entwicklung Verwaltung Unterrichtung und Sensibilisierung f r die PCI Sicherheitsstandards einschlie lich dem Data Security Standard DSS verschrieben hat Sie k nnen den PCI DSS Standard unter https www pc
225. unserer pers nlichen Daten haben sich ganze Industriezweige um die Netzwerk und Computersicherheit herum gebildet Unternehmen ziehen das Wissen und die F higkeiten von Sicherheitsexperten zu Rate um Systeme zu pr fen und ma geschneiderte L sungen f r die Anforderungen des Unternehmens zu erstellen Dadurch dass die meisten Unternehmen dynamisch arbeiten mit Mitarbeitern die auf IT Ressourcen der Firma intern und extern zugreifen wird der Bedarf an sicheren EDV Umgebungen immer deutlicher Leider betrachten viele Unternehmen sowie auch Einzelbenutzer die Sicherheit immer erst im Nachhinein ein Faktor der zu Gunsten erh hter Leistung und Produktivit t sowie aus Kostengr nden gerne bersehen wird Angemessene Sicherheitsimplementierung wird oftmals postmortem durchgef hrt erst nachdem ein unberechtigter Zugriff erfolgte Sicherheitsexperten sind sich einig dass das Ergreifen richtiger Ma nahmen vor dem Verbinden mit einem nicht vertrauensw rdigen Netzwerk wie dem Internet ein sicheres Mittel zum Verhindern von unerlaubten Zugriffen ist I Dieses Handbuch verweist an einigen Stellen auf Dateien im lib Verzeichnis Wenn Sie 64 bit Systeme verwenden befinden sich einige der genannten Dateien stattdessen in 1ib64 1 1 Einf hrung in Sicherheit 1 1 1 Definition von Computersicherheit Computersicherheit ist ein allgemeiner Begriff der einen weitreichenden Bereich der Datenverarbeitung umfasst Industriezweige die f r
226. unterscheidet unterst tzen u U einige nicht den Passwortschutz beider Typen w hrend andere vielleicht nur einen Typ und nicht den anderen unterst tzen 23 Kapitel 2 Sichern Ihres Netzwerks 1 nderungen an den BIOS Einstellungen verhindern Hat ein Eindringling Zugang zum BIOS kann dieser den Bootvorgang von einer Diskette oder einer CD ROM festlegen Dies erm glicht dann in den Rettungsmodus oder Einzelbenutzermodus zu gelangen und von hier aus sch dliche Prozesse auf dem System zu starten oder sensible Daten zu kopieren 2 System Boot verhindern Einige BIOS erlauben Ihnen den Bootvorgang selbst mit einem Passwort zu sch tzen Ist dies aktiviert muss ein Passwort eingegeben werden bevor das BIOS den Bootloader startet Da die Methoden f r das Einstellen von BIOS Passw rtern sich von Hersteller zu Hersteller unterscheiden lesen Sie bitte das Handbuch Ihres Computers f r weitere Informationen Sollten Sie das BIOS Passwort vergessen kann es oft entweder mit Jumpern im Motherboard oder durch das Entfernen der CMOS Batterie zur ckgesetzt werden Daher ist es sinnvoll wenn m glich das Computergeh use abzuschlie en Bevor Sie jedoch versuchen die CMOS Batterie zu entfernen sollten Sie das Handbuch Ihres Computers oder Motherboards lesen 2 1 2 1 1 Sicherung von nicht x86 Plattformen Andere Architekturen verwenden verschiedene Programme zum Ausf hren von Low Level Aufgaben die mit denen des BIOS auf ein
227. uration von sudo users localhost sbin shutdown h now Dieses Beispiel besagt dass jeder Benutzer den Befehl sbin shutdown h now ausf hren kann solange dieser auf der Konsole ausgef hrt wird 37 Kapitel 2 Sichern Ihres Netzwerks Die sudoers Handbuchseite enth lt eine detaillierte Liste aller Optionen f r diese Datei 2 1 5 Verf gbare Netzwerkdienste W hrend der Benutzerzugriff auf administrative Kontrollen haupts chlich f r Systemadministratoren innerhalb eines Unternehmens ein wichtiges Thema ist ist die Kontrolle der Netzwerkdienste dagegen f r jeden von h chster Priorit t der ein Linux System verwaltet und verwendet Viele Dienste unter Red Hat Enterprise Linux verhalten sich als Netzwerkserver Wenn ein Netzwerkdienst auf einem Rechner ausgef hrt wird horcht eine Server Applikation auch Daemon genannt auf einem oder mehreren Ports auf Verbindungen Jeder dieser Server sollte als potenzielle Angriffsstelle betrachtet werden 2 1 5 1 Risiken f r Dienste Netzwerkdienste k nnen viele Risiken f r Linuxsysteme mit sich bringen Nachfolgend finden Sie eine Liste der Hauptprobleme Denial of Service Angriff DoS Indem ein System mit Anfragen berflutet wird kann ein Denial of Service Angriff ein System zum v lligen Stillstand bringen da das System versucht jede Anfrage zu protokollieren und zu beantworten Distributed Denial of Service Angriff DDoS Eine Art von DoS Angriff bei dem mehr
228. urationsdatei hinzuf gen Hierf r legen Sie erst ein sicheres Passwort fest ffnen dann einen Shell Prompt melden sich als Root an und geben Folgendes ein sbin grub md5 crypt Wenn Sie dazu aufgefordert werden geben Sie das GRUB Passwort ein und dr cken anschlie end Enter Daraufhin wird ein MD5 Hash des Passworts ausgegeben 24 Passwortsicherheit Bearbeiten Sie als N chstes die GRUB Konfigurationsdatei boot grub grub conf ffnen Sie die Datei und f gen Sie die nachfolgende Zeile unterhalb der timeout Zeile im Hauptabschnitt des Dokuments ein password md5 lt password hash gt Ersetzen Sie lt password hash gt durch den Wert der von sbin grub md5 crypt ausgegeben wurde Wenn Sie das n chste Mal Ihr System booten verhindert das GRUB Men den Zugriff auf den Editor oder die Befehlszeilen Schnittstelle bis Sie p dr cken und dann das GRUB Passwort eingeben Diese L sung h lt jedoch Angreifer nicht davon ab in einer Dual Boot Umgebung in ein unsicheres Betriebssystem zu booten Hierf r m ssen Sie einen anderen Teil der Datei boot grub grub conf bearbeiten Suchen Sie die title Zeile des Betriebssystems das sie absichern m chten und f gen Sie direkt darunter eine Zeile mit der lock Direktive ein F r ein DOS System sollte der Absatz etwa wie folgt beginnen title DOS lock A Wamuna TTTTT U _ Es muss eine password Zeile im Hauptabschnitt der boot grub grub conf Datei vorhanden sein
229. urenets leer ist oder nicht existiert dies ist z B nach einer Standardinstallation der Fall Als Erstes sollten Sie ein Netzmaske Netzwerkpaar in der Datei hinterlegen damit ypserv nur auf Anfragen des richtigen Netzwerks reagiert Nachfolgend sehen Sie einen Beispieleintrag einer var yp securenets Datei 255 255 255 0 192 168 0 0 Sie sollten niemals einen NIS Server zum ersten Mal starten ohne vorher die Datei var yp securenets erstellt zu haben L Diese Methode sch tzt zwar nicht vor einer IP Spoofing Attacke schr nkt jedoch zumindest die Netzwerke ein die vom NIS Server bedient werden 2 2 3 4 Weisen Sie statische Ports zu und nutzen Sie IPTables Regeln Jedem der zu NIS geh renden Server kann ein bestimmter Port zugewiesen werden mit Ausnahme von rpc yppasswdd dem Daemon der Benutzern das ndern ihrer Login Passw rter erlaubt Indem Sie den anderen beiden NIS Server Daemons rpc ypxfrd und ypserv Ports zuweisen k nnen Sie Firewall Regeln erstellen um die NIS Server Daemons noch mehr vor Angriffen zu sch tzen F gen Sie dazu die folgenden Zeilen zu etc sysconfig network hinzu YPSERV_ARGS p 834 YPXFRD_ARGS p 835 Die folgenden IPTables Regeln k nnen dann verwendet werden um festzulegen auf welches Netzwerk der Server f r diese Ports horchen soll iptables A INPUT p ALL s 192 168 0 0 24 dport 834 j DROP 49 Kapitel 2 Sichern I
230. uter holt sich die Header Information entschl sselt die Daten und leitet diese zum Zielort weiter entweder an einen Arbeitsplatzrechner oder einen Knoten im Netzwerk Unter Verwendung einer Netzwerk zu Netzwerk Verbindung erh lt der empfangende Knoten am lokalen Netzwerk die Pakete schon entschl sselt und bereit zur Verarbeitung Der Verschl sselungs Entschl sselungsprozess in einer Netzwerk zu Netzwerk VPN Verbindung ist f r den lokalen Knoten transparent Durch solch einen erh hten Grad an Sicherheit muss ein Angreifer nicht nur ein Paket abfangen sondern dies auch noch entschl sseln Angreifer die eine Man in the Middle Attacke zwischen einem Server und einem Client durchf hren m ssen daher auch Zugang zu mindestens einem der privaten Schl ssel besitzen die f r die Authentifizierung der Sessions verwendet werden Aufgrund ihrer verschiedenen Schichten zur Authentifizierung und Verschl sselung sind VPNs ein sicheres und effektives Mittel f r die Verbindung mehrerer entfernter Knoten die sich dadurch wie ein einziges Intranet verhalten k nnen 74 Openswan 2 4 2 Openswan 2 4 2 1 berblick berblick Openswan ist eine quelloffene IPsec Implementierung auf Kernel Ebene in Red Hat Enterprise Linux Es setzt die IKE Protokolle Internet Key Exchange v1 und v2 zur Schl sselverwaltung ein implementiert als Daemons auf Benutzerebene Manuelle Einrichtung von Schl sseln ist ebenfalls m glich mittels der ip xfrm
231. ver Sicherheit Im n chsten Abschnitt werden Tools f r das Einrichten einer Firewall beschrieben 2 1 6 Pers nliche Firewalls Sobald die notwendigen Netzwerkdienste konfiguriert sind ist es wichtig eine Firewall zu implementieren 41 Kapitel 2 Sichern Ihres Netzwerks 9 Wichtig TU __ Sie sollten die notwendigen Netzwerkdienste konfigurieren und eine Firewall implementieren bevor Sie sich mit dem Internet oder anderen nicht vertrauensw rdigen Netzwerken verbinden Firewalls verhindern dass Netzwerkpakete Zugriff auf die Netzwerkschnittstelle des Systems erhalten Wird eine Anfrage an einen Port gestellt der von einer Firewall gesch tzt ist wird diese Anfrage ignoriert Horcht ein Dienst auf einen dieser blockierten Ports kann dieser Dienst die Pakete nicht empfangen und ist somit effektiv deaktiviert Aus diesem Grund sollte man bei der Konfiguration einer Firewall darauf achten dass der Zugang zu nicht benutzten Ports blockiert wird Ports f r konfigurierte Dienste jedoch offen bleiben F r die meisten Benutzer ist das beste Tool zur Konfiguration einer einfachen Firewall das einfache grafische Firewall Konfigurationstool das standardm ig in Red Hat Enterprise Linux enthalten ist Tool zur Firewall Konfiguration system config securitylevel Dieses Tool erzeugt breite iptables Regeln f r eine allgemeine Firewall unter Verwendung einer grafischen Benutzeroberfl che Weitere Informationen zur Verwendu
232. ver in einer demilitarisierten Zone DMZ Eine DMZ ist ein spezielles lokales Subnetzwerk das Dienste auf einem ffentlichen Tr ger wie z B dem Internet bereitstellt 87 Kapitel 2 Sichern Ihres Netzwerks Um beispielsweise eine Regel zur Weiterleitung von eingehenden HTTP Anfragen an einen dedizierten HTTP Server unter 10 0 4 2 au erhalb des 192 168 1 0 24 Bereichs des LANs weiterzuleiten verwendet NAT die PREROUTING Tabelle um Pakete an das entsprechende Ziel weiterzuleiten root myServer iptables t nat A PREROUTING i eth p tcp dport 80 j DNAT to destination 10 0 4 2 80 Mit diesem Befehl werden alle HTTP Verbindungen zu Port 80 von au erhalb des LANs an den HTTP Server auf einem vom Rest des internen Netzwerks getrennten Netzwerk geleitet Diese Art der Netzwerksegmentierung kann sicherer sein als HTTP Verbindungen zu einem Rechner auf dem Netzwerk zu erlauben Falls der HTTP Server konfiguriert ist um sichere Verbindungen zu akzeptieren muss auch Port 443 weitergeleitet werden 2 5 6 Sch dliche Software und erschn ffelte IP Adressen Sie k nnen auch ausgekl geltere Regeln erstellen die den Zugriff auf bestimmte Subnetze oder gar bestimmte Knoten innerhalb eines LANs regeln Auch k nnen Sie bestimmte zweifelhafte Applikationen oder Programme wie z B Trojaner W rmer und andere Client Server Viren daran hindern Verbindungen zu deren Servern herzustellen Beispielsweise scannen einige
233. verl ssigerer Weg zum berpr fen welche Ports auf das Netzwerk horchen ist die Verwendung eines Port Scanners wie z B nmap Der folgende Befehl von einer Konsole aus eingegeben stellt fest welche Ports auf TCP Verbindungen aus dem Netzwerk horchen nmap sT O localhost Die Ausgabe dieses Befehls sieht wie folgt aus Starting Nmap 4 68 http nmap org at 2009 03 06 12 08 EST Interesting ports on localhost localdomain 127 0 0 1 Not shown 1711 closed ports PORT STATE SERVICE 22 tcp open ssh 25 tcp open smtp 111 tcp open rpcbind 113 tcp open auth 631 tcp open ipp 834 tcp open unknown 2601 tcp open zebra 32774 tcp open sometimes rpc11 Device type general purpose Running Linux 2 6 X OS details Linux 2 6 17 2 6 24 Uptime 4 122 days since Mon Mar 2 09 12 31 2009 Network Distance hops 56 TCP Wrapper und xinetd OS detection performed Please report any incorrect results at http nmap org submit Nmap done 1 IP address 1 host up scanned in 1 420 seconds Diese Ausgabe zeigt dass das System portmap ausf hrt da der Dienst sunrpc vorhanden ist Es wird jedoch auch ein unbekannter Dienst auf Port 834 ausgef hrt Um zu pr fen ob dieser Port zu der offiziellen Liste bekannter Dienste geh rt geben Sie Folgendes ein cat etc services grep 834 Dieser Befehl liefert keine Ausgabe f r Port 834 Aufgrund des Befehlsformats wird jedoch Ausgabe f r andere Ports 1834 2834 und 3834
234. weren Sie es anderen Leuten Ihren ffentlichen Schl ssel zu finden Dadurch wird die Authentifizierung Ihrer Nachrichten erschwert Falls Sie diesen GPG Schl ssel beispielsweise zur Vorstellung auf einer Mailing Liste verwenden geben Sie dieselbe E Mail Adresse an die Sie auch f r diese Mailing Liste verwenden Verwenden Sie das Kommentarfeld um Aliasse oder andere Informationen anzugeben Einige Leute nutzen unterschiedliche Schl ssel f r unterschiedliche Zwecke und unterscheiden daher ihre Schl ssel anhand dieser Kommentare wie z B B ro oder Open Source Projekte Geben Sie an der Eingabeaufforderung zur Best tigung den Buchstaben O ein um fortzufahren wenn alle Angeben korrekt sind oder verwenden Sie eine der anderen Optionen um etwaige Fehler zu beheben Geben Sie abschlie end ein Passwort f r Ihren geheimen Schl ssel ein Das gpg Programm fordert Sie zur zweimaligen Eingabe des Passworts auf um Tippfehler auszuschlie en Das gpg Programm generiert nun zuf llige Daten um Ihren Schl ssel so eindeutig wie m glich zu machen Bewegen Sie w hrend dieses Vorgangs Ihre Maus tippen wahllos auf der Tastatur oder f hren Sie andere Aufgaben auf dem System aus um diesen Vorgang zu beschleunigen Nachdem dieser Schritt abgeschlossen wurde sind Ihre Schl ssel fertig und einsatzbereit pub 1024D 1B2AFAiC 2005 03 31 John Q Doe lt jqdoe example com gt Key fingerprint 117C FE83 22EA B843 3E86 6486 4320 545E 1B2A FAIC
235. wie z B glibc die von einer Reihe von Applikationen und Software Programmen gemeinsam verwendet werden Applikationen die gemeinsam verwendete Bibliotheken nutzen laden normalerweise den gemeinsamen Code beim Starten der Anwendungen so dass alle Applikationen die die aktualisierte Bibliothek verwenden neu gestartet werden m ssen Um festzustellen welche laufenden Applikationen mit einer bestimmten Bibliothek verkn pft sind verwenden Sie den Befehl 1sof wie im folgenden Beispiel lsof lib libwrap so Dieser Befehl gibt eine Liste aller laufenden Programme aus die TCP Wrappers f r die Host Zugangskontrolle verwenden Alle aufgelisteten Programme m ssen angehalten und neu gestartet werden wenn das tcp_wrappers Paket aktualisiert wird SysV Dienste SysV Dienste sind persistente Server Programme die w hrend des Bootens gestartet werden Beispiele f r SysV Dienste sind sshd vsftpd und xinetd Da diese Programme normalerweise im Speicher verbleiben solange der Rechner l uft muss jeder aktualisierte SysV Dienst nach der Aktualisierung des Pakets angehalten und neu gestartet werden Dies kann ber das Tool zur Dienstkonfiguration oder durch Anmelden als Root via Shell Prompt und Ausf hren des Befehls sbin service erreicht werden wie im folgenden Beispiel veranschaulicht 20 Anwenden der nderungen sbin service lt service name gt restart Ersetzen Sie im obigen Beispiel lt service name gt durch den Namen
236. xistieren diese Schwachstellen wie zum Beispiel Puffer berl ufe bei denen Angreifer einen Dienst zum Absturz bringen indem sie beliebige Werte verwenden die den Speicherpuffer einer Anwendung f llen und die den Angreifern dann eine interaktive Kommandozeile geben auf der sie beliebige Befehle ausf hren k nnen k nnen dem Angreifer die volle administrative Kontrolle erm glichen Administratoren sollten sicherstellen dass Dienste nicht als Root laufen und sollten aufmerksam nach Patches und Errata Updates f r Applikationen bei Herstellern oder Sicherheitsorganisationen wie CERT und CVE Ausschau halten Arbeitsplatzrechner und Desktops sind im Vergleich zu Servern anf lliger f r einen Angriff da die Benutzer meist nicht die Erfahrung oder das Wissen zur Verhinderung oder Aufdeckung von Einbr chen haben Es ist daher zwingend notwendig diese Benutzer ber die Risiken bei der Installation unberechtigter Software oder beim ffnen vom E Mail unbekannter Herkunft zu informieren Es k nnen Schutzeinrichtungen installiert werden so dass z B E Mail Software nicht automatisch Anh nge ffnen oder ausf hren kann Zus tzlich dazu kann das automatische Aktualisieren der Software eines Arbeitsplatzrechners ber das Red Hat Network oder andere Dienste zur Systemverwaltung die Last einer vielschichtigen Sicherheitsimplementierung etwas mindern Der DoS Fall in den USA ber den am meisten berichtet wurde trat i
237. ysen k nnen auch die physische Sicherheit Mitarbeiter berwachung oder Voice PBX Netzwerkanalysen sein Sie k nnen neue Konzepte wie das War Walking und War Driving das Scannen der Umgebung der physischen Unternehmensstruktur auf Schwachstellen im Wireless Netzwerk erforschen und in Ihre Analysen einbinden Fantasie und Erfahrung im Umgang mit dem Auffinden und L sen von Sicherheitsproblemen sind die einzigen Grenzen bei der Planung und Durchf hrung von Schwachstellenanalysen Kapitel 1 berblick ber Sicherheit 1 3 Angreifer und Schwachstellen Um eine gute Sicherheitsstrategie planen und implementieren zu k nnen m ssen Sie als Erstes die Schwachstellen verstehen die entschlossene motivierte Angreifer ausnutzen k nnten um Systeme zu sch digen Bevor wir jedoch ins Detail gehen lassen Sie uns zun chst die Terminologie definieren die bei der Identifikation eines Angreifers verwendet wird 1 3 1 Ein kurzer geschichtlicher berblick ber Hacker Die moderne Bedeutung des Begriffs Hacker geht auf die 60er Jahre und den Massachusetts Institute of Technology MIT Tech Model Railroad Club zur ck der detailgetreue Modelleisenbahnen in gro em Umfang entwickelte Als Hacker wurden Clubmitglieder bezeichnet die einen Trick oder eine L sung f r ein Problem gefunden hatten Der Begriff Hacker wurde seitdem verwendet um angefangen von Computerfreaks bis hin zu talentierten Programmierern alles zu beschreiben F r vi
238. zt werden wenn ipchains bereits l uft Falls zum Zeitpunkt des Systemstarts ipchains bereits vorhanden ist gibt der Kernel eine Fehlermeldung aus und kann iptables nicht starten Die Funktionalit t von ipchains wird durch diese Fehlermeldungen jedoch nicht beeintr chtigt 2 6 1 Paketfilterung Der Linux Kernel verwendet die Netfilter Facility um Pakete zu filtern wodurch dem System das Empfangen oder Weiterleiten einiger der Pakete erlaubt wird w hrend andere Pakete gestoppt werden Diese Facility ist im Linux Kernel integriert und enth lt die folgenden drei Tabellen oder Regellisten e filter Die Standardtabelle zur Verarbeitung von Netzwerkpaketen e nat Diese Tabelle wird zur nderung von Paketen verwendet die eine neue Verbindung herstellen sowie f r Network Address Translation NAT e mangle Diese Tabelle wird f r spezielle Arten der Paket nderung verwendet Jede dieser Tabellen verf gt ber eine Reihe integrierter Ketten engl chains die den Aktionen entsprechen die von netfilter auf dem Paket durchgef hrt werden Die integrierten Ketten f r die filter Tabelle sind e INPUT Gilt f r Netzwerkpakete die f r den Host bestimmt sind e OUTPUT Gilt f r Netzwerkpakete die lokal generiert wurden FORWARD Gilt f r Netzwerkpakete die ber den Host geroutet werden Die integrierten Ketten f r die nat Tabelle sind e PREROUTING ndert Netzwerkpakete beim Empfang e OUTPUT
239. zu erh hen 27 Kapitel 2 Sichern Ihres Netzwerks e Mischen Sie Buchstaben und Zahlen Das Hinzuf gen von Zahlen insbesondere in der Mitte des Passwortes nicht nur am Anfang oder Ende verst rkt die Sicherheit des Passworts e Verwenden Sie Sonderzeichen Nicht alphanumerische Zeichen wie z B amp und gt k nnen die Sicherheit des Passworts signifikant erh hen nicht m glich f r DES Passw rter e W hlen Sie ein Passwort das Sie sich leicht merken k nnen selbst das beste Passwort hilft Ihnen nicht weiter wenn Sie sich nicht daran erinnern k nnen Verwenden Sie daher Akronyme oder andere mnemonische Techniken um sich das Passwort zu merken Durch all diese Regeln erscheint es schwierig ein Passwort zu erstellen das all die Kriterien f r sichere Passw rter erf llt und gleichzeitig die Charakteristiken von schlechten Passw rtern vermeidet Gl cklicherweise gibt es einige einfache Schritte mit deren Hilfe Sie ein leicht zu merkendes sicheres Passwort generieren k nnen 2 1 3 1 1 Methode zur Erstellung sicherer Passw rter Es gibt viele verschiedene Methoden sichere Passw rter zu erstellen Eine der beliebtesten Methoden verwendet Akronyme Zum Beispiel berlegen Sie sich einen leicht zu merkenden Satz wie zum Beispiel over the river and through the woods to grandmother s house we go e Verwandeln Sie dies als N chstes in ein Akronym einschlie lich der Satzzeichen otrattw tghw
Download Pdf Manuals
Related Search