Red Hat Enterprise Linux 3 Sicherheitshandbuch
Contents
1. 111 HTTP basierte Services wie CGI sind anf llig f r entfernte Befehlsausf hrungen und sogar Zugang zur Shell Auch wenn der HTTP Service unter einem nicht privilegierten Benutzer wie nobody ausgef hrt wird k nnen Informationen wie Konfigurationsdateien und Netzwerkpl ne gelesen werden Der Angreifer k nnte auch eine Denial of Service Attacke starten die die Systemressourcen lahmlegt oder f r andere Benutzer unzug nglich macht Services weisen manchmal Anf lligkeiten auf die w hrend der Entwicklung und dem Testen unbemerkt bleiben Diese Anf lligkeiten sind z B Buffer Overflow bei dem Angreifer Zugang erhalten indem sie den Adress Speicher mit mehr als vom Service akzeptiertem Inhalt f llen den Service zum Absturz bringen und somit Zugang zu einem interaktiven Befehlsprompt bekommen von dem aus sie Befehle ausf hren k nnen Administratoren sollten sicherstellen dass Services nicht als root ausgef hrt werden und ein Auge auf Patches und Errata Updates von Herstellern oder Sicherheitsorganisationen wie CERT und CVE f r ihre Applikationen halten 112 Anhang B H ufige Schwachstellen und Attacken Sicherheitsloch Beschreibung DE Schwachstellen von Applikationen Denial of Service DoS Attacken Angreifer finden Fehler in Desktop und Workstation Applikationen wie E Mail Clients und k nnen Code ausf hren Trojaner f r zuk nftige Attacken implantieren oder Systeme zum Absturz bri2. esesseseseeseoreseoreseeseseoseoresroreseoresrosesroseoeeseoreseoresroreseoseere i 1 berblick ber Sicherheit cccccccccsssssssesssessessseessecssecesecsnesssecsseesscssscssecasessueceseesseceneesneenes 1 1 Was ist Computersicherheit 1 2 Sicherheits KomtrOlen ssiss 5 sisscessesesazsaovovsesnsassasseevexaseshpisiaviiassasssiavecuscssenbevazsossegs 1 3 Fazit 2 Angreifer und Schwachstellen al 2 1 Ein kurzer geschichtlicher Uberblick ber Hacker ST 2 2 Bedrohungen der Netzwerksicherheit 8 2 3 Bedrohungen der Serversicherheit 8 2 4 Bedrohungen der Workstation und Heim PC Sicherheit eee 10 II Red Hat Enterprise Linux f r Sicherheit konfigurieren susssosssssssonensosnennenenenenensnnsneneneneene 13 3 Sicherheits Updates 3 1 Pakete aktualisieren 4 Workstation Sicherheit 4 1 Auswertung der Workstation Sicherheit EESAN POEN EEEE 21 4 2 BIOS und Bootloader Sicherheit cccccccescecesseseeseeeeseesseseceecsseeseeseseeeseeeseeee 21 4 3 Passwortsicherheit 4 4 Administrative Kontrollen usesnssessesesesensenennennenensesnnennnnnnnnne nennen 4 5 Verf gbare Netzwerkservices 4 6 Pers nliche Firewalls 4 7 Kommunikationstools mit erh hter Sicherheit 5 Server Sicherheit 5 1 Sichern von Services mit TCP Wrappers und xinetd 5 2 Portmap sichern Br So Sichern VIn NIS 2 2 EEE ann Bang asn 54 Sicherung Von NES minena s
3. image boot vmlinuz lt version gt password lt password gt Ersetzen Sie im vorhergehenden Beispiel lt version gt mit der Kernel Version und lt password gt mit dem LILO Passwort f r diesen Kernel Wenn Sie einem Kernel oder Betriebssystem erm glichen m chten ohne Passwortschutz zu booten Sie aber anderen Benutzern nicht erlauben m chten Argumente ohne ein Passwort hinzuzuf gen k nnen Sie die restricted Direktive zu der Zeile unterhalb der Passwortzeile innerhalb des Ab schnitts hinzuf gen Ein solcher Abschnitt beginnt in etwa wie folgt image boot vmlinuz lt version gt password lt password gt restricted Ersetzen Sie wiederum lt version gt mit der Kernel Version und lt password gt mit dem LILO Passwort f r diesen Kernel Wenn Sie die restricted Direktive verwenden m ssen Sie ber eine Passwort Zeile in diesen Ab schnitt verf gen Mi Achtung Die Datei etc lilo conf verf gt ber allgemeine Leserechte Wenn Sie LILO mit einem Passwort sch tzen m chten ist es wichtig dass Sie nur dem Root User erlauben diese Datei zu lesen und zu bearbeiten da alle Passw rter im Klartext dargestellt werden Hierf r geben Sie den folgenden Befehl als root ein chmod 600 etc lilo conf 4 3 Passwortsicherheit Passworter werden von Red Hat Enterprise Linux als Hauptmethode zur Uberpriifung der Benutze ridentit t eingesetzt Aus diesem Grund ist die Passwortsicherheit von erheblicher Bedeutung zum Schutz
4. 02 05 53 702360 pinky example com 55828 gt dnsl example com domain PTR 192 35 168 192 in addr arpa 45 DF 02 05 53 702706 nsl example com domain gt pinky example com 55828 6077 NXDomain 0 1 0 103 DF 02 05 53 886395 shadowman example com netbios ns gt 172 16 59 255 netbios ns NBT UDP PACKET 137 QUERY BROADCAST 02 05 54 103355 802 1d config c000 00 05 74 8c 41 2b6 8043 root 0001 00 d0 01 23 a5 2b pathcost 3004 age 1 max 20 hello 2 fdelay 15 02 05 54 636436 konsole example com netbios ns gt 172 16 59 255 netbios ns NBT UDP PACKET 137 QUERY REQUEST BROADCAST 02 05 56 323715 pinky example com 1013 gt heavenly example com 860 udp 56 DF 02 05 56 323882 heavenly example com 860 gt pinky example com 1013 udp 28 DF Beachten Sie dass die Pakete die nicht f r unseren Computer bestimmt waren pinky example com noch von tcpdump gescannt und geloggt werden 92 Kapitel 9 Intrusion Detection 9 3 1 Snort Auch wenn tcpdump ein n tzliches Pr ftool darstellt wird es nicht als wahres IDS betrachtet da es Pakete nicht auf Anomalien analysiert und markiert tcpdump druckt alle Paketinformationen auf dem Ausgabebildschirm oder in einer Logdatei ohne Analyse oder Ausarbeitung Ein richtiges IDS analysiert die Pakete markiert potentiell sch dliche Pakete und speichert diese in einem formatierten Log Snort ist ein IDS das f r umfassendes und akkurates Logging von b sartigen Netzwerkaktivit ten u
5. PEERROUTEDEV We need to use internal DNS when connected via cipe DNS 192 168 1 254 Das CIPE Ger t tr gt den Namen cipcb0 Das CIPE Ger t wird zum Bootzeitpunkt geladen konfi guriert ber das Feld ONBOOT und verwendet kein Bootprotokoll z B DHCP zum Empfang einer IP Adresse f r das Ger t Das Feld PEERROUTEDEV legt den Ger tenamen f r den CIPE Server fest der sich mit dem Client verbindet Wird kein Ger t in diesem Feld angegeben wird nach Laden des Ger tes eins festgelegt Befinden sich Ihre internen Netzwerke hinter einer Firewall m ssen Sie Regeln aufstellen die der CIPE Schnittstelle auf dem Client Rechner erm glichen UDP Pakete zu senden und zu empfangen Unter Kapitel 7 finden Sie weitere Informationen zum Konfigurieren einer Firewall In dieser Bei spielkonfiguration werden iptables Regeln implementiert f 6 Hinweis Clients sollten so konfiguriert werden dass alle lokalen Parameter in einer vom Benutzer erstellen Datei mit dem Namen etc cipe ip up local gespeichert werden Die lokalen Parameter sollten mittels etc cipe ip down local umgekehrt werden wenn die CIPE Sitzung beendet wird Firewalls sollten auf Client Maschinen so konfiguriert werden dass CIPE UDP Pakete akzeptiert wer den Regeln sind von Fall zu Fall verschieden aber grunds tzlich ist die Akzeptanz von UDP Paketen 60 Kapitel 6 Virtuelle Private Netzwerke f r die CIPE Verbindung erforderlich Die folgenden iptables Regeln erm glic
6. Weitere Informationen zur Entwicklung von Methoden finden Sie auf den folgenden Webseiten http www isecom org projects osstmm htm The Open Source Security Testing Methodology Manual OSSTMM http www owasp org The Open Web Application Security Project 8 3 Auswerten der Tools Eine typische Analyse beginnt mit dem Einsatz eines Tools f r das Sammeln von Informationen Bei der Analyse des gesamten Netzwerks sollten Sie zuerst das Layout festlegen um aktive Hosts zu identifizieren Sobald diese gefunden wurden sollten Sie jeden Host einzeln untersuchen Das Untersuchen dieser Hosts bedarf weiterer Tools Das Wissen welche Tools f r was verwendet werden ist der wohl bedeutendste Schritt beim Aufdecken von Schwachstellen Wie bei jedem Aspekt des t glichen Lebens gibt es viele verschiedene Tools die die gleiche Arbeit verrichten Dieses Konzept l sst sich auch auf Schwachstellenanalysen anwenden Es gibt Tools die speziell f r Betriebssysteme Applikationen oder Netzwerke basierend auf Protokollen eingesetzt werden k nnen Einige Tools sind kostenlos andere nicht Einige Tools sind intuitiv und benutzer freundlich andere eher kryptisch und schlecht dokumentiert oder besitzen Features die andere Tools wiederum nicht haben Das Finden der richtigen Tools kann eine Herausforderung darstellen Schlussendlich z hlt die Erfah rung Wenn m glich richten Sie ein Testlabor ein und probieren soviele Tools aus wie nur
7. 1 1 2 1 Die 60er Jahre Studenten am Massachusetts Institute of Technology MIT bilden den Tech Model Railroad Club TMRC und beginnen mit der Erforschung und Programmierung des PDP 1 Mainframe Comput ersystems dieser Universit t Hier wird auch der Begriff Hacker im heutigen Kontext gepr gt Das US Verteidigungsministerium bildet das Advanced Research Projects Agency Network ARPANet das in akademischen und Forschungs Kreisen gro e Beliebtheit als Kanal f r elektronischen Daten und Informationsaustausch erlangt Dies ebnet den Weg f r die Erschaffung des Tr gernetzwerks das heute als das Internet bekannt ist Ken Thompson entwickelt das UNIX Betriebssystem weitverbreitet gepriesen als das Hacker freundlichste Betriebssystem aufgrund der zug nglichen Entwicklungstools und Compilers und der hilfsbereiten Anwendergemeinschaft Etwa zur gleichen Zeit entwickelt Dennis Ritchie die Programmiersprache C die wohl beliebteste Hacker Sprache in der Geschichte des Computers 1 1 2 2 Die 70er Jahre Bolt Berank und Newman ein Vertragsunternehmen f r Forschung und Entwicklung f r die US Regierung und Industrie entwickelt das Telnet Protokoll eine ffentliche Erweiterung des ARPANets Dies ffnete das Tor zur ffentlichen Verwendung von Datennetzwerken einst beschr nkt auf Vertragsunternehmen f r die Regierung und akademische Forschung Telnet ist jedoch laut verschiedenen Sicherheitsexperten das wohl unsicherste Protokoll f
8. 0 0 0 0 head n 1 awk print NF fi HAR ARE E E AE ARE AE AE AEE EAE aE AEA EE E AE RA EEE HE AE RA EE E A EEE AE AE AEE Add The routes for the remote local area network FERE AE AE AE E AE EAE E AE AE AEE EAE aE AE EE E AE RAR EEE HE EAR AEE EE HE E AE EE AE AE A 22 route add host 10 0 1 2 dev PEERROUTEDEV route add net 192 168 1 0 netmask 255 255 255 0 dev 1 HHHH EE E EEE EAE E E EAE EAE AEAEE AE TE HE AE AE EAE E EE AE AE AE AE AE AE AE AE AE HE E HE EEE EE E IP TABLES Rules to restrict traffic HHE EEE AE HE AEE AE HAE E AE EAE AEAEE AE FE HE AE AE EAE E AEE AE AE E AE AE AE AE AE AE E E HE EEEE E sbin modprobe iptables sbin service iptables stop sbin iptables P INPUT DROP sbin iptables F INPUT sbin iptables A INPUT j ACCEPT p udp s 10 0 1 2 sbin iptables A INPUT j ACCEPT i 1 Kapitel 6 Virtuelle Private Netzwerke 61 sbin iptables A INPUT j ACCEPT i lo sbin iptables t nat A POSTROUTING s 192 168 1 0 24 o eth0 j MASQUERADE 6 7 Anpassen von CIPE CIPE kann auf viele verschiedene Wege konfiguriert werden vom Weitergeben von Parametern als Befehlszeilenargumente beim Starten von ciped bis hin zum Generieren von gemeinsam verwen deten statischen Schl sseln Dies erm glicht dem Sicherheits Administrator die Flexibilit t CIPE Sessions anzupassen um Sicherheit zu gew hrleisten und die Produktivit t zu erh hen Hinweis Die am meisten blichen Parameter sollten in d
9. Sie k nnen entweder 28 Kapitel 4 Workstation Sicherheit Passw rter f r die Benutzer selbst erstellen oder Benutzer ihre eigenen Passw rter erstellen lassen und diese dann auf Akzeptanz pr fen Das Erstellen von Passw rtern f r den Benutzer stellt sicher dass die Passw rter sicher sind kann aber schnell zu einer ausufernden Arbeit werden wenn das Unternehmen w chst Au erdem erh ht dies das Risiko dass die Benutzer ihre Passw rter aufschreiben Aus diesen Gr nden ziehen es Systemadministratoren vor das die Benutzer ihre eigenen Passw rter erstellen diese jedoch auf Sicherheit pr fen und in einigen F llen Benutzer durch Password Aging dazu zu zwingen ihre Passw rter in periodischen Abst nden zu ndern 4 3 2 1 Forcieren sicherer Passw rter Um das Netzwerk vor Eindringlingen zu sch tzen ist es sinnvoll f r Systemadministratoren si cherzustellen dass die in einem Unternehmen verwendeten Passw rter sicher sind Wenn Benut zer aufgefordert werden ihre eigenen Passw rter zu erstellen oder zu ndern k nnen sie dies ber die Befehlszeilenapplikation passwd tun da dies Kenntnis ber den Pluggable Authentication Ma nager PAM hat und Sie daher ber das PAM Modul pam_cracklib so pr fen k nnen ob ein Passwort leicht zu knacken oder zu kurz ist Da PAM anpassbar ist ist es m glich weitere Passwort Integrit tspr fer wie z B pam_passwdac erh ltlich ber http www openwall com passwdqc oder Ihr
10. The Hacker Quarterly ins Leben gerufen und behandelt Themen wie das Hacken von Computern und Computer Netzwerken f r eine breite Leserschaft e Die 414 Gang benannt nach der Vorwahlnummer des Wohnorts wurde von den Beh rden nach einer 9 Tage Cracking Tour bei der in Systeme von geheimen Orten wie das Los Alamos National Laboratory einer Atomwaffen Forschungseinrichtung eingebrochen wurde aufgegriffen Die Legion of Doom und der Chaos Computer Club sind zwei Hacker Gruppen die mit der Erforschung von Anf lligkeiten in Computer und Datennetzwerken beginnen Der Computer Fraud and Abuse Act in 1986 Gesetz gegen Computerbetrug und missbrauch wurde vom Kongress als Gesetz erlassen basierend auf den Taten von Ian Murphy auch bekannt als Captain Zap der in Computer des Milit rs einbrach Informationen von Firmendatenbanken stahl und Anrufe ber Telefonnummern der Regierung t tigte Basierend auf dem Computer Fraud and Abuse Act war die Justiz in der Lage den Studenten Robert Morris zu verurteilen der den Morris Wurm auf ber 6000 anf llige Computer im Internet verbreitet hatte Der n chste bedeutende Fall im Rahmen dieses Gesetzes war Herbert Zinn ein Schulabrecher der Systeme von AT amp T und dem DoD gecrackt und missbraucht hatte e Basierend auf den Bedenken dass der Morris Wurm jederzeit repliziert werden k nnte wird das Computer Emergency Response Team CERT gegr ndet um Benutzer von Computern vor Net
11. externe IP Adresse oder eine kleine Gruppe von externen IP Adressen Alle Anfragen werden nur f r eine Quelle maskiert nicht f r alle Kann f r Machinen an einem LAN bersichtlich konfiguriert werden Sch tzt viele Maschinen und Service hinter einer oder mehreren IP Adresse n Vereinfacht die Aufgaben der Systemadministratoren Durch das ffnen und Schlie en von Ports an der NAT Firewall Gateway kann eine Benutzerbeschr nkung zu und von dem LAN konfiguriert werden Kann keine b sartigen Aktivit ten verhindern sobald der Benutzer mit einem Service au erhalb der Firewall verbunden ist 70 Kapitel 7 Firewalls Paketfiltet Paketfilter Firewalls lesen alle Datenpakete die sich innerhalb und au erhalb einem LAN bewegen Sie k nnen Pakete mit Hilfe der Kopfzeileninformation lesen und bearbeiten und filtern die Pakete auf der Grundlage von programmierbaren Regeln die vom Systemadministrator der Firewall aufgestellt wurden Der Linux Kernel hat eine eingebaute Paketfilterfunktion ber das Netfilter Kernel Subsystem Proxy Firewalls filtern alle Anfragen eines bestimmten Protokolls oder Typs von den LAN Clients zu einer Proxy Maschine von wo aus die Anfragen im Namen des lokalen Clients an das Internet gestellt werden Eine Proxy Maschine fungiert als ein Buffer zwischen b sartigen Benutzern von au en und den internen Client Maschinen des Netzwerkes Tabelle 7 1 Fire
12. festzustellen welche Applikationen solche Anf lligkeiten aufweisen und diese wenn n tig auf den neuesten Stand zu bringen Kapitel 4 beschreibt im Detail welche Schritte Administratoren und Heimanwender einleiten sollten um die Anf lligkeit von Computer Workstations einzuschr nken 12 Kapitel 2 Angreifer und Schwachstellen ll Red Hat Enterprise Linux fur Sicherheit konfigurieren Dieser Abschnitt informiert den Administrator und leitet diesen an in den richtigen Methoden und Tools die zur Sicherung von Red Hat Enterprise Linux Workstations Red Hat Enterprise Linux Ser vern und Netzwerk Ressourcen verwendet werden sollten Weiter beschreibt dieser wie sichere Ver bindungen hergestellt werden Ports und Services blockiert werden und aktive Filter zur Vorbeugung von Netzwerkeindringungen einzurichten sind Inhaltsverzeichnis 3 Sicherheits Updates ssssssssssssssssssssecsssssssssesscssssessesesssssesessecesssesesvasesssesessesssssesessesesssessevesess 4 Workstation Sicherheit 5 Server Sicherheit 6 Virtuelle Private Netzwerke nssesssesnsenssunsansensinssnenneksesnennentsnnsensennensrheenhnnnthnennseheshnennen caris nassen 55 TIPO WAS ischecccstccsecsecsscvsdsesesatsasscedecsusadedessedetsevenctesstedeacecstasessousecedebecsuetsisensGosusessesensactestesssecskevesvees 69 redhat Kapitel 3 Sicherheits Updates Wenn Sicherheitsrisiken in einer Software entdeckt werden muss die Software ge ndert we
13. muss dieser Service auf dem neuesten Stand gehalten werden um Sicherheitsgef hrdungen zu vermeiden Unter Kapitel 3 finden Sie weitere Informationen zu diesem Thema GPG ist eine sehr gute Methode um private Daten privat zu halten Es kann zum Versenden emp findlicher Daten ber ffentliche Netzwerke und desweiteren zum Schutz empfindlicher Daten auf Festplatten eingesetzt werden Weitere Informationen zu GPG finden Sie im Anhang Einf hrung in Gnu Privacy Guard imRed Hat Enterprise Linux Handbuch zur System Administration 40 Kapitel 4 Workstation Sicherheit K redhat Kapitel 5 Server Sicherheit Wenn ein System als Server in einem ffentlichen Netzwerk verwendet wird wird dieses zu einem Angriffsziel Aus diesem Grund ist das Abh rten des Systems und Sperren von Services von erhebli cher Bedeutung fiir den Systemadministrator Bevor Sie die Details eines bestimmten Themas erforschen sehen Sie sich die folgenden allgemeinen Hinweise f r das Erh hen der Server Sicherheit an Halten Sie alle Services auf dem neuesten Stand um vor den neuesten Bedrohungen gesch tzt zu sein Verwenden Sie sichere Protokolle Wenn m glich sollte immer nur eine Maschine einen Netzwerkservice bereitstellen berwachen Sie alle Server sorgf ltig auf verd chtige Aktivit ten 5 1 Sichern von Services mit TCP Wrappers und xinetd TCP Wrappers bieten Zugriffskontrolle f r eine Reihe von Services Die meisten modernen Netz
14. r ein CERT zu definieren kann eine Herausforderung darstellen Das Konzept von angemessenem Personal geht ber die technische Kompetenz hinaus und umfasst logistische Faktoren wie Ort Verf gbarkeit und die Einstellung das Unternehmen im Notfall allem voran zu stellen Ein Notfall tritt niemals geplant auf er kann jeden Moment eintreten und alle CERT Mitglieder m ssen dann die von ihnen verlangte Verantwortung bernehmen auf einen Notfall zu jeder Zeit zu reagieren Typische CERT Mitglieder sind z B System und Netzwerkadministratoren sowie Mitglieder der In formationssicherheitsabteilung Systemadministratoren liefern das Wissen und die Erfahrung mit Sy stemressourcen inklusive Daten Backups Backup Hardware und vieles mehr Netzwerkadministrato ren liefern ihr Wissen ber Netzwerkprotokolle und die F higkeit Netzwerk Traffic dynamisch umzu leiten Informationssicherheitspersonal ist hilfreich f r das Verfolgen von Sicherheitsproblemen und eine post mortem Analyse kompromittierter Systemen Es ist nicht immer tragbar aber es sollte ein gewisser Personal berschuss innerhalb eines CERT be stehen Sind tiefergehende Kompetenzen nicht auf ein Unternehmen anwendbar sollte zumindest Cross Training durchgef hrt werden Denken Sie daran dass wenn nur eine Person den Schl ssel zu Datensicherheit und Integrit t besitzt das gesamte Unternehmen hilflos wird falls diese Person abwesend ist 10 2 2 Rechtliche Betrachtungen Einige w
15. r propriet re Software Er wird er wischt auf der Basis von Computerkriminalit t angeklagt und zu 5 Jahren Gef ngnis verurteilt Kevin Poulsen und ein unbekannter Komplize manipulieren Telefonsysteme von Radiosendern um bei Verlosungen Autos und Geldpreise zu gewinnen Er wird wegen Computerbetrugs angeklagt und zu 5 Jahren Gef ngnis verurteilt Die Geschichten des Cracking und Phreaking werden zu Legenden und es treffen sich j hrlich angehenden Cracker auf der DefCon Versammlung um das Cracken zu feiern und Ideen auszu tauschen Ein 19 Jahre alter israelischer Student wird verhaftet und als Organisator zahlreicher Einbr che in Systeme der US Regierung w hrend des ersten Golfkrieges verurteilt Angestellte des Milit rs bezeichnen dies als den am best organisiertesten und systematischsten Angriff auf Regierungssysteme in der Geschichte der USA Die US Generalbundesanw ltin Janet Reno gr ndet als Antwort auf eskalierende Sicherheitsbriiche in Regierungssystemen das National Infrastructure Protection Center Britische Kommunikationssatelliten werden von unbekannten Personen bernommen und L segeld gefordert Die Britische Regierung gewinnt letzten Endes die Kontrolle ber die Satelliten 1 1 3 Sicherheit Heute Im Februar 2000 wurde eine Distributed Denial of Service DDoS Attacke auf einige der am h u figsten besuchten Internetsites ausgef hrt Durch diese Attacke waren yahoo com cnn com fbi gov und einige
16. ren Nachdem Sie die Netzwerk Services konfiguriert haben ist es wichtig zu berpr fen welche Ports die Netzwerkschnittstellen im System tats chlich abh ren Alle offenen Ports k nnen Beweis f r ein unbefugtes Eindringen sein Es gibt zwei grundlegende Herangehensweisen f r das Auflisten der Ports die das Netzwerk abh ren Die weniger zuverl ssige Methode ist den Netzwerkstack durch Befehle wie netstat an oder lsof i abzufragen Diese Methode ist daher unzuverl ssiger da die Programme sich nicht vom Netzwerk aus mit dem Computer verbinden sondern eher pr fen was auf dem System ausgef hrt wird Aus diesen Grund sind diese Applikationen h ufig Ziel f r Ersetzungen durch Angreifer Durch diese Methode versuchen Cracker ihre Spuren zu verwischen wenn diese unbefugt Netzwerkports ge ffnet haben Ein etwas zuverl ssigerer Weg f r das Pr fen welche Ports das Netzwerk abh ren ist mit einem Port Scanner wie z B nmap Der folgende Befehl von einer Konsole aus eingegeben stellt fest welche Ports auf TCP Verbindungen aus dem Netzwerk mith ren nmap sT O localhost Die Ausgabe dieses Befehls sieht wie folgt aus Starting nmap V 3 00 www insecure org nmap Interesting ports on localhost localdomain 127 0 0 1 The 1596 ports scanned but not shown below are in state closed Port State Service 22 tcp open ssh 111 tcp open sunrpc 515 tcp open printer 834 tcp open unknown 6000 tcp open X11 Remote OS gues
17. und separate Listen fiir jeden Service oder eine einzige zentrale Liste fiir die Zugriffsverweigerung fiir mehrere Services fiihren Wenn der Administrator den Zugang zu mehreren Services verbieten will kann eine hnliche Zeile zum PAM Konfigurationsservice wie z B etc pam d pop und etc pam d imap f r Mail Cli ents oder etc pam d ssh f r SSH Clients hinzugef gt werden Weitere Informationen zu PAM finden Sie im Kapitel Pluggable Authentication Modules PAM im Red Hat Enterprise Linux Referenzhandbuch 4 4 3 Root Zugang beschr nken Anstelle dass der Zugang zum Root Benutzer vollst ndig verweigert wird kann der Administrator Zugang nur ber setuid Programme wie z B su oder sudo gew hren 4 4 3 1 Der Befehl su Wenn Sie den Befehl su eingeben wird der Benutzer nach dem Root Passwort gefragt und erh lt nach der Authentifizierung einen Root Shell Prompt Wenn ber den Befehl su angemeldet ist der Benutzer der Root Benutzer und hat absoluten ad ministrativen Zugang zum System Zus tzlich dazu ist es dem Benutzer mit Root Berechtigungen 34 Kapitel 4 Workstation Sicherheit m glich in einigen F llen den Befehl su zu verwenden um sich als ein anderer Benutzer im System anzumelden ohne nach einem Passwort gefragt zu werden Da dieses Programm sehr m chtig ist sollten Administratoren innerhalb eines Unternehmens den Zugang zu diesem Befehl beschr nken Einer der einfachsten Wege ist es Benutzer zur administra
18. 1 2 haben Unternehmen aller Industriebereiche dazu veranlasst ihre Methoden zur Informations bertragung und Aufbewahrung zu berdenken Die Beliebtheit des Internets war eine der wichtig sten Entwicklungen die intensivere Bem hungen im Bereich der Datensicherheit nach sich zog Eine immer gr er werdende Anzahl von Anwendern verwenden ihre pers nlichen Computer f r den Zugriff auf Ressourcen die das Internet zu bieten hat Von Forschung ber Informationsrecherche bis hin zu E Mail und Kommerz wird das Internet als eine der wichtigsten Entwicklungen des 20 Jahrhunderts angesehen Das Internet und seine fr heren Protokolle wurden jedoch als trust based vertrauensbasiertes Sy stem entwickelt Das hei t dass das Internetprotokoll nicht von vornherein als sicher ausgelegt war Es sind keine anerkannten Sicherheitsstandards im TCP IP Kommunikations Stack integriert was es offen f r potentiell b swillige Benutzer und Prozesse im Netzwerk l sst Moderne Entwicklungen machen die Kommunikation ber das Internet sicherer aber es treten immer wieder Vorf lle auf die breites Aufsehen erregen und uns bewusst machen dass nichts wirklich sicher ist 1 1 2 Zeitlinie der Computer Sicherheit Verschiedene Schl sselmomente trugen zu Geburt und Aufstieg der Computersicherheit bei Im fol genden werden einige wichtige Ereignisse genannt die die Aufmerksamkeit auf Computer und In formationssicherheit und deren heutige Bedeutung lenken
19. 4321 Remote Whois rwhois Service Translator 6000 7000 7001 7002 7003 7004 7005 7006 7007 7008 7009 9876 Session Director Amanda Backup Services 11371 pgpkeyserver Pretty Good Privacy PGP GNU Privacy Guard GPG Public Keyserver 11720 h323callsigalt H 323 Call Signal Alternate 13720 Veritas NetBackup Request Daemon bprd 13721 bpdbm Veritas NetBackup Database Manager bpdbm 13722 bpjava msvc Veritas NetBackup Java Microsoft Visual C MSVC Protocol 13724 ned 13782 oped Vertias NetBackup 13783 26000 Quake und andere Multi Player Spieleserver 26208 wnn6 ds 33434 Traceroute Netzwerk Tracking Tool io ge Q a Anhang C H ufige Ports 121 Port Layer_ Name Kommentar Bemerkungen a Kommentar von etc services Port 1236 ist registriert als bvcontrol wird jedoch auch von Gracilis Packeten Remote Config Server verwendet Der offizielle Name ist als Hauptname gelistet der unregistrierte Name wird als Alias gef hrt b Hinweis in etc services Ports mit der Nummer 2600 bis 2606 werden vom zebra Paket ohne Registrierung verwendet Die Hauptnamen sind die registrierten Namen und die von zebra verwendeten unregistrierten Namen werden als Alias gelistet c Hinweis in etc services Dieser Port ist unter wnn6 registriert jedoch auch unter dem unregistrierten Namen wnn4 vom FreeWnn Paket Tabelle C 3 Registrierte Ports Tabelle C 4 zeigt eine Liste der Ports d
20. Aus diesem Grund ist es wichtig nicht ben tigte Ser vices zu deaktivieren Angriffsfl chen f r Services werden so erkannt und k nnen gepatcht werden Es ist daher wichtig Pakete die f r einen Netzwerkservice ben tigt werden auf dem neuesten Stand zu halten Weitere Informationen hierzu finden Sie unter Kapitel 3 Einige Netzwerkprotokolle sind von Natur aus unsicherer als andere Dies umfasst Services die wie folgt eingesetzt werden Unverschl sselte bertragung von Benutzernamen und Passw rtern ber ein Netzwerk Viele ltere Protokolle z B Telnet und FTP verschl sseln die Authentifizierung nicht und sollten m glichst deaktiviert werden e Emfpindliche Daten unverschl sselt ber ein Netzwerk versenden Viele Protokolle bertragen Daten unverschl sselt ber ein Netzwerk Diese Protokolle sind unter anderem Telnet FTP HTTP und SMTP Viele Netzwerk Dateisysteme z B NFS und SMB bertragen auch Informationen unverschl sselt ber das Netzwerk Es liegt in der Verantwortung des Benutzers einzuschr nken welche Art Daten bei der Verwendung dieser Protokolle bertragen werden d rfen Auch Remote Memory Dump Services wie netdump bertragen den Inhalt eines Speichers unver schl sselt ber das Netzwerk Memory Dumps k nnen Passw rter oder schlimmer noch Daten bankeintr ge und andere empfindliche Informationen enthalten 38 Kapitel 4 Workstation Sicherheit Andere Services wie finger und rwhod geben
21. Einf hrung 93 Implementierung 95 Informationen nach eine Bruch sammeln 96 post mortem 95 und rechtliche Angelegenheiten 94 Untersuchung 95 Wiederherstellen von Ressourcen 98 Vorfallsreaktionsplan 93 VPN 55 Ww White Hat Hacker Siehe Hacker Wi Fi Netzwerke Siehe 802 11x Wiederherstellen von Ressourcen 98 Das System mit einem Patch versehen 99 Neuinstallieren des Systems 99 Wireless Sicherheit 105 802 11x 105 Workstation Sicherheit 21 Auswertung Administrative Kontrolle 21 BIOS 21 Bootloader 21 Kommunikation 21 Passw rter 21 Pers nliche Firewalls 21 BIOS 21 Bootloader Passw rter 22 x xinetd 36 DoS verhindern mit 44 Ressourcen verwalten mit 44 SENSOR Falle 43 129 redhat Colophon Die Handb cher wurden im Format DocBook SGML v4 1 erstellt Die HTML und PDF Formate werden unter Verwendung benutzerdefinierter DSSSL Stylesheets und benutzerdefinierten Jade Wrap per Scripts angelegt Die DocBook SGML Dateien wurden in Emacs mithilfe von PSGML Mode geschrieben Garrett LeSage schuf das Design der Grafiken f r Meldungen Anmerkung Tipp Wichtig Achtung und Warnung Diese d rfen frei zusammen mit der Red Hat Dokumentation vertrieben werden Das Team der Red Hat Produktdokumentation besteht aus Sandra A Moore Verantwortliche Autorin Bearbeiterin des Red Hat Enterprise Linux Installati onshandbuch f r x86 Itanium und AMD64 Architekturen Verantwortliche Autorin B
22. LAN geroutet werden k nnen Wenn z B ein Weiterleiten an den gesamten LAN erlaubt werden soll angenommen die Firewall Gateway hat eine interne IP Adresse auf ethl k nnen die folgenden Regeln eingestellt werden iptables A FORWARD i ethl j ACCEPT iptables A FORWARD o ethl j ACCEPT Anmerkung Die IPv4 Richtlinie in Red Hat Enterprise Linux Kernels verhindert standardm ig die Unterst tzung von IP Weiterleitung was verhindert dass Boxen die Red Hat Enterprise Linux ausf hren als zugeordnete Edge Router fungieren F hren Sie den folgenden Befehl aus um IP Weiterleitung einzuschalten sysctl w net ipv4 ip_forward 1 Wenn dieser Befehl ber einen Shell Prompt ausgef hrt wird wird die Einstellung nach einem Neustart nicht behalten Sie k nnen permanentes Weiterleiten einstellen indem Sie die etc sysctl conf Datei bearbeiten Suchen Sie die folgende Zeile und ersetzen Sie o mit 1 net ipv4 ip_forward 0 F hren Sie den folgenden Befehl aus um die nderung der sysct1 conf Datei zu erm glichen sysctl p etc sysctl conf Dies erlaubt LAN Netzwerkknoten miteinander zu kommunizieren Es ist ihnen jedoch nicht gestat tet extern zum Beispiel mit dem Internet zu kommunizieren Um LAN Netzwerkknoten mit privaten IP Adressen das Kommunizieren mit externen ffentlichen Netzwerken zu erm glichen konfigurie ren Sie die Firewall f r IP masquerading Dies maskiert Anfragen der LAN Netzwerkknoten mit der IP Adresse de
23. Paket f r den Service und stoppen Sie dann alle Prozesse die zur Zeit laufen Pr fen Sie erst welche Prozesse laufen mit dem Befehl ps und geben Sie dann den Befehl ki11 oder killall ein um alle aktuellen Instanzen dieses Service zu stoppen Wenn zum Beispiel Sicherheits Errata imap Pakere herausgegeben werden aktuali packages are released upgrade the packages then type the following command as root into a shell prompt ps aux grep imap Dieser Befehl gibt alle aktiven IMAP Sitzungen aus Individuelle Sitzungen k nnen dann durch den folgenden Befehl beendet werden kill 9 lt PID gt Ersetzen Sie im vorhergehenden Beispiel lt PID gt durch die Prozess Identifikationsnummer der IMAP Sitzung Um alle aktiven IMAP Sitzungen zu beenden geben Sie den folgenden Befehl ein killall imapd Im Kapitel TCP Wrappersund xinetd im Red Hat Enterprise Linux Referenzhandbuch finden Sie weitere Informationen zu xinetd 20 Kapitel 3 Sicherheits Updates redhat Kapitel 4 Workstation Sicherheit Die Sicherung einer Linux Umgebung beginnt mit der Workstation Egal ob Sie Ihren pers nlichen Rechner oder ein Firmensystem sichern eine vern nftige Sicherheitspolice beginnt mit dem einzelnen Computer Im Endeffekt ist ein Computernetzwerk nur so sicher wie das schw chste Mitglied 4 1 Auswertung der Workstation Sicherheit Wenn Sie die Sicherheit einer Red Hat Enterprise Linux Workstation auswerten sollten Sie folgendes untersuche
24. Passw rter und Daten w hrend der bereits erw hnten Angriffe aufgedeckt werden k nnen A 1 4 Netzwerk Segemntierung und DMZ Administratoren die extern zug ngliche Service wie HTTP E Mail FTP und DNS ausf hren wol len wird empfohlen diese ffentlich zug nglichen Services physisch und oder logisch getrennt vom internen Netzwerk zu haben Firewalls und das Sichern von Hosts und Applikationen sind effektive Methoden m gliche Einbrecher abzuhalten Entschlossene Cracker k nnen jedoch Wege in das inter ne Netzwerk finden wenn sich die gecrackten Services auf der gleichen logischen Route wie der Rest des Netzwerks befinden Die extern zug nglichen Services sollten sich in einer de militarisierten Zo ne DMZ befinden ein logisches Netzwerksegment bei dem eingehender Verkehr vom Internet auch nur auf diese Services und nicht auf das interne Netzwerk zugreifen kann Dies ist effektiv da selbst wenn ein Computer oder DMZ von einem Angreifer erforscht wird der Rest des internen Netzwerkes hinter einer Firewall auf einem separaten Segment liegt Da die meisten Unternehmen einen begrenzten Pool an ffentlich weiterleitbaren IP Adressen ha ben von denen sie aus externe Service ausf hrend k nnen verwenden Administratoren ausgekl gel te Firewall Regeln zum Annehmen Weiterleiten Ablehnen und Verweigern von Paket bertragungen Firewall Regeln die mit iptables implementiert wurden oder spezielle Hardware Firewalls erm g lichen komp
25. StichwortverzeichniS sessensnenenesnenenenenensnnenenenensnnenenenensonsnenenennnnenensnensnnensnsnenssnsnensnensnnensnsnensnnenee 125 Colophon ee eee 131 redhat Einf hrung Willkommen beim Red Hat Enterprise Linux Sicherheitshandbuch Das Red Hat Enterprise Linux Sicherheitshandbuch wurde entworfen um Benutzern von Red Hat En terprise Linuxbeim Verst ndnis und Umgang mit der Sicherung von Workstations und Servern gegen innere und u ere Eingriffe Ausbeutung und b swillige Aktivit ten zu helfen Das Red Hat Enterpri se Linux Sicherheitshandbuch beschreibt im Detail die Planung und die Tools die f r die Errichtung einer sicheren Umgebung f r Datenzentrum Arbeitsplatz und Heimgebrauch ben tigt werden Durch Wissen Wachsamkeit und Tools kann Red Hat Enterprise Linux zu einem voll funktionsf higen und zugleich sicheren Betriebsystem werden das vor allgemeinen Angriffen und Methoden des Daten raubs gesch tzt ist In diesem Handbuch werden verschiedene Sicherheits bezogene Themen im Detail beschrieben Dar unter unter anderem Firewalls e Verschl sselung e Sicherheitskritische Services e Virtuelle Private Netzwerke e Intrusion Detection Das Handbuch ist in folgende Teile unterteilt Allgemeine Einf hrung in die Sicherheit e Konfigurieren von Red Hat Enterprise Linux f r Sicherheit Sicherheitsanalyse e Einbr che und Vorfallsreaktion Anhang Wir m chten auf diesem Wege Thomas Rude f r
26. auftreten k nnen S Hinweis Nessus wird nicht mit Red Hat Enterprise Linux mitgeliefert und wird nicht unterst tzt Die Erw h nung in diesem Handbuch gilt nur als Referenz f r Benutzer die an dieser beliebten Applikation interessiert sind Kapitel 8 Schwachstellenanalyse 83 Weitere Informationen zu Nessus finden Sie auf der offiziellen Webseite unter folgender URL http www nessus org 8 3 3 Nikto Nikto ist ein ausgezeichneter CGI Scanner Nikto hat die F higkeit nicht nur CGI Schwachstellen zu suchen sondern diese auch so zu priifen dass Intrusion Detection Systeme umgangen werden Es wird von ausgezeichneter Dokumentation begleitet die vor dem Ausf hren des Programms sorgf ltig gelesen werden sollte Wenn Sie Ihre Webserver die CGI Skriptebereitstellen gefunden haben ist Nikto eine ausgezeichnete Ressource f r das Pr fen der Sicherheit dieser Server Hinweis Nikto wird nicht mit Red Hat Enterprise Linux mitgeliefert und wird nicht unterst tzt Die Erw hnung in diesem Handbuch gilt nur als Referenz f r Benutzer die an dieser beliebten Applikation interessiert sind Weitere Informationen zu Nikto finden Sie unter folgender URL http www cirt net code nikto shtml 8 3 4 VLAD the Scanner VLAD ist ein Scanner der vom RAZOR Team bei Bindview Inc entwickelt wurde und fiir das Prii fen auf Schwachstellen eingesetzt werden kann Es pr ft auf die SANS Top Ten Liste der h ufigsten Sicherheitsprob
27. ausgeliefert und wird nicht unterst tzt Es wurde in diesem Handbuch als Referenz f r Benutzer die Interesse an der Verwendung dieses Tools haben gegeben 9 2 2 RPM als IDS Der RPM Paket Manager RPM ist ein weiteres Programm das als host basiertes IDS verwendet werden kann RPM enth lt verschiedene Optionen f r das Abfragen von Paketen und derem Inhalt Diese Verifizierungsoptionen k nnen von unsch tzbarem Wert f r einen Administrator sein der im Verdacht hat dass wichtige Systemdateien und Executables ver ndert wurden Im folgenden finden Sie eine Liste einiger Optionen f r den RPM mit denen Sie die Dateiintegrit t auf einem Red Hat Enterprise Linux System pr fen k nnen Weitere Informationen ber die Verwendung von RPM finden Sie im Red Hat Enterprise Linux Handbuch zur System Administration iia Einige der Befehle in dieser Liste erfordern das Importieren des Red Hat GPG ffentlichen Schl s sels in Ihren RPM Schl sselring Dieser Schl ssel verifiziert dass die auf Ihrem System instal lierten Pakete eine Paketsignatur von Red Hat enthalten die sicherstellt dass Ihre Pakete von Red Hat stammen Der Schl ssel kann mit dem folgenden Befehl importiert werden ersetzen Sie lt version gt durch die Version der RPM die auf Ihrem System installiert sind rpm import usr share doc rpm lt version gt RPM GPG KEY Kapitel 9 Intrusion Detection 89 rpm rpm rpm rpm V package_name Die Option v ver
28. das Abgleichen der Pakete gegen die urspr nglichen RPMs dieses Risiko nicht entdeckt werden Es ist daher wichtig dass Sie RPMs nur von Quellen wie Red Hat Inc her unterladen und die Signatur des Pakets pr fen um sicherzustellen dass es wirklich von dieser Quelle entwickelt wurde Red Hat bietet zwei M glichkeiten Sicherheitsupdates zu erhalten 1 Download vom Red Hat Network 2 Download von der Red Hat Errata Webseite 3 1 1 Red Hat Network benutzen Red Hat Network erm glicht Ihnen den gr ten Teil des Update Prozesses zu automatisieren Es stellt fest welche RPM Pakete f r Ihr System ben tigt werden l dt diese von einer sicheren Quelle herunter pr ft die RPM Signatur um festzustellen ob diese nicht unbefugt ge ndert wurden und aktualisiert diese Die Paketinstallation kann sofort erfolgen oder auf einen bestimmten Zeitpunkt verlegt werden Red Hat Network ben tigt von Ihnen ein Systemprofil von jeder Maschine die aktualisiert werden soll Dieses Systemprofil enth lt Hardware und Softwareinformationen ber das System Diese In formationen werden vertraulich behandelt und werden an niemanden weitergegeben Sie werden nur ben tigt um festzustellen welche Errata Updates auf Ihr System angewendet werden k nnen Oh ne diese kann Red Hat Network nicht feststellen ob Ihr System aktualisiert werden muss Wenn ein Sicherheits Errata oder ein anderes Errata herausgegeben wird schickt Red Hat Network Ihnen eine E M
29. des Benutzers der Workstation und dem Netzwerk Kapitel 4 Workstation Sicherheit 25 Aus Sicherheitsgriinden konfiguriert das Installationsprogramm das System so dass ein Message Digest Algorithm MDS und Shadow Passw rter verwendet werden Es wird dringend geraten diese Einstellungen nicht zu ver ndern Wenn Sie die MD5 Passworter w hrend der Installation deaktivieren wird das ltere Data Encrypti on Standard DES Format verwendet Dieses Format beschr nkt Passw rter auf 8 alphanumerische Zeichen Satzzeichen und andere Sonderzeichen sind nicht erlaubt und bietet bescheidene 56 bit Verschl sselung Wenn Sie Shadow Passw rter w hrend der Installation deaktivieren werden alle Passw rter als One Way Hash in der allgemein lesbaren Datei etc passwd hinterlegt was das System f r Cracker Attacken offline anf llig macht Erlangt ein Eindringling Zugang zum Computer als normaler Be nutzer kann dieser die Datei etc passwd auf seinen eigenen Rechner kopieren und eine beliebige Anzahl Passwort Knack Programme dar ber laufen lassen Befindet sich ein unsicheres Passwort in der Datei ist es nur eine Frage der Zeit bis diese vom Passwort Cracker gefunden wird Shadow Passw rter machen diese Art von Angriff unm glich da die Passwort Hashes in der Datei etc shadow gespeichert werden die nur vom Root Benutzer gelesen werden kann Dies zwingt einen m glichen Angreifer Passw rter von au en ber ein Netzwerkservice auf dem Rec
30. die Pakete nicht emp fangen und ist somit effektiv deaktiviert Aus diesem Grund sollte man bei der Konfiguration einer Firewall darauf achten dass der Zugang zu nicht benutzten Ports blockiert wird Ports f r konfigurierte Services jedoch offen bleiben F r die meisten Benutzer ist das beste Tool zur Konfiguration einer einfachen Firewall das einfa che grafische Firewall Konfiguration Tool das mit Red Hat Enterprise Linux ausgeliefert wird Se Kapitel 4 Workstation Sicherheit 39 curity Level Configuration Tool redhat config securitylevel Dieses Tool erzeugt breite iptables Regeln fiir eine allgemeine Firewall unter Verwendung eines Control Panel Interface Weitere Informationen tiber die Verwendung dieser Applikation und deren Optionen finden Sie im Kapitel Basiskonfiguration der Firewall im Red Hat Enterprise Linux Handbuch zur System Administration F r fortgeschrittene Benutzer und Server Administratoren ist wahrscheinlich die beste Option das Konfigurieren einer Firewall von Hand mit dem Befehl iptables Weitere Informationen finden Sie unter Kapitel 7 Einen umfassenden Leitfaden zum iptables Befehl finden Sie im KapitelFirewalls und iptables im Red Hat Enterprise Linux Referenzhandbuch 4 7 Kommunikationstools mit erh hter Sicherheit Mit wachsender Gr e und Beliebtheit des Internets w chst auch die Bedrohung durch Abfangen von Kommunikation In den letzten Jahren wurden Tools entwickelt die jegliche Kommunikation b
31. einige Einschr nkungen f r die Spezifikationen die eine genaue Be trachtung erfordern Die wichtigste Einschr nkung ist die Implementierung der Sicherheit In der Aufregung eines erfolgreichen Einsatzes eines 802 11x Netzwerks vergessen viele Administra toren selbst die grundlegendsten Sicherheitsma nahmen Da das 802 11x Networking ber hochfre quente RF Signale durchgef hrt wird ist dies leicht zug nglich f r Benutzer mit einem kompatiblem NIC einem Wireless Netzwerk Scan Tool wie NetStumbler oder Wellenreiter und herk mmlichen Sniffing Tools wie dsniff und snort Um einen Missbrauch privater Wireless Netzwerke zu ver hindern verwendet der 802 11b Standard das Wired Equivalency Privacy WEP Protokoll das ein RC4 basierte 64 or 128 bit verschl sselter Schl ssel ist der von den Knoten oder zwischen AP und Knoten gemeinsam verwendet wird Dieser Schl ssel verschl sselt bertragungen und entschl s selt eingehende Pakete dynamisch und transparent Administratoren bersehen oft den Einsatz dieser Schl ssel Verschl sselung Schemata oftmals weil diese es einfach vergessen oder aufgrund der Lei stungsbeeintr chtigung insbseondere ber weite Entfernungen Der Einsatz von WEP f r Wireless Netzwerke kann die Wahrscheinlichkeit des Abfangens von Daten wesentlich verringern Red Hat Enterprise Linux unterst tzt mehrere 802 11x Produkte verschiedener Hersteller Das Net work Administration Tool ibeinhaltet eine M glichkeit f r da
32. ethO wird eine extern zug ngliche statische IP Adresse f r das Internet zugeteilt ethl fungiert als Routing Punkt f r das Bearbeiten und bertragen von LAN Paketen von einem Netzwerkknoten zu den Remote Netzwerkknoten Die IPsec Verbindung zwischen den Netzwerken verwendet einen vorher gemeinsam ben tzten Schl ssel mit dem Wert r3dh4t11nux Die Administratoren von A und B stimmen berein racoon automatisch einen Authentifikations Schl ssel zwischen den beiden IPsec Routern erstellen zu lassen und diesen gemeinsam zu verwenden Der Administrator von LAN A entscheidet sich daf r die IPsec Verbindung ipsecO zu nennen w hrend der Administrator von LAN B die IPsec Verbindung ipsec1 nennt Im folgenden sehen Sie die ifcfg Datei f r eine Netzwerk zu Netzwerk Verbindung mit IPsec f r LAN A Der einmalige Name zur Identifizierung der Verbindung ist in diesem Beispiel ipsec1 die daraus resultierende Datei hei t daher etc sysconfig network scripts ifcfg ipsecl TYPE IPsec ONBOOT yes IKE_METHOD PSK SRCGW 192 168 1 254 DSTGW 192 168 2 254 SRCNET 192 168 1 0 24 DSTNET 192 168 2 0 24 DST X X X X Die Verbindung ist so eingestellt dass sie beim Hochfahren ONBOOT yes startet Sie verwendet die Authentifikations Methode der vorher gemeinsam verwendeten Schl sseln IKE_METHOD PSK Der Administrator f r LAN A gibt sowohl den Ziel Gateway ein der der Gateway f r LAN B ist DSTGW 192 168 2 254 als auch den Quell Gateway der die Gateway
33. f r WANs erweitert wurden f r entfernte Benutzer NFS hat standardm ig keine Authentifizierungs oder Sicherheitsmechanismen konfiguriert um Cracker vom Mounten des NFS Shares und Zugang zu allem was darin enthalten ist abzuhalten NIS verf gt auch ber wichtige Informationen die jedem Computer im Netzwerk bekannt sein m ssen einschlie lich Passw rter und Dateiberechtigungen innerhalb einer Nur Text ASCII oder DBM ASCII abgeleiteten Datenbank Ein Cracker der Zugang zu dieser Datenbank erh lt kann dann auf jeden Benutzeraccount in diesem Netzwerk zugreifen einschlie lich dem des Administrators Standardm ig sind bei Red Hat solche Services deaktiviert Da Administratoren h ufig jedoch zur Verwendung dieser Services gezwungen sind ist Sorgfalt von oberster Wichtigkeit Weitere Informa tionen zum sicheren Einrichten eines Servers finden Sie unter Kapitel 5 2 4 Bedrohungen der Workstation und Heim PC Sicherheit Workstations und Heim PCs sind nicht ganz so anf llig f r Attacken wie Netzwerke oder Server da sie jedoch h ufig empfindliche Informationen wie zum Beispiel Kreditkartendaten enthalten werden sie schnell zum Ziel von Crackern Workstations k nnen kooptiert werden ohne das der Benutzer dies merkt und von Angreifern als Sklaven Maschinen f r koordinierte Angriffe verwendet werden Aus diesem Grund kann die Kenntnis der Schwachstellen einer Workstation Benutzern den Kopfschmerz der Neuinstallation eines Bet
34. hexadecimal notation key RXXXXXXXXXXXXXXXXXXXXXX XXX XXX ptpaddr ist die CIPE Adresse des entfernten LANs ipadar ist die CIPE IP Adresse der Workstati on Die me Adresse ist die ffentlich weiterleitbare IP Adresse des Clients der die UDP Pakete ber das Internet sendet w hrend peer die ffentlich weiterleitbare IP Adresse des CIPE Servers ist Bit te beachten Sie dass die IP Adresse der Client Workstation 0 0 0 0 ist da diese eine dynamische Verbindung verwendet Der CIPE Client handhabt die Verbindung zum Host CIPE Server Das key Feld durch x dargestellt Ihr Schl ssel sollte geheim bleiben ist der gemeinsam verwendete statische Schl ssel Dieser Schl ssel muss f r beide Peers gleich sein oder die Verbindung ist nicht m glich Informationen zur Generierung eines gemeinsamen statischen Schl ssels f r Ihre CIPE Maschinen finden Sie unter Abschnitt 6 8 Hier sehen Sie die bearbeitete etc cipe options cipcb0 Datei die die Client Workstation ver wendet ptpaddr 10 0 1 2 ipaddr 10 0 L 1 me 0 0 0 0 peer LAN EXAMPLE COM 6969 key 1234560urlittlesecret 7890shhhh Hier sehen Sie die Datei etc cipe options cipcb0 f r den CIPE Server ptpaddr 10 0 1 1 ipaddr 10 0 1 2 me LAN EXAMPLE COM 6969 peer 0 0 0 0 key 1234560urlittlesecret7890shhhh Kapitel 6 Virtuelle Private Netzwerke 59 6 6 Konfigurieren von Clients f r CIPE Nachdem Sie erfolgreich den CIPE Server konfiguriert und dessen Funktionalit t getestet hab
35. ngig getestet wie man erwarten w rde z B dadurch dass diese erst seit kurzem in der Produktionsumgebung eingesetzt wird oder weil diese noch nicht ganz so beliebt ist wie andere Server Software Entwickler und Systemadministratoren finden h ufig ausbeutbare Fehler in Serverapplikationen und ver ffentlichen diese Informationen auf Bug Tracking und sicherheitsbezogenen Webseiten wie die Bugtraq Mailingliste http www securityfocus com oder die Webseite des Computer Emergency Response Team CERT http www cert org Auch wenn diese Mechanismen eine effektive Metho de zur Warnung der Community vor Sicherheitsproblemen darstellt liegt es letztendlich an den Sy stemadministratoren ihre Systeme sofort mit einem Patch zu versehen Dies ist insbesondere wichtig da Cracker auch Zugang zu den gleichen Tracking Services haben und diese Informationen ausnut zen um nicht gepatchte Systeme zu cracken Eine gute Systemadministration verlangt Wachsamkeit andauerndes Fehlertracking und vern nftige Systemwartung f r eine sichere Rechenumgebung Weitere Informationen f r das Aktuellhalten eines Systems finden Sie unter Kapitel 3 2 3 3 Unaufmerksame Administration Administratoren die Systeme nicht mit den neuesten Patches versehen stellen eine der gr ten Bedro hungen f r die Serversicherheit dar Nach Angaben des System Administration Network and Security Institute SANS ist der Hauptgrund f r Computersicherheitsprobleme untrainierte Mit
36. nnen ii Einf hrung HTML PDF und RPM Versionen der Handb cher sind auf der Red Hat Enterprise Linux Dokumentations CD und Online unter http www redhat com docs erh ltlich Anmerkung Obwohl dieses Handbuch die neuesten Informationen enth lt lesen Sie die Red Hat Enterprise Linux Release Notes f r weitere Information die zum Druck dieses Handbuchs noch nicht vorlagen Diese k nnen auf der Red Hat Enterprise Linux CD 1 und Online unter http www redhat com docs gefunden werden 1 Dokumentkonventionen Beim Lesen dieses Handbuchs werden Sie feststellen dass bestimmte W rter in verschiedenen Fonts Schriftbildern Gr en usw dargestellt sind Diese Unterscheidung folgt einer bestimmten Ordnung bestimmte W rter werden auf die gleiche Weise dargestellt um darauf hinzuweisen dass sie zu einer bestimmten Kategorie geh ren Typen von W rtern die so dargestellt werden schlie en Folgende ein Befehl Linux Befehle sowie Befehle anderer Betriebssysteme sofern verwendet werden auf diese Weise dargestellt Diese Darstellungsart weist darauf hin dass Sie das Wort oder den Satz in die Befehlszeile eingeben und die Enter Taste dr cken k nnen um den entsprechenden Be fehl auszuf hren Gelegentlich enth lt ein Befehl W rter die eigentlich auf eine andere Weise dargestellt werden w rden beispielsweise Dateinamen In einem solchen Fall werden sie als Teil des Befehls betrachtet und der gesamte Satz wird als Bef
37. r ffentliche Netzwerke Steve Jobs und Steve Wozniak gr ndeten Apple Computer und begannen mit der Vermarktung des Personal Computer PC Der PC ist das Sprungbrett f r b swillige Anwender zum Erlernen der Kapitel 1 Uberblick iiber Sicherheit 3 Kunst Systeme von au en mittels allgemein erh ltlicher PC Kommunikations Hardware wie z B analoge Modems und War Dialers zu cracken e Jim Ellis und Tom Truscott kreieren USENET ein Bulletin Board System f r elektronische Kom munikation zwischen entfernten Anwendern USENET wird schnell zu einem der beliebtesten Foren fiir den Ideenaustausch im Bereich Computing Netzwerke und natiirlich Cracking 1 1 2 3 Die 80er Jahre e IBM entwickelt und vertreibt PCs basierend auf dem Intel 8086 Mikroprozessor einer relativ kosteng nstigen Architektur die elektronische Datenverarbeitung vom B ro ins traute Heim brachte Dies half den PC zu einem allgemeinen zug nglichen Toolwerden zu lassen was wiederum dem Wachstum dieser Hardware in den Haushalten b swilliger Anwender zu Nutze kam e Das Transmission Control Protocol TCP von Vint Cerf entwickelt ist in zwei Teile unterteilt Das Internet Protokoll IP wurde aus dieser Unterteilung geschaffen und das TCP IP Protokoll wird zum Standard jeglicher Kommunikation ber das Internet e Basierend auf den Entwicklungen im Bereich des Phreaking mit anderen Worten des Auskund schaften und Hacken von Telefonsystemen wurde das Magazin 2600
38. verhalten sich als Netzwerkserver Wenn ein Netz werkservice auf einem Computer ausgef hrt wird h rt eine Server Applikation auch Daemon ge nannt auf einem oder mehreren Ports die Verbindungen ab Jeder dieser Server sollte als potentielle Angriffsstelle betrachtet werden 4 5 1 Risiken f r Services Netzwerkservices k nnen viele Risiken f r Linux Systeme bedeuten Untenstehend finden Sie eine Liste der Hauptprobleme Buffer Overflow Attacken Services die sich ber Ports 0 bis 1023 einw hlen m ssen als admin istrativer Benutzer ausgef hrt werden Hat die Applikation einen ausbeutbaren Buffer Overflow kann ein Angreifer Zugang zum System erlangen indem er als Benutzer diesen Daemon ausf hrt Da ausbeutbare Buffer Overflows existieren k nnen Cracker mit automatisierten Tools das Sys tem auf Anf lligkeiten pr fen Sobald diese dann Zugang zum System haben k nnen sie mithilfe automatisierte Rootkits den Zugang zum System aufrecht erhalten Denial of Service Attacken DoS In dem ein System mit Anfragen berflutet wird kann eine Denial of Service Attacke ein System zum v lligen Stillstand bringen da das System versucht jede Anfrage aufzuzeichnen und zu beantworten Skript Anf lligkeits Attacken Wenn ein Server Skripte zum Ausf hren von serverseitigen Auf gaben verwendet kann ein Cracker durch nicht sachgem erstellte Skripte eine Attacke initiieren Diese Skript Anf lligkeits Attacken k nnen zu e
39. werden dar ber hinaus gehende Verbindungen verz gert e confMAX_DAEMON_CHILDREN Die maximale Anzahl von Child Prozessen die vom Server erzeugt werden k nnen Standardm ig begrenzt Sendmail die Anzahl der Child Prozesse nicht Wird eine Grenze gesetzt und diese erreicht werden alle weiteren Verbindungen verz gert confMIN_FREE_BLOCKS Die minimale Anzahl freier Bl cke die f r den Server zur Verf gung stehen m ssen um E Mail empfangen zu k nnen Der Standard ist 100 Bl cke confMAX_HEADERS_LENGTH Die maximal akzeptierte Gr e in Bytes f r einen Nachricht enkopf confMAX_MESSAGE_SIZE Die maximal akzeptierte Gr e in Bytes pro Nachricht 5 7 2 NFS und Sendmail Legen Sie niemals das Mail Spool Verzeichnis var spool mail auf einem NFS Shared Volu men ab Da NFS keine Kontrolle ber Benutzer und Gruppen IDs hat k nnen zwei oder mehr Benutzer die gleiche UID besitzen und daher jeweils die E Mail des anderen lesen Kapitel 5 Server Sicherheit 53 5 7 3 Nur Mail Benutzer Um ein Ausbeuten des Sendmail Servers durch lokale Benutzer zu vermeiden ist es am besten wenn Mail Benutzer auf den Sendmail Server nur ber ein E Mail Programm zugreifen Shell Accounts auf dem Mail Server sollten nicht erlaubt sein und alle Benutzer Shells in der Datei etc passwd sollten auf sbin nologin gesetzt sein evtl unter Ausnahme des Root Benutzers 5 8 Best tigen welche Ports auf Verbindungen abh
40. werkservices wie z B SSH Telnet und FTP verwenden TCP Wrappers die als Wachposten zwischen einer eingehenden Anfrage und dem angefragten Service stehen Die Vorteile von TCP Wrappers werden noch erweitert wenn diese zusammen mit xinetd einem Super Service der zus tzliche Zugriffs Log Bindungs Umleitungs und Ressourcenkontrolle bie tet Sr Es ist eine gute Idee die IPTables Firewall Regeln in Zusammenhang mit TCP Wrappers und xinetd zu verwenden um eine Redundanz innerhalb der Service Zugangskontrollen zu erreichen F r mehr Information ber das Errichten von Firewalls mit IPTables Befehlen sieheKapitel 7 Weitere Informationen zur Konfiguration von TCP Wrappers und xinetd finden Sie im Kapitel TCP Wrappers und xinetd im Red Hat Enterprise Linux Referenzhandbuch In den folgenden Unterkapiteln wird davon ausgegangen dass Sie ein grundlegendes Wissen ber jedes Thema besitzen und sich auf spezielle Sicherheitsoptionen konzentrieren 5 1 1 Erhohung der Sicherheit mit TCP Wrappers TCP Wrappers k nnen viel mehr als nur Zugriffe auf Services verweigern In diesem Abschnitt wird erl utert wie TCP Wrappers zum Versenden von Verbindungs Bannern Warnen vor Angriffen von bestimmten Hosts und Erweitern der Log Funktionalit t eingesetzt werden k nnen Eine ausf hrliche Liste der Funktionalit t und Kontrollsprache der TCP Wrappers finden Sie auf den man Seiten der hosts_options 42 Kapitel 5 Server Sicherheit 5 1 1 1
41. wird sollte der Plan von allen direkt betroffenen Parteien verabschiedet und zuversichtlich implementiert werden Wird ein Bruch bemerkt w hrend die CERT f r eine schnelle Reaktion vor Ort ist k nnen m gliche Reaktionen variieren Das Team kann sich einigen das Netzwerk zu trennen die betroffenen Systeme zu trennen das Sicherheitsloch mit einem Patch zu versehen und schnell wieder ohne weitere Kom plikationen zu verbinden Das Team kann auch die Eindringlinge berwachen und deren Aktionen verfolgen Das Team kann sogar einen Eindringling an einen Honigtopf weiterleiten ein System oder Netzwerksegment das absichtlich falsche Daten enth lt um den Vorfall sicher zu verfolgen ohne Produktionsressourcen zu unterbrechen Die Reaktion auf einen Vorfall sollte wenn immer m glich von Informationssammlung begleitet werden Das Ausf hren von Prozessen Netzwerkverbindungen Dateien Verzeichnissen und vielem mehr sollte aktiv in Echtzeit berpr ft werden Ein Schnappschuss der Produktionsressourcen zum Vergleich ist hilfreich beim Verfolgen von schlechten Services oder Prozessen CERT Mitglieder und In House Experten stellen gro artige Ressourcen bei der Verfolgung dieser Anomalien in einem Sy stem dar Systemadministratoren wissen welche Prozesse erscheinen sollten und welche nicht wenn die Befehle top oder ps ausgef hrt werden Netzwerkadministratoren wissen wie normaler Netz werkverkehr aussieht wenn snort oder tcpdump ausgef h
42. zwerksicherheitsproblemen zu warnen e Clifford Stoll schreibt das Buch The Cuckoo s Egg das Kuckucksei eine Beschreibung der Un tersuchung von Crackern die unberechtigt auf sein System zugegriffen haben 1 1 2 4 Die 90er Jahre ARPANet wird stillgelegt Verkehr ber dieses Netzwerk wir ans Internet weitergeleitet e Linus Torvalds entwickelt den Linux Kernel f r Verwendung mit dem GNU Betriebssystem die weitverbreitete Entwicklung und Verwendung von Linux liegt an der Zusammenarbeit der Benutzer und Entwickler die ber das Internet kommunizieren Durch die Unix Wurzeln ist Linux am be liebtesten bei Hackern und Administratoren die Linux n tzlich f r das Erstellen von sicheren Al ternativen zu Legacy Servern und propriet rer nicht ver ffentlichter Quellcode Betriebssysteme finden 4 Kapitel 1 Uberblick iiber Sicherheit e Der grafische Web Browser wird entwickelt und entflammt einen exponentiell steigenden Bedarf f r ffentlichen Internetzugang e Vladimir Levin und Komplizen knacken illegal die zentrale Datenbank der CitiBank und trans ferieren 10 Millionen US zu verschiedenen Konten Levin wird von der Interpol verhaftet und fast die gesamte Summe sichergestellt Der unter Crackern wohl am meisten gefeierte ist Kevin Mitnick der in verschiedene Systeme von Unternehmen einbrach und alles stahl von pers nlichen Informationen bekannter Pers nlichkeiten bis zu mehr als 20 000 Kredikartennummern und Quellcode f
43. 1 Installierte Dokumentation Das Red Hat Enterprise Linux Referenzhandbuch beinhaltet ein ausf hrliches Kapitel ber IPTa bles einschlie lich Definitionen f r alle Befehlsoptionen Die IPTables Handbuch Seite enth lt ebenfalls eine kurze Zusammenfassung der verschiedenen Optionen In Anhang C und in etc services findet sich eine Liste der gebr uchlichen Dienste und ihrer Port Nummern 7 8 2 Hilfreiche Websites http www netfilter org Die offizielle Homepage des Netfilter IPTables Projekts http www tldp org Das Linux Dokumentations Projekt enth lt mehrere hilfreiche Anweisun gen in Zusammenhang mit der Erstellung und Administration von Firewalls http www iana org assignments port numbers Die offizielle Liste registrierter und blicher Service Ports zugeteilt von der Internet Assigned Numbers Authority 7 8 3 Verwandte Dokumentation Linux Firewalls von Robert Ziegler New Riders Press enth lt eine Menge an Informationen ber das Erstellen von Firewalls mit 2 2 kernel und IPChains sowie mit Netfilter und IPTables Es werden auch zus tzliche Sicherheitsthemen abgedeckt wie Probleme mit Zugang von au en und Erkennungssysteme bei Eindringen Ill Sicherheit einsch tzen Dieser Abschnitt bietet einen berblick ber Theorie und Praxis der Sicherheitseinsch tzung Von Tools zum berwachen eines Netzwerks zu Cracking Tools ein Administrator kann mehr ber das Sichern eines Sy
44. 2 Bit Adressenlimits von IPv4 oder IP IPv6 unterst tzt 128 Bit Adressen und daher k nnen IPv6 kompatible Tr ger Netzwerke eine gr ere Anzahl routbarer Adressen ansprechen als mit IPv4 Red Hat Enterprise Linux unterst tzt die IPv6 Firewall Regeln unter Verwendung des Netfilter 6 Subsystems und des IP6Tables Befehls Der erste Schritt bei der Verwendung von IP6Tables ist das Starten des IP6Tables Service mit folgendem Befehl service ip6tables start wamung Die IPTables Dienste m ssen abgeschaltet sein damit das IP6Tables Service exklusiv gen tzt wer den kann 76 Kapitel 7 Firewalls service iptables stop chkconfig iptables off Damit IP6Tables standardm ig startet wenn das System hochgefahren wird m ssen Sie den Runle vel Status mit chkconfig ndern chkconfig level 345 ip 6tables on Die Syntax ist in jeder Hinsicht die gleiche wie bei IPTables au er dass IP6Tables 128 Bit Adressen unterst tzt SSH Verbindungen auf einem IPv6 kompatiblen Netzwerk k nnen z B mt der folgenden Regel aktiviert werden ip6tables A INPUT i eth0 p tcp s 3ffe ffff 100 1 128 dport 22 j ACCEPT F r mehr Information ber IPv6 Networking siehe die IPv6 Informationsseiteunter http www ipv6 org 7 8 Zus tzliche Informationsquellen Einige Aspekte von Firewalls und des Linux Netfilter Subsystems konnten hier nicht abgedeckt wer den F r weitere Informationen ziehen Sie bitte die folgenden Quellen zu Rate 7 8
45. AN kontrollieren Man kann auch diverse dubiose Dienste einschr nken wie Trojans Worms und andere Client Server Viren Es gibt zum Beispiel ei nige Trojans die Netzwerke nach Diensten durchsuchen und zwar von Port 31337 bis 31340 in der Cracker Sprache die elit renPorts genannt Da es keine legitimierten Dienste gibt die mit diesen nicht standardm igen Ports kommunizieren kann es sehr hilfreich sein sie zu blockieren Die Chan ce dass potentiell infizierte Netzwerkknoten in Ihrem Netzwerkes unabh ngig mit ihren ausw rtigen Master Servern kommunizieren wird so gering gehalten iptables A OUTPUT o eth0 p tcp dport 31337 sport 31337 j DROP iptables A FORWARD o eth0 p tcp dport 31337 sport 31337 j DROP Sie k nnen auch Verbindungen von au en blockieren die versuchen eine Reihe von privaten IP Adressen zu knacken um Ihren LAN infiltrieren zu k nnen Wenn Ihr LAN die 192 168 1 0 24 Reihe verwendet kann zum Beispiel eine Regel aufgestellt werden dass alle Pakete ausgelassen werden die eine IP Adresse haben wie Sie in Ihrem LAN vorkommt Da als Standard Richtlinie empfohlen wird weitergeleitete Pakete zur ckzuweisen werden auch andere geknackte IP Adressen automatisch vom nach au en gerichteten Ger t eth0 zur ckgewiesen iptables A FORWARD s 192 168 1 0 24 i eth0 j DROP 7 7 IP6Tables Die Einf hrung des Internet Protokolls der n chsten Generation IPv6 genannt erweitert die M g lichkeiten des 3
46. CLs kon trolliert und Prozesse und Dateien selbst vom Root Benutzer sch tzt 9 3 Netzwerk basierte IDS Netzwerk basierte Intrusion Detection Systeme funktionieren anders als host basierte IDS Die Design Philosophie einer netzwerk basierten IDS ist das Scannen von Netzwerkpaketen am Router oder Host Pr fen von Paket Informationen und das Logging jeglicher verd chtiger Pakete in einer speziellen Log Datei mit erweiterten Informationen Basierend auf diesen verd chtigen Paketen kann ein netzwerk basiertes IDS deren eigene Datenbank mit Signatur bekannter Netzwerkattacken scannen und einen Schwerheitsgrad f r jedes Paket festlegen bersteigt der Schwerheitsgrad einen bestimmten Wert wird eine Warn E Mail oder eine Nachricht ber Pager an die Mitarbeiter des Sicherheitsteams abgeschickt so dass diese die Anomalie weiter pr fen k nnen Netzwerk basierte IDS werden mit wachsendem Internet immer beliebter IDS die gro e Mengen an Netzwerkaktivit ten scannen und verd chtige bertragungen erfolgreich mit Tags versehen k nnen sind in der Sicherheitsindustrie hoch angesehen Durch die Unsicherheit des TCP IP Protokolls wurde es unumg nglich Scanner Schn ffler und andere Netzwerkpr f und Erkenntools zu entwickeln die Sicherheitsbr che durch unter anderem folgende Netzwerkaktivit ten verhindern IP Spoofing Denial of Service Attacken arp Cache Poisoning DNS Name Korruption Man in the Middle Attacken Kapitel 9 I
47. Ersetzen Sie im oben genannten Befehl lt username gt mit dem Namen des Benutzers Wenn Sie nicht m chten dass das Passwort ung ltig wird verwenden Sie den Wert 99999 nach der Option M dies ist etwas mehr als 273 Jahre Wenn Sie die grafische Applikation User Manager f r Password Aging Policies verwenden m chten klicken Sie auf Hauptmen im Panel gt Systemeinstellungen gt Benutzer und Gruppen oder geben Sie den Befehl redhat config users an einem Shell Prompt ein z B in einem XTerm oder GNOME Terminal Klicken Sie auf den Tab Benutzer w hlen Sie den Benutzer aus der Liste aus und klicken Sie auf Eigenschaften im Men oder w hlen Sie Datei gt Eigenschaften aus dem Pull Down Men Klicken Sie dann auf Passwort Info und geben Sie hier die Anzahl der Tage ein bevor das Passwort ablaufen soll wie in Abbildung 4 1 gezeigt User Data Account Info Password Info Groups User last changed password on Mon Feb 3 2003 Enable password expiration Days before change allowed 0 Days before change required 90 Days warning before change 0 Days before account inactive 0 Cancel 2 OK Abbildung 4 1 Passwort Info Panel Weitere Informationen zu Benutzern und Gruppen inklusive Anweisungen fiir das Erzwingen erst maliger Passworter finden Sie im Kapitel Benutzer und Gruppekonfiguration imRed Hat Enterprise Linux Handbuch zur System Administr
48. Ethik 7 Hardware 103 Laptops 106 Server 106 und Sicherheit 106 Workstations 106 H ufige Ports Tabelle 113 Haufige Schwachstellen und Attacken 109 Tabelle 109 IDS Siehe Intrusion Detection Systeme Intrusion Detection Systeme 87 definieren 87 Host basiert 87 netzwerk basiert 90 Snort 92 RPM Paket Manager RPM 88 Tripwire 88 Typen 87 und Log Dateien 87 ip6tables 75 IPsec 62 Host zu Host 63 Installieren 62 Konfiguration 65 Host zu Host 63 Netzwerk zu Netzwerk 65 iptables 70 und DMZs 74 Verwendung von 71 Zus tzliche Informationsquellen 76 K Kerberos NIS 47 Kommunikationsports 113 Kommunikationstools Sicher 39 GPG 39 OpenSSH 39 Kontrollen 5 administrative 6 technische 6 Zugang 5 Konventionen Dokument ii L Ipd 36 lsof 53 mdSsum Datei Priifung mit 96 N Nessus 82 Netfilter 70 Zus tzliche Informationsquellen 76 Netfilter 6 75 netstat 53 Netzwerke 103 de Militarisierte Zonen DMZ 106 Hubs 104 Segemtierung 106 Switches 104 und Sicherheit 103 Wireless 105 Netzwerkservices 36 Identifizieren und Konfigurieren 36 Risiken 36 Buffer Overflow 36 Denial of Service 36 Skript Anf lligkeiten 36 Netzwerktopologien 103 Linearer Bus 103 Ring 103 Stern 103 NFS 47 Netzwerkdesign 48 Syntax Fehler 48 und Sendmail 52 Nikto 83 NIS Einf hrung 45 IPTables 47 Kerberos 47 Netzwerke planen 45 NIS Domain Name 46 securenets 46
49. IP Adresse von LAN A ist SRCGW 192 168 1 254 Der Administrator gibt dann sowohl das Ziel Netzwerk ein dass die Netzwerk Reihe fiir LAN B ist DSTNET 192 168 2 0 24 als auch das Quell Netzwerk SRCNET 192 168 1 0 24 Abschlie end gibt der Administrator die Ziel IP Adresse ein die die extern zug ngliche IP Adresse f r LAN B ist X X X X Im folgenden finden Sie die Datei mit den vorher gemeinsam ben tzten Schl sseln etc sysconfig network scripts keys ipsecX genannt wobei X die 0 f r LAN A und die 1 f r LAN B ist die beide Netzwerke verwenden um sich gegenseitig zu authentifizieren Der Inhalt dieser Datei sollte identisch sein und nur der Root Benutzer sollte die Datei lesen oder berschreiben k nnen IKE_PSK r3dh4tl1inux Bicon Um die keys ipsec0 Datei zu ver ndern damit sie nurvom Root Benutzer gelesen oder bearbeitet werden kann f hren Sie nach der Erstellung der Datei den folgenden Befehl aus chmod 600 etc sysconfig network scripts keys ipsec1 Um den Authentifizierungs Schl ssel jederzeit zu ver ndern bearbeiten Siedie keys ipsecx Datei bei beiden IPsec Routern F r eine ordentliche Verbindung m ssen beide Schl ssel gleich sein Kapitel 6 Virtuelle Private Netzwerke 67 Das ist die etc racoon racoon conf Konfigurationsdatei f r die IPsec Verbindung Beachten Sie dass die include Zeile am unteren Ende der Datei nur erscheint wenn gerade eine Verbindung mit einem IPsec Tunnel vorhanden ist Die Zeile w
50. Informationen iiber Benutzer im System preis Beispiele fiir von Natur aus unsichere Services sind unter anderem folgende e rlogin rsh telnet e vsftpd Alle Remote Login und Shell Programme rlogin rsh und telnet sollten zugunsten von SSH vermieden werden Unter Abschnitt 4 7 finden Sie weitere Informationen zu sshd FTP ist nicht ganz so gef hrlich f r die Sicherheit des Systems wie Remote Shells FTP Server miis sen jedoch sorgf ltig konfiguriert und berwacht werden um Probleme zu vermeiden Weitere Infor mationen ber das Sichern von FTP Servern finden Sie unter Abschnitt 5 6 Services die sorgf ltig implementiert und hinter einer Firewall verwendet werden sollten umfassen folgende e finger e identd e netdump netdump server nfs e portmap e rwhod sendmail smb Samba yppasswdd e ypserv e ypxfrd Weitere Informationen zur Sicherung von Netzwerkservices ist unter Kapitel 5 erh ltlich Im n chsten Abschnitt werden Tools f r das Einrichten einer Firewall beschrieben 4 6 Pers nliche Firewalls Sobald die n tigen Netzwerkservices konfiguriert sind ist es wichtig eine Firewall zu implementie ren Firewalls verhindern dass Netzwerkpakete Zugriff auf die Netzwerkschnittstelle des Systems erhal ten Wird eine Anfrage an einen Port gestellt der von einer Firewall gesch tzt ist wird diese Anfrage ignoriert H rt ein Service einen dieser blockierten Ports ab kann dieser Service
51. Red Hat Enterprise Linux 3 Sicherheitshandbuch I redhat Red Hat Enterprise Linux 3 Sicherheitshandbuch Copyright 2003 von Red Hat Inc a Red Hat Inc 1801 Varsity Drive Raleigh NC 27606 2072 USA Phone 1 919 754 3700 Phone 888 733 4281 Fax 1 919 754 3701 PO Box 13588 Re search Triangle Park NC 27709 USA rhel sg DE 3 Print RHI 2003 07 25T17 12 Copyright 2003 by Red Hat Inc Das vorliegende Material darf nur unter Einhaltung der in Open Publication License V1 0 oder neuer dargelegten Gesch ftsbedingungen vertrieben werde die neueste Version ist gegenw rtig unter http www opencontent org openpub verf gbar Betr chtlich modifizierte Versionen dieses Dokumentes d rfen nur mit ausdr cklicher Genehmigung des Copyright Inhabers vertrieben werden Der Vertrieb des Werks oder einer Ableitung des Werks in Standardbuchform Papier zu kommerziellen Zwecken ist nicht zul ssig sofern dies nicht zuvor durch den Copyright Inhaber genehmigt wurde Red Hat Red Hat Network das Red Hat Shadow Man Logo RPM Maximum RPM das RPM Logo Linux Library PowerTools Linux Undercover RHmember RHmember More Rough Cuts Rawhide und alle Red Hat basierten Warenzeichen und Logos sind Warenzeichen oder eingetragene Warenzeichen von Red Hat Inc in den USA und anderen L ndern Linux ist ein eingetragenes Warenzeichen von Linus Torvalds Motif und UNIX sind eingetragene Warenzeichen von The Open Group Intel und Pentium sind e
52. S h rt alle Netzwerke ab wenn die Datei var yp securenets leer ist oder gar nicht existiert dies ist z B nach einer Standard Installation der Fall Als erstes sollten Sie eine Netmask Netzwerkpaar in der Datei hinterlegen damit ypserv nur auf Anfragen des richtigen Netzwerks reagiert Unten finden Sie einen Beispieleintrag einer var yp securenets Datei 255 255 255 0 192 168 0 0 Mi Achtung Sie sollten niemals einen NIS Server zum ersten Mal starten ohne vorher die Datei var yp securenets erstellt zu haben Diese Methode sch tzt nicht vor einer IP Spoofing Attacke schr nkt jedoch die Netzwerke die von NIS bedient werden zumindest ein Kapitel 5 Server Sicherheit 47 5 3 4 Zuweisung von Static Ports und Verwendung von IPTables Regeln Jedem der zu NIS geh renden Server kann ein bestimmter Port zugewiesen werden mit Ausnahme von rpc yppasswdd dem Daemon der Benutzern das ndern ihrer Login Passw rter erlaubt Indem Sie den anderen beiden NIS Server Daemons rpc ypxfrd und ypserv Ports zuweisen k nnen Sie Firewall Regeln erstellen um die NIS Server Daemons noch mehr vor Eindringlingen zu sch tzen Hierzu f gen Sie die folgenden Zeilen zu etc sysconfig network hinzu YPSERV_ARGS p 834 YPXFRD_ARGS p 835 Die folgenden IPTables Regeln k nnen erlassen werden um festzulegen welches Netzwerk der Ser ver f r diese Ports abh ren soll iptables A INPUT p ALL s 192 168 0 0 24 dport 834 j DROP
53. Statische Ports 47 nmap 53 81 Befehlszeilenversion 82 0 OpenSSH 39 scp 39 sftp 39 ssh 39 P Password Aging 29 Passwortsicherheit 24 aging 29 Durchsetzung 28 in einem Unternehmen 27 Methodologie 27 Revisionstools 28 Crack 28 John the Ripper 28 Slurpie 28 sichere Passw rter 25 und PAM 28 Passw rter in einem Unternehmen 27 Pluggable Authentication Modules PAM Durchsetzung sicherer Passw rter 28 portmap 36 und IPTables 44 und TCP Wrappers 44 Ports h ufig 113 berwachen 53 post mortem 95 127 R rechtliche Angelegenheiten 94 Risiken Netzwerke 8 Architekturen 8 Offene Ports 8 Patches und Errata 9 Server 8 Unaufmerksame Administration 9 unsichere Services 10 Workstations und PCs 10 10 Applikationen 10 root 30 Methoden 30 mit PAM 33 SSH Anmeldungen deaktivieren 33 Andern der Root Shell 32 Zugang beschr nken 33 mit User Manager 34 und su 33 und sudo 35 Zugang erlauben 30 Zugang sperren 30 root Benutzer Siehe root RPM GPG Schl ssel importieren 16 GPG Signatur pr fen 17 und Intrusion Detection 88 S Schwachstellen Analyse 79 Definition 80 Entwickeln einer Methode 81 Test 80 Analyse mit Nessus 82 Analyse mit VLAD the Scanner 83 mit Nikto bewerten 83 mit Nmap bewerten 81 sendmail 36 DoS einschr nken 52 Einf hrung 52 und NFS 52 Server Sicherheit Apache HTTP Server 48 cgi Sicherheit 49 Direktiven 48 FTP 49 Anonyme
54. TCP Wrappers und Verbindungs Banner Den mit einem Service verbundenen Clients ein einschiichterndes Banner zu schicken ist eine gute Methode um zu verschleiern welches System der Server verwendet und im gleichen Zug Angreifer wissen zu lassen dass sie es mit einem wachsamen Systemadministrator zu tun haben Um ein TCP Wrappers Banner fiir einen Service zu implementieren verwenden Sie die Option banner In diesem Beispiel wird ein Banner fiir vsftpd implementiert Sie miissen zuerst eine Banner Datei anlegen Diese kann sich irgendwo auf dem System befinden muss aber den gleichen Namen wie der Daemon haben In diesem Beispiel nennen wir die Datei etc banners vsftpd Der Inhalt der Datei sieht wie folgt aus 220 Hello c 220 All activity on ftp example com is logged 220 Act up and you will be banned Der c Token liefert eine Reihe von Client Informationen wie den Benutzernamen oder den Hostna men oder den Benutzernamen und die IP Adresse um die Verbindung einschiichternder zu machen In Red Hat Enterprise Linux Referenzhandbuch finden Sie eine Liste mit anderenverfiigbaren Tokens fiir TCP Wrappers Damit dieses Banner eingehenden Verbindungen pr sentiert werden kann f gen Sie die folgende Zeile in die Datei etc hosts allow ein vsftpd ALL banners etc banners 5 1 1 2 TCP Wrappers und Warnung vor Angriffen Wenn ein bestimmter Host oder ein Netzwerk bei einem Angriff auf den Server ertappt wurde k nnen TCP Wrapper
55. ail mit einer Beschreibung der Errata sowie Informationen welche Teile Ihres Systems betrof fen sind Um das Update anzuwenden k nnen Sie den Red Hat Update Agent verwenden oder ein Update ber die Webseite http rhn redhat com planen 16 Kapitel 3 Sicherheits Updates Or Red Hat Enterprise Linux enth lt das Red Hat Network Alert Notification Tool ein Symbol im Panel das sichtlich Hinweise f r verf gbare Updates f r ein Red Hat Enterprise Linux System anzeigt Weitere Informationen ber das Applet finden Sie unter folgender URL http rhn redhat com help basic applet html Weitere Informationen zu den Vorteilen des Red Hat Network finden Sie im Red Hat Network Reference Guide unter http www redhat com docs manuals RHNetwork oder besuchen Sie http rhn redhat com Bicon Bevor Sie jegliche Sicherheits Errata installieren stellen Sie sicher dass Sie alle Anweisungen im Errata Report gelesen und diese genau befolgt haben Allgemeine Anweisungen ber das Anwenden von Anderungen durch ein Errata Update finden Sie unter Abschnitt 3 1 3 3 1 2 Verwenden der Red Hat Errata Webseite Wenn Sicherheits Errata Berichte ver ffentlicht werden werden diese auf der Red Hat Errata Webseite unter http www redhat com apps support errata bekanntgegeben Sie k nnen auf dieser Seite das Produkt und die Version f r Ihr System ausw hlen und dann Security oben auf der Seite ausw hlen um nur Red Hat Enterprise Linux Sicherheitsinformati
56. ale Untersuchungen und Analysen ist relativ breitgef chert dennoch sind die Tools ziemlich Architektur spezifisch und k nnen nicht allgemein angewendet werden Vorfallsreaktion Analyse und Wiederherstellung sind jedoch wichtige Themen Mit dem richtigen Wissen und Erfah rung wird Red Hat Enterprise Linux zu einer ausgezeichneten Plattform f r solche Arten von Analy sen da es verschiedene Utilities f r Reaktionen nach einem Einbruch und f r die Wiederherstellung bietet Tabelle 10 1 beschreibt im Detail einige Befehle f r das Pr fen und Verwalten von Dateien Es werden au erdem einige Beispiele aufgelistet die Sie zum richtigen Identifizieren von Dateitypen und Datei attributen wie z B Berechtigungen und Zugangsdaten ben tigen so dass Sie weitere Beweise f r die Analyse sammeln k nnen Diese Tools kombiniert mit Intrusion Detection Systemen Firewalls geh rtete Services und andere Sicherheitsma nahmen k nnen potentielle Sch den bei einer Attacke reduzieren f Hinweis Detaillierte Informationen ber jedes Tool finden Sie auf den jeweiligen man Seiten Befehl Funktion _ Beispiei Kapitel 10 Vorfallsreaktion Befehl Funktion Bei Erstellt eine bit image Kopie oder disk dump von Dateien und Partitionen Kombiniert mit einer Pr fung der md5sums von jedem Image k nnen Administratoren ein Image der Partition oder der Datei vor dem Bruch mit einem Image das nach dem Bruch erstellt wurde vergleichen und p
57. amen oder der IP Adresse des zu scannenden Computers ein nmap foo example com Die Ergebnisse des Scannens die einige Minuten brauchen k nnen abh ngig davon wo sich der Host befindet sollten wie folgt aussehen Starting nmap V 3 00 www insecure org nmap Interesting ports on localhost localdomain 127 0 0 1 The 1591 ports scanned but not shown below are in state closed Port State Service 22 tcp open ssh 25 tcp open smtp 111 tcp open sunrpc 515 tcp open printer 950 tcp open oftep rpc 6000 tcp open X11 Nmap run completed 1 IP address 1 host up scanned in 0 seconds Nmap pr ft die h ufigsten Ports f r dieNetzwerkkommunikation auf mith rende oder wartende Ser vices Dieses Wissen ist sinnvoll f r Administratoren die unn tige Services abschalten m chten Weitere Informationen zu Nmap finden Sie auf der offiziellen Homepage unter folgender URL http www insecure org 8 3 2 Nessus Nessus ist ein Komplett Service Sicherheitsscanner Die Plug In Architektur von Nessus erm glicht Benutzern das Anpassen an ihre Systeme und Netzwerke Wie mit jedem Scanner ist Nessus nur so gut wie die Signatur Datenbank die verwendet wird Gl cklicherweise wird Nessus h ufig aktualisiert Eigenschaften sind vollst ndige Berichterstattung Host Scanning und Echtzeit Schwachstellensuche Denken Sie jedoch daran dass fehlerhafte Ergebnisse auch bei einem so leistungsstarken und h ufig aktualisiertem Tool wie Nessus
58. andere Sites f r normale Benutzer unerreichbar da Router mit stundenlangen riesigen ICMP Paket bertragungen auch Ping Flood genannt berlastet waren Diese Attacke wurde von unbekannten Angreifern gestartet die speziell gefertigte berall erh ltliche Programme verwende ten die verletzliche Netzwerkserver suchen und dann Client Applikationen auch Trojaner genannt auf den Servern installieren und dann eine Attacke starten bei der die Site des Opfers durch jeden infizierten Server berflutet wird und somit unerreichbar wird Viele schieben die Schuld auf funda mentale Fehler in der Weise wie Router und Protokolle strukturiert sind um alle eingehenden Daten anzunehmen egal woher oder zu welchem Zweck Pakete gesendet wurden Dies bringt uns ins neue Jahrtausend einer Zeit in der gesch tzte 400 Millionen Menschen das Inter net verwenden oder verwendet haben Zur gleichen Zeit An jedem beliebigen Tag gehen um die 225 gr eren Vorf lle in Bezug auf Angriffe auf Schwach stellen beim CERT Coordination Center der Carnegie Mellon Universit t USA ein Quelle http www cert org In 2002 stieg die Anzahl der bei CERT gemeldeten Vorf lle sprunghaft von 52 658 in 2001 zu 82 094 Zum Zeitpunkt des Schreibens liegt die Anzahl der berichteten Vorf lle im ersten Quartal 2003 bei 42 586 Quelle http www cert org Der Einfluss der drei gef hrlichsten Internetviren auf die Weltwirtschaft in den letzten zwei Jahren betrug insgesam
59. ansparent da die Verarbeiteng die Ver und Entschl s selung und das Routing der IPsec Pakete komplett vom IPsec Router gehandhabt wird Die Information die f r eine Netzwerk zu Netzwerk Verbindung gebraucht wird umfasst Die IP Adressen der festgesetzten IPsec Routers auf die extern zugegriffen werden kann e Die Netzwerk Adressen Reihen des LAN WAN die von den IPsec Routers bedient werden z B 192 168 0 0 24 or 10 0 1 0 24 e Die IP Adressen der Gateway Einrichtungen die die Daten von den Netzwerkknoten zum Internet leiten Einen einmaligen Namen um die IPsec Verbindung zu identifizieren und sie von anderen Ger ten oder Verbindungen zu unterscheiden z B ipsec0 Einen fixen Schl ssel zur Verschl sselung oder einen der automatisch von racoon geschaffen wurde Ein bereits vorher gemeinsam verwendeter Schl ssel zu Authentifikation der verwendet wird um die Verbindung zu initialisieren und den Austausch von Schl sseln zur Verschl sselung m glich zu machen 66 Kapitel 6 Virtuelle Private Netzwerke Nehmen Sie z B an LAN A lana example com und LAN B lanb example com wollen sich miteinender durch einen IPsec Tunnel verbinden Die Netzwerk Adresse fiir LAN A liegt in der 192 168 1 0 24 Reihe w hrend LAN B die 192 168 2 254 Reihe verwendet Die Gateway IP Adresse ist 192 168 1 254 for LAN A und 192 168 2 254 fiir LAN B Die IPsec Router sind von jedem LAN Gateway getrennt und verwenden zwei Netzwerk Ger te
60. arbeiter die mit der Wartung der Sicherheit betraut werden ohne richtiges Training oder die n tige Zeit um den Job ordnungsgem auszuf hren Dies trifft sowohl auf unerfahrene Administratoren als auch auf vermessene oder unmotivierte Administratoren zu Einige Administratoren vergessen ihre Server oder Workstations zu patchen w hrend andere verges sen Log Mitteilungen vom Systemkernel oder Netzwerkverkehr zu beobachten Ein weiterer h ufiger Fehler ist unver nderte Standardpassw rter oder Schl ssel f r Services so zu lassen wie sie sind So haben zum Beispiel einige Datenbanken standardm ige Administrationspassw rter weil die Daten bankentwickler annehmen dass der Systemadministrator diese sofort nach der Installation ndert Vergisst nun ein Systemadministrator diese Passw rter zu ndern k nnen sogar unerfahrene Cracker mit einem weitverbreiteten Standard Passwort auf administrative Privilegien dieser Datenbank zugrei fen Dies sind nur einige Beispiele daf r wie unaufmerksame Administration zu unsicheren Servern f hren kann 1 Quelle http www sans org newlook resources errors html 10 Kapitel 2 Angreifer und Schwachstellen 2 3 4 Von Natur aus unsichere Services Auch das wachsamste Unternehmen kann Opfer von Schwachstellen werden wenn die gew hlten Netzwerkservices von Natur aus unsicher sind Es werden zum Beispiel viele Services unter der An nahme entwickelt dass diese ber sichere Netzwerke verwen
61. artet Da die Methoden f r das Einstellen von BIOS Passw rtern sich von Computerhersteller zu Computer hersteller unterscheiden lesen Sie bitte das Handbuch zu Ihrem Computer f r weitere Informationen Sollten Sie das BIOS Passwort vergessen kann es oft entweder mit Br cken im Motherboard oder durch das Entfernen der CMOS Batterie zur ckgesetzt werden Daher ist es sinnvoll wenn m glich das Computergeh use abzuschlie en Bevor Sie jedoch diesen Vorgang versuchen sollten Sie das Handbuch zu Ihrem Computer oder Motherboard lesen 4 2 1 1 Sicherung von nicht x86 Plattformen Andere Plattformen verwenden verschiedene Programme zum Ausf hren geringf giger Aufgaben die mit denen des BIOS auf einem x86 System quivalent sind So verwenden zum Beispiel Intel Itanium basierte Computer die Extensible Firmware Interface EFI Shell Anweisungen f r den Passwortschutz von BIOS hnlichen Programmen auf anderen Architekturen finden Sie in den Anweisungen vom Hersteller 4 2 2 Bootloader Passw rter Hier sind die Hauptgr nde einen Linux Bootloader mit einem Passwort zu sch tzen 1 Zugang zum Einzelbenutzermodus verhindern Wenn ein Angreifer in den Einzelbenutzer modus booten kann wird dieser zum Root Benutzer 2 Zugang zur GRUB Konsole verhindern Wenn der Computer GRUB als Bootloader verwen det kann ein Angreifer die GRUB Editor Schnittstelle verwenden um die Konfiguration zu ndern oder Informationen mithilf
62. ation Einen berblick ber Benutzer und Ressourcenverwal tung finden Sie im Kapitel Verwalten von Benutzeraccounts und Zugang zu Ressourcen im Red Hat Enterprise Linux Introduction to System Administration 30 Kapitel 4 Workstation Sicherheit 4 4 Administrative Kontrollen Fiir die Verwaltung eines Heim PCs muss der Benutzer einige Aufgaben als root Benutzer oder durch effektive root Berechtigungen durch ein setuid Programm wie sudo oder su ausf hren Ein setuid Programm arbeitet mit der Benutzer ID UID des Besitzers des Programms und nicht mit der des Benutzers des Programms Solche Programme werden durch ein kleines s im Abschnitt Besitzer einer detaillierten Auflistung wie im folgenden Beispiel markiert rwsr xr x 1 root root 47324 May 1 08 09 bin su Fiir Systemadministratoren eines Unternehmens muss festgelegt werden wieviel administrativen Zu gang Benutzer innerhalb des Unternehmens zu ihren Computern haben diirfen Durch ein PAM Modul mit dem Namen pam_console so k nnen einige Vorg nge die normalerweise nur dem Root Benutzer erlaubt sind wie z B das Rebooten und Mounten externer Medien dem ersten Benutzer der sich an der physischen Konsole anmeldet erm glicht werden siehe auch das Kapitel Pluggable Au thentication Modules PAM im Red Hat Enterprise Linux Referenzhandbuch f r weitere Informatio nen ber das pam_console so Modul Andere wichtige Systemadministrations Aufgaben wie das ndern von Netzwerkeinst
63. backup afbackup Client Server Backup System 3128 tcp Squid Web Proxy Cache 3455 RSVP port 5432 PostgreSQL Datenbank 4557 tcp FAX bertragungs Service alter Service 4559 tcp hylafax HylaFAX Client Server Protokoll neuer Service 5232 sgi dgl SGI Distributed Graphics Library 5354 NOCOL Network Operation Center Logging Daemon noclogd 5355 NOCOL Network Operation Center Host Monitoring e s 23 5 Z ga B S B G a e ca 56801cp OIONcH 6667 Hypertext Tranfer Protocol HTTP Alternate 9100 tcp jetdirect laserjet Hewlett Packard HP JetDirect Netzwerk Druck Service hplj Anhang C H ufige Ports 123 Porti Layer_ Name Kommentar mandelbrot Window System 20011 isdnlog Integrated Systems Digital Network ISDN Logging System 20012 ISDN Voice Box Daemon vboxd 22305 tcp kWnn Koreanisch Eingabesystem 22289 tcp cWnn Chinesisch Eingabesystem fido FidoNet Elektronische Mail und News Netzwerk Tabelle C 6 Unregistrierte Ports 22321 tcp tWnn Chinesisch Eingabesystem Taiwan 124 Anhang C Haufige Ports Stichwortverzeichnis Symbols 802 11x 105 und Sicherheit 105 berblick 1 berblick ber Sicherheit 1 Definition von Computersicherheit 1 Denial of Service DoS 4 Entwicklung von Computersicherheit 1 Fazit 6 Kontrollen Siehe Kontrollen Viren 4 A Angreifer und Schwachstellen 7 Apache HTTP Server cgi Sicherheit 49 Direktiven 48 Einf hrung 48 B Basic Inpu
64. chen im Speziellen wenn sie mit IP masquerading oder mit lokalen Subnetzen und DMZ Netzwerken gekoppelt sind Proxies sind oft anwendungsspezifisch HTTP telnet etc oder protokollbeschr nkt die meisten Proxies arbeiten nur mit TCP verbundenen Servicen Die Service von Anwendungen k nnen nicht hinter einem Proxy laufen daher miissen Ihre Anwendungsserver eine andere Form von Netzwerksicherheit verwenden Proxies k nnen zu einer Engstelle in einem Netzwerk werden da alle Anfragen und Ubetragungen durch eine Quelle gehen im Gegensatz zu direkten Verbindungen vom Client zum Remote Service IP Kopfzeileninformation f r fortgeschrittenes Routing und zur berpr fung des Verbindungszustandes zu verarbeiten mangle Netfilter wird durch die IPTables Utility kontrolliert Kapitel 7 Firewalls 71 7 1 1 IPTables Ubersicht Die Kompetenz und Flexibilit t von Netfilter wird durch die IPTables Schnittstelle erreicht Dieses Tool f r die Befehlszeile ist syntaxgleich zu seinem Vorl ufer IPChains IPTables verwendet jedoch das Netfilter Subsystem um die Netzwerkverbindung die Inspektion und die Verarbeitung zu ver bessern w hrend IPChains komplizierte Regeln zur Filterung von Quell und Zielpfaden sowie zuge h rige Verbindungsports verwendete IPTables bietet in einer Befehlszeilen Schnittstelle fortschrittli che Dokumentation Vor und Nachrouting Aktionen bersetzung von Netzwerkadressen und Port Weiterlei
65. cherte digitale Kommunikation zwischen zwei Parteien oder Netzwerken und erstellen somit ein Wide Area Netzwerk WAN aus einem bestehenden LAN Der Unterschied zum Frame Relay oder ATM ist das Transportmedium VPNs bertragen ber IP oder Datagram UDP Schichten und sorgen somit f r einen sicheren Transfer durch das Internet zum Bestimmungsort Die meisten frei verf gbaren VPN Implementierungen enthalten Open Standard eine Open Source Verschl sselung f r das Maskieren von Daten w hrend der bertragung Einige Unternehmen setzen VPN Hardwarel sungen ein um die Sicherheit zu erh hen w hrend an dere Software oder Protokoll basierte Implementierungen verwenden Es gibt mehrere Hersteller f r Hardware VPN L sungen wie z B Cisco Nortel IBM und Checkpoint Es gibt eine kostenlose Software basierte VPN L sung f r Linux mit dem Namen FreeS Wan die eine standardisierte IPSec Internet Protocol Security Implementierung verwendet Diese VPN L sungen verhalten sich wie spezielle Router die sich in der IP Verbindung von einem B ro zum n chsten befinden Wird ein Paket von einem Client bertragen wird dies durch den Router oder das Gateway geschickt die wiederum Header Informationen f r Routing und Authentifizierung hinzuf gen Authentication Header AH genannt Die Daten sind verschl sselt und mit Anleitungen zur Entschl sselung und Handhabung versehen die Encapsulation Security Payload ESP genannt werden Der empfangend
66. chiede werden durch die Farbe des Hutes den sie tragen w hrend sie ihre Sicherheitsforschungen durchf hren beschrieben wobei die jeweilige Farbe synonym mit den jeweiligen Absichten ist Ein White Hat Hacker ist jemand der Netzwerke und Systeme testet um deren Leistung zu untersu chen und Anf lligkeiten auf Angriffe herauszufinden Gew hnlich cracken White Hat Hackers ihre eigenen Systeme oder die Systeme von Kunden von denen sie zum Zwecke der Sicherheitspr fung beauftragt wurden Akademische Forscher und professionelle Sicherheitsberater sind zwei Beispiele f r White Hat Hackers Ein Black Hat Hacker ist synonym mit einem Cracker Im allgemeinen konzentrieren sich Cracker weniger auf das Programmieren und die akademische Seite des Einbruchs in Systeme Sie verlassen sich h ufig auf verf gbare Cracking Programme und nutzen bekannte Schwachstellen in Systemen zur Aufdeckung empfindlicher Informationen aus f r pers nlichen Gewinn oder um Schaden auf dem System oder Netzwerk anzurichten Ein Grey Hat Hacker auf der anderen Seite hat die F higkeiten und die Absichten eines White Hat Hackers in den meisten F llen nutzt sein Wissen von zeit zu Zeit jedoch auch f r weniger edle Absich ten Ein Grey Hat Hacker kann also als jemand bezeichnet werden der grunds tzlich gute Absichten hat jedoch manchmal aus Eigennutz zum Black Hat Hacker wird Grey Hat Hacker halten sich h ufig an eine andere Form von Hacker Ethik die besagt dass
67. chkeit Integrit t und Verf gbarkeit geeinigt Dieses 3 Schichten Modell ist eine allgemein anerkannte Komponente f r das Einsch tzen von Risiken f r vertrauliche Informationen und das Einrichten einer Sicherheitspolice Im folgenden wird das CIA Modell n her beschrieben Vertraulichkeit Vertrauliche Informationen d rfen nur f r im vornherein festgelegte Einzelpersonen verf gbar sein Unautorisierte bertragung und Verwendung von Informationen muss eingeschr nkt werden So stellt zum Beispiel die Vertraulichkeit von Informationen sicher dass pers nliche oder finanzielle Details von Kunden nicht von Unbefugten f r b swillige Zwecke wie Identit tsraub oder Kreditbetrug missbraucht werden kann Integrit t Informationen d rfen nicht dahin gehend ver ndert werden so dass sie unvollst ndig oder falsch werden Unbefugte d rfen nicht in der Lage sein vertrauliche Informationen ndern oder zerst ren zu k nnen e Verf gbarkeit Informationen m ssen jederzeit f r befugte Personen zug nglich sein Verf g barkeit ist die Garantie daf r dass Informationen mit einer vereinbarten H ufigkeit und rechtzeitig abgerufen werden k nnen Dies wird h ufig in Prozent gemessen und formell in Service Level Vereinbarungen SLAs die von Netzwerkservice Anbietern und deren Gesch ftskunden verwen det werden festgelegt 1 2 Sicherheits Kontrollen Computersicherheit wird h ufig in drei deutliche Hauptkategorien eingeteilt di
68. cht unbedingt kritisch solche Attacken zu verhindern Wenn jedoch ein Laptop ei nes Mitarbeiters mit privaten nicht passwortgesch tzten SSH Schl sseln zum Firmennetzwerk auf der gleichen Messe unbeaufsichtigt gelassen wird kann dies zu einem bedeutenden Sicherheitsbruch f hren der Auswirkungen auf das gesamte Unternehmen haben kann Wenn auf der anderen Seite sich die Workstation an einem Ort befindet zu dem nur befugte oder vertrauensw rdige Personen Zugang haben ist das Sichern des BIOS oder des Bootloaders nicht unbedingt von N ten 4 2 1 BIOS Passw rter Die folgenden sind die zwei Hauptgr nde f r den Schutz des BIOS eines Computers durch Passw rter 1 1 Da sich das System BIOS von Hersteller zu Hersteller unterscheidet unterst tzen u U einige den Passwort schutz beider Typen w hrend andere vielleicht nur einen Typ und nicht den anderen unterst tzen 22 Kapitel 4 Workstation Sicherheit 1 Anderungen an den BIOS Einstellungen verhindern Hat ein Eindringling Zugang zum BIOS kann dieser von einer Diskette oder einer CD ROM booten Dies erm glicht dann in den Ret tungsmodus oder Einzelbenutzermodus zu gelangen und von hier aus sch dliche Programme in das System zu pflanzen oder empfindliche Daten zu kopieren 2 System Boot verhindern Einige BIOS erlauben Ihnen den Bootvorgang selbst mit einem Passwort zu schiitzen Ist dies aktiviert muss ein Passwort eingegeben werden bevor das BIOS denBootloader st
69. chtigung jeder allerdings Lese und Schreibberechtigung hat wegen des einzelnen Leerzeichens nach dem Hostnamen tmp nfs bob example com rw Es ist sehr sinnvoll jegliche konfigurierte NFS Shares mit dem Befehl showmount zu priifen showmount e lt hostname gt 5 4 3 Verwenden Sie nicht die Option no_root_squash Standardm ig ndern NFS Shares den Root Benutzer in den Benutzer nf snobody um ein unprivile giertes Benutzer Account Auf diese Art geh ren alle Root erstellten Dateien dem User nfsnobody wodurch das Hochladen von Programmen mit der Setuid Bit Einstellung verhindert wird Wenn no_root_squash verwendet wird k nnen ausw rtige Root Benutzer jede Datei in dem ge meinsamen Dateisystem ver ndern und hinterlassen dabei trojanisierte Anwendungen die von ande ren Benutzern unabsichtlich ausgef hrt werden 5 5 Sicherung des Apache HTTP Server Das Apache HTTP Server ist einer der stabilsten und sichersten Services die mit Red Hat Enterprise Linux ausgeliefert werden Es gibt eine unglaubliche Anzahl von Optionen und Methoden um Apache HTTP Server zu sichern zu viele um sie hier im Detail zu beschreiben Vor dem Konfigurieren von Apache HTTP Server sollten Sie die verf gbare Dokumentation f r diese Applikation lesen Dies umfasst das Kapitel Apache HTTP Server im Red Hat Enterprise Linux Referenzhandbuch das Kapitel Apache HTTP Server Configuration im Red Hat Enterpri se Linux Handbuch zur System Administrat
70. chwachstellenanalysen k nnen in zwei Arten klassifiziert werden Von au en nach innen eindringen und Von innen herumschn ffeln Wenn Sie eine Analyse des Typs von au en nach innen durchf hren versuchen Sie Ihr System von au en zu beeinflussen Wenn Sie Ihre Firma extern betrachten gibt Ihnen dies die Sichtweise eines Crackers Sie sehen was der Cracker sehen kann ffentlich weiterleitbare IP Adressen Systeme auf Ihrem DMZ externe Schnittstellen Ihrer Firewall und vieles mehr Wenn Sie eine Schwachstellenanalyse nach dem Prinzip des innen herumschauen durchf hren haben Sie den gewissen Vorteil das Sie bereits intern sind und Sie einen Status des vertrauens haben Dies ist der Blickwinkel den Sie und Ihre Kollegen haben wenn Sie sich am System anmelden Sie sehen Druckserver Dateiserver Datenbanken und andere Ressourcen Es gibt klare Unterschiede zwischen diesen beiden Arten der Schwachstellenanalyse Indem Sie intern f r Ihr Unternehmen arbeiten haben Sie erweiterte Berechtigungen mehr als jeder Au enstehende In den meisten Unternehmen ist die Sicherheit so eingerichtet dass Eindringlinge abgehalten werden Es wird nur sehr wenig f r die interne Sicherung des Unternehmens getan z B Firewalls f r Ab teilungen Zugangskontrollen auf Benutzerlevel Authentifizierungsvorg nge f r interne Ressourcen und so weiter Gew hnlicherweise gibt es wesentlich mehr Ressourcen wenn man sich intern um schaut da die meisten Sys
71. cker wurden Clubmitglieder bezeichnet die einen Trick oder eine L sung f r ein Problem gefunden hatten Der Begriff Hacker wurde seit dem zur Beschreibung vieler verwendet von Computerfreaks bis hin zu talentierten Programmierern Was viele Hacker gemeinsam haben ist das Verlangen im Detail herauszufinden wie Computersysteme und Netzwerke funktionieren und das mit nur wenig oder ganz ohne Motivation von au en Open Source Softwareentwickler betrachten sich selbst und ihre Kollegen oftmals als Hacker und verwenden das Wort als einen Respektsbegriff Typischerweise folgen Hacker einer Form von Hacker Ethik die vorgibt dass die Suche nach In formationen und Wissen essentiell ist und das das Teilen dieses Wissens eine Pflicht des Hackers gegen ber der Community ist W hrend der Suche nach Wissen genie en einige Hacker die akademi sche Herausforderung Sicherheitskontrollen f r Computersysteme zu umgehen Aus diesem Grund verwenden die Medien h ufig den Begriff Hacker f r jemanden der unberechtigt mit skrupellosen b sen oder kriminellen Absichten auf Systeme und Netzwerke zugreift Ein zutreffenderer Begriff f r diese Art von Computerhacker ist Cracker ein Begriff der Mitte der 80er Jahre von Hackern geschaffen wurde um diese beiden Gruppen zu unterscheiden 2 1 1 Graustufen Es gibt einige wesentliche Unterschiede zwischen den einzelnen Personen die Schwachstellen in Systemen und Netzwerken finden und ausbeuten Diese Unters
72. d als ESP Paket angezeigt werden EHP bedeutet dass es verschl sselt ist Zum Beispiel 17 13 20 617872 pinky example com gt ijin example com AH spi 0x0aaa749f seq 0x335 ESP spi 0x0ec044le seq 0x335 DF 6 12 Konfiguration von IPsec Netzwerk zu Netzwerk Sie k nnen IPsec auch so konfigurieren dass ein ganzes Netzwerk z B LAN oder WAN mit ei nem Remote Netzwerk verbunden wird und zwar mittels einer Netzwerk zu Netzwerk Verbindung Daf r m ssen auf jeder Seite der zu verbindenden Netzwerke IPsec Routers erstellt werden damit Information verarbeitet werden und von einem Netzwerkknoten des Netzwerkes zu einem Knoten auf dem Remote Netzwerk geroutet werden kann Abbildung 6 2 zeigt eine Netzwerk zu Netzwerk Verbindung mittels IPsec Tunnel gatewayO gateway1 192 168 1 0 24 192 168 2 0 24 Abbildung 6 2 Eine Netzwerk zu Netzwerk Verbindung mittels IPsec Tunnel Das Diagramm zeigt zwei separate LANs die durch das Internet getrennt sind Diese Netzwerke verwenden IPsec Routers um eine Verbindung in einem sicheren Tunnel im Internet zu authentifizie ren und zu initialisieren Pakete die im Transit gefasst werden m ssten brutal entschl sselt werden damit der Cipher gecrackt werden kann der die Pakete zwischen diesen LANs besch tzt Der Pro zess der Kommunikation von einem Netzknoten in der 192 168 1 0 24 IP Reihe zu einem anderen auf 192 169 2 0 24 ist f r die Knoten vollst ndig tr
73. dem Sie auf die Schaltfl che Zur ck klicken kehren Sie auf die Website zur ck die Sie zuletzt angesehen haben Computerausgabe Text der in diesem Stil dargestellt wird ist Text der in einem Shell Prompt ausgegeben wird wie Fehlermeldungen und Antworten auf bestimmte Befehle Zum Beispiel Durch Eingabe von 1s erscheint der Inhalt eines Verzeichnisses Zum Beispiel Desktop about html logs paulwesterberg png Mail backupfiles mail reports Die Ausgabe die als Antwort auf den Befehl erscheint in diesem Fall der Inhalt des Verzeich nisses wird auf diese Art und Weise dargestellt Prompt Ein Prompt wird auf diese Art und Weise dargestellt wenn der Computer Ihnen mitteilen will dass Sie nun eine Eingabe t tigen k nnen Beispiele stephen maturin stephen iv Einf hrung leopard login Benutzereingabe Ein Text wird auf diese Art und Weise dargestellt wenn er vom Benutzer entweder in die Be fehlszeile oder in die Textbox auf einem GUI Bildschirm eingegeben werden soll Im folgenden Beispiel wird text in diesem Stil angezeigt Mit dem Befehl text am Prompt boot booten Sie Ihr System in das textbasierte Installations programm replaceable Text der vom Benutzer ersetzt werden soll wird in diesem Stil dargestellt Im folgenden Beispiel ist lt version number gt in dieser Form dargestellt Das Verzeichnis f r den Kernel Source ist usr src lt version number gt wobei lt version number gt die Version
74. der zu Evaluationszwecken ausgeliefert Werden diese Schl ssel nicht ge ndert und in eine Produktionsumgebung im Internet gestellt kann jeder Benutzer mit dem gleichen Standardschl ssel auf diese Ressourcen und damit auf alle empfindlichen Informationen darin zugreifen H ufig mit Netzwerk Hardware wie Routers Firewalls VPNs und Netzwerkspeicher Applikationen NAS assoziiert Tritt h ufig in Legacy Betriebssystemen auf insbesondere bei Betriebssystemen die Services wie UNIX und Windows kombinieren Administratoren erstellen manchmal berechtigte Benutzer in Eile und lassen das Passwort frei ein perfekter Zugangspunkt f r b sartige Benutzer die dies entdecken Tritt in Wireless Access Points und bei vorkonfigurierten sicheren Servern auf CIPE siehe Kapitel 6 enth lt als Beispiel einen statischen Schl ssel der ge ndert werden muss bevor dieser in einer Produktionsumgebung angewendet wird 110 Anhang B H ufige Schwachstellen und Attacken Sicherheitsloch Beschreibung Bez IP Spoofing Lauschen Eine entfernte Maschine verh lt sich wie ein Knoten im lokalen Netzwerk findet Schwachstellen auf Ihrem Server und installiert ein Backdoor Programm oder Trojanischen Virus um Kontrolle ber Ihre Netzwerkressourcen zu erlangen Das Sammeln von Daten zwischen zwei aktiven Knoten auf einem Netzwerk durch das Abh ren der Verbindung dieser beiden Knoten Spoofing ist relativ schwierig da es vo
75. dern Angreifer vom Booten des Systems und h lt diese davon ab schnell Zugang zu Informationen auf der Festplatte vzu erhalten oder diese zu stehlen Stiehlt jedoch der Angreifer den PC der h ufigste Fall von Diebstahl unter Reisenden die Laptops und andere mobile Ger te mit sich tragen und bringt diesen zu einem Ort an dem er den PC ausein andernehmen kann h lt das BIOS Passwort den Angreifer nichr davon ab die Festplatte zu entfernen und diese in einem PC ohne BIOS Einschr nkungen einzubauen und somit Zugang zu den Informa tionen zu erhalten In diesen F llen wird empfohlen dass Workstations abgeschlossen werden um Anhang A Hardware und Netzwerschutz 107 Zugang zur internen Hardware einzuschr nken Besondere Sicherheitsma nahmen wie abschlie bare Stahlkabel k nnen an einem PC oder Laptop angebracht werden um Diebstahl zu verhindern und dar berhinaus Schl sser am Geh use um internen Zugang zu verhindern Diese Art Hardware ist allgemein von Herstellern wie z B Kensington und Targus erh ltlich Server Hardware insbesondere Produktionsserver sind gew hnlich auf Regalen in Serverr umen montiert Server Schr nke haben normalerweise abschlie bare T ren und einzelne Servergeh use sind auch mit abschlie baren Fronten erh ltlich um den Schutz vor unbeabsichtigtem oder beabsich tigtem Herunterfahren zu erh hen Unternehmen k nnen auch co location Provider zur Unterbringungen derer Server verwenden da diese h
76. des installierten Kernel ist Weiterhin machen wir Sie mit Hilfe von bestimmten Strategien auf bestimmte Informationen auf merksam Entsprechend dem Wichtigkeitsgrad das die jeweilige Information f r Ihr System hat sind diese Items entweder als Anmerkung Hinweis oder Warnung gekennzeichnet Zum Beispiel Anmerkung Beachten Sie dass Linux ein fallspezifisches System ist In anderen Worten bedeutet dies dass Rose nicht das gleiche ist wie ROSE und dies auch nicht das gleiche wie rOsE Or Das Verzeichnis usr share doc enth lt zus tzliche Dokumentationen f r im System installierte Pakete Bicon Wenn Sie die DHCP Konfigurationsdatei bearbeiten werden die nderungen erst wirksam wenn Sie den DHCP Daemon neu gestartet haben kenne F hren Sie keine allt glichen Aufgaben als root aus verwenden Sie hierzu au er f r den Fall dass Sie einen root Account f r Ihre Systemverwaltung benutzen einen regul ren Benutzeraccount Einf hrung v T warnung Seien Sie vorsichtig und entfernen Sie lediglich die notwendigen Red Hat Enterprise Linux Parti tionen Das Entfernen anderer Partitionen k nnte zu Datenverlusten oder zur Korruption der Syste mumgebung f hren 2 In der Planung Das Red Hat Enterprise Linux Sicherheitshandbuch ist Bestandteil von Red Hats wachsender Ver antwortung Red Hat Enterprise Linux Benutzern n tzlichen und rechtzeitigen Support zu liefern Mit dem Erscheinen neuer Tools und Sicherheits
77. det werden diese Annahme schl gt je doch fehl sobald diese Services ber das Internet verf gbar gemacht werden welches in sich unsicher und vertrauensunw rdig ist Eine Art von unsicheren Netzwerkservices ist die die Benutzernamen und Passw rter f r die Authen tifizierung ben tigt diese Informationen bei der bertragung ber das Netzwerk jedoch nicht ver schl sselt Telnet und FTP sind solche Services Paket Sniffing Software die den Verkehr zwischen entfernten Benutzern und einem solchen Server berwacht kann dann einfach die Benutzernamen und Passw rter stehlen Die oben genannten Services k nnen auch leichter einer im Industriejargon Man in the Middle ge nannten Attacke zum Opfer fallen Bei dieser Art Angriff leitet ein Cracker den Netzwerkverkehr um indem er einen gecrackten Name Server austrickst auf seinen Rechner zu weisen und nicht auf den eigentlichen Server Sobald dann jemand eine Remote Session zu dem Server ffnet verh lt sich der Rechner vom Angreifer als unsichtbare Leitung und sitzt leise zwischen dem Remote Service und dem ahnungslosen Benutzer und sammelt Informationen Auf diese Weise kann ein Cracker Administrations Passw rter und Daten sammeln ohne das der Server oder der Benutzer dies merkt Ein weiteres Beispiel f r unsichere Services sind Netzwerkdateisysteme und Informationssysteme wie zum Beispiel NFS oder NIS die ausdr cklich f r eine Verwendung in LANs entwickelt wurden und dann jedoch
78. dieser Applikation auf dem System und starten Sie das Programm neu um die aktualisierte Version zu verwenden Kernel Der Kernel ist die Kern Softwarekomponente f r das Red Hat Enterprise Linux Betriebssystem Er verwaltet den Zugang zum Speicher zum Prozessor und zu Peripherieger ten sowie plant alle Aufgaben Durch dessen zentrale Rolle kann der Kernel nur durch ein Herunterfahren des Computers neu gestartet werden Daher kann eine aktualisierte Version des Kernels nicht verwendet werden bis das System neu gestartet wird Shared Bibliotheken Shared Bibliotheken sind Einheiten von Code wie z B glibc die von einer Reihe von App likationen und Softwareprogrammen gemeinsam verwendet werden Applikationen die Shared Bibliotheken verwenden laden normalerweise den gemeinsamen Code beim Starten der App likation so dass alle Applikationen die die aktualisierte Bibliothek verwenden neu gestartet werden m ssen Um festzustellen welche Applikationen mit einer bestimmten Bibliothek verkn pft sind ver wenden Sie den Befehl 1sof wie im folgenden Beispiel lsof usr lib libwrap so Dieser Befehl gibt eine Liste aller laufenden Programme aus die TCP Wrappers fiir die Host Zugangskontrolle verwenden Alle aufgelisteten Programme m ssen angehalten und neu gestar tet werden wenn das tcp_wrappers Paket aktualisiert wird SysV Services SysV Services sind persistente Server Programme die w hrend es Bootens gestartet werden Beis
79. e VPN Router holt sich die Header Information und leitet diese zum Zielort weiter entweder zu ei ner Workstation oder einem Knoten im Netzwerk Unter Verwendung einer Netzwerk zu Netzwerk Verbindung erh lt der empfangende Knoten am lokalen Netzwerk die Pakete unverschl sselt und be reit zur Verarbeitung Der Verschl sselungs Entschl sselungsprozess in einer Netzwerk zu Netzwerk VPN Verbindung ist f r den lokalen Knoten transparent Durch solch einen erh hten Grad an Sicherheit muss ein Cracker nicht nur ein Paket abfangen son dern dies auch entschl sseln bei den meisten VPNs werden die Pakete mit dem dreifachen Daten Verschl sselungs Standard 3DES mit 168 bit Code verschl sselt Eindringlinge die eine Man in the Middle Attacke zwischen einem Server und einem Client durchf hren m ssen daher auch Zu gang zu den Schl sseln die f r die Authentifizierung verwendet werden haben VPNs sind ein siche res und effektives Mittel f r die Verbindung mehrerer entfernter Knoten die sich dann als ein Intranet verhalten 6 1 VPNs und Red Hat Enterprise Linux Red Hat Enterprise Linux Benutzer und Administratoren haben verschiedene Optionen in Bezug auf die Implementierung einer Softwarel sung zur Verbindung und Sicherung ihres WAN Es gibt jedoch zwei Methoden zur Implementierung von VPN Verbindungen die zur Zeit von Red Hat Enterprise Linux unterst tzt werden Eine gleichwertige L sung die eine sichere Alternative zu VPN darstell
80. e IPsec Router neu starten oder den folgen den Befehl als Root bei jedem Router eingeben sbin ifup ipsec0d Die Verbindungen sind nun aktiviert und LAN A und LAN B sind in der Lage miteinander zu kommu nizieren Die Routen werden automatisch durch das Aufrufen des Initialisierungs Skriptes mit ifup bei der IPsec Verbindung erzeugt Um eine Liste der Routen f r das Netzwerk anzuzeigen f hren Sie folgenden befehl aus sbin ip route list 68 Kapitel 6 Virtuelle Private Netzwerke Um die IPsec Verbindung zu testen f hren Sie die tcpdump Utility auf dem extern routbaren Ger t aus eth0 in diesem Beispiel So k nne Sie die Netzwerk Pakete sehen die zwischen den Hosts oder Netzwerken bertragen werden und berpr fen dass sie ber IPsec verschl sselt werden Um die IPsec Verbindungsqualit t z B f r LAN A zu pr fen geben sie folgendes ein tcpdump n i eth0 host lana example com Das Paket sollte eine AH Kopfzeile enthalten und sollte als ESP Paket angezeigt werden ESP hei t dass es verschl sselt ist Zum Beispiel ein inverser Schr gstrich kennzeichnet die Fortsetzung einer Zeile 12 24 26 155529 lanb example com gt lana example com AH spi 0x021c9834 seq 0x358 lanb example com gt lana example com ESP spi 0x00c887ad seq 0x358 DF ipip proto 4 redhat Kapitel 7 Firewalls Die Sicherheit von Informationen wird blicherweise als Prozess und nicht als Produkt angesehen Allerdings werde
81. e Location Protocol nicname 114 Anhang C Haufige Ports Porti Layer_ Name Kommentar tacacs Terminal Access Controller Access Control System fiir TCP IP basierte Authentifizierung und Zugriff Remote Mail Checking Protocol domain name services wie BIND WHOIS erweiterte WHOIS Services Host Configuration Protocol DHCP Services verwendet eee Control Protocol DHCP Clients verwendet 0 dip trivial File Transfer Protocol TET fon WWW Services 102 iso tsap ISO Development Environment ISODE Netzwerk Applikationen 105 csnet ns Mailbox Nameserver auch von CSO Nameserver verwendet 107 Post Office Protocol Version 2 110 pop3 Post Office Protocol Version 3 3 0 2 3 3 9 0 8 5 10 10 111 sunrpc Remote Procedure Call RPC Protocol f r Remote Befehlsausf hrung verwendet vom Network Filesystem NFS Authentication und Ident Protokolle Secure File Transfer Protocol SFTP Services Unix to Unix Copy Protocol UUCP Path Services nntp Network News Transfer Protocol NNTP f r das auch USENET Discussion System ntp Network Time Protocol NTP Anhang C H ufige Ports 115 Porti Layer_ Name Kommentar 137 netbios ns NETBIOS Name Services in Red Hat Enterprise Linux von Samba verwendet netbios dgm NETBIOS Datagram Services in Red Hat Enterprise Linux von Samba verwendet netbios ssn NETBIOS Session Services in Red Hat Enterprise Linux von Samba verwendet snmp 163 femipman Common Managem
82. e SSH oder CIPE ver wenden Administratoren mit PPP Ressourcen wie Modem Banken oder ISP Massenkonten k nnen Einwahl Verbindungen verwenden um Firewall Barrieren sicher zu umgehen Modemverbindungen sind direkte Verbindungen und befinden sich typischerweise hinter Firewalls Gateways F r Fernbe nutzer mit Breitband Verbindungen k nnen spezielle Einstellungen gemacht werden Verwenden Sie die folgenden Regeln um zum Beispiel einen SSH Zugang von au en zu erm glichen iptables A INPUT p tcp dport 22 j ACCEPT iptables A OUTPUT p udp sport 22 j ACCEPT CIPE Verbindungsanfragen von au en k nnen mit dem folgenden Befehl angenommen werden er setzen Sie x mit Ihrer Ger tenummer iptables A INPUT p udp i cipcbx j ACCEPT iptables A OUTPUT p udp o cipcbx j ACCEPT Da CIPE seine eigene virtuelle Einrichtung ben tzt die Datagramm UDP Pakete bertr gt geneh migt die Regel die cipcb Schnittstelle f r eingehende Verbindungen anstelle des Quell oder Ziel ports Die Ports k nnen jedoch anstelle von Ger teoptionen verwendet werden F r Information ber die Verwendung von CIPE siehe Kapitel 6 Es gibt noch andere Dienste f r die Sie Regeln definieren m ssen Siehe Red Hat Enterprise Linux Referenzhandbuch f r ausf hrliche Informationen ber die zahlreichen Optionen von IPTables Diese Regeln erlauben den Zugang zu regul ren und sicheren Diensten an der Firewall Sie erlauben jedoch keinen Zugang zu diesen Die
83. e allgemein als Kon trollen bezeichnet werden Zugangskontrolle e Technische Kontrolle e Administrative Kontrolle Diese drei Kategorien definieren die Hauptziele einer ordnungsgem en Sicherheitsimplementierung Innerhalb dieser Kontrollen befinden sich Unterkategorien die deren Implementation tiefergehend beschreiben 1 2 1 Zugangskontrollen Die Zugangskontrolle ist die Implementierung von Sicherheitsma nahmen in einer festgelegten Struk tur die f r die Verhinderung von unberechtigten Zugriffen auf empfindliche Informationen verwendet wird Beispiele f r Zugangskontrollen 6 Kapitel 1 Uberblick iiber Sicherheit Geschlossene berwachungskameras Bewegungs oder W rmemelder Sicherheitspersonal Foto IDs Verriegelte Stahlt ren 1 2 2 Technische Kontrollen Technische Kontrollen verwenden Technologien als Basis f r die Kontrolle von Zugang zu und Ver wendung von empfindlichen Daten durch eine physische Struktur und ber ein Netzwerk Technische Kontrollen sind weitreichend in Umfang und umfassen unter anderem folgende Technologien e Verschl sselung Smart Cards e Netzwerkauthentifizierung Zugangskontrolllisten ACLs e Dateiintegrit ts Pr fsoftware 1 2 3 Administrative Kontrollen Administrative Kontrollen definieren den menschlichen Faktor der Sicherheit Es umfasst alle Mitar beiter innerhalb eines Unternehmens und legt fest welche Anwender Zugang zu welchen Ressourcen und Informatio
84. e des cat Befehls zu sammeln 3 Zugang zu unsicheren Betriebssystemen verhindern Haben Sie ein Dual Boot System kann ein Angreifer w hrend des Bootens ein Betriebssystem wie zum Beispiel DOS ausw hlen das Zugangskontrollen und Dateiberechtigungen ignoriert Mit Red Hat Enterprise Linux werden zwei Bootloader f r die x86 Plattform ausgeliefert GRUB und LILO Detaillierte Informationen zu diesen Bootloadern finden Sie im Kapitel Bootloader im Red Hat Enterprise Linux Referenzhandbuch 4 2 2 1 Passwortschutz f r GRUB Sie k nnen GRUB so konfigurieren dass die ersten beiden in Abschnitt 4 2 2 angesprochenen Pro bleme adressiert werden indem Sie eine Passwort Direktive zur Konfigurationsdatei hinzuf gen Hierf r legen Sie erst ein Passwort fest ffnen dann einen Shell Prompt melden sich als Root an und geben folgendes ein sbin grub md5 crypt Wenn Sie aufgefordert werden geben Sie das GRUB Passwort ein und dr cken dann Enter Es wird dann ein MD5 Hash des Passworts ausgegeben Kapitel 4 Workstation Sicherheit 23 Bearbeiten Sie dann die GRUB Konfigurationsdatei boot grub grub conf ffnen Sie die Datei und fiigen Sie die nachfolgende Zeile unterhalb der t imeout Zeile im Hauptabschnitt des Dokumen tes ein password md5 lt password hash gt Ersetzen Sie lt password hash gt mit dem Wert der von sbin grub md5 crypt ausgegeben wurde Wenn Sie das n chste Mal Ihr System booten m ssen Sie wenn Sie i
85. e einfache Schritte mit deren Hilfe Sie ein leicht merkbares sicheres Passwort generieren k nnen 4 3 1 1 Methodologie zur Erstellung sicherer Passw rter Es gibt viele verschiedene Methoden sichere Passw rter zu erstellen Eine der beliebtesten ist Akro nyme Zum Beispiel berlegen Sie sich einen einpr gsamen Satz wie zum Beispiel over the hills and far away to grandmother s house we go e Verwandeln Sie dies als n chstes in ein Akronym einschlie lich der Satzzeichen othafa tghwg e Machen Sie das Passwort komplexer indem Sie Buchstaben durch Zahlen und Sonderzeichen aus tauschen Ersetzen Sie zum Beispiel t durch 7 und a durch 07r 77w 7ghwg e Machen Sie es noch komplexer indem Sie mindestens einen Buchstaben gro schreiben zum Beispiel H 07r 77w 7gHwg e Und bitte verwenden Sie nicht unser Beispielpasswort f r Ihre Systeme Das Erstellen sicherer Passw rter ist von oberster Wichtigkeit jedoch genauso wichtig ist das rich tige Verwalten der Passw rter insbesondere f r Systemadministratoren in gr eren Unternehmen Im n chsten Abschnitt werden Verfahren f r das Erstellen und Verwalten von Benutzerpassw rtern innerhalb eines Unternehmens beschrieben 4 3 2 Erstellen von Benutzerpasswortern innerhalb eines Unternehmens Wenn es eine gro e Anzahl von Benutzern in einem Unternehmen gibt haben Systemadministratoren zwei grundlegende Optionen die Verwendung sicherer Passw rter zu forcieren
86. earbeiterin des Red Hat Enterprise Linux Installationshandbuch fiir IBM eServer iSeries und IBM eServer pSeries Architekturen Co Autorin des Red Hat Enterprise Linux Schrittweise Einfiihrung Tammy Fox Verantwortliche Autorin Bearbeiterin des Red Hat Enterprise Linux Handbuch zur System Administration Co Autorin des Red Hat Enterprise Linux Installationshandbuch fiir x86 Ita nium und AMD64 Architekturen Co Autorin des Red Hat Enterprise Linux Sicherheitshandbuch Co Autorin des Red Hat Enterprise Linux Schrittweise Einf hrung Autorin Bearbeiterin der benut zerdefinierten DocBook Stylesheets und Skripte Edward C Bailey Verantwortlicher Autor Bearbeiter des Red Hat Enterprise Linux Introduction to System Administration Verantwortlicher Autor Bearbeiter der Release Notes Co Autor des Red Hat Enterprise Linux Installationshandbuch f r x86 Itanium M und AMD64 Architekturen Johnray Fuller Verantwortlicher Autor Bearbeiter des Red Hat Enterprise Linux Referenzhand buch Co Autor Co Bearbeiter des Red Hat Enterprise Linux Sicherheitshandbuch Co Autor des Red Hat Enterprise Linux Introduction to System Administration John Ha Verantwortlicher Autor Bearbeiter des Red Hat Cluster Suite Configuring and Managing a Cluster Verantwortlicher Autor Bearbeiter des Red Hat Glossary Verantwortlicher Autor Bearbeiter des Red Hat Enterprise Linux Installationshandbuch f r IBM S 390 und IBM eServer zSe ries Arc
87. ections gt Gibt die Gesamtzahl aller erlaubten Verbindungen zu einem Service an Diese Direktive akzeptiert entweder ganze Zahlen oder UNLIMITED per_source lt number_of_connections gt Gibt die Verbindungen zu einem Service pro Host vor Diese Direktive akzeptiert entweder einen ganzzahligen Wert oder UNLIMITED e rlimit_as lt number K M gt Gibt die Gr e der Speicheradresse in Kilobyte oder Megabyte an die der Service belegen kann Diese Direktive akzeptiert entweder einen ganzzahligen Wert oder UNLIMITED e rlimit_cpu lt number_of_seconds gt Gibt die Zeit in Sekunden an die ein Service die CPU belegen kann Diese Direktive akzeptiert entweder einen ganzzahligen Wert oder UNLIMITED Mithilfe dieser Direktiven kann verhindert werden dass ein xinetd Service das gesamte System belegt und Denial of Service verursacht 5 2 Portmap sichern Der portmap Service ist ein dynamischer Port Zuweisungs Daemon f r RPC Services wie NIS und NFS Es besitzt schwache Authentifizierungsmechanismen und hat die F higkeit eine gro e Band breite an Ports f r die von ihm kontrollierten Service zuzuweisen Aus diesen Gr nden ist portmap schwer zu sichern Wenn Sie RPC Services ausf hren sollten Sie diese Grundregeln beachten 5 2 1 Sch tzen von portmap mit TCP Wrappers Es ist wichtig TCP Wrappers zur Einschr nkung des Zugriffs von Netzwerken und Hosts auf den portmap Service einzusetzen da letzterer keine integr
88. ehl dargestellt Beispiel Verwenden Sie den Befehl cat testfile um den Inhalt einer Datei mit dem Namen test file in einem aktuellen Verzeichnis anzeigen zu lassen Dateiname Datei und Verzeichnisnamen sowie die Namen von Pfaden und RPM Paketen werden auf diese Weise dargestellt was bedeutet dass eine bestimmte Datei oder ein bestimmtes Verzeichnis mit diesem Namen in Ihrem System vorhanden ist Beispiele Die Datei bashrc in Ihrem Home Verzeichnis enth lt Bash Shell Definitionen und Aliase f r Ihren Gebrauch Die Datei etc fstab enth lt Informationen ber verschiedene Systemger te und Dateisyste me Installieren Sie den webalizer RPM wenn Sie ein Analyseprogramm f r eine Webserver Protokolldatei verwenden m chten Applikation Diese Darstellungsart weist darauf hin dass es sich bei diesem Programm um eine Endbenutzer Anwendung handelt im Gegensatz zur System Software Beispiel Verwenden Sie Mozilla um im Web zu browsen Taste Die Tasten der Tastatur werden auf diese Weise dargestellt Beispiel Einf hrung iii Um die Tab Vervollst ndigung zu verwenden geben Sie einen Buchstaben ein und dr cken Sie anschlie end die Taste Tab Auf diese Weise wird die Liste der Dateien im Verzeichnis angezeigt die mit diesem Buchstaben beginnen Tasten Kombination Eine Tastenkombination wird auf diese Art und Weise dargestellt Mit der Tastenkombination Strg Alt R cktaste beenden Sie Ihre grafische Sit
89. ei der bertragung ber das Netzwerk verschl sseln Red Hat Enterprise Linux wird mit zwei einfachen Tools geliefert die hochrangige Verschl sselungs algorithmen basierend auf ffentlichen Schl sseln verwenden um Informationen w hrend der ber tragung im Netzwerk zu sch tzen OpenSSH Eine frei erh ltliche Implementierung des SSH Protokolls zur Verschl sselung von Netzwerkkommunikation Gnu Privacy Guard GPG Eine frei erh ltliche Implementierung der PGP Pretty Good Pri vacy Verschl sselungs Applikation zur Verschl sselung von Daten OpenSSH ist eine sichere Methode f r den Zugang zur einer entfernten Maschine und ersetzt ltere unverschl sselte Services wie telnet und rsh OpenSSH enth lt einen Netzwerkservice mit dem Namen sshd und drei Befehlszeilen Client Applikationen e ssh Ein sicherer Zugangs Client f r Remote Konsolen scp Ein sicherer Befehl f r Remote Copy e sftp Ein sicherer Pseudo FTP Client der interaktive Datei bertragung erm glicht Es wird dringend empfohlen das jegliche Remote Kommunikation in Linux Systemen ber das SSH Protokoll abgewickelt werden Weitere Informationen zu OpenSSH finden Sie im Kapitel OpenSSH im Red Hat Enterprise Linux Handbuch zur System Administration Weitere Informationen ber das SSH Protokoll finden Sie im Kapitel SSH Protokoll im Red Hat Enterprise Linux Referenzhandbuch BB wicntic Obwohl der sshd Service von Natur aus unsicher ist
90. einsch tzen k nnen 10 2 Erstellen eines Vorfallsreaktionsplans Es ist wichtig das ein Vorfallsreaktionsplan formuliert im gesamten Unternehmen unterst tzt in die Tat umgesetzt und regelm ig getestet wird Ein guter Vorfallsreaktionsplan kann die Auswirkungen eines Sicherheitsbruches minimieren Desweiteren kann er negative Publicity reduzieren Aus der Perspektive eines Sicherheitsteams ist es nicht wichtig ob ein Einbruch auftritt da solche Vorkommnisse ein vorherzusehender Teil der Verwendung eines vertrauensunw rdigen Tr gernetz werks wie das Internet sind sondern wann dieser Einbruch auftritt Denken Sie nicht das ein System grunds tzlich schwach und anf llig ist sondern machen Sie sich klar dass mit gen gend Zeit und Res sourcen jemand selbst in das sicherste System oder Netzwerk einbrechen kann Besuchen Sie doch mal die Security Focus Webseite unter http www securityfocus com f r aktuelle und detaillierte In formationen zu neuesten Sicherheitsbr chen und Anf lligkeiten von der h ufigen Verunstaltung von Firmenwebseiten bis hin zu dem Angriff auf die 13 Root DNS Nameserver in 2002 bei dem versucht wurde den Internetzugang der ganzen Welt zu kompromittieren Der positive Aspekt der Erkenntnis dass ein Systemeinbruch unvermeidbar ist ist dass das Sicher heitsteam einen Aktionsplan entwickeln kann der m gliche Sch den verringert Die Kombination eines Aktionsplans mit Kompetenz erm glicht dem Team auf w
91. el zueinander zu schaffen Die Erfordernisse f r eine Host zu Host Verbindung sind minimal wie auch die Konfiguration von IPsec bei jedem Host Die Hosts brauchen lediglich eine bestimmte Verbindung zu einem Tr ger Netzwerk wie das Internet und Red Hat Enterprise Linux um die IPsec Verbindung herzustellen Der erste Schritt bei der Erstellung einer Verbindung ist das Einholen von System und Netzwerk informationen von jeder Workstation F r eine Host zu Host Verbindung brauchen Sie die folgende Information Die IP Adresse f r beide Hosts Einen einmaligen Namen um die IPsec Verbindung zu identifizieren und sie von anderen Ger ten oder Verbindungen zu unterscheiden z B ipsec0 Einen fixen Schl ssel zur Verschl sselung oder einen der automatisch von racoon geschaffen wurde Ein bereits vorher gemeinsam verwendeter Schl ssel zu Authentifikation der verwendet wird um die Verbindung zu initialisieren und den Austausch von Schl sseln zur Verschl sselung m glich zu machen Stellen Sie sich z B vor Workstation A und Workstation B wollen sich durch einen IPsec Tunnel mit einander verbinden Sie wollen sich unter Verwendung eines vorher gemeinsam verwendeten Schl s sels mit dem Wert von foobarbaz Die Benutzer kommen berein racoon automatisch einen Schl s sel zur Authentifikation generieren zu lassen der von beiden Hosts gemeinsam verwendet wird Beide Hosts entscheiden sich daf r ihre Verbindungen ipsecO zu nenn
92. eleitet werden soll ebenfalls verhindert wird Interne Clients werden so vor unabsichtlichem Kontakt mit dem Internet gesch tzt Ben tzen Sie hierf r folgende Regel iptables P FORWARD DROP i Anmerkung Beim Arbeiten mit appended Regeln wird zwischen den REJECT und prop Zielaktionen unterschieden REJECT verweigert den Zugriff und zeigt bei Benutzern die versuchen sich mit dem Service zu verbinden einen connection refused Error an prop lasst das Paket ohne jede Warnung f r telnet Benutzer aus Die Administratoren k nnen diese Aktionen nach ihrem eigenen Gutd nken verwenden Es wird allerdings REJECT empfohlen um Verwirrung beim Benutzer und wiederholte Verbindungsversuche zu vermeiden Nachdem die Ketten gem der Richtlinien eingestellt sind k nnen Sie neue Regeln f r Ihre beson deren Netzwerk und Sicherheitsbed rfnisse erstellen Im Folgenden sind einige Regeln beschrieben die sie beim Aufbau Ihrer IPTables Firewall verwenden k nnen 7 2 2 Speichern und Wiederherstellen von IPTables Regeln Firewall Regeln sind nur aktiv wenn der Computer l uft Wenn Sie das System neu starten werden die Regeln automatisch gel scht und r ckgestellt Verwenden Sie folgenden Befehl um die Regeln zu speichern damit sie nachher wieder geladen werden k nnen sbin service iptables save Die Regeln werden in der Datei etc sysconfig iptablesgespeichert und werden immer dann aktiviert wenn das Service gestartet oder neu gestartet w
93. ellungen Konfigurieren einer neuen Maus oder das Mounten von Netz werkger ten sind jedoch ohne administrativen Zugang nicht m glich weswegen Systemadministra toren entscheiden m ssen wieviel administrativen Zugang die Benutzer auf ihrem Netzwerk erhalten sollen 4 4 1 Root Zugang erlauben Sind die Benutzer innerhalb eines Unternehmens vertrauensw rdig und kennen sich mit Computern aus ist das Vergeben von root Berechtigungen unter Umst nden sinnvoll Root Zugang zu erlauben bedeutet dass kleinere Probleme wie das Hinzuf gen von Ger ten oder das Konfigurieren von Netz werkschnittstellen von den einzelnen Benutzern durchgef hrt werden kann und somit Systemadmi nistratoren mehr Zeit f r Netzwerksicherheit und andere wichtige Aufgaben haben Auf der anderen Seite kann das Vergeben von Root Rechten zu Einzelbenutzern zu folgenden Proble men f hren um nur einige zu nennen Fehlkonfigurationen Benutzer mit root Rechten k nnen ihre Computer falsch konfigurieren und ben tigen dann Hilfe oder schlimmer noch k nnen Sicherheitsl cher ffnen ohne dies zu merken Unsichere Services Benutzer mit Root Berechtigungen k nnen unsichere Services wie zum Beispiel FTP oder Telnet auf ihrem Computer laufen lassen und somit Benutzernamen und Pass w rter einem Risiko aussetzen da diese im Klartext ber das Netzwerk verschickt werden E Mail Anh nge als Root ansehen Wenn auch selten gibt es doch E Mail Viren die Li
94. en Im folgenden sehen Sie die ifcfg Datei f r Host zu Host Verbindung mit IPsec Der einmalige Na me zur Identifizierung der Verbindung in diesem Beispiel ist ipsecO der daraus resultierende Da teiname ist daher etc sysconfig network scripts ifcfg ipsec0 DST X X X X 64 Kapitel 6 Virtuelle Private Netzwerke TYPE IPsec ONBOOT yes IKE_METHOD PSK Workstation A w rde X X X X mit der IP Adresse von Workstation B ersetzen w hrend Workstation B X X X X mit der IP Adresse von Workstation A ersetzen w rde Die Verbindung ist so eingestellt dass sie beim Hochfahren startet ONBOOT yes und verwendet die Authentifizierungs Methode der vorher gemeinsam verwendeten Schl ssel IKE_METHOD P SK Im folgenden finden Sie die Datei mit den vorher gemeinsam ben tzten Schl sseln etc sysconfig network scripts keys ipsec0 die beide Workstations verwenden um sich gegenseitig zu authentifizieren Der Inhalt dieser Datei sollte auf beiden Workstations identisch sein und nur der Root Benutzer sollte die Datei lesen oder berschreiben k nnen IKE_PSK foobarbaz EB wicntic Um die keys ipseco Datei zu ver ndern damit sie nurvom Root Benutzer gelesen oder bearbeitet werden kann f hren Sie nach der Erstellung der Datei den folgenden Befehl aus chmod 600 etc sysconfig network scripts keys ipsec0 Sie k nnen den Authentifikations Schl ssel jederzeit ndern Bearbeiten Sie die keys ipsec0 Datei auf beiden Workstations F r eine ordentl
95. en k n nen Sie nun die Verbindung auf dem Client Rechner einsetzen Der CIPE Client sollte die CIPE Verbindung automatisch aktivieren und deaktivieren k nnen Aus diesem Grund enth lt CIPE integrierte Mechanismen um Einstellungen an individuelle Benutzer an passen zu k nnen So kann sich zum Beispiel ein Remote Mitarbeiter durch folgende Eingabe mit dem CIPE Ger t im LAN verbinden sbin ifup cipcbO Das Ger t sollte automatisch angezeigt werden Firewall Regeln und Routing Informationen sollten zusammen mit der Verbindung konfiguriert werden Der Remote Mitarbeiter sollte in der Lage sein die Verbindung mit folgender Eingabe zu beenden sbin ifdown cipcbO Das Konfigurieren von Clients erfordert das Erstellen von lokalen Skripten die ausgef hrt werden nachdem das Ger t geladen wurde Die Ger tekonfiguration kann lokal ber eine vom Benutzer er stellte Datei mit dem Namen etc sysconfig network scripts ifcfg cipcb0 erfolgen Die se Datei enth lt Teile von Parametern die unter anderem festlegen ob die CIPE Verbindung zum Bootzeitpunkt erfolgt oder wie das CIPE Ger t hei t Es folgt die Datei ifcfg cipcb0 f r einen Remote Client der sich mit dem CIPE Server verbindet DEVICE cipcb0 ONBOOT yes BOOTPROTO none USERCTL no This is the device for which we add a host route to our CIPE peer through You may hard code this but if left blank we will try to guess from the routing table in the etc cipe ip up local file
96. en vernetzten Computern f r das F hren von Unternehmen und Aufzeichnen unserer pers nlichen Daten haben sich ganze Industriezweige um die Netzwerk und Computersicherheit herum gebildet Gro e Unternehmen haben das Wissen und die F higkeiten von Sicherheitsexperten zu Rate gezogen um Systeme zu pr fen und ma geschneiderte L sungen f r die Anforderungen des Unternehmens zu erstellen Dadurch dass die meisten Unter nehmen dynamisch arbeiten mit Mitarbeitern die auf IT Ressourcen der Firma intern und extern zugreifen wird der Bedarf an sicheren Rechenumgebungen immer deutlicher Leider betrachten viele Unternehmen sowie auch Einzelbenutzer die Sicherheit immer erst ganz zum Schluss ein Prozess der zu Gunsten erh hter Leistung Produktivit t und Kostenfaktoren gerne bersehen wird Angemessene Sicherheitsimplementierung wird oftmals postmortem durchgef hrt erst nachdem ein unberechtigter Zugriff erfolgte Sicherheitsexperten sind sich einig dass das Ergreifen richtiger Ma nahmen vor dem Verbinden mit einem unzuverl ssigen Netzwerk wie dem Internet ein sicheres Mittel zum Verhindern von unerlaubten Zugriffen ist 1 1 Was ist Computersicherheit Computersicherheit ist ein allgemeiner Begriff der einen gro en Bereich an Computing und Informa tionsverarbeitung umfasst Industriezweige die von Computersystemen und Netzwerken f r t gliche Gesch ftstransaktionen und Zugriff auf wichtige Daten abh ngen betrachten ihre Daten a
97. en Sicherheitsprobleme auftreten Durch diese allgemeinen berlegungen kann ein Administrator eine bessere bersicht ber die Implementierung erhalten Das Design einer Computer Umgebung kann auf den Unternehmens Anforderungen und Sicherheitsbetrachtungen basieren eine Implementierung die beides ber cksichtigt A 1 Sichere Netzwerktopologien Das Grundger st eines LAN ist eine Topologie oder Netzwerkarchitektur Eine Topologie ist das phy sische und logische Layout eines LAN in bezug auf die Ressourcen Entfernung zwischen Knoten und bertragungsmedium Abh ngig von den Bed rfnissen des Unternehmens die das Netzwerk be dient gibt es mehrere M glichkeiten f r eine Netzwerk Implementierung Jede Topologie hat seine Vorteile und Sicherheitsfragen die Netzwerkarchitekten bei der Entwicklung des Netzwerklayouts ber cksichtigen sollten A 1 1 Physische Topologien Wie durch das Institute of Electrical and Electronics Engineers IEEE festgelegt gibt es drei allge meine Topologienf r die physische Verbindung eines LAN A 1 1 1 Ring Topologie Die Ring Topologie verbindet jeden Knoten durch genau zwei Verbindungen Dies erstellt eine Ringstruktur in der jeder Knoten durch einen anderen zug ngig ist entweder direkt durch die Nachbarknoten oder inrirekt durch den Ring Token Ring FDDI und SONET Netzwerke sind auf diese Weise verbunden FDDI verwendet dar berhinaus eine Doppel Ring Technik es gibt jedoch keine allgemeine
98. engt eine detailiierte Untersuchung der Hardware und der physischen Netzwerksicherheit den Rahmen dieses Dokuments Dieses Kapitel liefert jedoch einen kurzen ber blick ber das Einrichten von Sicherheitsrichtlinien im Hinblick auf Hardware und physische Netz werke Wichtige Faktoren sind u a wie Computing Bed rfnisse und Konnektivit t in die Gesamt Sicherheitsstrategie einpassen Im folgenden werden einige der Faktoren im Detail behandelt e Computing beinhaltet mehr als nur Workstations auf denen Desktop Software l uft Moderne Unternehmen erfordern massive Rechnerleistungen und hochverf gbare Services die z B Mainframes Computer oder Applikationscluster leistungsstarke Workstations und spezialisierte Ger te umfassen k nnen Mit all diesen Anforderungen kommt jedoch auch eine erh hte Anf lligkeit f r Hardware Ausf lle Naturkatastrophen und Diebstahl der Ausr stung Konnektivit t ist die Methode mit der ein Administrator die Ressourcen auf einem Netzwerk zu verbinden versucht Ein Administrator verwendet vielleicht ein Ethernet Hub oder Switch CAT 5 RJ 45 Kabel Token rRng 10 base 2 Koaxialkabel oder sogar Wireless 802 11x Technologien Abh ngig vom gew hlten Medium erfordern bestimmte Medien und Netzwerktopologien komple ment re Technologien wie z B Hubs Router Switches Base Stations und Access Points Das Fes tlegen einer funktionalen Netzwerkarchitektur erm glicht einen leichteren Verwaltungsaufwand sollt
99. ent Information Protocol CMIP cmip agent a 3 ie 3 nextstep NeXTStep Window Server Border Gateway Protocol prospero Cliffod Neuman s Prospero Services smux atrtmp at zis AppleTalk Zone Information qmtp Quick Mail Transfer Protocol QMTP NISO Z39 50 Database m RB a 209 amp 210 239 50 Internetwork Packet Exchange IPX ein Datagram Protokoll dass h ufig in Novell Netware Umgebungen verwendet wird 120 map O Internet Message Access Protocol Version 3 uc gt lt C 347 fatsery Ratmen Server o 363 mpm RSVP Tume o 369 ipe2ponmap Coda Dateisystem Portmapper 116 Anhang C Haufige Ports Port Layer_ Name Kommentar Dr 445 Server Message Block SMB ber TCP IP Kerberos Passwort und Schl sse nderungs Service Generic Security Services GSS f r HTTP pim rp disc Rendezvous Point Discovery RP DISC f r Protocol Independent Multicast PIM Services isakmp Internet Security Association und Key Management Protocol ISAKMP Internet Inter Orb Protocol IIOP GNUstep Distributed Objects Mapper GDOMAP Real Time Stream Control Protocol RTSP nntps Network News Transport Protocol iiber Secure Sockets Layer NNTPS Mail Message Submission Agent MSA dhcpv6 client Dynamic Host Configuration Protocol DHCP Version 6 Client dhcpv6 server Dynamic Host Configuration Protocol DHCP Version 6 Service whoami whoami npmp local Network Perip
100. er eine ltere Version von CIPE besitzen sollten Sie ein Upgrade zu den neuesten Versionen durchf hren Im n chsten Schritt kopieren Sie die Beispiel Konfigurationsdateien aus usr share doc cipe version samples wobei version die Version des auf Ihrem System installierten CIPE ist nach etc cipe Sobald diese kopiert sind m ssen Sie die Datei etc cipe options cipcbx x ist 58 Kapitel 6 Virtuelle Private Netzwerke die n chsth here Zahl beginnend bei 0 falls Sie mehr als eine CIPE Verbindung auf dem CIPE Server haben m chten bearbeiten so dass diese Ihre LAN Subnet Adresse und ffentliche weiter leitbare Firewall IP Adresse enth lt Es folgt die Beispiel opt ions Datei die mit Red Hat Enterprise Linux CIPE RPM zusammen ausgeliefert wird und f r dieses Beispiel in options cipbcb0 umbe nannt wurde Surprise this file allows comments but only on a line by themselves This is probably the minimal set of options that has to be set Without a device line the device is picked dynamically the peer s IP address ptpaddr 6 5 4 3 our CIPE device s IP address ipaddr 6 758 lt 9 my UDP address Note if you set port 0 here the system will pick one and tell it to you via the ip up script Same holds for IP 0 0 0 0 me bigred inka de 6789 and the UDP address we connect to Of course no wildcards here peer blackforest inka de 6543 The static key Keep this file secret The key is 128 bits in
101. erarbeitet hat Diese Methode ist am anf lligsten f r ARP Address Resolution Protocol oder MAC Media Access Control Spoofing durch au enstehende Angreifer oder unbefugte Benutzer in lokalen Knoten 2 2 1 2 Zentralisierte Server Eine weitere Netzwerkfalle ist die Verwendung zentralisierter Rechner Eine beliebte Ma nahme zur Kostensenkung f r Firmen ist es alle Services auf einer einzigen leistungsstarken Maschine zusam menzuf hren Dies ist bequem da einfacher zu verwalten und es kostet wesentliche weniger als Multiple Server Konfigurationen Ein zentralisierter Server bietet jedoch auch nur einen Fehlerpunkt f r das Netzwerk Wird der zentrale Server besch digt kann dadurch das gesamte Netzwerk nutz los oder noch schlimmer zur Angriffsfl che f r Datenmanipulation oder Diebstahl werden In diesen F llen wird ein zentraler Server zur offenen T r und erlaubt Zugang zum gesamten Netzwerk 2 3 Bedrohungen der Serversicherheit Serversicherheit ist genauso wichtig wie Netzwerksicherheit da Server meistens einen Gro teil der unternehmenskritischen Informationen halten Wird ein Server beeintr chtigt kann der Cracker auf den gesamten Inhalt zugreifen und nach Belieben Daten stehlen oder manipulieren Die folgenden Abschnitte behandeln die wichtigsten Punkte 2 3 1 Unbenutzte Services und offene Ports Eine Komplettinstallation von Red Hat Enterprise Linux enth lt bis zu 1200 Applikationen und Bi bliotheken Die meisten Sy
102. es akzep tabel ist in Systeme einzubrechen so lange der Hacker nicht Diebstahl begeht oder den Datenschutz 8 Kapitel 2 Angreifer und Schwachstellen verletzt Man kann sich jedoch dariiber streiten ob das eigentliche Einbrechen in Systeme nicht bereits unethisch ist Unabh ngig von der Absicht des Eindringlings ist es wichtig die Schwachstellen zu kennen die ein Cracker am ehesten versucht auszunutzen Das restliche Kapitel behandelt diese Thematik 2 2 Bedrohungen der Netzwerksicherheit Unzureichende Methoden bei der Konfiguration einiger Netzwerkaspekte kann das Risiko eines An griffs erheblich erh hen 2 2 1 Unsichere Architekturen Ein fehlerhaft konfiguriertes Netzwerk ist der erste Zugangspunkt f r unbefugte Benutzer Wenn Sie ein vertrauensbasiertes offenes lokales Netzwerk ungesch tzt dem im h chsten Grade unsicheren Internet aussetzen ist das so als wenn Sie Ihre Haust r in einem unsicheren Vorort auflassen f r eine Weile mag nichts passieren aber irgendwann wird sich jemand die Gelegenheit zu Nutze machen 2 2 1 1 Broadcast Netzwerke Systemadministratoren vernachl ssigen oftmals die Bedeutung vernetzter Hardware in ihren Sicher heitssystemen Einfache Hardware wie z B Hubs und Router arbeiten nach dem Broadcast oder unge schaltetem Prinzip d h wenn ein Knoten Daten ber ein Netzwerk bertr gt sendet die Hub oder der Router die Datenpakete solange bis der Empf ngerknoten die Daten empfangen und v
103. esitzer ge ndert wurde G Es wurde eine Datei gefunden deren Gruppenrechte ge ndert wurden e T Es wurden mt ime Verifizierungsfehler in der Datei gefunden Va Die Option va verifiziert alle installierten Pakete und findet jegliche Fehler in deren Veri fizierungstests fast genauso wie die Option v jedoch genauer in der Ausgabe da jedes in stallierte Paket verifiziert wird Vf bin 1s Die Option v verifiziert individuelle Dateien in einem installierten Paket Dies kann sehr hil freich sein wenn Sie eine schnelle Verifikation einer verd chtigen Datei durchf hren wollen K application 1 0 1386 rpm Die Option K ist hilfreich f r das Pr fen der md5 Priifsumme und der GPG Signatur einer RPM Paket Datei Dies ist sinnvoll wenn Sie feststellen wollen ob ein Paket dass Sie installieren von Red Hat oder einer anderen Organisation deren GPG Schl ssel Sie in Ihrem Schl sselring haben signiert ist Wurde ein Paket nicht ordnungsgem signiert wird eine Fehlermeldung wie folgende ausgegeben application 1 0 1386 rpm SHAl DSA shal md5 GPG NOT OK MISSING KEYS GPG 897da07a Seien Sie vorsichtig wenn Sie unsignierte Pakete installieren da diese nicht von Red Hat Inc anerkannt sind und b sartigen Code enthalten k nnen RPM kann ein leistungstarkes Tool sein wie durch die vielen Verifizierungstools f r installierte Pakete und RPM Paket Dateien Es wird dringend empfohlen dass Sie ein Backup des Inhalt
104. ey db42a60e 37ea5438 Um Details ber einen bestimmten Schl ssel anzuzeigen verwenden Sie den Befehl rpm qi gefolgt vom Output des vorhergehenden Befehls Kapitel 3 Sicherheits Updates 17 rpm qi gpg pubkey db42a60e 37ea5438 Es ist von gr ter Wichtigkeit dass Sie die Signatur der RPM Dateien verifizieren bevor Sie diese installieren Dieser Schritt versichert Ihnen dass die RPMs der Red Hat Inc Version nicht ver ndert wurden Um alle heruntergeladenen Pakete gleichzeitig zu pr fen geben Sie folgenden Befehl ein rpm K tmp updates rpm F r jedes Paket bei dem der GPG Schl ssel erfolgreich verifiziert wurde sollte im Output gpg OK erscheinen Nachdem der GPG Schl ssel verifiziert und alle Pakete im Zusammenhang mit dem Errata Bericht heruntergeladen wurden k nnen Sie diese als Root angemeldet in einem Shell Prompt installieren Dies kann f r die meisten Pakete sicher durch den folgenden Befehl erreicht werden Kernel Pakete ausgenommen rpm Uvh tmp updates rpm F r Kernel Pakete sollten Sie den folgenden Befehl verwenden rpm ivh tmp updates lt kernel package gt Ersetzen Sie lt kernel package gt im vorhergehenden Beispiel mit dem Namen der Kernel RPM Nachdem die Maschine mithilfe des neuen Kernels sicher neu gestartet ist kann der alte Kernel mit dem folgenden Befehl entfernt werden rpm e lt old kernel package gt Ersetzen Sie lt old kernel package gt im vorhergehenden Beispiel mit dem Na
105. ezifikationen wurden als Standard von IEEE akzep tiert und mehrere Hersteller vermarkten 802 11x Produkte und Services Konsumenten haben auch den Standard f r kleine B ros Heimb ros SOHO bernommen Die Beliebtheit hat sich auch von LANs zu MANs Metropolitan Area Networks ausgedehnt insbesondere in dichtbev lkerten Gegen den wo eine Konzentration von Wireless Access Points WAPs zur Verf gung steht Es gibt deswei teren Wireless Internet Service Provider WISPs die sich auf Reisende mit Bedarf an Broadband Internet Zugang spezialisieren Die 802 11x Spezifikation erm glicht direkte Peer to Peer Verbindungen zwischen Knoten durch wireless NICs Diese lose Gruppe von Knoten auch ad hoc Netzwerk genannt ist ideal f r schnelles teilen von Verbindungen zwischen zwei oder mehr Knoten besitzt jedoch Anpassbarkeitsprobleme die nicht f r bestimmte Wireless Konnektivit t geeignet sind Eine besser geeignete L sung f r Wireless Zugang in festen Strukturen ist die Installation einer oder mehrere WAPs die mit dem traditionellen Netzwerk verbunden sind und Wireless Knoten erm gli chen sich mit dem WAP zu verbinden als wenn dies ein Ethernet Netzwerk w re Das WAP handelt hier effektiv als eine Br cke zwischen den Knoten die mit ihm und dem Rest des Netzwerks verbun den sind A 1 3 1 802 11x Sicherheit Auch wenn Wireless Netzwerek von Geschwindigkeit und Bequemlichkeit her geeigneter sind als traditionelle Netzwerke gibt es
106. fer gefasst wird 96 Kapitel 10 Vorfallsreaktion 10 4 1 Erstellen eines Images als Beweis Das Erstellen einer bit image Kopie der Medien ist ein sinnvoller erster Schritt Wenn wir Daten untersuchen ist dies eine Anforderung Es wird empfohlen zwei Kopien zu erstellen eine fiir die Analyse und Untersuchung und eine zweite die zusammen mit dem Original gespeichert wird und als Beweismittel in jeglichen rechtlichen Verfahren gilt Sie k nnen den Befehl da der Teil des coreut ils Pakets in Red Hat Enterprise Linux ist verwen den um ein monolithisches Abbild eines kompromittierten Systems zu erstellen und dies als Beweis in einer Untersuchung oder fiir den Vergleich mit vertrauenswiirdigen Images zu verwenden Nehmen Sie an es besteht eine einzelne Festplatte in einem System von dem Sie ein Abbild machen m chten F gen Sie diese Festplatte als Slave zu Ihrem System hinzu und verwenden Sie den Befehl dd um eine Image Datei zu erstellen dd if dev hdd bs 1k conv noerror sync of home evidence imagel Dieser Befehl erstellt eine einzige Datei mit dem Namen image1 und verwendet einen 1k Block Die Option conv noerror sync zwingtdd dazu mit dem Lesen und Ablegen von Daten fortzufahren auch wenn defekte Sektoren auf dem verd chtigen Laufwerk gefunden werden Jetzt k nnen Sie die resultierende Image Datei studieren oder versuchen gel schte Dateien wiederherzustellen 10 4 2 Informationen nach eine Bruch sammeln Das Thema digit
107. h weite weiterzugeben Ein NIS Server besteht aus mehreren Applikationen unter anderem e usr sbin rpc yppasswdd Auch yppasswdd Service genannt Dieser Daemon erm glicht Benutzern ihre NIS Passw rter zu ndern e usr sbin rpc ypxfrd Auch ypxfrd Service genannt Dieser Daemon ist f r den NIS Map Transfer ber das Netzwerk verantwortlich e usr sbin yppush Diese Applikation verbreitet ge nderte NIS Datenbanken an mehrere NIS Server e usr sbin ypserv Dies ist der NIS Server Daemon Im Vergleich zu heutigen Standards ist NIS als eher unsicher einzustufen Es besitzt keine Host Authentifizierungsmechanismen und bertr gt Informationen einschlie lich Passwort Hashes unver schl sselt ber das Netzwerk Aus diesem Grund m ssen Sie beim Einrichten eines Netzwerks mit NIS extreme Vorsicht walten lassen Dadurch dass die Standard Konfiguration von NIS von Natur aus unsicher ist wird die Angelegenheit noch weiter verkompliziert Es wird empfohlen dass Sie bevor Sie einen NIS Server implementieren wollen zuerst den portmap Service wie unter Abschnitt 5 2 beschrieben sichern und dann weitere Angelegenheiten angehen 5 3 1 Planen Sie das Netzwerk sorgf ltig Da NIS empfindliche Informationen unverschl sselt ber das Netzwerk bertr gt ist es wichtig dass dieser Service hinter eine Firewall und auf einem segmentierten und sicheren Netzwerk ausgef hrt wird Jedes Mal wenn NIS Informationen ber ein
108. haufig fest dass ihr Server dann zu einer Fundgrube gestohlener Software wird F gen Sie zus tzlich unter vsftpd die folgende Zeile in die Datei etc vsftpd vsftpd conf ein anon_upload_enable YES 5 6 3 Benutzeraccounts Da FTP unverschl sselt Benutzernamen und Passw rter ber unsichere Netzwerke zur Authentifizie rung bertr gt ist es ratsam Systembenutzerzugang zum Server von den Benutzeraccounts aus zu verbieten Um Benutzeraccounts in vsftpd zu deaktivieren f gen Sie die folgende Direktive zu etc vsftpd vsftpd conf hinzu local_enable NO 5 6 3 1 Benutzeraccounts einschr nken Der einfachste Weg eine bestimmte Gruppe von Accounts wie den Root Benutzer und solche mit sudo Berechtigungen am Zugriff auf den FTP Server zu hindern ist durch eine PAM Liste wie unter Abschnitt 4 4 2 4 beschrieben Die PAM Konfigurationsdatei f r vsftpd ist etc pam d vsftpd Es ist auch m glich Benutzeraccounts innerhalb jeden Services direkt zu deaktivieren 52 Kapitel 5 Server Sicherheit Um bestimmte Benutzeraccounts in vsftpd zu deaktivieren fiigen Sie den Benutzernamen zu etc vsftpd ftpusers hinzu 5 6 4 TCP Wrappers fur die Zugriffskontrolle Sie k nnen TCP Wrappers f r die Zugriffskontrolle zu den FTP Daemons wie unter Abschnitt 5 1 1 beschrieben einsetzen 5 7 Sicherung von Sendmail Sendmail ist ein Mail Transport Agent MTA der das Simple Mail Transport Protocol SMTP zur Ubertragung elektronischer Nach
109. hen CIPE UDP bertragungen auf der entfernen Client Maschine die sich mit dem LAN verbindet die letzte Regel f gt IP Masquerading hinzu um dem Remote Client die Kommunikation mit dem LAN und dem Internet zu erm glichen sbin modprobe iptables sbin service iptables stop sbin iptables P INPUT DROP sbin iptables F INPUT sbin iptables A INPUT j ACCEPT p udp s 10 0 1 1 sbin iptables A INPUT j ACCEPT i cipcb0 sbin iptables A INPUT j ACCEPT i lo sbin iptables t nat A POSTROUTING s 192 168 1 0 24 o eth0 j MASQUERADE Sie m ssen desweiteren Routing Regeln zur Client Maschine hinzuf gen um auf die Knoten hinter der CIPE Verbindung wie in einem lokalen Netzwerk zugreifen zu k nnen Dies erreichen Sie mit dem route Befehl In unserem Beispiel muss die folgende Netzwerk Route zur Client Workstation hinzugef gt werden route add net 192 168 1 0 netmask 255 255 255 0 gw 10 0 1 2 Folgendes zeigt das endg ltige etc cipe ip up local Skript f r die Client Workstation bin bash v if f etc sysconfig network scripts ifcfg 1 then etc sysconfig network scripts ifcfg 1 else cat lt lt EOT logger Cannot find config file ifcfg 1 Exiting EOF exit 1 fi if n PEERROUTEDEV then cat lt lt EOT logger Cannot find a default route to send cipe packets through Punting and hoping for the best EOT Use routing table to determine peer gateway export PEERROUTEDEV sbin route n grep
110. heral Management Protocol NPMP local Distributed Queueing System DQS npmp gui Network Peripheral Management Protocol NPMP GUI Distributed Queueing System DQS HMMP Indication DQS lip sd Internet Printing Protocol IPP Idaps Lightweight Directory Access Protocol iiber Secure Sockets Layer LDAPS Application Configuration Access Protocol ACAP Heartbeat Services fiir High Availability Clusters Kerberos Version 5 v5 kadmin Datenbankverwaltung Kerberos Version 4 v4 Services Network Dictionary phonebook Network Phonebook rsync Dateitransfer Services Ipp an a jon Nn Anhang C H ufige Ports 117 Port Layer_ Name Kommentar Telnet iiber Secure Sockets Layer TelnetS 993 imaps Internet Message Access Protocol ber Secure Sockets Layer IMAPS Internet Relay Chat ber Secure Sockets Layer IRCS 995 pop3s Post Office Protocol Version 3 ber Secure Sockets Layer POP3S Tabelle C 1 Bekannte Ports Die folgenden Ports sind UNIX spezifisch und betreffen Services von E Mail zur Authentifizierung und vieles mehr Namen in Klammern z B service sind entweder Daemon Namen f r den Ser vice oder bekannte Aliase Port Layer Name Kommentar Remote Login rlogin 514 tcp shell cmd Remote Shell rshell und Remote Copy rcp ohne Logging printer spooler S26hcp tempo newdate 530 tcp Courier Remote Procedure Call RPC Protokoll 53 1 tep conference chat Inter
111. here Bandbreite 24 7 Support und Erfahrung in der System und Serversicherheit besitzen Dies kann eine effektive Methode zum Auslagern von Sicherheits und Konnektivit tsanfoderungen f r HTTP Transaktionen oder Streaming Media Services sein Co Location kann sich jedoch als sehr kostenintensiv erweisen Co Location Standorte sind bekannt f r starke Absicherung durch geschultes Sicherheitspersonal und st ndige berwachung 108 Anhang A Hardware und Netzwerschutz redhat Anhang B H ufige Schwachstellen und Attacken Tabelle B 1 zeigt einige der von Eindringlingen am h ufigsten ausgenutztenSchwachstellen und Zu gangspunkte zum Zugriff auf Netzwerkressourcen in einem Unternehmen Der Schl ssel zu diesen h ufigen Schwachstellen ist die Erkl rung wie diese ausgenutzt werden und wie Administratoren ihr Netzwerk ordnungsgem gegen solche Angriffe sch tzen k nnen Sicherheitsloch Beschreibung ee OO Null oder Standardpasswort Standard Shared Keys Das Leerlassen von Passw rtern oder das Verwenden von Standardpassw rtern die mit einer Applikation mitgeliefert werden Dies kommt am h ufigsten bei Hardware wie Router und BIOS vor einige Services die unter Linux laufen k nnen jedoch auch standardm ige Administratoren Passw rter enthalten Red Hat Enterprise Linux wird jedoch nicht mit solchen ausgeliefert Sichere Services werden manchmal mit standardm igen Sicherheitsschl sseln f r Entwicklung o
112. hitekturen Co Autor Co Bearbeiter des Red Hat Enterprise Linux Sicherheitshandbuch Co Autor des Red Hat Enterprise Linux Introduction to System Administration Co Autor des Red Hat Enterprise Linux Schrittweise Einf hrung Das Red Hat Team verantwortlich f r bersetzungen besteht aus Jean Paul Aubry Franz sisch David Barzilay Portugisisch Brasilien Bernd Groh Deutsch James Hashida Japanisch Michelle Ji yeen Kim Koreanisch Yelitza Louze Spanisch Noriko Mizumoto Japanisch Nadine Richter Deutsch Audrey Simons Franz sisch Francesco Valente Italienisch Sarah Saiying Wang Einfaches Chinesisch Ben Hung Pin Wu Traditionelles Chinesisch 132
113. hner wie zum Beispiel SSH oder FTP zu knacken Diese Art Angriff ist wesentlich langsamer und hinterl sst offensichtliche Spuren da hunderte gescheiterter Log In Versuche in Systemdateien aufgezeichnet werden Wenn jedoch der Cracker eine Attacke mitten in der Nacht startet und Sie ber schwache Passw rter verf gen hat der Angreifer eventuell Zugang noch vor Morgengrauen Ein weiteres Problem ber Format und Speicherung hinaus ist Inhalt Das wichtigste was ein Benutzer tun kann um seinen Account gegen eine Passwort Attacke zu sch tzen ist das Erstellen eines sicheren Passwortes 4 3 1 Erstellen sicherer Passw rter Beim Erstellen von Passw rtern ist es hilfreich die folgenden Richtlinien zu befolgen Was Sie nicht tun sollten Verwenden Sie nicht nur W rter oder Zahlen Sie sollten f r ein Passwort nicht nur W rter oder nur Zahlen verwenden Hier einige Beispiele f r schlechte Passw rter 8675309 juan hackme Verwenden Sie keine erkennbaren W rter W rter wie Namen im W rterbuch stehende W rter oder Begriffe aus Fernsehsendungen oder Romanen sollten vermieden werden auch wenn diese am Ende mit Zahlen versehen werden Hier einige Beispiele f r schlechte Passw rter john DS 9 mentat123 26 Kapitel 4 Workstation Sicherheit Verwenden Sie keine W rter in anderen Sprachen Passwort Knack Programme pr fen oft gegen Wortlisten die W rterb cher in anderen Sprachen umfasse
114. ices Die folgenden Sicherheitsrichtlinien gelten f r das Einrichten des vs ft pd FTP services 5 6 1 FTP GruBbanner Bevor der Benutzername und das Passwort eingegeben werden erhalten alle Benutzer ein Gru banner Standardm ig enth lt dieses Banner Versionsinformationen die f r Cracker n tzlich sein k nnen die Schwachstellen in einem System herausfinden wollen Um dieses Gru banner f r vsftpd zu ndern f gen Sie die folgende Direktive zu etc vsftpd vsftpd conf hinzu ftpd_banner lt insert_greeting_here gt Ersetzen Sie lt insert_greeting_here gt in der obigen Direktive durch den Text Ihrer Begr Bung F r mehrzeilige Banner ist es ratsam eine Bannerdatei zu verwenden Um die Verwaltung von mehreren Bannern zu vereinfachen speichern Sie alle Banner in einem neuen Verzeichnis mit dem Namen etc banners Die Bannerdatei f r FTP Verbindungen in diesem Beispiel ist etc banners ftp msg Das untenstehende Beispiel zeigt wie eine derartige Datei assehen kann FREE AE AE E E AE AE FE E AE AE E AE AE AE EEE EA AE Hello all activity on ftp example com is logged FEAE AE AE AE AE AE E AE E AE FE AE E AE E AE FE AE FE AE EEE E AE AE AE AE E AE E AE AE EAE E AE AE AE AE FE AE E AEAEE AE EAE f Hinweis Es ist nicht n tig jede Zeile der Datei mit 220 wie in Abschnitt 5 1 1 1 beschrieben zu beginnen Um diese Gru bannerdatei f r vsftpd festzulegen f gen Sie folgende Direktive zu etc vsftpd vsftpd conf hin
115. iche Verbindung m ssen beide Schl ssel identisch sein Die etc racoon racoon conf Datei sollte identisch sein bis auf das include etc racoon X X X X conf Statement Dieses Statement und die Datei auf die es sich bezieht wird erstellt wenn der IPsec Tunnel aktiviert ist F r Workstation A ist X X X X im include Statement die IP Adresse von Workstation B Das Gegenteil gilt f r Workstation B Im Folgenden sehen Sie eine typische racoon conf Datei wenn die IPsec Verbindung aktiviert ist Racoon IKE daemon configuration file See man racoon conf for a description of the format and entries path include etc racoon path pre_shared_key etc racoon psk txt path certificate etc racoon certs sainfo anonymous pfs_group 2 lifetime time 1 hour encryption_algorithm 3des blowfish 448 rijndael authentication_algorithm hmac_shal hmac_md5 compression_algorithm deflate include etc racoon X X X X conf Um die Verbindung zu starten starten Sie entweder die Workstation neu oder f hren Sie den folgenden Befehl als Root auf jedem Host aus sbin ifup ipsec0d Kapitel 6 Virtuelle Private Netzwerke 65 Um die IPsec Verbindung zu testen f hren Sie diet cpdump Utility aus Sie k nnen so die Netzwerk Pakete sehen die zwischen den Hosts oder den Netzwerken bermittelt werden und au erdem nach pr fen dass sie ber IPsec verschl sselt weren Jedes Paket sollte eine AH Kopfzeile einhalten un
116. ichtige Aspekte einer Vorfallsreaktion die betrachtet werden m ssen sind rechtliche An gelegenheiten Sicherheitspl ne sollten zusammen mit Mitarbeitern der Rechtsabteilung oder einer allgemeinen Form an Rechtsbeistand erarbeitet werden Genauso wie jede Firma eine eigene Sicher heitspolice im Unternehmen haben sollte hat jedes Unternehmen seine eigene Methode Vorf lle vom rechtlichen Standpunkt aus zu behandeln Regionale landesweite oder bundesweite Gesetze w rden den Rahmen dieses Handbuchs sprengen werden jedoch kurz angerissen da die Methodologie f r ei ne post mortem Analyse zumindest teilweise von rechtlicher Seite aus vorgegeben wird Die Rechts abteilung kann die technischen Mitarbeiter ber die Auswirkungen von Br chen die Gefahren der Kapitel 10 Vorfallsreaktion 95 Verbreitung von Kundendaten pers nlich medizinisch oder finanziell und die Wichtigkeit den Ser vice in unternehmenskritischen Umgebungen wie Krankenh user oder Banken wiederherzustellen aufkl ren 10 3 Implementieren des Vorfallsreaktionsplans Nachdem ein Plan erstellt wurde muss dieser verabschiedet und aktiv implementiert werden Jeder Aspekt dieses Plans der w hrend der Implementierung in Frage gestellt wird resultiert wahrschein lich in langsamer Reaktionszeit und Systemausfall falls ein Bruch vorliegt Hier wird praktische bung unsch tzbar Solange nicht etwas bem ngelt wird bevor der Plan aktiv in der Produktions umgebung eingesetzt
117. idrige Umst nde formell zu reagie ren Der Vorfallsreaktionsplan kann in vier Phasen unterteilt werden 1 http www gen com 21_32 web 20404 1 html 94 Kapitel 10 Vorfallsreaktion Sofortige Aktion um den Vorfall zu stoppen oder zu minimieren Untersuchen des Vorfalls Wiederherstellung von betroffenen Ressourcen Melden des Vorfalls an die richtigen Stellen Eine Vorfallsreaktion muss entschieden und schnell ausgef hrt werden Sie l sst in den meisten F llen wenig Raum f r Fehler Dadurch das Notf lle geprobt und die Reaktionszeiten gemessen werden ist es m glich eine Methodologie zu entwickeln die Schnelligkeit und Exaktheit f rdert Eine schnelle Reaktion kann die Auswirkung auf Ressourcen und m gliche Sch den im Ernstfall verringern Ein Vorfallsreaktionsplan hat eine Anzahl von Anforderungen inklusive Ein team von in house Experten ein Computer Emergency Response Team e Eine rechtlich abgesicherte und genehmigte Strategie Finanzielle Unterst tzung durch das Unternehmen Unterst tzung durch das Management Ein durchf hrbarer und getesteter Aktionsplan Physische Ressourcen wie Extra Speicher Standby Systeme und Backup Services 10 2 1 Ein Computer Emergency Response Team CERT Ein Computer Emergency Response Team CERT zu deutsch Computer Notfall Reaktions Team ist eine Gruppe von in house Experten die im Falle einer Computer Katastrophe schnell handeln k nnen Die Kernkompetenzen f
118. ie etc cipe options cipcbx Datei gestellt wer den damit sie bei Laufzeit automatisch geladen werden Bitte beachten Sie dass Parameter die in der Befehlszeile als Optionen eingegeben werden die entsprechenden Parameter in der Konfigurationsdatei etc cipe options cipcbx Uberschreibt Tabelle 6 1 gibt einige der Befehlszeilen Parameter an wenn der ciped Daemon ausgef hrt wird Gibt Argumente an das etc cipe ip up Initialisierungsskript weiter W hlt ein anderes ip down Skript Standard ist etc cipe ip down key Gibt einen gemeinsam verwendeten statischen Schl ssel f r die CIPE Verbindung an Anzahl der erlaubten Fehler bevor der CIPE Daemon beendet wird me UDP Adresse der CIPE Maschine Setzt die maximale Ubertragungseinheit des Ger ts Die CIPE UDP Adresse des Peer Setzt den CIPE spezifischen nicht ICMP Ping Intervall IP Adresse und Portnummer des SOCKS Servers f r Proxy Verbindungen Setzt die dynamische Lebensdauer des Schl ssels Standard ist 10 Minuten 600 Sekunden Verwendet keine Verschl sselung Timeout Wert f r den Austausch gemeinsam verwendeter Schl ssel Standard ist 10 Sekunden 62 Kapitel 6 Virtuelle Private Netzwerke Beschreibung tokxts Timestamp Timeout Wert des Schliisselaustausches Standard ist 0 keine Timestamps toping Timeout Wert fiir Pings Standard ist 0 Tabelle 6 1 CIPE Parameter 6 8 CIPE Schl sselmanagement Wie bereits erw hnt beinhaltet CIPE eine sichere Kombi
119. ie sich auf das Datagram Delivery Protocol DDP auf Apple Talk Netzwerken beziehen Port Layer Name Kommentar Name Binding Protocol AppleTalk Echo Protocol Tabelle C 4 Datagram Deliver Protocol Ports Tabelle C 5 ist eine Liste von Ports die sich auf das Kerberos Netzwerk Authentifizierungsprotokoll beziehen Wenn angegeben bezieht sich v5 auf Kerberos Version 5 Protokoll Beachten Sie bitte dass diese Ports nicht bei der IANA registriert sind Port Layer _ Name Kommentar Tabelle C 5 Kerberos Project Athena MIT Ports Tabelle C 6 ist eine Liste unregistrierter Ports die von Service und Protokollen auf Ihrem Red Hat Enterprise Linux System verwendet werden oder notwendig f r die Kommunikation zwischen Red Hat Enterprise Linux und Systemen die andere Betriebssysteme ausf hren sind Port Layer_ Name Kommentar 15 tcp Network Status netstat 98 tcp Linuxconf Linux AdministrationS Tool 122 Anhang C Haufige Ports Porti Layer_ Name Kommentar 106 poppassd Post Office Protocol Password Change Daemon POPPASSD 465 tcp smtps Simple Mail Transfer Protocol over Secure Sockets Layer SMTPS Remote Name Daemon Konfirgurationstool 1178 tcp Simple Kana to Kanji SKK Japanese Input Server 1313 tcp Franz sisches Minitel Textinformations System a 2 1529 tcp support prmsd GNATS Bug Tracking System gnatsd 2003 tcp lcfinger GNU Finger 2150 ninsa Network Installation Service 2988 af
120. ierte Authentifizierungsm glichkeit bietet Desweiteren sollten Sie nur IP Adressen verwenden wenn Sie den Zugriff auf den Service einschr n ken wollen Vermeiden Sie Hostnamen da sie durch DNS Poisoning und andere Methoden gef lscht werden k nnen 5 2 2 Sch tzen mit portmap mit IPTables Um den Zugriff auf den portmap Service weiter einzuschr nken ist es sinnvoll IPTables Regeln zum Server hinzuzuf gen die den Zugriff auf bestimmte Netzwerke einschr nken Kapitel 5 Server Sicherheit 45 Unten finden Sie zwei Beispiele f r IPTables Befehle die TCP Verbindungen zum portmap Service auf Port 111 vom 192 168 0 24 Netzwerk und vom localhost der fiir den sgi_fam Service fiir Nautilus ben tigt wird erm glichen Alle anderen Pakete werden abgelehnt iptables A INPUT p tcp s 192 168 0 0 24 dport 111 j DROP iptables A INPUT p tcp s 127 0 0 1 dport 111 j ACCEPT Um auf gleiche Weise UDP Traffic einzuschr nken verwenden Sie den folgenden Befehl iptables A INPUT p udp s 192 168 0 0 24 dport 111 j DROP Sr Unter Kapitel 7 finden Sie weitere Informationen zum Errichten von Firewalls mit dem IPTables Befehl 5 3 Sichern von NIS NIS steht f r Network Information Service Es ist ein RPC Service mit dem Namen ypserv der zu sammen mit portmap und anderen Services verwendet wird um Informationen zu Benutzernamen Passw rtern und anderen empfindlichen Daten an jeden beliebigen Computer innerhalb der Reic
121. ifiziert die Dateien im installierten Paket mit dem Namen package_name Wird keine Ausgabe ausgegeben und das Programm beendet bedeutet dies dass keine der Dateien seit dem letzten Update der RPM Datenbank in irgendeiner Weise ge ndert wurden Wird ein Fehler wie z B folgender angezeigt S 5 T ce bin ps dann wurde die Datei ver ndert und Sie sollten berpr fen ob Sie die Datei behalten wollen wie z B bei ge nderten Konfigurationsdateien in etc oder diese Datei l schen und das Paket das die Datei enthielt neu installieren m chten In der folgenden Liste werden die Elemente der 8 Zeichen Strings definiert S 5 T im Beispiel oben die einen Verifizierungsfehler melden Der Test hat diese Phase der Verifizierung bestanden Es wurde eine Datei gefunden die nicht gelesen werden konnte Dies ist wahrscheinlich ein Problem der Dateiberechtigungen s Es wurde eine Datei gefunden die kleiner oder gr er als die urspr nglich auf dem System installierte Datei ist 5 Es wurde eine Datei gefunden deren md5 Pr fsumme nicht mit der urspr nglichen Pr f summe dieser Datei bereinstimmt M Es wurde ein Fehler in der Dateiberechtigung oder mit dem Typ der Datei gefunden D Es wurde ein Ubereinstimmungsfehler in der Major Minor Nummer der Ger tedateien gefunden e L Es wurde ein symbolischer Link gefunden der zu einem anderen Dateipfad weist e U Es wurde eine Datei gefunden deren B
122. ilities and Exposures Site CVE unter http cve mitre org zu melden Abh ngig von der Art des Rechtsbeistandes den Ihr Unternehmen hat ist u U eine post mortem Analyse erforderlich Auch wenn dies keine funktionale Anforderung einer Analyse ist kann eine post mortem Analyse doch wertvolle Informationen dazu liefern wie der Cracker denkt und wie Ihre Systeme strukturiert sind um zuk nftige Probleme zu verhindern 100 Kapitel 10 Vorfallsreaktion V Anhange Dieser Abschnitt spricht einige der am h ufigsten verwendeten Wege an in denen ein Eindringling in Ihr System einbrechen kann oder Ihre Daten w hrend der bertragung abfangen kann Dieser Abschnitt beschreibt auch einige der am h ufigsten verwendeten Services und deren entsprechenden Port Nummern was f r einen Administrator der die Risiken eines Einbruchs vermindern will n tz lich ist Inhaltsverzeichnis A Hardware und Netzwerschutz B H ufige Schwachstellen und Attacken C H ufige Ports redhat Anhang A Hardware und Netzwerschutz Der beste Ansatz vor dem Einsatz einer Maschine in einer Produktionsumgebung oder dem Verbinden Ihres Netzwerks mit dem Internet ist die Bed rfnisse Ihres Unternehmens festzulegen und festzustel len wie Sicherheit in die Anforderungen so transparent wie m glich passt Da das Hauptziel des Red Hat Enterprise Linux Sicherheitshandbuch ist zu erkl ren wie Red Hat Enterprise Linux siche rer gestaltet werden kann spr
123. ine Kette angef gt wird a die Pakete von 192 168 100 13 dies liegt innerhalb des ausgelassenen beschrankten Subnetzes genehmigt dann wird die ange f gte Regel ignoriert Sie m ssen in diesem Fall zuerst eine Regel aufstellen die 192 168 100 13 genehmigt und dann eine Auslassungsregel im Subnetz erstellen 72 Kapitel 7 Firewalls Um willk rlich eine Regel in eine existierende Kette von Regeln einzuf gen verwenden Sie 1 gefolgt von der Kette in der Sie die Regel einf gen wollen und einer Regelnummer 1 2 3 n die besagt wo die Regel liegt Zum Beispiel iptables I INPUT 1 i lo p all j ACCEPT Die Regel wird als erste Regel in der INPUT Kette eingef gt damit Verkehr von einer lokalen Loopback Einrichtung m glich wird 7 2 1 Grundlegende Firewall Richtlinien Einige grundlegende von Beginn an etablierte Richtlinien k nnen als Basis f r ausf hrlichere und vom Benutzer definierte Regeln dienen IPTables verwendet Richtlinien P um standardm ige Re geln zu erstellen Sicherheitsbewusste Administratoren entscheiden sich normalerweise f r die Norm alle Pakete auszulassen und nur bestimmte Pakete auf einer Fall zu Fall Basis zu genehmigen Die folgenden Regeln blockieren alle eingehenden und ausgehenden Pakete am Gateway eines Netzwer kes iptables P INPUT DROP iptables P OUTPUT DROP Zus tzlich wird empfohlen dass jeder forwarded packets Netzwerkverkehr der von der Firewall zu seinem Zielknoten g
124. inem Buffer Overflow f hren oder es dem An greifer erm glichen Dateien auf dem Server zu ndern Um die Angriffsfl che des Netzwerks zu verringern sollten alle nicht genutzten Services ausgeschal tet werden 4 5 2 Identifizieren und Konfigurieren von Services Zur Erh hung der Sicherheit sind die meisten mit Red Hat Enterprise Linux installierten Netzwerk services standardm ig deaktiviert Es gibt jedoch einige nennenswerte Ausnahmen cupsd Der standardm ige Druck Server f r Red Hat Enterprise Linux 1pd Ein alternativer Druck Server portmap Eine n tige Komponente f r NFS NIS und andere RPC Protokolle e xinetd Ein Super Server der die Verbindungen zu einem Host von untergeordneten Servern wie zum Beispiel vsftpd telnet und sgi fam der f r den Nautilus Dateimanager ben tigt wird regelt sendmail Der Sendmail Mail Transport Agent ist standardm ig aktiviert h rt jedoch nur Verbindungen vom localhost ab sshd Der OpenSSH Server ein sicherer Ersatz f r Telnet Bei der Entscheidung ob diese Services aktiviert bleiben sollen sollten Sie mit gesundem Menschen verstand handeln und Vorsicht walten lassen Wenn Sie zum Beispiel keinen Drucker besitzen sollten Sie cupsd nicht laufen lassen nur weil Sie eines Tages eventuell einen Drucker kaufen werden Das gleiche gilt f r portmap Wenn Sie keine NFS Volumen mounten oder NIS denypbind Service nicht verwenden sollte portma
125. ingetragene Warenzeichen der Intel Corporation Itanium und Celeron sind Warenzeichen der Intel Corporation AMD Opteron Athlon Duron und K6 sind eingetragene Warenzeichen von Advanced Micro Devices Inc Netscape ist ein eingetragenes Warenzeichen der Netscape Communications Corporation in den USA und anderen L ndern Windows ist ein eingetragenes Warenzeichen der Microsoft Corporation SSH und Secure Shell sind Warenzeichen der SSH Communications Security Inc FireWire ist ein Warenzeichen der Apple Computer Corporation IBM AS 400 OS 400 RS 6000 S 390 und zSeries sind eingetragene Warenzeichen der International Business Machines Corporation eServer iSeries und pSeries sind Warenzeichen der International Business Machines Corporation Alle weiteren hier genannten Rechte an Warenzeichen sowie Copyrights liegen bei den jeweiligen Eigent mern Der GPG Code des security redhat com Schl ssels lautet CA 20 86 86 2B D6 9D FC 65 F6 EC C4 21 91 80 CD DB 42 A6 0E Inhaltsverzeichnis Einf hrung scnssesssnensnenenssnensnenssnsnenenenennenenenenensnnnsnsnsnnenenenensnnenenensnensnensnenssnensnensnenssnensnssennenensnene i 1 Dokumentkonventionen nsesesesennnnenenenenennnnenenenonnenenenennnnenenentnnnnenenennnennnnnnensnnnnnnenennnanen ii 2 In der Planung N 2 1 Senden Sie uns Thr Feedback eeesssenenesesnsnenennnnnnenenennnnnenenenesnnnnnennnnnn v I Eine allgemeine Einleitung in Sicherheit
126. inplanen In diesem Beispiel wird Telnet verwendet Bearbeiten Sie die Datei etc xinetd d telnet und ndern Sie die Zeile flags in folgendes um flags SENSOR F gen Sie die folgendes Zeile innerhalb der Klammern hinzu deny_time 30 Hierdurch wird dem Host der 30 Minuten lang versucht hat sich mit dem Port zu verbinden der Zugriff verweigert Andere Werte f r das deny_t ime Attribut sind FOREVER der solange wirksam ist bis xinetd neu gestartet wird und NEVER der die Verbindung zul sst und sie dokumentiert Die letzte Zeile sollte wie folgt aussehen disable no Obwohl SENSOR eine gute Methode ist Verbindungen von b swilligen Hosts zu erkennen und zu stoppen hat es jedoch zwei Nachteile e Es hilft nicht gegen heimliches Scannen Stealth Scans 44 Kapitel 5 Server Sicherheit Ein Angreifer der wei dass ein SENSOR ausgef hrt ist kann eine Service Ablehnungs Attacke gegen bestimmte Hosts ausf hren indem er ihre IP Adressen f lscht und sich mit dem verbotenen Port verbindet 5 1 2 2 Kontrollieren von Server Ressourcen Ein weiteres wichtiges Feature von xinetd ist die F higkeit die Anzahl der Ressourcen die Services zur Verf gung haben zu kontrollieren Dies wird durch die folgenden Direktiven erreicht cps lt number_of_connections gt lt wait_period gt Gibt die Verbindungen pro Sekunde zu einem Service von Diese Direktive akzeptiert nur ganze Zahlen e instances lt number_of_conn
127. ion in Red Hat Enterprise Linux benutzt Internet Key Exchange IKE das ein von IETF implementiertes Protokoll ist Es ist f r gleichzeitige Authentifi zierung und sichere Verbindungen zwischen Systemen bestimmt Die Red Hat Enterprise Linux Implementierung von IPsec verwendet IKE damit die Schl ssel von den Hosts im ganzen Internet gemeinsam verwendet werden k nnen Der racoon Schl ssel Deamon bernimmt die IKE Schl sselvergabe und den Austausch 6 10 Installation von IPsec Die Implementierung von IPsec erfordert dass das ipsec tools RPM Paket auf allen IPsec Hosts wenn eine Host zu Host Konfiguration verwendet wird oder Routers wenn eine Netzwerk zu Netzwerk Konfiguration verwendet wird installiert wird Das RPM Paket enth lt wichtige Bibliotheken Deamons und Konfigurationsdateien die bei der Einrichtung der IPsec Verbindung helfen e lib libipsec so Bibliothek die die PF_KEY Trusted Key Management Socket Schnittstelle zwischen dem Linux Kernel und der IPsec Implementierung enth lt die in Red Hat Enterprise Linux verwendet wird Kapitel 6 Virtuelle Private Netzwerke 63 sbin setkey ver ndert das Schliisselmanagement und die Sicherheitsattribute von IPsec im Kernel Dieser Befehl wird vom racoon Schliisselmanagement Daemon kontrolliert Fiir weitere Informationen ber set key siehe set key 8 man Seite e sbin racoon der IKE Schliisselmanagement Daemon der dazu verwendet wird die Sicherheitszusamme
128. ion und die Handb cher zu Stronghold verf gbar unter http www redhat com docs manuals stronghold Unten finden Sie eine Liste mit Konfigurationsoptionen die Administratoren nur mit Vorsicht ver wenden sollten Kapitel 5 Server Sicherheit 49 5 5 1 FollowSymLinks Diese Direktive ist standardm ig aktiviert seien Sie also vorsichtig wenn Sie symbolische Links in den Dokument Root des Webservers erstellen Es ist zum Beispiel keine gute Idee einen symboli schen Link zu zu setzen 5 5 2 Die Indexes Direktive Diese Direktive ist standardm ig aktiviert ist jedoch unter Umst nden nicht w nschenswert Wenn Sie nicht m chten dass Benutzer Dateien auf dem Server durchsuchen ist es sinnvoll diese Direktive zu entfernen 5 5 3 Die UserDir Direktive Die UserDir Direktive ist standardm ig deaktiviert da sie das Bestehen eines Benutzeraccounts im System best tigen kann Wenn Sie das Browsen von Verzeichnissen auf dem Server durch Benutzer erlauben m chten sollten Sie die folgenden Direktiven verwenden UserDir enabled UserDir disabled root Diese Direktiven aktivieren das Browsen von Verzeichnissen f r alle Benutzer Verzeichnisse au er root Wenn Sie Benutzer zu der Liste deaktivierter Accounts hinzuf gen m chten k nnen Sie eine durch Leerstellen getrennte Liste der Benutzer in die Zeile UserDir disabled einf gen 5 5 4 Entfernen Sie nicht die IncludesNoExec Direktive Standardm ig kann das serverse
129. iptables A INPUT p ALL s 192 168 0 0 24 dport 835 j DROP Unter Kapitel 7 finden Sie weitere Informationen zum Errichten von Firewalls mit dem IPTables Befehl 5 3 5 Verwenden Sie Kerberos Authentifizierung Einer der gr ten M ngel beim Verwenden von NIS f r Authentifizierung ist dass wenn sich ein Be nutzer an einem Computer anmeldet ein Passwort Hash der etc shadow Map ber das Netzwerk verschickt wird Wenn ein Angreifer Zugang zu einer NIS Domain erh lt und Verkehr ber das Netz werk durchschn ffelt k nnen Benutzernamen und Passwort Hashes unbemerkt gesammelt werden Mit gen gend Zeit kann dann ein Passwort Knack Programm schwache Passw rter ermitteln und ein Angreifer kann dann auf einen g ltigen Account im Netzwerk zugreifen Da Kerberos Verschl sselungen mit geheimen Schl sseln einsetzt werden niemals Passwort Hashes ber das Netzwerk versandt was das System erheblich sicherer macht Weitere Informationen ber Kerberos finden Sie im Kapitel Kerberos im Red Hat Enterprise Linux Referenzhandbuch 5 4 Sicherung von NFS Das Network File System oder NFS ist ein RPC Service der zusammen mit portmap und anderen verwandten Services verwendet wird um Client Maschinen Dateisysteme die vom Netzwerk aus zu g ngig sind bereitzustellen Weitere Informationen zur Funktion von NFS finden Sie im Kapitel Net work File System NFS im Red Hat Enterprise Linux Referenzhandbuch Weitere Informationen zur Konfigura
130. ird auch wenn das System neu hochgefahren wird Kapitel 7 Firewalls 73 7 3 Ubliche iptables Filterung Fremde Angriffe von einem LAN fernzuhalten ist ein wichtiger Aspekt der Netzwerksicherheit wenn nicht der Wichtigste Die Integrit t eines LAN sollte durch die Verwendung strenger Firewall Regeln vor b sartigen ausw rtigen Benutzern gesch tzt werden Mit Standard Richtlinien die alle einge henden ausgehenden und weitergeleiteten Pakete blockieren ist es allerdings Firewall Gateway und internen LAN Benutzern nicht m glich miteinander oder extern zu kommunizieren Damit die Benut zer Netzwerk bezogene Funktionen aus ben und Netzwerk Anwendungen verwenden k nnen m s sen die Administratoren bestimmte Ports f r die Kommunikation ffnen Um Beispielsweise Zugang zu Part 80 an der Firewall zu erm glichen f gen Sie die fogende Regel hinzu iptables A INPUT p tcp m tcp sport 80 j ACCEPT iptables A OUTPUT p tcp m tcp dport 80 j ACCEPT Dies erm glicht normales Webbrowsing von Websites die ber Port 80 kommunizieren Um Zugang zu sicheren Websites zu erhalten wie z B https www example com m ssen Sie auch Port 443 ffnen iptables A INPUT p tcp m tcp sport 443 j ACCEPT iptables A OUTPUT p tcp m tcp dport 443 j ACCEPT Es mag Zeiten geben in denen Sie einen Zugang zum LAN von au erhalb des LAN herstellen wol len F r einen verschl sselten Zugang von au en k nnen Sie sichere Services wi
131. ird jedes Mal automatisch erzeugt wenn die IPsec Verbindung aktiviert wird Racoon IKE daemon configuration file See man racoon conf for a description of the format and entries path include etc racoon path pre_shared_key etc racoon psk txt path certificate etc racoon certs sainfo anonymous pfs_group 2 lifetime time 1 hour encryption_algorithm 3des blowfish 448 rijndael authentication_algorithm hmac_shal hmac_md5 compression_algorithm deflate include etc racoon X X X X conf Im folgenden sehen Sie die Konfigurationsdatei f r die Verbindung zum Remote Netzwerk Die Datei tr gt den Namen X X X X conf ersetzen Sie X X X X mit der IP Adresse des Remote IPsec Routers Bachten Sie dass diese Datei automatisch erzeugt wird wenn der IPsec Tunnel aktiviert wird Sie sollte nicht direkt bearbeitet werden remote X X X X exchange_mode aggressive main my_identifier address proposal encryption_algorithm 3des hash_algorithm shal authentication_method pre_shared_key dh_group 2 Bevor die IPsec Verbindung gestartet wird sollte IP Forwarding beim Kernel eingestellt werden Ak tivieren Sie IP Forwarding als Root bei einem Shell Prompt 1 Bearbeiten Sie etc sysctl conf und stellen Sie net ipv4 ip_forward to 1 ein 2 Fiihren Sie den folgenden Befehl aus damit die Anderung wirksam wird sysctl p etc sysctl conf Starten Sie die IPsec Verbindung indem Sie entweder di
132. ist jedoch zum gle ichzeitigen Laufen auf mehreren Computern entwickelt und erstellt so eine Distributed Passwort Cracking Attacke Es ist erh ltlich unter http www ussrback com distributed htm A Achtung Bitte holen Sie sich stets eine schriftliche Genehmigung ein bevor Sie Passw rter innerhalb eines Unternehmens zu knacken versuchen Kapitel 4 Workstation Sicherheit 29 4 3 2 2 Password Aging Password Aging ist eine weitere Methode die von Systemadministratoren verwendet wird um un sichere Passw rter in einem Unternehmen zu verhindern Password Aging bedeutet dass Benutzer nach einer bestimmten Zeit gew hnlich 90 Tage aufgefordert wird ein neues Passwort festzulegen Die Theorie dahinter ist dass wenn ein Benutzer in periodischen Abst nden dazu aufgefordert wird sein Passwort zu ndern ein geknacktes Passwort einem Cracker nur f r eine gewisse Zeit n tzlich ist Der Nachteil von Password Aging ist jedoch dass Benutzer eher dazu neigen sich die Passw rter aufzuschreiben Es gibt zwei Programme f r das Festlegen von Password Aging unter Red Hat Enterprise Linux den Befehl chage oder die grafische Applikation User Manager redhat config users Die Option M des Befehls chage legt die maximale Anzahl von Tagen fest f r die das Passwort g ltig ist Wenn Sie zum Beispiel festlegen wollen dass ein Benutzer Passwort nach 90 Tagen ung ltig wird geben Sie den folgenden Befehl ein chage M 90 lt username gt
133. itige Includes Modul keine Befehle ausf hren Es wird davon ab geraten diese Einstellungen zu ndern au er wenn unbedingt notwendig da dies einem Angreifer erm glichen k nnte Befehle auf dem System auszuf hren 5 5 5 Schr nken Sie Berechtigungen f r ausf hrbare Verzeichnisse ein Stellen Sie sicher dass Sie Schreibberechtigungen f r Verzeichnisse die Skripte oder CGIs enthalten nur f r den Root Benutzer vergeben Dies erreichen Sie durch die folgenden Befehle chown root lt directory_name gt chmod 755 lt directory_name gt Pr fen Sie au erdem dass jegliche Skripte die Sie ausf hren auch wie beabsichtigt funktionieren bevor sie in Produktion gegeben werden 5 6 Sicherung von FTP Das File Transport Protocol FTP ist ein lteres TCP Protokoll das zum bertragen von Dateien ber ein Netzwerk entwickelt wurde Da alle Transaktionen mit dem Server einschlie lich der Be nutzerauthentifizierung unverschl sselt ablaufen wird es als ein unsicheres Protokoll betrachtet und sollte sorgf ltig konfiguriert werden Red Hat Enterprise Linux bietet drei FTP Server 50 Kapitel 5 Server Sicherheit gssftpd Ein f r Kerberos aktivierte xinetd basierter FTP Daemon der keine Authentifizierungsinformationen ber das Netzwerk bertr gt Red Hat Content Accelerator tux Ein Kernel Space Webserver mit FTP F higkeiten vsftpd Eine einzelstehende sicherheitsorientierte Implementierung des FTP Serv
134. ken und Tools in einem Paket integrieren behandelt Einige IDS sind wissens basiert und warnen im Voraus Sicherheitsadministratoren vor einem Ein bruch mit Hilfe einer Datenbank ber h ufige Attacken Alternativ dazu gibt es verhaltens basierte IDS die Ressourcen auf Anomalien untersuchen was meistens ein Zeichen f r b sartige Aktivit ten ist Einige IDS sind Standalone Services die im Hintergrund arbeiten und passiv auf Aktivit ten abh ren und alle verd chtigen Pakete von au en aufzeichnen Andere kombinieren Standard System Tools ver nderte Konfigurationen und detailliertes Logging mit der Intuition eines Administrators und der Erfahrung ein leistungsstarkes Einbruch Erkennungs Kit zu erstellen Das Auswerten dieser vielen Intrusion Detection Technologien kann Ihnen beim Finden des f r Sie richtigen Programms helfen 9 2 Host basierte IDS Ein host basiertes IDS analysiert verschiedene Gebiete zur Feststellung von Missbrauch b sartige oder missbr uchliche Aktivit ten innerhalb des Netzwerks oder Einbruch von au en Host basierte IDS konsultieren verschiedene Arten von Log Dateien Kernel System Server Netzwerk Firewall und viele mehr und vergleichen diese Logs mit einer internen Datenbank die h ufige Signaturen 88 Kapitel 9 Intrusion Detection bekannter Attacken enth lt Host basierte IDS f r UNIX und Linux machen starken Gebrauch von syslog und dessen F higkeit geloggte Vorkommnisse je nach Schwere einzu
135. kzuf hren A 1 2 bertragungs Betrachtungen In einem Broadcast Netzwerk sendet ein Knoten ein Paket das durch jeden Knoten geht bis der Empf nger das Paket annimmt Jeder Knoten im Netzwerk kann dieses Datenpaket empfangenm bis der Empf nger dieses verarbeitet In einem Broadcast Netzwerk werden alle Pakete auf diese Weise gesendet In einem Switch Netzwerk werden Pakete nicht weitergeleitet sondern in einer Switched Hub ver arbeitet die dann wiederum eine direkte Verbindung zwischen den Sender und Empf ngerknoten ber Unicast bertragungsprinzipien herstellt Dies eliminiert die Notwendigkeit Pakete ber jeden Knoten zu senden und verringert so das Verkehrsaufkommen Das Switched Netzwerk verhindert au erdem ein Abfangen von Paketen durch b sartige Knoten oder Benutzer In einem Broadcast Netzwerk in dem jeder Knoten ein Paket auf dem Weg zum Zielemp f nger erh lt k nnen b sartige Benutzer deren Ethernet Ger t in den Promiscuous Modus versetzen und alle Pakete annehmen egal ob die Daten f r diesen bestimmt sind oder nicht Im Promiscuous Modus kann eine Sniffer Applikation zum Filtern Analysieren und Rekonstruieren von Paketen f r Passw rter pers nliche Daten und mehr verwendet werden Fortgeschrittene Sniffer Applikationen k nnen solche Informationen in Textdateien speichern und diese eventuell an willk rliche Quellen z B die E Mail Adresse des Angreifers senden Ein Switched Netzwerk ben tigt einen Netzwe
136. leme SNMP Datei Sharing etc Obwohl er nicht soviele Eigenschaften wie Nessus besitzt ist VLAD auf jeden Fall das Testen wert Hinweis VLAD wird nicht mit Red Hat Enterprise Linux mitgeliefert und wird nicht unterst tzt Die Erw hnung in diesem Handbuch gilt nur als Referenz f r Benutzer die an dieser beliebten Applikation interessiert sind Weitere Informationen zu VLAD finden Sie auf der Webseite des RAZOR Teams unter folgender URL http razor bindview com tools vlad index shtml 8 3 5 Ihre zuk nftigen Bed rfnisse vorausplanen Abh ngig von Ihrem Ziel und den Ressourcen gibt es viele Tools auf dem Markt Es gibt Tools f r Wireless Netzwerke Novell Netzwerke Windows Systeme Linux Systeme und vieles mehr Einen weiteren wichtigen Teil der Analysen kann auch diephysische Sicherheit Mitarbeiter berwachung oder Voice PBX Netzwerkanalysen sein Sie k nnen neue Konzepte wie das War Walking das Scannen der Perimeter der physischen Struktur des Unternehmens auf Schwachstellen im Wireless Netzwerk erforschen und in Ihre Analysen bernehmen Fantasie und Blo stellung sind die einzi gen Grenzen bei der Planung und Durchf hrung von Schwachstellenanalysen 84 Kapitel 8 Schwachstellenanalyse IV Eindringung und Gegenma nahmen Es ist unvermeidbar dass ein Netzwerk einem Einbruch zur Last f llt oder Netzwerk Ressourcen missbraucht werden Dieser Abschnitt spricht pro aktive Ma nahmen an die ein Administrator
137. lexe Routing und Forwarding Regeln mit denen Administratoren eingehenden Verkehr an bestimmte Services an bestimmten Adressen und Ports segmentieren k nnen sowie nur dem LAN erlauben k nnen auf interne Services zuzugreifen was wiederum IP Spoofing verhindert Weitere Informationen ber das Implementieren von iptables finden Sie unter Kapitel 7 A 2 Hardware Sicherheit Laut einer im Jahre 2000 vom FBI und CSI Computer Security Institute durchgef hrten Studie erfolgten ber siebzig Prozent aller gemeldeten Angriffe auf empfindliche Daten und Ressourcen von innerhalb des jeweiligen Unternehmens Das Implementieren einer internen Sicherheits Police ist daher genauso wichtig wie eine externe Strategie Dieser Abschnitt erkl rt einige der Schritte die Administratoren und Benutzer zur Sicherung der Systeme vor internen Angriffen durchf hren k nnen Mitarbeiter Workstations sind relativ unwahrscheinliche Angriffsziele f r entfernte Attacken ins besondere solche hinter einer richtig konfigurierten Firewall Es k nnen jedoch einige Schutzma nahmen implementiert werden um interne oder physische Attacken auf individuelle Workstation Ressourcen zu verhindern Moderne Workstation und Heim PCs haben BIOSse die Systemressourcen auf Hardwareebene kon trollieren Workstation Benutzer k nnen administrative Passw rter innerhalb des BIOS festlegen um b sartige Benutzer am Zugriff oder am Booten des Systems zu hindern BIOS Passw rter verhin
138. ls einen wichtigen Teil des Gesamtkapitals Mehrere Begriffe und Metrics sind in unseren Arbeitsalltag ein geflossen wie zum Beispiel Total Cost of Ownership TOC und Service Qualit t QoS Innerhalb dieser Metrics kalkulieren Unternehmen Aspekte wie Datenintegrit t und Hochverf gbarkeit als Teil ihrer Planung und verarbeiten Managementkosten In einigen Industriezweigen wie zum Beispiel E Commerce ist die Verf gbarkeit und Verl sslichkeit von Daten der entscheidende Faktor zwischen Erfolg und Scheitern 1 1 1 Wie entwickelte sich die Computersicherheit Viele Leser erinnern sich vielleicht an den Film Wargames mit Matthew Broderick in seinem Por tr t als High School Sch ler der in den Supercomputer des US Verteidigungsministeriums DoD einbricht und unabsichtlich fast einen Atomkrieg ausl st In diesem Film verwendet Broderick sein Modem um sich in den DoD Computer mit dem Namen WOPR einzuw hlen und mit der KI Kiinst liche Intelligenz Software die s mtliche Atomwaffenlager steuert Spiele zu spielen Dieser Film kamw hrend des Kalten Krieges zwischen der ehemaligen Sovjetunion und den USA heraus und wurde als Erfolg in der Theaterfassung 1983 betrachtet Die Beliebtheit dieses Films inspirierte viele einige der Methoden des jungen Protagonisten zum Einbruch in Systeme zu implementieren ein schlie lich des war dialing eine Methode zum Suchen von Telefonnummern f r analoge Modem verbindungen in einem bestimmten Vo
139. m glich und beachten Sie dabei die St rken und Schw chen Lesen Sie die README Datei oder man Seite zum Tool Suchen Sie zus tzlich dazu im Internet nach weiteren Informationen wie Artikel Schritt f r Schritt Anleitungen und Mailinglisten f r ein Tool Die untenstehend beschriebenen Tools sind nur ein kleines Beispiel der erh ltlichen Tools 8 3 1 Scannen von Hosts mit Nmap Nmap ist ein beliebtes Tool das mit Red Hat Enterprise Linux ausgeliefert wird und zum Feststellen eines Netzwerk Layouts verwendet werden kann Nmap ist schon seit vielen Jahren auf dem Markt und ist das wahrscheinlich am h ufigsten verwendete Tool f r die Sammlung von Informationen Es 82 Kapitel 8 Schwachstellenanalyse enth lt eine ausgezeichnete man Seite die detaillierte Informationen zu Optionen und Verwendung bietet Administratoren k nnen Nmap in einem Netzwerk verwenden um Hosts und offene Ports auf diesen Systemen zu finden Nmap ist ein kompetenter erster Schritt bei der Schwachstellenanalyse Sie k nnen die Hosts in Ihrem Netzwerk aufzeigen und eine Option angeben die versucht zu bestimmen welches Betriebssystem auf einem bestimmten Host l uft Nmap ist eine gute Grundlage f r das Einf hren sicherer Services und das Abstellen unbenutzter Services 8 3 1 1 Nmap verwenden Nmap kann von einem Shell Prompt oder von einer grafischen Benutzeroberfl che aus verwendet werden Geben Sie an einem Shell Prompt den Befehl nmap gefolgt vom Hostn
140. m glich Mitarbeiter mit reichhaltigem Wissen auf vielen Gebieten der Informationssicherheit zu besch ftigen aber es ist relativ schwierig Experten auf nur wenigen Gebieten zu behalten Dies liegt haupts chlich daran dass die Informationssicher heit st ndige Aufmerksamkeit und Fokus verlangt Informationssicherheit ist ein st ndig im Wandel begriffener Prozess 8 1 Denken wie der Feind Angenommen Sie verwalten ein Firmennetzwerk Solche Netzwerke bestehen meistens aus Betriebs systemen Applikationen Servern Netzwerk berwachung Firewalls Intrusion Detection Systemen und vielem mehr Stellen Sie sich jetzt vor Sie m ssen f r alles auf dem neuesten Stand sein Durch die Komplexit t heutiger Software und Netzwerkumgebungen sind Schwachstellen und Bugs garan tiert Mit allen Patches und Updates f r ein gesamtes Netzwerk auf dem Laufenden zu sein ist eine gewaltige Aufgabe innerhalb eines gro en Unternehmens mit heterogenen Systemen Wenn Sie nun diese gewaltigen Anforderungen an das Wissen mit der Aufgabe immer auf dem neue sten Stand zu sein kombinieren sind Vorf lle Systemeinbr che Datenkorruption und Serviceunter brechungen unvermeidbar Um diese Sicherheitstechnologien zu verbessern und Sie beim Schutz der Systeme Netzwerke und Daten zu unterst tzen sollten Sie sich in einen Cracker versetzen und die Sicherheit der Systeme durch das Suchen von Schwachstellen testen Vorbeugende Schwachstellenanalysen f r Ihre eige
141. m Angreifer erfordert dass er TCP IP SYN ACK Nummern voraussagt um eine Verbindung zum Zielsystem zu koordinieren Es sind jedoch verschiedene Tools erh ltlich die dem Cracker bei diesem Angriff helfen k nnen Spoofing ist abh ngig von den auf dem System laufenden Services wie rsh telnet FTP und andere die Source basierte Authentifizierungstechniken verwenden die im Vergleich zu PKI oder anderen Formen der Verschl sselung wie ssh oder SSL TLS nicht empfohlen werden Diese Art Angriff funktioniert am besten mit Klartext bertragungsprotokollen wie telnet FTP und HTTP bertragungen Angreifer von au en m ssen Zugang zu einem kompromittierten System in einem LAN haben um solch eine Attacke durchf hren zu k nnen meistens hat der Cracker bereits aktiv eine Attacke ausgef hrt wie z B IP Spoofing oder Man in the Middle Vorbeugende Ma nahmen umfassen Services mit verschl sseltem Schl ssel Austausch einmalige Passw rter oder verschl sselte Authentifizierung gegen das Erschn ffeln von Passw rtern verst rkte Verschl sselung w hrend der bertragung ist auch angeraten Anhang B Haufige Schwachstellen und Attacken Sicherheitsloch Service Anfalligkeiten Ein Angreifer findet einen Fehler oder ein Schlupfloch in einem Service der ber das Internet l uft Durch diese Anf lligkeit kann der Angreifer das gesamte System und alle Daten darauf sowie weitere Systeme im Netzwerk kompromittieren
142. m GRUB Men auf den Editor oder die Befehlszeilen Schnittstelle zugreifen wollen erst p dr cken und dann das GRUB Passwort eingeben Diese L sung h lt jedoch Angreifer nicht davon ab in ein unsicheres Betriebssystem in einer Dual Boot Umgebung zu booten Hierf r m ssen Sie einen anderen Teil der Datei boot grub grub conf bearbeiten Suchen Sie die Zeile t it le des unsicheren Betriebssystems und f gen Sie direkt darunter eine Zeile mit dem Befehl lock ein F r ein DOS System sollte die Zeile hnlich wie folgt beginnen title DOS lock Bd Achtung Sie m ssen die Zeile password im Hauptabschnitt der Datei boot grub grub conf haben damit dies funktioniert Ansonsten kann ein Angreifer auf den GRUB Editor zugreifen und die lock Zeile entfernen Wenn Sie ein anderes Passwort f r einen bestimmten Kernel oder ein Betriebssystem festlegen m ch ten f gen Sie eine Lock Zeile gefolgt von einer Passwortzeile in den Abschnitt ein Jeder Abschnitt den Sie mit einem einzigartigen Passwort sch tzen m chten sollte mit Zeilen hnlich dem folgenden Beispiel beginnen title DOS lock password md5 lt password hash gt 4 2 2 2 Passwortschutz f r LILO Der LILO Bootloader ist wesentlich einfacher als GRUB Er bietet keine Befehls Schnittstelle so dass Sie sich keine Sorgen dar ber machen m ssen das ein Angreifer interaktiven Zugang zum System erh lt bevor der Kernel geladen wird Es besteht jedoch immer noch die Gefah
143. men der lteren Kernel RPM Hinweis Das Entfernen des alten Kernels ist nicht dringend n tig chic Bevor Sie jegliche Sicherheits Errata installieren stellen Sie sicher dass Sie alle Anweisungen im Errata Report gelesen und diese genau befolgt haben Allgemeine Anweisungen ber das Anwenden von nderungen durch ein Errata Update finden Sie unter Abschnitt 3 1 3 3 1 3 Anwenden der nderungen Nachdem Sie die Sicherheitserrata ber das Red Hat Network oder die Red Hat Errata Webseite her untergeladen und installiert haben ist es wichtig die ltere Software zu stoppen und die neue Soft ware zu verwenden Die Vorgehensweise h ngt von der Art der Software ab die aktualisiert wurde Die folgende Liste stellt die allgemeinen Kategorien der Software dar und gibt Anweisungen f r das Verwenden der aktualisierten Versionen nach einem Paket Upgrade 18 Kapitel 3 Sicherheits Updates e Hinweis Im allgemeinen ist ein Neustart der beste Weg sicherzustellen dass die aktuellste Version eines Softwarepakets verwendet wird Diese Option ist jedoch nciht immer f r den Systemadministrator verf gbar Applikaitonen User Space Applikationen sind alle Programme die durch einen Systembenutzer initiiert wer den Gew hnlicherweise werden diese Applikationen nur verwendet wenn ein Benutzer Skript oder automatisierter Task diese startet und nicht lange ausf hrt Wird solch eine Applikation aktualisiert stoppen Sie alle Instanzen
144. methodologien wird dieses Handbuch um diese erweitert 2 1 Senden Sie uns Ihr Feedback Wenn Sie einen Tippfehler im Red Hat Enterprise Linux Sicherheitshandbuch finden oder eine Idee haben wie wir dieses Handbuch verbessern k nnen lassen Sie uns dies bitte wissen Schreiben Sie an Bugzilla http bugzilla redhat com bugzilla und geben Sie die Komponenten rhel sg an Vergessen Sie dabei nicht die Identifikationsnummer des Handbuchs anzugeben rhel sg DE 3 Print RHI 2003 07 25T17 12 Durch Angeben dieser Handbuch Identifikationsnummer wissen wir dann genau welche Version des Handbuches Sie haben Wenn Sie einen Vorschlag zur Verbesserung der Dokumentation haben sollten Sie uns hierzu m g lichst genaue Angaben machen Wenn Sie einen Fehler gefunden haben geben Sie bitte die Nummer des Abschnitts und etwas Kontext an damit wir diesen leicht finden k nnen vi Einf hrung l Eine allgemeine Einleitung in Sicherheit Dieser Abschnitt beschreibt Informationssicherheit die Geschichte und die Industrie die daraus ent standen ist Dieser Abschnitt schneidet auch einige Risiken an auf die Computer Benutzer und Ad ministratoren stoBen Inhaltsverzeichnis 1 Uberblick iiber Sicherheit 2 Angreifer und Schwachstellen ccccsssssssssssssssssssssssssssssssessessessssseesesessssssevasesssesessessssssssssesess 7 redhat Kapitel 1 berblick ber Sicherheit Durch die wachsende Abh ngigkeit von leistungsstark
145. n BIOS und Bootloader Sicherheit Kann ein unbefugter Benutzer physisch auf den Rechner zu greifen und in den Einzelbenutzer oder Rettungsmodus booten ohne dass nach einem Passwort gefragt wird Passwort Sicherheit Wie sicher sind die Passw rter f r die Benutzeraccounts auf dem Com puter Administrative Kontrolle Wer hat alles einen Account auf dem System und wieviel administra tive Kontrolle ist ihnen zugewiesen Verf gbare Netzwerk Services Welche Services h ren das Netzwerk nach Anfragen ab und sollten diese wirklich alle aktiv sein Pers nliche Firewalls Welche Art von Firewall wenn berhaupt ist n tig Kommunikationstools mit erweiterter Sicherheit Welche Tools sollten zur Kommunikation zwis chen Workstations verwendet werden und welche sollten vermieden werden 4 2 BIOS und Bootloader Sicherheit Passwort Schutz f r das BIOS oder BIOS quivalent und den Bootloader kann unbefugte Benutzer die physischen Zugang zu Ihren Systemen haben davon abhalten externe Medien zu booten oder sich durch den Einzelbenutzermodus als Root anzumelden Die Sicherheitsma nahmen die man durchf h ren sollte um vor solchen Attacken gesch tzt zu sein h ngt zum einen von den Informationen ab die auf der Workstation gespeichert sind und zum anderen vom Aufstellungsort des Rechners Wenn zum Beispiel ein Computer auf einer Messe verwendet wird und keine empfindlichen Daten enth lt ist es ni
146. n Das Verlassen auf Fremd sprachen f r sichere Passw rter ist h ufig wenig hilfreich Hier einige Beispiele f r schlechte Passw rter cheguevara bienvenidol ldumbKopf Verwenden Sie keine Hacker Begriffe Wenn Sie denken Sie sind auf der sicheren Seite indem Sie Hacker Begriffe auch 1337 LEET genannt f r Ihre Passw rter verwenden sollten Sie sich das nocheinmal berlegen Viele Wortlisten enthalten LEET Begriffe Hier einige Beispiele f r schlechte Passw rter H4X0R 1337 Verwenden Sie keine pers nlichen Informationen Halten Sie sich von pers nlichen Infor mationen fern Wenn der Angreifer Sie kennt kann dieser Ihr Passwort leichter herausfinden wenn das Passwort z B folgende Informationen enth lt Hier einige Beispiele f r schlechte Passw rter Ihren Namen Den Namen von Haustieren Die Namen von Familienmitgliedern Geburtstage Ihre Telefonnummer oder Postleitzahl Drehen Sie keine erkennbaren W rter um Gute Passwortprogramme drehen gemeinsprach liche W rter um das Invertieren von schlechten Passw rtern machen diese also nicht sicherer Hier einige Beispiele f r schlechte Passw rter ROX4H nauj 9 DS Schreiben Sie sich Ihr Passwort nicht auf Bewahren Sie Ihr Passwort niemals auf Papier auf Es ist wesentlich sicherer sich das Passwort zu merken Verwenden Sie nie das gleiche Passwort f r alle Ihre Rechner Es ist wichtig dass Sie
147. n da auch hiermit offene Ports mit Services verkn pft werden lsof i grep 834 Unten finden Sie den betreffenden Teil der Ausgabe f r diesen Befehl ypbind 653 o 7u IPv4 1319 TCP 834 LISTEN ypbind 655 0 7u IPv4 1319 TCP 834 LISTEN ypbind 656 0 7u IPv4 1319 TCP 834 LISTEN ypbind 657 0 7u IPv4 1319 TCP 834 LISTEN Wie Sie sehen k nnen diese Tools eine Menge Informationen ber den Status von Services auf ei nem Computer geben Diese Tools sind flexibel und liefern eine Vielzahl von Informationen zu den Netzwerkservices und zur Konfiguration Es wird deswegen dringend empfohlen die man Seiten zu lsof netstat nmap und services zu lesen redhat Kapitel 6 Virtuelle Private Netzwerke Unternehmen mit mehreren Zweigstellen sind h ufig ber spezielle Leitungen miteinander verbun den um Effizienz und Schutz empfindlicher Daten zu gew hren Viele Firmen nutzen zum Beispiel Frame Relay oder Asynchronous Transfer Mode ATM Leitungen als End to End Netzwerkl sung um B ros miteinander zu verbinden Dies kann eine teurere L sung darstellen insbesondere f r klei ne bis mittlere Unternehmen die sich vergr ern jedoch nicht die hohen Kosten f r hochrangige Digitalschaltungen in Kauf nehmen wollen Ingenieure haben eine kosteneffektive L sung in der Form von Virtuellen Privaten Netzwerken VPN f r dieses Problem gefunden Dem Prinzip besonders zugewiesener Digitalschaltungen folgend er m glichen VPNs gesi
148. n Ethernet Verbindungen die diese physische Topologie einsetzen Aus diesem 104 Anhang A Hardware und Netzwerschutz Grund werden Ringe allgemein eher selten verwendet abgesehen von Legacy oder Institutionalen Systemen mit einer groBen Anzahl von Knoten z B eine Universitat A 1 1 2 Lineare Bus Topologie Die Linear Bus Topologie besteht aus Knoten die mit einem linearen Kabel das mit Endwiderst n den abgeschlossen ist Backbone verbunden sind Die Linear Bus Topologie ben tigt die wenigsten Kabel und Netzwerkausr stung und l sst dies somit zur kosteneffektivsten L sung werden Der Liner Bus ist jedoch von der st ndigen Verf gbarkeit des Backbone abh ngig und wird so zu einem einzigen Ausfallpunkt falls dieser offline genommen werden muss oder die Leitung gekappt wird Linear Bus Topologien werden h ufig in Peer to Peer LANs mit Koaxialkabeln und 50 Ohm Endwiderst nden an beiden Enden des Buses eingesetzt A 1 1 3 Stern Topologie Die Stern Topologie besteht aus einem zentralen Punkt an den die Knoten angeschlossen sind und durch den die Kommunikation weitergeleitet wird Dieser zentrale Punkt als Hub bezeichnet kann entweder broadcasted oder switched sein Diese Topologie f hrt einen einzigen Ausfallpunkt in der zentralisierten Netzwerkharde die die Knoten verbindet ein Durch diese Zentralisierung sind jedoch Netzwerkprobleme die Teile des oder das gesamte LAN beeintr chtigen leicht auf diese eine Quelle zur c
149. n Sie die Verbindung Hierf r f gen Sie die folgende Zeile in die Datei etc hosts deny ein in telnetd ALL severity emerg Dies verwendet die standardm ige authpriv Logging Funktion jedoch wird die Priorit t vom Stan dardwert info auf emerg hinaufgesetzt wodurch Log Nachrichten direkt an die Konsole weiterge geben werden 5 1 2 Erh hen der Sicherheit mit xinetd Der xinetd Super Server ist ein weiteres n tzliches Tool zur Zugriffskontrolle auf die unterge ordneten Server In diesem Abschnitt wird beschrieben wie xinetd eingesetzt werden kann um einen Fang Service einzurichten und die Anzahl der Ressourcen die zur Unterbindung von Service Ablehnungs Angriffen in jedem beliebigen xinetd Service zu Verf gung stehen zu kontrollieren Eine eingehendere Liste der verf gbaren Optionen finden Sie auf den man Seiten zu xinetd und xinetd conf 5 1 2 1 Eine Falle aufstellen Ein wichtiges Feature von xinetd ist die F higkeit Hosts zu einer globalen no_access Liste hin zuf gen zu k nnen Den Hosts auf dieser Liste werden Verbindungen zu Services die von xinetd verwaltet werden f r einen bestimmten Zeitraum oder bis xinetd neu gestartet wird verweigert Dies wird durch das SENSOR Attribut erreicht Durch diese Methode k nnen Sie auf einfache Weise Hosts blockieren die den Server auf offene Ports absuchen Der erste Schritt f r das Einrichten des SENSOR ist einen Service auszuw hlen den Sie nicht f r eine Verwendung e
150. n bei der Realisierung von standardm igen Sicherheitsvorg ngen normalerweise gewisse Formen angepasster Mechanismen verwendet So k nnen Privilegien zug nglich gemacht und Netzwerke auf Benutzer beschr nkt werden die autorisiert identifizierbar und r ckverfolgbar sind Red Hat Enterprise Linux enth lt mehrere kompetente Tools die Systemadministratoren und Sicherheitstechnikern bei Fragen der Netzwerklevel Zugangskontrolle unterst tzen k nnen Abgesehen von VPN L sungen wie CIPE oder IPsec siehe Kapitel 6 sind Firewalls einer der Kern bestandteile bei der Realisierung von Netzwersicherheit Einige Vertreiber bieten Firewall L sungen an die f r alle Bereiche des Marktes geeignet sind vom Heimben tzer wo ein PC gesch tzt wird bis hin zu L sungen f r Datenzentren wo wichtige Unternehmensinformationen gesch tzt werden Firewalls k nnen alleinstehende Hardware L sungen sein wie die Firewall Einrichtungen von Cisco Nokia und Sonicwall Es gibt aber auch gesch tzte Software Firewall L sungen f r den Heim und Firmenbereich vonVertreibern wie z B Checkpoint McAfee und Symantec Neben den Unterschieden zwischen Hardware und Software Firewalls gibt es auch Unterschiede in der Funktionsweise von Firewalls die die verschiedenen L sungen voneinander abheben Tabelle 7 1 erkl rt drei g ngige Firewall Typen und wie sie funktionieren Network Address Translation NAT reiht Subnetzwerke von internen IP Netzwerken hinter eine
151. name log perm utrw 98 Kapitel 10 Vorfallsreaktion Befehl Funktion Bei Zeigt verschiedene Informationen stat bin netstat ber eine Datei an inklusive Zeitpunkt des letzten Zugriffs Berechtigungen UID und GID Einstellungen und vieles mehr N tzlich f r das Pr fen wann eine ausf hrbare Datei in einem korrumpierten System zuletzt verwendet und oder ver ndert wurde md5sum Berechnet die 128 bit Pr fsummen md5sum usr bin gdm mit dem md5 Hash Algorithmus gt gt md5sum txt Sie k nnen diesen Befehl verwenden um eine Textdatei mit einer Liste aller wichtigen Executables die bei einem Systemeinbruch ver ndert oder ersetzt werden k nnten zu erstellen Leiten Sie die Summen in eine Datei um um eine einfache Datenbank mit Pr fsummen zu erhalten und kopieren Sie dann die Datei auf ein Medium mit Nur Leseberechtigungen wie z B CD ROM Tabelle 10 1 Datei Pr f Tools 10 5 Wiederherstellen von Ressourcen W hrend eine Vorfallsreaktion ausgef hrt wird sollte das CERT Team auf Daten und Systemwieder herstellung hinarbeiten und diese untersuchen Es liegt jedoch an der Natur des Einbruchs der festlegt wie bei der Wiederherstellung zu verfahren ist Backups oder redundante Systeme offline haben sich als unermesslich wertvoll erwiesen Um Systeme wiederherzustellen muss das Team jegliche ausgefallene Systeme oder Applikationen wie z B Authentifitzierungsserver datenbankserver und alle ande
152. nation statischer Link Schl ssel und ver schl sselter bertragung zur Erschaffung eines sicheren Tunnels ber Tr gernetzwerken wie dem Internet Die Verwendung statischer Link Schl ssel bietet einen allgemeinen Referenzpunkt f r zwei CIPE aktivierte Netzwerke zur sicheren Informations bertragung Es ist daher wichtig dass beide CIPE Netzwerk Gateways den exakt gleichen Schl ssel teilen oder die CIPE Kommunikation ist nicht m glich Das Generieren von CIPE Schl sseln erfordert Wissen dar ber welche Schl ssel miteinander kom patibel sind Alphanumerische Zufallsgeneratoren funktionieren nicht Statische Schl ssel m ssen 128 Bit 32 Zeichen Strings enthalten Diese k nnen durch Ausf hren des folgenden Befehls erzeugt werden der od verwendet um einen hexadezimalen Schl ssel unter Verwendung des dev random Zufallsgenerators zu erstellen od N 16 dev random t x4 awk print 2 3 4 5 Legen Sie diesen Schl ssel in der Datei etc cipe options cipcb0 f r alle CIPE Server und Clients ab 6 9 IPsec Red Hat Enterprise Linux unterst tzt ein Protokoll zur Verbindung von Remote Hosts und Netzwer ken miteinander das einen sicheren Tunnel auf einem ffentlichen Netzwerk wie dem Internet ver wendet Das Protokoll IPsec genannt kann unter Verwendung einer Host zu Host eine Workstation zu einer anderen oder Netzwerk zu Netzwerk eine LAN WAN zu einer anderen Verbindung im plementiert werden Die IPsec Implementat
153. nd Benachrichtigung von Administratoren bei potentiellen Br chen entwickelt wurde Snort verwendet die Standard 1ibcap Bibliothek und tcpdump als Paket Logging Backend Das beste Feature von Snort zus tzlich zur Funktionalit t ist das flexible Attacken Signatur Subsystem Snort hat eine st ndig aktualisierte Attacken Datenbank die ber das Internet erg nzt und aktualisiert werden kann Benutzer k nnen Signaturen basierend auf Netzwerkattacken erstellen und diese an die Snort Signatur Mailinglisten weitergeben unter http www snort org lists html so dass alle Benutzer von Snort hiervon profitieren Diese Ethik der Community Informationen zu teilen hat Snort zu einem der aktuellsten und robustesten netzwerk basierten IDS gemacht f Hinweis Snort wird nicht mit Red Hat Enterprise Linux ausgeliefert und wird nicht unterst tzt Es wurde in diesem Handbuch als Referenz f r Benutzer die Interesse an der Evaluation dieses Tools haben gegeben Weitere Informationen zu Snort finden Sie auf der offiziellen Webseite unter http www snort org redhat Kapitel 10 Vorfallsreaktion Im Falle das die Sicherheit eines Systems kompromittiert wurde ist eine Vorfallsreaktion notwendig Es liegt in der Verantwortung des Sicherheitsteams schnell und effektiv auf das Problem zu reagieren 10 1 Definition der Vorfallsreaktion Vorfallsreaktion ist eine beschleunigte Reaktion auf ein Ereignis oder einen Vorfall In Bezug auf Informa
154. nen Systeme und Netzwerkressourcen k nnen potentielle Problemstellen aufdecken bevor ein Cracker diese ausnutzen kann Eine Schwachstellenanalyse ist eine interne Pr fung Ihrer Netzwerk und Systemsicherheit Die Er gebnisse zeigen die Vertraulichkeit Integrit t und Verf gbarkeit Ihres Netzwerks auf wie unter Ab schnitt 1 1 4 beschrieben Eine Schwachstellenanalyse beginnt gew hnlicherweise mit einer Erkun dungsphase in der wichtige Daten zum System und Ressourcen gesammelt werden Diese Phase f hrt zur Systembereitschaftsphase in der das Ziel auf alle bekannten Schwachstellen hin gepr ft wird Die se Phase f hrt dann zur Berichterstattungsphase in der die Ergebnisse in die Risiko Kategorien Hoch Mittel und Niedrig eingestuft und Methoden zur Verbesserung der Sicherheit oder Schw chung der Anf lligkeit diskutiert werden 80 Kapitel 8 Schwachstellenanalyse W rden Sie zum Beispiel eine Schwachstellenanalyse fiir Ihr Haus durchf hren w rden Sie wahr scheinlich priifen ob jede Tiir abgeschlossen ist Sie wiirden auch jedes Fenster priifen und sicher stellen dass diese richtig schlie en und abgeschlossen werden k nnen Das gleiche Konzept gilt auch f r Systeme Netzwerke und elektronische Daten B swillige Benutzer sind die Diebe und Vandalen Ihrer Daten Konzentrieren Sie sich auf deren Tools Mentalit t und Beweggr nde denn so k nnen Sie schnell auf deren Taten reagieren 8 2 Definition von Analyse und Test S
155. nen haben Dies geschieht unter anderem durch e Training und Aufkl rung e Katastrophenvorbereitung und Wiederherstellungspl ne e Einstellungs und Separationspl ne e Mitarbeiterregistrierung und Buchhaltung 1 3 Fazit Nachdem Sie jetzt etwas ber die Urspr nge Beweggr nde und Aspekte der Sicherheit gelernt ha ben k nnen Sie nun den richtigen Aktionsplan in Bezug auf Red Hat Enterprise Linux festlegen Es ist wichtig zu wissen welche Faktoren und Bedingungen die Sicherheit ausmachen um eine richtige Strategie planen und implementieren zu k nnen Mit diesen Informationen im Hinterkopf kann der Prozess formalisiert werden und der Weg wird klarer je tiefer Sie in die Details des Sicherheitspro zesses eintauchen redhat Kapitel 2 Angreifer und Schwachstellen Um eine gute Sicherheitsstrategie planen und implementieren zu k nnen m ssen Sie als erstes einige der Wege die entschlossene motivierte Angreifer auskundschaften um Systeme zu beeintr chtigen verstehen Bevor wir Ihnen jedoch diese im Detail beschreiben geben wir Ihnen erstmal einen ber blick ber die Terminologie die zur Identifikation eines Angreifers verwendet wird 2 1 Ein kurzer geschichtlicher berblick ber Hacker Die moderne Bedeutung des Begriffs Hacker geht auf die 60er Jahre und den Massachusetts Institute of Technology MIT Tech Model Railroad Club zur ck der Modelleisenbahnen von gro em Umfang und kleinstem Detail entwickelte Als Ha
156. net Relay Chat 532 533 udp Netwall fiir Notfall Broadcasts 520 udp router route Routing Information Protocol RIP routed 521 ripng Routing Information Protocol fiir Internet Protocol Version 6 IPv6 525 timed Time Daemon timed timeserver 540 tcp uucp uucpd Unix to Unix Copy Services 543 tcp Kerberos Version 5 v5 Remote Login 118 Anhang C Haufige Ports Port Layer_ Name Kommentar 544 tcp kshell Kerberos Version 5 v5 Remote Shell 548 afpovertcp Appletalk Filing Protocol AFP iiber Transmission Control Protocol TCP 556 remotefs Brunhoff s Remote Filesystem RFS rfs_server rfs Tabelle C 2 UNIX spezifische Ports Tabelle C 3 listet Ports die von der Netzwerk und Software Community an die IANA fiir formelle Registrierung in der Portnummernliste weitergegeben wurden Port Layer Name Kommentar 1080 SOCKS Netzwerk Applikations Proxy Services 1236 bvcontrol Garcilis Packeten Remote Configuration Servera rmtcfg 1524 ingreslock Ingres Database Management System DBMS Lock Services 1525 Prospero non priveleged 1645 datametrics Datametrics old radius entry old radius 1646 sa msg port sa msg port old radacct entry oldradacct 1649 Kermit Dateitransfer und Management Service 1701 12tp 12f Layer 2 Tunneling Protocol LT2P Layer 2 Forwarding L2F Accounting Service 1813 Radius Accounting Anhang C H ufige Ports 119 Porti Layer_ Name Kommentar 1911 Sta
157. ng ist der Zeitaufwand das System von Grund auf neu aufzubauen Wenn jedoch ein aktuelles Backup System vorhanden ist bei dem Sie nur die neuesten Daten hinzuf gen m ssen wird die Systemaus fallzeit erheblich verringert 10 5 2 Das System mit Patches versehen Die zweite M glichkeit ist die betroffenen Systeme mit einem Patch zu versehen Diese Wieder herstellungsmethode ist gef hrlicher und sollte nur mit gro er Vorsicht durchgef hrt werden Die Gefahr eines Patches anstelle einer Neuinstallation ist das Feststellen ob Sie das System ausreichend von Trojanern Sicherheitsl chern und korrupten Daten gereinigt haben Wenn Sie einen modularen Kernel verwenden kann das Patchen eines Systems noch wesentlich schwieriger werden Die meisten rootkits Programme oder Pakete die ein Cracker hinterl sst um Root Zugang zu Ihrem System zu erhalten trojanische Systembefehle und Shell Umgebungen wurden so entwickelt dass ihre b sarti gen Aktivit ten bei Pr fungen nicht gefunden werden Verwenden Sie die Patch Methode sollten nur vertrauensw rdige Binaries wie zum Beispiel von einer Nur Lese CD ROM verwendet werden 10 6 Den Vorfall melden Der letzte Teil des Vorfallsreaktionsplans ist das Melden des Vorfalls Das Sicherheitsteam sollte sich w hrend des Vorfalls Notizen machen um den Vorfall dann Organisationen wie den rtlichen oder bundesweiten Beh rden oder hersteller bergreifenden Sicherheitsportals wie die Common Vulnera b
158. ngen Es kann weiterer Schaden auftreten wenn die kompromittierte Workstation administrative Berechtigungen f r den Rest des Netzwerkes hat Angreifer oder Gruppen von Angreifern koordinieren eine Attacke auf ein Netzwerk oder Serverressourcen bei der unbefugte Pakete an den Zielcomputer gesendet werden entweder Server Router oder Workstation Dies zwingt die Ressource f r berechtigte Benutzer unverf gbar zu werden Tabelle B 1 H ufige Sicherheitsl cher Workstations und Desktops sind anf lliger f r eine Ausbeutung als Server die von Adminsitratoren verwaltet werden da die Benutzer keine Erfahrung oder nicht das Wissen zur Verhinderung oder Aufdeckung von Einbr chen haben Es ist von oberster Wichtigkeit Einzelpersonen ber die Risiken bei der Installation unberechtigter Software oder beim ffnen vom E Mail unbekannter Herkunft zu informieren Es k nnen Schutzeinrichtungen installiert werden so dass z B E Mail Software nicht automatisch Anh nge ffnen oder ausf hren kann Zus tzlich dazu kann das automatische Aktualisieren der Workstation Software ber das Red Hat Network oder andere System Management Services die Last einer vielschichtigen Sicherheitsimplemetierung ausgleichen Der am h ufigsten berichtete DoS Vorfall trat im Jahr 2000 auf als mehrere stark besuchte Websites durch eine koordinierte Ping Flut ber mehrere kompromittierte Systeme mit Breitbandverbindungen unverf gbar gemacht w
159. nhinge und das gemeinsame Verwenden von Schl sseln zwischen IPsec verbundenen Systemen zu leiten und zu kontrollieren Dieser Daemon kann konfiguriert werden indem die etc racoon racoon conf Datei bearbeitet wird F r weitere Informationen ber racoon siehe racoon 8 man Seite e etc racoon racoon conf die racoon Daemon Konfigurationsdatei die verwendet wird um verschiedene Bereiche der IPsec Verbindung zu konfigurieren Enthalten sind auch Methoden der Authentifizierung und Algorythmen zur Verschl sselung die bei der Verbindung verwendet werden Eine komplette Liste der vorhandenen Direktiven finden Sie unter racoon con 5 man Seite Die Konfiguration von IPsec auf Red Hat Enterprise Linux kann ber das Network Administration Tool gemacht werden oder durch manuelle Bearbeitung der Konfigurationen von Networking und IPsec Weitere Informationen ber die Verwendung von Network Administration Tool siehe Red Hat Enterprise Linux Handbuch zur System Administration Wenn Sie zwei Netzwerk verbundene Hosts ber IPsec verbinden wollen siehe Abschnitt 6 11 Um einen LAN WAN mit einem anderen ber IPsec zu verbinden siehe Abschnitt 6 12 6 11 Konfiguration von IPsec Host zu Host Sie k nnen IPsec so konfigurieren dass ein Desktop oder eine Workstation mit einem r anderen ber eine Host zu Host Verbindung verbunden werden kann Diese Art der Verbindung verwendet das Netzwerk mit dem jeder Host verbunden ist um einen sicheren Tunn
160. nsten f r Netzwerkknoten hinter der Firewall Sie k nnen NAT mit IPTables Filterregeln verwenden um LAN Zugang zu diesen Diensten zu erm glichen 7 4 FORWARD und NAT Regeln Den meisten Organisationen wird eine limitierte Anzahl von ffentlich routbaren IP Adressen von ihrem ISP zugewiesen Aufgrund dieser Einschr nkungen m ssen die Administratoren kreative Wege finden den Zugang zum Internet aufzuteilen ohne dass jedem Knoten am LAN kostbare IP Adressen 74 Kapitel 7 Firewalls zugeteilt werden Der normale Weg damit alle Knoten auf einem LAN die Netzwerkdienste in tern und extern n tzen k nnen ist die Verwendung von privaten IP Adressen Edge Routers wie Firewalls k nnen eingehende bertragungen vom Internet empfangen und die Pakete zu den ge w nschten LAN Knoten leiten Gleichzeitig k nnen Firewalls Gateways auch ausgehende Anfragen von einem LAN Knoten zu dem entfernten Internetdienst leiten Dieses Weiterleiten des Netzwerk verkehrs kann manchmal gef hrlich werden vor allem wenn moderne Cracking Tools verwendet werden die interne IP Adressen austricksen k nnen und den Computer des externen Angreifers wie einen Netzwerkknoten des LAN erscheinen lassen Zur Vorbeugung bietet iptables Richtlinien zum Routing und Weiterleiten die eingesetzt werden k nnen um f lschlicher Verwendung von Netzwerk Ressourcen vorzubeugen Die FORWARD Richtlinie erlaubt einem Administrator zu kontrollieren wohin die Pakete innerhalb eines
161. ntrusion Detection 91 Die meisten netzwerk basierten IDS erfordern dass das Netzwerkger t des Hostsystems auf Promis cuous gesetzt wird was dem Ger t erlaubt jedes Paket im Netzwerk abzufangen Der Promiscuous Moduskann durch den Befehl ifconfig z B wie folgt gesetzt werden ifconfig eth0 promisc Das Ausf hren von ifconfig ohne Optionen zeigt dass eth0O sich nun im Promiscuous Modus PROMISC befindet etho Link encap Ethernet HWaddr 00 00 D0 0D 00 01 inet addr 192 168 1 50 Bcast 192 168 1 255 Mask 255 255 252 0 UP BROADCAST RUNNING PROMISC MULTICAST MTU 1500 Metric 1 RX packets 6222015 errors 0 dropped 0 overruns 138 frame 0 TX packets 5370458 errors 0 dropped 0 overruns 0 carrier 0 collisions 0 txqueuelen 100 RX bytes 2505498554 2389 4 Mb TX bytes 1521375170 1450 8 Mb Interrupt 9 Base address 0xec80 lo Link encap Local Loopback inet addr 127 0 0 1 Mask 255 0 0 0 UP LOOPBACK RUNNING MTU 16436 Metric 1 RX packets 21621 errors 0 dropped 0 overruns 0 frame 0 TX packets 21621 errors 0 dropped 0 overruns 0 carrier 0 collisions 0 txqueuelen 0 RX bytes 1070918 1 0 Mb TX bytes 1070918 1 0 Mb Durch das Verwenden eines Tools wie tcpdump mit Red Hat Enterprise Linux ausgeliefert k nnen wir den Verkehr im Netzwerk sehen tcpdump listening on eth0 02 05 53 702142 pinky example com ha cluster gt heavenly example com 860 udp 92 DF 02 05 53 702294 heavenly example com 860 gt pinky example com ha cluster udp 32 DF
162. nux betr effen Dies wird jedoch nur zum Problem wenn sie als Root ausgef hrt werden 4 4 2 Root Zugang sperren Wenn ein Administrator Benutzern keine Root Berechtigungen aus diesen oder anderen Gr nden zu weisen m chte sollte das Root Passwort geheim gehalten und Zugang zu Runlevel 1 oder Einzel benutzermodus durch Passwortschutz f r den Bootloader verhindert werden weitere Informationen finden Sie unter Abschnitt 4 2 2 Tabelle 4 1 zeigt Methoden mit denen ein Administrator Anmeldungen als Root verhindern kann Methode Beschreibung Ber Betrifft nicht Kapitel 4 Workstation Sicherheit Methode Beschreibung Be Betrifft nicht ndern der Root Shell Sperren des Root Zugangs ber ein Kon Bearbeiten Sie die Datei etc passwd und ndern Sie die Shell von bin bash zu sbin nologin Eine leere etc securetty Datei verhindert die Anmeldung als Root f r jegliche Ger te die am Computer solenger t angeschlossen sind tty als Root erBearbeiten Sie die Datei etc ssh sshd_config und setzen Sie den PermitRootLogin Parameter auf no Verhindert Zugang zur Root Shell und zeichnet den Versuch auf Die folgenden Programme k nnen nicht mehr auf den Root Account zugreifen login gdm kdm xdm su ssh scp sftp Verhindert den Zugang zum Root Account tiber die Konsole oder das Netzwerk Die folgenden Programme sind fiir den Zugang zum Root Account gesperr
163. onen anzuzeigen Beschreibt die Zusammenfassung in einer dieser Informationen ein Paket das auf Ihrem System verwendet wird klicken Sie auf die Zusammenfassung f r weitere Details Die Detail Seite beschreibt das Sicherheitsproblem und gibt alle n tigen Anweisungen die zus tzlich zur Aktualisierung des Pakets befolgt werden m ssen um das Sicherheitsloch zu stopfen Um die aktualisierten Pakete herunterzuladen klicken Sie auf den Paketnamen und speichern Sie diese auf der Festplatte Es wird dringend empfohlen dass Sie ein neues Verzeichnis wie z B tmp updates erstellen und hierdrin die heruntergeladenen Pakete speichern Alle Red Hat Enterprise Linux Pakete sind mit dem Red Hat Inc GPG Schl ssel signiert Die RPM Utility in Red Hat Enterprise Linux versucht automatisch die GPG Signatur einer RPM vor der In stallation zu verifizieren Wenn Sie den Red Hat Inc GPG Schl ssel noch nicht installiert haben dann sollten Sie ihn jetzt von einer sicheren statischen Quelle wie einer Red Hat Enterprise Linux CD ROM installieren Unter der Annahme das die CD ROM in mnt cdrom gemountet ist k nnen Sie den folgenden Befehl zum Importieren des Schl ssels in den Schl sselring verwenden rpm import mnt cdrom RPM GPG KEY Um eine Liste aller installierten Schl ssel f r die RPM Verifikation anzuzeigen f hren Sie folgenden Befehl aus rpm qa gpg pubkey F r den Red Hat Inc Schl ssel enth lt das Output folgendes gpg pubk
164. p deaktiviert werden Kapitel 4 Workstation Sicherheit 37 Red Hat Enterprise Linux wird mit drei Programmen geliefert die fiir das Aktivieren und Deaktivieren von Services entwickelt wurden Aus diesen besteht das Services Configuration Tool redhat config services ntsysv undchkconfig Informationen zu diesen Tools finden Sie im Kapitel Zugangskontrolle zu Services im Red Hat Enterprise Linux Handbuch zur System Administration Eile Actions Edit Runlevel Help gt O Start Stop Restart Currently Running in Runlevel 5 Editing Runlevel 5 ee a Description time udp Vsftpd is a ftp daemon which is the program that tux answers incoming ftp service requests ups vncserver winbind Status amp xinetd vsftpd is stopped yppasswdd ypserv ypxfrd zebra Abbildung 4 3 Services Configuration Tool Wenn Sie sich nicht sicher sind welchen Zweck ein Service hat finden Sie imServices Configuration Tool ein Beschreibungsfeld in Abbildung 4 3 abgebildet das Ihnen von Nutzen sein kann Das reine Uberpriifen welche Netzwerkservices zum Bootzeitpunkt verfiigbar sind ist jedoch nicht genug Kompetente Systemadministratoren sollten auch priifen welche Ports offen sind und einge hende Signale abh ren Weitere Informationen zu diesem Thema finden Sie unter Abschnitt 5 8 4 5 3 Unsichere Services Jeder Netzwerkservice is potentiell unsicher
165. pe Kapitel 4 Workstation Sicherheit 35 4 4 3 2 Der Befehlsudo Der Befehl sudo bietet eine weitere Methode Benutzern administrativen Zugang zu geben Wenn ein vertrauensw rdiger Benutzer einem administrativen Befehl den Befehl sudo voranstellt wird dieser nach seinem Passwort gefragt Nach der Authentifizierung und vorausgesetzt dass der Befehl erlaubt ist wird der administrative Befehl wie von einem Root Benutzer ausgef hrt Das Format des sudo Befehls ist wie folgt sudo lt command gt Im obigen Beispiel w rde lt command gt durch einen Befehl der normalerweise f r den Root Benutzer reserviert ist wie z B mount ersetzt chic Alle die den Befehl sudo ausf hren sollten sicherstellen dass sie abgemeldet sind bevor sie sich vom Computer entfernen da sudoers den Befehl innerhalb von 5 Minuten nochmal ausf hren k n nen ohne nach einem Passwort gefragt zu werden Diese Einstellung kann in der Konfigurationsdatei etc sudoers ge ndert werden Der sudo Befehl erm glicht einen h heren Grad an Flexibilit t So k nnen z B nur Benutzer die in der Konfigurationsdatei etc sudoers aufgef hrt sind den Befehl sudo ausf hren dieser Befehl wird dann in der Shell des Benutzers ausgef hrt und nicht in der Root Shell Dies bedeutet das die Root Shell vollst ndig deaktiviert werden kann wie in Abschnitt 4 4 2 1 gezeigt Der sudo Befehl liefert auch einen umfangreichen Audit Trail Jede erfolgreiche Authentifizierung
166. piele f r SysV Services sind sshd vsftpd und xinetd Da sich diese Programme normalerweise im Speicher aufhalten solange die Maschine gebootet wird muss jeder aktualisierte SysV Service nach dem Upgrade des Pakets angehalten und neu gestartet werden Dies kann ber das Services Configuration Tool oder durch das Anmelden an einem Shell Prompt und Eingeben des Befehls sbin service wie im folgenden Beispiel sbin service lt service name gt restart Ersetzen Sie im vorhergehenden Beispiel lt service name gt mit dem Namen des Services wie z B sshd Im Kapitel Zugangskontrolle f r Services imRed Hat Enterprise Linux Handbuch zur System Administration finden Sie weitere Informationen zum Services Configuration Tool Kapitel 3 Sicherheits Updates 19 xinetd Services Services die vom Super Service xinetd verwaltet werden werden nur ausgefiihrt wenn eine aktive verbindung vorliegt Beispiele von Services die von xinetd igesteuert werden sind Tel net IMAP und POP3 Da neue Instanzen dieser Services durch xinetd jedesmal gestartet werden wenn eine neue Anfrage empfangen wird werden die Verbindungen die nach einem Upgrade entstehen durch die aktualisierte Software verwaltet Bestehen jedoch aktive Verbindungen zur der Zeit zu der von xinetd verwaltete Services aktualisiert werden werden diese von der lteren Version der Software verwaltet Um ltere Instanzen eines bestimmten xinetd Services zu stoppen aktualisieren Sie das
167. r u eren Einstellung der Firewall in diesem Fall eth0 iptables t nat A POSTROUTING o eth0 j MASQUERADE 7 5 DMZs und iptables Die Regeln k nnen auch daf r verwendet werden den Verkehr zu bestimmten Maschinen zu leiten wie zum Beispiel einem ausgewiesenen HTTP oder FTP Server vorzugsweise ein Server der vom internen Netzwerk in einer demilitarisierten Zone DMZ isoliert ist Um eine Regel f r das Rou ten von allen eingehenden HTTP Anfragen zu einem ausgewiesenen HTTP Server auf IP Adresse 10 0 4 2 und Port 80 festzulegen au erhalb der 192 168 1 0 24 Reichweite des LAN ruft Network Kapitel 7 Firewalls 75 Address Translation NAT eine PREROUTINGTabelle auf Damit werden die Pakete an das richtige Ziel weitergeleitet iptables t nat A PREROUTING i eth0 p tcp dport 80 j DNAT to destination 10 0 4 2 80 Mit diesem Befehl werden alle HTTP Verbindungen zu Port 80 von au erhalb des LAN auf den HTTP Server in ein vom Rest des internen Netzwerks getrenntes Netzwerk geleitet Diese Art der Netzwerksegmentierung kann sicherer sein als wenn die HTTP Verbindungen auf einer Maschine im Netzwerk gestattet werden Wenn der HTTP Server so konfiguriert ist dass er sichere Verbindungen akzeptiert dann muss auch Port 443 weitergeleitet werden 7 6 Viren und geknackte IP Adressen Es k nnen auch kompliziertere Regeln erstellt werden die den Zugang zu bestimmten Subnetzwer ken oder sogar Netzwerkknoten innerhalb eines L
168. r dass Angreifer in den Einzelbenutzermodus oder in ein unsicheres Betriebssystem booten Sie k nnen den Passwortschutz f r LILO konfigurieren indem Sie eine Passwort Direktive in den globalen Abschnitt der Konfigurationsdatei einf gen Hierf r ffnen Sie einen Shell Prompt melden sich als Root an und bearbeiten die Datei etc lilo con Vor dem ersten image Abschnitt f gen Sie dann eine Passwort Direktive hnlich wie die folgende ein 2 GRUB akzeptiert auch Klartext Passw rter es wird jedoch empfohlen dass Sie die md5 Version verwenden da boot grub grub conf standardm ig allgemeine Leseberechtigungen besitzt 24 Kapitel 4 Workstation Sicherheit password lt password gt Ersetzen Sie in der obengenannten Direktive das Wort lt password gt durch Ihr Passwort fiir LILO iicn Wenn Sie etc lilo conf bearbeiten m ssen Sie den Befehl sbin lilo v v ausf hren damit die Anderungen wirksam werden Wenn Sie ein Passwort konfiguriert haben und alle au er root diese Datei lesen k nnen wird LILO trotzdem installiert Sie werden jedoch gewarnt dass die Berechtigungen der Konfiguration falsch sind Wenn Sie kein globales Passwort setzen m chten k nnen Sie die Passwort Direktive auf jeden Abschnitt zum jeweiligen Kernel oder Betriebssystem anwenden Hierf r f gen Sie die Passwort Direktive direkt unter der Zeile image ein Wenn Sie damit fertig sind sieht der Anfang des passwortgesch tzten Abschnitts wie folgt aus
169. r fen ob die Pr fsummen bereinstimmen Findet n tzliche Text Informationen ber und innerhalb von Dateien und Verzeichnissen wie zum Beispiel Berechtigungen Dateiattribute Skript nderungen und vieles mehr Wird haupts chlich als Pipe Befehl eines anderen Befehls wie 1s ps oder ifconfig verwendet Druckt Ketten druckbarer Zeichen in einer Datei aus Dies ist sehr niitzlich f r das Pr fen von ausf hrbaren Dateien auf Anomalien wie z B mail Befehle an unbekannte Adressen oder das Loggen in einer Nicht Standard Logdatei Legt die Charakteristiken von Dateien basierend auf Format Kodierung Bibliotheken die verkn pft werden falls vorhanden und Dateityp bin r Text etc fest Es ist n tzlich f r das Feststellen ob eine ausf hrbare Datei wie bin 1s mittels statischen Bibliotheken ge ndert wurde was ein sicheres Zeichen daf r ist das die ausf hrbare Datei durch eine von einem b sartigen Benutzer installierte Datei ersetzt wurde Durchsucht Verzeichnisse auf bestimmte Dateien Es ist ein n tzliches Tool f r das Durchsuchen der Verzeichnisstruktur nach Schl sselw rtern Datum und Zeit des Zugangs Berechtigungen und so weiter Dies ist n tzlich f r Administratoren die allgemeine Systempr fungen f r Verzeichnisse oder Dateien durchf hren 97 da if bin ls of 1s dd md5sum 1s dd gt 1s sum txt ps auxw grep bin strings bin ps grep mail file bin ls find atime 12
170. r Zugang 50 anonymes Hochladen 51 Benutzeraccounts 51 Gru banner 50 TCP Wrappers und 52 128 vsftpd 49 NFS 47 Netzwerkdesign 48 Syntax Fehler 48 NIS 45 IPTables 47 Kerberos 47 Netzwerke planen 45 NIS Domain Name 46 securenets 46 Statische Ports 47 portmap 44 Ports Uberwachen 53 Sendmail 52 DoS einschr nken 52 und NFS 52 TCP Wrappers 41 Angriffswarnungen 42 Banner 42 Logging 43 xinetd 43 DoS verhindern mit 44 Ressourcen verwalten mit 44 SENSOR Falle 43 Uberblick iiber 41 Services 53 Services Configuration Tool 36 Sicherheits Errata 15 Anwenden der Anderungen 17 via Red Hat Errata Webseite 16 wann neu starten 17 ber Red Hat Network 15 Sicherheitsbetrachtungen Hardware 103 Netzwerk bertragung 104 Physische Netzwerke 103 Wireless 105 Snort 92 sshd 36 stat Datei Pr fung mit 96 strings Datei Pr fung mit 96 su und Root 33 sudo und Root 35 T TCP Wrappers Angriffswarnungen 42 Banner 42 Logging 43 und FTP 52 und portmap 44 Tripwire 88 U Unsichere Services 37 rsh 38 Telnet 38 vsftpd 38 Updates Siehe Sicherheits Errata Vv Viren Trojaner 4 Virtuelle Private Netzwerke 55 CIPE 56 IPsec 62 Host zu Host 63 Installieren 62 Konfiguration 65 VLAD the Scanner 83 Vorfallsreaktion Beweise sammeln Verwenden von dd 96 Computer Emergency Response Team CERT 94 Definition von 93 Den Vorfall melden 99 einen Plan erstellen 93
171. rch CIPE verbunden Dieses Diagramm zeigt ein Netzwerk das CIPE auf einer Firewall ausfiihrt und eine entfernte Client Maschine die sich als CIPE aktivierter Knoten verh lt Die CIPE Verbindung verh lt sich wie ein Tunnel durch den alle Daten ans Intranet zwischen den entfernten Knoten geleitet wird Alle Daten werden mittels dynamisch generierten 128 bit Schl sseln verschl sselt und k nnen f r die Ubertra gung gro er Dateien oder f r das Tunneling von X Applikationen an einen entfernten Host weiter komprimiert werden CIPE kann f r eine Kommunikation zwischen zwei oder mehr CIPE aktivierten Linux Maschinen konfiguriert werden und besitzt Netzwerktreiber f r Win32 basierte Betriebssyste me 6 3 Warum CIPE verwenden Es gibt mehrere Gr nde die CIPE zu einer intelligenten Wahl f r Sicherheits und Systemadministra toren machen CIPE wird zusammen mit Red Hat Enterprise Linux ausgeliefert ist also f r alle Red Hat Enter prise Linux Rand Maschinen zum Beispiel Firewalls oder Gateways die Sie mit Ihrem Intranet verbinden wollen erh ltlich Red Hat Enterprise Linux umfasst desweiteren CIPE unterst tzten Verschl sselungscode in der allgemeinen Distribution Kapitel 6 Virtuelle Private Netzwerke 57 CIPE unterst tzt die Verschl sselung mittels dem standardm igen Blowfish oder IDEA Verschl sselung Algorithmen Abh ngig von den Verschl sselungs Export Richtlinien in Ihrem Land k nnen Sie den Standard Blowfish
172. rden um das m gliche Sicherheitsrisiko auszuschlie en Ist das Paket Teil einer Red Hat Enterprise Linux Dis tribution die derzeit unterst tzt wird liegt es im Interesse von Red Hat Inc so schnell wie m glich aktualisierte Pakete herauszugeben die Sicherheitsl cher stopfen Wird die Mitteilung eines Sicher heitsrisikos von einem Patch begleitet oder Code der den Fehler behebt wird der Patch auf das Red Hat Enterprise Linux Paket angewendet von unserem Qualit tssicherungsteam getestet und als Errata Update herausgegeben Enth lt die Ank ndigung keinen Patch arbeitet ein Red Hat Entwickler mit dem Herausgeber des Pakets zusammen um das Problem zu l sen Wurde das Problem behoben wird das Paket getestet und als Errata Update herausgegeben Wenn Sie ein Paket verwenden f r das ein Sicherheits Errata Report herausgegeben wurde wird strengstens empfohlen dass Sie Ihre Sicherheits Errata Pakete sobald wie m glich aktualisieren um die Zeit die Ihr System angreifbar ist zu minimieren 3 1 Pakete aktualisieren Wenn Sie Pakete auf Ihrem Szsten aktualisieren ist es wichtig das Update von einer vertrauenswiir digen Quelle herunterzuladen Ein Cracker kann leicht eine Version eines Paketes nachbauen mit der gleichen Versionsnummer des Pakets das theoretisch das Problem l sen sollte mit einem anderen Sicherheitsrisiko im Paket und dieses im Internet ver ffentlichen Falls dies geschieht kann durch Sicherheitsma nahmen wie
173. ren Produktionsressourcen wieder online bringen Es wird dringend empfohlen Backup Hardware f r die Produktion einsatzbereit zu haben Dies um fasst Extra Festplatten Ersatz Server und hnliches Fertige Systeme sollten bereits alle Software geladen haben und f r sofortigen Einsatz bereit sein Es m ssen dann vielleicht nur die allerneuesten Daten importiert werden Dieses fertige System sollte isoliert vom potentiell betroffenen Netzwerk gehalten werden Tritt ein Sicherheitsbruch auf und das Backup System ist Teil des Netzwerks ist es zwecklos berhaupt ein Backup System anzulegen Systemwiederherstellung ist ein umst ndlicher Prozess In vielen Situationen gibt es zwei Methoden aus denen man ausw hlen muss Administratoren k nnen entweder das Betriebssytem neu installie ren gefolgt von einer Neuinstallation aller Applikationen und Daten Alternativ dazu kann der Ad ministrator das System mit einem Patch versehen und das betroffene System wieder zur Produktion zur ckbringen Kapitel 10 Vorfallsreaktion 99 10 5 1 Neuinstallieren des Systems Das Durchf hren einer sauberen Neuinstallation versichert dass das betroffene System von allen Trojanern Backdoors und b sartigen Prozessen gereinigt wird Eine Neuinstallation stellt au erdem sicher dass jegliche Daten wenn von einer vertrauensw rdigen Quelle wiederhergestellt von b s artigen Ver nderungen gereinigt werden Der Nachteil einer vollst ndigen Systemwiederherstellu
174. richten zwischen anderen MTAs und fiir das E Mailen an Clients oder Delivery Agents einsetzt Obwohl viele MTAs den Verkehr untereinander verschl sseln k nnen tun dies viele nicht so dass das Versenden von E Mails ber ein ffentliches Netzwerk als eine von Natur aus unsichere Form der Kommunikation betrachtet wird Weitere Informationen zur Funktionsweise von E Mails und einen berblick allgemeiner Konfigura tionseinstellungen finden Sie im Kapitel E Mail im Red Hat Enterprise Linux Referenzhandbuch Die ser Abschnitt setzt ein Grundwissen ber das Generieren einer g ltigen etc mail sendmail cf durch das Bearbeiten von etc mail sendmail mc und dasAusf hren des Befehls m4 voraus Dies wird im Red Hat Enterprise Linux Referenzhandbuch beschrieben Es wird empfohlen dass Sie sich mit den folgenden Angelegenheiten auseinandersetzen wenn Sie die Implementierung eines Sendmail Servers planen 5 7 1 Einschr nken von Denial of Service Attacken Durch die Natur von E Mail kann ein dazu entschlossener Angreifer den Server leicht mit E Mails berfluten und so eine Verweigerung des Services verursachen Indem Sie in die folgenden Direkti ven auf etc mail sendmail mc limitieren kann die Wirksamkeit solcher Attacken stark abge schw cht werden confCONNECTION_RATE_THROTTLE Die Anzahl der Verbindungen die der Server pro Sekunde empfangen kann Standardm ig begrenzt Sendmail die Zahl der Verbindungen nicht Wird eine Grenze gesetzt
175. riebssystems oder das Erholen nach einem Datendiebstahl ersparen 2 4 1 Ungeeignete Passw rter Schlechte Passw rter ist eine der leichtesten Methoden f r einen Angreifer Zugang zu einem System zu erhalten Weitere Informationen zur Vermeidung der Fallen bei der Erstellung von Passw rtern finden Sie unter Abschnitt 4 3 2 4 2 Anf llige Client Applikationen Auch wenn ein Administrator ber einen sicheren und gepatchten Server verf gt hei t dies noch lange nicht dass Remote Benutzer sicher sind wenn sie auf diesen zugreifen Wenn zum Beispiel der Server Telnet oder FTP Services ber ein ffentliches Netzwerk zur Verf gung stellt kann ein Angreifer die Kapitel 2 Angreifer und Schwachstellen 11 Nur Text Benutzernamen und Passw rter abgreifen wenn diese ber das Netzwerk bertragen wer den und dann diese Account Informationen zum Zugriff auf die Workstation des Remote Benutzers missbrauchen Selbst wenn sichere Protokolle wie z B SSH verwendet werden kann ein Remote Benutzer anf l lig f r bestimmte Attacken sein wenn ihre Client Applikationen nicht auf dem neuesten Stand sind So kann zum Beispiel ein v 1 SSH Client anf llig sein f r eine X Forwarding Attacke eines b swil ligen SSH Servers Sobald diser mit dem Server verbunden ist kann der Angreifer leise s mtliche Tastatureingaben und Mausklicks des Benutzers im Netzwerk registrieren Dieses Problem wurde im v 2 SSH Protokoll behoben es liegt jedoch am Benutzer
176. rk Switch eins besondere Hadrwarekomponente die den Platz einer traditionellen Hub in der alle Knoten auf einem LAN verbunden sind einnimmt Switches speichern MAC Adressen aller Knoten innerhalb einer internen Datenbank die dann f r ein direktes Routing verwendet wird Verschiedene Hersteller inklusive Cisco Systems Linksys und Netgear bieten mehrere Arten von Switches mit Eigenschaften wie 10 100 Base T Kompatibilit t Gigabit Ethernet Support und Support f r Carrier Sensing Multiple Access und Collision Detection CSMA CD das ideal f r stark frequentierte Netzwerke ist da Verbinden aufgereiht werden und Paketkollisionen w hrend der bertragung erkannt werden Anhang A Hardware und Netzwerschutz 105 A 1 3 Wireless Netzwerke Ein aufkommendes Problem f r Unternehmen heutzutage ist das der Moilit t Entfernte Mitarbeiter Techniker und leitende Angestellte ben tigen tragbare L sungen wie z B Laptops Pers nliche Digi tale Assistenten PDA und und drahtloser Zugang zu Netzwerkressourcen Die IEEE hat eine Norm f r die 802 11 Wireless Spezifikation entworfen die Standards f r drahtlose Datenkommunikation in allen Industriezweigen festlegt Der heutige Standard ist die 802 11b Spezifikation Die Spezifikationen 802 11b und 802 11g sind eine Gruppe von Standards die die drahtlose Kommu nikazion und Zugangskontrolle unter dem unlizensierten 2 4GHz Radiofrequenz Spektrum 802 11la verwendet das 5GHz Spektrum regeln Diese Sp
177. rlight Networks Multimedia Transport Protocol MTP Network File System NFS 2102 2103 zephyr clt Zephyr serv hm Verbindung 2104 zephyr hm Zephyr Host Manager 2401 cvspserver Concurrent Versions System CVS Client Server Operations 2430 tcp venus Venus Cache Manager f r Coda Dateisystem codacon port 2430 udp venus Venus Cache Manager f r Coda Dateisystem callback wbc interface 2431 tcp Venus Transmission Control Protocol TCP Nebeneffekte 2431 udp Venus User Datagram Protocol UDP Nebeneffekte 2432 udp Coda Dateisystem Server Port 2433 tcp Coda Dateisysten TCP Nebeneffekte 2600 hpstgmgr HPSTGMGR Zebra Routing zebrasrv 2601 discp client discp client Zebra Integrated Shell zebra 2433 udp Coda Dateisysten UDP SFTP Nebeneffekte 2603 servicemeter Service Meter RIP Daemon fiir IPv6 ripngd 2604 nsc ccs ospfd NSC CCS Open Shortest Path First Daemon ospfd nsc posa NSC POSA Border Gateway Protocol Daemon bgpd 2605 2602 discp server Routing Information Protocol Daemon ripd ripd 2606 netmon ospf6d Dell Netmon OSPF f r IPv6 Daemon ospf6d 2809 corbaloc Common Object Request Broker Architecture CORBA Naming Service Locator 3130 icpv2 Internet Cache Protocol Version 2 v2 verwendet vom Squid Proxy Caching Server 3306 MySQL Datenbank Service 3346 Trnsprnt Proxy 4011 pxe Pre execution Environment PXE Service 120 Anhang C Haufige Ports Port Layer_ Name Kommentar
178. rmationsquellen esseseesenessessnenensnennenneneneenennee 76 IH Sicherheit einsch tzen s sesusnsnssesesnonenensnesnenensnenensnnenenensnnenensnensnenensnenennensnenensnnsnensnensnnenensnenen 77 8 Schwachstellenan lyse 4 50 0 raresa ap EAK OTV A ASELI P EATER 79 8 1 Denken wie der Feind 79 8 2 Definition von Analyse und Test 8 3 Auswerten der Tools IV Eindringung und Gegenma nahmen 9 Intrusion Detection 87 9 1 Definition der Intrusion Detection Systeme eee ce eseeeteeeeseseeeeeeeas 87 9 2 Host basierte IDS enoei riei asee a EER EAE EE C EE E EE 9 3 Netzwerk basierte IDS PR 10 Vorfallsreaktion sn ann ann edad oa eka 10 1 Definition der Vorfallsreaktion ueeeesessensenseenennennennennennensensennennennenennn 93 10 2 Erstellen eines Vorfallsreaktionsplans 93 10 3 Implementieren des Vorfallsreaktionsplans eessnensneenenennnennn 95 10 4 Untersuchen des Vorfalls saner rinii atiii EER a 10 5 Wiederherstellen von Ressourcen wee 10 6 Den Vorfall melden arenei seicscenescsacesatecesscedueucevessassaeias cesses daaaetsseaveaavetacstassest V Anh nge A Hardware und Netzwerschutz A 1 Sichere Netzwerktopologien A 2 Hardware Sicherheit B H ufige Schwachstellen und Attacken ueesessseeesensnennenennenennnnnnnnnnensenenne nenn Cy H ufige Potts ai a aii EALAR EREET E EE E ea SARA 113
179. rn l schen Sie den Inhalt dieser Datei indem Sie folgenden Befehl eingeben echo gt etc securetty Kapitel 4 Workstation Sicherheit 33 Md Achtung Eine leere etc securetty Datei verhindert nicht dass der Root Benutzer sich von auBen Uber die OpenSSH Toolsuite anmeldet da die Konsole erst nach der Authentifizierung ge ffnet wird 4 4 2 3 Root SSH Anmeldungen deaktivieren Um Root Anmeldungen ber das SSH Protokoll zu verhindern bearbeiten Sie die Konfigurationsda tei des SSH Daemons etc ssh sshd_config Andern Sie folgende Zeile PermitRootLogin yes zu PermitRootLogin no 4 4 2 4 PAM f r Root deaktivieren PAM erm glicht durch das lib security pam_listfile so Moduleine gr ere Flexibilit t in der Ablehnung bestimmter Accounts Dies erm glicht dem Administrator das Modul an eine Liste von Benutzern zu verweisen denen die Anmeldung nicht gestattet ist Unten finden Sie ein Beispiel wie das Modul f r denvsftpd FTP Server in der etc pam d vsftpd PAM Konfigurationsdatei verwendet werden kann das Zeichen am Ende der ersten Zeile im folgenden Beispiel ist nicht n tig wenn die Direktive auf einer Zeile steht auth required lib security pam_listfile so item user sense deny file etc vsftpd ftpusers onerr succeed Dies weist PAM an die Datei etc vsftpd ftpusers zu konsultieren und allen hier aufgef hrten Benutzern Zugang zum Service zu verbieten Der Administrator kann den Namen dieser Datei ndern
180. rt haben ist es ratsam die Ergebnisse der Analyse sorgf ltig durchzugehen bevor der Eindringungstest durch gef hrt wird Bd Achtung Der Versuch Schwachstellen in Produktionsressourcen aufzudecken kann einen negativen Effekt auf die Produktivit t und Effizienz Ihrer Systeme und Netzwerke haben Kapitel 8 Schwachstellenanalyse 81 In der folgenden Liste werden einige der Vorteile einer Schwachstellenanalyse aufgezeigt Proaktiver Fokus auf Informationssicherheit Auffinden potentieller Schwachstellen bevor diese von Crackern gefunden werden Resultiert normalerweise darin dass Systeme aktuell gehalten und mit Patches versehen werden F rdert Wachstum und hilft bei der Entwicklung von Mitarbeiter Kompetenz Vermindert finanzielle Verluste und negative Publicity 8 2 1 Entwickeln einer Methode Um die Auswahl der richtigen Tools f r die Schwachstellenanalyse zu unterst tzen ist es sinnvoll zu erst eine Methode f r die Schwachstellenanalyse zu entwickeln Es gibt zur Zeit leider keine vordefi nierten oder industrieweit bew hrten Methoden jedoch reichen meistens gesunder Menschenverstand und optimale Verfahren als Leitfaden aus Was ist das Ziel Betrachten wir nur einen Server oder das gesamte Netzwerk und alles innerhalb des Netzwerks Betrachten wir die Firma intern oder extern Die Antworten auf diese Fragen sind wichtig da diese Ihnen bei der Entscheidung ber die richtigen Tools und den Einsatz derer helfen
181. rt wird Diese Team Mitglieder kennen ihre Systeme und sollten in der Lage sein Anomalien schneller zu entdecken als jemand der sich mit der Infrastruktur nicht auskennt 10 4 Untersuchen des Vorfalls Das Untersuchen eines Computereinbruchs ist wie das Untersuchen eines Tatorts Kriminalbeamte sammeln Beweise bemerken verd chtige Hinweise und notieren Verluste und Sch den Eine Analy se eines Computereinbruchs kann entweder noch w hrend der Attacke geschehen oder post mortem nach der Attacke Obwohl man System Logdateien auf einem angegriffenen System nicht trauen kann gibt es krimi naltechnische Utensilien die Ihnen bei der Analyse helfen Der Zweck und die Features dieser Tools variieren aber allgemein erstellen diese bit image Kopien der Medien fassen Ereignisse und Prozesse zusammen zeigen detaillierte Dateisysteminformationen und stellen Dateien wo m glich wieder her Es ist auch ratsam alle durchgef hrten Untersuchungen auf einem kompromittierten System aufzu zeichnen in dem Sie den Befehl script wie im folgenden Beispiel verwenden script q lt file name gt Ersetzen Sie lt file name gt mit dem Dateinamen f r das script Log Speichern Sie die Log Datei immer auf einem anderem Medium als die Festplatte des kompromittierten Systems ein Diskette ist zum Beispiel ein bew hrtes Medium f r diesen Zweck Indem Sie Ihre Aktionen aufzeichnen wird ein Audit Trail erstellt der wertvoll sein kann falls der Angrei
182. rung erl utert Im folgenden wird eine Beispielkonfiguration mit einem Workstation Client der sich sicher mit einem entfernten LAN ber ein CIPE Gateway verbinden will beschrieben Die Workstation verwendet eine dynamische IP Adresse von einer Kabelmodem Verbindung und das CIPE aktivierte Gateway nutzt den 192 168 1 0 24 Bereich Dies wird als typische CIPE Konfiguration bezeichnet Abbildung 6 1 zeigt eine typische CIPE Einrichtung Die Installation von CIPE zwischen dem Client und dem CIPE Server erm glicht eine sichere Peer to Peer Verbindung mit dem Internet als Medium f r die bertragung von WAN Verkehr Die Client Workstation bertr gt dann eine Datei ber das Internet zur CIPE aktivierten Firewall wo jedes Paket mit einer Timestamp versehen verschl sselt und mit der Peer Adresse der CIPE aktivierten Empf nger Firewall ausgestattet wird Die Ziel Firewall liest dann die Header Informationen ent fernt diese und schickt es dann weiter durch den Remote LAN Router wo es dann weiter an den Zielknoten geschickt wird Dieser Prozess ist nahtlos und dem Endbenutzer vollst ndig transparent Der Hauptteil der bertragung wird von den CIPE aktivierten Peers bernommen 6 5 Konfiguration des CIPE Server Um den CIPE Server einzurichten installieren Sie das cipe RPM Paket von der Red Hat Enterprise Linux CD ROM oder ber das Red Hat Network EB wicntic Wenn Sie eine ltere Version von Red Hat Enterprise Linux verwenden und od
183. rwahlbereich und einer Telefonvorwahlkombination Mehr als 10 Jahre sp ter nach einer 4 j hrigen bergerichtlichen Verfolgung bei der sogar das FBI Federal Bureau of Investigation und die Hilfe von Computerexperten Amerika weit eingeschaltet wurden wurde der Computer Cracker Kevin Mitnick verhaftet und f r 25 Straftaten durch Compu terbetrug angeklagt die Sch den von ber 80 Millionen US durch Verlust geistigen Eigentums und Quellcode von Nokia NEC Sun Microsystems Novell Fujitsu und Motorola verursachten Zu dem Zeitpunkt sah das FBI hierin das gr te Computerbezogene Verbrechen in der Geschichte der USA Kevin Mitnick wurde f r schuldig befunden und zu 68 Monaten Gef ngnis verurteilt von denen er 60 Monate absa bevor er wegen guter F hrung am 21 Januar 2000 entlassen wurde Desweiteren durfte er keine Computer verwenden oder computer bezogenes Consulting bis 2003 durchf hren Fahnder 2 Kapitel 1 Uberblick iiber Sicherheit best tigten dass Mitnick ein Experte auf dem Gebiet des Social Engineering sei er missbrauchte soziale Kontakte um Zugang zu Passw rtern und Systemen durch gef lschte Unterlagen zu erlangen Informationssicherheit hat sich in den letzten Jahren durch die wachsende Abh ngigkeit von ffent lichen Netzwerken f r pers nliche finanzielle und andere vertrauliche Informationen entwickelt Die unz hligen Vorf lle wie die des Mitnick oder Vladimir Levin weitere Informationen unter Abschnitt 1
184. s Ihres RPM Datenbank Verzeichnisses var 1lib rpm auf CD ROM etc durchf hren nachdem Sie Red Hat 90 Kapitel 9 Intrusion Detection Enterprise Linux installiert haben Hierdurch k nnen Sie sicher Dateien und Pakete gegen diese Da tenbank verifizieren anstelle die Datenbank auf dem System zu verwenden da b sartige Benutzer die Datenbank korrumpieren und dadurch Ihre Ergebnisse beeinflussen k nnen 9 2 3 Andere host basierte IDS Im folgenden werden einige andere beliebte host basierte IDS beschrieben Bitte lesen Sie die Web seiten der jeweiligen Tools f r weitere Informationen zu Installation und Konfiguration in Ihrer Um gebung f Hinweis Diese Applikationen werden nicht mit Red Hat Enterprise Linux ausgeliefert und werden nicht unter st tzt Sie werden in diesem Handbuch als Referenz f r Benutzer die Interesse an der Evaluation dieser Tools haben gegeben SWATCH http www stanford edu atkins swatch Der Simple WATCHer SWATCH verwen det von syslog generierte Logdateien zur Warnung vor Anomalien basierend auf den Benutzerkon figurationsdateien SWATCH wurde entworfen um jedes Ereignis das der Benutzer zur Konfigu rationsdatei hinzufiigen will aufzuzeichnen Es wurde jedoch weitestgehend als host basiertes IDS bernommen LIDS http www lids org Das Linux Intrusion Detection System LIDS ist ein Kernel Patch und ein Administrationstool das auch Datei nderungen ber Zugangskontrolllisten A
185. s Konfigurieren von Wireless NICs und WEP Sicherheit Weitere Informationen zum Network Administration Tool finden Sie im Ka pitelNetzwerk Konfiguration imRed Hat Enterprise Linux Handbuch zur System Administration Das Verlassen auf WEP ist jedoch weiterhin nicht ausreichend zum Schutz vor entschlossenen Angrei fern Es gibt spezialisierte Utilities die zum Cracken der RC4 WEP Verschl sselungsalgorithmen die ein Wireless Netzwerk sch tzen entwickelt wurden und die den gemeinsamen Schl ssel aufdecken AirSnort und WEP Crack sind solche Applikationen Um sich hiervor zu sch tzen sollten Admini stratoren strenge Richtlinien f r die Verwendung von Wireless Methoden zum Zugang zu empfindli chen Informationen festlegen Administratoren k nnen z B die Sicherheit der Wireless Konnektivit t erh hen in dem diese auf nur VPN und SSH Verbindungen beschr nkt werden die eine weitere 106 Anhang A Hardware und Netzwerschutz Verschliisselungschicht zus tzlich zur WEP Verschl sselung bietet Durch diese Richtlinien muss ein Angreifer au erhalb des Netzwerkes der die WEP Verschl sselung geknackt hat noch zus tzlich die VPN oder SSH Verschl sselung knacken die abh ngig von der Verschl sselungsmethode bis zu dreifach 168 bit DES Algorithmus Verschl sselung 3DES oder noch st rkere propriet re Algorith men enthalten kann Administratoren die diese Richtlinien anwenden sollten Nur Text Protokolle wie Telnet oder FTP einschr nken da
186. s mit der spawn Direktive vor weiteren Angriffen von diesem Host oder Netzwerk warnen In diesem Beispiel gehen wir davon aus dass ein Cracker vom 206 182 68 0 24 Netzwerk bei ei nem Angriffsversuch auf den Server erwischt wurde Indem Sie die folgende Zeile in die Datei etc hosts deny einf gen wird der Verbindungsversuch abgewiesen und in einer besonderen Da tei aufgezeichnet ALL 206 182 68 0 spawn bin date c d gt gt var log intruder_alert Das d Token liefert den Namen des Services auf den der Angreifer zugreifen wollte Um die Verbindung zu erlauben und diese aufzuzeichnen f gen Sie die spawn Direktive in die Datei etc hosts allowein f Hinweis Da die spawn Direktive jeden beliebigen Shell Befehl ausf hrt k nnen Sie ein spezielles Skript schreiben das den Administrator im Falle eines Verbindungsversuchs eines bestimmten Clients mit dem Server benachrichtigt oder eine Reihe von Befehlen ausf hrt Kapitel 5 Server Sicherheit 43 5 1 1 3 TCP Wrappers und erweitertes Logging Wenn bestimmte Verbindungstypen eine gr ere Sorge darstellen als andere kann der Log Level f r diesen Service ber die Option severity angehoben werden In diesem Beispiel gehen wir davon aus dass jeder der eine Verbindung zu Port 23 der Telnet Port auf einem FTP Server herstellen will ein Cracker ist Um dies zu kennzeichnen f gen Sie eine emerg Flag anstelle der Standard Flag info in die Log Datei ein und verweiger
187. s rests Ses duogs odes breiaacaadeness iia 5 5 Sicherung des Apache HTTP Server ae 5 6 Sichef ungvonRTP2 22 202 isheslsissits insg 9 1 Sicher ng von Sendmall i 0 ci svesvesessstwesovesseilcensnosssosnsrerdusarnadnensucneeunencnateucecerenss 5 8 Best tigen welche Ports auf Verbindungen abh ren 6 Virtuelle Private Netzwerke u ans Eei EAEE A h 6 1 VPNs und Red Hat Enterprise Linux uesessnesesesnnsnenenenenennenennnnnenennnnnn 6 2 Crypto IP Encapsulation CIPE 6 3 Warum CIPE verwenden 6 4 Installation von CIPE ER 6 5 Konfiguration des CIPE Server 6 6 Konfigurieren von Clients f r CIPE zu 6 7 Anpassen von CIPE vseen oE A e inetassuns BISDESS HS 6 8 CIPE Schliisselmanagement uesesesesnsenenesenennenennnnnennenenennnnnennentnnnennennnn 6 9 IPsec 6 10 Installation von IPsec 6 11 Konfiguration von IPsec Host zu Host eessesenessnnnenenenesenenenennnennennnnnn 63 6 12 Konfiguration von IPsec Netzwerk zu Netzwerk 7 Firewalls 7 1 Netfilter und IPTables 7 2 Verwendung von IPTables 7 3 Ubliche iptables Filterung 7 4 FORWARD und NAT Regeln u nnessesesesesnsenenesnsnsnenensnnnnsnenenensnnsnsnentsnsnsannenn 73 7 3 DMZs und ipt ables een einen AEA EES 74 7 6 Viren und geknackte IP Adressen ueunessenesesesesnenenenunnenenenennnnnnenenenenennennnn 75 71 1 IP6Tables ses ses nn bs Ines 75 7 8 Zus tzliche Info
188. seine gro z gigen Beitr ge zu diesem Handbuch danken Aus seiner Feder stammen die Kapitel Anf lligkeits Analyse und Vorfalls Reaktion Immer weiter so farmerdude In diesem Handbuch wird davon ausgegangen dass Sie bereits ber ein tiefgreifendes Wissen ber Red Hat Enterprise Linux verf gen Sind Sie noch neu oder verf gen ber geringes bis mittelm iges Wissen ber Red Hat Enterprise Linux und ben tigen weitere Informationen ber den Umgang mit diesem System dann lesen Sie bitte folgende Handb cher die die grundlegenden Aspekte von Red Hat Enterprise Linux n her beschreiben als das Red Hat Enterprise Linux Sicherheitshandbuch Red Hat Enterprise Linux Installationshandbuch f r Informationen zur Installation Das Red Hat Enterprise Linux Introduction to System Administration enth lt einf hrende Informa tionen f r neue Red Hat Enterprise Linux Systemadministratoren Das Red Hat Enterprise Linux Handbuch zur System Administration enth lt weitere detaillierte Informationen zur Konfiguration von Red Hat Enterprise Linux abgestimmt auf Ihre Bed rfnisse als Anwender Dieses Handbuch behandelt einige Services die vom Sicherheitsstandpunkt aus auch im Red Hat Enterprise Linux Sicherheitshandbuch beschrieben werden e Red Hat Enterprise Linux Referenzhandbuch liefert detaillierte Informationen f r erfahrenere Be nutzer auf die im Bedarf im Gegensatz zu einer Schritt f r Schritt Anleitung zur ckgegriffen wer den k
189. selbstgeschriebenes Modul zu integrieren Eine Liste erh ltlicher PAM Module finden Sie unter http www kernel org pub linux libs pam modules html Weitere Informationen zu PAM finden Sie im KapitelPluggable Authentication Modules PAM imRed Hat Enterprise Linux Referenzhandbuch Es sollte jedoch beachtet werden dass das Pr fen von Passw rtern zum Erstellungszeitpunkt nicht die effektivste Methode zum Herausfinden unsicherer Passw rter ist Die Ausf hrung von Passwort Cracking Programmen ber alle Passw rter innerhalb der Organisation ist wesentlich effektiver Es gibt eine Vielzahl von Passwort Cracking Programmen die unter Red Hat Enterprise Linuxlau fen jedoch nicht mit dem Betriebssystem ausgeliefert werden Nachfolgend finden Sie eine Liste der beliebtesten Passwort Cracking Programme Hinweis Keines dieser Tools wird mit Red Hat Enterprise Linux ausgeliefert und auch in keiner Weise von Red Hat Inc unterst tzt John The Ripper Ein schnelles und flexibles Passwort Cracking Programm Es erm glicht die Verwendung mehrerer Wortlisten und Brute Force Passwort Cracking Es ist unter http www openwall com john erh ltlich e Crack die vielleicht bekannteste Passwort Cracking Software Crack ist auch sehr schnell jedoch nicht so einfach zu verwenden wie John The Ripper Es ist unter http www crypticide org users alecm erh ltlich Slurpie Slurpie funktioniert hnlich wie John The Ripper und Crack
190. separate Passw rter f r jede Maschine erstellen So sind nicht alle Maschinen auf einen Schlag betroffen falls ein System einer Attacke zum Opfer f llt Kapitel 4 Workstation Sicherheit 27 Was Sie tun sollten Das Passwort sollte mindestens 8 Zeichen enthalten Je l nger das Passwort desto besser Wenn Sie MD5 Passw rter verwenden sollten diese 15 Zeichen oder mehr enthalten DES Passw rter sollten die maximale L nge haben acht Zeichen Mischen Sie Gro und Kleinbuchstaben In Red Hat Enterprise Linuxwerden Gro und Kleinbuchstaben beachtet mischen Sie daher Gro und Kleinschreibung um die Sicherheit des Passwortes zu erh hen Mischen Sie Buchstaben und Zahlen Das Hinzuf gen von Zahlen insbesondere in der Mitte des Passwortes nicht nur am Anfang oder Ende verst rkt die Sicherheit des Passwortes Verwenden Sie Sonderzeichen Nicht alphanumerische Zeichen wie z B amp und gt k nnen die Sicherheit des Passwortes erh hen dies gilt nicht wenn Sie DES Passw rter verwenden W hlen Sie ein Passwort das Sie sich leicht merken k nnen selbst das beste Passwort hilft Ihnen nicht weiter wenn Sie sich nicht daran erinnern k nnen Verwenden Sie daher Akronyme oder andere mnemonische Techniken um sich das Passwort zu merken Durch all diese Regeln erscheint es schwierig ein Passwort das all die Kriterien f r sichere Passw rter erf llt festzulegen Gl cklicherweise gibt es einig
191. ses Linux Kernel 2 4 0 or Gentoo 1 2 Linux 2 4 19 rcl rc7 Nmap run completed 1 IP address 1 host up scanned in 5 seconds Diese Ausgabe zeigt dass das System portmap ausf hrt dadurch dass der Service sunrpc vorhan den ist Es wird jedoch auch ein unbekannter Service auf Port 834 ausgefiihrt Um zu priifen ob dieser Port zu der offiziellen Liste bekannter Services geh rt geben Sie folgendes ein cat etc services grep 834 Dieser Befehl erh lt keine Ausgabe Dies bedeutet dass der Port im reservierten Bereich 0 bis 1023 liegt und Root Zugang zum ffnen ben tigt jedoch nicht mit einem bekannten Service assoziiert ist Als n chstes k nnen Sie Informationen ber den Port mittels netstat oder 1sof abrufen Um Port 834 mit Hilfe vonnetstat zu pr fen geben Sie folgenden Befehl ein netstat anp grep 834 Dieser Befehl erh lt folgende Ausgabe 54 Kapitel 5 Server Sicherheit tcp 0 0 0 0 0 0 834 0 0 0 0 LISTEN 653 ypbind Das Vorhandensein eines offenen Ports in netstat ist beruhigend da ein Cracker der einen Port wiederholt auf einem geknackten System ffnet das Anzeigen des Ports durch diesen Befehl h chst wahrscheinlich nicht zulassen w rde Desweiteren zeigt die Option p die Prozess ID PID des Services an der diesen Port ge ffnet hat In diesem Fall geh rt der offene Port zu ypbind NIS ein RPC Service der zusammen mit dem portmap Service abl uft Der 1so Befehl zeigt hnliche Informationen a
192. ssh scp sftp Alle anderen Services die PAM beriicksichtigen Tabelle 4 1 Methoden zum Deaktivieren des Root Accounts 4 4 2 1 Die Root Shell deaktivieren Um zu verhindern dass sich Benutzer direkt als Root anmelden kann der Systemadministrator die Shell des Root Accounts auf sbin nologin in der Datei etc passwd setzen Dies verhindert Zugang zum Root Account ber Befehle die eine Shell ben tigen wie zum Beispiel su oder ssh BB wicntic Programme die keinen Zugang zur Shell ben tigen wie z B E Mail Clients oder der Befehl sudo k nnen weiterhin auf den Root Account zugreifen 4 4 2 2 Root Anmeldungen deaktivieren Um den Zugang zum Root Account noch weiter einzuschr nken k nnen Administratoren Root Anmeldungen an der Konsole verhindern in dem sie die Datei etc securetty bearbeiten In dieser Datei werden alle Ger te aufgelistet auf die der Root Benutzer zugreifen kann Existiert die Datei nicht kann sich der Root Benutzer durch ein beliebiges Kommunikationsmedium auf dem Sy stem anmelden sei es ber eine Konsole oder eine Raw Netzwerkschnittstelle Dies stellt ein Risi ko dar da ein Benutzer sich ber Telnet am Computer als Root anmelden kann und die Passw rter im Klartext bers Netzwerk versendet Standardm ig erlaubt die Red Hat Enterprise Linux Datei etc securetty dem Root Benutzer nur sich an der mit dem Computer direkt verbundenen Kon sole anzumelden Um das Anmelden von Root zu verhinde
193. stemadministratoren w hlen jedoch nicht jedes einzelne Paket zur Instal lation aus sondern ziehen es vor eine Basis Installation von Paketen inklusive mehrerer Serverappli kationen durchzuf hren Kapitel 2 Angreifer und Schwachstellen 9 Ein haufig auftretendes Verhalten unter Systemadministratoren ist es das Betriebssystem zu installie ren ohne darauf zu achten welche Programme eigentlich installiert werden Dies kann problematisch werden da eventuell unben tigte Services installiert werden die mit den Standard Einstellungen kon figuriert und standardm ig aktiviert werden Dies kann dazu f hren dass unerw nschte Services wie Telnet DHCP oder DNS auf einem Server oder einer Workstation laufen ohne das der Systemadmini strator es merkt was wiederum zu unerwiinschtem Verkehr zum Server oder zur Hintertiir fiir Cracker in das System werden kann Weitere Informationen zum Schlie en von Ports und Deaktivieren unbe nutzer Services finden Sie unter Kapitel 5 2 3 2 Services ohne Patches Die meisten Serverapplikationen die in einer Standard Installation enthalten sind sind solide gr nd lich getestete Softwareapplikationen Dadurch dass diese viele Jahre in Produktionsumgebungen ein gesetzt wurden ist ihr Code ausgereift und viele Fehler sind gefunden und behoben worden So etwas wie perfekte Software gibt es jedoch nicht es ist immer Platz f r weitere Verbesserungen Desweiteren ist neuere Software nicht immer so durchg
194. stems und Netzwerks erfahren wenn dieser selbst in diese einbricht Inhaltsverzeichnis 8 Schwachstellenanalyse ussesessensnsnesesnsnensnsnesennensnenensnnensnsnsnnenensnsnensnnensnsnensnnensnensnennensnsnssnnensnnnen 79 redhat Kapitel 8 Schwachstellenanalyse Mit geniigend Zeit Ressourcen und Motivation kann ein Cracker in fast jedes System einbrechen Schlussendlich k nnen alle aktuellen Sicherheitsprozeduren und Technologien nicht garantieren dass Ihre Systeme vor Eindringlingen sicher sind Router k nnen bei der Sicherung Ihrer Gateways zum Internet helfen Firewalls helfen bei der Sicherung des Netzwerks Virtuelle Private Netzwerke k n nen sicher Daten verschl sselt bertragen Intrusion Detection Systeme k nnen Sie vor b sartigen Aktivit ten warnen Der Erfolg jeder dieser Technologien h ngt jedoch von einer Reihe von Variablen ab Diese sind unter anderem Die Kompetenz der Mitarbeiter die f r die Konfiguration berwachung und Wartung dieser Tech nologien verantwortlich sind e Die F higkeit Services und Kernel schnell und effizient mit Patches versehen und aktualisieren zu k nnen e Die F higkeit der Verantwortlichen konstante Wachsamkeit im Netzwerk auszu ben Durch den dynamischen Zustand von Datensystemen und Technologien kann das Sichern Ihrer Res sourcen ziemlich komplex werden Aufgrund dieser Komplexit t kann es sich schwierig gestalten Experten f r Ihre Ressourcen zu finden Es ist zwar
195. t login gdm kdm xdm Andere Netzwerkservices die eine tty ffnen Verhindert Root Zugang ber die OpenSSH Toolsuite Die folgenden Programme sind f r den Zugang zum Root Account gesperrt ssh scp sftp 31 Programme die keine Shell ben tigen wie z B FTP ClientsMail Clients und viele setuid Programme Fiir die folgenden Programme wird der Root Account nicht gesperrt sudo FTP Clients E Mail Clients Programme die sich nicht als Root anmelden aber administrative Aufgaben durch setuid oder andere Mechanismen ausf hren Die folgenden Programme werden nicht f r den Zugang zum Root Account gesperrt su sudo ash scp sftp Das dies nur die OpenSSH Toolsuite betrifft sind keine anderen Programme von dieser Einstellung betroffen 32 Kapitel 4 Workstation Sicherheit Methode Beschreibung Su Betrifft nicht Mit PAM Bearbeiten Sie die Datei f r den Root den Zielservice im Zugang Verzeichnis etc pam d zu Stellen Sie sicher dass Services pam_listfile so f r die ein Authentifizierung schr nken erforderlich ist Weitere Informationen finden Sie Verhindert Root Zugang zu Netzwerkservices die PAM ber cksichtigen Die folgenden Programme sind f r den Zugang zum Rot Account gesperrt FTP Clients E Mail Clients Programme und Services die PAM nicht ber cksichtigen unter Abschnitt 4 4 2 4 login gdm kdm xdm
196. t ist das Ausf hren von OpenSSH als Tunnel zwischen zwei entfernten Knoten Diese L sung ist eine vern nftige Alternative zu Telnet rsh und anderen Remote Host Kommunikations Methoden kommt jedoch den Usability Bed rfnissen aller Firmen Telecommuter und Zweigstellen nicht vollst ndig entgegen Zwei unterst tzte und mit Red Hat Enterprise Linux ausgelieferte L sungen die mehr der 56 Kapitel 6 Virtuelle Private Netzwerke eigentlichen Definition eines VPN entsprechen sind Crypto IP Encapsulation CIPE und Internet Protocol Security IPSEC 6 2 Crypto IP Encapsulation CIPE CIPE ist eine VPN Implementierung die haupts chlich f r Linux entwickelt wurde CIPE verwendet verschl sselte IP Pakete die in Datagramm UDP Pakete eingekapselt sind CIPE Pakete erhalten Zielheader Informationen und werden ber den Standard CIPE Verschliisselungsmechanismus ver schliisselt Die Pakete werden dann ber IP als UDP Pakete ber das CIPE Virtuelle Netzwerk Ger t cipcbx ber ein Tr gernetzwerk an einen entfernten Knoten bertragen Abbildung 6 1 zeigt eine typische CIPE Einrichtung f r die Verbindung zweier Linux basierter Netzwerke au Internet Firewall eth0 lan example com eth1 192 168 1 1 eipcb0 10 0 1 1 u it Local Area Network IP 192 168 1 0 24 Remote Machine etho remote example net cipcbo 10 0 1 Abbildung 6 1 Netzwerk und Remote Client du
197. t 13 2 Milliarden US Quelle http www newsfactor com perl story 16407 html Computersicherheit ist zu einer quantifizierbaren und berechtigten Ausgabe f r alle IT Budgets ge worden Unternehmen die Datenintegrit t und Hochverf gbarkeit ben tigen eruieren die F higkeiten Kapitel 1 Uberblick iiber Sicherheit 5 von Systemadministratoren Entwicklern und Ingenieuren um eine 24 7 Verl sslichkeit ihrer Syste me Services und Informationen zu garantieren Opfer von b swilligen Anwendern Prozessen oder koordinierten Attacken zu werden ist eine direkte Bedrohung des Gesch ftserfolges Leider kann System und Netzwerksicherheit eine gewisse Schwierigkeit darstellen die ein genau es Verst ndnis dar ber wie ein Unternehmen Informationen betrachtet verwendet manipuliert und bertr gt erfordert Das Verst ndnis dar ber wie ein Unternehmen und deren Mitarbeiter Gesch fte f hrt ist von h chster Bedeutung f r die Einf hrung eines richtigen Sicherheitsplans 1 1 4 Standardisierung von Sicherheit Unternehmen in jedem Industriezweig sind auf Richtlinien und Regeln von Standardisierungsorgani sationen wie z B der American Medical Association AMA oder dem Institute of Electrical and Elec tronics Engineers IEEE angewiesen Die gleichen Ideale gelten f r Informationssicherheit Viele Si cherheitsberater und Hersteller haben sich auf das Standard Sicherheitsmodell CIA Confidentiality Integrity und Availability Vertrauli
198. t Output System Siehe BIOS Beweise sammeln Siehe Vorfallsreaktion Datei Pr f Tools 96 dd 96 file 96 find 96 grep 96 md5sum 96 script 95 stat 96 strings 96 BIOS nicht x86 Aquivalente Passworter 22 Sicherheit 21 Passworter 21 Black Hat Hacker Siehe Cracker Bootloader GRUB Passwortschutz 22 LILO Passwortschutz 23 Sicherheit 22 Cc CIPE 56 Anpassen 61 Installation 57 Co location Services 106 Computer Emergency Response Team 94 Cracker Black Hat Hacker 7 Definition 7 cupsd 36 D Datei Priifung Tools 96 dd Beweise sammeln mit 96 Datei Priifung mit 96 Den Vorfall melden 99 Denial of Service DoS Distributed 4 Die demilitarisierte Zone 74 DMZ Siehe Die demilitarisierte Zone Siehe networks E EFI Shell Sicherheit Passw rter 22 Einf hrung i Andere Red Hat Enterprise Linux Handb cher i Kategorien Verwendung dieses Handbuchs i Themen i F file Datei Pr fung mit 96 find Datei Pr fung mit 96 Firewall Typen 69 Network Address Translation NAT 69 Paketfilter 69 Proxy 69 Firewalls 69 pers nliche 38 Typen 69 Zus tzliche Informationsquellen 76 FTP Anonymer Zugang 50 anonymes Hochladen 51 Benutzeraccounts 51 126 Einf hrung 49 Gru banner 50 TCP Wrappers und 52 vsftpd 49 G grep Datei Priifung mit 96 Grey Hat Hacker Siehe Hacker H Hacker Black Hat Siehe Cracker Definition 7 Grey Hat 7 White Hat 7 Hacker
199. teilen z B gering f gige Drucker Nachrichten im Vergleich zu wichtigen Kernelwarnungen Die host basierten IDS filtern Logs die im Falle einiger Netzwerk und Kernel Event Logs ziemlich detailliert sein k n nen analysieren diese versehen die abweichenden Nachrichten mit einem eigenen Kennzeichen je nach Schwere des Vorfalls und sammeln diese in einem bestimmten Log f r die Analyse durch den Administrator Host basierte IDS k nnen auch die Datenintegrit t wichtiger Dateien und Executables pr fen Eine Datenbank mit wichtigen Dateien und allen anderen Dateien die Sie hinzuf gen m chten wird gepr ft und eine Pr fsumme jeder Datei ber ein Programm wie md5sum 128 bit Algorithmus oder shalsum 160 bit Algorithmus erstellt Die host basierte IDS speichert diese Summen in einer Nur Textdatei und vergleicht in periodischen Abst nden die Pr fsummen mit den Werten in der Textdatei Stimmen die Pr fsummen der Datei nicht berein warnt das IDS den Administrator per E Mail oder Pager Dieser Vorgang wird von Tripwire verwendet der in Abschnitt 9 2 1 beschrieben wird 9 2 1 Tripwire Tripwire ist das beliebteste host basierte IDS f r Linux Tripwire Inc die Entwickler von Tripwi re haben vor Kurzem den Software Quellcode f r die Linux Version ge ffnet und unter der GNU General Public License lizenziert Tripwire ist unter http www tripwire org erh ltlich Hinweis Tripwire wird nicht mit Red Hat Enterprise Linux
200. teme mit Trojanern infizierte Systeme und Netzwerke mit unsicheren Services Es wird ein Alarm ben tigt der Admini stratoren und Mitglieder des Sicherheitsteams warnt dass ein Bruch vorgefallen ist so dass diese in Echtzeit reagieren k nnen Intrusion Detection Systems wurden als ein solches Alarmsystem entwor fen 9 1 Definition der Intrusion Detection Systeme Ein Intrusion Detection System IDS ist ein aktiver Prozess oder ein aktives Ger t das die System und Netzwerkaktivit t auf unbefugte Zugriffe und oder b sartige Aktivit ten analysiert Die Metho de wie IDS Anomalien entdeckt kann variieren das ultimative Ziel einer jeden IDS ist jedoch das Ertappen auf frischer Tat bevor ernsthafte Sch den am System angerichtet werden IDS sch tzen ein System vor einer Attacke vor Missbrauch und Kompromittierung Sie k nnen auch Netzwerkaktivit ten berwachen Netzwerk und Systemkonfigurationen auf Schwachstellen pr fen Datenintegrit t analysieren und vieles mehr Abh ngig von der Methode die Sie einsetzen m chten gibt es verschiedene direkte und indirekte Vorteile von IDS 9 1 1 Typen von IDS Das Verst ndnis was ein IDS ist und welche Funktionen bereitgestellt werden ist der Schl ssel zu der Entscheidung welche Art IDS in Ihrer Computersicherheitspolice angemessen ist In diesem Abschnitt werden die Konzepte hinter IDS die Funktionalit ten jeder IDS Art und das Auftauchen hybrider IDS die mehrere Erkennungstakti
201. teme in einem Unternehmen intern sind Wenn Sie sich nun au erhalb eines Unternehmens befinden erhalten Sie sofort den Status vertrauensunw rdig Die extern erh ltlichen Systeme und Ressourcen sind gew hnlich wesentlich st rker eingeschr nkt Betrachten Sie die Unterschiede zwischen Schwachstellenanalyse und Eindringungstests Die Schwachstellenanalyse ist der erste Schritt zu einem Eindringungstest Die Informationen aus der Schwachstellenanalyse werden im Test angewendet Mit der Analyse wird nach L chern und m glichen Schwachstellen im System gesucht w hrend der Eindringungstest die Ergebnisse in die Tat umsetzt Die Einsch tzung der Netzwerk Infrastruktur ist ein dynamischer Prozess Sicherheit ist dynamisch f r Informationen wie auch physisch Das Durchf hren der Analyse gibt einen berblick ber positive sowie negative Aspekte Sicherheits Administratoren sind nur so gut wie die Tools die sie benutzen und das Wissen das sie behalten Nehmen Sie eines der aktuell erh ltlichen Analysetools und lassen Sie es ber Ihr System laufen und es ist fast garantiert dass einige Schwachstellen gefunden werden die gar nicht existie ren Ob durch einen Programmfehler oder Benutzerfehler das Ergebnis ist das gleiche Das Tool findet Schwachstellen die gar nicht existieren oder schlimmer noch findet wirklich existierende Schwach stellen nicht Jetzt da wir den Unterschied zwischen Schwachstellenanalyse und Eindringungstest definie
202. tion von NFS finden Sie im Red Hat Enterprise Linux Handbuch zur System Administration In den folgenden Abschnitten wird ein Grundwissen ber NFS vorausgesetzt EB wicntic Es wird empfohlen dass jeder der einen NFS Server implementieren will erst den portmap Service wie unter Abschnitt 5 2 beschrieben sichert bevor weitere Angelegenheiten angegangen werden 48 Kapitel 5 Server Sicherheit 5 4 1 Planen Sie das Netzwerk sorgfaltig Da NFS empfindliche Informationen unverschl sselt ber das Netzwerk bertr gt ist es wichtig dass dieser Service hinter eine Firewall und auf einem segmentierten und sicheren Netzwerk ausgef hrt wird Jedes Mal wenn NIS Informationen ber ein unsicheres Netzwerk bertragen werden wird das Abfangen von Daten riskiert Hier kann ein sorgf ltiges Design des Netzwerks schwerwiegende Sicherheitsbr che verhindern 5 4 2 Achtung vor Syntax Fehlern Der NFS Server entscheidet ber die Datei etc exports welche Dateisysteme exportiert werden sollen und zu welchen Hosts diese Dateisysteme exportiert werden sollen Achten Sie darauf dass Sie keine Extra Leerstellen beim Bearbeiten dieser Datei einf gen Die folgende Zeile in der Datei etc exports legt fest dass der Host bob example com Lese und Schreibberechtigung auf das gemeinsame Verzeichnis tmp nfs erh lt tmp nfs bob example com rw Diese Zeile in der Datei etc exports beschreibt dass der Host bob example com lediglich Les ebere
203. tionssicherheit w re dies z B das Vorgehen eines Sicherheitsteams gegen einen Hacker der eine Firewall durchdrungen hat und nun das interne Netzwerk auskundschaftet Dieser Vorfall ist ein Sicherheitsbruch Die Reaktion h ngt vom Sicherheitsteam ab was diese tun um den Schaden gering zu halten und wann die Ressourcen wiederhergestellt werden w hrend die Datenintegrit t weiterhin aufrechterhalten wird Denken Sie an Ihr Unternehmen und wie fast alles sich auf Technologie und Computersysteme ver l sst Wird dies kompromittiert stellen Sie sich die m glichen verheerenden Sch den vor Abgesehen von einem Systemausfall und Datendiebstahl k nnten Daten korrumpiert werden Identit tendiebstahl kann auftreten durch Online Personalakten und peinliche Publicity oder sogar finanzieller Ruin kann die Folge sein wenn Kunden und Gesch ftspartner von einem Sicherheitsbruch erfahren und negativ reagieren Untersuchungen vergangener Sicherheitsbr che intern und extern haben gezeigt dass Firmen als Resultat eines Sicherheitsbruches bankrott gehen k nnen Ein Sicherheitsbruch kann Ressourcen un verf gbar machen oder zu Diebstahl oder Korruption von Daten f hren Man kann jedoch nicht die Dinge die vom finanziellen Aspekt her schwer zu kalkulieren sind wie z B schlechte Publicity vernachl ssigen Ein Unternehmen muss die Kosten eines Sicherheitsbruches kalkulieren und die ne gativen Auswirkungen auf das Unternehmen kurz und langfristig
204. tiven Gruppe mit dem Namen wheel hinzu zuf gen Hierzu geben Sie den folgenden Befehl als Root ein usermod G wheel lt username gt Ersetzen Sie in diesem Befehl lt username gt mit dem Benutzernamen der zur whee1 Gruppe hin zugef gt werden soll Um f r diesen Zweck das User Manager zu verwenden klicken Sie auf die Schaltfl che Hauptmen im Panel gt Systemeinstellungen gt Benutzer und Gruppen oder geben Sie den Befehl redhat config users an einem Shell Prompt ein W hlen Sie den Tab Benutzer w hlen Sie den Benutzer aus der Benutzerliste aus und klicken Sie auf Eigenschaften aus dem Men oder w hlen Sie Datei gt Eigenschaften aus dem Pull Down Men W hlen Sie dann den Tab Gruppen und klicken Sie auf die wheel Gruppe wie in Abbildung 4 2 abgebildet User Data Account Info Password Info Groups Select the groups that the user will be a member of LI ump uucp vcsa Cj LS nnn webalizer wheel wnn Primary Group juan Gg Cancel 2 OK Abbildung 4 2 Das Gruppen Panel ffnen Sie als n chstes die PAM Konfigurationsdatei f r su etc pam d su in einem Texteditor und entfernen Sie den Kommentar aus der folgenden Zeile auth required lib security pam_wheel so use_uid Hierdurch k nnen nur Mitglieder der administrativen Gruppe wheel das Programm verwenden Hinweis Der Root Benutzer ist standardm ig Teil der whee1 Grup
205. treffen kann um Sicherheitseinbr che zu verhindern Das Einrichten eines IDS Intrusion Detection System oder die Formierung eines ER Teams Emergency Response das schnell und effektiv auf Sicher heitsprobleme antworten kann sind einige solcher Ma nahmen Dieser Abschnitt beschreibt auch die Schritte die ein Administrator vornehmen kann um Beweise eines Sicherheitseinbruchs zu sammeln und auszuwerten Inhaltsverzeichnis 9 Intrusion DetectiOniiss ccsasecsscsssscssseceseceassotsncvenssesdnsdesutessssousossoaseesiacssssesisecescecsanssasesevosessecsseseunssctses 87 10 Vorfallsreak tin enese ee eoret Eost aS o ODA Eroro ra S Erat oS E ora ENON SIESS e 93 redhat Kapitel 9 Intrusion Detection Wertvolle G ter m ssen vor Diebstahl und Zerst rung gesch tzt werden Einige H user sind mit Alarmanlagen ausger stet die Einbrecher abwehren Beh rden nach einem Einbruch benachrichtigen oder sogar die Besitzer bei einem Hausbrand warnen k nnen Solche Ma nahmen sind notwendig um die Integrit t der H user und die Sicherheit der Hausbesitzer zu gew hrleisten Die gleiche Gew hrleistung von Integrit t und Sicherheit sollte auch auf Computersysteme und Daten angewandt werden Das Internet hat den Informationsfluss von pers nlichen bis zu finanziellen Da ten m glich gemacht Zur gleichen Zeit hat es genauso viele Gefahren heraufbeschworen B sartige Benutzer und Cracker suchen sich verletzbare Angriffsziele wie ungepatchte Sys
206. tung Dieser Abschnitt enth lt eine bersicht ber IPTables F r genauere Informationen siehe Red Hat Enterprise Linux Referenzhandbuch 7 2 Verwendung von IPTables Der erste Schritt bei der Verwendung von IPTables ist den IPTables Service zu starten F hren Sie folgenden Befehl aus service iptables start Mi Die IP6Tables Services sollten abgeschaltet sein wenn IPTables mit dem folgenden Befehl verwen det wird service ip6stables stop chkconfig ip6tables off Damit IPTables immer standardm ig startet wenn das System hochgefahren wird m ssen Sie mit chkconfig den Runlevel Status bei dem Service ndern chkconfig level 345 iptables on Die Syntax von ITPables ist in Stufen eingeteilt Die Hauptstufe ist die Kette Eine Kette Chain setzt den Satus fest bei dem ein Paket manipuliert wird Die Verwendung sieht so aus iptables A chain j target A f gt eine Regel an das Ende eines existierenden Regelsystems an Kette ist der Name der Kette f r eine Regel Die drei eingebauten Ketten von IPTables sind INPUT OUTPUT und FORWARD Dies sind die Ketten die auf jedes Paket einwirken das ein Netzwerk durchl uft Diese Ketten sind permanent und k nnen nicht gel scht werden BB wicntic Wenn ein IPTables Regelsystem erstellt wird darf nicht vergessen werden dass die Reihenfolge wichtig ist Wenn z B eine Kette festlegt dass alle Pakete des lokalen 192 168 100 0 24 Subnet zes ausgelassen werden und dann e
207. unsicheres Netzwerk bertragen werden wird das Abfangen von Daten riskiert Hier kann ein sorgf ltiges Design des Netzwerks schwerwiegende Sicherheitsbr che verhindern 46 Kapitel 5 Server Sicherheit 5 3 2 Verwenden Sie Passwort hnliche NIS Domainnamen und Hostnamen Jede Maschine innerhalb einer NIS Domain kann ber bestimmte Befehle ohne Authentifizierung Informationen von einem Server extrahieren solange der Benutzer den DNS Hostnamen und den NIS Domain Namen des NIS Servers kennt Wenn sich zum Beispiel jemand mit einem Laptop in das Netzwerk einklinkt oder von au en ins Netzwerk eindringt und es schafft eine interne IP Adresse vorzut uschen enth llt der folgende Befehl die etc passwd Map ypcat d lt NIS_domain gt h lt DNS_hostname gt passwd Ist der Angreifer ein Root Benutzer kann dieser die Datei etc shadow durch folgenden Befehl einsehen ypcat d lt NIS_domain gt h lt DNS_hostname gt shadow f Hinweis Wenn Kerberos verwendet wird wird die Datei etc shadow nicht innerhalb einer NIS Map gespe ichert Um den Zugang zu NIS Maps f r einen Angreifer zu erschweren erstellen Sie einen zuf lligen String f r den DNS Hostnamen wie zum Beispiel o7hfawt gmhwg domain com Erstellen Sie in gleicher Weise einen anderen zufallsgenerierten NIS Domain Namen Hierdurch wird es einem Angreifer erheblich erschwert Zugang zum NIS Server zu erhalten 5 3 3 Bearbeiten Sie die Datei var yp securenets NI
208. urden Quell Pakete werden allgemein gef lscht oder umgeleitet was das Auffinden der wahren Quelle der Attacke schwierig macht Fortschritte beim Ingress Filtering IETF rfc2267 mittels iptables und Netzwerk IDS Technologien wie snort helfen Administratoren DoS Attacken herauszufinden und zu verhindern redhat Anhang C H ufige Ports In der folgenden Tabelle werden die h ufigsten Kommunikationsports die von Services Daemons und Programmen unter Red Hat Enterprise Linux verwendet werden aufgelistet Diese Liste finden Sie auch in der Datei etc services Dies offizielle Liste Bekannter Registrierter und Dynami scher Port wie von der Internet Assigned Numbers Authority IANA ausgegeben finden Sie unter der folgenden URL http www iana org assignments port numbers S Hinweis Der Layer wenn aufgelistet besagt ob der Service oder das Protokoll TCP oder UDP f r die Uber tragung verwendet Wenn nicht aufgelistet verwendet der Service Protokoll TCP und UDP Port Layer_ Name Kommentar TCP Port Service Multiplexer sre Remote fob Entry o Remote Job Entry rje o discard Null Service f r das Pr fen von Verbindungen System Status Service fiir das Auflisten verbundener Ports Sendet Datum und Zeit an anfragenden Host 17 Sendet Zitat des Tages an einen verbundenen Host Message Send Protocol Character Generation Service sendet endlose Zeichenketten Service Protocol FSP verwendet Resourc
209. wall Typen 7 1 Netfilter und IPTables Der Linux Kernel enth lt ein kompetentes Netzwerk Subsystem mit dem Namenneffilter Das Netfilter Subsystem bietet eine Paketfilterung mit oder ohne Status sowie NAT und IP Maskierungsservice Netfilter hat Kann durch das iptables front end utility angepasst werden Erfordert keine Anpassung auf Seiten des Client da alle Netzwerkaktivit ten beim Router Level und nicht beim Level der Anwendung gefiltert werden Da Pakete nicht durch ein Proxy bertragenwerden ist das Netzwerk aufgrund direkter Verbindung vom Client zum Remote Host schneller Gibt dem Administrator Kontrolle dar ber welche Anwendungen und Protokolle au erhalb des LAN funktionieren Manche Proxy Server k nnen Daten in einer Cache Datei speichern damit Clients Zugang zu oftmals gebrauchten Daten von der lokalen Cache Datei haben anstelle die Internetverbindung ben tzen zu m ssen Dies ist hilfreich beim Einsparen von unn tigem Bandbreitenkonsum Proxy Service k nnen genau dokumentiert und beobachtet werden was bessere Kontrolle bez glich der Nutzung von Netzwerkressourcen erm glicht auch die M glichkeit Kann Pakete nicht nach Inhalt filtern wie Proxy Firewalls Verarbeitet Pakete auf dem Protokoll Layer aber kann sie nicht auf dem Layer der Anwendungen filtern Eine komplizierte Netzwerkarchitektur kann das Erstellen von Regeln zur Paketfilterung schwierig ma
210. wird in die Datei var log messages und der ausgef hrte Befehl sowie der Benutzername in die Datei var log secure geschrieben Ein weiterer Vorteil des sudo Befehls ist dass ein Administrator verschiedenen Benutzern Zugang zu bestimmten Befehlen basierend auf deren Bed rfnissen geben kann Administratoren die die sudo Konfigurationsdatei etc sudoers bearbeiten wollen sollten den Befehl visudo verwenden Um jemandem volle administrative Rechte zu geben geben Sie visudo ein und f gen Sie eine Zeile hnlich der folgenden in den Abschnitt f r die Benutzerrechte ein juan ALL ALL ALL In diesem Beispiel kann dann der Benutzer juan den Befehl sudo von jedem Host aus verwenden und jeden Befehl ausf hren Das untenstehende Beispiel zeigt die m gliche Granularit t bei der Konfiguration von sudo users localhost sbin shutdown h now In diesem Beispiel kann jeder Benutzer den Befehl sbin shutdown h now ausf hren solange dieser von der Konsole aus eingegeben wird Die man Seite zu sudoers enth lt eine detaillierte Liste aller Optionen f r diese Datei 36 Kapitel 4 Workstation Sicherheit 4 5 Verf gbare Netzwerkservices W hrend Benutzerzugriff zu administrativen Kontrollen ein wichtiges Thema f r Systemadministrato ren innerhalb eines Unternehmens ist ist die Kontrolle der Netzwerkservices von oberster Wichtigkeit f r jeden der ein Linux System installiert und operiert Viele Services unter Red Hat Enterprise Linux
211. zu banner_file etc banners ftp msg Es ist auch m glich zus tzliche Banner f r eingehende Verbindungen mittels TCP Wrappers zu sen den Dies wird unter Abschnitt 5 1 1 1 beschrieben 5 6 2 Anonymer Zugang Das Vorhandensein des var tp Verzeichnisses aktiviert das anonyme Account Der einfachste Weg dieses Verzeichnis zu erstellen ist durch die Installation des vs ftpd Pakets Dieses Paket erstellt einen Verzeichnisbaum f r anonyme Benutzer und vergibt anonymen Benutzern Nur Lese Berechtigungen f r Verzeichnisse Standardm ig k nnen anonyme Benutzer nicht in Verzeichnisse schreiben Kapitel 5 Server Sicherheit 51 Ovorsicn Wenn Sie einen anonymen Zugang zu FTP Servern zulassen sollten Sie darauf achten wo Sie empfindliche Daten speichern 5 6 2 1 Anonymes Hochladen Wenn Sie anonymen Benutzern erlauben m chten Dateien hochzuladen wird empfohlen ein Ver zeichnis mit Nur Schreibberechtigung innerhalb von var ftp pub anzulegen Hierfiir geben Sie folgendes ein mkdir var ftp pub upload ndern Sie dann wie folgt die Berechtigungen so dass anonyme Benutzer nicht sehen k nnen was sich innerhalb des Verzeichnisses befindet chmod 730 var ftp pub upload Eine detaillierte Auflistung des Verzeichnisses sollte wie folgt aussehen drwx wx 2 root ftp 4096 Feb 13 20 05 upload Me Achtung Administratoren die anonymen Benutzern Lese und Schreibberechtigungen fiir Verzeichnisse ge ben stellen
212. zung und keh ren zum grafischen Anmeldebildschirm oder zur Konsole zur ck Text in der GUI Schnittstelle berschriften Worte oder S tze die Sie auf dem GUI Schnittstellenbildschirm oder in Window finden werden in diesem Stil wiedergegeben Wenn Sie daher einen Text in diesem Stil finden soll dieser einen bestimmten GUI Bildschirm oder ein Element eines GUI Bildschirms z B ein Text der sich auf ein Kontrollk stchen oder auf ein Feld bezieht identifizieren Beispiel W hlen Sie das Kontrollk stchen Passwort erforderlich wenn Ihr Bildschirmschoner passwort gesch tzt sein soll Erste Men stufe auf einem GUI Bildschirm oder in einem Fenster Wenn ein Wort auf diese Art und Weise dargestellt ist zeigt dies an dass es sich hierbei um den Anfang eines Pulldown Men s handelt Beim Klicken auf das Wort auf dem GUI Bildschirm erscheint der Rest des Men s Zum Beispiel Unter Datei auf dem GNOME Terminal sehen Sie die Option Neuer Tab mit dem Sie mehrere Shell Prompts im gleichen Fenster ffnen k nnen Wenn Sie eine Befehlsreihe aus einem GUI Men eingeben wollen wird diese entsprechend dem folgenden Beispiel angezeigt Indem Sie Hauptmen im Panel gt Programmieren gt Emacs w hlen starten Sie den Tex teditor Emacs Schaltfl che auf einem GUI Bildschirm oder in einem Fenster Diese Darstellungsweise zeigt an dass man den betreffenden Text auf der Schaltfl che eines GUI Bildschirms finden kann Zum Beispiel In
213. zur Verschl sselung des gesamten CIPE Verkehrs in Ihrem Intranet verwenden e Da CIPE Software basiert ist kann jeder ltere oder nicht ben tigte Computer auf dem Red Hat Enterprise Linux l uft als CIPE Gateway eingesetzt werden Dies erspart einem Unternehmen den Erwerb teurer VPN Hardware zur sicheren Verbindung zweier LANs e CIPE wurde so entwickelt dass es zusammen mit iptables ipchains und anderen Regel basierten Firewalls funktioniert Peer Akzeptanz eingehender CIPE UDP Pakete ist alles was zu einer Koexistenz neben bestehenden Firewall Regeln ben tigt wird e Die Konfiguration von CIPE erfolgt durch Textdateien Dies erm glicht Administratoren ihre CIPE Server und Clients aus der Ferne zu konfigurieren ohne das schwerf llige graphische Tools die ber ein Netzwerk eventuell nur schwach funktionieren eingesetzt werden m ssen CIPE kann auch ber das Network Administration Tool ausgef hrt werden 6 4 Installation von CIPE Die Installation von CIPE ist quivalent zur Installation einer Netzwerkschnittstelle in Linux Das cipe RPM Paket enth lt Konfigurationsdateien unter etc cipe den CIPE Daemon usr sbin ciped cb Netzwerkskripte die das Kernelmodul laden und die CIPE Schnittstelle if cipcb aktivieren deaktivieren und Beispiel Konfigurationsdateien in usr share doc cipe lt version gt samples Es gibt au erdem eine detaillierte texinfo Seite die das CIPE Protokoll und verschiedene Details zur Implementie
Download Pdf Manuals
Related Search