Johannes Plötner Steffen Wendzel. Praxisbuch. Netzwerk-Sicherheit. Galileo Computing

Transkript

1 Johannes Plötner Steffen Wendzel Praxisbuch Netzwerk-Sicherheit Galileo Computing

2 Inhalt 1 Einleitung Nicht aufgeben! % Sicherheit Betriebssysteme und deren Software Was ist IT-Sicherheit? Die Kapitel im Überblick Die Icons in diesem Buch 29 2 Cefahrenanalyse Die Räumlichkeiten Der Serverraum Die Computerarbeitsplätze Social Engineering Handys, PDAs & Co PDAs Handys Speichermedien Hacker, Cracker & Spione Hacker und Cracker Industriespionage Viren, Würmer & Trojaner Schädlinge Botnetze Spam Selbst in der Verantwortung stehen Ansprechpartner Information 46 3 Einführung in die Kryptographie Motivation Kryptographie Kryptoanalyse Kryptologie Steganographie Grundlagen 56 Inhalt 5

3 3.2.1 Symmetrische Verschlüsselungen Asymmetrische Verschlüsselungen Hashes Digitale Signaturen DES Die Geschichte Der Algorithmus selbst Sicherheitsfragen Und doch: DES in der Praxis Weitere wichtige symmetrische Algorithmen RSA Schlüsselerzeugung Ver- und Entschlüsseln mit RSA Die Sicherheit von RSA RSA in der Praxis Weitere wichtige asymmetrische Algorithmen MD Das Verfahren Sicherheit von MD MD5 in der Praxis Weitere populäre Hashverfahren Kryptographie und Politik USA Wassenaar Kryptographie in Deutschland Zusammenfassung 87 4 TCP/lP Grundlegendes zu TCP/IP Network Access-Layer Internet-Layer Transport-Layer Application-Layer Das OSl-Modell Die wichtigen Protokolle ARP ARP-Spoofing Reverse-ARP Proxy-ARP IP Inhalt

4 Length 102 ID 102 Flags 103 Fragment Offset 103 TTL 103 Protocol 104 Checksum 105 Source/Destination Address 105 Options 106 Fragmentierung 107 MTU 108 Sicherheit 110 ICMP 110 ICMP Type 0 und ICMP Type ICMP Type ICMP Type ICMP Type 9 und ICMP Type ICMP Type Weitere ICMP-Typen 115 IGMP 116 Der IGMPv2-Header 116 IGMPv3 117 IPv6 117 Die Verbreitungsproblematik 118 Der IPv6-Header 118 Extension-Header 120 ICMPv6 121 ICMPv6-Typen 122 Das UDP-Protokoll 123 Der UDP-Header 124 Sicherheitsaspekte 124 Das TCP-Protokoll 125 Reliability 126 Sende- und Empfangspuffer 127 Flow-Control 127 Header 128 Grundlegendes zur Datenkommunikation 130 TCP: Sicherheitsaspekte 133 Weitere Protokolle 135 Routing 135 Inhalt 7

5 4.14 Zusammenfassung Physikalische Sicherheit Ein klassisches Unternehmensnetzwerk Zugangskontrollen Das Netzwerk Wireless LAN Der Standard Sicherheit WEP WPA und VPN Bluetooth Die Funktionsweise Sicherheitsaspekte Mobilgeräte Datenverlust durch Diebstahl Gefahr durch Handys Zusammenfassung VPN-Grundlagen VPN-Typen Site-to-Site Remote-Access Extranet Intranet Datenverschlüsselung Tunneling IPIP GRE PPTP L2TP IPSec Zusammenfassung Firewalls und Proxys Grundlagen und Konzepte Default Deny Firewalls Inhalt

6 NAT und Masquerading 170 Paketfilter 173 Typische Einsatzgebiete 173 Funktion 173 NAT 174 Personal Firewalls 175 Szenario 1: auf den Clients eines Firmen-LANs 175 Szenario 2: auf einem Heimrechner 176 Absicherung von Clients und Heimrechnern 177 Gefahren 178 iptables/netfilter für Linux 178 Support im Kernel 180 Die Funktionsweise 180 Beispiele für den Einsatz 182 Iptables im Detail 186 pf für OpenBSD 196 pf aktivieren 196 pfctl 196 Regeln erstellen 197 Firewallkonfiguration mit fwbuilder 203 Proxyserver 205 Funktion 205 Einsatz 207 Beispiel: Squid unter Linux 207 Zusammenfassung Topologien 213 Switches vs. Router 213 Hubs 213 Switches 214 Repeater 215 Bridges 216 Router 216 Bastion Hosts 217 DMZ 218 Aufbau 218 Ein Beispiel 220 Terminal Server vs. Desktops 221 Honeypots 223 Argumentation 224 Inhalt 9

7 8.5.2 Honeypot Farm Zusammenfassung Einbruchserkennung Honeypots in der Praxis Honeyd Honeytokens Linux Syslog Server Motivation syslogd Konfiguration des Servers Konfiguration der Clients logrotate logcheck Sicherheitsaspekte Ausblick: syslogd-ng Intrusion Detection Mögliche Implementierungen von IDS Snort Aufbau der Intrusion Detection snort.conf Dateisystem Intrusion Detection mtree Ein Abbild des Dateisystems erstellen Auf Veränderungen überprüfen Intrusion Prevention systrace Intrusion Response Zusammenfassung Netzwerksicherheit überwachen Netzwerkmonitoring mit Nagios Die Installation Die Konfiguration Die Plugins Nmap: Der wichtigste Portscanner Prinzip eines Portscanners Techniken des Scannens Weiterer Informationsgewinn Inhalt

8 Nmap in der Praxis Nessus: Ein Security-Scanner Die Installation Die Konfiguration Nessus benutzen Sniffer tcpdump ethereal dsniff Zusammenfassung Remote-Access auf Netzwerke 305 Remote-Authentifizierung 305 Radius und Co. 305 PPP, SLIP und Co Virtuelle Private Netzwerke Solaris OpenBSD Testen Support unter Windows Die GUI auf Reise Zusammenfassung Serveraufbau Der Aufbau der Hardware USV RAID Backups Der Serverraum Brandschutz Klimaanlage Zutritt Die Entsorgung Alte Festplatten Kopier- und Faxgeräte Zusammenfassung Dienste absichern 325 Inhalt 11

9 Nameserver Absicherung 325 Restricted Zonetransfers 326 Hochverfügbarkeit 327 Versionsnummer verstecken 327 Serverzugriff 327 SSH Absicherung 328 SSH Devicespezifisch 328 Root-Login 328 Listen-Port 329 Leere Passwörter 329 Benutzer-Wrapper 330 Group-Wrapper 330 Zugriff nur via Key oder auch via Passwort? 330 Weitere Möglichkeiten der Authentifizierung 330 X11-Absicherung 331 xhost 331 Keine Remoteverbindungen 331 Weitere Möglichkeiten 332 Absicherung des Network Filesystems 332 Absicherung der zu exportierenden Verzeichnisse 332 Weitere Möglichkeiten zur Absicherung 334 NIS Absicherung 335 FTP Absicherung 335 Das Protokoll 335 chroot 337 Quotas und Speicherlimits 337 Anonymous Zugriff 337 Authentifizierung 340 Verschlüsselung 340 DHCP Absicherung 341 Maßnahmen zur Absicherung 341 Webserver Absicherung 342 Authentifizierung via htaccess 343 Verwendung von HTTPS 344 Absicherung 346 Authentifizierung 347 SMTP, POP3, IMAP 348 Zusammenfassung Secure Shell Inhalt

10 14.1 Das Protokoll SSH Protokoll SSH Protokoll Konfiguration eines OpenSSH-Servers Die /etc/ssh/sshd_config SSH nutzen Remote Login Secure Copy Authentifizierung über Public-Key Verfahren Secure File Transfer X11 Forwarding SSH Port Forwarding Zusammenfassung 369 I I " ' ' 1 i 15 ' I 15.8 \ 15.9 l \ Unix Sicherheit 371 Access Control 371 Benutzer, Passwörter, Gruppen 373 Trojanische Pferde 375 Logging 375 Zeitsparen bei der Analyse 376 Partitionierungen 376 Restricted Shells 377 su und sudo 378 chroot 379 Patches 379 OpenBSD 380 Solaris 382 Loadable Kernel Modules 384 Stealth Interfaces Zusammenfassung Windows Sicherheit Patches »remove inet.d«für Windows Standardfreigaben deaktivieren Deaktivieren der Druckerfreigabe Zugriff auf Wechselmedien 389 Inhalt 13

11 16.6 Umbenennen von Konten Unterschiedliche Passwörter im Netzwerk Partitionierung Sicherheit im Dateisystem Sicherheitsfeatures und Systemversion Zusammenfassung Disaster Recovery 395 Problemdefinition 395 Ursachenanalyse 395 Serverprobleme 395 Hackerangriffe 396 Forensik 397 Erste Schritte 397 Forensiktools 397 Backdoors 399 Rootkits 401 Server wieder aufsetzen 403 Neuinstallation? 403 Backups 404 Zusammenfassung Websicherheit PHP-Sicherheit Variablen Referer und Co Cross-Site-Scripting CSS und Cookies Cookies Angriffe auf Proxyserver und Datenbanken Zusammenfassung Security Policys Gute Vorsätze für das neue Jahr! 417 Der Inhalt 417 Festlegung der Dokumentationsstruktur Überwachungssystem und -intervalle Inhalt

12 Autorisierungs- und Authentifizierungsmaßnahmen Weitere Möglichkeiten Zusammenfassung K- m 20-1 I H i I 2o o2A i Ü i /l E 2o L Backups 421 Die Backupstrategie 421 Backuparten 425 Vollständiges Backup 425 Inkrementelles Backup 425 Datenbackup 425 Systembackup 426 Backupmedien 426 Komprimieren 427 BackupPC 427 Das Projekt 427 Die Installation 430 Die Konfiguration 431 Bedienung 432 Zusammenfassung 433 I 11 1 i 5 sr h d Sichere Kommunikation 435 Richtige Kommunikation 435 Übersehen und Ignorieren von s 435 Von sich auf andere zu schließen 435 Romane statt kurzer Mails 436 Im Ton vergriffen 436 Mails an alle 436 Grammatik und Rechtschreibung 437 standards 437 SMTP 437 P0P3 440 Sichere Übertragung: SSL/TLS 442 Das Protokoll 442 SSL in der Praxis: HTTPS 443 Mails verschlüsseln: PGP und S/MIME 445 PGP/GPG 445 S/MIME 448 Zusammenfassung 449 Inhalt 15

13 22 Authentifizierungen Die grundlegensten Möglichkeiten Biometrische Authentifizierung S/Key S/Key aktivieren Benutzerinitialisierung Anmelden am System PAM Die Datei /etc/pam.conf Die Module Linux-PAM Entwickeln mit der PAM-Library Authentifizierung via NIS, NIS+ und LDAP Zusammenfassung Kerberos KDC und Tickets Master-Server und Realms Konfiguration des Kerberos-Servers und des KDC Konfiguration der krb5.conf Konfiguration der kdc.conf Erstellung einer Datenbank Administrative Rechte klären Starten des KDC und des Master-Servers Principals hinzufügen Konfiguration des Clients kinit Verwalten von Kerberos-Tickets Kerberos unter Windows Zusammenfassung Sichere Software entwickeln Sicheres Design Der Kreislauf der Softwaresicherheit Buffer-Overflows Eine Einleitung Begriffserklärungen Ein Beispielangriff Inhalt

14 Vermeiden von Buffer-Overflows Weitere Funktionen Formatstring-Overflows Heap Overflows Integer Overflows Der Overflow Race Conditions File-Locking Atomare Operationen-Teil Atomare Operationen - Teil Off-by-One Abschließende Worte (Symbolische) Links Signale Zusammenfassung Organisationen und Informationen ICANN RIPE IETF ETSI BSI CERT/CC HERT Securityfocus Newsgroups 510 WLAN-Standards nach IEEE B kap23.c 517 C Das Script vpnstart.sh 519 D Buffer-Overflow Exploit 521 Inhalt 17