GEMEINSAME BENUTZERVERWALTUNG

Transkript

1 GEMEINSAME BENUTZERVERWALTUNG MIT OPENLDAP UND RADIUS CEBIT SPLITTER DNS - AUFBAU UND COMPUTER FORENSIK DATA HIDING KERNEL SECURITY IPV6 BS7799 IT SERVICE MANAGEMENT SERVER-TAGEBUCH TEIL 2 SCHWACHSTELLEN

2 Hagenberger Kreis zur Förderung der digitalen Sicherheit pa FH-Studiengang CMS Hauptstraße Hagenberg fax: /

3 Vorwort 3 Der Sommer ist zu Ende und ein neues Studienjahr beginnt. Wobei sich viele fragen werden, wo denn der Sommer hinsichtlich der Temperaturen überhaupt geblieben ist. Während zumindest in Deutschland der Wahlkampf für Hitzewallungen sorgte, blieb es bei uns doch eher mäßig. Nichts desto trotz hoffe ich, dass jeder, der Urlaub hatte, diesen auch genießen konnte. Der Herbst beginnt zumindest heiß. Zehn neue Artikel im Magazin erklären, klären auf und analysieren Themen aus den verschiedensten Bereichen der IT-Sicherheit. Von der tief greifenden Technik bis zur hohen Kunst des Managements ist wieder einmal für jeden Geschmack etwas dabei. Wieviele Türen aus unserem Titelbild haben Sie in Verwendung? Wäre es nicht einfacher nur eine Türe öffnen zu müssen? Sollte Sie diese Frage mit ja beantworten, dann wird Ihnen unser Titelthema auf effiziente Weise einen Einblick in diese Thematik anhand von OpenLDAP und FreeRadius bieten. Während der Hagenberger Kreis sich bereits in der Anfangsphase der Planung für das nächste Security Forum befindet und unsere neuen Studenten durchstarten, begeben wir uns auf Themensuche für die nächste Ausgabe. Einstweilen wünsche ich Ihnen viel Spaß mit dem aktuellen HK-Magazin. Harald Fürlinger redaktion@hagenbergerkreis.at

4 4 Impressum HK-Magazin Medieninhaber und Verleger: Hagenberger Kreis zur Förderung der digitalen Sicherheit Herausgeber und Redaktion: Harald Fürlinger und Dirk Wallerstorfer A-4232 Hagenberg, Hauptstraße 117 Fax: +43 (0) Chefredaktion: Harald Fürlinger Grafik / Design und Layout: Dirk Wallerstorfer Bilderquelle: wenn nicht anders angegeben, bei den Autoren. Nachdruck der Artikel nur unter genauer Quellenangabe erlaubt, welche die Nennung des Autors sowie die des Hagenberger Kreises beinhalten muss. Eine Haftung für die Richtigkeit der Veröffentlichungen kann trotz sorgfältiger Prüfung durch die Redaktion vom Herausgeber nicht übernommen werden. Für namentlich gekenntzeichnete Artikel wird nur die presserechtliche Verantwortung übernommen. Produktbezeichnungen und Logos sind zu Gunsten der jeweiligen Hersteller als Warenzeichen und eingetragene Warenzeichen geschützt. Wir übernehmen keine Haftung für eventuelle Schäden die aus der Benutzung des pdf- Files entstehen könnten und empfehlen das File vor dem Öffnen noch einmal mit einem Virenscanner zu prüfen. Dieses Magazin erscheint regelmäßig.

5 Inhaltsverzeichnis 5 CEBIT SPLITTER 6 Die von 10. bis in Hannover stattgefundene CeBIT 2005 war wiederum eine Fundgrube für technische Innovationen und zukunftsweisende Entwicklungen. KERNEL SECURITY 21 Bei der Diskussion um das Beste und sicherste Betriebssystem wird meist Linux als erste Wahl genannt. Doch warum ist das so? Man könnte meinen, dass ein fertig zusammengestelltes und unveränderliches Windows System weitaus sicherer ist. DNS - AUFBAU UND SCHWACHSTELLEN 8 Das Domain Name System (DNS) ist eine verteilte Datenbank, die den Namensraum im Internet verwaltet und Domainnamen in IP-Adressen umwandelt und umgekehrt. Das DNS bietet eine Vereinfachung, weil Menschen sich Namen weitaus besser merken können als Zahlenkolonnen. IPV6 23 Das Internet Protocol Version 6 ist der designierte Nachfolger der sehr populären Version 4. IPv6 weist in manchen Teilen noch Ähnlichkeiten zum Vorgänger auf, legt jedoch neben zahlreichen Verbesserungen und Erweiterungen einige neue, sehr interessante Konzepte zu Tage. COMPUTER FORENSIK 12 Der Ausdruck Forensik stammt aus dem Lateinischen und bedeutet gerichtlich oder kriminaltechnisch. Die Computer Forensik oder auch Digitale Forensik wird vor allem bei Ermittlung von Systemeinbrüchen im Bereich der Computerkriminalität eingesetzt. ZERTIFIZIERTE INFORMATIOSSICHERHEIT NACH BS 7799 BZW. ISO/IEC Dass Komponenten wie Firewalls und Anti-Viren Programme zu zentralen Bestandteilen eines Sicherheitskonzepts gehören, haben mittlerweile die meisten Unternehmen erkannt. Aber was nützt die beste Firewall, wenn es die Mitarbeiter sind, die sensible Daten an die Öffentlichkeit tragen? DATA HIDING 14 Data Hiding Techniken beschäftigen sich mit dem Einbetten von Informationen in ein Trägermedium (z.b.: eine Festplatte). Ziel dabei ist es, diese Daten so zu verstecken, dass sie für jeden, außer für den Eigentümer, unsichtbar sind. IT SERVICE MANAGEMENT 28 Ein Großteil der Geschäftsprozesse von Unternehmen setzt das reibungslose Funktionieren aller IT-Infrastrukturkomponenten (Daten- und Sprachnetzwerke, Serversysteme, Anwendungen, etc.) voraus. GEMEINSAME BENUTZERVERWALTUNG FÜR SQUID, POSTFIX, PPTP UND L2TP/IPSEC MIT OPENLDAP UND FREE- RADIUS 16 Ein typisches Szenario für einen Benutzer mit mehreren Diensten dargestellt, wobei im schlimmsten Fall für jeden Dienst unterschiedliche Benutzernamen und Passwörter zur Authentifizierung notwendig sind. SERVER TAGEBUCH - TEIL 2 30 Der zweite Teil des Server Tagebuchs behandelt die Services FTP, Samba und DynDNS.

6 6 Cebit Splitter Cebit Splitter Die von 10. bis in Hannover stattgefundene CeBIT 2005 war wiederum eine Fundgrube für technische Innovationen und zukunftsweisende Entwicklungen. IBM hat einen Prototyp des im Rahmen des Millipede-Projektes entwickelten, im Nanobereich arbeitenden thermomechanischen Datenträgers vorgestellt. Mit dieser Technologie kann eine Aufzeichnungsdichte von 1 TB pro Quadratzoll erreicht werden, was etwa der Datenmenge von 25 DVDs auf der Fläche einer Briefmarke entspricht. Der Datenträger ist wiederbeschreibbar. Die Marktreife könnte nach etwa 2 bis 3-jähriger Entwicklungszeit erreicht werden. DIE TU BRAUNSCHWEIG, Institut für Hochfrequenztechnik, hat organische Leuchtdioden (O-LEDs) präsentiert. Sie bestehen aus hauchdünnen Schichten organischer Halbleiter und organischer Farbstoffe, können auf biegsame Folien aufgetragen werden und benötigen, da sie selbstleuchtend sind, im Gegensatz zu LCDs, keine Hintergrundbeleuchtung. Des-halb und weil sie Strom direkt in Licht umwandeln, kommen sie mit weniger Energie aus und sind aus jedem Betrachtungswinkel gut zu erkennen. Eingesetzt werden derartige ansteuerbare Folien die, etwa 2 cm groß, auf der CeBIT in Serie hergestellt wurden - bereits jetzt als Displays. Die Weiterentwicklung kann bis zur flächendeckenden Beleuch-tung von Wänden oder dem als flache Folie an die Wand gehängten Fernseher/Bildschirm gehen. DIE PHILIPPS-UNIVERSITÄT Marburg hat die Anwendungs-

7 Cebit Splitter 7 möglichkeiten des aus einem Bakterium gewonnenen Pigment Bakteriorhodopsin weiterentwickelt. Es handelt sich um ein fotochromatisches Protein, das unter Einwirkung sichtbaren Lichts seine Farbe sehr augenfällig von Violett nach gelb ändert. Diese Eigenschaft kann genützt werden, um Dokumente (Banknoten) fälschungssicher zu gestalten. Ändert sich die Farbe unter Lichteinfluss nicht, liegt eine Kopie vor. Die Herstellung des Farbstoffs erfordert hohes biotechnologisches Wissen und Knowhow. Außerdem können, ohne die grundlegenden Eigen-schaften zu verändern, Sequenzen der Aminosäuren verändert und das Material dadurch codiert werden, mit 2010 Kombinationsmöglichkeiten, sodass eine Rückführbar-keit auf den Ursprungsort gewährleistet werden kann. Bei Einwirkung sehr hoher Lichtenergie, wie sie durch Laserpulse in Pico- bis Nanosekundenbereich erzielt wird, wird der Farbwechsel irreversibel, was zur Datenspeicherung im Bereich von 1 MB/cm² benützt werden kann KIDDE-DEUGRA hat, auf der Basis des Löschmittels Novec 1230 von 3M, im Rahmen des CefIS (Centrum für Informationssicherheit) ein neuartiges Löschsystem vorgestellt. Das bei Raumtemperatur flüssige Löschmittel ist elektrisch nicht leitend ein in die Flüssigkeit eingetauchtes Handy war nachher wieder voll funktionsfähig. Es handelt sich um ein C6-Fluorketon und nicht um einen Fluorkohlenwasserstoff (anstelle des Wasserstoffs ist ein Sauerstoffatom in Doppelbindung eingefügt). In der Atmosphäre löst sich das Gas nach Herstellerangaben spätestens nach fünf Tagen ohne Gefahr für die Ozonschicht auf. Die Flüssigkeit steht in Behältern durch Stickstoff unter einem Druck von etwa 40 bar und wird im Brandfall über spezielle Düsen verdampft. Die brandlöschende Wirkung entsteht dadurch, dass dem Feuer eine seiner Komponenten, nämlich die Wärme, entzogen wird. Es findet also nicht, wie beispielsweise bei Inertgasen, eine Sauerstoffverdrängung statt, mit der damit verbundenen Erstickungsgefahr für Menschen und der Gefahr des Überdrucks. Die Brandbekämpfung kann auch direkt in einem 19 -Schrank erfolgen, indem Rauchmelder, Steuer- und Löscheinheit direkt in einem Einschub installiert sind, der im Schrank zuoberst angeordnet wird. MIT CINDERELLA ( Math in Motion ) können nicht nur geometrische Lehrsätze interaktiv auf einer Schautafel sichtbar und plausibel gemacht werden, sondern es kann, an Hand der physikalischen Gesetze, mit Szenarien von Atomphysik über Optik bis zu Planetenbewegungen experimentiert werden, ohne den real durch Versuchsbedingungen gegebenen Erschwernissen unterworfen zu sein. Die Umsetzung der auf der Tafel eingegebenen Ausgangswerte in dargestellte Bewegungen erfolgt durch den Rechner (Technische Universitäten Berlin und München; Springer-Verlag). DAS GRAZER UNTERNEHMEN KOMMe Z hat ein Renderingverfahren vorgestellt, durch das einfache Formen beispielsweise in Bauwerke umgerechnet werden können, in denen und um die herum man sich virtuell bewegen und sie aus verschiedenen Blickwinkeln betrachten kann. Im gezeigten Fall war ein einfaches Lego-Haus in ein Bauwerk umgerechnet worden; das frei bewegliche Entlein hat den Betrachter dargestellt. Am Bildschirm konnten die verschiedenen Perspektiven mitverfolgt werden WASSERKÜHLUNG für Prozessoren im PC-Bereich bietet Alphacool an. Dadurch entfällt das Lüftergeräusch und es kann die Prozessorleistung gesteigert werden. Dr. Kurt Hickisch LINKS IBM... TU-BRAUNSCHWEIG... PHILLIPS-UNIVERSITÄT... KIDDE-DEUGRA... CINDERELLA... KOMMe Z... ALPHACOOL...

8 8 DNS - Aufbau&Schwachstellen Domain Name System Aufbau & Schwachstellen Das Domain Name System (DNS) ist eine verteilte Datenbank, die den Namensraum im Internet verwaltet und Domainnamen in IP-Adressen umwandelt und umgekehrt. Das DNS bietet eine Vereinfachung, weil Menschen sich Namen weitaus besser merken können als Zahlenkolonnen. WIE FUNKTIONIERT DNS? Das Domain Name System ist ein hierarchisches System zur Auflösung von Computernamen in IP- Adressen. Die weltweit verteilten 13 Root Server stellen die oberste Schicht dar und verfügen über die Informationen der Top Level Domains. Dabei unterscheidet man zwischen gtld (generic Top Level Domains) wie zb.com,.org,.gov und.net und den länderspezifischen cctld (country coded Top Level Domains) aus zwei- bis dreistelligen Ländercodes. Für jede TLD ist ein eigener Nameserver zuständig, der dann seinerseits wieder die Informationen enthält, welcher Nameserver für die Domains zuständig ist. diesem erhält der Client schließlich die IP-Adresse von Eine Zone stellt einen Teil des Domain-Baums dar, für den ein Nameserver autoritative Informationen besitzt. Dabei können Subdomains in eigenständige Zonen unterteilt und an andere Nameserver delegiert werden. Eine Zone wird von einem Primary Nameserver verwaltet, der diese Zonen auf einen oder mehrere Secondary Nameserver spiegeln kann. Die Daten einer Zone werden in so genannten Zonendateien gespeichert. Die Originaldatei befindet sich am Primary Server, der sie bei Änderungen per Zonentransfer an die Secondary Server überträgt. ERLAUBTE ZEICHEN Ursprünglich waren nur die Buchstaben a bis z, die Ziffern 0 bis 9 und der Bindestrich in Domains erlaubt. Der Punkt ist für die Trennung der einzelnen Levels reserviert und darf in Domainnamen nicht verwendet werden. Ein Domänenname darf inklusive aller Punkte maximal 255 Zeichen lang sein. Im RFC3490 wurde der Internationalized Domain Name (IDN) vorgestellt, der es möglich macht auch Sonderzeichen (zb Umlaute) in Domainnamen zu verwenden. Dabei sorgt der im RFC3492 definierten Punycode dafür, dass die Unicode-Zeichen der Umlautdomain in ASCII-Zeichen mit dem HIERARCHISCHE GLIEDERUNG Die Domain kann in drei Teile gegliedert werden. Top Level Domain: at 2nd Level Domain: hagenberger kreis 3rd Level Domain: www Die Auflösung der Domain www. hagenbergerkreis.at erfolgt in mehreren Schritten (siehe Abbildung 1). Als erstes wird der Root Server befragt, welcher Server für Informationen über.at-domains zuständig ist. Dieser Server wiederum verweist auf den Server, der Informationen über die Domain hagenbergerkreis.at besitzt. Von Abbildung 1 - Auflösung einer Domain

9 DNS - Aufbau&Schwachstellen 9 Skripts auf allen Slaves auf den neuesten Stand gebracht. Zur Absicherung befindet sich der Primary-Server hinter einer Hardware-Firewall während die Secondary-Server jeweils mit iptables (Software-Firewall) abgesichert werden. Zusätzlich ist es wichtig, nach der Installation ein System- Hardening durchzuführen und auf eine sichere Bind-Version zu wählen. Präfix xn-- umgewandelt werden. Die Umwandlung erfolgt beim Client (Webbrowser, Mail-Programm). IDN-fähig sind folgende Browser: Mozilla ab Version 1.4 Firefox ab Version 0.8 Konqueror ab KDE 3.2 mit GNU IDN Library Microsoft Internet Explorer ab Version 5.0 durch Installation des Plugins i-nav von VeriSign (bedingt) IDN-fähig. Mit IE 6 treten jedoch trotz Plugin fehlerhafte Abläufe auf. Ab der im Sommer 2005 erscheinenden Version 7 wird es voraussichtlich eine weitgehende IDNA-Unterstützung geben. Abbildung 2 - Hierarchische Gliederung In einem Projekt im Rahmen des 3. Semesters haben wir ein DNS-Server-System mit Anbindung an einen LDAP-Server aufgebaut. Das System besteht aus zwei Secondary-DNS-Servern (Slaves) und einem Primary-DNS-Server (Master), der sich hinter einer Firewall befindet. Um Redundanzen und eine bessere Lastverteilung zu schaffen können noch weitere Secondary-DNS-Server zum System hinzugefügt werden. Der Primary-DNS-Server erhält seine Informationen von einem LDAP- Verzeichnis und steht nicht für DNS-Abfragen von außen zur Verfügung. Er kann als interner DNS- Server dienen oder nur zur Verteilung der Domain-Informationen an die beiden Slaves verwendet werden. Am LDAP-Server werden über eine eigens erstellte Web-Oberfläche neue Zonen erstellt bzw. bestehende administriert. In einem vorgegebenen zeitlichen Intervall wird mittels ldap2dns ( ldap2dns.tiscover.com/) auf aktualisierte bzw. neue Konfigurations- und Zonenfiles überprüft. Im Falle einer Aktualisierung wird ein Zonentransfer veranlasst und somit die Dateien zuerst automatisch am Master und anschließend über Um zu verhindern, dass die Secondary-DNS-Server von unautorisierten Servern Zonenfiles erhalten reicht die Identifikation von autorisierten Servern über IP-Adressen nicht aus, da diese leicht gefälscht werden können. Durch Transaction Signatures (TSIG) kann die Datenintegrität der Transaktion und die Authentizität der beteiligten Server sichergestellt werden. Der Master und die Slaves verfügen über einen gemeinsamen Key, der über dnskeygen erstellt wird. Dieser Key wird für einen HMAC-MD5 über die transferierten Daten verwendet. Somit kann ein Angreifer die Daten während des Transfers nicht abfangen und verändern und auch keine eigenen Zonendaten an einen der Slaves senden ohne den Key zu kennen. WIE SIEHT EINE MÄGLICHE IMPLEMENTIERUNG EINES DNSS AUS? Abbildung 3 - Aufbau

10 10 DNS - Aufbau&Schwachstellen Abbildung 4 - DNS Cache Poisoning ATTACKEN AUF DNS BUFFER OVERFLOW ATTACKS Um Buffer Overflow Attacken durchführen zu können, muss man zuvor den DNS-Server, den man attackieren möchte, genau analysieren und wenn möglich herausfinden, welche Software installiert und aktiv ist. Findet man zu einem aktiven Programm einen Exploit, verschafft man sich durch diesen Zugang auf die Kommandozeile des Servers und kann somit in den Zonenfiles und anderen Konfigurationsdateien nach Belieben Änderungen vornehmen. MAN IN THE MIDDLE Das DNS-System ist dadurch besonders leicht verwundbar, da als einziges Validierungsmerkmal eine 16 Bit große ID, die sogenannte Transaktions-ID zur Verfügung steht, anhand dessen ein anfragender Nameserver die Antworten zuordnen kann. Ein simpler Man in the Middle Angriff könnte erfolgen, indem der Angreifer den angefragten Nameserver daran hindert zu antworten (zb mittels SYN-Flooding). Die sodann folgende Attacke besteht aus Paketen (es muss auch noch der Query-Port stimmen, daher könnten noch mehr Pakete von Nöten sein), welche als Absender den eigentlichen Nameserver haben, sämtliche Query-IDs abdecken und natürlich falsche Informationen enthalten. Weiters kann man die in Frage kommenden IDs durch eigene Anfragen an den Server zuvor einschränken. DNS-CACHE-POISONING Das Cache-Poisoning bedient sich des Umstandes, dass DNS-Server die Informationen, die sie von anderen DNS-Servern bekommen, annehmen, ohne dass sie diese auf Richtigkeit oder Sinnhaftigkeit prüfen. Das heißt, dass Nameserver, die auf eine Anfrage eines anderen antworten, zusätzliche Informationen mit ihrer Antwort mitsenden können, die gar nicht angefordert wurden. Um Cache-Poisoning durchführen zu können, benötigt man eine eigene Domain und einen dazugehörigen Nameserver. Nun sendet man eine Anfrage zu dem Server, den man vergiften will, in der man die Adresse einer Domain beantragt, die unter der Verwaltung des eigenen Nameservers liegt. Dieser beantwortet die Anfrage und sendet in den ungenutzten Felder der Antwort zusätzliche Informationen, wie zum Beispiel eine gefälschte

11 DNS - Aufbau&Schwachstellen 11 Adresse zu Wenn nun ein anderer Client den vergifteten Nameserver nach der Adresse von fragt, bekommt er als Antwort die gefälschte und der Angriff ist geglückt. Dieser Angriff ist nur bei Caching- DNS-Servern möglich. Bei Nameserver, die mit einer aktuellen Version von BIND ausgestattet sind, ist dieser Angriff mittlerweile nicht mehr möglich. DNS-CACHE-POISONING VARIANTE 2 In Abbildung 1 ist eine normale DNS-Abfrage dargestellt. Bei der Verbindung zwischen Client und Nameserver und zwischen den beiden Nameservern sind die Transaktions IDs verschieden. In dieser Variante des Cache-Poisoning wird der Angreifer die ID der Kommunikation zwischen den beiden Nameservern erraten. Bei diesem Angriff ist weiters noch wichtig, dass BIND DNS-Server für Anfragen an einen anderen Server mit großer Wahrscheinlichkeit den gleichen Sourceport für die Anfragen verwendet. Der Angreifer sendet immens viele Anfragen, die jene Domain betreffen, die der Angreifer spoofen will, an den Opfer DNS Server, der die Anfragen an den zuständigen DNS Server weiterleitet. Nun erwartet der Opfer Server eine Flutwelle an Antworten, jede mit einer einzigartigen Transaktions ID, von dem anderen DNS Server. Nun kommt der Angreifer wieder ins Spiel. Dieser sendet nun Antwort-Pakete, versehen mit der Source IP des für die Domain zuständigen DNS Servers und mit dem Source Port, der zuvor schon bestimmt wurde, an den Opfer DNS Server und hofft, dass er eine Transaktions ID errät. Dadurch kann der Angreifer verfälschte Informationen im Cache des Opfer Servers platzieren und der Angriff ist geglückt. DNS FLOODING Darunter versteht man einen Angriff, der darin besteht, permanent von gefälschten, zufällig generierten IP-Adressen Anfragen nach Domains, die ebenfalls zufällig generiert werden, an einen Nameserver zu senden, sodass dieser außer der Beantwortung dieser Anfragen keine anderen mehr beantwortet. Das DNS Flooding stellt einen sehr effizienten Denial-Of-Service Angriff auf Nameserver dar. Diesem Angriff kann man leider nur wenig entgegenstellen. Eine Möglichkeit besteht darin, wie es zb bei ISPs Gang und Gebe ist, mehrere DNS-Server aufzustellen, um somit den Kunden nach Ausfall eines DNS-Servers weiterhin das Nameservice zur Verfügung stellen zu können. INFORMATION LEAKS Wenn ein DNS-System aus mehreren Servern besteht, ist es wahrscheinlich, dass zwischen diesen (hauptsächlich zwischen dem Primary und den Secondaries) Zonentransfers stattfinden. Da die Authentisierung bei der Übertragung hauptsächlich auf IP-Adressen basiert, können Angreifer ohne größeren Aufwand einen Secondary-Server imitieren und somit die Informationen, die in den Zonenfiles stehen, für weitere Angriffe verwenden. WIE KANN MAN ES ABSICHERN? Das Domain Name System ist unentbehrlich für jeden Internetbenutzer. Gerade deshalb sollte beim Aufbau und Betrieb eines eigenen DNS-Servers auf die Sicherheit des Servers und die Integrität der Daten geachtet werden. Einer der wichtigsten Schritte zur Absicherung von DNS Software und generell von jeder Software, ist der Betrieb einer aktuellen Version. Auf den Webseiten der Softwarehersteller (Bind: index.pl?/sw/bind/) werden meistens die neusten Releases und auch aufgetretene Sicherheitslücken bekannt gegeben. Es ist außerdem ratsam, die Version des verwendeten DNS-Servers zu verstecken, um einen Angreifer keinen Hinweis auf die Version und somit auf bereits bekannte Exploits zu geben. Bei Bind lässt sich in der Datei named. conf unter options versions ein beliebiger Text einstellen, der dann anstatt der Softwareversion angezeigt wird. Weiters sollte ein DNS-Server für keine weiteren anderen Dienste sondern rein als dedicated DNS- Server verwendet werden. Zum Härten gehört auch, die laufenden Betriebssystemservices auf das absolute Minimum zu reduzieren und nur benötigte TCP und UDP Ports zu öffnen. Sollte ein Angreifer dennoch Zugriff auf das System erhalten, ist es ratsam, den Zugriff auf das Filesystem zu beschränken, indem man den DNS-Server in einem so genannten Chroot-Gefängnis ausführt. Durch Zonentransfers werden normalerweise die gespeicherten Domains zwischen dem Primary und dem Secondary Server ausgetauscht. Die Informationen über die Domains können für einen Angreifer sehr nützlich sein, da er dadurch zb einen Überblick über die Topologie von Netzwerken, die sich hinter einer Firewall befinden, erhalten kann und diese für weitere Angriffe verwenden kann. Daher sollten Zonentransfers nur vom Primary and den Secondary Server gestattet werden. Um eine Hochverfügbarkeit des DNS-Services zu gewährleisten sind redundante Server erforderlich. Wenn möglich sollten diese sogar in getrennten Netzwerken stehen. Es ist auch empfehlenswert den externen und internen Namespace getrennten Servern zuzuteilen und den Master DNS-Server vor Zugriffen von Außen zu verstecken. Martina Lindorfer Dirk Wallerstorfer

12 12 Der digitale Reisepass Der Ausdruck Forensik stammt aus dem Lateinischen und bedeutet gerichtlich oder kriminaltechnisch. Die Computer Forensik oder auch Digitale Forensik wird vor allem bei Ermittlung von Systemeinbrüchen im Bereich der Computerkriminalität eingesetzt. Durch Computer Forensik ist es möglich strafbare Handlungen zum Beispiel durch die Analyse von digitalen Spuren zu erkennen und aufzuklären. Bevor eine Forensische Untersuchung durchgeführt werden kann, müssen Vorbereitungen am System getroffen werden. Es muss das normale Verhalten des Systems dokumentiert werden um einen späteren Einbruch zu erkennen und zu analysieren. Die Untersuchungen werden also nach einem Angriff durchgeführt, um herauszufinden, wie erfolgreich der Angreifer war und welche Systemlücken ausgenutzt wurden. VORBEREITUNG Zur Vorbereitung der forensischen Analyse ist es wichtig Ist-Stände des Systems zu verschiedenen Zeiten zu sichern. Dies beinhaltet das Speichern von Logfiles, sowie das Erfassen der laufenden Prozesse und Dienste um Veränderungen am System im Ernstfall erkennen zu können. Idealerweise werden auch die freigegebenen Ordner und die angelegten User und Administratoren dokumentiert. Um zu verhindern, dass die gesicherten Daten nicht während eines Angriffs verändert werden, sollten sie auf einem externen Medium gespeichert werden. Außerdem ist es wichtig, die für die Analyse eingesetzten Programme von CD zu starten, da die Ergebnisse bei am System installierten Programmen durch Scripts verändert werden können. Um nach dem Erkennen eines Einbruchs keine Spuren zu verwischen sollten nachträglich auch keinerlei andere Programme installiert werden. Somit sollte vor einem Ernstfall ein Soll-Stand als Vergleichsmöglichkeit existieren, welcher alle relevanten Systeminformationen enthält. Diese Daten können bei einer späteren Analyse als nicht verdächtig herausgefiltert werden

13 Computer Forensik 13 um zu verhindern, dass Hinweise auf mögliche Täter bei einer Analyse in der Fülle an Informationen untergehen. IST-STAND Wurde nun das System kompromittiert, muss man entscheiden ob das System sofort vom Netz genommen wird oder nicht. Will man die Aktionen eines aktiven Angreifers analysieren so wird es nachteilig sein, das System vom Internet zu trennen. Doch so kann man sichergehen, dass nicht noch mehr Schaden angerichtet wird. Um mit der tatsächlichen Analyse beginnen zu können, müssen erneut alle Systemdaten des Rechners erfasst werden. Wichtig hierbei ist, dass das System nicht sofort vom Strom getrennt wird, sondern davor flüchtige Daten wie Netzwerkverbindungen und speziell der RAM gesichert werden. Hierfür verwendbare Tools sind zum Beispiel WinHex oder Helix zum Sichern des Speichers und die Sysinternal Tools TCPView und TDIMon zum Erfassen der Verbindungen. Auch sollten wiederum Systemdaten für die Analyse gesichert werden. Um ein Image des gesamten Systems zu erhalten, kann wiederum die Forensik-CD Helix verwendet werden, aber es kann auch mit dem kostenpflichtigen Programm Encase gearbeitet werden. Hierfür wird die Festplatte aus dem System entfernt und mit einem Analysesystem verbunden. Wichtig ist davor die System-Festplatte mit einem Schreibschutz zu belegen. Dies ist zum Beispiel mit dem FastBlock möglich, welcher es ermöglicht, eine Harddisk über USB oder Firewire an ein anderes System anzuschließen und gleichzeitig jegliche Veränderung verhindert. Die erhaltenen Informationen können nun dem zuvor erfassten Soll- Stand gegenübergestellt und durch Angreifer verursachte Veränderungen erkannt werden. Falls Veränderungen festgestellt werden, sollten diese näher untersucht werden um die Funktion zum Beispiel von neuen Programmen zu ermitteln. So ist es möglich den Angriff nachzuvollziehen und die Schwachstelle des Systems ausfindig zu machen. PROGRAMME Will man nicht warten, bis ein Rechner nicht mehr funktionstüchtig ist oder durch Fehlverhalten auffällt, können schon während dem laufenden Betrieb Anzeichen auf einen Angriff erkannt werden. Folgende Programme können dafür verwendet werden: Um die Netzwerkauslastung am System zu erkennen, kann das kostenpflichtige Programm Traffic Analyzer PRTG installiert werden. Dies erfasst grafisch und tabellarisch die Auslastung und leitet diese Informationen täglich per Mail an den Verantwortlichen weiter. Auf diese Weise können beispielsweise illegitime Downloads erkannt werden. Es ist auch möglich alle Netzwerkverbindungen genauer zu untersuchen. Diese Funktionalität bietet das Sysinternal Tool TCPView, welcher alle bestehenden Verbindungen auflistet und dazu jeweils die Quell- und Remoteadressen in Form einer IP-Adresse oder URL angibt. Besteht eine Verbindung zu einer verdächtigen Adresse, deutet dies auf einen Angriff hin. Auf findet man eine dafür programmierte Suchmaschine, welche die Adresse bis zu Internetanbietern oder größeren Organisationen zurückverfolgt. Jedoch nur die Polizei hat das Recht Daten des Enduser beim Provider oder der Organisation einzufordern. Ein weiteres interessantes Sysinternal Tool ist Streams, durch welches man erkennen kann, ob Daten oder Programme von Angreifern in ADS (Alternate Data Streams) versteckt wurden. Solche Daten werden an bestehende Daten angehängt, verändern jedoch nicht deren Größe und scheinen im Explorer nicht auf. Die Sysinternal Tools und ähnliche Programme befinden sich auf der Forensik CD Helix. Durch eine von CD gestartete Shell, welche Windows- und Linuxbefehle erkennt, können diese Tools von CD gestartet werden und es ist sichergestellt, dass die Befehle und Tools nicht von Angreifern manipuliert wurden und somit ein richtiges Ergebnis liefern. Weitere Tools, welche von dieser CD gestartet werden können, sind zum Beispiel: MAC_Grab erfasst die MAC-Zeiten der Daten, das heißt die Zeitpunkte zu welchen Dateien verändert (Modified), aufgerufen (Access) oder verändert (Change) wurden. Pasco sowie Galleta dienen zur Analyse des Internet Explorers. Es werden die History sowie die Cookies der aufgerufenen Seiten ausgewertet. Md5deep und sha1deep berechnen und vergleichen Checksummen mittels md5- und sha-hashwerte von wichtigen Dateien. Bmap kann im Slackspace abgelegte Daten finden und wiederherstellen. Dieser Speicherbereich wird nur vom System erkannt und scheint in Verwaltungsprogrammen wie Explorer nicht auf. Chkrootkit und rkhunter durchsuchen das System nach Rootkits, welche Systemeigenschaften verändern. Regviewer bietet eine Schnittstelle um in die Windows Registry Einsicht zu nehmen. Zusätzlich bietet die CD einige Features. Zum Beispiel kann ein Security Report erzeugt werden, welcher Systemdaten wie IP-Adressen und Mac-Adressen auflistet sowie die Security Policy anführt. Außerdem werden die installierten Programme, Driver, Services und Bibliotheken sowie die offenen Ports in diese XML-Datei gesichert. Zusätzlich wird noch angegeben, ob die Services aktiv oder gestoppt sind. Ein weiteres Feature ist die Sicherung des RAM und des physikalisches oder logischen Festplattenspeichers als Image mittels dem Linux-Befehl dd. Wird das Programm beendet, können die durch Helix durchgeführten Aktionen des Ermittlers protokolliert werden. Birgit Haas Ulrike Mayrhofer

14 14 Data Hiding um eine Datei zu klassifizieren. Die Tests werden in dieser Reihenfolge durchgeführt und terminieren sobald einer davon erfolgreich ist. Unlinking Open Files Diese Strategie wird oft dazu benutzt, um Log-Informationen wie zum Beispiel Passwörter zu bekommen und gleichzeitig die Chance entdeckt zu werden, möglichst gering zu halten. Um das gewünschte Ergebnis zu erzielen, wird der Link auf eine geöffnete Datei gelöscht. Somit wird nicht mehr auf die Datei verwiesen, obwohl sie sich noch auf dem Speichermedium befindet und vor eventuellem Überschreiben geschützt ist, da das System, die von der Datei benötigten Ressourcen erst weitergibt, wenn der Prozess beendet wird. Die Person, die diesen Prozess gestartet hat, kann also später wiederkommen, um sich die Log-Informationen abzuholen. Data Hiding Techniken beschäftigen sich mit dem Einbetten von Informationen in ein Trägermedium (z.b.: eine Festplatte). Ziel dabei ist es, diese Daten so zu verstecken, dass sie für jeden, außer für den Eigentümer, unsichtbar sind. Hiding Data in Slack Space Slack Space = The space on a hard disk between the end of a file and the end of the cluster that the file occupies. Es gibt mehrere Möglichkeiten dies zu realisieren (getestet auf Linux ext2-filesystemen). Jedoch seien alle, die bereits vergnügt Pläne schmieden wollen, gleich am Anfang gewarnt. Keine einzige dieser Möglichkeiten garantiert Unauffindbarkeit, wenn mit professionellen Tools (wie EnCase oder ILook) nach den Daten gesucht wird. VERSTECKEN DER DATEN AUF DER FESTPLATTE Camouflaged files camouflage = die Tarnung Eine sehr einfache und unter Windows durchaus erfolgreiche Methode Daten zu verstecken ist, die Dateinamenerweiterung zu verändern (z.b.: von.jpg auf.doc). Somit kann der Betrachter ohne Hilfsmittel nicht feststellen, was die Datei wirklich enthält. Während unter Windows auch das Betriebssystem Probleme mit dem falschen Dateiformat hat, und in den meisten Fällen den Inhalt nicht anzeigen kann, gelingt dies unter Linux ohne Schwierigkeiten. Dort werden Dateien nämlich nicht anhand der Namenserweiterung sondern durch so genannte Magic Numbers identifiziert. Deshalb ist es hier auch einfach die ursprünglichen Erweiterungen festzustellen.dies geschieht durch die file Anweisung. Die man page erklärt dieses Kommando als eine combination of file system tests, magic number tests, and language tests Mit dem Programm bmap ist es möglich den normalerweise unzugänglichen Speicherbereich zwischen dem Ende einer Datei und dem Ende des von dieser Datei für Speicherzwecke reservierten Blocks zu nutzen. Es können Wörter, Dateien oder Programme in den Slackspace geschrieben und auch wieder ausgelesen werden. Eine besonders angenehme Nebenwirkung dabei ist, dass sich der Speicherbedarf der Datei beim Beschreiben des Slackspace nicht erhöht, da die Datei sowieso den ganzen Block für sich reserviert, auch wenn nur ein Teil davon belegt wird. Hiding Data in Bad Blocks Um diese Methode erfolgreich zu nutzen, muss man in der Entwick-

15 Data Hiding 15 lungsgeschichte der Speichermedien einige Jahre zurückgehen. Jede Festplatte hat defekte Blöcke. Manche existieren bereits bei der Auslieferung (Fehler bei der Herstellung), andere entstehen erst durch oftmaligen Gebrauch. Während die Kennzeichnung dieser defekten Blöcke bei neuen HDs bereits automatisch geschieht, mussten früher alle Bad Blocks, die nach der Herstellung schon defekt waren manuell vom Benutzer eingetragen werden, damit die Festplatte ohne Probleme laufen konnte. Diese manuelle Kennzeichnung kann man sich zunutze machen, um auch heute noch (voll funktionsfähige) Blöcke als bad zu markieren, damit sie vom Betriebssystem ignoriert werden. Um bestimmte Daten verstecken zu können, muss man zuerst deren Aufenthaltsort, also jenen Block auf dem die Daten liegen, kennen. Hierbei hilft das Tool debugfs, welches genauere Informationen über Dateien und ihren Speicherplatz auf der Festplatte liefert. Um den ausgewählten Block anschließend als bad zu markieren, wird ein weiteres Programm e2fsck (speziell für ext2-filesysteme) benötigt. Als erstes überprüft man die Festplatte auf bereits vorhandene Bad Blocks. Hierbei darf die externe Festplatte nicht gemountet sein! Danach ist es notwendig eine Datei zu erstellen, die den Block/die Blöcke, die als bad markiert werden sollen beinhaltet. Dabei muss beachtet werden, dass in jeder Zeile nur ein Block steht. Nun wird die zur Erstellung der Datei gmountete Festplatte wieder abgehängt, um das Programm e2fsck ausführen zu können. Bei einer Suche nach der versteckten Datei dürfte es nun keine Ergebnisse mehr geben. Um die Daten verändern bzw. auslesen zu können muss das Programm e2fsck den zu Unrecht als bad markierten Block wiederherstellen. FINDEN DER VERSTECKTEN DATEN EnCase/ILook Wie bereits zuvor angekündigt ist es mit den beiden Programmen En- Case und ILook möglich die, durch verschiedene Methoden versteckten Daten, wieder zu finden. Es gibt jedoch einen kleinen Haken. Um die gefundenen Daten als Beweismittel vor Gericht verwenden zu können muss die Unveränderbarkeit der Daten während der Analyse sichergestellt werden. Die Überprüfung der Integrität erfolgt durch zwei Hashwerte. Der erste wird automatisch beim Einlesen der Daten über die einzulesende Festplatte generiert. Der zweite (Verifying Hash) kann nach dem Erstellen der Sicherung berechnet werden. Stimmen beide Werte überein, so wurden die Daten der Festplatte nicht verändert. Um dies zu gewährleisten, muss ein so genannter Fastblock verwendet werden, der einen Schreibzugriff auf das Trägermedium verhindert. Obwohl keine der getesteten Möglichkeiten die versteckten Daten vollkommen unauffindbar machen kann, ist die Thematik des Data Hiding ungeheuer spannend. Man bekommt ungeahnte Einblicke in die oftmals kuriose Welt der Speicherbelegung und Speicherfreigabe, der Blockeinteilung von Festplatten und anderer interessanter Datenlagerungsplätze. Wer nun Lust bekommen hat, selber auch einmal etwas zu Verstecken, dem seien folgende Internetseiten empfohlen: GSEC/Gary_Robertson_GSEC.pdf tations/bh-europe-04/bh-eu-04- grugq.pdf Sandra Wöckinger slack]# echo cybercriminal bmap --putslack file.txt stuffing block file size was: 34 slack size: 4062 block size: 4096 slack]# bmap --slack file.txt getting from block file size was: 34 slack size: 4062 block size: 4096 cybercriminal Abbildung 1 - Hiding Data in Slack Space

16 16 OpenLDAP meets Freeradius Gemeinsame Benutzerverwaltung für Squid, Postfix, PPTP und L2TP/IPSEC mit OpenLDAP und Freeradius In Abbildung 1 ist ein typisches Szenario für einen Benutzer mit mehreren Diensten dargestellt, wobei im schlimmsten Fall für jeden Dienst unterschiedliche Benutzernamen und Passwörter zur Authentifizierung notwendig sind. ALLGEMEINES Standardmäßig besitzt jeder Dienst sein eigenes Authentifizierungsverfahren mit eigenen Benutzerdaten, meist in einer eigenen Datenbank oder Datei. Je mehr Passwörter sich ein User merken muss, desto mehr wird er auch wieder vergessen, unsichere Passwörter verwenden oder einfach Post-Its auf den Monitor kleben. In solchen Fällen ist ein erster Schritt zu einem geschickten Identity Management eine gemeinsame Authentifizierung für mehrere Dienste mit einem einzigen Benutzername-Passwort-Paar. Natürlich wäre es möglich für einen User für jeden Dienst dieselben Daten zu verwenden, allerdings wäre der Aufwand zum Ändern der Daten, wie z.b. dem Passwort, wesentlich größer. Die Lösung ist die Benutzung von OpenLDAP und Freeradius und somit pro User nur ein Passwort, das an einer einzigen Stelle gespeichert und von allen Diensten verwendet werden kann, zu verwenden. Der folgende Artikel beschreibt dabei die Verwendung von OpenLDAP in Version und Freeradius auf Debian Linux. Es wird angenommen, dass die Dienste Squid, Postfix, PPTP sowie L2TP/IPSEC bereits in einer funktionierenden Konfiguration vorhanden und mit den jeweils eigenen Authentifizierungsverfahren funktionsfähig sind. Abbildung 1 - Szenario NOTWENDIGE DIENSTE OpenLDAP LDAP (Lightweight Directory Access Protocol) ist ein TCP/IP basierender, standardisierter Verzeichnisdienst (ähnlich DNS). Konkrete Implementierungen sind z.b. OpenLDAP unter Linux/BSD/Unix, Microsoft Active Directory unter Windows 2000 bzw. Windows 2003 oder das edirectory von Novell. Unter einem Verzeichnis versteht man eine Auflistung von Informati- Abbildung 2 - Gemeinsame Benutzerauthentisierung über LDAP und Radius

17 OpenLDAP meets Freeradius 17 onen über Objekte in einer gewissen Ordnung, wobei sich zu jedem Objekt Detailinformationen abfragen lassen. In einem Telefonbuch als Beispiel sind die Objekte die Personen, die Ordnung ist alphabetisch und die Detailinformationen sind Adresse und Telefonnummer. Im Gegensatz zu relationalen Datenbanken sind Verzeichnisse auf das Suchen und Lesen von Informationen spezialisiert. Die Konfiguration von OpenLDAP inklusive zugehöriger Access Control Lists kann auf Grund des Umfanges an dieser Stelle nicht erklärt werden. Entsprechende Informationen können im Adminguide auf oder in der ausführlicheren Dokumentation auf der Hagenbergerkreis-Homepage ( nachgelesen werden. Zu Testzwecken wurde die in Abbildung 3 gezeigte LDAP Struktur erzeugt. Freeradius RADIUS (Remote Authentication Dial-In User Service) ist ein Client- Server-Protokoll zur Authentifizierung von Benutzern bei Dial-In Zugängen wie z.b. für PPP-Verbindungen. Die Clients werden dabei gegen verschiedenste Datenbanken (auch LDAP), die die Benutzernamen und Passwörter gespeichert haben, authentifiziert. Durch das AAA-Konzept (Authentication, Authorization, Accounting) lassen sich auch genaue Auswertungen über die einzelnen Loginzeiten usw. erstellen. Freeradius wird als Zwischenschicht für diejenigen Dienste verwendet, die nicht direkt auf LDAP zugreifen können, wie PPTP und L2TP/IPSEC. Auch hier kann eine genaue Konfiguration nicht erklärt werden. Es wird eine funktionierende Freeradius Konfiguration vorausgesetzt, mit OpenLDAP als Backend. KONKRETE ANPASSUNG DER DIENSTE Squid Squid ist ein mächtiger, freier, Open-Source Web Proxy u.a. für HTTP, HTTPS und FTP. In den aktuellen Versionen (derzeit Squid 2.5Stable9) ist ein Modul zur LDAP Authentifizierung bereits fix integriert, befindet sich meist (distributionsabhängig) in /usr/lib/squid/, und muss in der Konfigurationsdatei squid.conf nur entsprechend hinzugefügt werden. (siehe Listing 1) Bei der Wahl dieses Moduls wird für die Authentifizierung das obige Programm ausgeführt: Es wird gegen den LDAP Server auf localhost eine Authentifizierung als Benutzer uid=manager, ou=admin, dc=cms, dc=local mit dem Passwort managerpasswort durchgeführt. Anschließend wird in der ou=users, dc=cms, dc=local nach einem Benutzer gesucht, der Abbildung 3 - LDAP Beispielstruktur folgende Anforderungen erfüllt: Objektklasse cmsuser uid = %s (der vom Squid übergebene Benutzername, dessen Passwort überprüft werden soll) Anschließend wird von diesem Benutzer das Passwort aus dem LDAP Verzeichnis mit dem Eingegebenen verglichen. Im Erfolgsfall wird OK, im Fehlerfall ERR zurückgegeben. Dieser Befehl lässt sich auch sehr leicht über die Shell testen. (siehe Listing 2) Bei der Eingabe von falschen Benutzerdaten (testuser1 und falschespasswort) wird ERR, bei den richtigen Daten (testuser1 geheim) OK zurückgegeben. Verwendet wurde die Squid Version 2.5Stable8. /usr/lib/squid/ldap_auth -v 3 -h localhost -D cn=manager,ou=admin,dc=cms,dc=local -w managerpasswort -b ou=users,dc=cms,dc=local -f (&(objectclass=cmsuser)(uid=%s)) Listing 1 - squid.conf

18 18 OpenLDAP meets Freeradius gibraltar:~# /usr/lib/squid/ldap_auth -v 3 -h localhost -D uid=manager,ou=admin,dc= cms,dc=local -w b ou=users,dc=cms,dc=lo cal -f (&(objectclass=cmsuser)(uid=%s)) testuser1 falschespasswort ERR testuser1 geheim OK Listing 2 - Test Postfix Postfix ist eine sichere Alternative zum weit verbreiteten Unix MTA Server Sendmail. Er ist schnell, einfach zu administrieren und sicher. Aus Kompatibilitätsgründen wirkt er nach außen hin wie Sendmail, ist allerdings intern komplett unterschiedlich aufgebaut. Durch seinen modularen Programmaufbau ist es möglich, jederzeit neue Funktionen, wie z. B. eine LDAP Authentifizierung, hinzuzufügen. Zusätzlich können noch Komponenten für SPAM- und Virenfilterung (wie Spamassassin und ClamAV/Kaspersky Antivirus) integriert werden. Für Postfix gibt es 2 verschiedene Ansätze zur LDAP Authentifizierung. Eine Möglichkeit mit saslauthd (wird in diesem Artikel beschrieben) und die Andere über ldapdb (nähere Informationen hierzu können im Linux Magazin [1] nachgelesen werden). Eine bereits funktionierende Authentifizierungskonfiguration mit saslauthd und einer lokalen SASL- Datenbank muss nur geringfügig verändert werden. In der Datei / etc/postfix/sasl/smtpd.conf werden folgende Zeilen eingetragen. Zusätzlich muss noch die Datei /etc/saslauthd.conf erstellt werden. Abschließend muss für eine erfolgreiche SMTP-Authentifizierung saslauthd mit den Argumenten saslauthd -a ldap -O /etc/ saslauthd.conf gestartet werden und die Authentifizierung erfolgt dadurch über den lokal laufenden LDAP Server. Dafür Base64-Codierung perl -e use MIME::Base64; print encode_ base64( testuser1\0testuser1\0geheim ) dgvzdhvzzxixmhrlc3r1c2vymtbnzwhlaw0= wird mit dem unter ldap bind dn angegebenen Benutzer eine Authentifizierung durchgeführt, Benutzer in der Organisationseinheit ou=users gesucht und die Daten mit den angegebenem Benutzernamen und Passwort verglichen. Zusätzlich sollte das Initskript von saslauthd um die entsprechenden Optionen ergänzt werden. gibraltar:~# telnet localhost 25 Trying Connected to gibraltar.example.net ( ). Escape character is ^]. 220 gibraltar.domain.tld ESMTP Postfix EHLO hostname 250-gibraltar.domain.tld 250-PIPELINING 250-SIZE ETRN 250-STARTTLS 250-AUTH PLAIN LOGIN 250-AUTH=PLAIN LOGIN 250 8BITMIME AUTH PLAIN dgvzdhvzzxixmhrlc3r1c2vymtbnzwhlaw0= 235 Authentication successful Listing 3 - Codierung, Authentifizierung /etc/postfix/sasl/smtpd.conf pwcheck_method: saslauthd mech_list: plain login /etc/saslauthd.conf ldap_servers: ldap://localhost ldap_bind_dn: uid=manager,ou=admin,dc=cms,dc=local ldap_bind_pw: managerpasswort ldap_search_base: ou=users,dc=cms,dc=local

19 OpenLDAP meets Freeradius 19 Zum Testen der Authentifizierung müssen der Benutzername und das Passwort Base64-codiert vorliegen. Bei einer erfolgreichen Authentifizierung erhält man von Postfix ein Authentication successful, andernfalls ein Authentication failed. (siehe Listing 3) PPTP Das Point-to-Point-Tunneling- Protocol dient zum Aufbau eines VPNs zum Austausch von privaten Daten über eine öffentliche Leitung. Es ist ein von einem Herstellerkonsortium (Ascend Communications, Microsoft Corporation, 3Com u. a.) entwickeltes Protokoll und definiert im RFC2637. Die Grundlage bildet PPP, durch den ein Tunnel zwischen 2 IP Adressen erstellt und der Verkehr darüber geroutet wird. Die Authentifizierung erfolgt dabei entweder über PAP oder CHAP. Microsoft verwendet mit MSCHAP eine eigene Implementierung der CHAP Authentifizierung. Als Verschlüsselung dient MPPE, beschrieben in RFC Eine direkte Authentifizierung über LDAP ist mittels PPTP bzw. L2TP nicht möglich. Hier wird als Zwischenschicht entweder ein Radiusserver (z.b. Freeradius) oder eine Active Directory bzw. Samba Domäne benötigt. Ab Version ist bei einer PPP- Installation (zumindest unter Debian) das Radiusplugin im Verzeichnis /usr/lib/pppd/2.4.3/ bereits fix integriert. Zusätzlich wird noch der Radiusclient benötigt, der zur Konfiguration dient. Hierfür muss lediglich das im Radiusserver definierte shared secret in die Datei /etc/radiusclient/servers hinzugefügt werden. Durch das Hinzufügen von plugin radius.so in die pptp-options-datei wird automatisch eine CHAP-Authentifizierung über Radius durchgeführt und die chapsecrets-datei ignoriert. Beim Verbindungsaufbau wird anschließend von PPP ein Access Request Paket an den Radiusserver geschickt. (Listing 4) Access-Request packet from host :1060, id=177, length=150 Service-Type = Framed-User Framed-Protocol = PPP User-Name = testuser1 MS-CHAP-Challenge = 0x2676b821dd815aef9af625f961a813d7 MS-CHAP2-Response = 0xd00015d91ca600f13ff55ddda81585db b3a6b59e06e6307acdbfca934a62b6aa b76d Calling-Station-Id = xxx.xxx.xxx.xxx NAS-Identifier = vpn NAS-Port = 0 Listing 4 - Access Request Packet Access-Accept of id 177 to :1060 Framed-IP-Address = Framed-MTU = 576 Service-Type = Framed-User Framed-Protocol = PPP Framed-Compression = Van-Jacobson-TCP-IP MS-CHAP2-Success = 0xd0533d MS-MPPE-Recv-Key = 0xc272633e7894c1a5a091fa06a0f54cea MS-MPPE-Send-Key = 0x27bed20d09b810bcdbf83947c7e2515a MS-MPPE-Encryption-Policy = 0x MS-MPPE-Encryption-Types = 0x Bei Übereinstimmung von Benutzername und Passwort wird ein Access Accept Paket vom Radiusserver geschickt und die Verbindung aufgebaut. (Listing 5) Andernfall wird ein Access Reject Paket vom Radiusserver geschickt und die Verbindung kann nicht aufgebaut werden. L2TP / IPSEC Das Layer-2-Tunneling-Protocol ist im RFC2661 definiert und bietet einen ähnlichen Funktionsumfang wie das Point-to-Point-Tunneling- Protokoll (PPTP). Auf der Basis der Spezifikationen für das Cisco Layer- 2-Forwarding-Protokoll (L2F) und des Microsoft Point-to-Point-Tunneling-Protokolls (PPTP) können mit L2TP Tunnel über dazwischenliegende Netzwerke eingerichtet werden. Ebenso wie PPTP integriert L2TP Datenblöcke aus dem Pointto-Point-Protokoll (PPP), in die wiederum IP-, IPX- oder NetBEUI- Listing 5 - Access Accept Packet Protokolle integriert sind. L2TP über einen IPSEC-Tunnel gilt als sicherste VPN Variante, da für IPSEC keinerlei Angriffe bekannt sind. Das Einrichten auf der Clientseite erfolgt unter Windows XP analog zu PPTP, es wird keine zusätzliche Software benötigt. Für IPSEC wird allerdings entweder ein gemeinsames Geheimnis (pre shared keys) oder eine PKI benötigt, dadurch wird es um einiges komplexer und aufwendiger. Die Verwendung von L2TP innerhalb eines IPSEC-Tunnels ist eigentlich nicht notwendig. IPSEC alleine würde als VPN-Lösung vollkommen genügen, allerdings verlangt die Verwendung von Windows XP als Client eine L2TP/IPSEC Verbindung. Analog zu PPTP braucht nur plugin radius.so in die l2tp-options-datei hinzugefügt werden. Vor der Authentifizierung über Radius muss zuvor ein IPSEC Tunnel aufgebaut werden. Die Host-Authentifizierung kann dabei über Zertifikate

20 20 OpenLDAP meets Freeradius oder so genannte pre-sharedkeys erfolgen. EXKURS: SICHERHEIT VON OPENSOURCE VPN-LÖSUNGEN Für das Erstellen einer VPN Verbindung (Roadwarrior Konfiguration) gibt es 3 gängige Verfahren: 1. PPTP PPTP gilt als unsicherste Variante der 3 gängigen Verfahren. Es ist auf Grund seiner einfachen Konfiguration dennoch weit verbreitet. Seit Windows NT bzw. Windows 9x ist bereits ein PPTP Client fix in Windows integriert. 2. L2TP über IPSEC Für die problemlose Verwendung von L2TP über IPSEC ist seit Windows XP ebenfalls ein Client fix integriert. Die Konfiguration des VPN Servers ist allerdings wesentlich komplexer, so wird z.b. für eine vernünftige IPSEC Lösung eine PKI benötigt. 3. OpenVPN OpenVPN hat den Vorteil, dass es sehr einfach zu konfigurieren und sehr sicher ist, die Verbindung wird durch SSL verschlüsselt. Es wird, im Gegensatz zu den beiden anderen Verfahren, ein eigener VPN Client benötigt, der allerdings sehr leicht zu bedienen ist. OpenVPN ist für viele unterschiedliche Plattformen verfügbar. Die Authentifizierung erfolgt entweder über Zertifikate oder Shared Secrets. Nähere Informationen können unter [2] nachgelesen werden. Die VPN Variante über PPTP sollte, wenn möglich, vermieden werden. Im Idealfall sollte L2TP/IPSEC verwendet werden, da es ohne eigenen Client auf Windows XP Rechnern verwendet werden kann, und dank IPSEC sehr sicher ist. Wem die Konfiguration zu komplex ist, der ist mit OpenVPN gut beraten. ZUSÄTZLICHE MÖGLICHKEITEN Durch geringfügige Veränderungen in den Konfigurationsdateien ist es auch möglich, für einen bestimmten User jeden Dienst einzeln freizuschalten. Das wird größtenteils durch eigene Attribute im LDAP erzielt, die einen bestimmten Wert besitzen müssen, damit sich der User authentifizieren kann. Für das Anlegen, Bearbeiten und Löschen von Benutzern mit entsprechenden Attributen gibt es Skripte in Perl oder auch geeignete Java Klassen. Auch eine Authentifizierung gegen das Microsoft Active Directory ist zumindest für Squid und PPTP sowie L2TP/IPSEC durch die Verwendung von winbind möglich. FAZIT Die Realisierung einer gemeinsamen Benutzerauthentifizierung für die Dienste Squid, Postfix, PPTP und L2TP/IPSEC ist durch die Dienste OpenLDAP und Freeradius mit wenig Aufwand zu realisieren, vor allem wenn die Dienste bereits in einer funktionierenden Konfiguration vorliegen und lediglich die Authentifizierungsmethode geändert werden muss. Das Hinzufügen neuer Dienste, wie z.b. Apache und Tomcat [3] oder Pure-FTPd, ist ebenfalls problemlos möglich. Eine LDAP Authentifizierung ist eine vernünftige Alternative um Ordnung in die Vielfalt von verschiedenen Authentifizierungsdateien der einzelnen Dienste zu bringen und ein zentralisiertes Management von Benutzerdaten zu ermöglichen. Es ist der erste Schritt zu einem vernünftigem Identity Management, so kann durch Speicherung zusätzlicher Anwenderdaten LDAP Verzeichnis auch gleichzeitig als Adressbuch verwendet werden. Ausführliche Konfigurationsanleitungen sowie der Möglichkeit Benutzer nur für einzelne Dienste freizuschalten und die dazugehörigen Skripte zum Bearbeiten können auf der Homepage vom Hagenbergerkreis ( at) herunter geladen werden. LITERATUR Peter Gastinger 1. Klünter, Dieter: Workshop: Benutzerauthentifizierung für Postfix mit LDAP und SASL. Linux Magazin, 01/05:71 73, VPN für Linux und Windows, c t Magazin, 09/06, Web-Zentrale, Linux Magazin, 05/05: security forum