Inhaltsverzeichnis Einf uhrung und Beispiel-Szenario Bedrohungs- und Risikoanalyse

Transkript

1 Inhaltsverzeichnis 1 Einführung und Beispiel-Szenario Aufbau des Buches Beispiel-Szenario Die Corrosivo GmbH Organisatorischer und technischer Ist-Zustand Ziele der Neustrukturierung Bedrohungs- und Risikoanalyse Security Engineering Risiken Klassifikation der Angreifer Informationsbeschaffung durch den Angreifer Klassifikation der Angriffe Aktive Angriffe Denial of Service (DoS) Autonome Angriffe Schutzmaßnahmen Sicherheitskonzept (Security Policy) Schutz der Infrastruktur Schutz dezidierter Rechensysteme Schutz des Netzwerks Sicherheitssysteme im Netzwerk Verhalten bei einem Einbruch (Incident Response) Indizien für einen Einbruch Checkliste: Was tun bei Einbruchsverdacht? Untersuchung des verdächtigen Systems

2 VI Inhaltsverzeichnis 2.8 Sicherheitskonzept für die Corrosivo GmbH Schutzziel-Definition und Datenverteilung Physikalische Sicherheit Kommunikationsbeziehungen WAN-Bandbreiten Externe Leistungsauswahl Migration Grundlagen von TCP/IP-Netzwerken OSI- und Internet-Schichtenmodell Ethernet Address Resolution Protocol (ARP) Reverse Address Resolution Protocol (RARP) Internet Protocol (IP) und Routing Adressierung Routing Zusammenspiel Ethernet, ARP und IP Protokollnummern Transmission Control Protocol (TCP) User Datagram Protocol (UDP) Ports und Sockets Internet Control Message Protocol (ICMP) Übungen IP-Adresskonzept Routing-Komponenten Netzplan auf IP-Ebene Schicht-2-Komponenten Netzplan auf Ethernet-Ebene Konfiguration des Netzwerks Hacking, Sicherheits- und Netzwerkanalyse Passwort-Cracker Der Passwort-Cracker John the Ripper Rootkits Das KNARK-Rootkit Denial of Service-Programme

3 Inhaltsverzeichnis VII Teardrop Nuke Smurf Jolt Online-Demonstrationen Sicherheitsanalyse Der Portscanner Nmap Der Security Scanner Nessus Der Webserver-Scanner Nikto Netzwerkanalyse Header-Analyse mit tcpdump Datenanalyse mit ngrep Analysetool Ethereal Übungen Grundlagen der Kryptologie Verschlüsselungsverfahren Symmetrische Verschlüsselungsverfahren Data Encryption Standard (DES) Triple-DES (3DES) International Data Encryption Algorithm (IDEA) Advanced Encryption Standard (AES) Asymmetrische Verschlüsselungsverfahren Diffie-Hellmann RSA ElGamal Vergleich symmetrischer und asymmetrischer Verschlüsselung Hybride Verschlüsselungsverfahren Kryptographische Prüfsummen Message Digest Nr. 5 (MD5) Secure Hash Algorithm (SHA-1) RIPEMD Digitale Signaturen Zertifikate X.509-Zertifikate Umsetzbare Sicherheitsanforderungen...102

4 VIII Inhaltsverzeichnis 5.10 GNU Privacy Guard (GnuPG) Schlüsselgenerierung und -verwaltung Signieren und Signaturen prüfen Verschlüsseln und entschlüsseln Signieren und Verschlüsseln einer Nachricht Kryptographische Prüfsummen Übungen GnuPG Dienste in TCP/IP-Netzwerken Domain Name System (DNS) Namensraum und Adressauflösung Nameserver und Resolver Die Software BIND Telnet File Transfer Protocol (FTP) Berkeley r-dienste Schutzmechanismen für ungesicherte Dienste Secure Shell (SSH) Funktionsweise von SSH Konfiguration von SSH Electronic Mail Simple Mail Transfer Protocol (SMTP) Zusammenspiel DNS und SMTP Sicherheitsaspekte Sendmail World Wide Web Hypertext Transfer Protokoll (HTTP) Secure Socket Layer (SSL) Apache-Webserver mit SSL Übungen Hard- und Software der Server Server-Installation und Netzwerkkonfiguration Administration der Komponenten Deaktivieren nicht benötigter Netzwerk-Dienste Installation der Dienste

5 Inhaltsverzeichnis IX 7 Firewall-Typen und -Architekturen Begriffsdefinition: Firewall Firewall-Typen Konfigurationsansätze Firewall-Architekturen Einstufige Firewall-Architektur Architektur mit überwachtem Host Überwachtes Teilnetz und Singlehomed Gateway Überwachtes Teilnetz und Multihomed Gateway Einsatz und Grenzen von Firewalls Management Paketfilter-Firewalls Statische und dynamische Paketfilterung Paketfilterung mit Netfilter/iptables unter Linux Statische Paketfilterung mit Netfilter Dynamische Paketfilterung mit Netfilter Anti-Spoofing Separate Anti-Spoofing-Konfiguration Interface-bezogene Freischaltungen Routing und Anti-Spoofing koppeln Anti-Spoofing unter Netfilter/iptables Unabhängige Anti-Spoofing-Konfiguration Anti-Spoofing-Freischaltungsregeln Routing-Tabelle und Anti-Spoofing: rp filter Bewertung der drei Methoden Network Address Translation (NAT) Statisches NAT IP-Masquerading Load Balancing NAT und Paketfilterung NAT mit Netfilter/iptables Statisches NAT IP-Masquerading Firewall Builder: Eine grafische Netfilter-Oberfläche Installation

6 X Inhaltsverzeichnis Kurzbeschreibung Hinweise zur Netfilter-Konfiguration Logging anpassen Log-Dateien durchsuchen Dienst ohne Filterung testen Übungen Paketfilterung für IP und TCP/UDP Proxy-Firewalls Application-Level-Proxies Funktionsweise eines Application-Level-Proxies Adressumsetzung User-Authentisierung und Zugriffskontrolle Nutzdatenanalyse Transparent-Modus Implementierungsaspekte Zusammenfassung Circuit-Level-Proxies Content-Filter Viren-Scanner für Mail-Systeme Spam-Filter Content-Filter für HTTP Realisierung von Proxies Squid: Ein Caching-Proxy HTTP Content Filtering: Squid Filter Module Firewall-Tool-Kit (FWTK) SOCKS: Ein Beispiel für einen Circuit-Level-Proxy Übungen Hard- und Software der Proxies Proxy-Konfiguration Virtual Private Networks (VPN) SSH-Tunnel TCP-Tunnel X11-Forwarding VPNs mit Internet Protocol Security (IPSec)

7 Inhaltsverzeichnis XI IP Authentication Header (AH) IP Encapsulating Security Payload (ESP) Security Association (SA) SA-Synchronisation und Schlüsselaustausch IPSec-VPNs mit FreeS/WAN Übungen Intrusion Detection Fehlerarten Zeitliche Abfolge der Auswertung Batch- oder Intervall-orientierte Auswertung Real-Time-Auswertung Arten der Analyse Signatur-Analyse Statistische Analyse, Anomalie-Analyse Integritätsanalyse Platzierung der Sensoren Host-basierende ID-Systeme Netzwerk-basierende ID-Systeme Bewertung der Möglichkeiten von ID-Systemen Host-basierende Intrusion Detection mit Tripwire Installation von Tripwire Initialisierung Die Konfigurationsdatei twcfg.txt Die Policy-Datei twpol.txt Datenbank-Initialisierung Durchführen eines Integritätschecks Datenbank-Aktualisierung Grenzen von Host-basierenden IDS Netz-basierende Intrusion Detection mit Snort Die Konfigurationsdatei snort.conf Alert- und Log-Dateien Kommandozeilen-Option Snort-Regeln Übungen Intrusion Detection...335

8 XII Inhaltsverzeichnis 12 Lösungen zu ausgewählten Übungen Lösungsvorschläge zu Kapitel Lösungsvorschläge zu Kapitel Lösungsvorschläge zu Kapitel Lösungsvorschläge zu Kapitel Lösungsvorschläge zu Kapitel Lösungsvorschläge zu Kapitel Lösungsvorschläge zu Kapitel Lösungsvorschläge zu Kapitel A Anhang 389 A.1 IP-Netzmasken A.2 Tipps zu Konfiguration und Test A.2.1 Allgemeine Hinweise zur Konfiguration A.2.2 Der Zugriff auf Logging-Daten A.2.3 Informationsquellen A.2.4 Allgemeine Netzwerk-Tests Abkürzungen 397 Stichwortverzeichnis 417

9 Vorwort Dieses Buch hat eine relativ lange Vorgeschichte. Sie beginnt am Lehrstuhl für Kommunikationssysteme und Systemprogrammierung des Instituts für Informatik der Ludwig Maximilians Universität (LMU) München. Der Ordinarius des Lehrstuhls, Prof. Dr. Heinz-Gerd Hegering, wollte im Frühjahr 2002 aufgrund der Aktualität des Themas ein neues Praktikum ins Leben rufen: das Praktikum IT-Sicherheit, das sowohl den Studenten der LMU als auch denen der TU München angeboten werden sollte. Dr. Helmut Reiser, wissenschaftlicher Assistent des Lehrstuhls, koordinierte den Aufbau des Praktikums fachlich und organisatorisch. Nach einigen Gesprächen waren mit Barbara Oberhaitzinger und Helmar Gerloni zwei Personen aus der Industrie gefunden, die aufgrund ihrer mehrjährigen Tätigkeit beim IT-Unternehmen debis Systemhaus, heute Teil der IT-Tochter der Deutschen Telekom, T-Systems, gute Voraussetzungen mitbrachten, um umfangreiche Erfahrungen und Beispiele aus der Praxis mit in die Lehrveranstaltung einfließen zu lassen. Da das Praktikum bereits im Sommersemester 2002 zum ersten Mal als Pilotveranstaltung angeboten wurde, begann eine hektische Zeit: Die Unterlagen mussten erstellt werden, außerdem fehlten noch Hardware, Software, Hörsaal, Hiwis, also eigentlich alles, was für eine solche Lehrveranstaltung nötig ist. Aber bereits im Wintersemester wurde das Praktikum, nicht zuletzt auch wegen der großen Nachfrage, in den regulären Stundenplan aufgenommen und seitdem zweimal im Jahr durchgeführt. Nach zwei Semestern kam es dann zu ersten Gesprächen mit Prof. Jürgen Plate, von der FH München. Er stellte den Kontakt mit dem Hanser Verlag her. Die Idee, aus den Praktikumsunterlagen ein Buch zu machen, nahm Gestalt an. Die Unterlagen wurden inhaltlich erweitert, aktualisiert, umgeschrieben, korrigiert, eben auf Buch- Qualität getrimmt. Das Ergebnis liegt jetzt vor Ihnen. Auf den folgenden gut 400 Seiten präsentieren wir Ihnen sehr viele Themen aus dem Gebiet der Rechner- und Netzwerk-Sicherheit. Jedes Kapitel erklärt zuerst die theoretischen Grundlagen, im zweiten Teil möchten wir Ihnen den unserer Meinung nach besten Weg zeigen, sich in die Themen einzuarbeiten: selbst Hand anzulegen und eigene Erfahrungen mit der Materie, der Software, den Protokollen und manchmal auch den Tücken der Thematik zu sammeln. Die Struktur der Übungen soll Ihnen dabei helfen, sich nicht in der Vielfalt der

10 XIV Vorwort Möglichkeiten zu verlieren, und Sie auf einem praktikablen Weg zur Lösung führen. Die Vielfalt der behandelten Themen hat natürlich auch seine Nachteile: zu fast jedem Thema gibt es mindestens ein Buch, mit einem ähnlichen Umfang wie dieses Buch. Wir zeigen Ihnen hier die, nach unserer Erfahrung, wichtigsten und interessantesten Bereiche aus dem Gebiet. Wir wollen Sie aber auf jeden Fall, mithilfe der vielen angegebenen Quellen, dazu anregen, Ihr Wissen weiter zu vertiefen. Weitere Informationen zu diesem Buch finden sie auch unter sicherheitsbuch. Danken möchten wir an dieser Stelle vor allem Prof. Dr. Heinz-Gerd Hegering, der dieses Buch erst möglich gemacht hat. Er hat uns die Infrastruktur, die Rechner und die Mittel für das Praktikum zur Verfügung gestellt und uns vor allem persönlich durch seine große Erfahrung und mit vielen wertvollen Tipps unterstützt. Prof. Hegering leitet auch das Münchner Netzmanagement Team (MNM-Team), eine Gruppe von Wissenschaftlern beider Münchener Universitäten, und des Leibniz Rechenzentrums der Bayerischen Akademie der Wissenschaften. Auch bei den Mitgliedern des MNM-Teams möchten wir uns für die intensiven Diskussionen und Anregungen bedanken. Unser Dank gilt auch unserem Arbeitgeber T-Systems, insbesondere der Abteilung TCS/PS unseres Vorgesetzten Johann Huber, für die kreativen Freiheiten, die es uns erst ermöglichten, sowohl über das Wissen als auch die Zeit zu verfügen, um dieses Buch zu verwirklichen. Auch von Seiten der Mitarbeiter haben wir einiges an Unterstützung erhalten. Besonderer Dank geht an Horst Kliemas, ohne dessen hervorragende Kenntnisse im Bereich Routing, Switching und RZ-Netzwerkdesign die Beschreibung der Cisco-Konfigurationen in dieser Form sicher nicht möglich gewesen wäre. Zuletzt noch einen besonderen Dank an unsere einsatzfreudigen Hiwis, die sich nicht nur gut um die Studenten, sondern auch um die Verbesserung der Unterlagen mit wertvollen Tipps, Anregungen, aber auch Kritik, gekümmert haben.... und nicht zu vergessen: Unsere Studenten! Sie hatten es nicht immer leicht mit uns. Auch aus ihren Reihen kamen viele wichtige Hinweise, die ebenfalls in dieses Buch eingeflossen sind. Die nächsten Semester werden zeigen, wie lernfähig WIR sind! Last but not least danken wir auch unseren Familien, die, insbesondere in der heißen Phase, manches Wochenende auf uns verzichten mussten, für ihr Verständnis und ihre Toleranz.