System- und Netz-Sicherheit für UNIX-Systemverwalter

Transkript

1 Leibniz-Rechenzentrum, München System- und Netz-Sicherheit für UNIX-Systemverwalter Dr. Ernst Bötsch, Dr. Petra Eilfeld, Markus Wutzke 1. Auflage ( Februar 2004 ) Kurs-Übersicht Tag 1: Organisatorische Maßnahmen Passwort-Security Tag 2: Tag 3: Tag 4: Tag 5: Dateizugriffsrechte, Integrity-Checker Netz-Dienste, TCP -Wrapper, OpenSSH Tools für die System-Überwachung, Security-Scanner Firewalls, Vorgehen nach einem Angriff 2

2 Brauche ich diesen Kurs wirklich? (1) Können Sie sich mit einer der folgenden Aussagen identifizieren? Mein Rechner ist für einen Hacker vollkommen uninteressant. Auf meinem Rechner sind keine geheimen Daten. Den Inhalt darf sowieso jeder lesen. Es wird schon nichts passieren. Der Aufwand für die paar "Spielratzen" ist mir zu hoch. 3 Brauche ich diesen Kurs wirklich? (2) Hoffentlich müssen Sie nie folgendes sagen: Meine Freunde wollen keine s mehr von mir, weil sie von mir immer Viren bekommen. Mein Rechner soll an einem Denial-of-Service-Angriff teilgenommen haben. Von meinem Rechner wurden zahlreiche Spam-Mails verschickt. Über meinen Rechner wurden pornographische Bilder verteilt. 4

3 Es gibt ein Problem! Die Aktivitäten der Hacker und "Viren- / Würmer-Bastler" haben dramatisch zugenommen. Im Münchner Wissenschafts-Netz (MWN) ereignen sich oft an einem Tag so viele Security-Vorfälle wie noch Anfang 2001 in einem ganzen Monat ereigneten sich mehr als 500 Security-Vorfälle. 5 Was genau ist passiert? Angreifer sind auf der Suche nach nachlässig administrierten Rechnern, um sie für eigene Zwecke zu missbrauchen : Werkzeug für einen (distributed) Denial-of-Service-Angriff Ausgangspunkt für die Kompromittierung anderer Rechnern Verteil-Zentrale für Viren und Würmer Spam Urheberrechtlich-geschützte Daten (SW, Musik, Filme,...) Rechtsradikale Schriften, Kinder-Pornographie Abhörzentrale für das lokale Sub-Netz 6

4 Mögliche Konsequenzen Ist ein Rechner von einem Virus / Wurm befallen bzw. durch einen Angreifer kompromittiert, hilft meist nur eine komplette Neu- Installation. Kommen andere Rechner oder Personen zu Schaden, kann es passieren, dass... man unter Verdacht gerät, selbst der Übeltäter zu sein. man seinem eigenen Umfeld schadet. der Rechner auf eine schwarze Liste gerät. der Netzzugang oder das komplette Subnetz (vom LRZ) gesperrt wird. man sich durch Fahrlässigkeit mit schuldig macht. man (juristisch) haftbar gemacht wird. 7 Wer sind die Angreifer? Studenten / Schüler / "Skript-Kiddies" Mitarbeiter des eigenen Unternehmens / Instituts Hacker Professionelle Hacker / Industriespione / Cracker Personen aus dem Konkurrenz-/Wettbewerbs-Umfeld 8

5 Warum gibt es Security-Vorfälle? (1) Ursachen für Sicherheitsprobleme : Administrations- bzw. Benutzerfehler Schwachstellen in Programmen Konzeptions-Schwächen des Netzes Fehlende oder falsch konfigurierte Firewalls bzw. andere Security-Tools 9 Warum gibt es Security-Vorfälle? (2) Die größten Schwachstellen für die unternehmensweite Sicherheit laut Gartner: Unsichere kommerzielle bzw. Open-Source Software Unzulängliches Update- und Patch-Modell Leichtsinnige oder schlecht informierte Anwender Überforderte oder schlecht informierte Administratoren 10

6 Was wollen wir erreichen? (1) Schutz von Daten : Vertraulichkeit Integrität Authentizität Nachvollziehbarkeit Schutz von Ressourcen : Rechenleistung, Speicherplatz, Bandbreite Arbeitszeit Verfügbarkeit Kontrolle Last but not least: Schutz des guten Rufes : Diebstahl der Identität Veränderung von Webseiten Vertrauen der Kunden 11 Was wollen wir erreichen? (2) 100%-ige Sicherheit gibt es nicht! Streben Sie die 80%-Lösung an! Alle bekannten Sicherheitslücken schließen, um Standard-Angriffe zu erschweren; z.b.: Aktuelle Viren-Scanner (Mindestens) täglich aktualisierte Viren-Signaturen Möglichst gutes Kosten- / Nutzen-Verhältnis Sichere Ausgangsbasis für Server-Rechner (z.b. WWW- / -Server, Konfigurations-Dateien für Firewalls) 12

7 Themen-Überblick (1) Organisatorische Maßnahmen: Grundregeln Sicherheitskonzept Verhaltensregeln nach / während eines Angriffs 13 Themen-Überblick (2) Technische Maßnahmen: Verbesserung des Passwort-Schutzes Datei- und Dateisystem-Security System-Überwachung Netz-Dienste TCP-Wrapper Personal Firewall OpenSSH Security-Scanner 14

8 Grundregeln Der Mensch ist das schwächste Glied in der Kette! Security ist nicht umsonst! (Geld, Person-Power, Bequemlichkeit) Keine Security ist aber viel teurer! Restriktive / präventive Basis-Philosophie Eine möglichst kleine Angriffsfläche bieten! Gestaffelte Abwehr Software auf dem aktuellen Stand halten! 15 Basis-Philosophie Wie wollen Sie starten? Variante 1: Variante 2: Start: Möglichst freizügige Ausgangs -Konfiguration Start: Möglichst restriktive Ausgangs -Konfiguration Einschränkung: Nach Security-Vorfällen von Fall zu Fall Lockerung: Wenn es die Umstände erfordern von Fall zu Fall 16

9 Freizügige Ausgangs-Konfiguration Vorteile :? Alles bleibt, wie es ist, d.h. kein umdenken / dazu lernen erforderlich? Weniger Probleme in der Anfangs-Phase? Wenige Einschränkungen für Benutzer, also weniger Klagen Nachteile :? Genaue Verbote aufstellen ist sehr schwierig ("Schlupflöcher").? Security-Vorfall wahrscheinlich, d.h. Bearbeitungs-Aufwand? Reaktion statt Prävention. Sie müssen schneller sein als der Angreifer. Sonst: Viel Zeit für Bearbeitung des Security-Vorfalls erforderlich. 17 Restriktive Ausgangs-Konfiguration Vorteile :? Kleinere Angriffsfläche? Prävention statt Reaktion Nachteile :? Bequemlichkeitsverlust. ("Der Zugang von zu Hause ist verboten.")? Beschwerden von Benutzern. ("Warum muss ich ein so kompliziertes Passwort wählen?")? Umstellungen verzögern sich. ("Der Firewall-Adminstrator hat gerade Urlaub.")? Falls etwas nicht funktioniert, ist die Fehlersuche manchmal aufwändiger. ("Ach ja! Das kann ja nicht funktionieren! Der Port wird ja von der Firewall geblockt.") 18

10 Schwächstes Glied der Kette: Der Mensch! Fehlendes Sicherheitsbewusstsein : Zu knappes Budget bzw. zu wenig Zeit für Security Benutzer wählen nach wie vor schlechte Passwörter. -Anhänge werden nach wie vor leichtsinnig ausgeführt. Administratoren und Benutzer müssen geschult werden! (Sensibilisierung) 19 Security ist nicht umsonst! Prävention : Policies erarbeiten, publizieren, durchsetzen, aktualisieren Maßnahmen testen, einsetzen, überprüfen, warten Benutzer informieren (Kurse, Info-Material) Sich selbst über neue Gefahren, Methoden, Tools etc. informieren Software und/oder Hardware beschaffen Vorfall-Bearbeitung : Fahndung nach Einbruchsversuchen Bearbeitung von Beschwerden Wiederherstellung des Produktionsbetriebs 20

11 Gestaffelte Abwehr Kein Single-Point-of-Failure! Verlassen Sie sich nicht auf eine einzelne Methode! Physische Security Login-Verfahren Dateizugriffsrechte Netz-Dienste beschränken (TCP-Wrapper, Firewall) Verschlüsselung Backups 21 Eine möglichst kleine Angriffsfläche bieten! "Eine Security-Lücke in einem Server-Programm kann von außen nicht missbraucht werden, wenn der Server nicht aktiviert ist!" Nur diejenigen Netz-Dienste anbieten, die man auch wirklich benötigt! Zugriff auf Netz-Dienste beschränken! Zahl der Programme, die mit priviligierten Rechten laufen, auf das absolute Minimum beschränken! Benutzern nur Zugriff auf Programme und Daten gewähren, die sie für ihre Arbeit benötigen! Kennungen, die nicht mehr benötigt werden, sofort deaktivieren oder löschen! 22

12 Software auf dem aktuellen Stand halten! "Installieren und vergessen" funktioniert nicht! Auf Sicherheitslöcher achten und entsprechende Patches einspielen. Herstellerseiten: LRZ: Unabhängige Seiten: http: // http: // http: // -Verteiler: DFN-CERT-Verteiler 23 Planung (1) Ermittlung des IST-Zustandes : Wie wertvoll sind Daten / Dienste? Wie hoch ist der Wiederherstellungs-Aufwand nach einem Verlust? Wie hoch muss die Verfügbarkeit sein? Überblick über eingesetzte Hard- und Software verschaffen Welche Aufgaben erfüllen die Rechner? Welche Informationen befinden sich auf den Rechner? Wer besitzt Zugang zu den Rechnern und Informationen? Wer verfügt über Systemverwalterrechte? Welche Netz-Dienste gibt es? Ist die eingesetzte Software auf dem aktuellen Stand? Welche Security-Maßnahmen werden bereits eingesetzt? 24

13 Planung (2) Ermittlung des Soll-Zustands : Welche Server bzw. Netz-Dienste werden wirklich benötigt? Welche Programme werden wirklich benötigt? Wer muss wo und wie Zugang haben? Welche Rechner müssen besonders gesichert werden? Welche Daten müssen besonders gesichert werden? 25 Risikoanalyse Geschätzte Kosten durch eintretende Schäden: Finanzieller Schaden Imageverlust Wiederherstellung Arbeits-Aufwand Kosten durch Vorsorge- Maßnahmen: Sicherheits-Management Sicherheitsanalyse Maßnahmen-Realisierung Aufrechterhaltung 26

14 Sicherheitskonzept Policy "Grundgesetz" Standards "Gesetze" Ausführungsbestimmungen "Verordnungen" 27 Verbesserung des Passwortschutzes Aufbau von /etc/passwd und /etc/shadow Angriffe auf Passwörter Kriterien erzwingen Passwörter selber knacken 28

15 /etc/passwd Jede Zeile enthält 7 durch ":" getrennte Felder : Login:verschl. Passwort:UID:GID:GECOS:Home-Directory:Login-Shell Beispiel: wutzke:n/7jo8qbwjgcu:500:100:markus Wutzke:/home/wutzke:/bin/bash Zugriffsrechte: -rw-r--r-- root root /etc/passwd Problem : Verschlüsselte Passwörter sind für alle lesbar! 29 crypt Einweg-Verfahren : Es gibt keine bekannte Möglichkeit, das Klartext-Passwort aus dem verschlüsselten Passwort zu berechnen! Verschlüsseltes Passwort : Genau 13 Zeichen lang Die ersten 2 Zeichen bilden den "Salt". Zeichen-Vorrat: A-Z, a-z, 0-9, '.', '/' Problem : Vergleich von verschlüsselten Wörtern mit verschlüsselten Passwörtern möglich! 30

16 Wörterbuch-Angriff auf verschlüsselte Passwörter? Man nehme ein möglichst großes (aktuelles) Wörterbuch,? verschlüssele alle darin enthaltenen Wörter,? vergleiche mit den verschlüsselten Passwörtern? und : 5% - 70% der Passwörter sind geknackt : 70%: Keine Restriktionen, "Wildwuchs" 30%: Sporadische Security-Infos und -Aktionen 5%: Publizierte Regeln + sensibilisierte Admins und Benutzer < 5%: Durch Tools erzwungene Regeln 31 Brute-Force-Angriff auf verschlüsselte Passwörter (1) Knack-Rate bei "Intel Pentium IV, 1500 MHz": Verschlüsselungen pro Sekunde 10 Ziffern, 26 Klein- und Großbuchstaben, 41 Sonderzeichen : Anzahl Kombinationen Knack-Dauer (Y D H:M:S) 77 8 = :47: = :27: = :32: = :54:57 32

17 Brute-Force-Angriff auf verschlüsselte Passwörter (2) Groß- und Kleinschreibung + 1 Sonderzeichen oder Ziffer : Anzahl Kombinationen Knack-Dauer (Y D H:M:S) 8*51*52 7 = :19:49 7*51*52 6 = :14:36 6*51*52 5 = :13:45 5*51*52 4 = :08:29 33 Brute-Force-Angriff auf verschlüsselte Passwörter (3) Nur Groß- und Kleinschreibung : Anzahl Kombinationen Knack-Dauer (Y D H:M:S) 52 8 = :07: = :26: = :07: = :15:08 34

18 Schlechte Passwörter (1) Bereits 1 (!!) der folgenden Kriterien reicht aus : Weniger als 8 Zeichen Wörter aus natürlichen Sprachen, die man z. B. im Duden finden kann. Namen von Personen, Städten, Gebäuden Rechnernamen, Benutzerkennungen Geburtsdaten, Telefonnummern, Auto-Kennzeichen Abkürzungen oder Spitznamen Einfache Tastaturfolgen, z. B. qwertz, qwerty oder asdfgh Anfangsbuchstaben von bekannten Sprichwörtern, Liedern, usw., z. B. AmEsadS oder WrssdNuW 35 Schlechte Passwörter (2) Ebenso unbrauchbar sind Modifikationen dieser Worte durch Hinzufügen einer Zahl (torvald9, tor5vald,...) Rückwärtsschreiben (sdlavort, sunil,...) Hinzufügen eines Sonderzeichens (kak!tus, spros*se,...) Ersatz einzelner Zeichen ( l durch 1, O durch 0 ) 36

19 Gute Passwörter Alle (!!) folgenden Kriterien müssen erfüllt sein : Erfüllt kein Kriterium eines schlechten Passworts. Länger als 7 Zeichen. Achtung: Mache Programme akzeptieren zwar längere Passwörter, werten aber nur die ersten 8 Zeichen aus. Enthält Groß- und Kleinschreibung. Enthält mindestens eine Ziffer und ein Sonderzeichen. Die Ziffer bzw. das Sonderzeichen steht nicht am Anfang oder am Ende. Man kann sich das Passwort leicht merken. Man kann das Passwort schnell tippen ( Blick über die Schulter ) 37 Collage-Methode? 2 Wörter wählen (möglichst aus verschiedenen Sprachen).? Hieraus jeweils 3 Buchstaben wählen (z.b. die ersten o. letzten 3).? Groß- und Kleinbuchstaben verwenden.? 2 Ziffern und/oder Sonderzeichen wählen.? Alle Bestandteile zusammensetzen, dabei die Ziffern und / oder Sonderzeichen nicht nur am Anfang und / oder Ende. Beispiel: "haus" + Hausnr "HOUSE" hau23hou 38

20 Akronym-Methode? Einen Satz auswählen, der keinesfalls allgemein bekannt sein darf.? Auswahl von 6 7 Wörtern aus diesem Satz.? Anfangsbuchstaben der ausgewählten Wörter verwenden.? Groß- und Kleinbuchstaben verwenden.? 2 1 Ziffer und/oder Sonderzeichen wählen.? Alle Bestandteile zusammensetzen, dabei die Ziffer(n) und/oder Sonderzeichen nicht nur am Anfang und/oder Ende. Beispiel: "Esa,dkab" ist ein Akronym für Punkt? 39 /etc/shadow Jede Zeile enthält 9 durch ":" getrennte Felder : Login:verschl. Passwort:geändert:min:max:warnung:inaktiv:Verfallsdatum:reserviert Beispiel : wutzke:n/7jo8qbwjgcu:0:180:7:7:12611: Zugriffsrechte : -rw root root /etc/shadow Problem gelöst : Passwörter sind nur noch für root lesbar! 40

21 /etc/passwd bei Verwendung von /etc/shadow Login:x:UID:GID:GECOS:Home-Directory:Login-Shell Beispiel: wutzke:x:500:100:markus Wutzke:/home/wutzke:/bin/bash Zugriffsrechte: -rw-r--r-- root root /etc/passwd 41 Kennungen deaktivieren Passwort auf einen ungültigen Wert setzen : root# passwd l wutzke root# grep wutzke /etc/shadow wutzke:!n/7jo8qbwjgcu:... Kennung wieder aktivieren : root# passwd u wutzke root# grep wutzke /etc/shadow wutzke:n/7jo8qbwjgcu:... 42

22 Hersteller- oder Systemkennungen deaktivieren Hersteller- und Systemkennungen können deaktiviert werden, weil sie nur für den Betrieb bestimmter Programme erforderlich sind, aber kein Benutzer sich unter dieser Kennung einloggen soll bzw. darf! Beispiele aus /etc/shadow : daemon:nologin:... bin:nologin:... sys:nologin:... mysql:nologin:... sshd:nologin:... Oft wird auch "*" anstelle von "NOLOGIN" verwendet. 43 Regelmäßige Überprüfungen Führen Sie folgende Überprüfungen täglich durch : Sind die Zugriffsrechte für /etc/passwd und /etc/shadow richtig gesetzt? Existieren Kennungen ohne Passwörter? Gibt es Kennungen mit "UID == 0", die nicht von Ihnen eingerichtet wurden? Gibt es Benutzer-Kennungen, die nicht von Ihnen eingerichtet wurden? Existieren Kennungen mit gleicher UID (Gruppen-Kennung!)? 44

23 Kennungen ohne Passwort Kennungen ohne Passwort auflisten : root# awk F: 'length($2)<1 {print $1}' /etc/passwd root# awk F: 'length($2)<1 {print $1}' /etc/shadow Beispiel : root# awk F: 'length($2)<1 {print $1}' /etc/shadow godzilla root# grep godzilla /etc/shadow godzilla::11964:0:7:7:7:12444: 45 Kennungen mit "UID == 0" Achtung : Jede Kennung mit "UID == 0" ist eine root-kennung, auch wenn der Login-Name "hugo" oder "clara" ist! Erkennung : root# awk F: '($3 == 0) {print $1}' /etc/passwd Beispiel zur Überprüfung : root# awk F: '($3 == 0) {print $1}' /etc/passwd root toor 46

24 Neue Kennungen auflisten Legen Sie eine Sicherungskopie der Datei /etc/passwd an! root# cp /etc/passwd ~/orig/passwd.orig Vergleichen Sie regelmäßig Original und Ist -Zustand : root# diff ~/orig/passwd.orig /etc/passwd 26a27 >toor:x:0:0:toor:/bin:/bin/bash 47 Sortieren nach UID Überblick über Kennungen mit gleicher UID : root# sort g t: +2 /etc/passwd Erklärung : -g Numerisch sortieren -t: Feld-Trenner ist der ":" +2 Ab dem 2. Feld sortieren 48

25 Fehlgeschlagene Login-Versuche Kennungen automatisch sperren, wenn sich Benutzer mehrmals hintereinander falsch einloggen : root# faillog m 3 root# faillog m 0 u root Achtung : Nicht für root-kennungen setzen! Andernfalls ist ein Denial-of-Service-Angriff auf die root-kennung sehr einfach. 49 Password-Aging (1) Gültigkeit eines Passworts festlegen : (bei Linux) Syntax: passwd x max n min w warn i inact login Beispiel: root# passwd x 180 w 7 i 7 wutzke Sinnvolle Werte: Systemverwalter-Kennungen: max. 1-3 Monate (30-90 Tage) Benutzer-Kennungen: max. 3-6 Monate ( Tage) 50

26 Passwort-Aging (2) Absolutes Verfallsdatum für eine Kennung festlegen : Syntax : usermod e expire_date login Beispiel : root# usermod e wutzke Sinnvolle Werte : Studenten-Kennungen: Dauer eines Semesters + Reserve (z.b. 1 Monat) 51 cracklib Das Passwort wird bereits bei der Wahl auf bestimmte Kriterien hin geprüft : Überprüfung des Passworts hinsichtlich bereits bekannter Benutzerinformationen, wie z. B. Login-Name, realer Name, usw. Überprüfung des Passwortes hinsichtlich Zahlen- und Buchstabenreihen wie z.b. " " oder "abcdefgh" Wörterbuchangriff (entsprechend großes und aktuelles wählen) Vorteil : Das Passwort liegt im Klartext vor. 52

27 Crack, John the Ripper Führt einen Wörterbuchangriff aus. Nachteil : Sehr Zeit-intensiv, weil Wörter erst verschlüsselt werden müssen. Bezugsquellen : Crack, cracklib : ftp://ftp.cert.dfn.de/pub/tools/password/crack/ John the Ripper : 53 Zusammenfassung Shadow-Mechanismus verwenden Regelmäßige Überprüfung der Passwort-Dateien Kennungen automatisch sperren, die sich mehrmals hintereinander falsch einloggen. Benutzer über Gefahren aufklären 54