Steffen Wendzel, Johannes Plötner. Praxisbuch Netzwerk-Sicherheit Risikoanalyse, Methoden und Umsetzung

Transkript

1 Steffen Wendzel, Johannes Plötner Praxisbuch Netzwerk-Sicherheit Risikoanalyse, Methoden und Umsetzung

2 Vorwort zur 2. Auflage 21 Einleitung 23 TEIL I: EINFÜHRUNG 1.1 Die Räumlichkeiten Der Serverraum Die Computerarbeitsplätze Social Engineering Handys, PDAs & Co PDAs Handys Speichermedien Hacker, Cracker & Spione Panikmache Und das Know-how? Zahlen Industriespionage Viren, Würmer & Trojaner Schädlinge Botnetze Spam Selbst in der Verantwortung stehen Ansprechpartner Information Informationsbeschaffung Ein klassisches Unternehmensnetzwerk Zugangskontrollen Das Netzwerk Wireless LAN Der Standard Sicherheit WEP 64 5

3 2.2.4 WPAundVPN Bluetooth Die Funktionsweise Sicherheitsaspekte Mobilgeräte Datenverlust durch Diebstahl Gefahr durch Handys Zusammenfassung Das GSHB des BSI Aufbau Einschränkungen Das GSHB anwenden Strukturanalyse Schutzbedarf Modellierung Weitergehende Maßnahmen Sicherheitscheck und -revision Zusammenfassung 81 TEIL II: SICHERHEIT VON NETZWERKEN 4.1 Grundlagen und Konzepte Default Deny Firewalls NAT und Masquerading Paketfilter Typische Einsatzgebiete Funktion NAT Personal Firewalls Szenario 1: auf den Clients eines Firmen-LANs Szenario 2: auf einem Heimrechner Absicherung von Clients und Heimrechnern Gefahren iptables/netfilter für Linux Support im Kernel 98 6

4 4.4.2 Die Funktionsweise Beispiele für den Einsatz Iptables im Detail pffüropenbsd pf aktivieren pfctl Regeln erstellen pfsync und CARP IPFilter-eine kurze Einführung Portabilität Filterregeln IPF-Administration Firewall-Konfiguration mit fwbuilder Proxyserver Funktion Einsatz Beispiel: Squid unter Linux Zusammenfassung Switches oder Router? Hubs Switches Repeater Bridges Router Bastion Hosts DMZ Aufbau Ein Beispiel Terminal-Server vs. Desktops Honeypots Argumentation Honeypot-Farm Zusammenfassung Honeypots in der Praxis Honeyd 151 7

5 6.1.2 Honeytokens Darknets Welche Software? Linux-Syslog-Server Motivation syslogd Konfiguration des Servers Konfiguration der Clients logrotate logcheck Sicherheitsaspekte Ausblick: syslogd-ng Intrusion Detection Mögliche Implementierungen von IDS Snort Aufbau der Intrusion Detection snort.conf Dateisystem-Intrusion-Detection mtree Ein Abbild des Dateisystems erstellen Auf Veränderungen überprüfen Prozesse überwachen Unix-Prozess-Accounting FUPIDS fupids SID systrace IDMEF Intrusion Prevention systrace Intrusion Response Zusammenfassung Netzwerkmonitoring mit Nagios Die Installation Die Konfiguration Die Plugins Nmap: Der wichtigste Portscanner Prinzip eines Portscanners 214 8

6 7.2.2 Techniken des Scannens Weiterer Informationsgewinn Nmap in der Praxis Nessus: Ein Security-Scanner Die Installation Die Konfiguration Nessus benutzen Sniffer tcpdump Wireshark (ehemals ethereal) dsniff Zusammenfassung Remote Desktop, VNC & Co Terminalserver RDPundVNC Tunneling und VPNs VPN-Typen Datenverschlüsselung Tunneling Artikel: Firewalls umgehen IPSec Die Tunnel-Modi Authentication Header ESP IKE Security Assoziationen IPSec Security Policys IPSec Praxis: Solaris IPSec Praxis: OpenBSD Support unter Windows VPNs mit OpenVPN Pre-shared Keys Zertifikate mit OpenSSL OpenVPN als Server einrichten OpenVPN als Client Zusammenfassung 272 9

7 9.1 Was sind Penetrationstests? Security Audits Bevor es los geht Die Durchführung Aufteilung der Tätigkeiten Der Abschlussbericht IT Grundschutz Zusammenfassung 278 TEIL III: SYSTEMSICHERHEIT 10.1 Der Aufbau der Hardware USV RAID Backups Der Serverraum Brandschutz Klimaanlage Zutritt Die Entsorgung Alte Festplatten Kopier- und Faxgeräte Zusammenfassung Banner Die Lösung des Problems Nameserver-Absicherung Restricted Zonetransfers Hochverfügbarkeit Versionsnummer verstecken Serverzugriff SSH-Absicherung SSH devicespezifisch Root-Login Listen-Port

8 Leere Passwörter Benutzer-Wrapper Group-Wrapper Zugriff nur über Key oder auch über Passwort? Weitere Möglichkeiten der Authentifizierung X11-Absicherung xhost Keine Remoteverbindungen Weitere Möglichkeiten Absicherung des Network Filesystems Absicherung der zu exportierenden Verzeichnisse Weitere Möglichkeiten zur Absicherung NIS-Absicherung FTP-Absicherung Das Protokoll chroot Quotas und Speicherlimits Anonymous-Zugriff Authentifizierung Verschlüsselung DHCP-Absicherung Maßnahmen zur Absicherung Absicherung Authentifizierung SMTP, POP3, IMAP MailScanner: Spam- und Viruscheck auf SMTP-Servern Zusammenfassung Webserver-Absicherung Authentifizierung mit htaccess Verwendung von HTTPS mod_security Umgebungsvariablen im Apache Weitere Möglichkeiten zur Absicherung Microsoft IIS absichern nikto PHP-Sicherheit

9 Variablen Referer und Co Cross-Site-Scripting CSS und Cookies Cookies Cross-Site-Authentication (XSA) Angriffe auf Proxyserver und Datenbanken Proxyserver Datenbanken SQL-Injection Zusammenfassung Das Protokoll SSH Protokoll SSH Protokoll Konfiguration eines OpenSSH-Servers Die/etc/ssh/sshd_config SSH nutzen Remote-Login Secure Copy Authentifizierung über Public-Key-Verfahren Secure File Transfer X11-Forwarding SSH-Port-Forwarding Zusammenfassung Access Control Benutzer, Passwörter, Gruppen Trojanische Pferde Logging Bei der Analyse Zeit sparen Partitionierungen Restricted Shells su und sudo chroot Patches OpenBSD

10 Solaris Linux LKMs Stealth Interfaces Dateisystemverschlüsselung Swap-Verschlüsselung Dateisystemverschlüsselung unter Linux Kernel-Erweiterungen und gcc-propolice gcc propolice SeLinux und SeBSD OpenWall (OWL) grsecurity PaX Sichere Derivate und Distributionen Trusted Solaris (jetzt Teil von Solaris) OpenBSD TrustedBSD Hardened Gentoo OpenWall Adamantix Hardened Linux Zusammenfassung Dienste, die die Welt nicht braucht Patches BIOS-Bootreihenfolge Standardfreigaben deaktivieren NetBIOS und SAAB Deaktivieren der Druckerfreigabe Zugriff auf Wechselmedien Benutzer-Accounts Unterschiedliche Passwörter im Netzwerk Partitionierung Sicherheit im Dateisystem Sicherheitsfeatures und Systemversion Zusammenfassung

11 16.1 Viren Grundlegende Funktionsweise Viren kennen mehr als nur Win32! Schutz vor Viren Würmer Rootkits Rootkit-Ceschichte Rootkit Technologien Backdoors und Malware Firewalls und Hidden Channels Rootkits entdecken Angriffe verhindern Zusammenfassung Problemdefinition Ursachenanalyse Serverprobleme Hackerangriffe Forensik Erste Schritte Forensik-Tools Backdoors Rootkits Nach einem Angriff Ein Blick über die Schulter Letzte Worte zur Forensik Server wieder aufsetzen Neuinstallation? Backups Zusammenfassung 428 TEIL IV: DATENSICHERHEIT UND -INTEGRITÄT 18.1 Gute Vorsätze für das neue Jahr! Der Inhalt

12 Festlegung der Dokumentationsstruktur Überwachungssystem und -intervalle Autorisierungs- und Authentifizierungsmaßnahmen Weitere Möglichkeiten Zusammenfassung Die Backupstrategie Backuparten Vollständiges Backup Inkrementelles Backup Datenbackup Systembackup Backupmedien Komprimieren BackupPC Das Projekt Die Installation Die Konfiguration Bedienung Zusammenfassung Richtige Kommunikation Übersehen und Ignorieren von s Von sich auf andere schließen Romane statt kurzer Mails Im Ton vergriffen Mails an alle Grammatik und Rechtschreibung Standards SMTP POP Sichere Übertragung: SSL/TLS Das Protokoll SSL in der Praxis: HTTPS Mails verschlüsseln: PGP und S/MIME PGP/GPG

13 S/MIME Zusammenfassung Die grundlegendsten Möglichkeiten Biometrische Authentifizierung S/Key S/Key aktivieren Benutzerinitialisierung Anmelden am System PAM Die Datei /etc/pam.conf Die Module Linux-PAM Entwickeln mit der PAM-Library Authentifizierung via NIS, NIS+und LDAP Zusammenfassung KDC und Tickets Master-Server und Realms Konfiguration des Kerberos-Servers und des KDC Konfiguration der krb5.conf Konfiguration der kdc.conf Erstellung einer Datenbank Administrative Rechte klären Starten des KDC und des Master-Servers Principals hinzufügen Konfiguration des Clients kinit Verwalten von Kerberos-Tickets Kerberos unter Windows Zusammenfassung Sicheres Design Der Kreislauf der Softwaresicherheit

14 23.2 Buffer-Overflows Eine Einleitung Begriffserklärungen Ein Beispielangriff Vermeiden von Buffer-Overflows Weitere Funktionen Return to Libc Formatstring-Overflows Heap-Overflows Integer-Overflows DerOverflow Vorsicht ist geboten: Multiplikation Race Conditions File-Locking Atomare Operationen-Teil Atomare Operationen-Teil Off-by-One Integer-Promotions Abschließende Worte (Symbolische) Links Signale Zusammenfassung ICANN RIPE IETF ETSI BSI CERT/CC HERT Securityfocus Newsgroups 532 A Einführung in die Kryptografie 537 A.1 Motivation 537 A.1.1 Kryptografie 537 A.1.2 Kryptoanalyse

15 A.1.3 Kryptologie 542 A.1.4 Steganografie 542 A.2 Grundlagen 544 A.2.1 Symmetrische Verschlüsselungen 544 A.2.2 Asymmetrische Verschlüsselungen 552 A.2.3 Hashes 553 A.2.4 Digitale Signaturen 554 A.3 DES 557 A.3.1 Die Geschichte 557 A.3.2 Der Algorithmus selbst 558 A.3.3 Sicherheitsfragen 560 A.3.4 Und doch: DES in der Praxis 561 A.3.5 Weitere wichtige symmetrische Algorithmen 561 A.4 RSA 563 A.4.1 Schlüsselerzeugung 563 A.4.2 Ver- und Entschlüsseln mit RSA 564 A4.3 Die Sicherheit von RSA 566 A.4.4 RSA in der Praxis 566 A.4.5 Weitere wichtige asymmetrische Algorithmen A.5 MD5 567 A.5.1 Das Verfahren 567 A.5.2 Sicherheit von AAD5 568 A.5.3 MD5 in der Praxis 569 A.5.4 Weitere populäre Hashverfahren 570 A.6 Kryptografie und Politik 570 A.6.1 USA 571 A.6.2 Wassenaar 574 A.6.3 Kryptografie in Deutschland 574 A.7 Zusammenfassung 576 TCP/IP 577 B.1 Grundlegendes zu TCP/IP 577 B.1.1 Network-Access-Layer 579 B.1.2 Internet-Layer 579 B.1.3 Transport-Layer 581 B.1.4 Application-Layer 582 B.2 Das OSl-Modell 583 B.3 Die wichtigen Protokolle 585 B.4 ARP 585 B.4.1 ARP-Spoofing 587 B.4.2 Reverse-ARP 587 B.4.3 Proxy-ARP 587

16 B.5 IP 588 B.5.1 DerIP-Header 589 B.5.2 Fragmentierung 595 B.5.3 AATU 596 B.5.4 Sicherheit 598 B.6 ICMP 598 B.6.1 ICMP-Type 0 und B.6.2 ICMP-Type B.6.3 ICMP-Type B.6.4 ICMP-Type B.6.5 ICMP-Type 9 und B.6.6 ICMP-Type B.6.7 ICMP-Type B.6.8 Weitere ICMP-Typen 604 B.7 IGMP 604 B.7.1 Der IGMPv2-Header 604 B.7.2 IGMPv3 605 B.8 IPv6 606 B.8.1 Die Verbreitungsproblematik 606 B.8.2 Der IPv6-Header 607 B.8.3 Extension-Header 608 B.8.4 Sicherheit von IPv6 610 B.9 ICMPv6 611 B.9.1 ICMPv6-Typen 611 B.9.2 Sicherheit von ICMPv6 613 B.10 Das UDP-Protokoll 613 B.10.1 Der UDP-Header 613 B.10.2 Sicherheitsaspekte 614 B.11 Das TCP-Protokoll 615 B.11.1 Reliability 616 B.11.2 Sende- und Empfangspuffer 617 B.11.3 Flow-Control 617 B.11.4 Header 618 B.11.5 Grundlegendes zur Datenkommunikation 620 B.11.6 TCP: Sicherheitsaspekte 623 B.12 Weitere Protokolle 624 B.13 Routing 624 B.14 Zusammenfassung 625 C WLAN-Standards nach IEEE D kap23.c 631 E Das Skript vpnstart.sh

17 F Buffer-Overflow-Exploit 635 G Glossar 637 H Literatur 641 Nachwort 647 Index