Firewalls und Sicherheit im Internet

Transkript

1 2008 AGI-Information Management Consultants May be used for personal purporses only or by libraries associated to dandelon.com network. William R. Cheswick Steven M. Bellovin Avi Rubin Firewalls und Sicherheit im Internet Schutz vor cleveren Hackern 2. Auflage TT ADDISON-WESLEY An imprint of Pearson Education München Boston San Francisco Harlow, England Don Mills, Ontario Sydney Mexico City Madrid Amsterdam

2 Vorwort zur Übersetzung 13 Vorwort zur 2. Ausgabe 17 Vorwort zur Erstausgabe 21 I Die Grundlagen 1 Einführung Sicherheitsgemeinplätze Auswahl eines Sicherheitskonzepts Systemsicherheit - Host-Based Security Außenverteidigung - Perimeter Security Strategien für sichere Datennetze Ethik der Computersicherheit Warnung 44 2 Kommunikationssicherheit: Die unteren Protokollschichten Die Grundlagen IP-Adressen und -Namen verwalten IP Version Network Address Translators - Adressumsetzer Sicherheit von Funk-LANs 65 3 Kommunikationssicherheit: Die oberen Protokollschichten Nachrichtenübermittlung Internet-Telefonie RPC-basierte Protokolle Dateitransferprotokolle Remote Login - Fernzugänge Simple Network Management Protocol - SNMP Das Network Time Protocol Informationsdienste Proprietäre Protokolle Peer-to-Peer Networking DasXll-Window-System Hilfsdienste 104

3 4 Das Web: Plage oder Gefahr? Die Webprotokolle Risiken für Webclients Risiken für den Server Webserver kontra Firewalls Webserver und Datenbanken Schlussbemerkungen 126 II Bedrohungen 5 Angriffskategorien Passwortattacken Social Engineering Fehler und Hintertürchen Versagen der Authentifikationsmechanismen Fehlerhafte Protokolle Informationslecks Kettenreaktionen - Viren und Würmer Denial-of-Service-Angriffe Botnets Aktive Angriffe Hacker-Werkzeuge und -Munition Einleitung Angriffsstrategien und -ziele Netzwerk-Scans Einbruch in ein Computersystem Die Schlacht um das System Einbruchsspuren verwischen Metastasen Hacker-Werkzeuge Tiger Teams 174 III Sicherere Werkzeuge und Dienste 7 Authentifikation Passworte merken Zeitbasierte Einmal-Passworte Challenge/Response-Einmal-Passworte 187

4 7.4 Lamports Einmal-Passwort-Verfahren Biometrik RADIUS SASL: Ein Authentifikations-Framework System-Authentifikation PKI Einsatz von Werkzeugen und Diensten inetd - Zentralbahnhof der Netzwerkdienste ssh - Interaktiver und Datei-Zugriff syslog Netzwerk-Administrations Werkzeuge chroot - Gefährliche Software einsperren Eine Sandbox für den Apache-Webserver qftpd - Ein einfacher Dämon für Anonymous FTP Mail Transfer Agents - Postbeförderung POP3undIMAP Samba: Eine SMB-Implementierung Des named Zähmung SSL-Tunnel mittels sslwrap bauen 215 IV Firewalls und VPNs 9 Verschiedene Firewall-Typen Paketfilter Anwendungsschicht-Gateways Transportschicht-Gateways Dynamische Paketfilter Dezentrale Firewalls Was Firewalls nicht leisten Dienste filtern Filterregeln für nützliche Dienste Wurmkur Dienste, die wir nicht mögen Andere Dienste Neue Protokolle Die Konstruktion von Firewalls Regelwerke 262

5 11.2 Proxys Eine Firewall von Grund auf selbst konstruieren Schwächen von Firewalls Firewalls testen Tunnel und VPNs Tunnel Virtual Private Networks - Virtuelle Private Netze (VPNs) Software oder Hardware? 298 V Schutzmaßnahmen für eine Organisation 13 Netzwerk-Layout Die Erkundung des Intranets Intranet-Routing-Tricks In Hosts setzen wir unsere Hoffnung Mit Netz und doppeltem Boden Funktionskategorien Sichere Systeme in Feindesland Was meinen wir mit sicheres System"? Eigenschaften sicherer Systeme Hardware-Konfiguration Systemhärtung Beschaffung neuer Software Administration sicherer Systeme Nacktbaden: Leben ohne Firewall Intrusion Detection - Erkennen von Eindringlingen Platzierung IDS-Typen Administration eines IDS IDS-Werkzeuge 342 VI Lektionen aus der Praxis 16 Ein Abend mit Berferd Feindbewegungen Ein Abend mit Berferd Der Tag danach 354

6 16.4 Die Gummizelle" Jagd auf Berferd Berferd kehrt heim Belagerung und Fall von Clark Vorspiel CLARK Plumpe Forensik Die Untersuchung von CLARK Die Passwortdatei Wie sind sie reingekommen? Bessere Forensik Lektionen Sichere Kommunikation über unsichere Netze Das Kerberos-Authentifikationssystem Leitungsschicht-Verschlüsselung Netzwerkschicht-Verschlüsselung Anwendungsschicht-Verschlüsselung Wie geht's weiter? IPv DNSsec Microsoft und Sicherheit Internet allerorten Sicherheit im Internet Fazit 396 VII Anhänge A Eine Einführung in die Kryptographie 401 A.l Notation 401 A.2 Symmetrische Kryptographie 403 A.3 Betriebsmodi von Blockchiffren 405 A.4 Public Key Cryptography 408 A.5 Exponential Key Exchange - Diffie-Hellmann-Key-Exchange 410 A.6 Digitale Signaturen - Digitale Unterschriften 411 A.7 Sichere Hash-Funktionen 413 A.8 Timestamps - Zeitstempel 414

7 B Auf dem Laufenden bleiben B.l Mailing-Listen 416 B.2 Quellen im Web 417 B.3 Persönliche Webseiten 418 B.4 Sicherheits-Sites der Hersteller 418 B.5 Konferenzen 419 Literaturverzeichnis 421 Verzeichnis der 455 Verzeichnis der Akronyme 457 Index 463