Secure Linux Praxis. ein How-To Vortrag am Christoph Weinandt Systemadministrator / Security Officer ComBOTS AG, Karlsruhe

Transkript

1 Secure Linux Praxis ein How-To Vortrag am Christoph Weinandt Systemadministrator / Security Officer ComBOTS AG, Karlsruhe

2 Workshop Agenda "IT-Sicherheit" - Grundlagen - Gefährdungen Linux Absicherung - Vorgehensweise - Toolkit - Systemmonitoring - Intrusion Detection - Logfileanalyse

3 Christoph Weinandt Bio... Systemadministrator / Security Officer - CCSA Zertifizierung - >5 Jahre Erfahrung im Securityumfeld - >5 Jahre Erfahrung mit Linux - Systemmonitoring - Intrusion Detection - Logfileanalyse - Forensische Analysen - Securityaudits - Securitykonzepte - IT-Grundschutz Christoph Weinandt Systemadministrator / Security Officer ComBOTS Product GmbH Division: Unit OPS Product Christoph.Weinandt@combots.com Phone: Fax: Mobil: 01511/

4 "IT-Sicherheit" Grundlagen "IT-Sicherheit" ist wichtig - Viele Gefahren von aussen und innen - Rechtliche Anforderungen - IT-Grundschutz - Risikovorsorge und Haftung

5 "IT-Sicherheit" Gefährdungen Viren Hacker Spyware Veraltete Software

6 "IT-Sicherheit" Gefährdungen Viren, Trojaner, Spyware... - Viele Gefahren bedrohen die Sicherheit Viren Trojaner Exploits Spyware Phishing - Externe und interne Gefährdungen - Schnelle Reaktion gefragt - Weitere Gefahrenpotentiale: Nachlässigkeit Unkenntniss Veraltete Software

7 "IT-Sicherheit" Gefährdungen Allgemeinwissen... - Hackin9 Magazin enthält Anleitung für den Angriff auf fremde Systeme und eine Boot-CD mit Betriebssystem und Tools Erscheinungsweise: vierteljährlich Preis (im Abonnement): 38,- Herkunft: Polen Sprache: Deutsch u.a.

8 "IT-Sicherheit" Gefährdungen Absicherung nötig... - Risikominimierung - Rechtliche Notwendigkeit Gesetze Urteile Eigeninteresse - Haftung Botnetze

9 Vorgehensweise Threat Response Ziel: den Aufwand auf der Angreiferseite maximieren und sich Zeit verschaffen für eine angemessene Reaktion

10 Vorgehensweise How to... Vorgehensweise: -1. Security Audit unter Verwendung der Tools aus dem Toolkit -2. Massnahmenkatalog erstellen -3. Massnahmen umsetzen -4. Security Audit unter Verwendung der Tools aus dem Toolkit -=> Ergebnis & Nachweis -für den IT-Grundschutz und für den Schadensfall hat man alles Machbare getan.

11 Vorgehensweise Threat Response - IPTABLES Stateful inspection Firewall - SYSTEMDIENSTE und KONFIGURATION best practice Massnahmen - TRIPWIRE Filesystem-Scanner - SNORT signaturbasiertes IDS/IPS - MONITORING Überwachung des Systemzustands - BACKUP regelmässige Datensicherung

12 Vorgehensweise Threat Response - IPTABLES Stateful inspection Firewall Filterung nach Quelladresse,Zieladresse und Port Direktive VON WO WOHIN mit WELCHEM PORT? Stateful Inspection: für eine bereits bestehende Verbindung wird ggf. ein Rückkanal transparent geöffnet Fehlerquellen Regelerstellung Altlasten Handling von UDP

13 Vorgehensweise Threat Response - SYSTEMDIENSTE und KONFIGURATION Angebotene Dienste Konfiguration von Diensten Direktive NUR DAS ABSOLUT NOTWENDIGE OFFERIEREN! Fehlerquellen Unnötig Dienste werden angeboten Altlasten Standardkonfiguration Veraltete Software mit Schwachstellen Veraltete Konfigurationen

14 Vorgehensweise Threat Response - SYSTEMDIENSTE und KONFIGURATION Angebotene Dienste Konfiguration von Diensten Postfix Mailserver kein SPAM RELAY! Fehlerquellen Betrieb als offenes Relay Alter Softwarestand kein Schutz vor Spam Empfehlung saslauthd benutzen aktuelle Software / Patches amavis und spamassasin benutzen Links

15 Vorgehensweise Threat Response - SYSTEMDIENSTE und KONFIGURATION Angebotene Dienste Konfiguration von Diensten Inetd TCP Dienste keine überflüssigen Dienste! Fehlerquellen Inetd-Verwendung Alter Softwarestand Login-Dienste Empfehlung xinetd benutzen aktuelle Software / Patches RLOGIN, TELNET, LOGIN, TFT usw. abschalten Logfile und Aktivität überwachen Links --

16 Vorgehensweise Threat Response - SYSTEMDIENSTE und KONFIGURATION Angebotene Dienste Konfiguration von Diensten SSH Dienst nur noch Protokollversion 2! Fehlerquellen Verwendung des SSH-Protokolls Version 1 Alter Softwarestand Logins als ROOT, Passwortlänge und Zertifikate Empfehlung nur SSH v2 benutzen aktuelle Software / Patches Remotelogin als ROOT abschalten Zertifikate benutzen gute Passwörter benutzen Logfile und Aktivität überwachen Links -

17 Vorgehensweise Threat Response - SYSTEMDIENSTE und KONFIGURATION Angebotene Dienste Konfiguration von Diensten APACHE Dienst chroot jail! Fehlerquellen Altes Release (<2.x) Prozess läuft unter ROOT Verzeichnisrechte Empfehlung Releases > 2.0 benutzen aktuelle Software / Patches Verzeichnisreche beschränken Ausführung von CGI s beschränken CHROOT-Jail benutzen (User NOBODY) Logfile und Aktivität überwachen Links

18 Toolkit Toolkit - TOOLKIT Kommandozeilenprogramme GUI-Tools Hackin9-Magazin Boot-CD NESSUS Security Scanner! Bewertung: ++ ausgereift und umfangreich ++ regelmässige Updates ++ Client/Server ++ hohe Erkennungsrate ++ OpenSource -- keine ansprechenden Reports Links

19 Toolkit Toolkit - TOOLKIT Kommandozeilenprogramme GUI-Tools Hackin9-Magazin Boot-CD GFI Languard Scnnaer Security Scanner! Bewertung: ++ ausgereift und umfangreich ++ regelmässige Updates -- hohe Erkennungsrate ++ autmatisierbar ++ ansprechende grafische Reports ++ automatisches Patchmanagement für Clients -- teure Lizenz (je nach Noe-Anzahl) Links

20 Toolkit Toolkit - TOOLKIT Kommandozeilenprogramme GUI-Tools Hackin9-Magazin Boot-CD Bastille Linux Hardening Tool Bewertung: ++ ausgereift und umfangreich ++ guter Start -- nur Grundkonfiguration möglich Links

21 Toolkit Toolkit - TOOLKIT Kommandozeilenprogramme GUI-Tools Hackin9-Magazin Boot-CD Hackin9-LiveCD Umfangreiche Toolsammlung Bewertung: ++ ausgereift und umfangreich ++ viele Tools -- weitergehende Kenntnisse nötig Links

22 Systemmonitoring Nagios - Opensource - Tool für Systemmonitoring - Agenten sammeln Zustandsinformationen - Zentrales Reporting, Logging und Eventmanagement - Webinterface - Verschiedene Benutzer - MySQL Datenbank - Viele Plugins und Addons -

23 Intrusion Detection Tripwire - Filesystem Scanner - Soll-Ist Vergleich - Erkennung von Rootkits und Veränderungen am Dateisystem - Snort - Signaturbasiertes "IntrusionDetectionSystem" (IDS) mit "Intrusion Prevention" (IPS) Option - Opensource - Umfangreiche, aktuelle Signaurdatanbank - Performance Impact - Ständig aktualisierte Signaturen

24 Intrusion Detection Snort

25 Logfileanalyse Logsurfer - RegExp Tool für die Suche nach Strings in Logfiles (syslog) - Entwickelt vom DFN-CERT Eventbasierte Eskalation möglich ( ) - Weiterentwicklung von SWATCH - PERL Implementation - Viele Konfigurationsbeispiele vorhanden

26 Logfileanalyse Logsurfer somehost tcpd-ftpd[14311]: connect from host.some.where somehost ftpd[14311]: connection from [ ] somehost ftpd[14311]: USER anonynous somehost ftpd[14311]: PASS password somehost ftpd[14311]: failed login from host.some.where [ ], anonynous somehost ftpd[14311]: SYST somehost ftpd[14311]: PORT somehost ftpd[14311]: cmd failure - not logged in somehost ftpd[14311]: LIST somehost ftpd[14311]: QUIT somehost ftpd[14311]: FTP session closed

27 Zusammenfassung Viele Gefährdungen Absicherung durch Tools und Handarbeit Firewall, "Intrusion Detection System" (IDS) und Systemmonitoring auch für Linux gibt es Exploits und Viren anhand von Best-Practise-Ansätzen sind unbedingt nötig Logfileanalyse Lizenzkosten damit man weiss, was vor sich geht fallen nicht an!

28 Danke für Ihre Aufmerksamkeit! Fragen?