Open Source und Sicherheit Jochen Bauer Inside Security IT Consulting GmbH Nobelstraße 15 70569 Stuttgart info@inside-security.de Open Source und Sicherheit 1
Passive und aktive Sicherheit oder: Sicherheit von und mit Open Source Passive Sicherheit ist die Widerstandsfähigkeit des Systems gegenüber Angriffen. Aktive Sicherheit wird durch Sicherheitskomponenten wie Firewalls oder Virenscanner bereitgestellt. Open Source und Sicherheit 2
Passive Sicherheit von Open Source Open Source Software zeichnet sich dadurch aus, dass der Quellcode frei zugänglich ist die Entwicklung in einem offenen Team erfolgt keine zentrale Kontrolle der Entwickler stattfindet der Zeitdruck bei der Entwicklung gering ist. Open Source und Sicherheit 3
Frei zugänglicher Quellcode Der Kreis der "Code Reviewers" wird deutlich vergrössert Jeder kann Verbesserungen einfließen lassen Bugfixes können sehr schnell bereitgestellt werden Trojaner und Hintertüren können entdeckt werden Open Source und Sicherheit 4
Die Entwicklung erfolgt in einem offenen Team ohne zentrale Kontrolle Gegenseitige Kontrollen Jeder kann Beiträge zur Software leisten Neue Ideen erhalten realistische Chancen Der "befohlene" Einbau von Trojanern und Hintertüren ist nicht möglich Open Source und Sicherheit 5
Der marktbedingte Zeitdruck fehlt Das Maß für die Entwicklung ist Qualität Zeitaufwendige Code Reviews können durchgeführt werden Die Verwendung fertiger aber ungeprüfter Softwarebausteine kann auf ein sinnvolles Minimum eingeschränkt werden Open Source und Sicherheit 6
Fazit: Open Source Software bietet aufgrund ihrer hohen Qualität eine hohe passive Sicherheit und ist damit eine optimale Plattform für Serveranwendungen sowie für akive Sicherheitskomponenten. Open Source und Sicherheit 7
Aktive Sicherheit - Linux-basierte Sicherheitslösungen Firewalls VPN Anti-Virus Mailexchanger Anti-Virus Webproxy Anti-Virus Fileserver Open Source und Sicherheit 8
Linux Firewall Stateful Packet Filtering Realtime Intrusion Detection Secure Remote Administration Für Standleitung und Dial-UP Automatischer DSL Reconnect Open Source und Sicherheit 9
Intranet Internet Serverpark Open Source und Sicherheit 10
Realisierung mit: Linux Kernel 2.4.x mit "netfilter" "Snort" Intrusion Detection System "OpenSSH" Secure Shell Open Source und Sicherheit 11
VPN-Firewall Stateful Packet Filtering Realtime Intrusion Detection Secure Remote Administration Für Standleitung und Dial-UP Automatischer DSL Reconnect Aufbau von VPNs mit IPSEC Open Source und Sicherheit 12
Intranet Niederlassung DSL VPN Tunnel Internet Intranet Hauptsitz Standleitung Open Source und Sicherheit 13
Realisierung mit FreeS/WAN FreeS/WAN steht für Free Secure Wide Area Network und ist eine Open Source IPSEC Implementierung mit starker Verschlüsselung (112 bit) Open Source und Sicherheit 14
VPN-Firewall mit Stand-alone Windows Client Support Stateful Packet Filtering Realtime Intrusion Detection Secure Remote Administration Für Standleitung und Dial-UP Automatischer DSL Reconnect Aufbau von VPNs mit IPSEC Anbindung von Stand-alone Windows Clients Open Source und Sicherheit 15
Intranet Niederlassung DSL VPN Tunnel Internet ISDN Intranet Hauptsitz Standleitung VPN Tunnel Telearbeiter Open Source und Sicherheit 16
Der VPN Aufbau erfolgt wiederum mit FreeS/WAN. Zur Realisierung der Stand-alone Windows Client Anbindung muss auf der Windows Seite kommerzielle Software zur Hilfe genommen werden. Geeignet ist z.b. der "Sentinel VPN Client" von SSH Communications Inc. Open Source und Sicherheit 17
Linux Anti-Virus Mailexchanger Maileingang über SMTP oder Abholung vom Provider Virenscanning aller ein- und ausgehenden Mails Virenscanning des internen Mailverkehrs IMAP und POP3 Server Webmail mit SSL Verschlüsselung Open Source und Sicherheit 18
Internet POP3 oder SMTP SMTP IMAP SMTP Webmail Mailexchanger Mobile User Open Source und Sicherheit 19
Realisierung mit: "Postfix" MTA und ggf. "Fetchmail" AMaViS Virenscanner Framework "Cyrus" IMAP Server Apache Webserver mit "mod_ssl" Open Source und Sicherheit 20
Als Virus Scan Engine muss kommerzielle Software für Linux herangezogen werden. Möglich ist z.b. Kaspersky Lab Anti-Virus, McAffee, Sophos, H+BEDV Antivir,... Open Source und Sicherheit 21
Linux Anti-Virus Webproxy Kontrolle der WWW Nutzung durch Benutzeranmeldung Virenscanning aller Downloads Filterung von Java, Javascript und ActiveX Open Source und Sicherheit 22
Internet HTTP und FTP HTTP und FTP Webproxy Open Source und Sicherheit 23
Die Realisierung erfolgt mit dem "Squid" Proxy, dem ein kommerzieller Virenfilter vorgeschaltet wird. Möglich ist z.b. TrendMicro VirusWall. Open Source und Sicherheit 24
Linux Anti-Virus Fileserver Fileserver für Windows Clients Virenscanning aller Fileshares Integration in Windows NT Domain Open Source und Sicherheit 25
Domain Controller Benutzerauthentifizierung Fileserver Open Source und Sicherheit 26
Die Realisierung erfolgt mit dem "Samba" Server, sowie einem kommerziellen File Virus Scanner für Linux. Möglich ist z.b. Kaspersky Lab Anti Virus, Sophos, McAffee, H+BEDV Antivir,... Open Source und Sicherheit 27
Fazit: Mit punktueller zuhilfenahme von kommerzieller Software im Windows VPN Client und Anti-Virus Bereich lassen sich Open Source basierte Sicherheitslösungen für Unternehmen und Organisationen verschiedenster Größe effizient realisieren. Open Source und Sicherheit 28