Tool-Sammlung

Zur Absicherung von Netzwerken und zur Überprüfung der vorhandenen Sicherheitsmechanismen, sowie für die Erkennung von Angriffen, stehen diverse Freeware-Tools zur Verfügung. Im folgenden werden einige von ihnen, nach Einsatzbereich gegliedert, kurz beschrieben und bewertet.

Absicherung von Netzwerken

Die kostengünstigste Art ein bestehendes Netzwerk gegen Angriffe aus anderen Netzen abzusichern, besteht darin einen Linux basierten PC als Paketfilter einzusetzen. Hierzu stehen, abhängig von der Version des Kernels, verschiedene Werkzeuge zur Verfügung.

iptables dient zur Administration des IP Firewalls, der ab Linux Kernel 2.2 zur Verfügung steht. Mittels iptables ist es möglich, die Regeln des IP Firewalls zu erstellen, zu modifizieren und zu überprüfen. Es werden vier unterschiedliche Kategorien der Regeln unterschieden:

  1. IP input chain,
  2. IP output chain,
  3. IP forwarding chain und
  4. user defined chains.

Für jede Kategorie existiert eine eigene Tabelle mit Regeln. Jede Regel spezifiziert Kriterien für ein IP Packet und ein Target. Für jedes IP Packet werden die zugehörigen Regeln (input, output oder forwarding chain) in ihrer Reihenfolge auf Übereinstimmung überprüft. Passt das Packet nicht zu der aktuell überprüften Regel, wird die nächste Regel der chain untersucht. Wenn das IP-Paket zur Regel passt, wird die im Target beschriebene user defined chain oder Aktion(ACCEPT, DENY, REJECT, MASQ, REDIRECT oder RETURN) ausgeführt.

Mittels iptables ist es somit möglich, gezielt Dienste für den Zugriff von außerhalb auf Rechner im eigenen Netz zu sperren oder freizugeben. Außerdem ermöglicht es Ipchains für Pakete, die in eine Regel fallen, Logeinträge zu erstellen. Dadurch wird beispielweise ein Accounting für den Zugriff auf bestimme Dienste/Rechner ermöglicht.

Sicherer Serverzugriff

Secure Shell (ssh)

(Secure Shell) ist ein Programm, das dazu dient sich an einem entfernten Rechner anzumelden und dort Befehle auszuführen. Es soll die unsicheren Dienste rlogin und rsh ersetzen und eine sichere verschlüsselte Kommunikation zwischen zwei Rechnern über ein unsicheres Netzwerk ermöglichen. Außerdem ermöglicht es andere TCP/IP Dienste durch die aufgebaute verschlüsselte Verbindung zu tunneln. Dadurch wird beispielsweise ein verschlüsselter Zugriff auf normalerweise unverschlüsselte Dienste wie SMTP, POP3 oder IMAP ermöglicht.


Secure Copy

scp (Secure Copy) ist ein Bestandteil des ssh Paketes und ermöglicht es, Dateien zwischen zwei Rechnern verschlüsselt zu übertragen. Zur Authentisierung stehen die gleichen Mechanismen wie bei ssh zur Verfügung. Durch Verwendung von scp kann das unsichere rcp zum kopieren von Dateien zwischen entfernten Rechnern ersetzt werden. Eine freie windowsbasierte Version von SecureCopy ist WinScp.

Überprüfen der Sicherheitsmaßnahmen

Sicherheitslücken in einem bestehenden Netzwerk können meistens nur sehr schwer oder nur mit erheblichem Zeitaufwand aufgedeckt werden. Zur Erleichterung der Suche nach Sicherheitsmängeln stehen diverse frei verfügbare Tools zur Verfügung. Diese dienen dazu, sowohl eine große Anzahl von Rechnern oder Netzen als auch einzelne Rechner nach Schwachstellen abzusuchen. Ergebnis eines solchen Scans sind zumeist Log-Dateien in denen Informationen über die im Netzwerk gefundenen Rechner aufgelistet sind. Die Interpretation dieser Ergebnisse bleibt gerade bei den Freeware-Tools oft dem Benutzer überlassen, so dass eine gewisse Erfahrung bezüglich Sicherheitsrisiken unerlässlich ist.

Folgende Tools sind im Internet verfügbar:

Monitoring von Verfügbarkeit

Wireless LAN Security

Wireless LAN oder kurz WLAN wird zunehmend in vielen Unternehmen und im Heimbereich eingesetzt. Die WLAN Technologie bietet endlich die Möglichkeit wirklich mobil zu arbeiten. Aber wie erreiche ich eine sichere Kommunikation?

Die benötigten Module sind inzwischen bereits ab Werk in vielen mobilen Geräten wie Laptops oder PDAs integriert, die Software in die meisten Betriebssysteme. An öffentlichen Plätzen wie Cafes, Hotels, Flughäfen und sogar Flugzeugen sind sogenannte Access Points installiert, die den drahtlosen Zugriff in das Internet ermöglichen. Auch in Firmen nehmen die Access Punkte, die den Zugriff auf das Firmennetzwerk erlauben, stetig zu. Die Industrie sorgt quasi für einen problemlosen Einstieg.

Im Gegensatz zum kabelgebundenen Netz kann der Zugriff auf ein WLAN, also ein kabelloses Netz, kaum kontrolliert werden. Es gibt ja kein Kabel, an das man sich anschließen muss, dass hinter einem Firmenzaun oder in einem Gebäude liegt. Das Netzwerk reicht bis zum Auto den Angreifers auf dem Parkplatz vor dem Gebäude oder eben auch auf den Balkon vom Nachbarn. Daher muss insbesondere bei drahtloser Kommunikation ein besonderes Augenmerk auf die Sicherheit gelegt werden, im Gegensatz zu dem, was uns die Werbung so gern suggeriert.

Letztendlich bewirkt dieser Umstand, dass man zum gesicherten Einsatz der Wireless Technologie einen bunten Cocktail aus den etablierten Security Technologien einsetzen sollte, denn jeder, der über entsprechende Hardware verfügt, kann in einem WLAN arbeiten oder zumindest das WLAN abhören.
Verschlüsselung

Die Vorstellung, dass jeder die im unsicher konfigurierten WLAN übertragenen Daten einfach mitlesen kann, zwingt uns dazu, die mittels WLAN zu übertragenden Daten immer zu verschlüsseln. Etablierte Methoden unterschiedlichster Stärke sind:

  • WEP – Wired Equivalent Privacy
  • WPA – Wi-Fi protected Access (mittlerweile WPA2)
  • und die diversen Tunnelprotokolle, wie IPSEC

Firewalling

Ist ein Angreifer erst einmal in einem Netz, kann er die mobilen Geräte und das Netz attackieren. Dies sind also zu schützen, der Laptop in der Regel mit einer Personal Firewall, das Firmennetz dadurch dass der Access Point in einer DMZ, also einem separaten Netzsegment der Firmenfirewall angeschlossen wird.
Authentisierung

Damit nur berechtigte Anwender zugreifen, müssen sich diese anmelden und dabei authentisieren, also dem Netz Ihre Identität beweisen. Hier können PKI Systeme, Radius und Ähnliches eingesetzt werden.

Das kann natürlich nur ein kleiner Überblick sein. Wichtig ist vor allem, dass die ergriffenen Schutzmaßnahmen in einem gesunden Verhältnis zu den Risiken stehen müssen.

Transportverschlüsselung

Verschlüsselung wird im IT-Bereich auf verschiedenen Ebenen eingesetzt. So arbeiten PGP (Pretty Good Privacy) und SSH – Secure Shell (freie Version | kommerzielle Version) auf Ebene 7 dem Application Layer und sind somit Dienst-spezifisch. SSL (Secure Socket Layer) setzt etwas tiefer an und kann somit für mehrere Applikationen wie etwa HTTP und TELNET verwendet werden.

Noch tiefer setzt IPSEC an. Auf Netzwerkebene (Layer 3) können komplette IP-Pakete eingepackt werden. IPSEC hat sich mittlerweile zum Standard für VPN-Technologie entwickelt. Eine Beschreibung der quelloffenen OpenSwan-Implementierung findet sich in unserem Howto.

All diesen Verschlüsselungsverfahren ist gemeinsam, dass der verwendete Datenverschlüsselungsalgorithmus modular austauschbar ist.

Ein Maß für die Sicherheit des Verfahrens ist die Länge des verwendeten Schlüssels. Derzeit gelten Schlüssellängen von 256 Bit für symmetrische Verfahren sowie 2048 Bit für asymetrische Verfahren als hinreichend sicher (d.h. mit den derzeit bekannten Mitteln nicht in vertretbarer Zeit und mit vertretbarem finanziellen Aufwand entschlüsselbar). Die Schlüssellänge ist aber keinesfalls der einzige Faktor zur Wahrung der Vertraulichkeit der übermittelten Daten: Key-Management und kryptologische Eigenschaften des verwendeten Algorithmus‘ sind ebenfalls entscheidend.

Firewalling

Im Firewall-Bereich, einem der ältesten IT-Security-Themen, tummelt sich eine Vielzahl von Herstellern. Zu den am weitesten verbreiteten zählen:

  • Check Point
  • Juniper
  • Fortinet
  • CISCO
  • Palo Alto

FireWall-1, Marktführer mit fast 40% Marktanteil, ist ein intelligenter Paketfilter, der Zustandstabellen über bestehende Verbindungen führt und somit die Pakete nicht einzeln wie ein primitiver Paketfilter sondern im Kontext der Verbindung betrachten kann.

Die Cisco ASA Firewall ist sowohl als Appliance als auch als Service Module zur Integration in bestehende Switch-Hardware verfügbar.

Preiswertere Alternativen finden Interessierte im Linux-Bereich. Hier steht mit iptables OpenSource-Paketfilter zur Verfügung, die mittlerweile auch recht komfortabel über eine GUI (z.B. fwbuilder) konfiguriert werden können.

Betriebssysteme und Hardening

Am Arbeitsplatz kommt häufig Windows zum Einsatz. Durch Verwendung dieses de facto Standards erreicht man größtmögliche Interoperabilität mit anderen Unternehmen beim Datenaustausch.

Als Serverplattform raten wir allerdings, wenn das Know-How im Unternehmen vorhanden ist, zu stabilen und besser zu wartenden Unix-Systemen. Für sicherheitsrelevante Systeme sollte eine Standard-Unix-Installation allerdings speziell gehärtet werden. Wir unterstützen Sie aber auch beim Härten von Windows-Systemen.

Der Trend geht derzeit in Richtung Appliance – eine Komplettlösung bestehend aus Hardware, Betriebssystem und Sicherheitsapplikation – hier ist der Hersteller auch für die Sicherheit der Plattform verantwortlich