Rechner anderweitig absichern [3]

Security-relevante Informationen beziehen

www.cert.org
www.ciag.org = Computer Incident Advisory Capability
www.bugtraq.com

Tripwire

Mittels des Intrusion Detection System (IDS) wird die Datenintegrität des Systems geprüft. Hierbei werden in der Regel unveränderliche Paramter wie Besitzer, Dateiberechtigungen, Zeitstempel, Checksummen, etc in eine Datenbank geschrieben. Mithilfe dieser Datenbank kann man zu eine späteren Zeitpunkt Datenintegrität prüfen.

Telnet – Offene Ports finden

telnet HOST 25 = Verbindung zu HOST auf Port 25 herstellen
telnet HOST 21 = Verbindung zu HOST auf Port 21 herstellen

Portscans mit nmap

nmap -sP 192.168.0.0/24 = die aktiven Hosts mittels Ping ermitteln
nmap -sT 192.168.0.1 = TCP-Port Scan, bei dem eine Verbindung zum Ziel - Port aufgebaut wird
nmap -sS 192.168.2.0/24 = Stealth Portscan, inaktive Ports ausfindig machen
nmap -sF 192.168.0.1 = Stealth-FIN Scan, geschlossene Ports finden
nmap -sU 192.168.0.1 = UDP-Port-Scan
nmap -O 192.112.36.10 = Betriebssystem ausfindig machen

Netzwerkanalyse mit snort

Snort ist eine Software zur Erkennung von Angriffen und Einbrüchen auf Computernetzwerke, ein sogenanntes Intrusion Detection System (IDS). Snort lässt sich in verschienen Modi betreiben:

1.) Sniffer = Auflisten der Pakete des Netzwerkverkehrs
2.) Packet-Logger = Netzwerkverkehr in einer Datei mitloggen.

Anhand von Regeln können Aktionen definiert werden.

/etc/snort.conf = Konfigurationsdatei

snort -v = Sniffer-Modus
snort -vd = Inhalte der Pakete mitlesen
snort -b = Im TCP-Dump-Modus mitlesen
snort -vde -l ./log src host 192.168.3.1 = Nur Pakete von dieser IP analysieren

Nessus Netzwerkscanner

Nessus untersucht ein Netzwerk auf Schwachstellen.

nessusd = Dienst auf dem Server, der die Attacken startet
nessus = Client, der sich mit dem Server verbindet
/etc/nussus/nessusd.conf = Konfigurationsdatei
nessus-mkcert = Wenn mit SSL-Verbindung gearbeitet wird, erstellt man hiermit das Zertifikat
nessus-mkcert-client = Erstellen des Zertifikats für den Nessus-Client
nessus-adduser = Einen Nessus-User anlegen, der bestimmte Netzwerkbereiche analysieren darf

- Nessus besteht aus ladbaren Plugins, welche den Rechner auf Sicherheitslücken testet
- Nessus verwendet die eigene Skriptsprache Nessus Attack Scripting Language

Kerberos

Kerberos erlaubt eine sichere Authentifizierung in Netzwerken, in dem es kontrolliert, dass keine Passwörter im Klartext übertragen werden.

Außerdem können Benutzer, Hosts oder Dienste zentral über den Kerberos-Server authentifiziert werden, sofern die einzelnen Programme dies unterstützen.

Bei Kerberos gibt es zwei wichtige Dienste:

Authentication Server (AS) = Dieser verwaltet die Authentifizierung.
Ticket Granting Server (TGS) = Verwaltet die Tickets (Credential). Ein Ticket ist eine Art temporäres Zertifikat

Ablauf bei Kerberos

1.) User authentifiziert sich mittels PW beim Authentication Server (AS)
2.) Der Authentication Server erhält nun ein Ticket (TGT) vom Ticket Granting Server bzw. Key Distribution Center (KDC)
3.) Fordert der Client nun Zugriff auf einen bestimmten Dienst, authentifiziert sich dieser mittels des Tickets.

Ein Ticket hat nur eine bestimmte Lebensdauer. Nach Ablauf der Frist muss sich der Client erneut beim Authentication Server authentifizieren.

REALM – Organisationseinheit

Jeder Kerberos-Server ist für ein REALM zuständig, was einer Organisationseinheit entspricht. Ein Rechner kann nur einem REALM angehören. Als Namen verwendet man in der Regel die aktuelle DNS-Domain.

# Beispiel Schlüsselname für einen Rechner
rechner01/server.meineDomain.local@kerberos.meineDomain.local

# Beispiel Schlüsselname für einen Dienst
imap/mail.meineDomain.local@kerberos.meineDomain.local

# Beispiel Schlüsselname für einen User
fritz@kerberos.meineDomain.local

# Beispiel Schlüsselname für einen User, der administrative Rechte hat
fritz/Admin@kerberos.meineDomain.local

/etc/krb5.keytab = Key Table, enthält Liste mit allen Principals (Schlüssel)

Konfiguration eines Kerberos-Servers

# /etc/krb5.conf
[libdefaults]
default_realm = meineDomain.com

[realms]
meineDomain.com = {
kdc = kerberos.meineDomain.local
admin_server = kerberos.meineDomain.local
}

[logging]
kdc = FILE:/var/log/krb5.log
admin_server = FILE:/Var/log/kadmin.log
default = FILE:/var/log/kdefault.log

kdb5_util create -s = Keytab Datenbank erstellen

# /var/lib/kerberos/krb5kd/kadm5.acl
# Zugriff von bestimmten Principals erlauben
*/admin@meineDomain.local

PortSentry-Dämon – Portscans entdecken

Der PortSentry-Dämon versucht, Portscans auf Netzwerkinterfaces zu entdecken. Wenn ein Portscan entdeckt wird, kann eine Meldung an Syslog übergeben, eine neue Firewall-Regel erstellt, ein Eintrag in /etc/hosts.deny oder Routen entfernt werden