Rechner anderweitig absichern [3]
Security-relevante Informationen beziehen
www.cert.org
www.ciag.org = Computer Incident Advisory Capability
www.bugtraq.com
Tripwire
Mittels des Intrusion Detection System (IDS) wird die Datenintegrität des Systems geprüft. Hierbei werden in der Regel unveränderliche Paramter wie Besitzer, Dateiberechtigungen, Zeitstempel, Checksummen, etc in eine Datenbank geschrieben. Mithilfe dieser Datenbank kann man zu eine späteren Zeitpunkt Datenintegrität prüfen.
Telnet – Offene Ports finden
telnet HOST 25 = Verbindung zu HOST auf Port 25 herstellen
telnet HOST 21 = Verbindung zu HOST auf Port 21 herstellen
Portscans mit nmap
nmap -sP 192.168.0.0/24 = die aktiven Hosts mittels Ping ermitteln
nmap -sT 192.168.0.1 = TCP-Port Scan, bei dem eine Verbindung zum Ziel - Port aufgebaut wird
nmap -sS 192.168.2.0/24 = Stealth Portscan, inaktive Ports ausfindig machen
nmap -sF 192.168.0.1 = Stealth-FIN Scan, geschlossene Ports finden
nmap -sU 192.168.0.1 = UDP-Port-Scan
nmap -O 192.112.36.10 = Betriebssystem ausfindig machen
Netzwerkanalyse mit snort
Snort ist eine Software zur Erkennung von Angriffen und Einbrüchen auf Computernetzwerke, ein sogenanntes Intrusion Detection System (IDS). Snort lässt sich in verschienen Modi betreiben:
1.) Sniffer = Auflisten der Pakete des Netzwerkverkehrs
2.) Packet-Logger = Netzwerkverkehr in einer Datei mitloggen.
Anhand von Regeln können Aktionen definiert werden.
/etc/snort.conf = Konfigurationsdatei
snort -v = Sniffer-Modus
snort -vd = Inhalte der Pakete mitlesen
snort -b = Im TCP-Dump-Modus mitlesen
snort -vde -l ./log src host 192.168.3.1 = Nur Pakete von dieser IP analysieren
Nessus Netzwerkscanner
Nessus untersucht ein Netzwerk auf Schwachstellen.
nessusd = Dienst auf dem Server, der die Attacken startet
nessus = Client, der sich mit dem Server verbindet
/etc/nussus/nessusd.conf = Konfigurationsdatei
nessus-mkcert = Wenn mit SSL-Verbindung gearbeitet wird, erstellt man hiermit das Zertifikat
nessus-mkcert-client = Erstellen des Zertifikats für den Nessus-Client
nessus-adduser = Einen Nessus-User anlegen, der bestimmte Netzwerkbereiche analysieren darf
- Nessus besteht aus ladbaren Plugins, welche den Rechner auf Sicherheitslücken testet
- Nessus verwendet die eigene Skriptsprache Nessus Attack Scripting Language
Kerberos
Kerberos erlaubt eine sichere Authentifizierung in Netzwerken, in dem es kontrolliert, dass keine Passwörter im Klartext übertragen werden.
Außerdem können Benutzer, Hosts oder Dienste zentral über den Kerberos-Server authentifiziert werden, sofern die einzelnen Programme dies unterstützen.
Bei Kerberos gibt es zwei wichtige Dienste:
Authentication Server (AS) = Dieser verwaltet die Authentifizierung.
Ticket Granting Server (TGS) = Verwaltet die Tickets (Credential). Ein Ticket ist eine Art temporäres Zertifikat
Ablauf bei Kerberos
1.) User authentifiziert sich mittels PW beim Authentication Server (AS)
2.) Der Authentication Server erhält nun ein Ticket (TGT) vom Ticket Granting Server bzw. Key Distribution Center (KDC)
3.) Fordert der Client nun Zugriff auf einen bestimmten Dienst, authentifiziert sich dieser mittels des Tickets.
Ein Ticket hat nur eine bestimmte Lebensdauer. Nach Ablauf der Frist muss sich der Client erneut beim Authentication Server authentifizieren.
REALM – Organisationseinheit
Jeder Kerberos-Server ist für ein REALM zuständig, was einer Organisationseinheit entspricht. Ein Rechner kann nur einem REALM angehören. Als Namen verwendet man in der Regel die aktuelle DNS-Domain.
# Beispiel Schlüsselname für einen Rechner
rechner01/server.meineDomain.local@kerberos.meineDomain.local
# Beispiel Schlüsselname für einen Dienst
imap/mail.meineDomain.local@kerberos.meineDomain.local
# Beispiel Schlüsselname für einen User
fritz@kerberos.meineDomain.local
# Beispiel Schlüsselname für einen User, der administrative Rechte hat
fritz/Admin@kerberos.meineDomain.local
/etc/krb5.keytab = Key Table, enthält Liste mit allen Principals (Schlüssel)
Konfiguration eines Kerberos-Servers
# /etc/krb5.conf
[libdefaults]
default_realm = meineDomain.com
[realms]
meineDomain.com = {
kdc = kerberos.meineDomain.local
admin_server = kerberos.meineDomain.local
}
[logging]
kdc = FILE:/var/log/krb5.log
admin_server = FILE:/Var/log/kadmin.log
default = FILE:/var/log/kdefault.log
kdb5_util create -s = Keytab Datenbank erstellen
# /var/lib/kerberos/krb5kd/kadm5.acl
# Zugriff von bestimmten Principals erlauben
*/admin@meineDomain.local
PortSentry-Dämon – Portscans entdecken
Der PortSentry-Dämon versucht, Portscans auf Netzwerkinterfaces zu entdecken. Wenn ein Portscan entdeckt wird, kann eine Meldung an Syslog übergeben, eine neue Firewall-Regel erstellt, ein Eintrag in /etc/hosts.deny oder Routen entfernt werden