Post on 25-Feb-2021
Sicheres Sicheres IntraIntra--/Internet mit /Internet mit LinuxLinux
Aufbau/Konfiguration eines virtuellen privaten Netzes mittels FreeS/WAN unter SuSE Linux 6.4
Projektarbeit Carsten CrellFH Dortmund Sommersemester 2000
Seite 2/80
Sicheres Sicheres IntraIntra--/Internet mit /Internet mit LinuxLinux
� Aktuelle IT-Situation:> „Die Sicherheit in der Informationstechnik ist
Schlüsselfrage für jede moderne Volkswirtschaft“ (Otto Schily 02/2000)
> schneller sicherer Zugriff auf korrekte Daten wird immer wichtiger
> „neue Wirtschaft“ basiert auf Internettechnologie> Hohe Verfügbarkeit ist wichtig> Eindeutige Identifikation der Geschäftspartner
Aktuelle ITAktuelle IT--SituationSituation
Seite 3/80
Sicheres Sicheres IntraIntra--/Internet mit /Internet mit LinuxLinuxAktuelle ITAktuelle IT--SituationSituation
� Neue Kommunikationsmodelle> Zusammenschlüsse für Projekte zu
virtuellen Unternehmen (z.B. Smart)> Telearbeit/Homeoffice als Alternative zu
klassischem Arbeitsmodell > Unternehmens- und Fillialenintranets sind
per Internet verbunden (VPN)> Vertreter mit Laptops können sich übers
Web in die Zentrale einklinken
Seite 4/80
Sicheres Sicheres IntraIntra--/Internet mit /Internet mit LinuxLinuxAktuelle ITAktuelle IT--SituationSituation
> B2B-Lösungen werden in den nächsten Jahren deutlich ausgebaut
• sichere Abwicklung von Geschäftsprozessen zwischen Unternehmen (Partnern, Kunden, Lieferanten)
• geschützte Kommunikation mit guten Verschlüsselungssystemen und breiten Schlüsseln gilt als Voraussetzung für Akzeptanz von solchen Lösungen
• Ziele der Unternehmen sind Effizienz, Geschwindigkeit und Sicherheit
Seite 5/80
Sicheres Sicheres IntraIntra--/Internet mit /Internet mit LinuxLinux
� Gefahr der Informationsmanipulation> „Hacks“ von Websites sind für
Unternehmen imageschädigend und mitunter gefährlich
> Börsenkurse können durch gezielteDesinformation auf Websites gepushtwerden
> Gefälschte Daten können Menschen-leben gefährden (Medizin, Militär)
Aktuelle ITAktuelle IT--SituationSituation
Seite 6/80
Sicheres Sicheres IntraIntra--/Internet mit /Internet mit LinuxLinux
� E-Kriminalität steigt stark an> je mehr Aktivitäten auf das Netz verlagert
werden, desto interessanter wird es für kriminelle Störungen und Angriffe
> Bezifferung der Schäden ist schwierig, da z.B. Ausmaß von Datendiebstahl nur schwerlich ermittelt werden kann
> Strafverfolgung in den Kinderschuhen • Internetpolizei im Aufbau• Länderübergreifende Zusammenarbeit nötig
Aktuelle ITAktuelle IT--SituationSituation
Seite 7/80
Sicheres Sicheres IntraIntra--/Internet mit /Internet mit LinuxLinuxAktuelle ITAktuelle IT--SituationSituation
Sicherheitsszenario USA 1999(Umfrage unter 649 Unternehmen, Behörden, Finanzinstituten und
Universitäten durch Computer Security Institute http://www.gocsi.com)
0%10%20%30%40%50%60%70%80%90%
Vire
n, La
ptopd
iebsta
hl, In
terne
tzu...
Einbr
üche
von a
ußen
Denia
l of S
ervic
eDo
wnloa
d War
ez, P
orno
nichta
uthor
isier
ter Zu
gang
Angr
iffe vo
n auß
en
Unwi
ssenh
eit üb
er A
ttack
en
Seite 8/80
Sicheres Sicheres IntraIntra--/Internet mit /Internet mit LinuxLinuxAktuelle ITAktuelle IT--SituationSituation
� „I love you“-Virus läutert die Anwender• Umfrage in der letzten Woche unter 1250 Personen mit
PC am Arbeitsplatz– 40% der Unternehmen wollen Sicherheitsmaßnahmen zum
Schutz der Kommunikationseinrichtungen erweitern– 40% öffnen trotzdem ohne Vorsichtsmaßnahmen Email-
Attachments
Seite 9/80
Sicheres Sicheres IntraIntra--/Internet mit /Internet mit LinuxLinux
� „I love you“-Virus läutert die Anwender• Umfrage in der letzten Woche unter 1250 Personen mit
PC am Arbeitsplatz– 66% befürchten deutliche Zunahme von Problemen durch
Computerviren– 21% hatten Probleme durch „Loveletter“-Virus– 6.2% erhebliche Behinderungen des Arbeitsablaufes– 1.8% Schadensbeseitigung mehr als 3 Tage!
Aktuelle ITAktuelle IT--SituationSituation
Seite 10/80
Sicheres Sicheres IntraIntra--/Internet mit /Internet mit LinuxLinuxAktuelle ITAktuelle IT--SituationSituation
� E-Business ist anfällig für Hackerattacken, da Webportale...> global erreichbar sein müssen
• somit auch global angreifbar sind• Angriffe können durch Zusammenschluß von
Rechnern geschehen> 24 Std, 7 Tage/Woche in Betrieb sind
• Vorkehrungen vor Ausfall des Angebots • Schutz der persönlichen Daten(Kreditkartennr.)
Seite 11/80
Sicheres Sicheres IntraIntra--/Internet mit /Internet mit LinuxLinuxEntwicklungEntwicklung des Internetsdes Internets
� Historie des Internets> Verbindungen zwischen Forschungs-
einrichtungen und Universitäten> Militärische Netze Informationsysteme
weniger angreifbar zu machen (Arpa)> Zusammenschluß der Netze zu Internet
auf Basis der NetzwerkprotokollfamilieTCP/IP
> Übertragung in Klartextform in überschaubaren Umfeld
Seite 12/80
Sicheres Sicheres IntraIntra--/Internet mit /Internet mit LinuxLinuxEntwicklung des InternetsEntwicklung des Internets
� Historie des Internets II> Ausbau des Internet zu „virtuellen
Wirtschaftsräumen“ durch den Siegeszug des WWW in den 90er Jahren
> Rasand wachsende Userzahlen macht Netz zum Motor der IT-Branche
> Vom Forschungsnetz zum Marktplatz für Millionen
Seite 13/80
Sicheres Sicheres IntraIntra--/Internet mit /Internet mit LinuxLinuxPotentielle AngriffePotentielle Angriffe
RechnerRechner--orientiertorientiert
Viren,Trojaner
NetzorientiertNetzorientiert::
DoS,Sniffing,Spoofing,Mailspam-ming
AngriffsAngriffs--VorbereitungVorbereitung
Exploits,Portscanning,
Seite 14/80
Sicheres Sicheres IntraIntra--/Internet mit /Internet mit LinuxLinuxPotentielle AngriffePotentielle Angriffe
� Arten von Angriffen> Sniffing
• Daten werden beim Transport über die Leitungen durch spezielle software sichtbargemacht (Sniffer)
> Spoofing• Vortäuschung von Adressen oder
Domainennamen um Datenverkehr umzulenken
Seite 15/80
Sicheres Sicheres IntraIntra--/Internet mit /Internet mit LinuxLinux
� Arten von Angriffen> Exploits
• Schwachstellen und Sicherheitslöcher in Anwendungen werden ausgenutzt
• Buglisten finden sich auf vielen Internetsites z.B. www.bugtraq.com
• Ausnutzung von mangelhaften Sicherheitskonzepten (schwache/keine Passwörter, fahrlässige Konfigurationen)
Potentielle AngriffePotentielle Angriffe
Seite 16/80
Sicheres Sicheres IntraIntra--/Internet mit /Internet mit LinuxLinux
� Arten von Angriffen> Exploits
• langsame Reaktionszeit der Herstellerfirmen • potentielle Schäden durch Bekanntwerden der
Bugs im Internet• Einfallstor für minderbegabte Hacker
(Skriptkids)• Viele Programme werden im Betastadium
ausgeliefert ohne Sicherheitsprüfungen
Potentielle AngriffePotentielle Angriffe
Seite 17/80
Sicheres Sicheres IntraIntra--/Internet mit /Internet mit LinuxLinux
� Arten von Angriffen> Portscanning
• spezielle Software findet Sicherheitlücken inWebservern durch Testen der offenen Ports
• Mittels spezieller Angriffstools können die Dienste angegriffen werden
> Email-Spamming • MassenEmail-Attacken stören Rechnersysteme• Emailserver brechen zusammen
Potentielle AngriffePotentielle Angriffe
Seite 18/80
Sicheres Sicheres IntraIntra--/Internet mit /Internet mit LinuxLinux
> Email-Spamming• Plattensysteme laufen voll• „echte“ Email kann nicht mehr zugestellt
werden> Denial-of-Service(DoS) Angriffe
• offene Dienste(http, ftp) werden mit gefälschten IP-Adressen bombardiert und somit im Ablauf gestört
• kann Systemperformance beeinträchtigen
Potentielle AngriffePotentielle Angriffe
Seite 19/80
Sicheres Sicheres IntraIntra--/Internet mit /Internet mit LinuxLinux
� Arten von Angriffen> Viren
• lt. Definition : eine selbstständige Programm-teile, die sich vervielfältigen können
• häufig auf gebräuchlichen Systemen vertreten– MS-DOS, Win9X, Apple
» durch fehlende Sicherheitsmechanismen» mögliche Verbreitung durch große Nutzerzahl
– Windows NT/2000» bietet besseren Schutz durch Rechtekonzepte
Potentielle AngriffePotentielle Angriffe
Seite 20/80
Sicheres Sicheres IntraIntra--/Internet mit /Internet mit LinuxLinux
> Viren• Kategorien:
– Bootsektorviren» 1996 mit 86% der Schadensfälle in der
Virenstatistik des BSI » 1999 nur noch mit 14% vertreten» Entwicklung setzt gute Kenntnisse des
Betriebssystems voraus– Fileviren/Malware
» hängen sich an ausführbaren Code an» kann trojanische Funktionen beinhalten
Potentielle AngriffePotentielle Angriffe
Seite 21/80
Sicheres Sicheres IntraIntra--/Internet mit /Internet mit LinuxLinux
> Viren• Kategorien:
– Makroviren» relativ einfach zu erstellen» Virengeneratoren im Internet erhältlich» Applikationsabhängig (Microsoft VBA, oder
andere Scriptsprachen)» gewinnen an Bedeutung (1996 noch 31%, 1999
schon Spitzenreiter mit 68% in der Befallstatistik)
• Aufgrund der Konzeption von Unix/Linux sind Viren dort bisher fast gar nicht aufgetreten
Potentielle AngriffePotentielle Angriffe
Seite 22/80
Sicheres Sicheres IntraIntra--/Internet mit /Internet mit LinuxLinuxSchutz der Schutz der eingesetzen eingesetzen ITIT--SystemeSysteme
• Download von aktuellen Virenpattern www.nai.com
Seite 23/80
Sicheres Sicheres IntraIntra--/Internet mit /Internet mit LinuxLinuxSchutz der Schutz der eingesetzen eingesetzen ITIT--SystemeSysteme
� Schutz durch aktuellste Software> Vorteile
• Sicherheitsupdates beheben Sicherheitsprobleme
• Virenpattern bekämpfen neuste Viren– pro Monat werden kommen 200(!) neue schädliche
Programme in Umlauf– Großteil der Viren sind Makroviren (MS-Office)– Meiste Viren sind auf Windows ausgelegt
Seite 24/80
Sicheres Sicheres IntraIntra--/Internet mit /Internet mit LinuxLinuxGrundlagen sicherer KommunikationGrundlagen sicherer Kommunikation
� Schutz durch Information• neuste Sicherheitslücken und Patches per
Mailingliste, Newsletter oder Sicherheits-websites verfolgen
• Patches & „workarounds“ zeitnah einspielen• Aufbau von Sicherheits-know-how im
Unternehmen (Schulung)> Einführung von sicheren Kommunikations-
verfahren (IPSec, SSL, GPG, PGP)
Seite 25/80
Sicheres Sicheres IntraIntra--/Internet mit /Internet mit LinuxLinuxGrundlagen sicherer KommunikationGrundlagen sicherer Kommunikation
� Schutz durch Konfiguration> Einrichtung von Firewalls (Paketfilter)> Virenschutz
• Festplattensysteme werden regelmäßig überprüft
• Eingehende E-mails werden durch besondere E-mailserver direkt auf Mal-Ware geprüft
• eingeschränkte Nutzung von beweglichen Datenträgern (Disketten, CDs)
Seite 26/80
Sicheres Sicheres IntraIntra--/Internet mit /Internet mit LinuxLinuxGrundlagen sicherer KommunikationGrundlagen sicherer Kommunikation
� Schutz durch Konfiguration> Anwendung von Verschlüsselung
• Remoteadministration– Secure-Shell (ssh) anstatt telnet für Remote-
Administration
• Email-Verkehr– PGP (Pretty Good Privacy) oder– GPG (GNU Privacy Guide) Open-Source-Pendant
• WWW-Transfer– SSL (128Bit) in Kombination Netscape/Apache
Seite 27/80
Sicheres Sicheres IntraIntra--/Internet mit /Internet mit LinuxLinux
> Linux basiert auf Unix-Konzepten• Unix ist durch den Einsatz in vielen Bereichen
über Jahre hinweg gewachsen und in vielen Punkten verbessert worden
• Unix bietet klare Rechtekonzepte bis hinunter auf Prozeßebene
> Linux ist im Internet frei erhältlich– keine Lizenzkosten für Betriebssystem und Anwendungen
» proxy, email, ftp, ipsec, apache» grafische Oberfläche (KDE, Gnome)» Standardapplikationen (StarOffice, TeX)
– > enorme Einsparpotentiale» Bundesrechnungshof prüft großflächigen Einsatz
Warum Warum LinuxLinux, warum , warum openopen--sourcesource??
Seite 28/80
Sicheres Sicheres IntraIntra--/Internet mit /Internet mit LinuxLinux
> Linux ist im Internet frei erhältlich• Entwickler stellen neuste Updates und Patches
zum Download ins Netz
> Akzeptanz und Anzahl von nützlichen Anwendungssoftware nimmt stark zu
• IBM bietet komplette Hardware mit Linux an• Corel portiert Anwendungen auf Linux• NSA verwendet Linux in sicherheitskritischen Bereichen
(Firewall)• Zerschlagung von Microsoft ist große Chance für Linux• SAP bietet ERP-Anwendungen R/3 auf SAP an
Warum Warum LinuxLinux, warum , warum openopen--sourcesource? II? II
Seite 29/80
Sicheres Sicheres IntraIntra--/Internet mit /Internet mit LinuxLinux
> Ständige Prüfung auf Sicherheitslöcher• Quellcode ist frei einsehbar
– trojanischer Code würde schnell auffallen– Hintertüren (z.B. Crypto-API in Windows-Produkten)
wären nicht möglich • GNU-Lizenz schreibt vor, den Programm-
quellcode mitzuliefern• schnelle Reaktion auf Sicherheitsprobleme
– siehe Studie aus Security Portal Weekly– Diskussion in Newsgroups und Mailinglisten legen
mögliche Probleme offen
Warum Warum LinuxLinux, warum , warum openopen--source source ? III? III
Seite 30/80
Sicheres Sicheres IntraIntra--/Internet mit /Internet mit LinuxLinux
> Linux ist stabil• Dauertest im Webservereinsatz in c´t 06/2000
hat gezeigt, daß Linux (kurz nach Solaris) deutlich weniger Ausfallzeiten (downtime) hat als Windows NT 4 (gleiche Server-Software Apache)
• hängende Prozesse können nicht das komplette System zum Absturz bringen (effizientes Speichermanagement)
Warum Warum LinuxLinux, warum , warum openopen--source source ? IV? IV
Seite 31/80
Sicheres Sicheres IntraIntra--/Internet mit /Internet mit LinuxLinuxGrundlagen der VerschlüsselungGrundlagen der Verschlüsselung
� Verschlüsselung> Warum Verschlüsselung?
• Datenübertragung läuft in Datenpaketen (IP-Pakete) ohne Zusatzsoftware unverschlüsselt ab
• Übertragung ist sehr einfach abzuhören (Sniffing durch Hacker oder Konkurrenz)
• systematische Wirtschaftsspionage durch USA (Echolon)– kann Sprache, elektronische Daten einfach extrahieren – System im „kalten Krieg“ entwickelt– danach gegen europäische Wirtschaftsunternehmen– lange Zeit kursierten nur Gerüchte – durch Bundesregierung zugegeben (17.04.2000 heise.de)
Seite 32/80
Sicheres Sicheres IntraIntra--/Internet mit /Internet mit LinuxLinuxGrundlagen der VerschlüsselungGrundlagen der Verschlüsselung
� Verschlüsselung> Theorie und Praxis
• übertragene Daten werden mit speziellen Algorithmen verschlüsselt
– Klartext(plaintext) wird durch Schluessel in Chiffretext(chiper) umgewandelt
– einfachster Mechanismus: Verschiebung von Zeichen nach festen Regeln
– je länger die Schlüssel desto besser ist der Schutz– gute Verfahren basieren auf Primzahlenmultiplikation – Bruch der Cipherdaten schwierig (Zerlegung in
Primfaktoren ist mit sehr großem Rechenaufwand verbunden)
Seite 33/80
Sicheres Sicheres IntraIntra--/Internet mit /Internet mit LinuxLinuxGrundlagen der Verschlüsselung / VerfahrenGrundlagen der Verschlüsselung / Verfahren
> Verfahren:DES und 3DES• DES ist Industriestandard• oft implementiert• relativ kurze Schlüssel (56 Bit) lassen
Geheimdiensten Nachrichten mitlesen• ist durch geballte Rechnerleistung zu brechen • 3DES
– beschreibt 3fachen Durchlauf des DES– verbunden mit großer Schluessellänge ist
Verfahren eins der sichersten Verfahren
Seite 34/80
Sicheres Sicheres IntraIntra--/Internet mit /Internet mit LinuxLinuxGrundlagen der Verschlüsselung / VerfahrenGrundlagen der Verschlüsselung / Verfahren
> Brute-Force-Angriffe auf Schluessel:• Jede mögliche Kombination
wird durchprobiert
Algorithmus Anzahl Bits Anzahl Schlüssel
Mittlere Suchzeit bei einer eine Million Dollar teuren Maschine
DES 56 10 1̂6 3,5 StdSkipjak 80 10 2̂4 6655 JahreTriple-DES mit 2 Schluesseln 112 10 3̂3 30 000 000 000 000 JahreIDEA, RC4/128 128 10 3̂8 2 000 000 000 000 000 000 Jahre
Annahme von 3 Billionen Schluesseltests pro Sekunde
Seite 35/80
Sicheres Sicheres IntraIntra--/Internet mit /Internet mit LinuxLinuxGrundlagen der Verschlüsselung / VPN GrundlagenGrundlagen der Verschlüsselung / VPN Grundlagen
> VPN Grundlagen• virtuelle privates Netz:• Datenverkehr zwischen vertrauenswürdigen Rechnern
muß vor Fälschung und Abhören geschützt werden• gesamtes Spekttrum aktueller Internet-Software soll
geschützt werden– Email– WWW– ferner Rechnerzugriff– Datenübertragung– komplette TCP/IP-Protokollsuite soll geschützt werden
Seite 36/80
Sicheres Sicheres IntraIntra--/Internet mit /Internet mit LinuxLinuxGrundlagen der Verschlüsselung / VPN ZieleGrundlagen der Verschlüsselung / VPN Ziele
> VPN Ziele• ein nicht vertrauenwürdiges Netz soll Bindeglied
zwischen zwei oder mehr Netzen sein• Kostenvorteile gegenüber Standleitungen• Sicherheitsmaßnahmen zwischen den zu schützenden
Rechnern werden automatisch durchgeführt• ISP-Unabhängikeit• Standortunabhängigkeit bedeutet
Standortauthentifizierung (jeder Teilnehmer muß sich authentifizieren)
Internet header
Netzanschluß-header
Transport-header
Anwendungs-header
Zu sendende Daten
Klartext KlartextChiffretext
Seite 37/80
Sicheres Sicheres IntraIntra--/Internet mit /Internet mit LinuxLinuxVier Schritte bis zu sicheren LösungVier Schritte bis zu sicheren Lösung
� Aufbau eines sicheren IntranetsserversIntranetsservers mit AnbindungAnbindung über das InternetInternet mit Fillialen, Kunden, Vertretern, Lieferanten als ExtranetExtranet
� Das 4 Stufenkonzept4 Stufenkonzept:
Seite 38/80
Sicheres Sicheres IntraIntra--/Internet mit /Internet mit LinuxLinuxVier Schritte bis zur sicheren LösungVier Schritte bis zur sicheren Lösung
>> 1. Aufbau LINUX1. Aufbau LINUX--KommunikationsgatewayKommunikationsgateway• Http-Server (apache) & notwendigen Module
– Intranetanwendungen mit Jserv – Internetseiten mit Perl, PHP und anderen
Skriptsprachen
• ISDN Konfiguration• Proxyserver squid V2
– zur Beschleunigung des Netzzugriffes– zur Nutzungskontrolle der Netzzugriffe– Ausschuß von verbotenen Webinhalten
• Samba zur Datenablage von Windowsrechnern
Seite 39/80
Sicheres Sicheres IntraIntra--/Internet mit /Internet mit LinuxLinuxVier Schritte bis zur sicheren LösungVier Schritte bis zur sicheren Lösung
>> 2. Integration von Sicherheitskomponenten2. Integration von Sicherheitskomponenten• „out-of-the-box“-Installation ist bei
Betriebssystemen i.d.R. unsicher– Zusätzliche Konfiguration und Anpassung nötig– bei allen Distributionen (SuSE, RedHat)
• Verwendung sicherer Software– postfix anstatt sendmail (enthielt viele Bugs)– Software aus sicheren Quellen (welche Quellen sind
sicher?)– pop3ad mit Passwortverschlüsselung– ssh statt telnet für remote-Administration
Seite 40/80
Sicheres Sicheres IntraIntra--/Internet mit /Internet mit LinuxLinuxVier Schritte bis zur sicheren LösungVier Schritte bis zur sicheren Lösung
>> 2. Integration von Sicherheitskomponenten2. Integration von Sicherheitskomponenten• Aufbau einer Firewall (Paketfilter)
– Zugriffe auf internes Netz verhindernPaketfilterregeln
– besser als seperaterFirewallrechner (auch alter Pentium möglich)
• Abschaltung aller Wählleitungen ins interne Netz
– Modems, ISDN-Verbindungen sind Sicherheitsrisiko – können Firewall unterlaufen
• Tests der öffentlichen Server mit Portscannern auf Sicherheitslöcher
Seite 41/80
Sicheres Sicheres IntraIntra--/Internet mit /Internet mit LinuxLinuxVier Schritte bis zur sicheren LösungVier Schritte bis zur sicheren Lösung
>> 3. Verbindung der Unternehmensstandorte 3. Verbindung der Unternehmensstandorte per Internetper Internet• Installation eines sicheren Tunnels durch das
Internet (Ipsec mit FreeSwan)• Voraussetzung für eine Verbindung zwischen
mehreren Standorten ist ein Internetzugang mitfesten IP-Adressen und Rückrüffunktion
• Versenden der Schlüssel auf sicherem Weg• Testen der Verbindung mit Sniffingtools
Seite 42/80
Sicheres Sicheres IntraIntra--/Internet mit /Internet mit LinuxLinuxVier Schritte bis zur sicheren LösungVier Schritte bis zur sicheren Lösung
>> 4. 4. Backupkonzept Backupkonzept + Anwenderschulung+ Anwenderschulung• für die jeweiligen Kommunikationsserver an
den Unternehmensstandorten• Tapestationen für anfallendes
Datenaufkommen auswählen• Backupstrategie entwerfen
– Bestimmung des Volumens– Generationen von Backups– Monatssicherungssbänder bei Bank deponieren– Verantwortliche für Backup schulen
Seite 43/80
Sicheres Sicheres IntraIntra--/Internet mit /Internet mit LinuxLinuxInstallation einer sicheren LösungInstallation einer sicheren Lösung
Achtung Achtung
Konfiguration!
Konfiguration!
secumodhardensuse
YaSTYaST2
Grundpackete
jserv modssl
apache
squid-itAuswertung
fetchmail pop3a
incomming
postfix
outgoing
ftp-server
email-server
Proxyserversquid
www-server
Netzpackete(n)
Netzanalyseetherreal, snitffit,
Fernwartungssh, vnc, webmin
Virenscanneramavis(mail)uvscan(file)
john/cracklibsichere Passwörter
fortifysicheres Netscape
mod_sslinkl Zertifikat
GPG/PGP
FreeS/WANVPN mit Linux
Sicherheitspakete(secu)
GrundsystemSuse6.4
minimal Konfiguration
Sicheres Sicheres IntraIntra--/Internet mit /Internet mit LinuxLinux
Carsten CrellHattinger Str. 82644879 BochumC.Crell@ping.de
Theend
Seite 45/80
Sicheres Sicheres IntraIntra--/Internet mit /Internet mit LinuxLinuxInstallation einer sicheren LösungInstallation einer sicheren Lösung
Achtung Achtung
Konfiguration!
Konfiguration!
� Grundsystem mit YaST2 installieren:> Pakete auswählen> Hardwareerkennung starten
• Geräte einrichten– X-Server für Grafikkarte auswählen mit Sax– Eingabegeräte konfigurieren
• ISDN-Zugang editieren– Auwahl aus Datenbank oder Neuanlage der Verbindung
> Benutzer einrichten> Gute (mindestens 7stellige) Passwörter vergeben
Seite 46/80
Sicheres Sicheres IntraIntra--/Internet mit /Internet mit LinuxLinuxInstallation einer sicheren LösungInstallation einer sicheren Lösung
Achtung Achtung
Konfiguration!
Konfiguration!
� Firewall einrichten> SuSE firewall (läuft nicht mit FreeS/WAN)
• in /etc/rc.config START_FW=yes• /usr/doc/packages/firewals/examples ansehen
– /etc/rc.config.d/firewall.rcconfig anpassen
> FreeS/WAN bietet ein funktionsfähigesFirewallskript
• /etc/firewall.conf und /etc/rc.firewall editieren• in Startprozdur rc.2 und rc.3 integrieren
Seite 47/80
Sicheres Sicheres IntraIntra--/Internet mit /Internet mit LinuxLinuxInstallation einer sicheren LösungInstallation einer sicheren Lösung
Achtung Achtung
Konfiguration!
Konfiguration!
� Apache WWW-Server / jserv / open_ssl> Konfigurationsdateien
• /etc/httpd/httpd.access• /etc/httpd/httpd.conf• /etc/rc.config -> „START_HTTPD=yes“• danach SuSEconfig starten• /usr/doc/package/openssl-Doku lesen• Zertifikat einrichten
Seite 48/80
Sicheres Sicheres IntraIntra--/Internet mit /Internet mit LinuxLinux
� Mailserver : Postfix> Konfiguration:
• /etc/postfix/main.cf– Variablenbelegung:
» mydestinations mit eigenen Domains belegen,» relaydomains mit Domains belegen, die lokal
zugestellt werden sollen» virtualhosts mit ausgehenden Mailserver
einrichten (z.B. mail.ping.de oder entsprechende IP-Adresse)
Installation einer sicheren LösungInstallation einer sicheren LösungAchtun
g Achtung
Konfiguration!
Konfiguration!
Seite 49/80
Sicheres Sicheres IntraIntra--/Internet mit /Internet mit LinuxLinux
� Mailserver : Postfix> Konfiguration:
• /etc/postfix/main.cf• /etc/aliases einrichten danach mit newaliases
für das System aktivieren•postfix reload um geänderte Konfiguration
in laufenden Betrieb zu übernehmen• in /etc/ppp/ip-up
– sendmail -q eintragen– Skript für kontinuierliches Postverschicken
Installation einer sicheren LösungInstallation einer sicheren LösungAchtun
g Achtung
Konfiguration!
Konfiguration!
Seite 50/80
Sicheres Sicheres IntraIntra--/Internet mit /Internet mit LinuxLinuxInstallation einer sicheren LösungInstallation einer sicheren Lösung
Achtung Achtung
Konfiguration!
Konfiguration!
� Mailserver : fetchmail> /root/.fetchmailrc einrichten
– z.B. Mail für komplette Domain sog. Multidrop» proto pop3;» poll post.strato.de localdomainsmeinedomain.de: user with pass to * here;
– z.B Mail für einzelne User von verschiedenen Mailservern» z.B. gmx und yahoo
– Alle eingehenden Mails werden nun an die lokalen Nutzer verteilt, sofern diese existieren. Die können sich die Mails dann z.B. mit POP wieder abholen.
Seite 51/80
Sicheres Sicheres IntraIntra--/Internet mit /Internet mit LinuxLinux
� Mailserver : Popa3d> Paket installieren (Makefile anpassen) > /etc/inetd.conf einrichten> inetd Dämon starten in rc.config eintragen> User auf dem Server einrichten (per Yast,
als Shell /bin/passwd eintragen, damit User per ssh Passwd ändern kann)
Installation einer sicheren LösungInstallation einer sicheren LösungAchtun
g Achtung
Konfiguration!
Konfiguration!
Seite 52/80
Sicheres Sicheres IntraIntra--/Internet mit /Internet mit LinuxLinuxInstallation einer sicheren LösungInstallation einer sicheren Lösung
Achtung Achtung
Konfiguration!
Konfiguration!
� Amavis als Email-Virenscanner• amavis-Paket downloaden(www.amavis.org)• per tar -xvzf amavis-0.6-pre.tar.gz Paket
installieren• ggf. neueste Virenpattern downloaden• /etc/postfix/main.cf editieren
– procmail in scanmail ändern• Testvirus (eicar.com) per Mail
an User im internen Netzversenden -> User root erhält Warnmail
Seite 53/80
Sicheres Sicheres IntraIntra--/Internet mit /Internet mit LinuxLinuxInstallation einer sicheren LösungInstallation einer sicheren Lösung
Achtung Achtung
Konfiguration!
Konfiguration!
� Netzwerkanalyse> Ntop
• Datenverkehr sichtbar machen• Anzeige auf Konsole oder im HTML-Format
> Etherreal• grafischer Paketsniffer• vielfältige Funktionen
> Intrusiondetection• spürt eingeschleuste Pakete auf (syslogd)
Seite 54/80
Sicheres Sicheres IntraIntra--/Internet mit /Internet mit LinuxLinuxAchtung Achtung Konfigu
ration!Konfigu
ration!Installation Proxy Server Installation Proxy Server SquidSquid
> Proxy-Server serverseitig• In /etc/rc.config „START_SQUID=yes“• /etc/squid.conf anpassen:
– authenticate_program /usr/bin/ncsa_auth/usr/etc/squid_passwd
> Benutzerkontrolle einrichten• NSCA-Modul aus dem Quellpaket kompilieren
– Access-Controll-Lists(ACL) in /etc/squid.conf definieren, um den Zugriff zu regeln
• Per htpasswd Passwortfile (squid_passwd) generieren– Im Verzeichnis /usr/etc– Für jedenem WWW-User muß ein Eintrag in squid_passwd
vorhanden sein
Seite 55/80
Sicheres Sicheres IntraIntra--/Internet mit /Internet mit LinuxLinuxAchtung Achtung Konfigu
ration!Konfigu
ration!Installation Proxy Server Installation Proxy Server SquidSquid
� Clientseitig> Proxyeinrichtung:
• Edit Preferences• Advanced• Proxies• Manual• IP-Adresse des
Proxyservers• Port, den in
/etc/squid.confeingetragen wurde
Seite 56/80
Sicheres Sicheres IntraIntra--/Internet mit /Internet mit LinuxLinuxInstallation Installation IPIP--TunnelTunnel mit mit FreeSFreeS/WAN/WAN
Achtung Achtung
Konfiguration!
Konfiguration!
� FreeS/WAN 1.3> ipsec.conf einrichten
• Schlüsselvergabe – manuell
» Schluessel durch ipsec ranbits generieren– automatisch– Netzwerkkonfiguration vorgeben
• Verbindung benennen• Netzwerkadressen (IP) eintragen
Seite 57/80
Sicheres Sicheres IntraIntra--/Internet mit /Internet mit LinuxLinux
� FreeS/WAN 1.3> ipsec.secrets einrichten
• Schlüsselvergabe – Schlüssel durch ipsec ranbits generieren – Format
» „linke IPAdresse“ „rechte IPAdresse“ Schluessel
• ipsec.secrets-Datei austauschen auf alle beteiligten Rechner per ssh/PGP
• in rc.config „START ipsec=yes“ eintragen
Achtung Achtung
Konfiguration!
Konfiguration!
Installation IPInstallation IP--Tunnel mit Tunnel mit FreeSFreeS/WAN II/WAN II
Seite 58/80
Sicheres Sicheres IntraIntra--/Internet mit /Internet mit LinuxLinuxAchtung Achtung Konfigu
ration!Konfigu
ration! NtopNtop InstallationInstallation
Seite 59/80
Sicheres Sicheres IntraIntra--/Internet mit /Internet mit LinuxLinuxAchtung Achtung Konfigu
ration!Konfigu
ration! Potentielle AngriffePotentielle Angriffe
Seite 60/80
Sicheres Sicheres IntraIntra--/Internet mit /Internet mit LinuxLinuxPotentielle AngriffePotentielle Angriffe
> Sniffing am Beispiel mit Tool Sniffit unter Linux (Ausspähen einer Telnetverbindung)
Seite 61/80
Sicheres Sicheres IntraIntra--/Internet mit /Internet mit LinuxLinuxAchtung Achtung Konfigu
ration!Konfigu
ration! YaST2 Installation IYaST2 Installation I
Seite 62/80
Sicheres Sicheres IntraIntra--/Internet mit /Internet mit LinuxLinuxAchtung Achtung Konfigu
ration!Konfigu
ration! YaST2 Installation IIYaST2 Installation II
Seite 63/80
Sicheres Sicheres IntraIntra--/Internet mit /Internet mit LinuxLinuxAchtung Achtung Konfigu
ration!Konfigu
ration! YaST2 Installation IIIYaST2 Installation III
Seite 64/80
Sicheres Sicheres IntraIntra--/Internet mit /Internet mit LinuxLinuxAchtung Achtung Konfigu
ration!Konfigu
ration! YaST2 Installation IVYaST2 Installation IV
Seite 65/80
Sicheres Sicheres IntraIntra--/Internet mit /Internet mit LinuxLinuxAchtung Achtung Konfigu
ration!Konfigu
ration! YaST2 Installation VYaST2 Installation V
Seite 66/80
Sicheres Sicheres IntraIntra--/Internet mit /Internet mit LinuxLinuxAchtung Achtung Konfigu
ration!Konfigu
ration! YaST2 Installation VIYaST2 Installation VI
Seite 67/80
Sicheres Sicheres IntraIntra--/Internet mit /Internet mit LinuxLinuxAchtung Achtung Konfigu
ration!Konfigu
ration! YaST2 Installation VIIYaST2 Installation VII
Seite 68/80
Sicheres Sicheres IntraIntra--/Internet mit /Internet mit LinuxLinuxAchtung Achtung Konfigu
ration!Konfigu
ration! YaST2 Installation VIIIYaST2 Installation VIII
Seite 69/80
Sicheres Sicheres IntraIntra--/Internet mit /Internet mit LinuxLinuxAchtung Achtung Konfigu
ration!Konfigu
ration! YaST2 Installation IXYaST2 Installation IX
Seite 70/80
Sicheres Sicheres IntraIntra--/Internet mit /Internet mit LinuxLinuxAchtung Achtung Konfigu
ration!Konfigu
ration! YaST2 Installation XYaST2 Installation X
Seite 71/80
Sicheres Sicheres IntraIntra--/Internet mit /Internet mit LinuxLinuxAchtung Achtung Konfigu
ration!Konfigu
ration! YaST2 Installation XIYaST2 Installation XI
Seite 72/80
Sicheres Sicheres IntraIntra--/Internet mit /Internet mit LinuxLinuxAchtung Achtung Konfigu
ration!Konfigu
ration! YaST2 Installation XIIYaST2 Installation XII
Seite 73/80
Sicheres Sicheres IntraIntra--/Internet mit /Internet mit LinuxLinuxAchtung Achtung Konfigu
ration!Konfigu
ration! YaST2 Installation XIIIYaST2 Installation XIII
Seite 74/80
Sicheres Sicheres IntraIntra--/Internet mit /Internet mit LinuxLinuxAchtung Achtung Konfigu
ration!Konfigu
ration! YaST2 Installation XIVYaST2 Installation XIV
Seite 75/80
Sicheres Sicheres IntraIntra--/Internet mit /Internet mit LinuxLinuxAchtung Achtung Konfigu
ration!Konfigu
ration! YaST2 Installation XVYaST2 Installation XV
X11 OberflächeX11 OberflächeKonfiguration:Konfiguration:
• gebräuchliche Monitore sindvorhanden
• manuelle Fre-quenzeingabeebenfalls möglich
Seite 76/80
Sicheres Sicheres IntraIntra--/Internet mit /Internet mit LinuxLinuxAchtung Achtung Konfigu
ration!Konfigu
ration! YaST2 Installation XVIYaST2 Installation XVI
X11 OberflächeX11 OberflächeKonfiguration:Konfiguration:
• gebräuchliche Grafikkarten werdenerkannt• Farben undAuflösungenwerden hier • Änderungen mitSAX möglich
Seite 77/80
Sicheres Sicheres IntraIntra--/Internet mit /Internet mit LinuxLinuxAchtung Achtung Konfigu
ration!Konfigu
ration! YaST2 Installation XVIIYaST2 Installation XVII
HardwareHardware--erkennungerkennung::
•• mit Yast2 istmit Yast2 isteine nachträglicheeine nachträglicheÄnderung derÄnderung derKonfigurationKonfigurationohne weiteres ohne weiteres möglichmöglich•• KomponenteKomponenteInternetInternet ist für ist für KomKom--munikationmunikation wichtigwichtig(Modem/ISDN)(Modem/ISDN)
Seite 78/80
Sicheres Sicheres IntraIntra--/Internet mit /Internet mit LinuxLinuxAchtung Achtung Konfigu
ration!Konfigu
ration! YaST2 Installation XIXYaST2 Installation XIX
NameserverNameserverKonfiguration:Konfiguration:eigener Rechner-name: vmlinuxvmlinuxDomaine:ccexam.deccexam.deListe der Name-server: ((in IP-Form))z.b. 193.100.20.11z.b. 193.100.20.11Domain-Suchliste:ccexam.deccexam.defür die Nameszuord-nung wichtig!
Seite 79/80
Sicheres Sicheres IntraIntra--/Internet mit /Internet mit LinuxLinuxAchtung Achtung Konfigu
ration!Konfigu
ration! YaST2 Installation XXYaST2 Installation XX
Seite 80/80
Sicheres Sicheres IntraIntra--/Internet mit /Internet mit LinuxLinuxAchtung Achtung Konfigu
ration!Konfigu
ration! YaST2 Installation XXIYaST2 Installation XXI
Es ist geschafft!Es ist geschafft!
Das Das Grundsystem Grundsystem läuft!läuft!
Nun folgen noch Nun folgen noch die sicherheitsdie sicherheits--und netzwerkund netzwerk--relevanten relevanten AnpassungenAnpassungen
Sicheres Intra-/Internet mit LinuxEntwicklung des InternetsEntwicklung des InternetsPotentielle AngriffePotentielle AngriffeSicheres Intra-/Internet mit LinuxInstallation Proxy Server SquidInstallation Proxy Server SquidInstallation IP-Tunnel mit FreeS/WANInstallation IP-Tunnel mit FreeS/WAN IINtop InstallationPotentielle AngriffePotentielle AngriffeYaST2 Installation IYaST2 Installation IIYaST2 Installation IIIYaST2 Installation IVYaST2 Installation VYaST2 Installation VIYaST2 Installation VIIYaST2 Installation VIIIYaST2 Installation IXYaST2 Installation XYaST2 Installation XIYaST2 Installation XIIYaST2 Installation XIIIYaST2 Installation XIVYaST2 Installation XVYaST2 Installation XVIYaST2 Installation XVIIYaST2 Installation XIXYaST2 Installation XXYaST2 Installation XXI