Sicherer ins Internet - uni-hamburg.deagn- · /98/ME Auch wenn man Windows 95/98/ME prinzipiell...
12
24 Impressum Universität Hamburg FachbereichInformatik Network-Test-Center Vogt-Kölln-Straße 30 22527 Hamburg Telefon: (040 / 42883 - 2234 (Labor) (040 / 42883 - 2405 (Sekretariat) Fax: (040 / 42883 - 2226 Web-Seite: http://agn-www.informatik.uni-hamburg.de Network Test Center Sicherer ins Internet Einführung und Informationen zur Konfiguration gängiger Browser und Betriebssysteme von Lutz Feldmann, Heiko Gerlach, Rainer Herzog, Martin Johns, Sibel Mutlu, Axel Schnell, Marc Schönberg, Emine Yueksel und Karim „Kasi Mir“ Senoucci
Transcript of Sicherer ins Internet - uni-hamburg.deagn- · /98/ME Auch wenn man Windows 95/98/ME prinzipiell...
24 Impressum
Universität H
amburg
Fachbereich Informatik
Netw
ork-Test-Center
Vogt-K
ölln-Straße 3022527 H
amburg
Telefon:(
040 / 42883-2234 (Labor)
(
040 / 42883-2405 (Sekretariat)
Fax:(
040 / 42883-2226
Web-Seite:
http://agn-ww
w.inform
atik.uni-hamburg.de
Netw
ork T
est Cen
ter
Sicherer ins Internet
Einführung und Inform
ationen zur Konfiguration
gän
gig
er Bro
wser u
nd
Betrieb
ssysteme
von Lutz Feldm
ann, Heiko G
erlach, Rainer H
erzog,M
artin Johns, Sibel Mutlu, A
xel Schnell, Marc Schönberg,
Emine Yueksel und K
arim „K
asi Mir“ Senoucci
223
Impressum
Universität H
amburg
Fachbereich Informatik
Netw
ork-Test-Center
Vogt-K
ölln-Straße 3022527 H
amburg
Telefon:(
040 / 42883-2234 (Labor)
(
040 / 42883-2405 (Sekretariat)
Fax:(
040 / 42883-2226
Web-Seite:
http://agn-ww
w.inform
atik.uni-hamburg.de
Copyright ©
2000-2002Lutz Feldm
ann, Karim
„Kasi M
ir“ Senoucci (Hrsg.)
Entstanden unter
Verwendung von
„Sichererins
Internet unter
Windows 98
undWindows
98 SE“
von Andreas
G. Lessig
(mit freundlicher
Genehmigung des
Autors)
Alle R
echte an Text und Abbildungen sind vorbehalten. K
ein Teil desW
erkes darf in irgendeiner Form ohne schriftliche G
enehmigung re-
produziert oder unter Verw
endung elektronischer Systeme verarbeitet,
vervielfältigt oder weiterverbreitet w
erden.
223
Vo
rwo
rtE
ine der bedeutendsten Entw
icklungen im B
ereich der Kom
munikationsm
edien ist das Internet.D
as Internet verbindet Millionen von M
enschen auf der ganzen Welt, durch zahlreiche Internet
Service Provider kannes von nahezu jedem
genutzt werden. Schon heute hat das Internet einen
festen und unverzichtbaren Platz in unserem täglichen L
eben eingenomm
en.
Die B
enutzung des Internets bringt aber auch Gefahren m
it sich. Hat m
an bei Ihnen schon mal in
die Wohnung ein
gebrochen? Oder Ihr A
uto aufgebrochen? Haben Sie sich dann vielleicht gefragt,
was Sie falsch gem
acht haben, oder sich informiert, w
as Sie hätten besser machen können? Für uns
ist es selbstverständlich geworden, das A
uto oder die Wohnung nach V
erlassen abzuschließen.A
uch das Einrasten des L
enkradschlosses, das Abnehm
en des Bedienteiles vom
Autoradio oder das
Einhängen der K
ette oder des Riegels vor die W
ohnungstür, wenn m
an beim K
lingeln keinenB
esuch erw
artet, ist
für viele
von uns
ein M
uß. N
atürlich bede
uten alle
dieseSicherheitsm
aßnahmen einen zusätzlichen A
ufwand. U
nd nach einem W
ohnungseinbruch denkenviele über einen kom
plizierteren Schließzylinder, abschließbare Fenstergriffe oder ähnliches nach.Ü
ber die Möglichkeiten, sich beim
Um
gang mit dem
Internet vor fremden Ü
bergriffen zu schützen,soll die folgende B
roschüre informieren. V
iele der hier beschriebenen Methoden über einen
sichereren Um
gang werden Sie in Ihrer B
equemlichkeit einschränken, w
erden zu zusätzlichemA
ufwand führen oder Ihnen nahelege
n, von einigen der Ihnen liebgewonnenen V
orgehensweisen
besser abzusehen. Am
Ende w
erden imm
er Sie entscheiden, wie w
ichtig Ihnen Ihre Sicherheit ist,w
ir machen Ihnen in der folgenden B
roschüre lediglich Vorschläge, w
as Sie möglicherw
eiseverbessern könne
n.
Dabei geben w
ir detaillierte Hinw
eise zur Konfiguration von W
indows 95/98/M
E und gehen auf
die sicherheitsrelevanten Einstellungen der gängigen Internet-B
rowser von N
etscape und Microsoft
ein. Aber auch N
utzer anderer Brow
ser oder Betriebssystem
e werden in diesen A
bschnittennützliche H
inweise zur besseren E
inrichtung Ihres Rechnersystem
s finden. Im hinteren T
eilschließlich
gehen w
ir kurz
auf L
inux-Installationen sowie allgem
eine, systemunabhängige
Maßnahm
en zur Sicherung des eigenen Com
puters ein. Alldiese T
hemen können w
ir in der Kürze
dieser Broschüre natürlich nur anreißen; für tiefergehend an der M
aterie Interessierte bieten wir
jedoch am E
nde eine kleine Samm
lung informativer A
nlaufstellen für weiteres Studium
.
Gru
nd
kon
figu
ration
von
Win
do
ws 95/98/M
EA
uch wenn m
an Window
s 95/98/ME
prinzipiell ziemlich sicher konfigurieren kann, so ist es doch
nicht möglich, einen hundertprozentigen Schutz zu garantieren. G
elingt es aber einem A
ngreifer,erst einm
al „einen Fuß in die Tür zu bekom
men“, so existieren keine w
eiteren Schutzmechanism
en,die ihn daran hindern, die totale K
ontrolle über den Rechner zu erlangen. A
us diesem G
rundeem
pfiehlt es sich, auf dem zum
Surfen benutzten System keine A
nwendungen zu benutzen, bei
denen man einen A
usfall oder Verlust
aller Daten nicht ohne Problem
e verschmerzen kann. D
iegenaue E
inschätzung muß natürlich dem
Anw
ender überlassen bleiben, typischerweise fallen in
diese Kategorie jedoch zum
Beispiel T
extverarbeitungs-und T
abellenkalkulationssysteme, die m
anfür die private und berufliche K
orrespondenz bzw. die H
aushaltsführung einsetzt, aber auchSteuerabrechnungshilfen
oder D
atenbankprogramm
e; m
it denen
man
z.B.
die private
Videosam
mlung katalogisiert hat. B
ei diesen Programm
en sollte man sich im
mer zw
eierlei fragen:
1.W
ie groß ist der Aufw
and, die Programm
e im Schadensfall neu zu installieren? D
ies kann sichschw
ieriger gestalten, als man zunächst denkt, vor allem
, wenn m
an das Rechnersystem
bereitsvorinstalliert gekauft hat und m
anche Programm
e nicht auf einem sicheren
Datenträger (z.B
.C
D-R
OM
) zur Installation vorliegen.2.
Wie groß ist der A
ufwand, im
Schadensfall die selbsterstellten Daten w
ieder zu erhalten? Eine
Backup
-Strategie kann diesen Aufw
and in der Regel stark reduzieren
–w
er schon einmal eine
umfangreiche Sam
mlung von V
ideokassetten, Com
ic-Heften oder F
irmenkontakten neu
eingeben mußte, w
ird dies sicherlich bestätigen können.
Schätzt man auch nur bei einer dieser Fragen den A
ufwand als hoch ein, so sollte m
an für das
4 Surfen im Internet ein eigenes R
echnersystem einsetzen. D
er einfachste Weg, eine T
rennung derSystem
e zu erreichen, besteht sicherlich darin, zwei R
echner zu benutzen, von denen der eine demSurfen vorbehalten ist, w
ährend der andere für alle sonstigen Anw
endungen benutzt wird. O
bwohl
dies die sauberste Lösung ist, kom
mt sie aber w
ohl nur dann in Frage, wenn schon ein zusätzlicher
Rechner vorhanden ist, der zu diesem
Zw
eck umgerüstet w
erden kann. Ist dies nicht der Fall, sobietet es sich an, die Festplatten des R
echners in Wechselrahm
en einzubauenund eine w
eiterePlatte sam
t Einschub für den W
echselrahmen anzuschaffen. A
uf diese Weise ist es m
öglich, vordem
Besuch des Internets alle „norm
alen“ Platten zu entfernen und die „Surfplatte“ einzubauen.D
abei ist allerdings zu beachten, daß im B
IOS der P
lattentyp aller Platten als „Auto“ eingetragen
ist, so daß es beim Start selbständig erkennt, w
elche Platten vorhanden sind.
Nachdem
nun die Hardw
are für das Surfen vorbereitet ist, gilt es Window
s 95/98/ME
sowie die für
den Zugang nötige Softw
are zu installieren. Dies ist nicht w
eiter problematisch und soll hier nicht
erklärt werden. E
s ist allerdings zu beachten, daß Window
s ohne denW
indows Scripting H
ost, denPersonal W
ebserverund
Frontpage E
xpressinstalliert w
ird, bzw., daß diese nach der Installation
über die
Start->S
ystemsteuerung->S
oftware->W
indows
Setup
->Zubehör
bzw.
Start-
>System
steuerung->Softw
are->
Window
s S
etup->Internet P
rogramm
eentfernt w
erden.D
ieser Vorgang w
ird in der folgenden Abbildung dargestellt.
Ab
bild
un
g1
: Dein
stallation
des
Win
do
ws S
criptin
g H
ost
Der
Window
s Scripting Host
ist dabei besonders wichtig, da er gerne als E
infallstor für HT
ML
-V
iren benutzt wird. U
nter Window
s ME
wird der
Window
s Scripting Hostallerdings standardm
äßiginstalliert und läßt
sich auch nicht mehr einfach nachträglich entfernen. A
us ähnlichen Gründen
sollte daher auch kein Office-Paket installiert w
erden. Sollen Word-D
okumente aus dem
Internetbetrachtet w
erden, so ist dies in der Regel auch m
it derSchnellansicht, dem
Wordpad
(beide inW
indows 95/98/M
E enthalten) oder dem
Word-B
etrachter(unter
http://www.microsoft.de/erhältlich) m
öglich. Auf diese W
eise wird die V
erseuchung des Systems m
it Makroviren
vermieden. Für den
Personal Webserver
sind dagegen noch keine Angriffe bekannt. E
r ist aber imG
runde unnötig, es sei denn, es sollen Webseiten m
itF
rontpage Express
erstellt werden. W
ird erinstalliert, so stellt der W
indows-R
echner einen richtigen Webserver dar, der von jedem
Rechner im
Internet abgefragt werden kann. N
un ist aber eines der wichtigsten Prinzipien der Internet-
Sicherheit, keine unnötigen Serverdienste auf dem R
echner zu installieren, da sie imm
er einenA
nsatzpunkt für mögliche A
ngriffe darstellen. Aus diesem
Grund scheint es ratsam
, ihn zu
21
20 Lin
kliste
Überprüfung der B
rowsereinstellungen, Ü
berblick über Informationen, die der W
ebsite vomB
rowser geliefert w
erden, Dem
onstration von Sicherheitslücken:
http://www.privacy.net/analyze/
http://www.heise.de/ct/browsercheck/
Test der V
erschlüsselungstärke des Brow
sers:https://www.fortify.net/sslcheck.html
Aktuelle Sicherheitslücken und R
atschläge:http://www.securityfocus.com
, Mailingliste B
ugtraqhttp://www.insecure.org
, Security Tools:http://www.insecure.org/tools.html
http://www.guninski.com/http://www.cert.org/advisories/
Allgem
eine Sicherheitsinformationen und T
ests von aktuellen Virenscannern:
http://agn-www.informatik.uni
-hamburg.de/
(siehe Virus-T
est-Center)
Hinw
eise zum K
onfigurieren von Linux-Firew
allshttp://www.linuxdoc.org/HOWTO/IPCHAINS
-HOWTO.html
5
deinstallieren.F
rontpage Expressist dam
it nicht mehr benutzbar und kann ebenfalls deinstalliert
werden.
Um
die Grundkonfiguration abzuschließen, sollte noch sichergestellt w
erden, daß derE
xplorerauch alle D
ateien in einem V
erzeichnis anzeigt. Standardmäßig w
erden als „versteckt“ markierte
Dateien nicht und D
ateien mit bekannten E
ndungen ohne dieselbe angezeigt. Beide T
atsachenkönnen dazu genutzt w
erden, daß eine Datei im
Explorer
nicht angezeigt wird. U
m dies zu
vermeiden, sollte in einem
Explorer-Fenster unter
Ansicht->O
rdneroptionen->Ansicht
(beiW
indows M
E unter
Extras->O
rdneroptionen->Ansicht
der Punkt „Dateinam
enerweiterung bei
bekannten Dateitypen ausblenden“ abgestellt w
erden. Außerdem
sollte unter „Versteckte D
ateien“der Punkt „A
lle Dateien anzeigen“ angew
ählt werden.
Ab
bild
un
g2: O
rdn
erop
tion
en (h
ier un
ter Win
do
ws 98)
Netzw
erkfreigab
enG
enerell sollte ein guter Grund vorliegen, falls auf einem
Surfsystem Freigabedienste installiert
werden. L
äßt sich dies nicht vermeiden, so sollte sichergestellt w
erden, daß diese Dienste nicht in
das Internet exportiert werden.
Um
dies zu erreichen, müssen als erstes die B
indungen von TC
P/IP überprüft werden. D
azu wählt
man in der
System
steuerungdie K
arteN
etzwerk
und sucht das TC
P/IP-Protokoll. D
ieses solltezw
eimal vorhanden sein; einm
al ist es an die Netzw
erkkarte gebunden, einmal an das D
FÜ-
Netzw
erk. Uns interessiert der letztere E
intrag. Nach einem
Klick auf E
igenschaften und derA
nwahl der K
arte Bindungen ergibt sich folgendes B
ild:
6
Ab
bild
un
g3: T
CP
/IP-Eig
ensch
aften
Insbesondere das Kästchen „D
atei-und D
ruckerfreigabe für Microsoft-N
etzwerke“ sollte leer sein.
Als nächstes sollten noch die E
instellungen der im D
FÜ-N
etzwerk eingetragenen V
erbindungenüberprüft w
erden. Dazu klickt m
an nacheinander mit der rechten M
austaste auf die einzelnenE
inträge und wählt im
nun erscheinenden Kontextm
enü den PunktE
igenschaften. In dem sich nun
öffnenden Fenster wählt m
an die Karte Servertypen. H
ier sollte sich der folgende Anblick ergeben:
Ab
bild
un
g 4: V
erbin
du
ng
seigen
schaften
19
wahrt seine Sicherheit, indem
man die eigenen Schlüssel/G
eheimnum
mern für andere unzugänglich
verwahrt und
für das Internet-Banking die neuesten Internet-B
rowser verw
endet. Näheres unter
Updates. M
anche Institute verwenden darüber hinaus noch eine zusätzliche V
erschlüsselung, hiergibt es teilw
eise große Unterschiede.
Up
dates
Softwarehersteller beheben bekannt
gewordene Sicherheitslücken in ihren Program
men oft recht
schnell, da sie um ihr Im
age fürchten. Anw
ender, die anonym bleiben m
öchten, müssen sich aber
selbst um die B
eschaffung der Updates oder Patches bem
ühen.
•U
pdates für MS W
indows: http://www.microsoft.com
•für W
indows 2000: http://www.microsoft.com/windows2000/downloads/
•für W
indows N
T 4:http://www
.microsoft.com/downloads/•
für Window
s 95:http://www.microsoft.com/windows95/downloads/
•für W
indows 98:
http://www.microsoft.com/windows98/downloads/corporate.asp
Für Linux bieten die führenden A
nbieter komplette U
pdates ihrer Distributionen an, je nach eigener
Distribution
findet m
an unter
http://www.suse.de,
http://www.redhat.de,
http://www.caldera.com
oder der Webseite
anderer Linux-V
ertreiber passende Updates.
Entscheidend ist auch die W
ahl des neuesten Internet-Brow
sers, da alleine durch die verbessertenV
erschlüsselungsalgorithmen von zur Z
eit 128 Bit, die bei N
etscape ab Version 4.73, beim
MS
Internet Explorer ab Version 5.01 angeboten w
ird. Man kann die V
erschlüsselungsstärke deseigenen B
rowsers unter
https://www.fortify.net/sslcheck.htmltesten.
Den neuesten
Microsoft Internet E
xplorerfindet m
an unterhttp://
www.microsoft.com,Netscape
Com
municatorunter
http://www.netscape.com/download.
18 http://www.kernel.org
. Für
die folgenden
Firewall-E
instellungen sind bei der Kernel-
Konfiguration unter ‘N
etworking options‘ folgende E
instellungen zu setzen, andere nicht:
[*] Network
firewalls[*]
Socket filtering
[*] Unix
domain sockets
[*] TCP/lP
networking[*]
lP: firewalling
[*] lP:
masquerading[*]
IP: Allow
large windows
Mit dem
Befehl
ipchainsw
ird für ein-und ausgehende N
etzwerkpakete bestim
mt, w
ie diese zuhandhaben sind. Sinnvollerw
eise legt man die folgenden R
egeln in einem Shell-Skript
an, das beiSystem
start ausgeführt wird.
Zunächst sperrt m
an für sämtliche Pakete beide R
ichtungen:
/sbin/ipchains–F
/sbin/ipchains-P
input DENY
/sbin/ipchains-P
output REJECT
/sbin/ipchains-P
forward REJECT
Dann gibt m
an nur für die gewünschten A
nforderungen die Pakete wieder frei:
/sbin/ipchains-A
input -i
lo-j
ACCEPT/sbin/ipchains
-A
output-i
lo–j
ACCEPT
wobei m
it „lo“ das L
oopback-lnterface gemeint ist, über das alle V
erbindungen abgewickelt
werden, die der R
echner mit sich selbst aufba
ut. Mit den obigen zw
ei Regeln läuft z.B
. der X-
Server wieder (der norm
alerweise auf einem
Firewall-R
echner nichts zu suchen hat) Mit:
/sbin/ipchains-A
output-i
ippp0-p
tcp-s
EXIP 1024:65535
\--
destination-port
80-j
ACCEPT
/sbin/ipchains-A
input-i
ippp0-p
tcp !-y
--source
-port
80\
-d
EXIP 1024:65535
-j
ACCEPT
schaltet man nun den D
atenfluß ins Internet frei, unterbindet jedoch den Aufbau einer V
erbindungeines R
echners im Internet m
it dem eigenem
. In den letzten Regeln stellt ein „\
“ jeweils die
Fortsetzung der Befehlszeilen in der nächsten T
extzeile dar,EXIP
steht für die IP-A
dresse, die demeigenem
Rechner w
ährend des lnternet-Aufenthaltes zugeordnet w
ird; diese wird bei kurzfristigem
Aufenthalt i.d.R
. für jede Verbindung neu vergeben und ist nach dem
Verbindungsaufbau z.B
. über
/sbin/ifconfig ippp0
| grep
“inet addr“
| awk
-F:
‘{print $2}‘
\<
awk ‘{print
$1}‘
abzurufen.
Diese beiden B
eispiele sollten nicht den Eindruck erw
ecken, daß sie vollständig sind, sondern eherals A
nregung dienen, hierauf aufzubauen und das eigene System individuell abzusichern.
Sich
ererer Um
gan
g m
it On
line
-Ban
king
Das zur Z
eit sicherste Verfahren auf dem
Markt nennt sich H
BC
I, und wird z. Z
t. von einigenSparkassen unterstützt. Ü
ber eine zunächst recht umständliche
Vergabe
von Schlüsseln
identifizieren sich Geldinstitut und K
unde miteinander. D
ann wird anhand dieser Schlüssel eine
sichere Datenübertragung initiiert. E
in weiteres V
erfahren ist die PIN/T
AN
-Absicherung. M
it einergeheim
en Persönlichen Identifikationsnumm
er (PIN) identifiziert sich der K
unde, mit einer
Transaktionsnum
mer (T
AN
), die nur einmal gültig ist, w
ird jeder einzelne Auftrag bestätigt. M
an
7
Die E
instellungen sollten nun an obigeA
bbildung angepaßt werden; insbesondere
sollten unter „Zulässige N
etzwerkprotokolle“
„NetB
EU
I“ sow
ie „IPX
/SPX-kompatibel“
abgewählt w
erden.
Bro
wserko
nfig
uratio
nD
er neben
den N
etzwerkfreigabe
n (s.o.)w
ichtigste Ansatzpunkt für A
ngriffe ist derB
rowser. T
äglich werden neue M
ethodenbekannt, ihn zu A
ktionen zu überreden, diefür den B
enutzer gelinde gesagt unvorteilhaftsind.
Bekannten
Angriffen
sollteentgegengetreten w
erden, indem jew
eils dieaktuellen Patches, bzw
. die neueste Version
des Brow
sers installiert wird.
Darüber
hinaus läßt
sich sagen,
daß die
überwiegende A
nzahl von Angriffen nur m
itsogenannten aktiven Seiteninhalten (Java,JavaScript,
VB
Script, A
ctiveX
etc.)funktioniert. D
a diese Inhalte aber auch von„norm
alen“ Webseiten benutzt w
erden, fälltdie
Entscheidung
schwer,
wie
dieSicherheits-
und Funktionalitätsanforderun-gen unter einen H
ut zu bringen sind. Wir
beschreiben in diesem D
okument zunächst
den sicheren
Weg
und geben
Konfigurationen an, die die Sicherheit des
Rechners klar in den V
ordergrund stellen.W
er unbedingt
Webseiten
mit
aktivenInhalten benutzen w
ill oder muß, dem
wird
im w
eiteren Hilfestellung geboten, diese
gezielt und einzeln zu aktivieren.
Im
folgenden A
bschnitt
werden
Konfigurationsanleitun
gen für den InternetE
xplorer 5.5
und den
Netscape
Com
municator 4.7x aufgeführt. Sie gelten im
Wesentlichen auch für andere V
ersionen derjew
eiligen Brow
ser; die genaue Bezeichnung
und Positionierung
der jew
eiligenE
instellungsoptionen kann allerdings vonV
ersion zu Version variieren.
Intern
et Exp
lorer 5.5
Der Internet E
xplorer kennt das Konzept
unterschiedlicher Sicherheitszonen, in denenunterschiedliche
Sicherheitseinstellungengelten.
So gelten
für auf
dem
lokalenR
echner liegende
Seiten andere
Zu-
griffsbeschränkungen als für solche, die voneinem
Rechner im
Internet heruntergeladenw
erden. Dies erscheint auf den ersten B
licksehr
sinnvoll, da
man
lokalen Seiten
Ab
bild
un
g 5: In
terneto
ptio
nen
8 sicherlich mehr V
ertrauen entgegenbringt, als solchen, dievon einem
unbekannten Rechner im
Internet stamm
en. Leider hat sich aber gezeigt, daß dieser E
inteilung nicht vertraut werden kann. E
sgibt sogar H
TM
L-V
iren, die es schaffen, diese zu umgehen. E
s empfiehlt sich daher, für alle Z
onendie restriktivsten E
instellungen zu treffen.
Um
dies zu tun, wählt m
an im M
enü „Extras“ den U
nterpunkt „Internetoptionen“ aus. In dem nun
erscheinenden Fenster wählt m
an die Karte „Sicherheit“, auf dieser kann für jede Z
one eine Sicher-heitsstufe ausgew
ählt werden.
Der im
folgenden beschriebene Vorgang m
uß nun für jede Sicherheitszone wiederholt w
erden. Man
wählt zunächst die E
instellung „Angepasst“ und klickt auf „E
instellungen“. Die A
bbildung 6 solltein etw
a dem sich Ihnen bietenden B
ild entsprechen. Um
nicht jede Einstellung einzeln korrigieren
Ab
bild
un
g 6: S
icherh
eitseinstellu
ng
en
17
einfachen Benutzerrechten anzulegen und nur diesen für die tägliche A
rbeit und den Besuch im
Internet zu verwenden.
Sich
erer ins In
ternet u
nter L
inu
xD
a sich ein Linux-System
bis in kleinste Details k
onfigurieren läßt, kann es zu einem sehr sicheren
System gestaltet w
erden. Leider entspricht die G
rundkonfiguration, in der die meisten L
inux-System
e installiert werden, eher dem
Gegenteil davon. D
a es „das“ Linux nicht gibt, sondern
Linux-Systeme sich extrem
unterscheiden können, kann hier nur eine kurze, allgemeine
Beschreibung für zw
ei Möglichkeiten, L
inux sicherer zu machen, w
iedergegeben werden:
Deaktivieren
nich
t ben
ötig
ter Dien
steW
erden Dienste w
ie Telnet, FT
P, RSH
, RL
ogin, TaIk, N
Talk, PO
P etc. wirklich gebraucht? W
ennnicht, sollte m
an sie deaktivieren. Gem
eint sind hier zunächst so genannte Server-Dienste; der
Telnet-D
ienst z.B. erlaubt es anderen, sich über das N
etzwerk bei Ihrem
Rechner anzum
elden. Was
die „Clients“ betrifft, also die Program
me,
mit denen m
an sich selbst bei anderen Rechnern
anmeldet, ist der gesonderte A
bschnitt darüber zu beachten.
Jeder dieser Dienste w
ird über einen sog. „Port“ (eine jedem D
ienst eindeutig zugeordnete Zahl)
bedient, bei Telnet ist das z.B
. Port 21. Ports, an denen Dienste angeschlossen sind, sind potentielle
Ansatzpunkte für A
ngriffe.M
it dem B
efehlnetstat
-a
| less
spürt man alle D
ienste auf, die an die Ports angeschlossensind; davon sind alle kritisch zu beurteilen, die in der Spalte „State“ als „L
isten“aufgeführt sind.
Die m
eisten Dienste w
erden über die Datei „inetd.conf“ aufgerufen, die sich im
Verzeichnis „/etc“
befinden sollte. Hier genügt bei nicht gebrauchten D
iensten ein „#“ vor die entsprechende Zeile zu
schreiben, um sie zu deaktivieren.
Andere D
ienste werden direkt gestartet, hier soll nur exem
plarisch der Webserver
Apache
genanntw
erden, der unterSuSE
-Linuxauch zum
Anzeigen der
SuSE-H
ilfsseiten dient, die beim Start von
Netscape
angezeigt werden. D
en automatischen Start von
Apache
unterbindet man
–sow
eitm
öglich–
über das mit dem
Linux-System
mitgeliefertem
Konfigurationsprogram
m (z.B
.Yastbei
SuSE), oder direkt über die „R
unlevel“, die das Starten und Beenden verschiedener Program
me bei
verschiedenen Systemzuständen beschreiben (unter
SuSEunter „/etc/rc.d/“, hier löscht m
an unter„rc2.d“ den L
ink aufapache
). Will m
an auf denA
pachenicht ganz verzichten, so kann m
an ihn beiB
edarf von Hand starten, über „/usr/local/apache/bin/apachectl
start“, bei
SuSEm
it„etc/rc.d/apache
start“; vor der Einw
ahl ins Internet hält man ihn m
it „...stop
“ an.
„Firew
all“-Ko
nfig
uratio
nU
nter einer Firewall versteht m
an ein System, das zw
ischen dem Internet und dem
lokalemN
etzwerk geschaltet ist, das erw
ünschte Verbindungen durchläßt und unerw
ünschte blockiert.
Um
Arbeitsplätze ohne zusätzlichen R
echner zu sichern, kann man sog. Personal-Firew
alls oderD
esktop-Firew
alls verwenden. M
it diesen Systemen erreicht m
an nicht die Sicherheit von „echten“Firew
alls, genießt beirichtiger
Konfiguration zum
indest einen gewissen Schutz und kann
Angriffsversuche entdecken. (Siehe hierzu: „D
ie Gefahren des Internet m
eistern, Report“,
http://www.heise.de/ct/00/20/116/default.shtmlund „E
lf Personal Firewalls im
Test“, c't
20/00, Seite 126)
Eine „echte“ Firew
all unter Linux läuft auf einem
eigenen Rechner, ist nicht in w
enigen Stundenkonfiguriert
und bedarf
ständiger K
ontrolle, hier
kann daher
nur auf
eine knappe
Grundkonfiguration eingegangen w
erden, die man n
och lange nicht als „sicher“ bezeichnen kann,im
merhin aber als „sicherer“.
Der K
ernel, also der Betriebssystem
kern, kann und sollte unter Linux im
mer dem
Com
puterangepaßt w
erden, auf dem L
inux läuft. Wie das geht, erfährt m
an in den Handbüchern oder unter
16 unverschlüsselt über das Netz übertragen. W
ie schützt man sich davor? B
ei Telnet, rsh und rlogin
ist das ganz einfach: Diese D
ienste sind nicht mehr zu benutzen, denn es gibt die A
lternative: SSH,
die Secure Shell. Unter U
nix/Linux w
ird einem in der B
edienung kein Unterschied auffallen, die
verschlüsselten Dienste heißen hier einfach ssh und slogin.
Als A
dministrationstool für entfernt stehende L
inux-oder U
nix-Rechner erfreut sich „W
ebmin“
(http://www.webmin.com) großer B
eliebtheit (SSL-verschlüsselt) Unter W
indows, w
o man i.a.
den Um
gang mit graphischen U
mgebungen gew
ohnt ist, gibt es für den Privatgebrauch kostenlosden
SSH C
lient(also den Teil von SSH
, mit dem
man sich auf einem
anderem C
omputer anm
eldet)unter
http://www.ssh.com
. Mit dem
Secure File Transfer C
lientist gleichzeitig eine sichere
Dateiübertragung m
öglich, sie ersetzt den FTP-C
lienten. Unter U
nix/Linux kom
mt m
an mit 'scp'
statt 'rcp' ans Ziel. V
oraussetzung ist imm
erauch der andere Teil von SSH
, der SSH-Server, der auf
dem C
omputer laufen m
uß, auf dem Sie sich anm
elden möchten. Ist ein A
nmelden nicht m
öglich,w
eil der Server fehlt, sprechen Sie die zuständigen Personen ruhig darauf an, es sollte auch in derenInteresse liegen!
Unbedenklicher dagegen ist die B
enutzung des sog. Anonym
ous FTP. M
an meldet sich m
it demB
enutzernamen „anonym
ous“ an, als Paßwortersatz ist die eigene E
-Mail-A
dresse vorgesehen,davon ist jedoch in aller R
egel abzuraten, wie im
Abschnitt zum
Netscape C
omm
unicatorschon
genauer ausgeführt wurde. W
enn im Internet-B
rowser in der A
dreßzeile ganz links „FTP://“ steht,
handelt es sich um A
nonymous FT
P.
Paß
wö
rterE
inen sinnvollen Schutz durch Paßwörter erreicht m
an nur, wenn diese auch gut gew
ählt sind.E
infache Wörter, w
ie sie im D
uden vorkomm
en, sind sehr leicht auszumachen, professionelle
Angreifer verw
enden hierzu Programm
e, die mit einem
Wörterbuch hinterlegt sind. E
in sicheresPaßw
ort sollte nicht kürzer als sechs Zeichen sein und aus einer unsy
stematischen Folge aus K
lein-
und Großbuchstaben, Z
iffern und Sonderzeichen bestehen. Ein sehr gutes B
eispiel wäre z.B
.7hB$2y8G.A
bhängig vom zum
Paßwortaustausch m
it dem Server verw
andten Verfahren kann auch
eine wesentlich größere Paßw
ortlänge notwendig
sein; für
Window
s-Netzw
erke gibt hierzuhttp://www.l0pht.com/l0phtcrack/
Auskunft. W
ichtig ist auch die Benutzung verschiedener
Paßwörter für verschiedene A
nwendungen. O
der möchten Sie, daß evtl. der A
dministrator eines
Ihrer freien Mail-K
onten mit dem
gleichem Paßw
ort auch Zugriff auf Ihr K
onto hat?A
uch solltem
an sich die Paßwörter gut m
erken; auf keinen Fall darf man der B
equemlichkeit verfallen und das
Angebot z.B
. des eigenen Brow
sers oder Betriebssystem
s annehmen, es auf der Festplatte zu
speichern.
Paß
wo
rt vergessen
? K
ein P
rob
lem!
Auf solche Seiten stößt m
an oft im Internet. M
eistens werden einem
in diesem Fall eine von zw
eiM
öglichkeiten angeboten:M
an hat bei der Erstellung seines A
ccounts beim A
nbieter der Seiteseine E
-Mail-A
dresse hinterlegt und w
ird manchm
al um eine A
usweichfrage gebeten, die in diesem
Fall angezeigt wird und die einem
entweder bei der E
rinnerung an das Paßwort behilflich sein soll
oder zur Eingabe eines anderen, vorher festgelegtem
Paßwortes auffordert. D
iese an sich guteV
ariante wird oft zu einem
Sicherheitsloch, wenn die A
ntwort auf die Frage zu leicht ist. „W
elcheFarbe/M
arke hat mein A
uto?“ kann sicherlich auch von vielen Arbeitskollegen beantw
ortet werden.
Die zw
eite Variante ist die Z
usendung des Paßwortes per E
-Mail. B
ei ungesicherter Übertragung
kann allerdings jeder das Paßwort m
itlesen. Näheres kann m
an im A
bschnitt über den sicherenU
mgang m
it E-M
ails nachlesen.
Benutzeraccounts/-rech
te auf d
em eig
enem
Rech
ner
Professionellere Betriebssystem
e wie
Window
s N
T,W
indows 2000oder
Linuxrichten bei der
Installation zunächst nur den Benutzer „A
dministrator“ oder „root“ ein. W
er unter diesem N
amen
angemeldet
ist, hat
alle R
echte eines
Systemverw
alters, daher
sollte er
auch nur
derSystem
verwaltung vorbehalten bleiben. Sicherer ist es, von A
nfang an einen weiteren B
enutzer mit
9
zu müssen, bietet es sich an, zuerst einm
al unter „Zurücksetzen auf“ den Punkt „H
ohe Sicherheit“zu w
ählen und die Schaltfläche „Zurücksetzen“ anzuklicken. N
un müssen noch eine R
eihe vonE
instellungen überprüft werden; w
ir bietenIhnen zunächst einm
al eine Grundkonfiguration, m
it derdie größtm
ögliche Sicherheit vor bekannten Angriffen aus dem
Internet gegeben ist. Dazu w
ählenSie bitte alle E
instellungen wie in A
bbildung 6 beschrieben.
Nachdem
Sie diesen Vorgang für alle Z
onen wiederholt haben, bleiben nur noch ein paar generelle
Einstellungspunkte übrig, die sich auf der K
arte „Erw
eitert“ befinden (siehe Abbildung 5). A
uchhier sollten Sie w
ieder die in Abbildung 5 beschriebenen E
instellungen übernehmen.
In dieser sicheren Grundkonfiguration kann es leider vorkom
men, daß bestim
mte W
ebseiten nichtoder nicht richtig angezeigt w
erden oder einzelne Elem
ente nicht richtig bedienbar sind. Daher
kann es in der Praxis notwendig sein, diese restriktiven E
instellungen fallweise zu lockern. U
m eine
gezielte Lockerung zu erm
öglichen, werden nachfolgend die auffälligsten E
inschränkungen dieserK
onfiguration zusamm
en mit den E
instellungen aufgeführt, die diese wieder aufheben; dabei
sollten Sie allerdings die ebenfalls beschriebenen Sicherheitsprobleme, die sich aus einer solchen
Lockerung ergeben, genau beachten.
•A
ctiveX-S
teuerelemente und P
lugins ausführen, die sicher für Scripting sind
•A
ctiveX-S
teuerelemente initialisieren und ausführen, die nicht sicher sind
•A
ctiveX-S
teuerelem
ente u
nd
Plug
ins au
sfüh
ren•
Java-Ein
stellun
gen
Wenn Sie beim
Abruf einer W
ebseite diese Fehlermeldung auf dem
Bildschirm
sehen:
dann benutzt die Seite zur Darstellung H
ilfsprogramm
e, sogenannte ActiveX
-Steuerelemente
oder Plugins, ohne die Teile der Seite u.U
. fehlenoder nicht richtig angezeigt w
erden können.E
ntgegen der angezeigten Fehlerm
eldung kann es aber auch sein, daß sich kein ActiveX
-Steuerelem
ent auf
der Seite
befindet, sondern
ein in
der P
rogramm
iersprache Java
geschriebenes P
rogramm
(ein
sog. Java-A
pplet).E
s gibt
leider keine
Möglichkeit,
herauszufinden, ob ActiveX
-Kom
ponenten oder Java-Applets verw
endet werden, ohne die
jeweiligen E
inschränkungen aufzuheben, welche die G
rundkonfiguration setzt. Sollten Sie diefehlenden
Elem
ente für
so w
ichtig erachten,
daß Sie
die m
it der
Aufhebung
derSicherheitsrestriktionen verbundenen R
isiken in Kauf nehm
en wollen, so ist aufgrund des
geringeren Gefährdungspotentials zu em
pfehlen, daß mit der A
ktivierung von Java zu beginnen.
Bevor Sie Java aktivieren, sollten Sie sich auf jeden Fall vergew
issern, daß Sie den aktuellstenJava-Interpreter installiert haben. U
m die auf Ihrem
Rechner installierte B
uild-Num
mer zu
ermitteln, geben Sie an der E
ingabe-Aufforderung
"JVIE
W"
ein. A
ngezeigt w
ird z.B
.5.00.3316, die letzten vier
Stellen sind maßgeblich, hier 3316. V
ergleichen Sie diese mit der
unterhttp://www.microsoft.com/java/angegebenen N
umm
er und laden Sie gegebenenfallsvon dort eine aktualisierte V
ersion herunter. Danach können Sie Java aktivieren, indem
Sie dieJava-E
instellungen auf „hohe Sicherheit“ ändern. Sollte bei der erneuten Seitenanforderungaberm
als obige Fehlermeldung erscheinen, so verw
endet die Seite tatsächlich ActiveX
-Steuerelem
ente oder Plugins.
In diesem Fall kann das A
ktivieren von „ActiveX
-Steuerelemente und Plugins ausführen“
Abhilfe schaffen; der W
ebseite wird dam
it allerdings gestattet, Programm
e auf Ihrem R
echner
Ab
bild
un
g 7: F
ehlerm
eldu
ng
–D
er Intern
et Exp
lorer d
arf aktive Elem
ente n
icht an
zeigen
10
auszuführen, die auch zu bösartigen Zw
ecken mißbraucht w
erden können. Mit der A
ktivierungdes ersten Punktes „A
ctiveX-Steuerelem
ente und Plugins ausführen, die sicher für Scriptingsind“ erlauben Sie auch dazu geeigneten E
-Mail-Program
men w
ie Microsoft O
utlook (Express),
diese Hilfsprogram
me zum
Anzeigen von E
-Mail zu benutzen; dies ist jedoch in der Praxis so
gut wie nie notw
endig und wird vor allem
von E-Mail-V
iren ausgenutzt, um Schaden
anzurichten. Von der A
ktivierung des zweiten Punktes „A
ctiveX-Steuerelem
ente initialisierenund ausführen, die nicht sicher sind“ können w
ir nur abraten, da man dam
it eventuellenbösartigen E
-Mails und W
ebseiten quasi freie Hand läßt, jeden beliebigen Schaden anzurichten.
•A
ctive Scrip
ting
Auch ohne die obige Fehlerm
eldung kann es passieren, daß gewisse E
lemente einer W
ebseite,z.B
. das Anklicken einiger L
inks, offensichtlich nicht funktionieren. In diesem Fall ist es
wahrscheinlich, daß diese E
lemente skriptgesteuert sind. Skripte sind direkt in die W
ebseiteeingebettete A
blaufanweisungen, die
–idealerw
eise benutzergesteuert–
Aktionen im
Brow
serausführen können, ohne neue E
lemente herunterladen zu m
üssen.D
iese finden gerne z.B. bei
dynamisch aufklappbaren M
enüstrukturen, Laufbändern oder kleineren optischen E
ffektenA
nwendung. E
s gibt mehrere V
arianten dieser Skriptsprachen (z.B. Javascript und V
BScript),
allen ist jedoch zweierlei gem
einsam: sie w
erden auf dem lokalen R
echner ausgeführt undkönnen direkt und unbehindert auf das B
etriebssystem zugreifen. D
ie damit einhergehenden
Sicherheitsprobleme lassen es w
enig ratsam erscheinen, die V
erwendung von Skriptsprachen
unkritisch zu aktivieren. Bestenfalls bei
speziellen Seiten, auf die man unbedingt angew
iesenist,
könnte m
an eine
Aktivierung
gestatten. W
ill m
an nicht
regelmäßig
dieSicherheitseinstellungen ändern, so gibt es noch die M
öglichkeit, „Active Scripting“ auf
„Eingabeaufforderung“ zu stellen; dadurch w
ird man jedesm
al gefragt, bevor ein Skriptausgeführt w
erden soll; die in dieser Mitteilung:
aufgestellte Behauptung über die Sicherheit von Skripten sollte m
an aber besser nicht alsE
ntscheidungsgrundlage verwenden.
•C
oo
kies ann
ehm
en, d
ie gesp
eichertsin
d•
Co
okies p
ro S
itzun
g an
neh
men
(nich
t gesp
eichert)
Wenn sich W
ebseiten darüber beschweren, daß Ihr B
rowser keine C
ookies annimm
t, dannm
üssen Sie sich entscheiden, wie w
eit Sie dem B
etreiber der Webseite (und ggf. dessen
Geschäftspartnern) vertrauen w
ollen. Die W
ebseite möchte dann näm
lich in der Regel Ihren
Rechner m
it Hilfe eines C
ookies eindeutig markieren, um
ihn bei späteren Besuchen auf
derselben Webseite w
iederzuerkennen. Dam
it wird Ihr R
echner für den Betreiber–
und all jene,die diese M
arkierung ebenfalls entziffern können (das könnten z.B
. die Werbepartner der
Webseite sein)
-identifizierbar, und w
enn Sie nur auf einer Seite, die diese Markierung erkennt,
persönliche Daten (z.B
. für eine Online-B
estellung) eingeben, dann sind Sie im Internet
persönlich erkennbar!
Firmen, die K
ontakt zu vielen Webseiten haben, z.B
. Online-W
erbeanbieter, können damit u.U
.ein Profil Ihrer A
ktivitäten im Internet erstellen. W
enn Sie eine Webseite, die C
ookies verlangt,unbedingt benutzen können m
öchten-
z.B. w
eil Sie einen Online-E
inkauf tätigen wollen
-dann
empfiehlt es sich, zunächst nur „C
ookies pro Sitzung annehmen“ zu aktivieren. D
amit sollten
Ab
bild
un
g 8: Irrefü
hren
de A
bfrag
e
15
werden können. B
eiMicrosoft O
utlookfordert m
an dazu überExtras
->Optionen->
Sicherheiteine
'Digitale
ID'
an, beim
Messenger
erreicht m
an über
Com
municator->E
xtras->S
icherheitsinformationen
->Zertifikate->
Eigene->Z
ertifikat anfordern
das G
leiche. Profis
schätzen das kostenlose Programm
PGP (http://www.pgpi.org),
das m
iteiner 4096
-Bit-
Verschlüsselung nach heutigem
Maßstab als w
irklich sicher bezeichnet werden kann. PG
P läßt sichunterdessen einfach bedienen und über Plugins in viele M
ail-Programm
e integrieren. PGP ist für
viele Betriebssystem
e verfügbar.
Sch
utz vo
r Viren
Zum
einen können Viren über sog. „aktive Inhalte“ auf Ihren R
echner gelangen; darunter verstehtm
an in HT
ML
-Mails (die übrigens bei Profis verpönt sind) untergebrachten Program
me w
ieA
ctiveX, Java-
oder VB
Script. Diese können bei A
ufruf Kontakt m
it anderen Rechnern im
Internetaufnehm
en, oder bereits auf Ihrem R
echner vorhandene Viren in A
ktion setzen. Sicherer ist dieD
eaktivierung aktiver Inhalte in E-M
ails, wie sie bei allen führenden E
-Mail-Program
men m
öglichist; leider ist per V
oreinstellung alles aktiviert.
Zum
anderen besteht die wohl unterdessen größte B
edrohung in virenbelasteten Attachm
ents.A
ttachments können harm
lose Dateianhänge an E
-Mails sein, aber auch z.B
.M
icrosoft-Word-
Dateien m
it Makroviren oder eigenständige V
irenprogramm
e. Allgem
einist die E
mpfehlung, ein
Attachm
ent niemals direkt zu öffnen, sondern auf der Festplatte zu speichern und sofort m
it einem(hoffentlich installiertem
) aktuellem V
irenscanner zu überprüfen. Das gleiche gilt im
übrigen auchfür den D
ownload von D
ateien, diedirekt von W
ebseiten abgerufen werden. E
ntscheidungshilfe zurA
uswahl eines guten V
irenscanners (den es für Privatpersonen teilweise sogar kostenlos gibt) findet
sich unterhttp://agn
-www.informatik.un
i-hamburg.de
(siehe V
irus-Test-C
enter). Eine
Virenprüfung kann je nach V
irenscanner und dessen Einstellung entw
eder automatisch bereits beim
Dow
nload, beim E
mpfang von E-M
ail, bei jedem D
ateizugriff, oder rein manuell nur nach
Benutzereingriff vorgenom
men
werden.
Da
Virenscanner
neue V
irentypen häufig
nicht m
it der
eingebauten H
euristik (eine
programm
spezifische Samm
lung von Methoden, V
iren über deren übliche Verhaltensw
eisen zufinden) erkennen, ist es notw
endig, regelmäßig die V
irensignaturen des eingesetzten Scanners aufden neuesten Stand zu bringen.
Vor M
akroviren, wie sie häufig in
Microsoft-W
ord-Dateien auftreten
–vor denen aber auch andere
Office-Pakete nicht sicher sind
–schützt m
an sich (neben dem E
insatz von Virenscannern) auch
durch Öffnen
in Texteditoren oder nicht m
akrofähigen Anzeige-Program
men.
Microsoft O
fficebietet zudem
die Möglichkeit, vor dem
Öffnen von D
ateien mit M
akros den Benutzer zu w
arnen,allerdings sagt das nichts darüber aus, ob in dem
Makro w
irklich ein Virus ist.V
isualBasic Script
Dateien, die V
iren enthalten können, erkennt man an der E
ndung .vbs, sofern man die A
nzeige derD
ateiendungen (s.o.) aktiviert hat. Deaktiviert m
an denW
indows Scripting H
ost, kann auch einunbedarfter D
oppelklick auf diese Anhänge keine G
efahr bedeuten. Näheres dazu unter dem
Abschnitt „G
rundkonfiguration unter Window
s 95/98/ME
“. Für viele heute selbstverständlich isteine m
ögliche Bedrohung durch D
ateien mit den E
ndungen .bat, .exe oder .com; garantierte
Sicherheit gibt es aber bei keinen Dateien, selbst w
enn Sie von Ihnen gut bekannten Absendern
stamm
en. Hat näm
lich erst einmal ein V
irus die Kontrolle über das M
ail-Programm
der
betreffenden Person
übernomm
en, kann
dieses virenbehaftete
E-Mails an alle Personen
verschicken, die es im A
dreßbuchfindet. A
us diesem G
runde muß hier auch von der B
enutzung desbeliebten Program
mes
Microsoft O
utlookabgeraten w
erden, denn es ist das am m
eisten verbreiteteProgram
m, und die A
utoren von Viren suchen sich genau dieses Program
m für ihre Z
wecke heraus,
dasie som
it den größten Schaden anrichten können.
FT
P &
Teln
etFT
P, das „File Transfer Protocol“ dient zur D
atenübertragung, Telnet dient zum
Login auf entfernt
stehenden Rechnern, w
ie auch Rem
ote Login (rlogin) oder die R
emote Shell (rsh). B
ei derA
nmeldung
an diese
Dienste
wird
der B
enutzername
(das sog.
Login)
und das
Paßwort
14 Im m
ittleren Bereich „Server für ausgehende M
ail“ haben Sie die Mö
glichkeit, Ihre ausgehendeM
ail über einen verschlüsselten Kanal zum
Mail-Server zu übertragen. Fragen Sie ggf. bei Ihrem
Provider nach, ob Sie dieses Merkm
al nutzen können. Oder probieren Sie es einfach m
al aus!B
edenken Sie hier jedoch, daß damit nur der
Transport bis zum
Mail-Server Ihres E-M
ail-D
iensteanbieters verschlüsselt erfolgt–
danach wird die E
-Mail verm
utlich, wie im
Internet üblichunverschlüsselt w
eitergeleitet. Wenn Sie also sicherstellen w
ollen, daß niemand unbefugt die
Nachricht m
itliest,so m
üssen Sie andere Maßnahm
en ergreifen. Dazu gibt es im
nächsten Kapitel
einige allgemeine H
inweise.
Sich
ererer Um
gan
g m
it weiteren
Intern
et-Dien
sten
Versch
lüsseln
? W
arum
?N
ur in den allerseltensten Fällen findet die Datenübertragung im
Internet direktzw
ischen Ihremund dem
Rechner statt, auf den Sie zugreifen m
öchten; eine Internetverbindung zwischen H
amburg
und München kann also durchaus über T
okio, Los A
ngeles und New
York laufen. A
lle Rechner auf
dem W
eg können Datenpakete auslesen.
E-M
ailH
ierbeigeht es nicht um
das Lesen der E
-Mails im
Brow
ser wie z.B
. unterhttp://
www.gmx.de,http://
www.hotmail.comoder
http://www.web.de, sondern um
das Abholen m
it einem E
-Mail-
Programm
wie den an die B
rowser gebundenen
Microsoft O
utlookoder
Netscape M
essenger,auchProgram
me w
ieQ
ualcomm
Eudora
oderP
egasus. Zum
Abholen und Senden sollte im
mer die SSL-
Verschlüsselung
aktiviert sein,
sonst ist
auch hier
beim
Anm
elden auf
dem
Server die
Paßwortübertragung ungeschützt. L
eider ist die SSL-Übertragung unter
Netscape
Messenger
nichtbei PO
P-Servern m
öglich, hier sollte auf jeden Fall auf einen IMA
P-Server ausgew
ichen werden.
(i.d.R. w
erden imm
er beide Dienste angeboten, fragen Sie im
Zw
eifel bitte Ihren Provider.)
Diese E
instellungen betreffen nur die geschützte Übertragung zu Ihrem
Provider und zurück; imw
eiteren Verlauf sind die M
ails ohne weitere E
instellungen (siehe gesonderten E-M
ail-Abschnitt)
weiterhin ungeschützt!
E-M
ails werden m
eistens völlig unverschlüsselt übers Netz geschickt, diese können fast so einfach
wie Postkarten m
itgelesen werden. W
esentlich sichererer ist eine Übertragung von 128 B
it RC
2-
verschlüsselter Mails, w
ie sie mit
Microsoft O
utlookoder dem
Netscape M
essengerverschlüsselt
Ab
bild
un
g 12: D
etaileinstellu
ng
en fü
r den
E-M
ail-T
ransp
ort
11
die meisten W
arenkorb-Systeme der einschlägigen A
nbieter funktionieren, alle Markierungen
werden jedoch nach dem
Beenden des Internet E
xplorers wieder gelöscht. D
esweiteren haben
Sie noch die Möglichkeit, vor A
nnahme eines jeden C
ookies gefragt zu werden, ob Sie dies
zulassen; dies geht-sow
ohl pro Sitzung als auch dauerhaft-
indem Sie die obigen Punkte auf
„Eingabeaufforderung“ setzen. A
llerdings müssen Sie dann dam
it rechnen, eine Vielzahl von
Anfragen auf C
ookie-Überm
ittlung zu erhalten, die dem B
edienkomfort auf bestim
mten Seiten
ziemlich abträglich sind.
Netscap
e Co
mm
un
icator 4.7x
Die E
instellungen für Cookies,
Java/JavaScript etc. lassen sich in denN
etscape-Brow
sern der Reihe
4.7x einfach vornehmen. H
ierfür gibt es ein eigenesE
instellungen-Fenster, das man über das
Menü
Bearbeiten
und den PunktEinstellungen
erreicht.
Im linken T
eil des nun erscheinendenFensters befindet sich eine L
eiste mit K
ategorien undU
nterkategorien. Die W
ichtigste für unsere Belange ist
Erw
eitert. Dort befinden sich alle
Einstellungsm
öglichkeiten zu den Punkten Cookies und Java bzw
. JavaScript. Die quadratischen
Felder links der einzelnen Punkte sollten für:
•„Java aktivieren“
•„JavaScript aktivieren“
•„A
utomatische Installationsoption aktivieren“
•„E-M
ail-Adresse als anonym
es FTP-K
ennwort senden“
frei sein und keine Häkchen enthalten. Früher hatte m
an beim anonym
en FTP bei der
Ab
bild
un
g 9: D
as erweitere E
instellu
ng
s-Men
ü d
esN
etscape C
om
mu
nicato
r
12 Paßwortabfrage seine E
-Mail-A
dresse aus Höflichkeit angegeben, dam
it der Betreiber am
anderenE
nde wußte, w
er sein System benutzt. H
eutzutage ist von dieser Höflichkeit stark abzuraten. V
onFirm
en wird die E
-Mail-A
dresse prompt zur E-M
ail-Reklam
e ausgenutzt, und außerdem lassen sich
im V
erbund mit anderen System
en, auf denen Sie dieselbe Adresse angegeben haben, w
iederProfile erstellen; zu deutsch: M
an kann Ihre Bew
egungen im N
etz ausspähen.
Wie C
ookies funktionieren und ob sie imm
er gut schmecken, ist bereits
im A
bschnitt zumInternet
Explorer
genauer beschrieben. Zu Ihrem
Schutz sollten Sie Cookies hier auch gleich deaktivieren.
Zuvor sollten Sie noch zusätzlich „W
arnmeldung vor dem
Akzeptieren von C
ookies“ mit einem
Häkchen anw
ählen.
Eine B
esonderheit stellt unterNetscape
das sog.S
mart B
rowsing
dar. In der Kategorie
Navigator
gibt es eine Unterkategorie
Sm
art Brow
sing. W
ird diese angewählt, so erscheint folgender D
ialog:
Wie aus der A
bbildung ersichtlich, teilt sichS
mart B
rowsing
in die beiden Bereiche
Verw
andteO
bjekteund
Internet Schlüsselbegriffe
auf. Ersterer beschreibt das V
erhalten bezüglich derÜ
bermittlung von U
niform R
esource Locators (U
RL
), also Webadressen, an den Internet-
Suchdienst der Firma N
etscape, deren System dann nach w
eiteren UR
L zum
selben Them
a sucht.D
ie Standardeinstellung ist „Nach der ersten V
erwendung“. D
ies bedeutet: nachdem in der
bestehenden Sitzung einmal eine U
RL
an Netscape überm
ittelt wurde
–etw
a um sie zu
vervollständigen–, w
ird jede UR
L jeder nachfolgend besuchten
Seite an Netscape überm
ittelt. Dies
stellt einen erheblichen Eingriff in die Privatsphäre dar, denn som
it werden Ihre B
ewegungen im
WW
W eigentlich von frem
der Seite protokolliert! Um
sich davor zu schützen, sollten Sie entweder
die Option "N
ie" auswählen,
oder das Häkchen vor "V
erwandte O
bjekte aktivieren" entfernen. Imersteren Fall w
ird nur dann eine Anfrage losgeschickt, w
enn der Benutzer tatsächlich darum
gebeten hat.
Ab
bild
un
g 1
0:Sm
art Brow
singunter
Netscap
e Co
mm
un
icator 4.7x
13
Der zw
eite Bereich
Internet-Schlüsselbegriffe
steht für eine automatische Suchanfrage
desN
etscapeC
omm
unicatorbei der E
ingabe einer unvollständigen Adresse zw
ecks Vervollständigung
derselben. Da dies w
iederum eine A
nfrage an den Netscape-Suchserver bedeutet, die grundsätzlich
ohne Rückfrage an den B
enutzer erfolgt, sollten Sie auch diesen Punkt deaktivieren.
Nun noch ein letzter Punkt zum
Netscape C
omm
unicator, falls Sie Ihre E-M
ail mit dem
Netscape
Messenger, dem
E-Mail-Program
m des
Com
municators, lesen. E
s gibt dort die Möglichkeit, das
Kennw
ort zum A
brufen der E-Mail speichern zu lassen, d.h., Sie geben es nur einm
al beimE
inrichten desC
omm
unicatorein und brauchen es dann nicht mehr einzugeben. B
edenken Sie bitte,daß gespeicherte D
aten von Angreifern ggf. ausgelesen w
erden können. Es könnte also auch Ihr
Paßwort treffen. A
us Sicherheitsgründen sollten Sie daher darauf verzichten, es speichern zu lassen.A
ber keine Angst! Sie m
üssen nun nicht jedesmal Ihr Paßw
ort eingeben, wenn Sie nach neuer M
ailschauen
–jedenfalls nicht, solange Sie den N
etscape Com
municator nicht beenden. D
iePaßw
orteingabe ist lediglich einmal pro Sitzung erforderlich. A
ußerdem schützt die regelm
äßigeE
ingabe auch ein wenig davor, das Paßw
ort zu vergessen.
Die entsprechende E
instellung nehmen Sie in
Mail &
Diskussionsforen, U
nterkategorieM
ail-
Server
vor. Doppelklicken Sie den M
ail-Server und ein entsprechendes Fenster erscheint. Hier
können Sie wählen, ob Ihr E
-Mail-K
ennwort gespeichert w
erden soll oder nicht. Klicken Sie
anschließend auf OK
.
Ab
bild
un
g 11: M
ail-Server
-Ein
stellun
gen
mit d
em N
etscape C
om
mu
nicato
r 4.7x
