Sicheres Intra-/Internet mit Linux · E-Kriminalität steigt stark an > je mehr Aktivitäten auf...

Sicheres Sicheres IntraIntra--/Internet mit /Internet mit LinuxLinux

Aufbau/Konfiguration eines virtuellen privaten Netzes mittels FreeS/WAN unter SuSE Linux 6.4

Projektarbeit Carsten CrellFH Dortmund Sommersemester 2000

Seite 2/80


� Aktuelle IT-Situation:> „Die Sicherheit in der Informationstechnik ist

Schlüsselfrage für jede moderne Volkswirtschaft“ (Otto Schily 02/2000)

> schneller sicherer Zugriff auf korrekte Daten wird immer wichtiger

> „neue Wirtschaft“ basiert auf Internettechnologie> Hohe Verfügbarkeit ist wichtig> Eindeutige Identifikation der Geschäftspartner

Aktuelle ITAktuelle IT--SituationSituation

Seite 3/80

Sicheres Sicheres IntraIntra--/Internet mit /Internet mit LinuxLinuxAktuelle ITAktuelle IT--SituationSituation

� Neue Kommunikationsmodelle> Zusammenschlüsse für Projekte zu

virtuellen Unternehmen (z.B. Smart)> Telearbeit/Homeoffice als Alternative zu

klassischem Arbeitsmodell > Unternehmens- und Fillialenintranets sind

per Internet verbunden (VPN)> Vertreter mit Laptops können sich übers

Web in die Zentrale einklinken

Seite 4/80


> B2B-Lösungen werden in den nächsten Jahren deutlich ausgebaut

• sichere Abwicklung von Geschäftsprozessen zwischen Unternehmen (Partnern, Kunden, Lieferanten)

• geschützte Kommunikation mit guten Verschlüsselungssystemen und breiten Schlüsseln gilt als Voraussetzung für Akzeptanz von solchen Lösungen

• Ziele der Unternehmen sind Effizienz, Geschwindigkeit und Sicherheit

Seite 5/80


� Gefahr der Informationsmanipulation> „Hacks“ von Websites sind für

Unternehmen imageschädigend und mitunter gefährlich

> Börsenkurse können durch gezielteDesinformation auf Websites gepushtwerden

> Gefälschte Daten können Menschen-leben gefährden (Medizin, Militär)


Seite 6/80


� E-Kriminalität steigt stark an> je mehr Aktivitäten auf das Netz verlagert

werden, desto interessanter wird es für kriminelle Störungen und Angriffe

> Bezifferung der Schäden ist schwierig, da z.B. Ausmaß von Datendiebstahl nur schwerlich ermittelt werden kann

> Strafverfolgung in den Kinderschuhen • Internetpolizei im Aufbau• Länderübergreifende Zusammenarbeit nötig


Seite 7/80


Sicherheitsszenario USA 1999(Umfrage unter 649 Unternehmen, Behörden, Finanzinstituten und

Universitäten durch Computer Security Institute http://www.gocsi.com)

0%10%20%30%40%50%60%70%80%90%

Vire

n, La

ptopd

iebsta

hl, In

terne

tzu...

Einbr

üche

von a

ußen

Denia

l of S

ervic

eDo

wnloa

d War

ez, P

orno

nichta

uthor

isier

ter Zu

gang

Angr

iffe vo

n auß

en

Unwi

ssenh

eit üb

er A

ttack

en

Seite 8/80


� „I love you“-Virus läutert die Anwender• Umfrage in der letzten Woche unter 1250 Personen mit

PC am Arbeitsplatz– 40% der Unternehmen wollen Sicherheitsmaßnahmen zum

Schutz der Kommunikationseinrichtungen erweitern– 40% öffnen trotzdem ohne Vorsichtsmaßnahmen Email-

Attachments

Seite 9/80


� „I love you“-Virus läutert die Anwender• Umfrage in der letzten Woche unter 1250 Personen mit

PC am Arbeitsplatz– 66% befürchten deutliche Zunahme von Problemen durch

Computerviren– 21% hatten Probleme durch „Loveletter“-Virus– 6.2% erhebliche Behinderungen des Arbeitsablaufes– 1.8% Schadensbeseitigung mehr als 3 Tage!


Seite 10/80


� E-Business ist anfällig für Hackerattacken, da Webportale...> global erreichbar sein müssen

• somit auch global angreifbar sind• Angriffe können durch Zusammenschluß von

Rechnern geschehen> 24 Std, 7 Tage/Woche in Betrieb sind

• Vorkehrungen vor Ausfall des Angebots • Schutz der persönlichen Daten(Kreditkartennr.)

Seite 11/80

Sicheres Sicheres IntraIntra--/Internet mit /Internet mit LinuxLinuxEntwicklungEntwicklung des Internetsdes Internets

� Historie des Internets> Verbindungen zwischen Forschungs-

einrichtungen und Universitäten> Militärische Netze Informationsysteme

weniger angreifbar zu machen (Arpa)> Zusammenschluß der Netze zu Internet

auf Basis der NetzwerkprotokollfamilieTCP/IP

> Übertragung in Klartextform in überschaubaren Umfeld

Seite 12/80

Sicheres Sicheres IntraIntra--/Internet mit /Internet mit LinuxLinuxEntwicklung des InternetsEntwicklung des Internets

� Historie des Internets II> Ausbau des Internet zu „virtuellen

Wirtschaftsräumen“ durch den Siegeszug des WWW in den 90er Jahren

> Rasand wachsende Userzahlen macht Netz zum Motor der IT-Branche

> Vom Forschungsnetz zum Marktplatz für Millionen

Seite 13/80

Sicheres Sicheres IntraIntra--/Internet mit /Internet mit LinuxLinuxPotentielle AngriffePotentielle Angriffe

RechnerRechner--orientiertorientiert

Viren,Trojaner

NetzorientiertNetzorientiert::

DoS,Sniffing,Spoofing,Mailspam-ming

AngriffsAngriffs--VorbereitungVorbereitung

Exploits,Portscanning,

Seite 14/80


� Arten von Angriffen> Sniffing

• Daten werden beim Transport über die Leitungen durch spezielle software sichtbargemacht (Sniffer)

> Spoofing• Vortäuschung von Adressen oder

Domainennamen um Datenverkehr umzulenken

Seite 15/80


� Arten von Angriffen> Exploits

• Schwachstellen und Sicherheitslöcher in Anwendungen werden ausgenutzt

• Buglisten finden sich auf vielen Internetsites z.B. www.bugtraq.com

• Ausnutzung von mangelhaften Sicherheitskonzepten (schwache/keine Passwörter, fahrlässige Konfigurationen)

Potentielle AngriffePotentielle Angriffe

Seite 16/80


� Arten von Angriffen> Exploits

• langsame Reaktionszeit der Herstellerfirmen • potentielle Schäden durch Bekanntwerden der

Bugs im Internet• Einfallstor für minderbegabte Hacker

(Skriptkids)• Viele Programme werden im Betastadium

ausgeliefert ohne Sicherheitsprüfungen


Seite 17/80


� Arten von Angriffen> Portscanning

• spezielle Software findet Sicherheitlücken inWebservern durch Testen der offenen Ports

• Mittels spezieller Angriffstools können die Dienste angegriffen werden

> Email-Spamming • MassenEmail-Attacken stören Rechnersysteme• Emailserver brechen zusammen


Seite 18/80


> Email-Spamming• Plattensysteme laufen voll• „echte“ Email kann nicht mehr zugestellt

werden> Denial-of-Service(DoS) Angriffe

• offene Dienste(http, ftp) werden mit gefälschten IP-Adressen bombardiert und somit im Ablauf gestört

• kann Systemperformance beeinträchtigen


Seite 19/80


� Arten von Angriffen> Viren

• lt. Definition : eine selbstständige Programm-teile, die sich vervielfältigen können

• häufig auf gebräuchlichen Systemen vertreten– MS-DOS, Win9X, Apple

» durch fehlende Sicherheitsmechanismen» mögliche Verbreitung durch große Nutzerzahl

– Windows NT/2000» bietet besseren Schutz durch Rechtekonzepte


Seite 20/80


> Viren• Kategorien:

– Bootsektorviren» 1996 mit 86% der Schadensfälle in der

Virenstatistik des BSI » 1999 nur noch mit 14% vertreten» Entwicklung setzt gute Kenntnisse des

Betriebssystems voraus– Fileviren/Malware

» hängen sich an ausführbaren Code an» kann trojanische Funktionen beinhalten


Seite 21/80


> Viren• Kategorien:

– Makroviren» relativ einfach zu erstellen» Virengeneratoren im Internet erhältlich» Applikationsabhängig (Microsoft VBA, oder

andere Scriptsprachen)» gewinnen an Bedeutung (1996 noch 31%, 1999

schon Spitzenreiter mit 68% in der Befallstatistik)

• Aufgrund der Konzeption von Unix/Linux sind Viren dort bisher fast gar nicht aufgetreten


Seite 22/80

Sicheres Sicheres IntraIntra--/Internet mit /Internet mit LinuxLinuxSchutz der Schutz der eingesetzen eingesetzen ITIT--SystemeSysteme

• Download von aktuellen Virenpattern www.nai.com

Seite 23/80

Sicheres Sicheres IntraIntra--/Internet mit /Internet mit LinuxLinuxSchutz der Schutz der eingesetzen eingesetzen ITIT--SystemeSysteme

� Schutz durch aktuellste Software> Vorteile

• Sicherheitsupdates beheben Sicherheitsprobleme

• Virenpattern bekämpfen neuste Viren– pro Monat werden kommen 200(!) neue schädliche

Programme in Umlauf– Großteil der Viren sind Makroviren (MS-Office)– Meiste Viren sind auf Windows ausgelegt

Seite 24/80

Sicheres Sicheres IntraIntra--/Internet mit /Internet mit LinuxLinuxGrundlagen sicherer KommunikationGrundlagen sicherer Kommunikation

� Schutz durch Information• neuste Sicherheitslücken und Patches per

Mailingliste, Newsletter oder Sicherheits-websites verfolgen

• Patches & „workarounds“ zeitnah einspielen• Aufbau von Sicherheits-know-how im

Unternehmen (Schulung)> Einführung von sicheren Kommunikations-

verfahren (IPSec, SSL, GPG, PGP)

Seite 25/80


� Schutz durch Konfiguration> Einrichtung von Firewalls (Paketfilter)> Virenschutz

• Festplattensysteme werden regelmäßig überprüft

• Eingehende E-mails werden durch besondere E-mailserver direkt auf Mal-Ware geprüft

• eingeschränkte Nutzung von beweglichen Datenträgern (Disketten, CDs)

Seite 26/80


� Schutz durch Konfiguration> Anwendung von Verschlüsselung

• Remoteadministration– Secure-Shell (ssh) anstatt telnet für Remote-

Administration

• Email-Verkehr– PGP (Pretty Good Privacy) oder– GPG (GNU Privacy Guide) Open-Source-Pendant

• WWW-Transfer– SSL (128Bit) in Kombination Netscape/Apache

Seite 27/80


> Linux basiert auf Unix-Konzepten• Unix ist durch den Einsatz in vielen Bereichen

über Jahre hinweg gewachsen und in vielen Punkten verbessert worden

• Unix bietet klare Rechtekonzepte bis hinunter auf Prozeßebene

> Linux ist im Internet frei erhältlich– keine Lizenzkosten für Betriebssystem und Anwendungen

» proxy, email, ftp, ipsec, apache» grafische Oberfläche (KDE, Gnome)» Standardapplikationen (StarOffice, TeX)

– > enorme Einsparpotentiale» Bundesrechnungshof prüft großflächigen Einsatz

Warum Warum LinuxLinux, warum , warum openopen--sourcesource??

Seite 28/80


> Linux ist im Internet frei erhältlich• Entwickler stellen neuste Updates und Patches

zum Download ins Netz

> Akzeptanz und Anzahl von nützlichen Anwendungssoftware nimmt stark zu

• IBM bietet komplette Hardware mit Linux an• Corel portiert Anwendungen auf Linux• NSA verwendet Linux in sicherheitskritischen Bereichen

(Firewall)• Zerschlagung von Microsoft ist große Chance für Linux• SAP bietet ERP-Anwendungen R/3 auf SAP an

Warum Warum LinuxLinux, warum , warum openopen--sourcesource? II? II

Seite 29/80


> Ständige Prüfung auf Sicherheitslöcher• Quellcode ist frei einsehbar

– trojanischer Code würde schnell auffallen– Hintertüren (z.B. Crypto-API in Windows-Produkten)

wären nicht möglich • GNU-Lizenz schreibt vor, den Programm-

quellcode mitzuliefern• schnelle Reaktion auf Sicherheitsprobleme

– siehe Studie aus Security Portal Weekly– Diskussion in Newsgroups und Mailinglisten legen

mögliche Probleme offen

Warum Warum LinuxLinux, warum , warum openopen--source source ? III? III

Seite 30/80


> Linux ist stabil• Dauertest im Webservereinsatz in c´t 06/2000

hat gezeigt, daß Linux (kurz nach Solaris) deutlich weniger Ausfallzeiten (downtime) hat als Windows NT 4 (gleiche Server-Software Apache)

• hängende Prozesse können nicht das komplette System zum Absturz bringen (effizientes Speichermanagement)

Warum Warum LinuxLinux, warum , warum openopen--source source ? IV? IV

Seite 31/80

Sicheres Sicheres IntraIntra--/Internet mit /Internet mit LinuxLinuxGrundlagen der VerschlüsselungGrundlagen der Verschlüsselung

� Verschlüsselung> Warum Verschlüsselung?

• Datenübertragung läuft in Datenpaketen (IP-Pakete) ohne Zusatzsoftware unverschlüsselt ab

• Übertragung ist sehr einfach abzuhören (Sniffing durch Hacker oder Konkurrenz)

• systematische Wirtschaftsspionage durch USA (Echolon)– kann Sprache, elektronische Daten einfach extrahieren – System im „kalten Krieg“ entwickelt– danach gegen europäische Wirtschaftsunternehmen– lange Zeit kursierten nur Gerüchte – durch Bundesregierung zugegeben (17.04.2000 heise.de)

Seite 32/80

Sicheres Sicheres IntraIntra--/Internet mit /Internet mit LinuxLinuxGrundlagen der VerschlüsselungGrundlagen der Verschlüsselung

� Verschlüsselung> Theorie und Praxis

• übertragene Daten werden mit speziellen Algorithmen verschlüsselt

– Klartext(plaintext) wird durch Schluessel in Chiffretext(chiper) umgewandelt

– einfachster Mechanismus: Verschiebung von Zeichen nach festen Regeln

– je länger die Schlüssel desto besser ist der Schutz– gute Verfahren basieren auf Primzahlenmultiplikation – Bruch der Cipherdaten schwierig (Zerlegung in

Primfaktoren ist mit sehr großem Rechenaufwand verbunden)

Seite 33/80

Sicheres Sicheres IntraIntra--/Internet mit /Internet mit LinuxLinuxGrundlagen der Verschlüsselung / VerfahrenGrundlagen der Verschlüsselung / Verfahren

> Verfahren:DES und 3DES• DES ist Industriestandard• oft implementiert• relativ kurze Schlüssel (56 Bit) lassen

Geheimdiensten Nachrichten mitlesen• ist durch geballte Rechnerleistung zu brechen • 3DES

– beschreibt 3fachen Durchlauf des DES– verbunden mit großer Schluessellänge ist

Verfahren eins der sichersten Verfahren

Seite 34/80

Sicheres Sicheres IntraIntra--/Internet mit /Internet mit LinuxLinuxGrundlagen der Verschlüsselung / VerfahrenGrundlagen der Verschlüsselung / Verfahren

> Brute-Force-Angriffe auf Schluessel:• Jede mögliche Kombination

wird durchprobiert

Algorithmus Anzahl Bits Anzahl Schlüssel

Mittlere Suchzeit bei einer eine Million Dollar teuren Maschine

DES 56 10 1̂6 3,5 StdSkipjak 80 10 2̂4 6655 JahreTriple-DES mit 2 Schluesseln 112 10 3̂3 30 000 000 000 000 JahreIDEA, RC4/128 128 10 3̂8 2 000 000 000 000 000 000 Jahre

Annahme von 3 Billionen Schluesseltests pro Sekunde

Seite 35/80

Sicheres Sicheres IntraIntra--/Internet mit /Internet mit LinuxLinuxGrundlagen der Verschlüsselung / VPN GrundlagenGrundlagen der Verschlüsselung / VPN Grundlagen

> VPN Grundlagen• virtuelle privates Netz:• Datenverkehr zwischen vertrauenswürdigen Rechnern

muß vor Fälschung und Abhören geschützt werden• gesamtes Spekttrum aktueller Internet-Software soll

geschützt werden– Email– WWW– ferner Rechnerzugriff– Datenübertragung– komplette TCP/IP-Protokollsuite soll geschützt werden

Seite 36/80

Sicheres Sicheres IntraIntra--/Internet mit /Internet mit LinuxLinuxGrundlagen der Verschlüsselung / VPN ZieleGrundlagen der Verschlüsselung / VPN Ziele

> VPN Ziele• ein nicht vertrauenwürdiges Netz soll Bindeglied

zwischen zwei oder mehr Netzen sein• Kostenvorteile gegenüber Standleitungen• Sicherheitsmaßnahmen zwischen den zu schützenden

Rechnern werden automatisch durchgeführt• ISP-Unabhängikeit• Standortunabhängigkeit bedeutet

Standortauthentifizierung (jeder Teilnehmer muß sich authentifizieren)

Internet header

Netzanschluß-header

Transport-header

Anwendungs-header

Zu sendende Daten

Klartext KlartextChiffretext

Seite 37/80

Sicheres Sicheres IntraIntra--/Internet mit /Internet mit LinuxLinuxVier Schritte bis zu sicheren LösungVier Schritte bis zu sicheren Lösung

� Aufbau eines sicheren IntranetsserversIntranetsservers mit AnbindungAnbindung über das InternetInternet mit Fillialen, Kunden, Vertretern, Lieferanten als ExtranetExtranet

� Das 4 Stufenkonzept4 Stufenkonzept:

Seite 38/80

Sicheres Sicheres IntraIntra--/Internet mit /Internet mit LinuxLinuxVier Schritte bis zur sicheren LösungVier Schritte bis zur sicheren Lösung

>> 1. Aufbau LINUX1. Aufbau LINUX--KommunikationsgatewayKommunikationsgateway• Http-Server (apache) & notwendigen Module

– Intranetanwendungen mit Jserv – Internetseiten mit Perl, PHP und anderen

Skriptsprachen

• ISDN Konfiguration• Proxyserver squid V2

– zur Beschleunigung des Netzzugriffes– zur Nutzungskontrolle der Netzzugriffe– Ausschuß von verbotenen Webinhalten

• Samba zur Datenablage von Windowsrechnern

Seite 39/80


>> 2. Integration von Sicherheitskomponenten2. Integration von Sicherheitskomponenten• „out-of-the-box“-Installation ist bei

Betriebssystemen i.d.R. unsicher– Zusätzliche Konfiguration und Anpassung nötig– bei allen Distributionen (SuSE, RedHat)

• Verwendung sicherer Software– postfix anstatt sendmail (enthielt viele Bugs)– Software aus sicheren Quellen (welche Quellen sind

sicher?)– pop3ad mit Passwortverschlüsselung– ssh statt telnet für remote-Administration

Seite 40/80


>> 2. Integration von Sicherheitskomponenten2. Integration von Sicherheitskomponenten• Aufbau einer Firewall (Paketfilter)

– Zugriffe auf internes Netz verhindernPaketfilterregeln

– besser als seperaterFirewallrechner (auch alter Pentium möglich)

• Abschaltung aller Wählleitungen ins interne Netz

– Modems, ISDN-Verbindungen sind Sicherheitsrisiko – können Firewall unterlaufen

• Tests der öffentlichen Server mit Portscannern auf Sicherheitslöcher

Seite 41/80


>> 3. Verbindung der Unternehmensstandorte 3. Verbindung der Unternehmensstandorte per Internetper Internet• Installation eines sicheren Tunnels durch das

Internet (Ipsec mit FreeSwan)• Voraussetzung für eine Verbindung zwischen

mehreren Standorten ist ein Internetzugang mitfesten IP-Adressen und Rückrüffunktion

• Versenden der Schlüssel auf sicherem Weg• Testen der Verbindung mit Sniffingtools

Seite 42/80


>> 4. 4. Backupkonzept Backupkonzept + Anwenderschulung+ Anwenderschulung• für die jeweiligen Kommunikationsserver an

den Unternehmensstandorten• Tapestationen für anfallendes

Datenaufkommen auswählen• Backupstrategie entwerfen

– Bestimmung des Volumens– Generationen von Backups– Monatssicherungssbänder bei Bank deponieren– Verantwortliche für Backup schulen

Seite 43/80

Sicheres Sicheres IntraIntra--/Internet mit /Internet mit LinuxLinuxInstallation einer sicheren LösungInstallation einer sicheren Lösung

Achtung Achtung

Konfiguration!

Konfiguration!

secumodhardensuse

YaSTYaST2

Grundpackete

jserv modssl

apache

squid-itAuswertung

fetchmail pop3a

incomming

postfix

outgoing

ftp-server

email-server

Proxyserversquid

www-server

Netzpackete(n)

Netzanalyseetherreal, snitffit,

Fernwartungssh, vnc, webmin

Virenscanneramavis(mail)uvscan(file)

john/cracklibsichere Passwörter

fortifysicheres Netscape

mod_sslinkl Zertifikat

GPG/PGP

FreeS/WANVPN mit Linux

Sicherheitspakete(secu)

GrundsystemSuse6.4

minimal Konfiguration


Carsten CrellHattinger Str. 82644879 [email protected]

Theend

Seite 45/80


Achtung Achtung

Konfiguration!

Konfiguration!

� Grundsystem mit YaST2 installieren:> Pakete auswählen> Hardwareerkennung starten

• Geräte einrichten– X-Server für Grafikkarte auswählen mit Sax– Eingabegeräte konfigurieren

• ISDN-Zugang editieren– Auwahl aus Datenbank oder Neuanlage der Verbindung

> Benutzer einrichten> Gute (mindestens 7stellige) Passwörter vergeben

Seite 46/80


Achtung Achtung

Konfiguration!

Konfiguration!

� Firewall einrichten> SuSE firewall (läuft nicht mit FreeS/WAN)

• in /etc/rc.config START_FW=yes• /usr/doc/packages/firewals/examples ansehen

– /etc/rc.config.d/firewall.rcconfig anpassen

> FreeS/WAN bietet ein funktionsfähigesFirewallskript

• /etc/firewall.conf und /etc/rc.firewall editieren• in Startprozdur rc.2 und rc.3 integrieren

Seite 47/80


Achtung Achtung

Konfiguration!

Konfiguration!

� Apache WWW-Server / jserv / open_ssl> Konfigurationsdateien

• /etc/httpd/httpd.access• /etc/httpd/httpd.conf• /etc/rc.config -> „START_HTTPD=yes“• danach SuSEconfig starten• /usr/doc/package/openssl-Doku lesen• Zertifikat einrichten

Seite 48/80


� Mailserver : Postfix> Konfiguration:

• /etc/postfix/main.cf– Variablenbelegung:

» mydestinations mit eigenen Domains belegen,» relaydomains mit Domains belegen, die lokal

zugestellt werden sollen» virtualhosts mit ausgehenden Mailserver

einrichten (z.B. mail.ping.de oder entsprechende IP-Adresse)

Installation einer sicheren LösungInstallation einer sicheren LösungAchtun

g Achtung

Konfiguration!

Konfiguration!

Seite 49/80


� Mailserver : Postfix> Konfiguration:

• /etc/postfix/main.cf• /etc/aliases einrichten danach mit newaliases

für das System aktivieren•postfix reload um geänderte Konfiguration

in laufenden Betrieb zu übernehmen• in /etc/ppp/ip-up

– sendmail -q eintragen– Skript für kontinuierliches Postverschicken


g Achtung

Konfiguration!

Konfiguration!

Seite 50/80


Achtung Achtung

Konfiguration!

Konfiguration!

� Mailserver : fetchmail> /root/.fetchmailrc einrichten

– z.B. Mail für komplette Domain sog. Multidrop» proto pop3;» poll post.strato.de localdomainsmeinedomain.de: user with pass to * here;

– z.B Mail für einzelne User von verschiedenen Mailservern» z.B. gmx und yahoo

– Alle eingehenden Mails werden nun an die lokalen Nutzer verteilt, sofern diese existieren. Die können sich die Mails dann z.B. mit POP wieder abholen.

Seite 51/80


� Mailserver : Popa3d> Paket installieren (Makefile anpassen) > /etc/inetd.conf einrichten> inetd Dämon starten in rc.config eintragen> User auf dem Server einrichten (per Yast,

als Shell /bin/passwd eintragen, damit User per ssh Passwd ändern kann)


g Achtung

Konfiguration!

Konfiguration!

Seite 52/80


Achtung Achtung

Konfiguration!

Konfiguration!

� Amavis als Email-Virenscanner• amavis-Paket downloaden(www.amavis.org)• per tar -xvzf amavis-0.6-pre.tar.gz Paket

installieren• ggf. neueste Virenpattern downloaden• /etc/postfix/main.cf editieren

– procmail in scanmail ändern• Testvirus (eicar.com) per Mail

an User im internen Netzversenden -> User root erhält Warnmail

Seite 53/80


Achtung Achtung

Konfiguration!

Konfiguration!

� Netzwerkanalyse> Ntop

• Datenverkehr sichtbar machen• Anzeige auf Konsole oder im HTML-Format

> Etherreal• grafischer Paketsniffer• vielfältige Funktionen

> Intrusiondetection• spürt eingeschleuste Pakete auf (syslogd)

Seite 54/80

Sicheres Sicheres IntraIntra--/Internet mit /Internet mit LinuxLinuxAchtung Achtung Konfigu

ration!Konfigu

ration!Installation Proxy Server Installation Proxy Server SquidSquid

> Proxy-Server serverseitig• In /etc/rc.config „START_SQUID=yes“• /etc/squid.conf anpassen:

– authenticate_program /usr/bin/ncsa_auth/usr/etc/squid_passwd

> Benutzerkontrolle einrichten• NSCA-Modul aus dem Quellpaket kompilieren

– Access-Controll-Lists(ACL) in /etc/squid.conf definieren, um den Zugriff zu regeln

• Per htpasswd Passwortfile (squid_passwd) generieren– Im Verzeichnis /usr/etc– Für jedenem WWW-User muß ein Eintrag in squid_passwd

vorhanden sein

Seite 55/80


ration!Konfigu

ration!Installation Proxy Server Installation Proxy Server SquidSquid

� Clientseitig> Proxyeinrichtung:

• Edit Preferences• Advanced• Proxies• Manual• IP-Adresse des

Proxyservers• Port, den in

/etc/squid.confeingetragen wurde

Seite 56/80

Sicheres Sicheres IntraIntra--/Internet mit /Internet mit LinuxLinuxInstallation Installation IPIP--TunnelTunnel mit mit FreeSFreeS/WAN/WAN

Achtung Achtung

Konfiguration!

Konfiguration!

� FreeS/WAN 1.3> ipsec.conf einrichten

• Schlüsselvergabe – manuell

» Schluessel durch ipsec ranbits generieren– automatisch– Netzwerkkonfiguration vorgeben

• Verbindung benennen• Netzwerkadressen (IP) eintragen

Seite 57/80


� FreeS/WAN 1.3> ipsec.secrets einrichten

• Schlüsselvergabe – Schlüssel durch ipsec ranbits generieren – Format

» „linke IPAdresse“ „rechte IPAdresse“ Schluessel

• ipsec.secrets-Datei austauschen auf alle beteiligten Rechner per ssh/PGP

• in rc.config „START ipsec=yes“ eintragen

Achtung Achtung

Konfiguration!

Konfiguration!

Installation IPInstallation IP--Tunnel mit Tunnel mit FreeSFreeS/WAN II/WAN II

Seite 58/80


ration!Konfigu

ration! NtopNtop InstallationInstallation

Seite 59/80


ration!Konfigu

ration! Potentielle AngriffePotentielle Angriffe

Seite 60/80


> Sniffing am Beispiel mit Tool Sniffit unter Linux (Ausspähen einer Telnetverbindung)

Seite 61/80


ration!Konfigu

ration! YaST2 Installation IYaST2 Installation I

Seite 62/80


ration!Konfigu

ration! YaST2 Installation IIYaST2 Installation II

Seite 63/80


ration!Konfigu

ration! YaST2 Installation IIIYaST2 Installation III

Seite 64/80


ration!Konfigu

ration! YaST2 Installation IVYaST2 Installation IV

Seite 65/80


ration!Konfigu

ration! YaST2 Installation VYaST2 Installation V

Seite 66/80


ration!Konfigu

ration! YaST2 Installation VIYaST2 Installation VI

Seite 67/80


ration!Konfigu

ration! YaST2 Installation VIIYaST2 Installation VII

Seite 68/80


ration!Konfigu

ration! YaST2 Installation VIIIYaST2 Installation VIII

Seite 69/80


ration!Konfigu

ration! YaST2 Installation IXYaST2 Installation IX

Seite 70/80


ration!Konfigu

ration! YaST2 Installation XYaST2 Installation X

Seite 71/80


ration!Konfigu

ration! YaST2 Installation XIYaST2 Installation XI

Seite 72/80


ration!Konfigu

ration! YaST2 Installation XIIYaST2 Installation XII

Seite 73/80


ration!Konfigu

ration! YaST2 Installation XIIIYaST2 Installation XIII

Seite 74/80


ration!Konfigu

ration! YaST2 Installation XIVYaST2 Installation XIV

Seite 75/80


ration!Konfigu

ration! YaST2 Installation XVYaST2 Installation XV

X11 OberflächeX11 OberflächeKonfiguration:Konfiguration:

• gebräuchliche Monitore sindvorhanden

• manuelle Fre-quenzeingabeebenfalls möglich

Seite 76/80


ration!Konfigu

ration! YaST2 Installation XVIYaST2 Installation XVI

X11 OberflächeX11 OberflächeKonfiguration:Konfiguration:

• gebräuchliche Grafikkarten werdenerkannt• Farben undAuflösungenwerden hier • Änderungen mitSAX möglich

Seite 77/80


ration!Konfigu

ration! YaST2 Installation XVIIYaST2 Installation XVII

HardwareHardware--erkennungerkennung::

•• mit Yast2 istmit Yast2 isteine nachträglicheeine nachträglicheÄnderung derÄnderung derKonfigurationKonfigurationohne weiteres ohne weiteres möglichmöglich•• KomponenteKomponenteInternetInternet ist für ist für KomKom--munikationmunikation wichtigwichtig(Modem/ISDN)(Modem/ISDN)

Seite 78/80


ration!Konfigu

ration! YaST2 Installation XIXYaST2 Installation XIX

NameserverNameserverKonfiguration:Konfiguration:eigener Rechner-name: vmlinuxvmlinuxDomaine:ccexam.deccexam.deListe der Name-server: ((in IP-Form))z.b. 193.100.20.11z.b. 193.100.20.11Domain-Suchliste:ccexam.deccexam.defür die Nameszuord-nung wichtig!

Seite 79/80


ration!Konfigu

ration! YaST2 Installation XXYaST2 Installation XX

Seite 80/80


ration!Konfigu

ration! YaST2 Installation XXIYaST2 Installation XXI

Es ist geschafft!Es ist geschafft!

Das Das Grundsystem Grundsystem läuft!läuft!

Nun folgen noch Nun folgen noch die sicherheitsdie sicherheits--und netzwerkund netzwerk--relevanten relevanten AnpassungenAnpassungen

Sicheres Intra-/Internet mit LinuxEntwicklung des InternetsEntwicklung des InternetsPotentielle AngriffePotentielle AngriffeSicheres Intra-/Internet mit LinuxInstallation Proxy Server SquidInstallation Proxy Server SquidInstallation IP-Tunnel mit FreeS/WANInstallation IP-Tunnel mit FreeS/WAN IINtop InstallationPotentielle AngriffePotentielle AngriffeYaST2 Installation IYaST2 Installation IIYaST2 Installation IIIYaST2 Installation IVYaST2 Installation VYaST2 Installation VIYaST2 Installation VIIYaST2 Installation VIIIYaST2 Installation IXYaST2 Installation XYaST2 Installation XIYaST2 Installation XIIYaST2 Installation XIIIYaST2 Installation XIVYaST2 Installation XVYaST2 Installation XVIYaST2 Installation XVIIYaST2 Installation XIXYaST2 Installation XXYaST2 Installation XXI

Sicheres Intra-/Internet mit Linux · E-Kriminalität steigt stark an > je mehr Aktivitäten auf...

Documents

Transcript of Sicheres Intra-/Internet mit Linux · E-Kriminalität steigt stark an > je mehr Aktivitäten auf...