Firewall Handbuch für LINUX 2.0 und 2.2 - zurück
Firewall Handbuch für LINUX 2.0 und 2.2 - zurück
Firewall Handbuch für LINUX 2.0 und 2.2 - zurück
Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.
YUMPU macht aus Druck-PDFs automatisch weboptimierte ePaper, die Google liebt.
Danach sind alle von SOLARIS mitgelieferten Programme, die zumindest ohne besondere<br />
Privilegien gestartet sind, nicht mehr gefährdet. Secure<strong>LINUX</strong> erfordert einen Patch im<br />
Standard - Kernel <strong>und</strong> den Einsatz eines speziell angepaßten Compilers mit welchem alle<br />
Programme neu kompiliert werden müssen.<br />
Im Gegensatz zu SOLARIS ist es so mit <strong>LINUX</strong> möglich, alle Programme, die im<br />
Quellcode vorliegen, gegen alle bekannte <strong>und</strong> noch unbekannten »buffer overflows«<br />
abzusichern, das bedeutet auch, daß SQL-Server, WWW-Server......gesichert werden<br />
können. Unter SOLARIS sind alle Programme von Zulieferern nicht gegen diese Angriffe<br />
gesichert. Solange SUN nicht die Quellcodes des Compilers, Programme <strong>und</strong> Kernel<br />
veröffentlicht, haben andere Hersteller auch keine Möglichkeit, Ihre Programme<br />
entsprechend zu sichern.<br />
Schaut man sich die Struktur aller im Internet veröffentlichten expoits einmal genauer an,<br />
so wird man feststellen, daß fast alle zu einer "rootshell" führen. Erkennbar ist das daran,<br />
daß irgendwo im Quellcode "/bin/csh" oder ähnliche Shells gestartet werden. Wenn man<br />
einfach alle Shells umbenennt <strong>und</strong> dazu noch in der /etc/passwd die Namen entsprechend<br />
ändert, so hat man zumindest die Möglichkeit, einen buffer overflow direkt scheitern zu<br />
lassen. Ersetzt man csh durch einen Befehl, wie "mail -s "Angriff!!!!" user@domain", so<br />
wird man automatisch via E-Mail informiert, wenn ein "buffer overflow" stattfindet. In der<br />
Praxis hilft dies zumindest, einen Angriff stark zu verzögern, da der Angreifer erst einmal<br />
eine Alternative ausknoblen muß. Im Gr<strong>und</strong>e kann man ein freies UNIX, zu dem man die<br />
Quellcodes besitzt völlig umkrempeln - "root" wird zu "toor", u.s.w. Mit einem einfachen<br />
Befehl "find /usr/src/ -name "*" -print -exec sed s/.....{} \" kann man den kompletten<br />
Quellcode von z.B. FreeBSD umkrempeln, <strong>und</strong> mit "make world" neu kompilieren. Da ein<br />
Angreifer stets gewisse Konventionen bei der Namensgebung von Usern, Gruppen <strong>und</strong><br />
Files erwartet, ist diese Variante doch relativ erfolgreich, <strong>und</strong> hält zumindest einige Zeit<br />
stand, um den Angriff bemerken zu können. Generell gilt: Je mehr die Konfiguration vom<br />
Standard abweicht, um so schwieriger hat es ein Angreifer. Toor findet man übrigens nach<br />
einem Angriff mit einem bestimmten Toolkit in der Datei /etc/passwd<br />
Wie sicher sind andere Betriebssysteme ?<br />
BSD-UNIX<br />
<strong>LINUX</strong><br />
Besonders erwähnenswert sind die Programmierer von OpenBSD, die in jahrelanger<br />
Arbeit »code review« »tausende!« von solchen fehlenden »Längenabfragen« in die<br />
Standardprogramme von OpenBSD eingebaut haben. Hierzu sind aber Änderungen im<br />
Quellcode der Programme <strong>und</strong> des Kernels notwendig gewesen.<br />
OpenBSD ist binärkompatibel zu BSDI, FreeBSD, NetBSD, <strong>LINUX</strong> <strong>und</strong> auch SOLARIS<br />
Programmen. Da bedeutet aber nicht, daß die Anwendungsprogramme auf »buffer<br />
overflows« überprüft wurden. Leider kann der »code review« nicht eine 100%ige<br />
Sicherheit vor diesen Angriffen garantieren, OpenBSD gehört aber zu denjenigen<br />
Betriebssystemen, die äußerst stabil ohne große Probleme durch Angreifer laufen,<br />
genauso wie SOLARIS 2.5, 2.6, 2.7.<br />
SUN hat aufgr<strong>und</strong> der langen Internet-Tradition inzwischen erhebliche Mühen in eigene<br />
»code reviews« gesteckt. Das zahlt sich aus. FreeBSD <strong>und</strong> NetBSD sind ebenfalls als<br />
relativ sicher zu betrachten, da diese ebenfalls von dem »code review« bei OpenBSD<br />
profitiert haben. Die kommerzielle Version der BSD-Betriebssysteme, BSDI konnte ebenso<br />
davon profitieren, sodaß man sagen kann, alle BSD-Varianten sind inzwischen<br />
weitestgehend »bullet proof«. Es gibt zwar auch Ausnahmen, die sind aber relativ selten.<br />
Aus diesem Gr<strong>und</strong> setzen ausnahmslos große Content-Anbieter (Yahoo, HotMail,<br />
Netscape, ftp.cdrom.com, tucows.com.....) BSD 4.4 UNIX oder Solaris ein.<br />
Erstellt von Doc Gonzo - http://kickme.to/plugins