Firewall Handbuch für LINUX 2.0 und 2.2 - zurück
Firewall Handbuch für LINUX 2.0 und 2.2 - zurück
Firewall Handbuch für LINUX 2.0 und 2.2 - zurück
Erfolgreiche ePaper selbst erstellen
Machen Sie aus Ihren PDF Publikationen ein blätterbares Flipbook mit unserer einzigartigen Google optimierten e-Paper Software.
Mitarbeiter an der Arbeit hindert. Einen Patch <strong>für</strong> die aktuellen SAMBA Dämonen findet<br />
man auf http://www.reac.com/samba/samba-audit.html. Geschrieben hat diesen Andy<br />
Bakun. <strong>LINUX</strong> erfüllt mit diesem Patch einige Punkte der C2 Zertifizierung (Auditing). In<br />
der Praxis bedeutet dies, daß man ebenso wie unter NOVELL <strong>und</strong> NT, mit <strong>LINUX</strong> alle<br />
File-Zugriffe auf den Server mit protokollieren kann. Hier ein Beispiel:<br />
Sep 21 18:47:42 jupiter: uranus rollout jwall(514) sysadmin(233) jwall(192.168.1.50)<br />
SHAREOPEN<br />
Sep 21 18:48:01 jupiter: jupiter home jwall(514) jwall(514) jwall(192.168.1.50)<br />
FILEDELETE file="jwall/New Text Document.txt"<br />
Sep 21 18:49:08 jupiter: uranus rollout abakun(500) sysadmin(233)<br />
abakun(192.168.1.20) SHAREOPEN<br />
Sep 21 18:49:52 jupiter: jupiter - - - jwall(192.168.1.50) LOGON interactive logon<br />
attempt for kdart<br />
Sep 21 18:49:52 jupiter: jupiter - - - jwall(192.168.1.50) LOGONFAIL wrong password<br />
for kdart<br />
Sep 21 18:49:55 jupiter: jupiter - - - jwall(192.168.1.50) LOGON interactive logon<br />
attempt for kdart<br />
Sep 21 18:49:55 jupiter: jupiter - - - jwall(192.168.1.50) LOGON successful logon for<br />
kdart<br />
Sep 21 18:49:59 jupiter: jupiter - - - jwall(192.168.1.50) LOGOFF user 100(100)<br />
Sep 21 18:51:44 jupiter: uranus rollout jwall(514) sysadmin(233) jwall(192.168.1.50)<br />
SHARECLOSE<br />
Sep 21 18:59:18 jupiter: uranus rollout abakun(500) sysadmin(233)<br />
abakun(192.168.1.20) SHARECLOSE<br />
Sep 21 20:38:55 jupiter: jupiter home abakun(500) abakun(500) abakun(192.168.1.20)<br />
FILEDELETE file="abakun/NTprofile/Recent/Jungle Maximize.WAV.lnk"<br />
Sicherstellung der Authentizität von Log-Dateien<br />
In obigem Beispiel ist aufgeführt, wie man <strong>LINUX</strong> dazu bringt, Events aufzuzeichnen.<br />
Wichtig ist es immer, daß man sich auf Logdateien verlassen kann. Sie sind die einzigen<br />
Hinweise auf mögliche Verletzungen der Security Policy. Leider können Angreifer, die z.B.<br />
über einen Buffer overflow in ein System eindringen, die Logdateien verändern. Hierzu<br />
verwenden diese den I-Node-echten VI. Hierzu sollten mit Hilfe der Kernel Security<br />
Mechanismen da<strong>für</strong> gesorgt werden, daß einzelne Log-Dateien mit dem Flag "append<br />
only" versehen werden, damit auch ein User mit Administrator-Rechten diese nicht mehr<br />
verändern kann (ROOT hingegen sehr wohl noch). Diese Mechanismen werden von<br />
einigen <strong>LINUX</strong> Derivaten (Abhandlung folgt) bereitgestellt <strong>und</strong> sind auch im Kernel <strong>2.2</strong> zu<br />
großen Teilen enthalten.<br />
Bestimmung, welche Dienste unbedingt notwendig sind<br />
Bevor man sich an die Arbeit begibt, sollte man sich gut überlegen, welche Daten es zu<br />
schützen gilt, <strong>und</strong> welche Dienste / Dämonen dementsprechend notwendig sind. Alle<br />
anderen Dienste sollten unbedingt auf weitere Server ausgelagert werden.<br />
Entfernen aller nicht benötigten Dienste<br />
Notwendige Aufgabe ist die Entfernung dieser Programme aus dem System / Netzwerk.<br />
Es muß sichergestellt sein, daß ein Angreifer diese keinesfalls reaktivieren kann (durch<br />
buffer overflows, z.B.). Es muß mit Bedienungs oder Konfigurationsfehler seitens des<br />
Systemadministrator s oder Setup-Programmes stets gerechnet werden. Das beinhaltet<br />
die physikalische Entfernung aller nicht benötigten Dienstprogramme aus dem System.<br />
Anschließend müssen sämtliche nachladbaren Treiber, Kernelmodule oder Dämonen<br />
gelöscht werden. Programme, die Dämonen eigenständig starten können (inetd) sind so<br />
zu konfigurieren, daß diese ohne Fehlermeldungen arbeiten. Darüber hinaus ist es<br />
sinnvoll, nicht benötigte Funktionen aus dem Kernel zu entfernen. Es schränkt zwar die<br />
Auswahl des Betriebssystems ein, ist aber unumgänglich.<br />
Erstellt von Doc Gonzo - http://kickme.to/plugins