2.3. Bedrohungen der Serversicherheit

Serversicherheit ist genauso wichtig wie Netzwerksicherheit, da Server meistens einen Großteil der unternehmenskritischen Informationen halten. Wird ein Server beeinträchtigt, kann der Cracker auf den gesamten Inhalt zugreifen und nach Belieben Daten stehlen oder manipulieren. Die folgenden Abschnitte behandeln die wichtigsten Punkte.

2.3.1. Unbenutzte Services und offene Ports

Eine Komplettinstallation von Red Hat Enterprise Linux enthält bis zu 1200 Applikationen und Bibliotheken. Die meisten Systemadministratoren wählen jedoch nicht jedes einzelne Paket zur Installation aus, sondern ziehen es vor, eine Basis-Installation von Paketen inklusive mehrerer Serverapplikationen durchzuführen.

Ein häufig auftretendes Verhalten unter Systemadministratoren ist es, das Betriebssystem zu installieren, ohne darauf zu achten, welche Programme eigentlich installiert werden. Dies kann problematisch werden, da eventuell unbenötigte Services installiert werden, die mit den Standard-Einstellungen konfiguriert und standardmäßig aktiviert werden. Dies kann dazu führen, dass unerwünschte Services wie Telnet, DHCP oder DNS auf einem Server oder einer Workstation laufen, ohne das der Systemadministrator es merkt, was wiederum zu unerwünschtem Verkehr zum Server oder zur Hintertür für Cracker in das System werden kann. Weitere Informationen zum Schließen von Ports und Deaktivieren unbenutzer Services finden Sie unter Kapitel 5.

2.3.2. Services ohne Patches

Die meisten Serverapplikationen, die in einer Standard-Installation enthalten sind, sind solide, gründlich getestete Softwareapplikationen. Dadurch, dass diese viele Jahre in Produktionsumgebungen eingesetzt wurden, ist ihr Code ausgereift und viele Fehler sind gefunden und behoben worden.

So etwas wie perfekte Software gibt es jedoch nicht, es ist immer Platz für weitere Verbesserungen. Desweiteren ist neuere Software nicht immer so durchgängig getestet wie man erwarten würde, z.B. dadurch, dass diese erst seit kurzem in der Produktionsumgebung eingesetzt wird oder weil diese noch nicht ganz so beliebt ist wie andere Server-Software.

Entwickler und Systemadministratoren finden häufig ausbeutbare Fehler in Serverapplikationen und veröffentlichen diese Informationen auf Bug-Tracking und sicherheitsbezogenen Webseiten wie die Bugtraq-Mailingliste (http://www.securityfocus.com) oder die Webseite des Computer Emergency Response Team (CERT) (http://www.cert.org). Auch wenn diese Mechanismen eine effektive Methode zur Warnung der Community vor Sicherheitsproblemen darstellt, liegt es letztendlich an den Systemadministratoren, ihre Systeme sofort mit einem Patch zu versehen. Dies ist insbesondere wichtig, da Cracker auch Zugang zu den gleichen Tracking-Services haben und diese Informationen ausnutzen, um nicht gepatchte Systeme zu cracken. Eine gute Systemadministration verlangt Wachsamkeit, andauerndes Fehlertracking und vernünftige Systemwartung für eine sichere Rechenumgebung.

Weitere Informationen für das Aktuellhalten eines Systems finden Sie unter Kapitel 3.

2.3.3. Unaufmerksame Administration

Administratoren, die Systeme nicht mit den neuesten Patches versehen, stellen eine der größten Bedrohungen für die Serversicherheit dar. Nach Angaben des System Administration Network and Security Institute (SANS) ist der Hauptgrund für Computersicherheitsprobleme "untrainierte Mitarbeiter, die mit der Wartung der Sicherheit betraut werden, ohne richtiges Training oder die nötige Zeit, um den Job ordnungsgemäß auszuführen."[1] Dies trifft sowohl auf unerfahrene Administratoren als auch auf vermessene oder unmotivierte Administratoren zu.

Einige Administratoren vergessen ihre Server oder Workstations zu patchen, während andere vergessen, Log-Mitteilungen vom Systemkernel oder Netzwerkverkehr zu beobachten. Ein weiterer häufiger Fehler ist, unveränderte Standardpasswörter oder Schlüssel für Services so zu lassen, wie sie sind. So haben zum Beispiel einige Datenbanken standardmäßige Administrationspasswörter, weil die Datenbankentwickler annehmen, dass der Systemadministrator diese sofort nach der Installation ändert. Vergisst nun ein Systemadministrator, diese Passwörter zu ändern, können sogar unerfahrene Cracker mit einem weitverbreiteten Standard-Passwort auf administrative Privilegien dieser Datenbank zugreifen. Dies sind nur einige Beispiele dafür, wie unaufmerksame Administration zu unsicheren Servern führen kann.

2.3.4. Von Natur aus unsichere Services

Auch das wachsamste Unternehmen kann Opfer von Schwachstellen werden, wenn die gewählten Netzwerkservices von Natur aus unsicher sind. Es werden zum Beispiel viele Services unter der Annahme entwickelt, dass diese über sichere Netzwerke verwendet werden; diese Annahme schlägt jedoch fehl, sobald diese Services über das Internet verfügbar gemacht werden — welches in sich unsicher und vertrauensunwürdig ist.

Eine Art von unsicheren Netzwerkservices ist die, die Benutzernamen und Passwörter für die Authentifizierung benötigt, diese Informationen bei der Übertragung über das Netzwerk jedoch nicht verschlüsselt. Telnet und FTP sind solche Services. Paket-Sniffing Software, die den Verkehr zwischen entfernten Benutzern und einem solchen Server überwacht, kann dann einfach die Benutzernamen und Passwörter stehlen.

Die oben genannten Services können auch leichter einer im Industriejargon Man-in-the-Middle genannten Attacke zum Opfer fallen. Bei dieser Art Angriff leitet ein Cracker den Netzwerkverkehr um, indem er einen gecrackten Name-Server austrickst, auf seinen Rechner zu weisen und nicht auf den eigentlichen Server. Sobald dann jemand eine Remote-Session zu dem Server öffnet, verhält sich der Rechner vom Angreifer als unsichtbare Leitung, und sitzt leise zwischen dem Remote-Service und dem ahnungslosen Benutzer, und sammelt Informationen. Auf diese Weise kann ein Cracker Administrations-Passwörter und Daten sammeln, ohne das der Server oder der Benutzer dies merkt.

Ein weiteres Beispiel für unsichere Services sind Netzwerkdateisysteme und Informationssysteme wie zum Beispiel NFS oder NIS, die ausdrücklich für eine Verwendung in LANs entwickelt wurden und dann jedoch für WANs erweitert wurden (für entfernte Benutzer). NFS hat standardmäßig keine Authentifizierungs- oder Sicherheitsmechanismen konfiguriert, um Cracker vom Mounten des NFS-Shares und Zugang zu allem, was darin enthalten ist, abzuhalten. NIS verfügt auch über wichtige Informationen, die jedem Computer im Netzwerk bekannt sein müssen, einschließlich Passwörter und Dateiberechtigungen innerhalb einer Nur-Text ASCII oder DBM (ASCII-abgeleiteten) Datenbank. Ein Cracker, der Zugang zu dieser Datenbank erhält, kann dann auf jeden Benutzeraccount in diesem Netzwerk zugreifen, einschließlich dem des Administrators.

Standardmäßig sind bei Red Hat solche Services deaktiviert. Da Administratoren häufig jedoch zur Verwendung dieser Services gezwungen sind, ist Sorgfalt von oberster Wichtigkeit. Weitere Informationen zum sicheren Einrichten eines Servers finden Sie unter Kapitel 5.

Fußnoten

[1]

Quelle: http://www.sans.org/newlook/resources/errors.html