Red Hat Enterprise Linux 3: Sicherheitshandbuch | ||
---|---|---|
Zurück | Nach vorne |
Der beste Ansatz vor dem Einsatz einer Maschine in einer Produktionsumgebung oder dem Verbinden Ihres Netzwerks mit dem Internet ist, die Bedürfnisse Ihres Unternehmens festzulegen und festzustellen, wie Sicherheit in die Anforderungen so transparent wie möglich passt. Da das Hauptziel des Red Hat Enterprise Linux Sicherheitshandbuch ist, zu erklären, wie Red Hat Enterprise Linux sicherer gestaltet werden kann, sprengt eine detailiierte Untersuchung der Hardware und der physischen Netzwerksicherheit den Rahmen dieses Dokuments. Dieses Kapitel liefert jedoch einen kurzen Überblick über das Einrichten von Sicherheitsrichtlinien im Hinblick auf Hardware und physische Netzwerke. Wichtige Faktoren sind u.a., wie Computing-Bedürfnisse und Konnektivität in die Gesamt-Sicherheitsstrategie einpassen. Im folgenden werden einige der Faktoren im Detail behandelt.
Computing beinhaltet mehr als nur Workstations, auf denen Desktop-Software läuft. Moderne Unternehmen erfordern massive Rechnerleistungen und hochverfügbare Services, die z.B. Mainframes, Computer- oder Applikationscluster, leistungsstarke Workstations und spezialisierte Geräte umfassen können. Mit all diesen Anforderungen kommt jedoch auch eine erhöhte Anfälligkeit für Hardware-Ausfälle, Naturkatastrophen und Diebstahl der Ausrüstung.
Konnektivität ist die Methode, mit der ein Administrator die Ressourcen auf einem Netzwerk zu verbinden versucht. Ein Administrator verwendet vielleicht ein Ethernet (Hub oder Switch CAT-5/RJ-45-Kabel), Token rRng, 10-base-2 Koaxialkabel oder sogar Wireless (802.11x) Technologien. Abhängig vom gewählten Medium erfordern bestimmte Medien und Netzwerktopologien komplementäre Technologien wie z.B. Hubs, Router, Switches, Base Stations und Access Points. Das Festlegen einer funktionalen Netzwerkarchitektur ermöglicht einen leichteren Verwaltungsaufwand, sollten Sicherheitsprobleme auftreten.
Durch diese allgemeinen Überlegungen kann ein Administrator eine bessere Übersicht über die Implementierung erhalten. Das Design einer Computer-Umgebung kann auf den Unternehmens-Anforderungen und Sicherheitsbetrachtungen basieren — eine Implementierung, die beides berücksichtigt.
Das Grundgerüst eines LAN ist eine Topologie oder Netzwerkarchitektur. Eine Topologie ist das physische und logische Layout eines LAN in bezug auf die Ressourcen, Entfernung zwischen Knoten und Übertragungsmedium. Abhängig von den Bedürfnissen des Unternehmens, die das Netzwerk bedient, gibt es mehrere Möglichkeiten für eine Netzwerk-Implementierung. Jede Topologie hat seine Vorteile und Sicherheitsfragen, die Netzwerkarchitekten bei der Entwicklung des Netzwerklayouts berücksichtigen sollten.
Wie durch das Institute of Electrical and Electronics Engineers (IEEE) festgelegt, gibt es drei allgemeine Topologienfür die physische Verbindung eines LAN.
Die Ring-Topologie verbindet jeden Knoten durch genau zwei Verbindungen. Dies erstellt eine Ringstruktur, in der jeder Knoten durch einen anderen zugängig ist, entweder direkt durch die Nachbarknoten oder inrirekt durch den Ring, Token Ring-, FDDI- und SONET-Netzwerke sind auf diese Weise verbunden (FDDI verwendet darüberhinaus eine Doppel-Ring-Technik); es gibt jedoch keine allgemeinen Ethernet-Verbindungen, die diese physische Topologie einsetzen. Aus diesem Grund werden Ringe allgemein eher selten verwendet, abgesehen von Legacy- oder Institutionalen Systemen mit einer großen Anzahl von Knoten (z.B. eine Universität).
Die Linear Bus Topologie besteht aus Knoten, die mit einem linearen Kabel, das mit Endwiderständen abgeschlossen ist (Backbone), verbunden sind. Die Linear Bus Topologie benötigt die wenigsten Kabel und Netzwerkausrüstung, und lässt dies somit zur kosteneffektivsten Lösung werden. Der Liner Bus ist jedoch von der ständigen Verfügbarkeit des Backbone abhängig und wird so zu einem einzigen Ausfallpunkt, falls dieser offline genommen werden muss oder die Leitung gekappt wird. Linear Bus Topologien werden häufig in Peer-to-Peer LANs mit Koaxialkabeln und 50 Ohm Endwiderständen an beiden Enden des Buses eingesetzt.
Die Stern-Topologie besteht aus einem zentralen Punkt, an den die Knoten angeschlossen sind, und durch den die Kommunikation weitergeleitet wird. Dieser zentrale Punkt, als Hub bezeichnet, kann entweder broadcasted oder switched sein. Diese Topologie führt einen einzigen Ausfallpunkt in der zentralisierten Netzwerkharde, die die Knoten verbindet, ein. Durch diese Zentralisierung sind jedoch Netzwerkprobleme, die Teile des oder das gesamte LAN beeinträchtigen, leicht auf diese eine Quelle zurückzuführen.
In einem Broadcast-Netzwerk sendet ein Knoten ein Paket, das durch jeden Knoten geht, bis der Empfänger das Paket annimmt. Jeder Knoten im Netzwerk kann dieses Datenpaket empfangenm bis der Empfänger dieses verarbeitet, In einem Broadcast-Netzwerk werden alle Pakete auf diese Weise gesendet.
In einem Switch-Netzwerk werden Pakete nicht weitergeleitet, sondern in einer Switched Hub verarbeitet, die dann wiederum eine direkte Verbindung zwischen den Sender- und Empfängerknoten über Unicast-Übertragungsprinzipien herstellt. Dies eliminiert die Notwendigkeit, Pakete über jeden Knoten zu senden und verringert so das Verkehrsaufkommen.
Das Switched-Netzwerk verhindert außerdem ein Abfangen von Paketen durch bösartige Knoten oder Benutzer. In einem Broadcast-Netzwerk, in dem jeder Knoten ein Paket auf dem Weg zum Zielempfänger erhält, können bösartige Benutzer deren Ethernet-Gerät in den Promiscuous-Modus versetzen und alle Pakete annehmen, egal ob die Daten für diesen bestimmt sind oder nicht. Im Promiscuous-Modus kann eine Sniffer-Applikation zum Filtern, Analysieren und Rekonstruieren von Paketen für Passwörter, persönliche Daten und mehr verwendet werden. Fortgeschrittene Sniffer-Applikationen können solche Informationen in Textdateien speichern, und diese eventuell an willkürliche Quellen (z.B. die E-Mail-Adresse des Angreifers) senden.
Ein Switched-Netzwerk benötigt einen Netzwerk-Switch, eins besondere Hadrwarekomponente, die den Platz einer traditionellen Hub, in der alle Knoten auf einem LAN verbunden sind, einnimmt. Switches speichern MAC-Adressen aller Knoten innerhalb einer internen Datenbank, die dann für ein direktes Routing verwendet wird. Verschiedene Hersteller, inklusive Cisco Systems, Linksys und Netgear bieten mehrere Arten von Switches mit Eigenschaften wie 10/100-Base-T Kompatibilität, Gigabit-Ethernet-Support und Support für Carrier Sensing Multiple Access und Collision Detection (CSMA/CD), das ideal für stark frequentierte Netzwerke ist, da Verbinden aufgereiht werden und Paketkollisionen während der Übertragung erkannt werden.
Ein aufkommendes Problem für Unternehmen heutzutage ist das der Moilität. Entfernte Mitarbeiter, Techniker und leitende Angestellte benötigen tragbare Lösungen, wie z.B. Laptops, Persönliche Digitale Assistenten (PDA) und und drahtloser Zugang zu Netzwerkressourcen. Die IEEE hat eine Norm für die 802.11 Wireless-Spezifikation entworfen, die Standards für drahtlose Datenkommunikation in allen Industriezweigen festlegt. Der heutige Standard ist die 802.11b Spezifikation.
Die Spezifikationen 802.11b und 802.11g sind eine Gruppe von Standards, die die drahtlose Kommunikazion und Zugangskontrolle unter dem unlizensierten 2.4GHz Radiofrequenz-Spektrum (802.11a verwendet das 5GHz Spektrum) regeln. Diese Spezifikationen wurden als Standard von IEEE akzeptiert und mehrere Hersteller vermarkten 802.11x Produkte und Services. Konsumenten haben auch den Standard für kleine Büros/Heimbüros (SOHO) übernommen. Die Beliebtheit hat sich auch von LANs zu MANs (Metropolitan Area Networks) ausgedehnt, insbesondere in dichtbevölkerten Gegenden, wo eine Konzentration von Wireless Access Points (WAPs) zur Verfügung steht. Es gibt desweiteren Wireless Internet Service Provider (WISPs), die sich auf Reisende mit Bedarf an Broadband-Internet Zugang spezialisieren.
Die 802.11x Spezifikation ermöglicht direkte, Peer-to-Peer Verbindungen zwischen Knoten durch wireless NICs. Diese lose Gruppe von Knoten, auch ad hoc Netzwerk genannt, ist ideal für schnelles teilen von Verbindungen zwischen zwei oder mehr Knoten, besitzt jedoch Anpassbarkeitsprobleme, die nicht für bestimmte Wireless-Konnektivität geeignet sind.
Eine besser geeignete Lösung für Wireless-Zugang in festen Strukturen ist die Installation einer oder mehrere WAPs, die mit dem traditionellen Netzwerk verbunden sind und Wireless-Knoten ermöglichen, sich mit dem WAP zu verbinden, als wenn dies ein Ethernet-Netzwerk wäre. Das WAP handelt hier effektiv als eine Brücke zwischen den Knoten, die mit ihm und dem Rest des Netzwerks verbunden sind.
Auch wenn Wireless-Netzwerek von Geschwindigkeit und Bequemlichkeit her geeigneter sind als traditionelle Netzwerke, gibt es einige Einschränkungen für die Spezifikationen, die eine genaue Betrachtung erfordern. Die wichtigste Einschränkung ist die Implementierung der Sicherheit.
In der Aufregung eines erfolgreichen Einsatzes eines 802.11x Netzwerks vergessen viele Administratoren selbst die grundlegendsten Sicherheitsmaßnahmen. Da das 802.11x Networking über hochfrequente RF-Signale durchgeführt wird, ist dies leicht zugänglich für Benutzer mit einem kompatiblem NIC, einem Wireless-Netzwerk-Scan-Tool wie NetStumbler oder Wellenreiter und herkömmlichen Sniffing-Tools wie dsniff und snort. Um einen Missbrauch privater Wireless-Netzwerke zu verhindern, verwendet der 802.11b Standard das Wired Equivalency Privacy (WEP) Protokoll, das ein RC4-basierte 64- or 128-bit verschlüsselter Schlüssel ist, der von den Knoten oder zwischen AP und Knoten gemeinsam verwendet wird. Dieser Schlüssel verschlüsselt Übertragungen und entschlüsselt eingehende Pakete dynamisch und transparent. Administratoren übersehen oft den Einsatz dieser Schlüssel-Verschlüsselung-Schemata, oftmals weil diese es einfach vergessen oder aufgrund der Leistungsbeeinträchtigung insbseondere über weite Entfernungen. Der Einsatz von WEP für Wireless Netzwerke kann die Wahrscheinlichkeit des Abfangens von Daten wesentlich verringern.
Red Hat Enterprise Linux unterstützt mehrere 802.11x Produkte verschiedener Hersteller. Das Network Administration Tool ibeinhaltet eine Möglichkeit für das Konfigurieren von Wireless NICs und WEP-Sicherheit. Weitere Informationen zum Network Administration Tool finden Sie im KapitelNetzwerk-Konfiguration imRed Hat Enterprise Linux Handbuch zur System-Administration.
Das Verlassen auf WEP ist jedoch weiterhin nicht ausreichend zum Schutz vor entschlossenen Angreifern. Es gibt spezialisierte Utilities, die zum Cracken der RC4 WEP Verschlüsselungsalgorithmen, die ein Wireless Netzwerk schützen, entwickelt wurden und die den gemeinsamen Schlüssel aufdecken. AirSnort und WEP Crack sind solche Applikationen. Um sich hiervor zu schützen, sollten Administratoren strenge Richtlinien für die Verwendung von Wireless Methoden zum Zugang zu empfindlichen Informationen festlegen. Administratoren können z.B. die Sicherheit der Wireless-Konnektivität erhöhen, in dem diese auf nur VPN- und SSH-Verbindungen beschränkt werden, die eine weitere Verschlüsselungschicht zusätzlich zur WEP-Verschlüsselung bietet. Durch diese Richtlinien muss ein Angreifer außerhalb des Netzwerkes, der die WEP-Verschlüsselung geknackt hat, noch zusätzlich die VPN oder SSH-Verschlüsselung knacken, die, abhängig von der Verschlüsselungsmethode, bis zu dreifach 168-bit DES Algorithmus-Verschlüsselung (3DES) oder noch stärkere proprietäre Algorithmen enthalten kann. Administratoren, die diese Richtlinien anwenden, sollten Nur-Text-Protokolle wie Telnet oder FTP einschränken, da Passwörter und Daten während der bereits erwähnten Angriffe aufgedeckt werden können.
Administratoren, die extern-zugängliche Service wie HTTP, E-Mail, FTP und DNS ausführen wollen, wird empfohlen, diese öffentlich zugänglichen Services physisch und/oder logisch getrennt vom internen Netzwerk zu haben. Firewalls und das Sichern von Hosts und Applikationen sind effektive Methoden, mögliche Einbrecher abzuhalten. Entschlossene Cracker können jedoch Wege in das interne Netzwerk finden, wenn sich die gecrackten Services auf der gleichen logischen Route wie der Rest des Netzwerks befinden. Die extern zugänglichen Services sollten sich in einer de-militarisierten Zone (DMZ) befinden, ein logisches Netzwerksegment, bei dem eingehender Verkehr vom Internet auch nur auf diese Services und nicht auf das interne Netzwerk zugreifen kann. Dies ist effektiv, da selbst wenn ein Computer oder DMZ von einem Angreifer erforscht wird, der Rest des internen Netzwerkes hinter einer Firewall auf einem separaten Segment liegt.
Da die meisten Unternehmen einen begrenzten Pool an öffentlich weiterleitbaren IP-Adressen haben, von denen sie aus externe Service ausführend können, verwenden Administratoren ausgeklügelte Firewall-Regeln zum Annehmen, Weiterleiten, Ablehnen und Verweigern von Paketübertragungen. Firewall-Regeln, die mit iptables implementiert wurden, oder spezielle Hardware-Firewalls ermöglichen komplexe Routing- und Forwarding-Regeln, mit denen Administratoren eingehenden Verkehr an bestimmte Services an bestimmten Adressen und Ports segmentieren können, sowie nur dem LAN erlauben können, auf interne Services zuzugreifen, was wiederum IP-Spoofing verhindert. Weitere Informationen über das Implementieren von iptables finden Sie unter Kapitel 7.
Zurück | Zum Anfang | Nach vorne |
Anhänge | Nach oben | Hardware-Sicherheit |