Sicherheit in Netzen

Prof. Jürgen Plate
Dipl.-Ing. Jörg Holzmann

8 Tools und Quellen

Die hier angesprochenen Tools dienen zum Überwachen und Testen von Computern im Netz. Die Analyse-Tools kann man in zwei Kategorien einteilen. Die eine Gruppe testet den Rechner auf dem sie installiert ist von innen auf bekannte Sicherheitslücken und veränderte Dateien, wohingegen die andere Gruppe von außerhalb versucht bekannte Sicherheitslücken zu finden. Zu der ersten Gruppe von Analyse-Tools gehören die Programme COPS, Tiger und Tripwire. Die zweite Gruppe von Tools arbeitet mit mindestens zwei Computern, da sie von außerhalb über eine Netzwerkverbindung versuchen Sicherheitslücken zu finden. Mit dieser Methode arbeiten unter anderem die beiden Programme SATAN und ISS, wobei das ISS ein kommerzielles Produkt ist.
Im zweiten Abschnitt werden dann Links auf Informationsquellen aufgelistet.

8.1 Programme

Zum Thema Security gibt es noch eine ganze Reihe von weiteren Hilfsmitteln, gerade für UNIX-Systeme. Hier eine kurze, unvollständige Liste verschiedener Tools:

COPS (Computer Oracle and Password System) von Dan Farmer ist ein Programm, das UNIX-Systeme nach bekannten Sicherheitslücken durchsucht. Zu diesen Sicherheitslücken, zählen in erster Linie unsichere Zugriffsrechte auf System relevante Dateien und Verzeichnisse.
ftp://coast.cs.purdue.edu/pub/tools/cops
Tiger, entwickelt von Doug Schales and der Texas A&M University (TAMU), ist eine Sammlung von Skripten, die ein UNIX-System nach bekannten Sicherheitslücken überprüft. Es arbeitet dabei ähnlich wie COPS.
ftp://net.tamu.edu/pub/security/TAMU
ftp://coast.cs.purdue.edu/pub/tools/unix/tiger
Tripwire, entwickelt von Gene H. Kim und Gene Spafford (Mitglieder des COAST Projektes an der Purdue University), ist ein Fileintegritäts-Checker: ein Tool, das den Inhalt und Zustand einer bestimmten Anzahl an vorher ausgewählten Dateien und Verzeichnissen mit den Informationen einer zuvor generierten Datenbank vergleicht und bei Abweichungen eine Meldung ausgibt.
ftp://coast.cs.purdue.edu/pub/COAST/Tripwire
SATAN, der von Wietse Venema und Dan Farmer entwickelt wurde, steht für Security Administrator Toool for Analyzing Networks. Für Leute denen der Name SATAN nicht gefällt, liegt dem Paket ein Skript bei, das den Namen SATAN durch SANTA in allen Skripten ersetzt. SANTA steht dann für Security Administrator Network Tool for Analysis. SATAN testet Systeme von außen, so wie das ein Angreifer oder Hacker tun würde. Die unglückliche Konsequenz ist nun, daß man SATAN gegen jedes System einsetzen kann und nicht nur gegen jene, auf die man ohnehin Zugriff besitzt. Die Tutorial sind sehr gut und ausführlich.
ftp://ftp.win.tue.nl/pub/security/satan.tar.Z
ISS, das Internet Security System, ist eines der wenigen kommerziellen Produkte, die es in diesem Bereich gibt. Es gibt von ISS allerdings eine Demo-Version, die die vollständige Funktionalität besitzt wie die Vollversion allerdings mit der Einschränkung, daß es nur den Rechner "localhost" testen kann. ISS hat eine eigene Graphische Oberfläche, mit der das Programm komplett bedient werden kann. Dazu zählt das Konfigurieren der Angriffe genauso wie das Durchführen und Auswerten. Dieses Programm ist für diverse Betriebssysteme erhältlich (Windows 95/NT, AIX und Linux).
ftp://www.iss.net
Crack sucht nach (zu) einfachen Paßwörtern in /etc/passwd oder NIS.
DESLib, die DES-Library aus Australien.
ftp://ftp.psy.uq.oz.au/pub/Crypto/DES/
Deslogin: Benutzt DES-Verschlüsselung zur Authentification und Datenübertragung.
ftp://ftp.uu.net/pub/security/des/
PGP: Erhältlich in zwei Versionen, einer nordamerikanischen, die nicht exportiert werden darf und einer internationalen (2.6ui), die nicht in die USA importiert werden darf.
S/Key: Einmal-Paßwort-Programm.
ftp://ftp.cert.dfn.de/pub/tools/password/SKey/
SRA Telnet: Modifiziertes Telnet von der TU Chemnitz. Die komplette Sitzung wird mit DES verschlüsselt.
ftp://ftp.tu-chemnitz.de/pub/Local/informatik/sec_tel_ftp
ssh: Die Secure-Shell ersetzt rlogin, rsh und rcp durch sichere Versionen.
ftp://ftp.cert.dfn.de/pub/tools/net/ssh/ssh-1.2.0.tar.gz
SSLeay: Frei-Implementation von Netscapes SSL-Protocol. Das gegenwärtige SSL ist allerdings kürzlich geknackt worden.
ftp://ftp.psy.uq.oz.au/pub/Crypto/SSL/
tcp-wrapper: Loggt und kontrolliert Zugriffe auf Netzdienste auf Basis der IP-Adressen.
ftp://ftp.cert.dfn.de/pub/tools/net/TCP-Wrapper
nmap: Einer von zahlreichen Portscannern, die gleichermaßen von Hackern und zum Security Auditing eingesetzt werden.
http://www.insecure.org/nmap
traceroute: Verfolgt den Weg zu einem Rechner durchs Internet. Bei Windows heißt das Programm "tracert" (in der Dos-Box aufrufen).
Identd: identifiziert User einer Netzwerkverbindung. Ist nicht zur Authentifizierung geeignet!
Watcher: Protokoll-Tool, Plattform Unix.
http://www.i-ip.com/
Win-Log: Einfaches Rechnerüberwachungstool für Windows-NT.
http://www.isoft.demon.co.uk/winlog.html
scanlogd: Bestandteil vieler Linux-Distributionen. Hält Portscans in der messages-Datei fest.
Courtney: Checkt den Rechner auf Satan-Scans. Plattform: Unix
ftp://ftp.cert.dfn.de/pub/tools/audit/courtney/
Logsurfer: Checkt die messages-Datei von Unix-Rechnern auf bestimmte Einträge und führt daraufhin bestimmte Aktionen durch.
ftp://ftp.cert.dfn.de/pub/tools/audit/logsurfer
Logcheck: Einfaches Unix-Programm zum Überwachen der Logdateien.
ftp://ftp.cert.dfn.de/pub/tools/audit/logcheck

CD "Hackers best Friend"

(Utec Verlagsgesellschaft)
Auf dieser CD befinden sich eine große Anzahl von Programmen und Dokumentationen zu allen möglichen Themen rund ums Hacken, Cracken, Ver- u. Entschlüsseln, Verstecken und Manipulieren von Daten, Programmen und Computern. Teilweise hatte ich aber das Gefühl, daß einige davon schon etwas älter sind, was mir auch durch beiliegende meist Englische Texte und Stories bestätigt wurde. Es war aber trotzdem sehr informativ etwas über die Hacher-Szene in den USA zu lesen.
Wer jedoch glaubt, daß er nur durch den Kauf dieser CD zum weltweit gefürchteten Hacker werden kann, der irrt gewaltig. Erstens würde der Verkauf dieser CD dann verboten werden, zweitens würden die richtigen Hacker niemals aktuelle Tricks veraten, weil sie dann in kürzester Zeit nicht mehr funktionieren würden und drittens braucht man viel Zeit um ein richtiger Hacker zu werden. Es reicht nicht nur, ein paar Programme zu benutzten. Man muß ständig auf dem neuesten Stand sein, sich viel informieren, im Internet stöbern und viel testen und ausprobieren.

8.2 Informationen

http://www.cert.dfn.de
Webseite des deutschen Computer Emergency Response Teams mit vielen Informationen, Berichten und Software.

http://www.ntsecurity.net
Der Newsdienst berichtet von SicherheitsLücken wie auch Viren, primär zu Windows NT, aber auch 95/98, führt Gegenmaßnahmen und neue Produkte auf. Mit Newstetter-Option.

http://www.insecure.org
Fyodor, Web-Master der Seite, beschäftigt sich mit den Themen Computernetzwerke, Kryptographie und Sicherheit und dokumentiert Lücken in diversen Betriebssystemen, darunter auch Linux.

http://xforce.iss.net
Die Suchmaschine stöbert gezielt Sicherheitslöcher in diversen Systemen auf. Bietet auch eine Mailingliste.

http://neworder.box.sk
Neben aktuellen Infos zur Sicherheitsproblematik diskutiert die Seite auch Software etwa zum Thema Verschlüsselung.

http://www.geog.ubc.ca/snag/maillist.html
Liefert Links zu Mailinglisten, darunter Bugtraq mit umfangreichen Infos zu Sicherheitsprobtemen aller Art.

http://www.epic.org
Amerikanische Nachrichten zu neuen politischen Bestrebungen rund um das Thema Sicherheit im Netz. Dazu eine gute Linksammtung mit Toots und Seiten wie anonyme Remailer, Cookie-Busters und Verschlüssetung.

http://www.datenschutz-berlin.de/
Berichtet über die rechtliche Lage zum Datenschutz in Deutschland, Europa und international.

http://privacy.net/anonymizer und www.it-sec.de/vulchk.html
Die Tests auf diesen Seiten ermitteln, ob Zugriff vom Internet aus auf freigegebene Verzeichnisse des Windows-95/NT-Rechners besteht und welche Daten sich auslesen lassen.

http://www.anonymizer.com
Von dieser Seite aus kann man eine andere Seite im Web ansteuern, ohne daß der dortige Server zurückverfolgen kann, woher man kommt.

http://www.raven.to/cookie
Beleuchtet, was Cookies sind und wie sie wirken.

http://www.hof.net/PRO-PAGES/pgp/homepgp.htm
Einführung und Tips zur Handhabung des VerschLüsselungsprogramms Pretty Good Privacy in deutsch.

http://www.viacorp.com/crypto.htmt
Grundlagen zu elektronischer Verschlüsselung.

http://www.imc.org
Beschäftigt sich mit alte Themen rund um E-Mail, darunter auch Standards und Sicherheit. Führt auch eine Mailing-Liste zu Open PGP auf.

http://w3.to/rainer
Web-Adressen zu Viren- und Datenschutz, Daten- und Netzwerksicherheit sowie Hoaxes, Firewalls und PGP.

http://www.rewi.hu-berlin.de/Datenschutz
Informationen zu Datenschutz und Linksammlung auf andere relevanten Quellen im Web wie auch Newsgruppen.

http://www.yahoo.de/Computer_und_Internet/Sicherheit_und_Verschluesselung
Linksammmlung vornehmlich deutscher Quellen.

http://www.junkbusters.com/ht/en/links.html
Fundus nicht nur zu Junkmails, sondern auch zur Privatsphäre.

http://netsecurity.miningco.com
Links zum Thema Hacker, Active-X, Java, Javascript Verschlüssetungstechnik und -software, FAQs, speziell auch Linux, Windows und Mac.

http://www.rootshell.com
Tips und Hinweise zu Sicherheitsproblemen.

http://www.ufaq.org
Diese inoffizielle Site liefert eine größere Menge Tips zu Browsern. Darüber hinaus viele Tuning-Tips. Die als FAQ aufgebaute Site wird regelmäßig upgedatet.

9 Empfehlungen

Sicherheitsverantwortliche bestimmen

Ausarbeitung, Implementation und Durchsetzen einer organisationsweiten Sicherheits-Policy

Richtlinien für die Benutzung von Unix, Windows NT, Windows 95/98

Regelmässige Treffen der System-Administratoren organisieren

Update mit den neuesten Sicherheits-Informationen
Aufbauen von Vertrauen untereinander

Koordination aller Aktivitäten für Fragen der Sicherheit

System Administrator(en)
Netzwerk Administrator(en)

Massnahmen gegen interne Hacker vorsehen

disziplinarisch
rechtlich (Anzeige)

Richtlinien für System-Administratoren

Zugang zu Servers und Hosts durch bauliche Massnahmen eingrenzen
Zugangsberechtigung kontrollieren auf Mehrbenutzer-Maschinen
Benutzerauthentifizierung Passwort rigoros handhaben (Crack anwenden)
Zugang von Unberechtigten zu internen Kabeln einschränken
Einschleppung von Viren auf PC's verhindern (Virenscanner)
Fehlerhafte Applikationssoftware durch Tests einschränken
Fehlerhafte Betriebssoftware rasch updaten
Logging und Auditing auf Mehrbenutzer-Maschinen
Keine Gruppen-Accounts installieren
Backup und Restore einführen und gut dokumentieren
Kryptographie-Programme zur Verfügung stellen
Offizielle Liste der verfügbaren lizenzierten Software führen
Security-Test-Programme regelmässig gegen Server ausführen, z. B. COPS, SATAN und andere

Richtlinien für End-Benutzer

Sicheres Handhaben von Passwörtern d. h. NICHT: aufschreiben, speichern in Dateien (Programm-INI-Dateien, Registry), versenden per E-Mail
Keine Security-Test Programme gegen irgendwelche Systeme ausführen
Zugriffsrechte auf sensible Dateien kontrollieren
Büros abschließen (Diebstahl, Zugang zum Rechner)
Arbeitsstation sichern - Screen-Lock, etc.
Niemals unbekannte Software einfach ausprobieren
Periodisch die eigene E-Mail checken (und löschen)
NIEMALS die eigene UserID und Passwort einem anderen Benutzer mitteilen

10 Literatur

CD-ROM:
'c'thema Netzwerke'
Heise
Harald Lux:
'Der Internet-Markt in Deutschland'
dpunkt-Verlag
Vince Emery:
'Internet im Unternehmen'
dpunkt-Verlag
Donnerhacke/Peter:
'Vorsicht Falle'
iX 1997, Heft 3
D. J. Barrett:
'Gauner und Ganoven im Internet'
Verlag O'Reilly
Chapman, Zwicky:
'Building Internet Firewalls'
Verlag O'Reilly
William R.Cheswick, Steven M. Bellovin:
'Firewalls and Internet Security'
Addison Wesley
Simson Garfinkel, Gene Spafford:
'Practical Unix Security'
O'Reilly
Simson Garfincel:
'Pretty Good Privacy'
O'Reilly
Kai Fuhrberg:
'Internet-Sicherheit'
Hanser
anonymous:
Hacker's Guide
Markt & Technik
Martin Raepple:
Sicherheitskonzepte für das Internet
dpunkt
Moers:
Die 13 1/2 Leben des Käpt'n Blaubär
Eichborn

Zum Inhaltsverzeichnis Zum nächsten Abschnitt