vorheriges KapitelInhaltsverzeichnisStichwortverzeichnisnächstes Kapitel


23

Interne Sicherheit


Bislang haben wir uns hauptsächlich damit beschäftigt, wie Sie Ihr Netzwerk gegen Attakken von außen schützen können. Dieses Kapitel soll Ihnen nun helfen, das Netzwerk auch gegen interne Angriffe zu sichern.

23.1 Brauche ich wirklich interne Sicherheit?

Wenn Sie einen Internet-Server betreiben, haben Sie wahrscheinlich am meisten Angst vor Attacken aus der Außenwelt, und das zu Recht. Neueste Umfragen haben ergeben, daß mehr als 50 Prozent der Firmen mit einem Internet-Server bereits Fernattacken ausgesetzt waren. Das ist eine beeindruckende Zahl. Ein weitaus höherer Prozentsatz von Unternehmen wird jedoch von innen angegriffen.

Jedes Jahr erleiden Tausende von Unternehmen beträchtliche Schäden, die durch verärgerte Mitarbeiter verursacht werden. Kürzlich gab es in Amerika einen Fall, wo ein Programmierer von einer Buchführungsfirma gefeuert wurde. Am selben Tag - bevor er das Gebäude verließ - ließ der Programmierer ein Script laufen, das die Buchungen von einem ganzen Monat vernichtete. Die Firma hatte keine Sicherungen, so daß sie einen Verlust in der Größenordnung von Tausenden Dollar und Hunderten Arbeitsstunden erlitt.

Solche Fälle kommen häufig vor. Deshalb beschäftigen wir uns in diesem Kapitel mit den unterschiedlichen Methoden zur Verhinderung derartiger Alpträume.

23.2 Warum sind interne Angriffe so verbreitet?

Daß interne Angriffe häufiger vorkommen als entfernte Attacken hat verschiedene Gründe. Ein sehr offensichtlicher Grund ist, daß es viel leichter ist, ein Netzwerk von innen anzugreifen.

Autorisierte Benutzer haben einen Zugriff auf Informationen, den der externe Benutzer nicht hat. Nehmen wir zum Beispiel die Aufgabe der Erstellung einer Benutzerliste. Das kann für entfernte Cracker schwierig werden, besonders wenn die Verwendung entfernter finger- und rusers-Dienste nicht erlaubt ist. Für lokale Benutzer ist dies jedoch ein Kinderspiel, und eine solche Anfrage hinterläßt auf den meisten Netzwerken noch nicht einmal Spuren.

Hinweis:

Das Problem mit finger und rusers ist nicht auf Unix-Umgebungen beschränkt. Windows-NT-Umgebungen sind ebenfalls für ähnliche Techniken der Informationsbeschaffung verwundbar. Die einfachste Methode, von einem entfernten Windows-NT-Rechner aus an solche Informationen zu gelangen, ist die Verwendung des Befehls NBTSTAT. Er gibt Namens- und Sitzungstabellen und sogar NETBIOS-Namen aus. Um sich davor zu schützen, sollten Sie den Zugang zu Port 137, 138 und 139 einschränken.

Interne Benutzer haben im Gegensatz zu externen meistens auch Zugriff zu verschiedenen Tools. Wenn Sie zum Beispiel ISP sind, erlauben Sie Ihren Benutzern wahrscheinlich die Benutzung von Compilern und Interpretern zum Beispiel für

Perl ist wohl am verbreitetsten; es läuft auf vielen verschiedenen Betriebssystemen. Nehmen Sie z.B. die Exploits, die wir in diesem Buch beschreiben. Die meisten erfordern, daß der Benutzer über C, C++ oder Perl verfügt, da Exploits selten im Binärformat vorliegen.

Diese Tools können internen Angreifern helfen, Ihre Systemsicherheit zu verletzen. (Sogar die Möglichkeit des Zugriffs auf Debugging-Utilities setzt Sie schon einem gewissen Risiko aus.) Das Problem wird dadurch noch komplizierter, daß viele Microsoft-Umgebungen keine Möglichkeiten der Zugriffskontrolle oder gar der Einschränkung des Festplattenzugriffs haben. Deshalb können lokale Benutzer nach Belieben ihre eigenen Compiler und Debugger installieren.

Außerdem genießen lokale Benutzer bereits ein gewisses Vertrauen, nicht nur auf Netzwerkebene, sondern auch auf menschlicher Ebene. Sie sind berechtigt, auf Ihr Computersystem zuzugreifen. Das ist schon ein großer Vorteil.

Um wenigstens ein Minimum an interner Sicherheit zu schaffen, empfehle ich Ihnen folgendes:

Auf diese Punkte möchte ich etwas näher eingehen.

23.3 Richtlinien (Policies)

Sie sollten klare Richtlinien aufstellen und Ihre Benutzer auf diese aufmerksam machen. (Idealerweise integrieren Sie sie gleich in die Arbeitsverträge.) Viele Firmen haben keine solchen Richtlinien, da ihre Administratoren glauben, daß Benutzer diese sowieso ignorieren. Das mag wahr sein oder nicht, ist aber noch lange kein Grund dafür, das Schreiben von Richtlinien gänzlich zu unterlassen.

Richtlinien hindern Ihre Benutzer vielleicht nicht am Herumspionieren, aber wenn Sie schriftliche Richtlinien haben und ein Benutzer später beim Knacken erwischt wird, haben Sie die erforderlichen Argumente in der Hand, um diesem Mitarbeiter fristlos zu kündigen. Wenn der Mitarbeiter Sie später verklagen will, verfügen Sie über schriftliche Dokumente, und das ist in einem Rechtsstreit eine Menge wert.

In solchen Fällen wird viel darum gestritten, ob ein Benutzer seine Befugnisse überschritten hat oder die Richtlinie eindeutig verletzt hat. Viele Straf- oder Zivilprozesse laufen darauf hinaus. Wenn Sie keine schriftlichen Richtlinien haben, hat das Gericht keinen richtigen Maßstab zur Einschätzung böswilliger Aktivitäten. Das ist das Problem bei Benutzern, die Befugnisse haben (und einige müssen sie haben, um ihre Aufgaben erfüllen zu können). Lassen Sie sich mit Ihren Rechtsanwälten nicht in einen Streit über Semantik verwickeln. Stellen Sie schriftliche Richtlinien auf, die ausdrücklich jegliche Aktivitäten verbieten, die die interne Sicherheit gefährden könnten.

23.4 Hardware

Auch die Hardware kann manchmal ein Risiko für die interne Sicherheit darstellen.

23.4.1 Modems

Kleine Unternehmen haben normalerweise zwei Möglichkeiten, wenn sie ihr LAN aufbauen:

Die meisten Kleinunternehmen wählen die erste Alternative. Sie gehen zu irgendeinem großen Computerhändler und bestellen vier oder fünf Pentiums, die identisch konfiguriert sind. Mehr als 50% Prozent dieser Rechner haben ein internes Modem.

Obwohl es eigentlich selbstverständlich sein sollte, möchte ich vorsichtshalber dennoch darauf hinweisen: Wenn Sie ein solches Netzwerk betreuen, sollten Sie die Modems aus allen Rechnern außer Ihrem eigenen und einem Gateway entfernen.

Wenn Sie allen Benutzern Modemzugriff gewähren, ist der Ärger vorprogrammiert. Ihre Benutzer haben dann die Möglichkeit, Daten zu versenden, ohne daß diese Übertragung irgendwo vermerkt wird. Das folgende Beispiel verdeutlicht, warum so etwas zu gefährlich ist.

Hinweis:

Ein Gateway ist in diesem Zusammenhang ein Rechner, der speziell für den Zweck vorgesehen ist, ausgehende Verbindungen zu handhaben. Auch wenn Sie nicht über eine dedizierte Internet-Anbindung (also eine Standleitung) verfügen, gibt es keinen Grund, warum jeder Benutzer ein Modem haben sollte. Statt dessen können Sie ein Gateway konfigurieren, das alle ausgehenden Verbindungen zentral verwaltet. (Es gibt viele Software-Pakete, mit denen man dies über eine gemeinsame Nutzung von Verbindungen erzielen kann. Einige Versionen von LANtastic haben diese Möglichkeit, so daß die Workstations B und C die Modemverbindung von A benutzen können, um Daten zu versenden.)

Eine Werbeagentur, die ich kürzlich betreute, hatte allen Benutzern Modemzugriff gewährt. Die Mitarbeiter konnten ihr Modem beliebig benutzen, ohne daß eine Protokollierung stattfand. Nach einigen Monaten hatten die Geschäftsführer den Verdacht, daß bestimmte Informationen irgendwie an die Konkurrenz durchgesickert waren.

Um der Sache schnell auf die Spur zu kommen, bat ich einen Freund, eine Software zur Überwachung der Telefonate zu installieren. (Diese Software protokolliert jeden Anruf - sogar Ortsgespräche.) Innerhalb von wenigen Tagen war die Angelegenheit geklärt. Einer der Angestellten wählte sich in eine lokale Mailbox ein und lud Daten hoch. Die Kontaktperson holte sich die Informationen dort ab, die aus Werbekonzepten, Telefonnummern, Adressen und Kontakten bestanden.

Ein weiterer Nachteil von in allen Rechnern installierten Modems ist, daß Modems Wegbereiter für Attacken sind. Das können einfache Belästigungen, DoS-Attacken oder ernsthafte Versuche eines Eindringens in Ihr Netzwerk sein. Wenn Mitarbeiter X das Modem nicht unbedingt benötigt, sollten Sie es aus seinem Rechner entfernen. Viele Unternehmen verfolgen entweder diese Strategie, oder sie stellen zumindest Richtlinien auf, die die Modembenutzung einschränken.

Sun Microsystems ist ein gutes Beispiel. Im März 1998 erließ Sun eine Verfügung.

Einige Mitarbeiter von Sun Microsystems dürfen ihren Hut nehmen, wenn sie mit einem Modem auf ihrem Schreibtisch angetroffen werden. So groß ist die Angst des Unternehmens vor Sicherheitsverletzungen. Laut Mark Graff, einem Sicherheitsverantwortlichen bei Sun, stellen Benutzer, die sich von ihrem Desktop aus ins Internet einwählen können, das zweitgrößte Sicherheitsrisiko für Unternehmen nach internen Hackern dar.

Wegweiser:

Der obige Abschnitt stammt aus einem Artikel von Steve Ranger von Network Week. Den Artikel »Sun Sacks Employees For Modem Security Breaches« finden Sie unter http://www.techweb.com/wire/story/
TWB19980318S0012
.

Hinweis:

Modems können auch dann ein ernsthaftes Sicherheitsrisiko darstellen, wenn Sie eine dedizierte Internet-Anbindung haben. Es gibt verschiedene Produkte von Drittanbietern, die - in Verbindung mit einem Modem in einem mit dem Internet verbundenen LAN - Außenstehenden den Zugang zu Ihrem Netzwerk ermöglichen könnten.

Wenn Sie dennoch beabsichtigen, Ihren Benutzern Modemzugriff zu gewähren, sollten Sie zumindest eine Zugriffskontrolle einrichten. Die folgenden Produkte bieten Lösungen für die Modem-Zugriffskontrolle und -Sicherheit.

ModemLock

Advanced Engineering Concepts, Inc.
1198 Pacific Coast Highway #D-505
Seal Beach, CA 90740
Tel.: 001-310-379-1189
Fax: 001-310-597-7145

ModemLock ist eine Kombination aus Firmware und Software, die eine Verbindung zwischen einem Computer und einem externen Modem herstellt. ModemLock verschlüsselt den Modem-Datenstrom mit Hilfe von DES und bietet eine Modem-Zugriffskontrolle. Das Produkt läuft bis zu 40 Stunden mit einer 9-Volt-Batterie und hat auch ein Netzteil. Das System hat einen maximalen Durchsatz von ca. 1.900 Zeichen pro Sekunde.

Security Gateway

Bomara Associates
3 Courthouse Lane
Chelmsford, MA 01824
Tel.: 001-978-452-2299
Fax: 001-978-452-1169
E-Mail: bobr@bomara.com URL: http://www.bomara.com/

Stellen Sie sich das Bomara Security Gateway wie eine Firewall für den durchschnittlichen Modemzugriff vor. Das Security Gateway bietet viele Möglichkeiten, darunter eine Rückruf- Verifizierung und Authentifizierung, Unterstützung von bis zu 250 Paßwörtern, detaillierte Protokollierung (Sie können sogar fehlgeschlagene Login-Versuche protokollieren lassen) und Zugriffskontrollen für beliebige RS-232-Geräte.

Modem Security Enforcer

IC Engineering, Inc.
P.O. Box 321
Owings Mills, MD 21117
Tel.: 001-410-363-8748
E-Mail: Info@ICEngineering.Com URL: http://www.bcpl.lib.md.us/~n3ic/iceng.html

Der Modem Security Enforcer bietet unter anderem Rückruf-Authentifizierung, Paßwortschutz, Firmware-Paßwortspeicherung (ohne Zugriffsmöglichkeit für interne Benutzer), Speicheroptionen für batteriegepufferten Speicher und ein vollständig konfigurierbares Interface an. Er funktioniert mit jedem beliebigen RS-232-Gerät.

CoSECURE

CoSYSTEMS, Inc.
3350 Scott Blvd., Building 61-01
Santa Clara, CA 95054
Tel.: 001-408-748-2190
Fax: 001-408-988-0785

CoSECURE ist eine Unix-Anwendung, die eine Zugriffskontrolle für Modems auf der SPARC-Plattform ermöglicht. Einwähl-Ports können auf viele unterschiedliche Arten komplett gesichert werden.

PortMarshal

Cettlan, Inc.
17671 Irvine Blvd., Suite 201
Tustin, CA 92780
Tel.: 001-714-669-9490
Fax: 001-714-669-9513
E-Mail: info@cettlan.com URL: http://www.cettlan.com/

PortMarshal ermöglicht eine High-Level-DES-Verschlüsselung und Authentifizierung für entfernte Einwählverbindungen. Sie können eine Zugriffskontrolle für 256 Ports einrichten, und das Produkt hat umfassende Auditing-Protokolle. Die Berichte enthalten grafische Analysemöglichkeiten zur Bestimmung der Spitzen-Benutzungszeiten, Erstellung von Benutzungsberichten und so weiter. Auch das DFÜ-Netzwerk von Windows wird unterstützt.

23.5 Platten, Verzeichnisse und Dateien

Die bloße Tatsache, daß lokale Benutzer persönlichen Zugang zu Ihren Workstations haben, gefährdet bereits Ihre Sicherheit. Sie könnten z.B. Festplatten oder andere Geräte entfernen oder installieren. Es gibt mehrere Möglichkeiten, diese Komponenten zu schützen.

PCKeep

Desktop Guardian, Ltd.
20 Bridge Street
Olney, Bucks. MK46 4AB U.K.
E-Mail: sales@desktop-guardian.com URL: http://www.desktop-guardian.com/

PCKeep bemerkt, wenn eine Komponente entfernt wird, und sendet einen Alarm aus, wenn Komponenten manipuliert werden. Dieses Produkt eignet sich zur Überwachung aller Komponenten eines PC. (Es kann auch Alarm schlagen, wenn ein PC abgeschaltet wird.) PCKeep hat Schnittstellen für Novell, Microsoft Network und LANtastic. Es erzeugt umfassende Protokolldateien.

CRYPTO-BOX

MARX Software Security
Building 9, Suite 100
2900 Chamblee Tucker Rd.
Atlanta, GA 30341
E-Mail: mcarroll@marx.com URL: http://www.marx.com/

CRYPTO-BOX ist ein sehr interessantes Produkt, das eine High-Level-Verschlüsselung sowie einen vollständigen Kopierschutz bietet. Das Gerät wird entweder an einer parallelen oder einer seriellen Schnittstelle des Rechners angeschlossen. Es schützt einzelne Programme durch Verschlüsselung und Kopierschutz. Niemand kann sich Daten kopieren, ohne zuvor das richtige Paßwort eingegeben zu haben. Sie können auf diese Weise sogar einzelne Dateien schützen.

Barracuda Anti Theft Devices

Barracuda Security Devices International
Suite 4- 20071, 113 B Avenue
Maple Ridge, B.C., Kanada, V2X 0Z2
Tel.: 001-44 (0) 1908 281661
Fax: 001-44 (0) 1908 281662
URL: http://www.barracudasecurity.com/

Die Barracuda Devices sind sehr praktische Geräte. Das Aushängeschild des Unternehmens ist eine PC-Karte, die in einen Erweiterungssteckplatz eingesteckt wird und alle Computer- Komponenten überwacht. Sobald eine Komponente manipuliert oder entfernt wird, werden Sie per Pager benachrichtigt. Außerdem wird ein fürchterlich schriller Alarm ausgelöst.

The Access Watchdogs Premium Suite

InnoSec Technologies, Inc.
Suite 301 - 85 Scarsdale Road
North York, Ontario, Kanada M3B 2R2
Tel.: 001-416-446-6160
Fax: 001-416-446-1733
URL: http://www.innosec.com/

The Access Watchdogs Premium Suite ist eine Extremlösung, die aus zwei Elementen besteht. Das erste ist DataLock, ein physikalisches Token-Sicherheitsgerät, das mit einem Miniaturschlüssel versehen ist. Dieser Schlüssel ist erforderlich, um auf die lokale Workstation zugreifen zu können. Die Daten werden auf einem virtuellen Laufwerk (mit Hilfe von 128-Bit-Verschlüsselung) auf einer sehr niedrigen Ebene verschlüsselt. (Windows ist nicht am Verschlüsselungsprozeß beteiligt, und die Schlüssel werden nirgendwo gespeichert, wo ein Benutzer auf sie zugreifen könnte.) Wenn jemand Ihre Festplatten stiehlt, hat er keine Chance, etwas mit den Daten anzufangen.

23.6 Prüfungen der internen Sicherheit

Sie wären überrascht, wenn Sie wüßten, wie viele Unternehmen keine Prüfungen ihrer internen Sicherheit durchführen. Ich glaube, nur eines von fünf kleineren Unternehmen macht das - und diese Zahl ist wahrscheinlich noch großzügig gewählt.

Viele Unternehmen haben noch nicht einmal jemanden, der ausdrücklich für die Sicherheit zuständig ist. (Außer Firmen mit dedizierter Internet-Anbindung.) Und Unternehmen, die Sicherheitspersonal haben, widmen dennoch der internen Sicherheit meist nicht genügend Zeit.

Die Sicherung eines internen Netzwerks kann genauso systematisch erfolgen wie die eines entfernten. Wenn Sie ein großes Netzwerk haben, sollten Sie mit einem internen Sicherheitsscanner beginnen.

23.7 Interne Sicherheitsscanner

Wenn Sie Sicherheits-Scanner hören, denken Sie wahrscheinlich an Scanner, die prüfen, inwieweit Ihr Netzwerk durch externe Sicherheitslöcher verwundbar ist. Es gibt viele solche Scanner, z.B.:

Wie ich in anderen Kapiteln bereits erwähnt habe, sind diese Scanner ausgezeichnet geeignet, um sich einen Überblick über Ihre Netzwerksicherheit zu verschaffen. Allerdings machen sie wenig oder gar keine Anstalten, Sie vor lokalen Sicherheitslöchern zu warnen, d.h. vor Löchern, die von Ihren eigenen Benutzern ausgenutzt werden können. Dafür müssen Sie zu anderen Tools greifen.

Ich kann Ihnen die drei folgenden besonders empfehlen: SysCAT, SQLAuditor und System Security Scanner.

23.7.1 SysCAT

Sytex, Inc.
Kontakt: Peter Wells, VP of Information Operations
9891 Broken Land Parkway, Suite 304
Columbia, MD 21046
Tel.: 001-410-312-9114
E-Mail: petew@sso.sytexinc.com URL: http://www.sytexinc.com/

SysCAT ist kein Netzwerk-Scanner (wie Ballista oder ISS). Statt dessen ist es ein Host- basiertes Tool zur Beurteilung der lokalen Konfiguration Ihrer Workstation. SysCAT identifiziert eine Vielzahl von Problemen, die durch falsche Konfigurationen entstehen. Die in einem benutzerfreundlichen Format erstellten Berichte führen die einzelnen Konfigurationsfehler auf und weisen auf die Änderungen hin, die Sie vornehmen sollten, um Ihr System sicher zu machen.

SysCAT vergleicht Ihre Workstation-Richtlinien mit Referenzmodellen. Dieses Referenzmodell ist je nach Anbieter und Version des Unix, auf dem es läuft, ein anderes. Es ist von Standards für die Sicherheitskonfiguration abgeleitet, die von Unix-Anbietern aufgestellt werden. Die verwendeten Informationen zu Konfigurationsschwachstellen stammen aus Internet-Newsgruppen und Mailinglisten (einschließlich Bugtraq, BOS, CERT, CIAC) und aus Sytex' Information Warfare Laboratory.

Es ist schon beeindruckend, was SysCAT leistet. Bei einem Test haben Sytex-Mitarbeiter eine Sparc-Station eingerichtet und die folgenden Sicherheitsmaßnahmen ergriffen:

Alle externen Schwachstellen, die von Ballista und ISS erkannt wurden, sind beseitigt worden. Erst dann hat Sytex SysCAT gegen das System laufen lassen. Und tatsächlich: SysCAT hat weitere Schwachstellen entdeckt, die Ballista und ISS übersehen hatten!

SysCAT untersucht eine breite Palette von Problemen:

Die für Solaris 2.5.x geeignete Version von SysCat befindet sich auf der CD-ROM, die diesem Buch beiliegt. Für andere Versionen wenden Sie sich am besten direkt an Sytex.

23.7.2 SQLAuditor

DBSECURE
Newport Financial Center
113 Pavonia Avenue, Suite 406
Jersey City, NJ 07310
Tel.: 001-973-779-3583
Fax: 001-212-656-1556
E-Mail: info@sqlauditor.com URL: http://www.sqlauditor.com/

Die SQL-Sicherheit wird zu einem immer wichtigeren Thema, und das ist auch kein Wunder. Datenbanken können sehr wertvolle, vertrauliche und schützenswerte Informationen enthalten. Wenn Sie sich um Ihre SQL-Sicherheit Sorgen machen, sollten Sie sich SQLAuditor unbedingt einmal ansehen.

Je nach Art Ihrer SQL-Implementierung haben Sie eventuell einige ernste Probleme. Zum Beispiel werden zwischen Client-Anwendungen und dem SQL-Server übermittelte Paßwörter per Voreinstellung entweder in Klartext oder mit uuencode codiert gesendet. Auf jeden Fall eine unsichere Angelegenheit. SQL-Auditor kann diese und andere Schwachstellen Ihres Systems prüfen.

SQL-Sicherheit scheint auf den ersten Blick vielleicht kein kritisches Problem zu sein, aber Sie sollten folgendes bedenken: Wenn ein Cracker Ihren SQL-Server offenlegt, könnte er Zugriff auf das gesamte Betriebssystem erlangen. Insbesondere Windows NT ist für diese Attacke anfällig. Solche Angriffe werden über die erweiterte Funktion xp_cmdshell implementiert, die für SQL-Server zur Verfügung steht.

xp_cmdshell ermöglicht dem Server die Ausführung üblicher Systembefehle. Sie können z.B. eine Verzeichnisliste bekommen, eine Datei löschen, eine Datei in eine Ausgabedatei lesen und so weiter. Noch wichtiger ist jedoch, daß xp_cmdshell verwendet werden kann, um Zugriff auf Bereiche zu bekommen, die Ihnen vorher verwehrt waren. Das bietet eine schnelle, bequeme Möglichkeit, sich über die Zugriffskontrolle von Windows NT hinwegzusetzen.

Hinweis:

xp_cmdshell nimmt unterschiedliche Argumente an, und Sie können Befehle und Ausgaben sogar umleiten. Zum Beispiel würden Sie die folgende Anweisung eingeben, um eine Verzeichnisliste zu erhalten und sie in der Datei mydirec zu plazieren:

xp_cmdshell('dir > c:\\mydirec')

Sie sollten sich xp_cmdshell als ein Tool vorstellen, das genau das tut, was sein Name impliziert - es erzeugt eine Kommando-Shell. Diese Shell kann verwendet werden, um Zugang zu eingeschränkten Bereichen zu erhalten, auf verschlüsselte Paßwörter in ihrer rohen Form vom SAM zuzugreifen oder sogar neue Benutzer zur Administrator-Gruppe hinzuzufügen.

SQLAuditor testet Ihr System auf diese und eine Vielzahl anderer Schwachstellen, die eine Gefahr für Ihren SQL-Server darstellen könnten. SQLAuditor nimmt sich der drei bedenklichsten Bereiche an: Authentifizierung, Autorisierung und Systemintegrität. Dabei überprüft es unter anderem die folgenden Dinge:

SQLAuditor ist das konkurrenzlos beste Tool zur Prüfung der Sicherheit von SQL-Servern. Wenn Sie einen SQL-Server unter Windows NT betreiben, ist dieses Tool ein absolutes Muß. Das Programm enthält ein Wörterbuch mit 30.000 Einträgen zum Testen von Paßwörtern und formatiert seine Ergebnisse in Form von sehr benutzerfreundlichen Berichten.

23.7.3 System Security Scanner (S3)

Internet Security Systems, Inc. (ISS)
41 Perimeter Center East, Suite 660
Atlanta, GA 30071
Tel.: 001-770-395-0150
Fax: 001-770-395-1972
E-Mail: info@iss.net URL: http://www.iss.net/

S3 ist ein Bestandteil der SAFEsuite-Distribution von ISS. Es unterstützt derzeit folgende Plattformen:

ISS ist für seine Tools zur Netzwerkprüfung bekannt, darunter Internet Security Scanner, Web Security Scanner und Intranet Security Scanner. Das sind alles Tools, die Ihr Netzwerk von außen testen. System Security Scanner (S3) testet dagegen Ihre lokale Sicherheit.

Um Ihren aktuellen Sicherheits-Level zu bestimmen und frühere Systemoffenlegungen zu identifizieren, beurteilt S3 Dateiberechtigungen und Eigentumsrechte, Netzwerkdienste, Account-Einrichtungen, Programmauthentizität, Betriebssystemkonfiguration und allgemeine, mit Benutzern in Zusammenhang stehende Schwächen wie einfach zu erratende Paßwörter.

Außerdem vergleicht S3 systematisch die Sicherheitsrichtlinie Ihres Unternehmens mit der tatsächlichen Konfiguration von Host-Rechnern im Hinblick auf potentielle Sicherheitsrisiken. Das Programm ist ziemlich umfassend. (Den Angaben zufolge prüft S3 auf ca. 60 bekannte Sicherheitslöcher.)


ISS stellt Versionen zur Verfügung, mit denen man das Programm testen kann. Eine davon finden Sie auf der CD-ROM, die diesem Buch beiliegt.

23.7.4 RSCAN

Nate Sammons (mit wichtigen Beiträgen von Paul Danckaert)

Colorado State University

URL: ftp://ftp.umbc.edu/pub/unix/security/rscan/

RSCAN diente früher ausschließlich zum Scannen von IRIX-Hosts. Der Code wurde inzwischen neu geschrieben, und das Programm wird nun als heterogenes Netzwerk-Tool bezeichnet (heterogen heißt hier: für unterschiedliche Unix-Versionen). RSCAN automatisiert die Prüfung folgender Schwachstellen:

Sie können RSCAN auf einem einzelnen Rechner oder auf mehreren Rechnern gleichzeitig laufen lassen. Die Berichte werden entweder in ASCII oder HTML ausgegeben, je nachdem, was Sie bevorzugen. RSCAN ist zum gegenwärtigen Zeitpunkt recht ausgereift und hat seine eigene API. Sie ist zwar nicht allzugroß, bietet aber eine zusätzliche Funktionalität. Es ist denkbar, daß RSCAN auf jedes Unix-System portierbar ist, auf dem Perl 4 oder 5 läuft.

23.8 Kontrolle des Internet-Zugriffs von Mitarbeitern

Auch wenn es sich zuerst vielleicht ein bißchen komisch anhört, ist der InternetZugriff von Mitarbeitern doch zu einem ernsten Problem geworden. Viele Unternehmen mußten die Erfahrung machen, daß man sehr schnell viel Geld verlieren kann, wenn man seinen Mitarbeitern uneingeschränkten Zugriff aufs Internet gewährt. Kürzlich bat mich eine Großhandelsfirma wegen dieses Problems um meine Hilfe. Sie hatten - wie viele Unternehmen es tun - ihre teuren gemieteten Leitungen gekündigt, um die Kommunikation zwischen ihren Filialen fortan über das Internet abzuwickeln.

Das neue System sparte anfangs auch einiges. Es gab jedoch ein paar versteckte Kosten. Das Personal verbrachte teilweise einige Stunden am Tag damit, sich Pornographie aus dem Internet herunterzuladen. Es gab keine richtige Unternehmensrichtlinie dagegen.

Den Benutzern Zugang zum Internet zu gewähren, birgt noch weitere Probleme. Es muß nicht unbedingt Ihr Netzwerk sein, das offengelegt wird. Es könnte auch Ihre harte Arbeit sein. Folgendes wurde in einer Mailing-Liste gepostet, die an firewalls@GreatCircle.COM unterhalten wird. Der Autor war ein für die Informationssicherheit verantwortlicher Systemadministrator, der Beitrag stammt vom 28. März 1997. Der Autor schrieb:

Ich habe eine Statistik davon erstellt, was in fünf Monaten durch die Firewall nach außen gedrungen ist - über 400.000 Zeilen geschützter Quellcode für ein Projekt. All diese Leute hatten legitimen internen Zugriff. Es kommt mir (fast) so vor, als wäre die ganze regelmäßige Sicherheitsarbeit, die ich für dieses Unix-Netz geleistet habe, vollkommen umsonst. Es ist doch überhaupt nicht mehr wichtig, ob jemand den Root- Account knacken kann, wenn ohnehin irgendwelche Diebe und Idioten einfach per E- Mail verbreiten, wozu sie Zugang haben.

Für Cracker ist dies gerade der Reiz des Internet. Der beste Weg, durch eine Firewall zu kommen, ist, einen internen Komplizen zu haben, der einem die nötigen Informationen sendet. Ich kenne Personen, die auf diese Weise Paßwörter und andere Informationen von Unternehmen bekommen haben. Ein Mitglied der Bande erhält einen Arbeitsvertrag (oder befristeten Job) in dem Unternehmen. Er bringt Informationen zutage, an die auf andere Weise durch die Firewall hindurch nicht so leicht heranzukommen wäre. Eine Gruppe hat dies gerade mit Pacific Bell gemacht. Eine andere mit Chevron. Das sind nicht gerade Tante- Emma-Läden.

Der Secure Network Server (SNS) der Secure Computing Corporation ist eine Möglichkeit, diese internen Diebe wenigstens daran zu hindern, Ihre wertvollen Daten nach draußen zu senden. Dieses von der National Security Agency anerkannte Modul filtert E-Mail. Das System verwendet eine proprietäre Technologie, und laut der von der Secure Computing Corporation zur Verfügung gestellten Dokumentation:

...bietet das System Multilevel Security (MLS), indem es den Austausch von nicht geheimen Informationen zwischen geheimen Netzwerken und nicht geheimen Netzwerken ermöglicht. Die SNS-Filterung und die Möglichkeit der Erstellung digitaler Signaturen mit FORTEZZA stellen sicher, daß nur autorisierte E-Mails aus der geschützten Umgebung versendet werden können.

Wegweiser:

SNS finden Sie online unter http://www.nsa.gov:8080/programs/missi/ scc_sns.html. Es ist ein beeindruckendes Produkt.

Es kann sogar dann Probleme geben, wenn Ihre Benutzer gar nicht aktiv versuchen, Ihr System zu knacken. Vielleicht ist es Teil ihrer Arbeit, im Internet zu surfen, und sie sind sich gar nicht bewußt, daß eine wertvolle, geschützte Information aus Versehen aus Ihrem Netzwerk entwichen ist. Ein Beispiel für einen solchen Fall ist die jüngste Shockwave-Kontroverse. Vor kurzem wurde erkannt, daß Shockwave benutzt werden kann, um die Sicherheit von Netzwerken zu durchbrechen, wenn jemand eine Seite anwählt:

Ein Entwickler kann Shockwave benutzen, um auf die Netscape-E-Mail-Verzeichnisse des Benutzers zuzugreifen. Dies geschieht, indem man einen bestimmten Namen und Pfad zu dem Postfach auf der Festplatte des Benutzers voraussetzt. Die vorgegebenen Namen für Mail-Verzeichnisse sind z.B. Inbox, Outbox, Sent und Trash. Der Default- Pfad zur »Inbox« auf Win95/NT wäre C:/Programme/Netscape/Navigator/Mail/Inbox. Dann kann der Entwickler den Shockwave-Befehl GETNETTEXT verwenden, um den Navigator aufzurufen und das E-Mail-Verzeichnis nach einer E-Mail zu fragen. Die Ergebnisse dieser Abfrage können dann in eine Variable überführt werden und später bearbeitet und an einen Server gesendet werden.

Wegweiser:

Der obige Abschnitt ist ein Auszug aus »Shockwave Can Read User's Email«, einem Artikel von David de Vitry. Er wurde ursprünglich unter http://www.webcomics.com/shockwave/ gepostet. Sie finden ihn auch unter http://www.ntsecurity.net/.

Die folgenden Produkte können Ihnen bei der Verwaltung des Internet-Zugriffs Ihrer Mitarbeiter behilflich sein.

23.8.1 N2H2 von Bess School and Business Filters

Bess School and Business Filters
1301 5th Avenue, Suite 1501
Seattle, WA 98101
Tel.: 001-800-971-2622
E-Mail: info@n2h2.com URL: http://www.n2h2.com/

N2H2 bietet spezialisierte Filterdienste, die Unternehmen helfen, die Produktivität ihrer Angestellten zu steigern - zum einen durch Überwachung und Protokollierung der Internet- Nutzung und zum anderen durch maßgeschneiderte Internet-Filterung.

Der N2H2-Filterdienst erzeugt Berichte, die häufig besuchte, nicht geschäftliche Webseiten identifizieren. Es wird angegeben, wie oft diese innerhalb eines bestimmten Zeitraums aufgesucht werden, und welche Clients am häufigsten solche Seiten aufrufen. Der Service sperrt eine ganze Reihe von Diensten, darunter WWW-Sites und Chat-Kanäle/Räume.

Das N2H2-Paket ist besonders attraktiv, weil Bess den gesamten Vorgang extern durchführt. (Sie müssen keine Software oder Hardware installieren.) Das bedeutet, daß auch die cleversten Möchtegern-Cracker in Ihrer Organisation keine Möglichkeit haben werden, das System zu umgehen.

23.8.2 WebSENSE

NetPartners Internet Solutions, Inc.
9210 Sky Park Court First Floor
San Diego, CA 92123
Kontakt: Jeff True
Tel.: 001-619-505-3044
Fax: 001-619-495-1950
E-Mail: jtrue@netpart.com URL: http://www.netpart.com/

WebSENSE ist ein fortschrittliches System zum Abschirmen von Internet-Inhalten, mit dem Unternehmen Netzwerk-Traffic zu Internet-Sites überwachen oder verhindern können, die als unangemessen oder anderweitig unerwünscht angesehen werden. WebSENSE ist als ein Windows-NT-Dienst implementiert, der auf einem einzigen Windows-NT-Rechner läuft, so daß es nicht erforderlich ist, Software auf den einzelnen Workstations der Benutzer zu installieren. WebSENSE unterstützt eine Vielzahl von TCP-Protokollen, darunter HTTP, Gopher, FTP, Telnet, IRC, NNTP und RealAudio. Die empfohlene Mindestkonfiguration ist ein Intel 486 mit 16 MB RAM und Windows NT 3.51 (oder höher).

23.8.3 X-STOP

X-STOP
Log-On Data Corporation
828 West Taft Avenue
Orange, CA 92865-4232
Tel.: 001-714-282-6111
E-Mail: info@ldc.com URL: http://www.xstop.com/

X-STOP ist eine sehr umfassende Lösung zur Einschränkung des Zugriffs von Angestellten auf unerwünschte Sites. Hauptbestandteil von X-STOP ist ein auf Hardware basierender Sperrfilter. Das Blockieren kann auf unterschiedliche Arten erfolgen (und Sie können auch ganz darauf verzichten und einfach nur überwachen lassen, welche Sites besucht werden).

X-STOP geht jedoch noch einen Schritt weiter. Sie können es auch verwenden, um Angestellte daran zu hindern, unternehmenseigene Daten zu versenden. (X-STOP kann darauf trainiert werden, den Versand bestimmter Daten zu verhindern. Es filtert die Betreffzeile und den Nachrichtentext und sucht nach verdächtigen Mustern.) Sie können fast jeden beliebigen Auslöser spezifizieren. Zum Beispiel könnten ein Alarm und eine Sperre ausgelöst werden, wenn einer Ihrer Mitarbeiter eine Nachricht senden will, die eine bestimmte Telefonnummer enthält.

X-STOP ist teuer, aber es ist sein Geld wert. Sie können bis zu 10.000 Workstations mit diesem Produkt filtern.

23.8.4 Sequel Net Access Manager

Sequel Headquarters
Lincoln Executive Center, Building III
3245 146th Place SE, Suite 300
Bellevue, WA 98007
Tel.: 001-1-800-973-7835
Fax: 001-425-556-4042
E-Mail: sales@sequeltech.com URL: http://www.sequeltech.com/

Sequel Net Access Manager überwacht und kontrolliert den Internet- (und Intranet-) Zugang auf Ihrem lokalen System. Aufgrund der umfangreichen Berichte, die dieses Programm erzeugt, können Sie es dazu verwenden, den ausgehenden Traffic nach Abteilung oder LAN- Segment genau zu bestimmen. So können Sie den einzelnen Abteilungen ihre Internet-Nutzung genau »berechnen«.

Noch wichtiger ist jedoch, daß Sequel Net Access Manager auch verwendet werden kann, um Zugangsrichtlinien für HTTP, FTP, SMTP, NNTP, Oracle, SQL*net, Lotus Notes und andere Dienste durchzusetzen. (Sie können den Zugang auf Grundlage einer Vielzahl von Variablen beschränken, wie z.B. der Tageszeit.)

23.8.5 SmartFilter

Secure Computing Corporation
2675 Long Lake Road
Roseville, MN 55113
Tel.: 001-408-918-6100
E-mail: sales@securecomputing.com URL: http://www.securecomputing.com/

SmartFilter kann mit der NT-Firewall von Secure Computing zusammen verwendet oder als Einzelprodukt erworben werden. SmartFilter läßt sich nahtlos in alle Netscape-Proxy-Server integrieren und unterstützt sogar die Filterung japanischer Sites. SmartFilter funktioniert bekanntermaßen gut auf folgenden Plattformen:

Weiterhin unterstützt das Produkt mehrere populäre Firewalls, und es enthält ein Software- Entwicklungs-Kit für den Fall, daß Sie seine Möglichkeiten erweitern wollen.

23.9 Entwicklung von Checklisten zur Optimierung der Verfahrensweisen

Obwohl es durchaus erfolgreich sein kann, spezifischen Sicherheitslücken der einzelnen Plattformen nachzujagen, gibt es noch andere Möglichkeiten, die interne Sicherheit zu verbessern. Eine ganz einfache ist, die beste Praxis für Ihr Unternehmen zu bestimmen. Um dies zu erreichen, müssen Sie überprüfen, ob die Organisation und die Verhaltensmuster Ihres Unternehmens der Sicherheit dienlich sind.

Das ist kein allzu kompliziertes Unterfangen. Sie sollten zumindest die folgenden Bereiche untersuchen:

Das alles sind grundlegende Sicherheitsvorkehrungen, aber Sie wären überrascht, wenn Sie wüßten, wie viele Unternehmen nicht einmal diese Basisanforderungen erfüllen. Wenn Ihr Unternehmen zuvor noch nie Sicherheitsrichtlinien und -Verfahren aufgestellt hat, wissen Sie vielleicht nicht, womit Sie anfangen sollen. Checklisten können dabei sehr hilfreich sein.

23.9.1 Sicherheitschecklisten

Die folgenden Abschnitte enthalten eine Reihe von Sicherheitschecklisten. Ich empfehle Ihnen, sich alle anzusehen, die für Ihre spezielle Konfiguration von Bedeutung sind, und sie zu kombinieren.

Microsoft MS-DOS Security Checklist

Autor: Bryan Thatcher, USAF

URL: http://kumi.kelly.af.mil/doscheck.html

Microsoft Windows Security Checklist

Autor: Bryan Thatcher, USAF

URL: http://kumi.kelly.af.mil/wincheck.html

UNIX Computer Security Checklist

Autor: AUCERT

URL: http://www.bive.unit.liu.se/security/AUSCERT_checklist1.1.html

LAN Security Self-Assessment

Autor: Computer Security Administration; University of Toronto

URL: http://www.utoronto.ca/security/lansass.htm#lansass

Generic Password Security Checklist

Autor: Lindsay Winsor

URL: http://delphi.colorado.edu/~security/users/access/goodprac.htm

CERT Coordination Center Generic Security Information Checklist

Autor: Computer Emergency Response Team

URL: http://ird.security.mci.net/check/cert-sec.html

TCP/IP Security Checklist

Autor: Dale Drew

URL: http://ird.security.mci.net/check.html

Informix Security Checklist

Autor: unbekannt

URL: http://spider.osfl.disa.mil/cm/security/check_list/appendf.pdf

Cisco IP Security Checklist

Autor: Cisco Systems, Inc.

URL: http://www.cisco.com/univercd/cc/td/doc/cisintwk/ics/icssecur.htm

Security Policy Checklist

Autoren: Barbara Guttman und Robert Bagwill

URL: http://csrc.nist.gov/isptg/html/ISPTG-Contents.html

23.10 Zusammenfassung

Die interne Sicherheit ist eine ernste Angelegenheit, und leider hatte ich hier nur wenig Platz, mich diesem Thema zu widmen. Ich empfehle Ihnen, einige der Bücher zu lesen, die in Anhang A, »Bibliographie zum Thema Sicherheit - Weiterführende Literatur«, aufgeführt sind. Viele dieser Titel sind bewährte und zuverlässige Bücher über allgemeine Computer- Sicherheit.



vorheriges KapitelInhaltsverzeichnisStichwortverzeichnisKapitelanfangnächstes Kapitel