NOTE: CentOS Enterprise Linux is built from the Red Hat Enterprise Linux source code. Other than logo and name changes CentOS Enterprise Linux is compatible with the equivalent Red Hat version. This document applies equally to both Red Hat and CentOS Enterprise Linux.
Linuxtopia - CentOS Enterprise Linux Sicherheitshandbuch - �berblick �ber Sicherheit
Durch die wachsende Abh�ngigkeit von leistungsstarken, vernetzten Computern f�r das F�hren von Unternehmen und Aufzeichnen unserer pers�nlichen Daten haben sich ganze Industriezweige um die Netzwerk- und Computersicherheit herum gebildet. Gro�e Unternehmen haben das Wissen und die F�higkeiten von Sicherheitsexperten zu Rate gezogen, um Systeme zu pr�fen und ma�geschneiderte L�sungen f�r die Anforderungen des Unternehmens zu erstellen. Dadurch, dass die meisten Unternehmen dynamisch arbeiten, mit Mitarbeitern, die auf IT-Ressourcen der Firma intern und extern zugreifen, wird der Bedarf an sicheren Computing-Umgebungen immer deutlicher.
Leider betrachten viele Unternehmen (sowie auch Einzelbenutzer) die Sicherheit immer erst ganz zum Schluss, ein Prozess, der zu Gunsten erh�hter Leistung, Produktivit�t und Kostenfaktoren gerne �bersehen wird. Angemessene Sicherheitsimplementierung wird oftmals postmortem durchgef�hrt — erst nachdem ein unberechtigter Zugriff erfolgte. Sicherheitsexperten sind sich einig, dass das Ergreifen richtiger Ma�nahmen vor dem Verbinden mit einem unzuverl�ssigen Netzwerk wie dem Internet ein sicheres Mittel zum Verhindern von unerlaubten Zugriffen ist.
1.1. Was ist Computersicherheit?
Computersicherheit ist ein h�chst allgemeiner Begriff, der einen weitreichenden Bereich an Computing und Informationsverarbeitung umfasst. Industriezweige, die von Computersystemen und Netzwerken hinsichtlich deren t�glicher Gesch�ftstransaktionen und Zugriffe auf wichtige Daten abh�ngen, betrachten deren Daten als einen wichtigen Teil des Gesamtkapitals. Mehrere Begriffe und Metriken sind in unseren tagt�gliches Gesch�fts-Vokabular eingeflossen, wie zum Beispiel 'Total Cost of Ownership' (TOC) und 'Quality of Service' (QoS). Anhand dieser Metriken kalkulieren Unternehmen Aspekte wie Datenintegrit�t und Hochverf�gbarkeit als Teil ihrer Planung. Das Erheben von Metriken ist ein anspruchsvoller Prozess im Projektmanagement. In einigen Industriezweigen wie zum Beispiel E-Commerce, ist die Verf�gbarkeit und Verl�sslichkeit von Daten der entscheidende Faktor zwischen Erfolg und Mi�erfolg eines Unternehmens.
1.1.1. Wie entwickelte sich die Computersicherheit?
Viele Leser erinnern sich vielleicht an den Film "Wargames" mit Matthew Broderick in der Hauptrolle als High-School Sch�ler, der in den Supercomputer des US-Verteidigungsministeriums (DoD) einbricht und unabsichtlich fast einen Atomkrieg ausl�st. In diesem Film verwendet Broderick sein Modem, um sich in den DoD-Computer (mit dem Namen WOPR) einzuw�hlen und mit der KI (K�nstliche Intelligenz) Software, die s�mtliche Atomwaffenlager steuert, Spiele zu spielen. Dieser Film wurde 1983 w�hrend des "Kalten Krieges" zwischen der ehemaligen Sowjetunion und den USA ver�ffentlicht und wurde als Erfolg gefeiert. Die Beliebtheit dieses Films inspirierte viele Individuen und Gruppen, einige der Methoden des jungen Protagonisten zum Einbruch in geheime Systeme zu implementieren, einschlie�lich des war dialing — eine Methode zum Suchen nach Telefonnummern f�r analoge Modemverbindungen in einem bestimmten Vorwahlbereich und einer Telefonvorwahlkombination.
Mehr als 10 Jahre sp�ter, nach einer 4-j�hrigen, mehrfachen gerichtlichen Verfolgung, bei der sogar das FBI (Federal Bureau of Investigation) und Computerexperten amerika-weit eingeschaltet wurden, wurde der Computer-Cracker Kevin Mitnick verhaftet und f�r 25 Straftaten durch Computerbetrug angeklagt. Es wurden durch ihn Sch�den in der H�he von �ber 80 Millionen US $ durch Verlust geistigen Eigentums sowie Quellcode von Nokia, NEC, Sun Microsystems, Novell, Fujitsu und Motorola verursacht. Zu dem Zeitpunkt sah das FBI hierin das gr��te computer-bezogene Verbrechen in der Geschichte der USA. Kevin Mitnick wurde f�r schuldig befunden und zu 68 Monaten Gef�ngnis verurteilt, von denen er 60 Monate absa�, bevor er wegen guter F�hrung am 21. Januar 2000 entlassen wurde. Desweiteren durfte er keine Computer verwenden oder computer-bezogenes Consulting bis 2003 durchf�hren. Fahnder best�tigten, dass Mitnick ein Experte auf dem Gebiet des Social Engineering war — er missbrauchte soziale Kontakte, um Zugang zu Passw�rtern und Systemen durch gef�lschte Unterlagen zu erlangen.
Informationssicherheit hat sich in den letzten Jahren in Anbetracht der wachsenden Abh�ngigkeit von �ffentlichen Netzwerken f�r pers�nliche, finanzielle und andere vertrauliche Informationen entwickelt. Die unz�hligen Vorf�lle, wie die Mitnick oder Vladimir Levin F�lle (weitere Informationen unter Abschnitt 1.1.2), haben Unternehmen aller Industriebereiche dazu veranlasst, deren Methoden zur Informations�bertragung und -Aufbewahrung neu zu �berdenken. Die Beliebtheit des Internets war eine der wichtigsten Entwicklungen, die intensivere Bem�hungen im Bereich der Datensicherheit mit sich brachte.
Eine immer gr��er werdende Anzahl von Anwendern verwendet deren pers�nliche Computer f�r den Zugriff auf Ressourcen, die das Internet zu bieten hat. Von simplen Nachforschungen und Recherchen bis hin zu E-Mail und Handelstransaktionen wird das Internet als eine der bedeutendsten Entwicklungen des 20. Jahrhunderts angesehen.
Das Internet und seine fr�heren Protokolle wurden jedoch als ein trust-based (auf Vertrauen basierendes) System entwickelt. Das hei�t, dass das Internetprotokoll nicht von vornherein als sicher ausgelegt war. Es sind keine anerkannten Sicherheitsstandards im TCP/IP Kommunikations-Stack integriert, was eine Angriffsfl�che f�r potentiell b�swillige Benutzer und Prozesse im gesamten Netzwerk bildet. Moderne Entwicklungen haben die Kommunikation �ber das Internet sicherer gemacht, wobei es jedoch immer wieder zu Vorf�lle kommt, die breites nationales Aufsehen erregen und uns bewusst machen, dass nichts hundertprozentig sicher ist.
1.1.2. Zeitleiste der Computer-Sicherheit
Verschiedene Schl�sselmomente trugen zur Geburt und zum Aufstieg von Computersicherheit bei. Im Folgenden werden einige, wichtige Ereignisse genannt, welche die Aufmerksamkeit auf Computer- und Informationssicherheit lenkten und zur deren heutiger Bedeutung beitrugen.
1.1.2.1. Die 30er und 40er Jahre
Polnische Kryptografen (Entschl�ssler) entwickeln 1918 die Enigma Maschine, eine elektro-mechanische Ziffern-Rotor-Anlage, welche reine Textnachrichten verschl�sselt. Urspr�nglich entwickelt, um Kommunikation im Bankensektor abzusichern, wurde das Ger�t von der Deutschen Streitmacht im Zweiten Weltkrieg zur sicheren Kommunikation eingesetzt. Ein brillianter Mathematiker namens Alan Turing entwickelt eine Methode, um die Verschl�sselungscodes von Enigma zu knacken, was den Alliierten wiederum erm�glichte Colossus zu entwickeln, eine Maschine, die wie so oft behauptet wird, dazu beigetragen hat, den Krieg ein Jahr fr�her zu beenden.
1.1.2.2. Die 60er Jahre
Studenten am Massachusetts Institute of Technology (MIT) bilden den Tech Model Railroad Club (TMRC) und beginnen mit der Erforschung und Programmierung des PDP-1 Mainframe Computersystems dieser Universit�t. Durch diese Gruppe wurde eventuell auch der Begriff "Hacker" im heutzutage bekannten Kontext gepr�gt.
Das US-Verteidigungsministerium bildet das Advanced Research Projects Agency Network (ARPANet), das in akademischen und Forschungs-Kreisen gro�e Beliebtheit als Kanal f�r elektronischen Daten- und Informationsaustausch erlangt. Dies ebnet den Weg f�r die Erschaffung des Tr�gernetzwerks, das heute als das Internet bekannt ist.
Ken Thompson entwickelt das UNIX Betriebssystem, weitverbreitet gepriesen als das "Hacker-freundlichste" Betriebssystem aufgrund der zug�nglichen Entwicklungstools und Compilers und der hilfsbereiten Anwendergemeinschaft. Etwa zur gleichen Zeit entwickelt Dennis Ritchie die Programmiersprache C, die wohl beliebteste Hacker-Sprache in der Geschichte des Computers.
1.1.2.3. Die 70er Jahre
Bolt, Berank und Newman, ein Vertragsunternehmen f�r Forschung und Entwicklung f�r die US-Regierung und Industrie, entwickelt das Telnet-Protokoll, eine �ffentliche Erweiterung des ARPANets. Dies �ffnete das Tor zur �ffentlichen Verwendung von Datennetzwerken, einst beschr�nkt auf Vertragsunternehmen f�r die Regierung und akademische Forschung. Telnet ist jedoch, laut verschiedenen Sicherheitsexperten, das wohl unsicherste Protokoll f�r �ffentliche Netzwerke.
Steve Jobs und Steve Wozniak gr�ndeten Apple Computer und begannen mit der Vermarktung des Personal Computer (PC). Der PC ist das Sprungbrett f�r b�swillige Anwender zum Erlernen der Kunst, Systeme von au�en mittels allgemein erh�ltlicher PC-Kommunikations-Hardware wie z.B. analoge Modems und War Dialers, zu cracken.
Jim Ellis und Tom Truscott erschaffen USENET, ein Bulletin-Board-artiges System f�r elektronische Kommunikation zwischen ungleichen Anwendern. USENET wird schnell zu einem der beliebtesten Foren f�r den Ideenaustausch im Bereich Computing, Netzwerke und nat�rlich Cracking.
1.1.2.4. Die 80er Jahre
IBM entwickelt und vertreibt PCs basierend auf dem Intel 8086 Mikroprozessor, einer relativ kosteng�nstigen Architektur, die elektronische Datenverarbeitung vom B�ro ins traute Heim brachte. Dies half, den PC zu einem allgemeinen, zug�nglichen Tool werden zu lassen, was wiederum zur Verbreitung dieser Hardware in den Haushalten und B�ros b�swilliger Anwender beitrug.
Das Transmission Control Protocol (TCP), von Vint Cerf entwickelt, ist in zwei Teile unterteilt. Das Internet Protokoll (IP) wurde aus dieser Unterteilung geschaffen, und das TCP/IP Protokoll wird zum Standard jeglicher Kommunikation �ber das Internet.
Basierend auf den Entwicklungen im Bereich des Phreaking, mit anderen Worten des Auskundschaften und Hacken von Telefonsystemen, wurde das Magazin 2600: The Hacker Quarterly ins Leben gerufen und behandelt Themen wie das Hacken von Computern und Computer-Netzwerken f�r eine breite Leserschaft.
Die 414-Gang (benannt nach der Vorwahlnummer des Wohnorts) wurde von den Beh�rden nach einer 9-Tage Cracking-Tour, bei der in Systeme von geheimen Orten wie das Los Alamos National Laboratory, einer Atomwaffen-Forschungseinrichtung, eingebrochen wurde, aufgegriffen.
Die "Legion of Doom" und der "Chaos Computer Club" sind zwei Hacker-Gruppen, die mit der Erforschung von Anf�lligkeiten in Computer- und Datennetzwerken beginnen.
Der "Computer Fraud and Abuse Act" des Jahres 1986 (Gesetz gegen Computerbetrug und -missbrauch) wurde vom Kongress als Gesetz erlassen, basierend auf den Taten von Ian Murphy, auch bekannt als Captain Zap, der in Computer des Milit�rs einbrach, Informationen von Firmendatenbanken stahl und Anrufe �ber Telefonnummern der Regierung t�tigte.
Basierend auf dem "Computer Fraud und Abuse Act" war die Justiz in der Lage, den Studenten Robert Morris zu verurteilen, der den Morris Wurm auf �ber 6000 anf�llige Computer im Internet verbreitet hatte. Der n�chste bedeutende Fall im Rahmen dieses Gesetzes war Herbert Zinn, ein Schulabbrecher, der Systeme von AT&T und dem DoD gecrackt und missbraucht hatte.
Basierend auf den Bedenken, dass der Morris-Wurm jederzeit repliziert werden k�nnte, wird das Computer Emergency Response Team (CERT) gegr�ndet, um Benutzer von Computern vor Netzwerksicherheitsproblemen zu warnen.
Clifford Stoll schreibt das Buch The Cuckoo's Egg (das Kuckucksei), eine Beschreibung der Untersuchung von Crackern, die unberechtigt auf sein System zugegriffen haben.
1.1.2.5. Die 90er Jahre
ARPANet wird stillgelegt. Verkehr �ber dieses Netzwerk wir ans Internet weitergeleitet.
Linus Torvalds entwickelt den Linux-Kernel f�r Verwendung mit dem GNU-Betriebssystem; die weitverbreitete Entwicklung und Verwendung von Linux liegt an der Zusammenarbeit der Benutzer und Entwickler, die �ber das Internet kommunizieren. Durch die Unix-Wurzeln ist Linux am beliebtesten bei Hackern und Administratoren, die Linux n�tzlich f�r das Erstellen von sicheren Alternativen zu Legacy-Servern mit propriet�ren (nicht-ver�ffentlichter Quellcode) Betriebssystemen fanden.
Der grafische Web-Browser wird entwickelt und entflammt einen exponentiell h�heren Bedarf an �ffentlichem Internetzugang.
Vladimir Levin und Komplizen knacken illegal die zentrale Datenbank der CitiBank und transferieren 10 Millionen US$ zu verschiedenen Konten. Levin wird von der Interpol verhaftet und fast die gesamte Summe sichergestellt.
Unter Crackern wohl am meisten gefeiert ist Kevin Mitnick, der in verschiedene Systeme von Unternehmen einbrach und alles stahl, von pers�nlichen Informationen bekannter Pers�nlichkeiten bis zu mehr als 20 000 Kredikartennummern sowie Quellcode f�r propriet�re Software. Er wurde verhaftet, auf der Basis von Wire-Fraud angeklagt und verurteilt und verbrachte 5 Jahre in Haft.
Kevin Poulsen und ein unbekannter Komplize manipulieren Telefonsysteme von Radiosendern, um bei Verlosungen Autos und Geldpreise zu gewinnen. Er wird wegen Computerbetrugs angeklagt und zu 5 Jahren Gef�ngnis verurteilt.
Die Geschichten des Cracking und Phreaking werden zu Legenden und es treffen sich j�hrlich angehenden Cracker auf der DefCon-Versammlung, um das Cracken zu feiern und Ideen auszutauschen.
Ein 19 Jahre alter israelischer Student wird verhaftet und als Organisator zahlreicher Einbr�che in Systeme der US-Regierung w�hrend des ersten Golfkrieges verurteilt. Angestellte des Milit�rs bezeichnen dies als den "am best-organisiertesten und systematischsten Angriff" auf Regierungssysteme in der Geschichte der USA.
Die US-Generalbundesanw�ltin Janet Reno gr�ndet als Antwort auf eskalierende Sicherheitsbr�che in Regierungssystemen das National Infrastructure Protection Center.
Britische Kommunikationssatelliten werden von unbekannten Personen �bernommen und L�segeld gefordert. Die Britische Regierung gewinnt letzten Endes die Kontrolle �ber die Satelliten.
1.1.3. Sicherheit Heute
Im Februar 2000 wurde eine Distributed Denial of Service (DDoS) Attacke auf einige der am h�ufigsten besuchten Internetsites ausgef�hrt. Durch diese Attacke waren yahoo.com. cnn.com, fbi.gov und einige andere Sites f�r normale Benutzer unerreichbar, da Router mit stundenlangen riesigen ICMP-Paket�bertragungen, auch Ping Flood genannt, �berlastet waren. Diese Attacke wurde von unbekannten Angreifern gestartet, die speziell gefertigte, �berall erh�ltliche Programme verwendeten, die verletzliche Netzwerkserver suchen und dann Client-Applikationen, auch Trojaner genannt, auf den Servern installieren und dann eine Attacke starten, bei der die Site des Opfers durch jeden infizierten Server �berflutet wird und somit unerreichbar wird. Viele schieben die Schuld auf fundamentale Fehler in der Weise, wie Router und Protokolle strukturiert sind, um alle eingehenden Daten anzunehmen, egal woher oder zu welchem Zweck Pakete gesendet wurden.
Dies bringt uns ins neue Jahrtausend, einer Zeit, in der gesch�tzte 945 Millionen Menschen weltweit das Internet verwenden oder verwendet haben (Computer Industry Almanac, 2004). Zur gleichen Zeit:
Jeden Tag werden um die 225 schwerwiegenden F�lle von Sicherheitsverletzungen beim CERT Koordinationszentrum der Carnegie Mellon Universit�t (USA) gemeldet. [1]
Im Jahre 2003 stieg die Anzahl der bei CERT gemeldeten Vorf�lle sprunghaft von 82.094 im Jahre 2002 auf 137.529 an (52.658 im Jahre 2001). [2]
Der weltweite wirtschaftliche Schaden, der durch die drei gef�hrlichsten Internetviren in den letzten zwei Jahren verursacht worden ist, wurde auf ungef�hr 13,2 Billionen US-Dollar gesch�tzt. [Quelle: https://www.newsfactor.com/perl/story/16407.html]
Computersicherheit ist zu einer quantifizierbaren und berechtigten Ausgabe f�r alle IT-Budgets geworden. Unternehmen, die Datenintegrit�t und Hochverf�gbarkeit ben�tigen, eruieren die F�higkeiten von Systemadministratoren, Entwicklern und Ingenieuren, um eine 24/7 Verl�sslichkeit ihrer Systeme, Services und Informationen zu garantieren. Opfer von b�swilligen Anwendern, Prozessen oder koordinierten Attacken zu werden ist eine direkte Bedrohung in Hinsicht des Gesch�ftserfolges.
Leider kann System- und Netzwerksicherheit eine gewisse Schwierigkeit darstellen, die ein genaues Verst�ndnis dar�ber, wie ein Unternehmen Informationen betrachtet, verwendet, manipuliert und �bertr�gt erfordert. Das Verst�ndnis dar�ber, auf welche Art ein Unternehmen (und dessen Mitarbeiter) Gesch�fte betreibt, ist von h�chster Bedeutung f�r die Einf�hrung eines entsprechenden Sicherheitsplans.
1.1.4. Standardisierung von Sicherheit
Unternehmen in jedem Industriezweig sind auf Richtlinien und Regeln von Standardisierungsorganisationen wie z.B. der American Medical Association (AMA) oder dem Institute of Electrical and Electronics Engineers (IEEE) angewiesen. Die gleichen Ideale gelten f�r Informationssicherheit. Viele Sicherheitsberater und Hersteller haben sich auf das Standard-Sicherheitsmodell CIA, (Confidentiality, Integrity und Availability; Vertraulichkeit, Integrit�t und Verf�gbarkeit) geeinigt. Dieses 3-Schichten Modell ist eine allgemein anerkannte Komponente f�r das Einsch�tzen von Risiken f�r vertrauliche Informationen und das Einrichten einer Sicherheitspolice. Im folgenden wird das CIA-Modell n�her beschrieben:
Vertraulichkeit — Vertrauliche Informationen d�rfen nur f�r im vornherein festgelegte Einzelpersonen verf�gbar sein. Unautorisierte �bertragung und Verwendung von Informationen muss eingeschr�nkt werden. So stellt zum Beispiel die Vertraulichkeit von Informationen sicher, dass pers�nliche oder finanzielle Details von Kunden nicht von Unbefugten f�r b�swillige Zwecke wie Identit�tsraub oder Kreditbetrug missbraucht werden kann.
Integrit�t — Informationen d�rfen nicht dahin gehend ver�ndert werden, so dass sie unvollst�ndig oder falsch werden. Unbefugte d�rfen nicht in der Lage sein, vertrauliche Informationen �ndern oder zerst�ren zu k�nnen.
Verf�gbarkeit — Informationen m�ssen jederzeit f�r befugte Personen zug�nglich sein. Verf�gbarkeit ist die Garantie daf�r, dass Informationen mit einer vereinbarten H�ufigkeit und rechtzeitig abgerufen werden k�nnen. Dies wird h�ufig in Prozent gemessen und formell in Service Level Vereinbarungen (SLAs), die von Netzwerkservice-Anbietern und deren Gesch�ftskunden verwendet werden, festgelegt.
