NOTE: CentOS Enterprise Linux is built from the Red Hat Enterprise Linux source code. Other than logo and name changes CentOS Enterprise Linux is compatible with the equivalent Red Hat version. This document applies equally to both Red Hat and CentOS Enterprise Linux.
Linuxtopia - CentOS Enterprise Linux Sicherheitshandbuch - Hardware- und Netzwerkschutz
Der beste Ansatz vor dem Einsatz einer Maschine in einer Produktionsumgebung oder dem Verbinden Ihres Netzwerks mit dem Internet ist, die Bed�rfnisse Ihres Unternehmens festzulegen und festzustellen, wie Sicherheit in die Anforderungen so transparent wie m�glich passt. Da das Hauptziel des Red Hat Enterprise Linux Sicherheitshandbuch ist, zu erkl�ren, wie Red Hat Enterprise Linux sicherer gestaltet werden kann, sprengt eine detailierte Untersuchung der Hardware und der physikalischen Netzwerksicherheit den Rahmen dieses Dokuments. Dieses Kapitel liefert jedoch einen kurzen �berblick �ber das Einrichten von Sicherheitsrichtlinien im Hinblick auf Hardware und physikalische Netzwerke. Wichtige Faktoren sind u.a. wie Computing-Bed�rfnisse und Konnektivit�t in die Gesamt-Sicherheitsstrategie passen. Im Folgenden werden einige der Faktoren im Detail behandelt.
Computing beinhaltet mehr als nur Workstations, auf denen Desktop-Software l�uft. Moderne Unternehmen erfordern massive Rechnerleistungen und hochverf�gbare Dienste, die z.B. Mainframes, Computer- oder Applikationscluster, leistungsstarke Workstations und spezialisierte Ger�te umfassen k�nnen. Mit all diesen Anforderungen kommt jedoch auch eine erh�hte Anf�lligkeit f�r Hardware-Ausf�lle, Naturkatastrophen und Diebstahl der Ausr�stung.
Konnektivit�t ist die Methode, mit der ein Administrator ungleichartige Ressourcen auf einem Netzwerk zu verbinden versucht. Ein Administrator verwendet eventuell ein Ethernet (Hub oder Switch CAT-5/RJ-45-Kabel), Token Ring, 10-base-2 Koaxialkabel oder sogar Wireless (802.11x) Technologien. Abh�ngig vom gew�hlten Medium erfordern bestimmte Medien und Netzwerktopologien komplement�re Technologien wie z.B. Hubs, Router, Switches, Base Stations und Access Points. Das Festlegen einer funktionalen Netzwerkarchitektur erm�glicht einen leichteren Verwaltungsaufwand, sollten Sicherheitsprobleme auftreten.
Durch diese allgemeinen �berlegungen kann ein Administrator eine bessere �bersicht �ber die Implementierung erhalten. Das Design einer Computer-Umgebung kann auf den Unternehmens-Anforderungen und Sicherheitsbetrachtungen basieren — eine Implementierung, die beides ber�cksichtigt.
A.1. Sichere Netzwerktopologien
Das Grundger�st eines LAN ist die Topologie oder Netzwerkarchitektur. Eine Topologie ist das physikalische und logische Layout eines LAN inBezug auf die Ressourcen, Entfernung zwischen Knoten und �bertragungsmedium. Abh�ngig von den Bed�rfnissen des Unternehmens, die das Netzwerk bedient, gibt es mehrere M�glichkeiten f�r eine Netzwerk-Implementierung. Jede Topologie hat einzigartige Vorteile und wirft Sicherheitsfragen auf, die Netzwerkarchitekten bei der Entwicklung des Netzwerklayouts ber�cksichtigen sollten.
A.1.1. Physische Topologien
Wie durch das Institute of Electrical and Electronics Engineers (IEEE) festgelegt, gibt es drei allgemeine Topologien f�r die physikalische Verbindung eines LAN.
A.1.1.1. Ring-Topologie
Die Ring-Topologie verbindet jeden Knoten durch genau zwei Verbindungen. Dies erstellt eine Ringstruktur, in der jeder Knoten durch einen anderen zug�ngig ist. Dies geschieht entweder direkt durch die Nachbarknoten oder indirekt durch den Ring. Token Ring-, FDDI- und SONET-Netzwerke sind auf diese Weise verbunden (FDDI verwendet dar�berhinaus eine Doppel-Ring-Technik); es gibt jedoch keine allgemeinen Ethernet-Verbindungen, die diese physikalische Topologie einsetzen. Aus diesem Grund werden Ringe allgemein eher selten verwendet, au�er als Verm�chtnis oder auf Institutionellen Systemen mit einer gro�en Anzahl von Knoten (z.B. eine Universit�t).
A.1.1.2. Lineare Bus Topologie
Die Linear Bus Topologie besteht aus Knoten, die mit einem linearen Kabel, das mit Endwiderst�nden abgeschlossen ist (Backbone), verbunden sind. Die Linear Bus Topologie ben�tigt die wenigsten Kabel und Netzwerkausr�stung, und l�sst dies somit zur kosteneffektivsten L�sung werden. Der Liner Bus ist jedoch von der st�ndigen Verf�gbarkeit des Backbone abh�ngig und wird so zu einem einzigen Ausfallpunkt, falls dieser offline genommen werden muss oder die Leitung gekappt wird. Linear Bus Topologien werden h�ufig in Peer-to-Peer LANs mit Koaxialkabeln und 50 Ohm Endwiderst�nden an beiden Enden des Buses eingesetzt.
A.1.1.3. Stern-Topologie
Die Stern-Topologie besteht aus einem zentralen Punkt, an den die Knoten angeschlossen sind und durch den die Kommunikation weitergeleitet wird. Dieser zentrale Punkt, als Hub bezeichnet, kann entweder broadcasted oder switched sein. Diese Topologie f�hrt zu einem einzigen Schwachpunkt in der zentralisierten Netzwerkhardware, die die Knoten verbindet. Durch diese Zentralisierung sind jedoch Netzwerkprobleme, die entweder Teile des LAN oder das gesamte LAN beeintr�chtigen, leicht auf diese eine Fehlerquelle zur�ckzuf�hren.
A.1.2. �bertragungs-Betrachtungen
Abschnitt A.1.1.3 stellte das Konzept des Broadcast-Networking und Switched-Networking vor. Es gibt mehrere Faktoren, die bei der Auswahl der Art von Netzwerk-Hardware, die geeingnet und sicher f�r Ihre Netwerkumgebung sein muss, beachtet werden m�ssen. Das Folgende kennzeichnet diese eindeutigen Arten des Netzwerbetriebes.
In einem Broadcast-Netzwerk sendet ein Knoten ein Paket, das durch jeden Knoten geht, bis der Empf�nger das Paket annimmt. Jeder Knoten im Netzwerk kann dieses Datenpaket empfangen bis der Empf�nger dieses verarbeitet. In einem Broadcast-Netzwerk werden alle Pakete auf diese Weise gesendet.
In einem Switch-Netzwerk werden Pakete nicht weitergeleitet, sondern in einer Switched Hub verarbeitet, die dann wiederum eine direkte Verbindung zwischen den Sender- und Empf�ngerknoten �ber Unicast-�bertragungsprinzipien herstellt. Dies eliminiert die Notwendigkeit, Pakete �ber jeden Knoten zu senden und verringert so das Verkehrsaufkommen.
Das Switched-Netzwerk verhindert au�erdem ein Abfangen von Paketen durch b�sartige Knoten oder Benutzer. In einem Broadcast-Netzwerk, in dem jeder Knoten ein Paket auf dem Weg zum Zielempf�nger erh�lt, k�nnen b�sartige Benutzer deren Ethernet-Ger�t in den Promiscuous-Modus versetzen und alle Pakete annehmen, egal ob die Daten f�r diesen bestimmt sind oder nicht. Im Promiscuous-Modus kann eine Sniffer-Applikation zum Filtern, Analysieren und Rekonstruieren von Paketen f�r Passw�rter, pers�nliche Daten und mehr verwendet werden. Fortgeschrittene Sniffer-Applikationen k�nnen solche Informationen in Textdateien speichern, und diese eventuell an willk�rliche Quellen (z.B. die E-Mail-Adresse des Angreifers) senden.
Ein Switched-Netzwerk ben�tigt einen Netzwerk-Switch, eine besondere Hadrwarekomponente, die den Platz einer traditionellen Hub, in der alle Knoten auf einem LAN verbunden sind, einnimmt. Switches speichern MAC-Adressen aller Knoten innerhalb einer internen Datenbank, die dann f�r ein direktes Routing verwendet wird. Verschiedene Hersteller, inklusive Cisco Systems, Linksys und Netgear bieten mehrere Arten von Switches mit Eigenschaften wie 10/100-Base-T Kompatibilit�t, Gigabit-Ethernet-Support und IPv6-Networking an.
A.1.3. Wireless Netzwerke
Ein aufkommendes Problem f�r Unternehmen heutzutage ist das der Mobilit�t. Mitarbeiter von zuhause oder abgelegenen Standorten, Techniker und leitende Angestellte ben�tigen tragbare L�sungen, wie z.B. Laptops, Pers�nliche Digitale Assistenten (PDA) und drahtlosen Zugang zu Netzwerkressourcen. Das IEEE (Institue of Electrical and Electronics Engineers), der als Standardisierungsgremium fungierender Ingenieursverband in den USA, hat eine Norm f�r die 802.11 Wireless-Spezifikation entworfen, die Standards f�r drahtlose Datenkommunikation in allen Industriezweigen festlegt. Der heutige Standard ist die 802.11g Spezifikation, w�hrend .802.11a und 802.11b bereits veraltete Standards sind. Der 802.11g Standard ist kompatibel mit der �lteren Version 802.11b, jedoch nicht mit 802.11a.
Die Spezifikationen 802.11b und 802.11g sind eine Gruppe von Standards, die die drahtlose Kommunikazion und Zugangskontrolle unter dem unlizensierten 2.4GHz Radiofrequenz-Spektrum (802.11a verwendet das 5GHz Spektrum) regeln. Diese Spezifikationen wurden als Standard von IEEE akzeptiert und mehrere Hersteller vermarkten 802.11x Produkte und Dienste. Konsumenten haben auch den Standard f�r kleine B�ros/Heimb�ros (SOHO) �bernommen. Die Beliebtheit hat sich auch von LANs zu MANs (Metropolitan Area Networks) ausgedehnt, insbesondere in dichtbev�lkerten Gegenden, wo eine Konzentration von Wireless Access Points (WAPs) zur Verf�gung steht. Es gibt desweiteren Wireless Internet Service Provider (WISPs), die sich auf Reisende mit Bedarf an Broadband-Internet Zugang spezialisieren.
Die 802.11x Spezifikation erm�glicht direkte, Peer-to-Peer Verbindungen zwischen Knoten durch wireless NICs. Diese lose Gruppe von Knoten, auch ad hoc Netzwerk genannt, ist ideal f�r schnelles Teilen von Verbindungen zwischen zwei oder mehr Knoten, besitzt jedoch Anpassbarkeitsprobleme, die nicht f�r bestimmte Wireless-Konnektivit�t geeignet sind.
Eine besser geeignete L�sung f�r Wireless-Zugang in festen Strukturen ist die Installation einer oder mehrerer WAPs (drahtlose Anwenderprotokolle), die mit dem traditionellen Netzwerk verbunden sind und Wireless-Knoten erm�glichen, sich mit dem WAP zu verbinden, als wenn dies ein Ethernet-Netzwerk w�re. Das WAP handelt hier effektiv als eine Br�cke zwischen den Knoten, die mit ihm und dem Rest des Netzwerks verbunden sind.
A.1.3.1. 802.11x Sicherheit
Auch wenn Wireless-Netzwerk von Geschwindigkeit und Bequemlichkeit her geeigneter sind als traditionelle Netzwerke, gibt es einige Einschr�nkungen f�r die Spezifikationen, die eine genaue Betrachtung erfordern. Die wichtigste Einschr�nkung ist die Implementierung der Sicherheit.
In der Aufregung eines erfolgreichen Einsatzes eines 802.11x Netzwerks, vergessen viele Administratoren selbst die grundlegendsten Sicherheitsma�nahmen. Da das 802.11x Networking �ber hochfrequente RF-Signale durchgef�hrt wird, ist dies leicht zug�nglich f�r Benutzer mit einem kompatiblem NIC, einem Wireless-Netzwerk-Scan-Tool wie NetStumbler oder Wellenreiter und herk�mmlichen Sniffing-Tools wie dsniff und snort. Um einen Missbrauch privater Wireless-Netzwerke zu verhindern, verwendet der 802.11b Standard das Wired Equivalency Privacy (WEP) Protokoll, das ein RC4-basierter 64- oder 128-Bit verschl�sselter Schl�ssel ist, der von den Knoten oder zwischen AP und Knoten gemeinsam verwendet wird. Dieser Schl�ssel verschl�sselt �bertragungen und entschl�sselt eingehende Pakete dynamisch und transparent. Administratoren denken oft nicht an den Einsatz dieses Shared-Key-Verschl�sselungs-Schematas; entweder weil diese es schlichtweg vergessen oder aufgrund der Leistungsbeeintr�chtigung insbseondere �ber weite Entfernungen. Der Einsatz von WEP f�r Wireless Netzwerke kann die Wahrscheinlichkeit des Abfangens von Daten wesentlich verringern.
Red Hat Enterprise Linux unterst�tzt mehrere 802.11x Produkte verschiedener Hersteller. Das Network Administration Tool beinhaltet eine M�glichkeit f�r das Konfigurieren von Wireless NICs und WEP-Sicherheit. Weitere Informationen zum Network Administration Tool finden Sie im Kapitel Netzwerk-Konfiguration imRed Hat Enterprise Linux Handbuch zur System-Administration.
Sich auf WEP zu verlassen ist jedoch weiterhin nicht ausreichend zum Schutz vor entschlossenen Angreifern. Es gibt spezialisierte Utilities, die zum Cracken der RC4 WEP Verschl�sselungsalgorithmen, die ein Wireless Netzwerk sch�tzen, entwickelt wurden und die den gemeinsamen Schl�ssel aufdecken. AirSnort und WEP Crack sind solche Applikationen. Um sich hiervor zu sch�tzen, sollten Administratoren strenge Richtlinien f�r die Verwendung von Wireless Methoden zum Zugang zu empfindlichen Informationen festlegen. Administratoren k�nnen z.B. die Sicherheit der Wireless-Konnektivit�t erh�hen, in dem diese auf nur VPN- und SSH-Verbindungen beschr�nkt werden, die eine weitere Verschl�sselungschicht zus�tzlich zur WEP-Verschl�sselung bietet. Durch diese Richtlinien muss ein Angreifer au�erhalb des Netzwerkes, der die WEP-Verschl�sselung geknackt hat, noch zus�tzlich die VPN oder SSH-Verschl�sselung knacken, die abh�ngig von der Verschl�sselungsmethode bis zu dreifach 168-bit DES Algorithmus-Verschl�sselung (3DES) oder noch st�rkere propriet�re Algorithmen enthalten kann. Administratoren, die diese Richtlinien anwenden, sollten Nur-Text-Protokolle wie Telnet oder FTP einschr�nken, da Passw�rter und Daten w�hrend der bereits erw�hnten Angriffe aufgedeckt werden k�nnen.
Eine moderne Sicherheits- und Authentifizierungsmethode, welche von Herstellern von Netzwerkfunkausr�stung eingef�hrt wurde, ist Wi-fi Protected Access (WPA). Administratoren k�nnen WPA mit Hilfe eines Authentifizierungsservers auf deren Netzwerk konfigurieren, welcher Keys f�r Clients verwaltet, die auf das funkbetriebene Netzwerk zugreifen. WPA besitzt einen Vorteil gegen�ber WEP -Verschl�sselung durch die Benutzung des Temporal Key Integrity Protocol (TKIP), wessen Methodik auf der gemeinsamen Benutzung eines Keys basiert, welcher mit der MAC-Adresse derWireless-Netzwerkkarte verbunden wird, die auf dem jeweiligen Client installiert ist. Der Wert des gemeinsam benutzten Keys und der MAC-Adresse wird sodann von einem Initialization Vector (IV) oder Initialisierungs-Vektor verarbeitet, welcher zur Erstellung eines Keys verwendet wird, welcher sodann jedes einzelne Datenpaket verschl�sselt. IV �ndert die Verschl�sselung jedes mal, wenn ein Paket transferiert wird, wobei die �blichsten Funknetz-Attacken vermieden werden k�nnen.
Jedoch wird WPA unter Benutzung von TKIP als eher tempor�re L�sung angesehen. L�sungen, welche st�rkere Verschl�sselungsmethoden anwenden (wie z.B. AES) werden derzeit entwickelt und besitzen das Potential, die Funk-Netzwerksicherheit im Unternehmensbereich weitgehend zu verbessern.
F�r weitere Informationen �ber 802.11 siehe folgende URL:
Administratoren, die extern-zug�ngliche Dienste wie HTTP, E-Mail, FTP und DNS ausf�hren wollen, wird empfohlen, diese �ffentlich zug�nglichen Dienste physikalisch und/oder logisch getrennt vom internen Netzwerk zu halten. Firewalls und das Sichern von Hosts und Applikationen sind effektive Methoden m�gliche Einbrecher abzuhalten. Entschlossene Cracker k�nnen jedoch Wege in das interne Netzwerk finden, wenn sich die gecrackten Dienste auf der gleichen logischen Route wie der Rest des Netzwerks befinden. Die extern zug�nglichen Dienste sollten sich in der De-Militarisierten Zone (DMZ) befinden, ein logisches Netzwerksegment, bei dem eingehender Verkehr vom Internet auch nur auf diese Dienste und nicht auf das interne Netzwerk zugreifen kann. Dies ist effektiv, da selbst wenn ein Computer oder DMZ von einem Angreifer erforscht wird, der Rest des internen Netzwerkes hinter einer Firewall auf einem separaten Segment liegt.
Da die meisten Unternehmen einen begrenzten Pool an �ffentlich weiterleitbaren IP-Adressen haben, von denen aus externe Dienste ausgef�hrt werden k�nnen, verwenden Administratoren ausgekl�gelte Firewall-Regeln zum Annehmen, Weiterleiten, Ablehnen und Verweigern von Paket�bertragungen. Firewall-Regeln, die mit iptables implementiert wurden oder spezielle Hardware-Firewalls erm�glichen komplexe Routing- und Forwarding-Regeln, mit denen Administratoren eingehenden Verkehr an bestimmte Dienste an bestimmten Adressen und Ports segmentieren k�nnen. Lediglich dem LAN wird erlaubt, auf interne Dienste zuzugreifen, was wiederum IP-Spoofing verhindert. Weitere Informationen �ber das Implementieren von iptables finden Sie unter Kapitel 7.