Follow Techotopia on Twitter

On-line Guides
All Guides
eBook Store
iOS / Android
Linux for Beginners
Office Productivity
Linux Installation
Linux Security
Linux Utilities
Linux Virtualization
Linux Kernel
System/Network Admin
Programming
Scripting Languages
Development Tools
Web Development
GUI Toolkits/Desktop
Databases
Mail Systems
openSolaris
Eclipse Documentation
Techotopia.com
Virtuatopia.com
Answertopia.com

How To Guides
Virtualization
General System Admin
Linux Security
Linux Filesystems
Web Servers
Graphics & Desktop
PC Hardware
Windows
Problem Solutions
Privacy Policy

  




 

 

Linuxtopia - Red Hat Enterprise Linux Sicherheitshandbuch - Sichern von NIS

5.3. Sichern von NIS

NIS steht f�r Network Information Service. Es ist ein RPC-Dienst mit dem Namen ypserv, der zusammen mit portmap und anderen zugeh�rigen Diensten verwendet wird, um Informationen zu Benutzernamen, Passw�rtern und anderen empfindlichen Daten an jeden beliebigen Computer innerhalb dessen Domain weiterzugeben.

Ein NIS-Server besteht aus mehreren Applikationen, unter anderem:

  • /usr/sbin/rpc.yppasswdd — Auch yppasswdd-Dienst genannt. Dieser Daemon erm�glicht Benutzern, ihre NIS-Passw�rter zu �ndern.

  • /usr/sbin/rpc.ypxfrd — Auch ypxfrd-Dienst genannt. Dieser Daemon ist f�r den NIS-Map-Transfer �ber das Netzwerk verantwortlich.

  • /usr/sbin/yppush — Diese Applikation verbreitet ge�nderte NIS-Datenbanken an mehrere NIS-Server.

  • /usr/sbin/ypserv — Dies ist der NIS-Server-Daemon.

Im Vergleich zu heutigen Standards ist NIS als eher unsicher einzustufen. Es besitzt keine Host-Authentifizierungsmechanismen und �bertr�gt Informationen, einschlie�lich Passwort-Hashes, unverschl�sselt �ber das Netzwerk. Aus diesem Grund m�ssen Sie beim Einrichten eines Netzwerks mit NIS extreme Vorsicht walten lassen. Dadurch, dass die Standard-Konfiguration von NIS von Natur aus unsicher ist, wird die Angelegenheit noch weiter verkompliziert.

Es wird empfohlen, dass Sie, bevor Sie einen NIS-Server implementieren wollen, zuerst den portmap-Dienst wie unter Abschnitt 5.2 beschrieben sichern und dann weitere Angelegenheiten wie Netzwerkplanung angehen.

5.3.1. Planen Sie das Netzwerk sorgf�ltig

Da NIS empfindliche Informationen unverschl�sselt �ber das Netzwerk �bertr�gt, ist es wichtig, dass dieser Dienst hinter eine Firewall und auf einem segmentierten und sicheren Netzwerk ausgef�hrt wird. Jedes Mal, wenn NIS-Informationen �ber ein unsicheres Netzwerk �bertragen werden, wird das Abfangen von Daten riskiert. Hier kann ein sorgf�ltiges Design des Netzwerks schwerwiegende Sicherheitsbr�che verhindern.

5.3.2. Verwenden Sie Passwort-�hnliche NIS-Domainnamen und Hostnamen

Jede Maschine innerhalb einer NIS-Domain kann �ber bestimmte Befehle, ohne Authentifizierung, Informationen von einem Server extrahieren, solange der Benutzer den DNS-Hostnamen und den NIS-Domain-Namen des NIS-Servers kennt.

Wenn sich zum Beispiel jemand mit einem Laptop in das Netzwerk einklinkt oder von au�en ins Netzwerk eindringt (und es schafft, eine interne IP-Adresse vorzut�uschen), enth�llt der folgende Befehl die /etc/passwd-Map:

ypcat -d <NIS_domain> -h <DNS_hostname> passwd

Ist der Angreifer ein Root-Benutzer, kann dieser die Datei /etc/shadow durch folgenden Befehl einsehen:

ypcat -d <NIS_domain> -h <DNS_hostname> shadow

AnmerkungHinweis
 

Wenn Kerberos verwendet wird, wird die Datei /etc/shadow nicht innerhalb einer NIS-Map gespeichert.

Um den Zugang zu NIS-Maps f�r einen Angreifer zu erschweren, erstellen Sie einen zuf�lligen String f�r den DNS-Hostnamen, wie zum Beispiel o7hfawtgmhwg.domain.com. Erstellen Sie in gleicher Weise einen anderen, zufallsgenerierten NIS-Domain-Namen. Hierdurch wird es einem Angreifer erheblich erschwert, Zugang zum NIS-Server zu erhalten.

5.3.3. Bearbeiten Sie die Datei /var/yp/securenets

NIS h�rt alle Netzwerke ab, wenn die Datei /var/yp/securenets leer ist oder gar nicht existiert (dies ist z.B: nach einer Standard-Installation der Fall). Als erstes sollten Sie ein Netmask/Netzwerkpaar in der Datei hinterlegen, damit ypserv nur auf Anfragen des richtigen Netzwerks reagiert.

Unten finden Sie einen Beispieleintrag einer /var/yp/securenets-Datei:

255.255.255.0     192.168.0.0

WarnungAchtung
 

Sie sollten niemals einen NIS-Server zum ersten Mal starten, ohne vorher die Datei /var/yp/securenets erstellt zu haben.

Diese Methode sch�tzt nicht vor einer IP-Spoofing-Attacke, schr�nkt jedoch die Netzwerke, die von NIS bedient werden, zumindest ein.

5.3.4. Zuweisung von Static Ports und Verwendung von IPTables -Regeln

Jedem der zu NIS geh�renden Server kann ein bestimmter Port zugewiesen werden, mit Ausnahme von rpc.yppasswdd — dem Daemon, der Benutzern das �ndern ihrer Login-Passw�rter erlaubt. Indem Sie den anderen beiden NIS-Server-Daemons, rpc.ypxfrd und ypserv, Ports zuweisen, k�nnen Sie Firewall-Regeln erstellen, um die NIS-Server-Daemons noch mehr vor Eindringlingen zu sch�tzen.

Hierzu f�gen Sie die folgenden Zeilen zu /etc/sysconfig/network hinzu:

YPSERV_ARGS="-p 834"
YPXFRD_ARGS="-p 835"

Die folgenden IPTables-Regeln k�nnen erlassen werden, um festzulegen, welches Netzwerk der Server f�r diese Ports abh�ren soll:

iptables -A INPUT -p ALL -s! 192.168.0.0/24  --dport 834 -j DROP
iptables -A INPUT -p ALL -s! 192.168.0.0/24  --dport 835 -j DROP

TippTipp
 

Unter Kapitel 7 finden Sie weitere Informationen zum Errichten von Firewalls mit dem IPTables-Befehl.

5.3.5. Verwenden Sie Kerberos-Authentifizierung

Einer der gr��ten M�ngel beim Verwenden von NIS f�r Authentifizierung ist, dass wenn sich ein Benutzer an einem Computer anmeldet, ein Passwort-Hash der /etc/shadow-Map �ber das Netzwerk verschickt wird. Wenn ein Angreifer Zugang zu einer NIS-Domain erh�lt und Verkehr �ber das Netzwerk durchschn�ffelt, k�nnen Benutzernamen und Passwort-Hashes unbemerkt gesammelt werden. Mit gen�gend Zeit kann dann ein Passwort-Knack-Programm schwache Passw�rter ermitteln und ein Angreifer kann dann auf einen g�ltigen Account im Netzwerk zugreifen.

Da Kerberos Verschl�sselungen mit geheimen Schl�sseln einsetzt, werden niemals Passwort-Hashes �ber das Netzwerk versandt, was das System erheblich sicherer macht. Weitere Informationen �ber Kerberos finden Sie im Kapitel Kerberos im Red Hat Enterprise Linux Referenzhandbuch.

 
 
  Published under the terms of the GNU General Public License Design by Interspire