% $Id: netbsd-a5-flyer-de-sicherheit.tex,v 1.1 2006/02/21 20:04:43 hubertf Exp $ % written by Stefan Schumacher, , 2006-01-08 % Die Urheberrechtshinweise dürfen nicht entfernt werden. \documentclass[9pt,a5paper]{article} \usepackage[pdftex]{graphicx} \usepackage{multicol} \usepackage[latin1]{inputenc} \usepackage[ngerman]{babel} \usepackage[nofancy]{rcsinfo} \usepackage{geometry} \geometry{margin=10mm} \setlength{\parindent}{0pt} % mySection \newcommand{\mySection}[1] {\begin{center}\large{\sffamily\bfseries #1}\end{center}} \begin{document} \pagestyle{empty} \begin{center} \includegraphics[scale=0.8]{head.jpg} \rule{\textwidth}{0.5pt} \end{center} \begin{multicols}{2} \mySection{NetBSD - Sicherheit frei Haus} Das NetBSD Projekt verfolgt den selben Ansatz zur Sicherheit wie auch zum restlichen System: \textit{Lösungen und keine Hacks.} Fragen zur Sicherheit werden bei NetBSD vom NetBSD Security Officer und dem NetBSD Security Alert Team behandelt. Neben der Untersuchung, dem Dokumentieren und dem Verbessern von Code bezüglich aktueller Sicherheitslücken beschäftigt sich das Team auch mit regelmäßigen Inspektionen des Codes um potentielle Sicherheitslücken zu finden und auszubessern. NetBSD hat Kerberos IV (KTH-KRB), Kerberos 5 (Heimdal) OpenSSH und IPSEC für IPv4 und IPv6 in das System mit aufgenommen. Zusätzlich sind alle Dienste prinzipiell von vornherein bei und nach der Installation abgeschaltet. \mySection{Sicherheitshinweise} Wenn ernsthafte Sicherheitsprobleme in NetBSD gefunden und verbessert werden, wird ein ,,Security Advisory`` veröffentlicht, daß das Problem beschreibt und einen Verweis auf die Lösung enthält. Diese Anweisungen werden im weiten Kreise angekündigt und auf der Projektseite archiviert. Das NetBSD-Projekt verwaltet eine Liste von bekannten Sicherheitslücken in Paketen die im Paketsystem vertreten sind. Weitere Informationen finden Sie auf http://www.netbsd.org/Security und tech-security@NetBSD.org. \mySection{File Flags und~\\ Kernel Security Level} File Flags ermöglichen es den Benutzern oder dem Administrator Dateien mit bestimmten ,,Flags´´ zu markieren und so vor Manipulationen zu schützen. Möglich sind etwas die Optionen \textit{sappnd} oder \textit{uappnd}, mit der Daten an Dateien nur mehr angehängt aber nicht mehr verändert werden dürfen. Markiert man eine Datei als \textit{schg}, kann sie überhaupt nicht mehr verändert werden. Kernel Security Levels schränken bestimmte Systemfunktionen ein und ermöglichen den Einsatz von File Flags. Hat man z.\/B. Level 2 aktiviert, sind alle Datenträger nur-lesbar verfügbar und können nicht mehr ein- oder ausgemountet werden. Der TCP/IP-Filter kann nicht mehr verändert werden, und die Systemzeit lässt sich nur noch vor- nicht aber zurückstellen. \mySection{Dateimanipulationen erkennen} mtree ist ein Instrument um eine Dateihierarchie gegen eine Spezifikation abzugleichen. Eingesetzt wird es vor allem um installierte Binärdateien gegen eine vorher spezifizierte Liste abzugleichen. Ähnlich tripwire oder AIDE, kann man mtree dazu verwenden Manipulationen an Dateien aufzudecken. Dazu erstellt man einen Fingerabdruck eines Dateisystems, in dem Informationen zu den Dateien (Prüfsummen, Zugriffsrechte) abgelegt werden. Dieser Fingerabdruck kann dann gegen das laufende System abgeglichen werden und deckt so Veränderungen an Dateien (bspw. Würmer, Rootkits oder ähnliches) zuverlässig auf. \mySection{Trojaner aussperren} Der NetBSD-Kernel unterstützt ,,verified executable``, ein System um manipulierte Binärdateien an der Ausführung zu hindern. Hierzu wird eine Prüfsumme der Binärdateien angelegt und vom Kernel beim Aufruf der Datei mit den aktuellen Daten verglichen. Wurde die Binärdatei verändert (bspw. von einem Wurm, Rootkit oder Einbrecher), verweigert der Kernel die Ausführung des Systems. \mySection{Partitionen verschlüsseln} Mit cgd kann man beliebige Partitionen (außer / selbst) auf Blockebene verschlüsseln. Ohne Angabe des Passworts hat Niemand, auch nicht root oder jemand mit physikalischem Zugriff auf die Festplatte, eine Chance an die Daten heranzukommen. Mit cgd kann man auch die Swap- und Temp-Partition verschlüsseln, um zu verhindern daß dort geheime Daten öffentlich werden. \mySection{System Calls kontrollieren} Niels Provos' systrace erlaubt es eine Policy zu erstellen, mit der man einzelne Syscalls eines Programms kontrollieren kann. So ist es bspw. möglich, Apache von einem normalen Benutzer aus zu starten, weil dieser Benutzer via systrace Apache an den Port 80 binden darf - so daß Apache selbst nicht mehr mit Root-Rechten läuft. \mySection{Tägliche Sicherheitsüberprüfung} Die beiden Shellskripte \texttt{/etc/daily} und \texttt{/etc/security} erlauben es das gesamte System auf Sicherheitslücken hin zu untersuchen. Sie können nächtlich von cron gestartet werden und generieren einen umfassenden Bericht zu Sicherheitsproblemen. \mySection{Software auf ~\\ Sicherheitslücken prüfen} Durch das \textit{audit-packages}-Paket kann eine vom Projekt gepflegte Liste mit Sicherheitslücken heruntergeladen werden und mit dem System verglichen werden. Es werden so alle Pakete mit Sicherheitsproblemen aufgelistet und können dementsprechend aktualisiert werden. \mySection{Paketfilter} Mit IPFilter und pf unterstützt NetBSD im Basissystem zwei ausgereifte Paketfilter für IP-Pakete, die jedes NetBSD-System zur ausgereiften und stabilen Firewall befähigen. \mySection{Umfangreiche Sicherheitspakete} Mit pkgsrc lassen sich problemlos viele der ausgereiftesten und wichtigsten Sicherheitspakete installieren. Dazu gehören u.a. snort, AIDE, Tripwire, CFS, chkrootkit, Nessus, Amap, GnuPG und honeyd. \end{multicols} % % Footer % \rcsInfo $Id: netbsd-a5-flyer-de-sicherheit.tex,v 1.1 2006/02/21 20:04:43 hubertf Exp $ \scriptsize Revision \rcsInfoRevision\ \rcsInfoYear-\rcsInfoMonth-\rcsInfoDay. Alle Rechte vorbehalten. Erstellt von Stefan Schumacher \texttt{} % Die Urheberrechtshinweise dürfen nicht entfernt werden. % \end{document}