Sie sind hier: Produkte » Sonstige Dienste » Security » Empfehlungen

Sicherheitsempfehlungen der BelWü-Koordination

Folgende Beschreibungen von Risiken und geeigneten Maßnahmen wenden sich an die Nutzer von Internetdiensten und sollen einer erhöhten Sicherheit der Internetnutzung und des Hochschulnetzes dienen.

 

  • Klartextpasswörter bei Telnet, FTP, POP und IMAP

    Das Risiko der Übermittlung von Passwörtern im Klartext bei Telnet und FTP ergibt sich dadurch, dass gemeinsam genutzte Medien wie Ethernet das Abhören durch Dritte ermöglichen. Mit diesen Passwörtern kann dann problemlos in die betreffenden Rechner eingebrochen werden, dort können (bei UNIX-Rechnern) durch oft vorhandene lokale Sicherheitslöcher Root-Rechte erlangt werden.

    Das Risiko der Übermittlung von Passwörtern im Klartext bei POP und IMAP ist geringer als bei Telnet und FTP, da hierbei ''nur'' die Mailbox kompromittiert wird. Das Risiko wird allerdings dadurch erhöht, dass teilweise für login und Mailbox dasselbe Passwort verwendet wird.

    Es sollten daher anstelle von Telnet, FTP, POP und IMAP verschlüsselte Techniken wie ssh, scp, IPSec, POP3S und IMAPS eingesetzt werden.

  • unverschlüsselte Mail

    Das Risiko von unverschlüsselten Mailinhalten ergibt sich dadurch, dass die Mail auf den durchlaufenden Mailrelays von dortigen Verwaltern unbefugt eingesehen und verändert werden kann. Außerdem kann die Mail auf dem System des Endnutzers ebenfalls von Unbefugten einsehbar sein. Vertrauliche Mails sollten daher mittels PGP verschlüsselt werden. Diese Maßnahme hilft zudem bei der sicheren Authentifizierung des Mailabsenders.

  • Gefahr von Mailattachments

    Das Risiko von Mailattachments, die z. B. in der Standardkonfiguration vom MS Outlook automatisch geöffnet und ausgeführt werden, ist nicht unerheblich: Attachments können ausführbaren, bösartigen Code enthalten. Durch das OLE-Konzept von Microsoft Betriebssystemen kann dieser Code beim Öffnen des Attachments ausgeführt werden und das betroffene System kompromittieren. Nach diesem Prinzip arbeiten die meisten derzeit in Umlauf befindlichen Viren, Würmer und trojanischen Pferde. Zu den unmittelbaren Folgen der Kompromittierung des betroffenen Systems kommen häufig die nicht unerheblichen mittelbaren Folgen, die durch die Weiterverbreitungsfunktion, v. a. in Internetwürmern, verursacht werden. Erhebliche Belastung, mitunter sogar Überlastung der Mail-Infrastruktur (siehe hierzu die Folgen des ''I LOVE YOU''-Wurmes, der ganze Firmennetzwerke lahmlegte) können die Folge sein.

    Daher sollten ausführbare Attachments nur vorsichtig verwendet werden und vorher durch einen Virenscanner geprüft werden.

  • Gefahr von Active-X, JavaScript und Java

    Das Risiko von Active-X, JavaScript und Ähnlichem (''Active Scripting'') ergibt sich aus der inhärenten fehlenden Sicherheit sowie aus der Vielzahl von Webseiten, die das Aktivieren z. B. von JavaScript erfordern. Im Schadensfall kann der Rechner z. B. mit einem trojanischen Pferd (beispielsweise back orifice) infiziert und damit kompromittiert werden. Grösser noch ist bei aktiven Inhalten die Gefahr der Ausspähung des angegriffenen Rechners durch bösartigen Scriptcode und die Erlangung wichtiger Daten. Bevorzugtes und leichtes Ziel sind in einem solchen Fall Authentifizierungsdaten, die Zugang zum angegriffenen sowie eventuell weiteren Rechnern erlauben. Dieses Risiko stellt eine Besonderheit dar, da der Angreifer selbst nicht aktiv zu werden braucht. Active-X stellt aufgrund seiner Integration in das Microsoft Betriebssystem eine grössere Gefahr dar als JavaScript.

    Das Risiko von Java ist im Vergleich zu Active-X aufgrund der eingebauten Sicherheit geringer. Prinzipiell sind ähnliche Angriffe wie bei JavaScript möglich, aber i. A. nur bei fehlerhafter Implementierung der JVM (Java Virtual Machine) ausführbar. Fehler in deren Implementierung treten allerdings nicht selten auf.

    Daher sollten Active-X und Java möglichst nicht eingesetzt werden, d. h. entweder im Firewall ausgefiltert oder im Browser deaktiviert werden. Ggf. können Ausnahmen definiert werden, d. h. Active-X bzw. Java zu wichtigen/vertrauenswürdigen Webadressen zuzulassen.


  • schwache/gemeinsame Passwörter

    Das Risiko von schwachen und/oder gemeinsamen Passwörtern besteht darin, dass ein Angreifer durch bloßes Probieren Zugang zu einem System erlangen kann. Zudem können passwd-Dateien unter UNIX bei schwachen Passwörtern ermittelt werden. Bei gemeinsamen Passwörtern besteht die Gefahr, dass diese zu lange beibehalten werden und bei Einbrüchen die Quelle schlecht verfolgbar ist.

    Folgendes muss bei Passwörtern beachtet werden:

    • Sammelnutzeraccounts, bei denen mehrere Nutzer dasselbe Passwort haben, sind nicht zulässig
    • Passwörter regelmässig wechseln
    • Passwörter wählen, die in keinem Lexikon stehen
    • 6 - 8 Zeichen (Buchstaben, Zahlen, Sonderzeichen)

    Hilfreich zum Merken sind die ersten Buchstaben eines leicht zu merkenden Satzes, z. B. "Der Ball ist rund, Sepp Herberger" = DBir,SH

    cdl.niedersachsen.de/blob/images/C467521_L20.pdf

  • Gefahr von Hintertüren ins geschützte LAN (Modemeinwahl z. B.)

    Das Risiko der Kompromittierung des Firewallschutzes durch Modemeinwahl o. ä. ist sehr hoch. Daher sollten solche Zugänge nur über die dafür vorgesehenen Einwahlknoten der zuständigen Rechenzentren erfolgen und keinesfalls diese umgehen. Die Rechner zuhause sollten durch ein Virencheckprogramm und einen Personal Firewall geschützt sein. Bei sicherheitskritischen Zielen im LAN der Hochschule sollten für die SSH Verbindung Einmalpasswörter verwendet werden.

  • keine internen sicherheitsrelevanten Informationen unbedarft weitergeben

    Das Risiko der Erlangung von internen Informationen (''social engineering'') durch einen Angreifer, um damit in ein System einzubrechen, ist in einer eher offenen Arbeitsumgebung wie einer Hochschule nicht unerheblich. Hochschulangehörige sollten daher z. B. bei telefonischen Anfragen zurückhaltend bezüglich sicherheitsrelevanter Informationen sein.

  • Gefahr von ungepflegten Servern/Arbeitsplatzrechnern

    Das Risiko von ungepflegten Systemen/Anwendungen ergibt sich durch die zunehmenden Angriffsmöglichkeiten aufgrund von Softwaremängeln (z. B. Fehler im BIND, WU-FTP, mountd, sadmind, sendmail, imapd, qpopper, rpc.statd, rpc.ttdbserverd, rpc.cmsd, IIS oder CGI-Skripten). Ein bereits kompromittierter Rechner kann trotz einer moderat restriktiven Firewall (Durchlässigkeit für ICMP, SSH, ident, SAFT) sehr einfach von außen gesteuert werden, indem z. B. über ICMP ein Tunnel aufgebaut oder ein freigeschalteter Port für das ''Fernsteuerprotokoll'' zweckentfremdet wird. Das Risiko von ungepflegten Arbeitsplatzrechnern ergibt sich ähnlich wie bei den Servern, indem Sicherheitslöcher im Betriebssystem zwar bekannt, aber nicht oder zu spät beseitigt werden. Wenn Arbeitsplatzrechner (wie in der Regel) nicht zentral gewartet werden, werden diese Sicherheitslöcher oftmals nicht beseitigt. Wenn auf dem Arbeitsplatzrechner eingebrochen und ein Trojanisches Pferd installiert wurde, wird dies oftmals nicht bemerkt.

    Es ist daher wesentlich, sicherheitsrelevante Patches baldmöglichst einzuspielen. Bei Arbeitsplatzrechnern kann eine Personal Firewall-Software sinnvoll sein. Beim einem Server sind darüberhinaus folgende Maßnahmen auf Machbarkeit zu prüfen:

    • IP Filter
    • SSH Zugang anstelle von Telnet
    • kein FTP-Zugang (Ausnahme: Anonymous FTP)
    • keine Nutzeraccounts
    • Accounts von ausscheidenden Mitarbeitern umgehend deaktivieren
    • Online Warnung, dass der Zugang nicht erlaubt ist (damit gefasste Hacker bei Bedarf bestraft werden können)
    • Verfolgung von relevanten Sicherheitsgruppen
    • umgehendes Einspielen von Sicherheitspatches
    • unnötige Dienste abstellen, Minimal-Betriebssystem
    • Server-Prozesse unprivilegiert betreiben, wenn möglich
    • keine anonyme Schreib-Benutzungsmöglichkeit von Services
    • regelmässige Integritätskontrolle des File-Systems (z. B. tripwire)
    • alle Services müssen Logfiles schreiben, dabei Bundesdatenschutzgesetz beachten
    • Log-Dateien überwachen
    • regelmässige Backups und periodische Testrestaurationen
    • postmaster@servername und andere roles account nach RFC 2142 müssen erreichbar sein und auf Anfragen reagieren
    • alle Services müssen RFC konform sein, insbesondere was Fehlermeldungen betrifft
    • kompromittierte Maschinen müssen neu installiert werden
    • Vertretung des System-Administrators muss geregelt sein

  • Gefahr von Software, die nicht im Quellcode vorliegt

    Das Risiko von Software, die nicht im Quellcode vorliegt, ergibt sich aus absichtlich oder unabsichtlich eingebauten Sicherheitslöchern, sowie aus der normalerweise längeren Zeit, bis entdeckte Sicherheitslöcher beseitigt werden. Es sollte daher der Einsatz von Software mit Quellcode geprüft werden.