Sichere Campussoftwareverteilung
Udo Linauer, Georg Gollmann, Rudolf Sedlaczek
Einleitung
In einem größeren Datennetz wie dem TUNET muss mit Lauschangriffen (password
snooping) gerechnet werden. Da die Campussoftware-Passwörter nicht nur
zum Softwarebezug sondern auch zum Bestellen und z.T. zum Freigeben von
Lizenzen berechtigen, sollten sie nie unverschlüsselt über das Netz übertragen
werden. Für alle Belange der Campussoftwareverteilung stellt der Bereich
Institutsunterstützung entsprechende sichere Mechanismen zur Verfügung.
Aus Kompatibilitätsgründen bestehen auch noch die ungesicherten Zugänge;
von deren Verwendung wird aber abgeraten.
Lizenzverwaltung
Das Bestellen, Kontrollieren und Stornieren von Lizenzen erfolgt über einen
sicheren Webserver. Einstiegspunkte siehe:
http://swd.tuwien.ac.at/css/online.html
Der ungesicherte Webzugang zur Datenbank (http://swd.tuwien.ac.at/css/online_insecure.html) sollte gemieden werden.
Softwarebezug
-
Linux, Windows
Samba (Netbios über TCP) bietet die Möglichkeit, Passwörter
verschlüsselt zu übertragen, und ist damit auch aufgrund von Sicherheitsaspekten
dem FTP-Zugang überlegen.
Die Plattformen im einzelnen:
Windows NT 4.0:
Ab Service-Pack 3 verschlüsselte Passwörter. Zu finden unter:
http://gd.tuwien.ac.at/pc/winnt-fixes/
Windows 98:
Passwörter verschlüsselt!
Windows 95 A und Windows 95 B (OSR2 & OSR2.5):
Passwörter im Klartext! Mit
dem Patch Vrdrupd.exe wird die Verschlüsselung aktiviert. Siehe: ftp://ftp.microsoft.com/Softlib/MSLFILES/VRDRUPD.EXE
Linux (smbfs):
Passwörter verschlüsselt! Information z.B. unter: http://samba.sernet.de/linux-lan/
-
Macintosh
AppleShare überträgt die Passwörter verschlüsselt und ist daher
sowohl aus Sicherheits- als auch Funktionalitätsgründen dem FTP-Zugang
vorzuziehen.
-
OpenVMS
Der Zugriff auf die OpenVMS Campus-Software erfolgt am sichersten
und einfachsten mittels Remote File Access auf Basis des DECnet-Protokolls.
Die berechtigten Rechner und Benutzer werden in einer Proxy-Database am
OpenVMS-Server eingetragen, wodurch beim Abholen oder direkten Remote-Installieren
kein Klartext-Passwort über das Netzwerk geschickt wird.
-
Unix
Um auch für die UNIX-Clients einen Zugang zu ermöglichen, bei dem die
Passwörter nicht im Klartext über das Netz geschickt werden, ist seit kurzem
der Zugriff über secure http unter https://swd.tuwien.ac.at:8000/index.html möglich. Dabei werden nicht nur Benutzername
und Passwort, sondern die komplette Datenübertragung über SSL (secure socket
layer) verschlüsselt.
Wer bereit ist, sich weitergehend mit dem Thema zu
beschäftigen, sollte sich auch das Programm Sharity, einen von Mitarbeitern
der TU Wien entwickelten SMB-NFS-Umsetzer, ansehen, der Samba-Mounts für
eine Reihe von UNIX-Systemen, NEXTSTEP u.a. ermöglicht. Sharity sendet
Passwörter verschlüsselt. Siehe dazu: http://www.obdev.at/Products/Sharity.html.
Zum Inhaltsverzeichnis, Pipeline 26, Dezember 1998