Sichere Campussoftwareverteilung

Udo Linauer, Georg Gollmann, Rudolf Sedlaczek

Einleitung

In einem größeren Datennetz wie dem TUNET muss mit Lauschangriffen („password snooping“) gerechnet werden. Da die Campussoftware-Passwörter nicht nur zum Softwarebezug sondern auch zum Bestellen und z.T. zum Freigeben von Lizenzen berechtigen, sollten sie nie unverschlüsselt über das Netz übertragen werden. Für alle Belange der Campussoftwareverteilung stellt der Bereich Institutsunterstützung entsprechende sichere Mechanismen zur Verfügung. Aus Kompatibilitätsgründen bestehen auch noch die ungesicherten Zugänge; von deren Verwendung wird aber abgeraten.

Lizenzverwaltung

Das Bestellen, Kontrollieren und Stornieren von Lizenzen erfolgt über einen sicheren Webserver. Einstiegspunkte siehe:

http://swd.tuwien.ac.at/css/online.html

Der ungesicherte Webzugang zur Datenbank (http://swd.tuwien.ac.at/css/online_insecure.html) sollte gemieden werden.

Softwarebezug

• Linux, Windows
  Samba (Netbios über TCP) bietet die Möglichkeit, Passwörter verschlüsselt zu übertragen, und ist damit auch aufgrund von Sicherheitsaspekten dem FTP-Zugang überlegen.
  Die Plattformen im einzelnen:

• Windows NT 4.0:
Ab Service-Pack 3 verschlüsselte Passwörter. Zu finden unter: http://gd.tuwien.ac.at/pc/winnt-fixes/

• Windows 98:
Passwörter verschlüsselt!

• Windows 95 A und Windows 95 B (OSR2 & OSR2.5):
Passwörter im Klartext! Mit dem Patch „Vrdrupd.exe“ wird die Verschlüsselung aktiviert. Siehe: ftp://ftp.microsoft.com/Softlib/MSLFILES/VRDRUPD.EXE

• Linux (smbfs):
Passwörter verschlüsselt! Information z.B. unter: http://samba.sernet.de/linux-lan/

• Macintosh
  AppleShare überträgt die Passwörter verschlüsselt und ist daher sowohl aus Sicherheits- als auch Funktionalitätsgründen dem FTP-Zugang vorzuziehen.
• OpenVMS
  Der Zugriff auf die OpenVMS Campus-Software erfolgt am sichersten und einfachsten mittels Remote File Access auf Basis des DECnet-Protokolls. Die berechtigten Rechner und Benutzer werden in einer Proxy-Database am OpenVMS-Server eingetragen, wodurch beim Abholen oder direkten Remote-Installieren kein Klartext-Passwort über das Netzwerk geschickt wird.
• Unix
  Um auch für die UNIX-Clients einen Zugang zu ermöglichen, bei dem die Passwörter nicht im Klartext über das Netz geschickt werden, ist seit kurzem der Zugriff über „secure http“ unter https://swd.tuwien.ac.at:8000/index.html möglich. Dabei werden nicht nur Benutzername und Passwort, sondern die komplette Datenübertragung über SSL (secure socket layer) verschlüsselt.
  
  Wer bereit ist, sich weitergehend mit dem Thema zu beschäftigen, sollte sich auch das Programm „Sharity“, einen von Mitarbeitern der TU Wien entwickelten SMB-NFS-Umsetzer, ansehen, der Samba-Mounts für eine Reihe von UNIX-Systemen, NEXTSTEP u.a. ermöglicht. „Sharity“ sendet Passwörter verschlüsselt. Siehe dazu: http://www.obdev.at/Products/Sharity.html.