Netz- und Systemsicherheit

Georg Gollmann, Andreas Klauda, Ingmar Jaitner

Die Agenden des Bereichs Netz- und Systemsicherheit sind in die Abteilung Standardsoftware eingegliedert worden. Dieser Artikel beschreibt die organisatorischen Änderungen sowie die neuen Webseiten und gibt Tipps zur Vermeidung von Sicherheitsproblemen.

Organisatorische Änderungen

Durch die Karenzierung von Udo Linauer kam es im Bereich Netz- und Systemsicherheit zu personellen Änderungen. Die Koordination des Bereiches, die Security Policy und die Ausgabe von Zertifikaten wurden von Herrn Gollmann übernommen. Unser neuer Mitarbeiter Ingmar Jaitner betreut die laufende Überwachung (Intrusion Detection System) und die Reparatur von gehackten Rechnern. Die anderen Themen (Viren, Firewall, Spam) bleiben in den bewährten Händen.

Bitte verwenden Sie aber für Kontaktaufnahmen immer die offizielle E-Mail-Adresse security@tuwien.ac.at.

Besuchen Sie auch unsere neu gestalteten Webseiten auf www.zid.tuwien.ac.at/security/

Security Policy

Die im Jahr 2000 vom Kollegen Udo Linauer entworfene Security Policy hat sich gut bewährt, sodass bei der turnusmäßigen Überarbeitung nur die Formatierung angepasst wurde, um die einzelnen Abschnitte besser referenzieren zu können (www.zid.tuwien.ac.at/security/policies/).

Authentifizierungsservice

Der ZID betreibt seit einigen Jahren einen Authentifizierungsdienst auf Basis der White Pages Passworte. Die Implementierung entspricht aber nicht mehr den heutigen Sicherheitsanforderungen. Deshalb wird dieser Dienst auf eine neue Basis gestellt, die in einem eigenen Artikel vorgestellt wird.

Neugestaltung der Webseiten

Security

www.zid.tuwien.ac.at/security/

Auf den neu gestalteten Webseiten finden Sie neben aktuellen Informationen über Viren und Sicherheitsrisiken auch Links zu wichtigen Seiten, sowie nützliche Freeware und Kontaktadressen der verschiedenen Abteilungen.

Virenstatistik

Ebenfalls neu im Web gibt es eine tagesaktuelle Statistik über die von unserem zentralen Mailscanner gefundenen Viren (www.zid.tuwien.ac.at/security/viren_stat.php).

Virenstatistik August 2002
Anzahl verschiedene Viren: 49, Anzahl gefundener Viren: 20614

Test-Zertifizierungsstelle

Seit einigen Jahren sind digitale Signaturen und Zertifikate ein vieldiskutiertes Thema. Der ZID hat deshalb eine Test-Zertifizierungsstelle eingerichtet. Weitere Informa- tionen finden Sie auf unserer Webseite unter dem Punkt Zertifikate (www.zid.tuwien.ac.at/security/zertifikate.php) Bislang hat nur die Ausgabe von Serverzertifikaten für gesicherte Webserver (https) Bedeutung erlangt.

Allgemeine Sicherheitstipps

Weiters möchten wir unsere Erfahrungen mit Sicherheitsproblemen (Hackerattacken, Virenverseuchung etc.) und den Gebrauch von geeigneten Gegenmaßnahmen publizieren. Die Abteilung Standardsoftware bietet auch umfangreiche Hilfe in Form von Plattformunterstützung für Server und Arbeitsplätze an (sts.tuwien.ac.at/pss/).

Durch das immer schnellere Bekanntwerden von Sicherheitslücken, welche die Hacker ausnutzen, ist ein möglichst schnelles Installieren von Patches notwendig. Derzeit geht man davon aus, dass, wenn eine Sicherheitslücke bekannt wird, man innerhalb von 48 Stunden einen Patch einspielen sollte, um die Sicherheit zu gewährleisten.

Der beste Beitrag zur Sicherheit ist sicherlich die Prävention, denn wenn ein Rechner einmal gehackt ist, bedeutet dies meistens eine Neuinstallation. Um das zu vermeiden, hier ein paar Tipps:

Keine offenen Dienste ohne Passwörter oder default Passwörter, installieren Sie nur die Dienste auf dem Rechner, die wirklich benötigt werden.
Keine unsicheren Logins per Telnet, sondern verwenden Sie SSH.
Halten Sie diese Dienste immer auf dem neuesten Versionsstand.
Bei Windows Clients: installieren Sie immer Virenscanner und auch Trojanerscanner (am besten mit Internet-Update-Funktion). Keinesfalls ersetzt der zentrale Mail-scanner solche Software mit aktuellen Virendefinitionen.
Bei Neuinstallation: Checksummen aller Programme auf ein externes Medium speichern (bei Änderungen diese Daten auf dem externen Medium aktualisieren).
Speichern Sie Logfiles auch auf einen externen Rechner, da Hacker auf dem angegriffenen Rechner meist ihre Spuren verwischen.

Hinweise zur Benützung von File Sharing Tools und zu Spyware finden Sie in einem eigenen Artikel.

Windows 2000/XP Security

Obwohl viele Security-Probleme der Vorgängerversionen 95/98 und NT unter Windows 2000 und XP gelöst worden sind, gibt es doch ein paar Tipps, deren Berücksichtigung auch Windows 2000/XP sicherer machen können.

Generell ist zu bemerken, dass ein Arbeitsplatzrechner im Gegensatz zu Servern keine Dienste zur Verfügung stellen sollte, d. h. Fileserver-Dienste und Web-server-Dienste usw. sollten auf dedizierten Servern zur Verfügung gestellt werden. Die Verwendung von Windows 2000 Professional (der Windows 2000 Workstation- Variante) anstelle der Windows 2000 Server (die automatisch auch den Internet Information Server mit installieren und der ohne Patches ein Problem darstellt) wird dringendst empfohlen.

Ein weiterer Punkt ist die Zugänglichkeit der Registry. Damit die Registry nur lokalen Usern zugänglich ist, sollte ein Wert mit Hilfe des Programms Regedt32 (findet man üblicherweise in \WinNT\ system32\) geändert werden:
Einen Schlüssel RestrictAnonymous unter System\ ControlSet001\Control\Lsa\ generieren und mit Typ REG_DWORD den Wert 2 setzen. Damit ist die Registry von außen nicht mehr erreichbar.

Um den Administrator Account vor Password Cracking zu schützen, ist es möglich, den originalen Account des Administrators auf einen anderen Namen umzubenennen. Dann einen neuen, falschen Administrator Account mit Namen Administrator einrichten, der keiner Gruppe zugeordnet werden darf.

Auch das Setzen von Sicherheitsrichtlinien ist möglich, standardmäßig sind sie in der Voreinstellung sehr weit gesetzt. Die Sicherheitsrichtlinien finden Sie in der Systemsteuerung im Untermenü Verwaltung unter dem Eintrag "lokale Sicherheitsrichtlinien".

Hier einige nützliche Einstellungen:

Bei der Kontosperre-Richtlinie die Kontosperrungsschwelle auf 5 ungültige Logins setzen.
Bei der Überwachungs-Richtlinie sollten Sie folgende Werte einstellen:
Beim Eintrag "Anmeldeversuche überwachen" die erfolgreichen Anmeldeversuche protokollieren lassen, unter dem Punkt "Anmeldeereignisse überwachen" sowohl die erfolgreichen als auch die fehlgeschlagenen Ereignisse protokollieren lassen.
Unter "Kontenverwaltung überwachen" die fehlgeschlagenen Ereignisse protokollieren lassen.

Danach sollten Sie regelmäßig die Ereignisprotokolle lesen, die Sie ebenfalls in der Systemsteuerung im Menüpunkt Verwaltung, Eintrag "Ereignisanzeige" finden.

Derzeit ist das Service Pack 3 für Windows 2000 verfügbar. Es ist nützlich, dieses gleich anschließend nach einer Windows 2000 Installation einzuspielen.

Für Windows XP gibt es zusätzlich zum Servicepack 1 von Microsoft das Freeware Tool xp-AntiSpy (www.xpantispy.de), das Einstellungen am System vornimmt und unerwünschte Dienste deaktiviert. Die Änderungen können auch jederzeit wieder rückgängig gemacht werden.

Seitenanfang | ZIDline 7 - Oktober 2002 | ZID | TU Wien