Netz- und Systemsicherheit
Georg Gollmann, Andreas Klauda, Ingmar Jaitner
Die Agenden des Bereichs Netz- und Systemsicherheit sind in die Abteilung
Standardsoftware eingegliedert worden. Dieser Artikel beschreibt die organisatorischen
Änderungen sowie die neuen Webseiten und gibt Tipps zur Vermeidung von
Sicherheitsproblemen.
Organisatorische Änderungen
Durch die Karenzierung von Udo Linauer kam es im Bereich Netz- und Systemsicherheit
zu personellen Änderungen. Die Koordination des Bereiches, die Security
Policy und die Ausgabe von Zertifikaten wurden von Herrn Gollmann übernommen.
Unser neuer Mitarbeiter Ingmar Jaitner betreut die laufende Überwachung
(Intrusion Detection System) und die Reparatur von gehackten Rechnern.
Die anderen Themen (Viren, Firewall, Spam) bleiben in den bewährten Händen.
Bitte verwenden Sie aber für Kontaktaufnahmen immer die offizielle E-Mail-Adresse
security@tuwien.ac.at.
Besuchen Sie auch unsere neu gestalteten Webseiten auf www.zid.tuwien.ac.at/security/
Security Policy
Die im Jahr 2000 vom Kollegen Udo Linauer entworfene Security Policy hat
sich gut bewährt, sodass bei der turnusmäßigen Überarbeitung nur die Formatierung
angepasst wurde, um die einzelnen Abschnitte besser referenzieren zu können
(www.zid.tuwien.ac.at/security/policies/).
Authentifizierungsservice
Der ZID betreibt seit einigen Jahren einen Authentifizierungsdienst auf
Basis der White Pages Passworte. Die Implementierung entspricht aber nicht
mehr den heutigen Sicherheitsanforderungen. Deshalb wird dieser Dienst
auf eine neue Basis gestellt, die in einem eigenen Artikel vorgestellt
wird.
Neugestaltung der Webseiten
www.zid.tuwien.ac.at/security/
Auf den neu gestalteten Webseiten finden Sie neben aktuellen Informationen
über Viren und Sicherheitsrisiken auch Links zu wichtigen Seiten, sowie
nützliche Freeware und Kontaktadressen der verschiedenen Abteilungen.
Virenstatistik
Ebenfalls neu im Web gibt es eine tagesaktuelle Statistik über die von
unserem zentralen Mailscanner gefundenen Viren (www.zid.tuwien.ac.at/security/viren_stat.php).
Virenstatistik August 2002
Anzahl verschiedene Viren: 49,
Anzahl gefundener Viren: 20614
Test-Zertifizierungsstelle
Seit einigen Jahren sind digitale Signaturen und Zertifikate ein vieldiskutiertes
Thema. Der ZID hat deshalb eine Test-Zertifizierungsstelle eingerichtet.
Weitere Informa- tionen finden Sie auf unserer Webseite unter dem Punkt
Zertifikate (www.zid.tuwien.ac.at/security/zertifikate.php) Bislang hat
nur die Ausgabe von Serverzertifikaten für gesicherte Webserver (https)
Bedeutung erlangt.
Allgemeine Sicherheitstipps
Weiters möchten wir unsere Erfahrungen mit Sicherheitsproblemen (Hackerattacken,
Virenverseuchung etc.) und den Gebrauch von geeigneten Gegenmaßnahmen publizieren.
Die Abteilung Standardsoftware bietet auch umfangreiche Hilfe in Form von
Plattformunterstützung für Server und Arbeitsplätze an (sts.tuwien.ac.at/pss/).
Durch das immer schnellere Bekanntwerden von Sicherheitslücken, welche
die Hacker ausnutzen, ist ein möglichst schnelles Installieren von Patches
notwendig. Derzeit geht man davon aus, dass, wenn eine Sicherheitslücke
bekannt wird, man innerhalb von 48 Stunden einen Patch einspielen sollte,
um die Sicherheit zu gewährleisten.
Der beste Beitrag zur Sicherheit ist sicherlich die Prävention, denn wenn
ein Rechner einmal gehackt ist, bedeutet dies meistens eine Neuinstallation.
Um das zu vermeiden, hier ein paar Tipps:
-
Keine offenen Dienste ohne Passwörter oder default Passwörter, installieren
Sie nur die Dienste auf dem Rechner, die wirklich benötigt werden.
-
Keine unsicheren Logins per Telnet, sondern verwenden Sie SSH.
-
Halten Sie diese Dienste immer auf dem neuesten Versionsstand.
-
Bei Windows Clients: installieren Sie immer Virenscanner und auch Trojanerscanner
(am besten mit Internet-Update-Funktion). Keinesfalls ersetzt der zentrale
Mail-scanner solche Software mit aktuellen Virendefinitionen.
-
Bei Neuinstallation: Checksummen aller Programme auf ein externes Medium
speichern (bei Änderungen diese Daten auf dem externen Medium aktualisieren).
-
Speichern Sie Logfiles auch auf einen externen Rechner, da Hacker auf dem
angegriffenen Rechner meist ihre Spuren verwischen.
Hinweise zur Benützung von File Sharing Tools und zu Spyware finden Sie
in einem eigenen Artikel.
Windows 2000/XP Security
Obwohl viele Security-Probleme der Vorgängerversionen 95/98 und NT unter
Windows 2000 und XP gelöst worden sind, gibt es doch ein paar Tipps, deren
Berücksichtigung auch Windows 2000/XP sicherer machen können.
Generell ist zu bemerken, dass ein Arbeitsplatzrechner im Gegensatz zu
Servern keine Dienste zur Verfügung stellen sollte, d. h. Fileserver-Dienste
und Web-server-Dienste usw. sollten auf dedizierten Servern zur Verfügung
gestellt werden. Die Verwendung von Windows 2000 Professional (der Windows
2000 Workstation- Variante) anstelle der Windows 2000 Server (die automatisch
auch den Internet Information Server mit installieren und der ohne Patches
ein Problem darstellt) wird dringendst empfohlen.
Ein weiterer Punkt ist die Zugänglichkeit der Registry. Damit die Registry
nur lokalen Usern zugänglich ist, sollte ein Wert mit Hilfe des Programms
Regedt32 (findet man üblicherweise in \WinNT\ system32\) geändert werden:
Einen Schlüssel RestrictAnonymous unter System\ ControlSet001\Control\Lsa\
generieren und mit Typ REG_DWORD den Wert 2 setzen. Damit ist die Registry
von außen nicht mehr erreichbar.
Um den Administrator Account vor Password Cracking zu schützen, ist es
möglich, den originalen Account des Administrators auf einen anderen Namen
umzubenennen. Dann einen neuen, falschen Administrator Account mit Namen
Administrator einrichten, der keiner Gruppe zugeordnet werden darf.
Auch das Setzen von Sicherheitsrichtlinien ist möglich, standardmäßig sind
sie in der Voreinstellung sehr weit gesetzt. Die Sicherheitsrichtlinien
finden Sie in der Systemsteuerung im Untermenü Verwaltung unter dem Eintrag
"lokale Sicherheitsrichtlinien".
Hier einige nützliche Einstellungen:
-
Bei der Kontosperre-Richtlinie die Kontosperrungsschwelle auf 5 ungültige
Logins setzen.
-
Bei der Überwachungs-Richtlinie sollten Sie folgende Werte einstellen:
Beim
Eintrag "Anmeldeversuche überwachen" die erfolgreichen Anmeldeversuche
protokollieren lassen, unter dem Punkt "Anmeldeereignisse überwachen" sowohl
die erfolgreichen als auch die fehlgeschlagenen Ereignisse protokollieren
lassen.
-
Unter "Kontenverwaltung überwachen" die fehlgeschlagenen Ereignisse protokollieren
lassen.
Danach sollten Sie regelmäßig die Ereignisprotokolle lesen, die Sie ebenfalls
in der Systemsteuerung im Menüpunkt Verwaltung, Eintrag "Ereignisanzeige"
finden.
Derzeit ist das Service Pack 3 für Windows 2000 verfügbar. Es ist nützlich,
dieses gleich anschließend nach einer Windows 2000 Installation einzuspielen.
Für Windows XP gibt es zusätzlich zum Servicepack 1 von Microsoft das Freeware
Tool xp-AntiSpy (www.xpantispy.de), das Einstellungen am System vornimmt
und unerwünschte Dienste deaktiviert. Die Änderungen können auch jederzeit
wieder rückgängig gemacht werden.
Seitenanfang | ZIDline 7 - Oktober 2002 | ZID | TU Wien