Einleitung
Wer die Security-Meldungen der einschlägigen IT-Webseiten verfolgt wird schnell feststellen: Die Zeit der so genannten Skriptkiddies ist vorbei. Die Cyberkriminellen von heute werden immer professioneller und organisieren sich immer besser. Einer der Gründe für diesen Wandel liegt vor allem in der zunehmenden kommerziellen Nutzung des Internets, wodurch immer größere Summen durch Cyberkriminalität lukriert werden können.
Ein Thema in diesem Kontext sind so genannte Bot-Netzwerke und die durch sie möglichen Denial-of-Service-Angriffe. Bei Bot-Netzwerken handelt es sich um einen losen Verbund von Rechnern, die mit entsprechender Schadsoftware infiziert wurden und anschließend unter der Kontrolle eines Command-and-Control-Servers stehen. Durch den C&C-Server können nun alle Rechner eines Bot-Netzwerkes angewiesen werden, zeitgleich wiederholte Male auf eine Webseite zuzugreifen. Durch diese schiere Masse an Anfragen kann die angegriffene Webseite zusammenbrechen und im Internet nicht mehr erreichbar sein. Da dies einen großen Geschäftsentgang für die Betreiber angegriffener Webseiten bedeuten kann, sind diese oftmals bereit, „Lösegeld“ an Cyberkriminelle zu zahlen, um von derartigen Angriffen verschont zu bleiben.
Was hat das alles mit mir zu tun?
Durch die Verbreitung von Breitband-Internet-Zugängen sind viele Computer 24 Stunden täglich mit dem Internet verbunden und verfügen zusätzlich über eine sehr leis-tungsfähige Anbindung an das weltweite Datennetz – dies gilt insbesondere auch für die Rechner innerhalb eines Universitätsnetzwerks. Beides sind Merkmale, die einen Rechner sehr interessant für die Verwendung innerhalb eines Bot-Netzwerkes machen, und deshalb sollten die Besitzer derartiger Rechner auch entsprechende Sicherheits-maßnahmen treffen, um nicht unwissend „Mittäter“ bei den genannten Erpressungsversuchen zu werden.
Habe ich nicht schon eine Firewall auf meinem Rechner?
Oftmals sind Computernutzer der Meinung, dass ihre Rechner schon mit einer Firewall geschützt sind, da viele aktuelle Antiviren-Programme bereits eine derartige Funktionalität anbieten bzw. Windows ab XP Service Pack 2 bereits eine Firewall integriert hat. Dies ist prinzipiell richtig, nur kann eine Software-Firewall nicht den gleichen qualitativen Schutz bieten wie eine dedizierte Hardware-Lösung, da deren Konfiguration von Schad-programmen nicht verändert werden kann. Somit bieten die vom ZID angebotenen Firewall-Lösungen einen Mehrwert gegenüber den reinen Software-Firewall-Lösungen am lokalen Computer.
Die Ausgangssituation an der TU
Ohne Zutun des Benutzers ist jeder Rechner innerhalb des TUNET durch den Grundschutz rudimentär gesichert. Beim TU-Grundschutz werden bestimmte „well known“-Ports gesperrt. Eine Liste der betroffenen Ports kann nachfolgender Tabelle entnommen werden:
Port | Protokoll | Port | Protokoll |
- | Ping | 177 | xdmcp |
7 | echo | 445 | Microsoft-DS |
9 | discard | 512 | rexec |
25 | SMTP | 513 | rlogin |
53 | DNS | 514 | R-Kommandos / Syslog |
67 | bootps | 515 | lpd |
68 | bootpc | 540 | UUCP |
69 | TFTP | 1080 | Socks |
111 | Portmapper | 1434 | SSRS |
123 | ntpd | 1900 | SSDP |
135 | msrpc | 2049 | NFS |
136 | Profile Name Service | 3128 | Squid |
137-139 | Netbios | 4045 | lockd |
161-162 | snmp | 5000 | UPnP |
|
| 6000-6063 | X11 |
Der Grundschutz ist nur als absolute Mindestmaßnahme anzusehen und sollte dringend durch eines der beiden folgenden Services ergänzt werden.
Die einfache Variante für mehr Schutz
Einen wirklichen Zugewinn an Sicherheit erhält man durch den Zugriffsschutz, welcher explizit vom EDV-Beauftragten des Instituts angefordert werden muss. Hier wird die zentrale TU-Firewall so konfiguriert, dass standardmäßig alle eingehenden, aufbauenden Verbindungen aus dem Internet zum Rechner blockiert werden. Obwohl dies sehr drastisch klingt, hat diese Maßnahme keinerlei negative Auswirkungen auf die normalen Surf-Aktivitäten des Benutzers, bringt jedoch ein deutliches Mehr an Sicherheit.
Für Server, die Dienste für das Internet anbieten, müssen die dafür benötigten Ports freigeschaltet werden. Aus administrativen Gründen können nur bestimmte Ports freigeschaltet werden, welche in so genannten Dienstgruppen zusammengefasst werden. Folgende Dienstgruppen werden derzeit angeboten:
Dienstgruppe | Ports |
WWW | HTTP(80) +HTTPS(443) |
FTP | FTP(21) |
SSH | SSH(22) |
POPIMAP | POP3(110), SPOP3(995), IMAP(143), |
REMOTE | VNC (TCP/5900-5910), pcAnywhere(TCP/5631, UDP/5632) |
Die Aktivierung des Zugriffsschutzes kann durch eine formlose Mail an security@tuwien.ac.at und unter Angabe des zu sperrenden Subnetzes angefordert werden.
Die Variante für anspruchsvolle Nutzer
Sind dem Benutzer die Möglichkeiten des Zugriffsschutzes zu unflexibel, so bietet sich eine individuelle Hardware-Firewall-Lösung an, welche von der Abteilung Standardsoftware zur Verfügung gestellt wird. Diese Firewall bietet auch Schutz vor Angriffen innerhalb des TUNET.
Es handelt sich hierbei um ein Embedded-System der Firma Soekris, welches von Walter Selos adaptiert wurde und zwischen dem TUNET und dem Institutsnetzwerk installiert wird. Diese Firewall-Lösung kann vom Administrator ganz individuell konfiguriert werden und bietet somit die größte Flexibilität und Unabhängigkeit für den Benutzer.
Zur Installation dieser Firewall-Lösung muss entsprechende Hardware erworben werden, weshalb zukünftig dafür Kostenersatz geleistet werden muss. Zur Bestellung der Soekris-Firewall reicht ebenfalls eine formlose Mail an security@tuwien.ac.at.
Referenzen
Skriptkiddie: http://de.wikipedia.org/wiki/Skriptkiddie
Botnetzwerke: http://de.wikipedia.org/wiki/
Botnetze ZID IT-Security: http://www.zid.tuwien.ac.at/sts/security/
ZID Firewalls: http://www.zid.tuwien.ac.at/sts/security/firewall/
ZID Portsperren: http://www.zid.tuwien.ac.at/de/sts/security/firewall/gesperrte_ports/
ZID Zugriffsschutz: http://www.zid.tuwien.ac.at/de/sts/security/firewall/zugriffsschutz/
Walter Selos: Firewall-Lösung für Institute. ZIDline 13, Dezember 2005: http://www.zid.tuwien.ac.at/zidline/zl13/soekris.html