Online Suche im Handbuch | LITTLE-IDIOT NETWORKING |
Für die Sicherheit eines Unternehmens ist es enorm wichtig, daß keinerlei Informationen über die Firewall in das Internet versendet werden. Schwierig wird es, wenn man Anwendungsprogramme danach beurteilen soll, ob und wie sie Informationen über z.B. den WWW-Proxy oder das e-Mail Gateway in das Internet versenden. Grundlage ist stets die Vertrauenswürdigkeit der Softwarequelle. Wie im Januar 1998 aufgedeckt wurde, hat ein Cracker in die Site von Wietse Venema der Universität Eindhoven eingebrochen, und den TCPWRAPPER, ein wichtiges Sicherheitswerkzeug zur Absicherung von vielen UNIX-Derivaten mit einem schwierig zu entdeckendem Zugangstor zum System versehen. Der Cracker hätte sich somit stets als Supervisor in das System einloggen können. Leider wurden auch die Prüfsummen (MD5) mit angepaßt, sodaß auch die übliche Überprüfung des MD5 Schlüssels keine Sicherheit mehr hätte garantieren können. Nur der Autor des Programmes war in der Lage, diesen Einbruch und die Veränderungen zu entdecken. Da beim Download aus dem Internet für einen Systemadministrator weder erkennbar ist, ob und wie der WWW-Server abgesichert ist, und ob deren Inhalte auch unversehrt sind, sollte man stets sehr mißtrauisch gegenüber Downloads von Software aus dem Internet sein.
Ein gutes Beispiel ist z.B. der DFN-CERT (http://www.cert.dfn.de), der stets den Server überwacht und auch glaubhaft machen kann, daß die Sicherheitsvorkehrungen auch ausreichend sind. Im Gegensatz zu fast allen anderen Sites wird auch ausführlich beschrieben, wie der Server abgesichert wurde, und mit welchen Werkzeugen dies geschehen ist. Dabei kommt es entscheidend darauf an, ob der Systemadministrator nachweisen kann, daß alle wichtigen Untersuchungen (buffer overflow....) auch stattgefunden haben und mehrfache Sicherheitsabsicherungen (chroot(), chuid()) installiert sind. Allein die Angabe, daß z.B. Windows NT und Firewall-1 im Einsatz sind, ist völlig unzureichend, und grob irreführend.
Der DFN CERT verfügte über lange Zeit nur über einen modifizierten CERN HTTPD Server unter FreeBSD und einen einfachen PAKETFILTER, DRAWBRIDGE. Dieser kostenlose und relativ einfache, dynamische Packetfilter hat unzähligen Angriffen standgehalten. Der Hauptgrund für die Sicherheit lag einfach darin, daß die Security Policy konsequent umgesetzt und auch strikt befolgt wurde.
Online Suche im Handbuch | LITTLE-IDIOT NETWORKING |