Open Source im professionellen Einsatz
Linux-Magazin 08/2015
© Sergej Razvodovskij, 123RF

© Sergej Razvodovskij, 123RF

Aus dem Alltag eines Sysadmin: TLS Interposer

Rettung naht

Über Linux, für Admins in Sachen Sicherheit lange ein ruhiger See, sind in letzter Zeit Stürme hinweggefegt, die Namen wie Freak, Beast, Poodle, Shellshock oder Heartbleed trugen. Eine ganze Reihe von ihnen geht auf das Konto von Schwächen in SSL-Bibliotheken. TLS Interposer kann die Wogen glätten.

400

Der Poodle-Angriff (Padding Oracle On Downgraded Legacy Encryption) fußte auf TLS-Implementierungen, die auf Anfragen von Clients mit neuen TLS-Versionen fatalerweise überhaupt nicht antworteten. Die nahmen daraufhin an, der Server spräche überhaupt kein TLS, und schalteten auf das längst veraltete und verwundbare SSLv3. Angreifer ließen einfach die TLS-Verbindungen vor die Wand laufen und freuten sich, weil der Client SSLv3 hervorkramte.

Auch Heartbleed war ein Implementierungsfehler. Er erlaubte es Angreifern, 64 KByte des Server-Arbeitsspeichers auszulesen – und das mehrfach nacheinander, sodass etwa Zertifikatsschlüssel in falsche Hände gerieten. Bruce Schneier sagte damals, auf einer Katastrophenskala von 1 bis 10 sei dies eine 11.

All das vermeidet der Admin, wenn er die TLS-Implmentierungen auf seinen Servern auf dem aktuellen Stand hält. Was aber, wenn er dort Applikationen betreiben muss, die die neuesten TLS-Versionen gar nicht kennen? So mancher hält nach dem Motto "Never change a running System" stoisch an seinem Apache 2.2 fest oder anderen nur noch archäologisch wertvollen Serverdiensten.

Der Abfänger beim Rocken

Für solche hartnäckigen Netzverschmutzer gibt es den TLS Interposer. Der aktiviert sich über den »LD_PRELOAD« -Mechanismus und fängt dann API-Aufrufe an die Open-SSL-Bibliothek ab. Viele Distributionen haben ihn im Angebot, ansonsten bekommt man ihn bei Github [1] oder auf der DELUG-DVD. Nach dem Entpacken genügt ein »make && sudo make install« – außer dem Compiler bedarf es des Open-SSL-Development-Pakets. Es heißt meist »libssl-dev« oder sehr ähnlich. Wenn der Compiler seine Arbeit getan hat, besitzt der Admin die Datei »libtlsinterposer.so« .

Das Weitere ist recht einfach. Der Admin sorgt dafür, dass der Serverdienst die Umgebungsvariable »LD_PRELOAD« sieht, gefüllt mit dem Pfad zur eben kompilierten Datei »libtlsinterposer.so« . Beim Apache 2.2 zum Beispiel öffne ich dazu die »/etc/apache/envvars« und füge

export LD_PRELOAD=/usr/local/tlsinterposer/libtlsinterposer.so

hinzu. Nach einem Neustart des HTTP-Daemon kommuniziert der greise Apache mit dem jüngsten TLS. Das sollte der Admin aber mit SSL Scan [2] testen oder mit einem der vielen Onlinedienste, die diesen Service anbieten, etwa [3].

Der Autor

Charly Kühnast administriert Unix-Systeme im Rechenzentrum Niederrhein. Zu seinen Aufgaben gehören Sicherheit und Verfügbarkeit der Firewalls und der DMZ.

Diesen Artikel als PDF kaufen

Express-Kauf als PDF

Umfang: 1 Heftseiten

Preis € 0,99
(inkl. 19% MwSt.)

Linux-Magazin kaufen

Einzelne Ausgabe
 
Abonnements
 
TABLET & SMARTPHONE APPS
Bald erhältlich
Get it on Google Play

Deutschland

Ähnliche Artikel

  • Sysadmin Day: Danke an alle Admins

    Der letzte Freitag des Monats Juli ist bereits zum 16. Mal des Systemadministratoren gewidmet. Wir gratulieren allen Sysadmins.

  • Brücke über den Proxy

    Das Internet besteht nicht nur aus Webseiten und FTP-Servern. Andere interessante Anwendungen bleiben vielen Nutzern verschlossen, weil der Firmen-Proxy nur zwei Dienste kennt. Doch Transconnect kann meist Abhilfe schaffen.

  • In eigener Sache: 37 Folgen von Charlys Sysadmin-Kolumne

    Charly Kühnast hat es mit seiner Linux-Magazin-Serie "Aus dem Alltag eines Sysadmin" zu einer echten Fangemeinde gebracht. Nun gibt es ein PDF-Paket mit 37 Folgen der Kolumne für 9,95 Euro.

  • Einführung

    Ernst ist das Leben, heiter die Kunst: Sysadmin Charly liefert diesmal eine Doppelkolumne ab – mit einem durch und durch ernst zu nehmenden TCP-Sniffer, gefolgt von einer Portion April-April-URL.

  • Einführung

    Sysadmin-Kolumnist Charly hat in diesem Monat den Salat und lässt deswegen ein angebotenes Steak zurückgehen. Alles klar? Herr Kühnast und ein tattriger Häuptling bitten zu Tisch.

comments powered by Disqus

Ausgabe 11/2017

Digitale Ausgabe: Preis € 6,40
(inkl. 19% MwSt.)

Stellenmarkt

Artikelserien und interessante Workshops aus dem Magazin können Sie hier als Bundle erwerben.