Die dickste Rüstung bleibt nutzlos, wenn sie empfindliche Stellen offen lässt. Dieser simple Grundsatz gilt auch im Netz: Jedes Admin höchste Pflicht heißt Gefahren kennen, mögliche Schwachstellen rechtzeitig aufspüren und sie mit haltbaren Schilden abschirmen.
|
Inhalt |
|
|---|---|
|
36 |
Rootkits |
|
46 |
Nmap |
|
54 |
Firewall Builder |
|
70 |
HA-Firewall mit BSD |
|
70 |
HA-Firewall mit Linux |
|
74 |
GNU Anubis |
Digitale Parasiten ärgern Admins ähnlich penetrant wie ihre biologischen Vorbilder viele Straßenköter. Haben sie sich im System eingenistet, wird es schwer, sie aufzuspüren und wieder loszuwerden. Entgegen manchem Missverständnis helfen Rootkits keinem Angreifer dabei, Root zu werden, sie sorgen nur dafür, dass er Root bleibt, sobald er sich diesen Status einmal verschafft hat.Die Programme greifen dazu tief in die Trickkiste. Sie ersetzen Systemsoftware, patchen den Kernel im laufenden Betrieb und verwischen geschickt ihre Spuren in den Logfiles. Dass diese Tools Download-fertig zu haben sind – inklusive anfängertauglicher Anleitungen -, ist auch nicht gerade beruhigend. Bequeme Ignoranz wäre aber in jedem Fall unangebracht: Der erste Artikel im Titelthema gibt einen Überblick über Schadsoftware im Allgemeinen und Rootkits im Speziellen.Derlei Ungeziefer will sich niemand einfangen. Am besten wirkt Prophylaxe: Sicherheitslücken stopfen, dann scheitern Einbrecher schon, bevor sie ihre Toolsammlungen implantieren. Auf der Suche nach möglichen Schwachstellen im Netz hilft Nmap (Seite 46). Dieser Scanner lässt keinen Trick aus, um umfassend jeden offenen Port zu melden. Admins entdecken damit potenziell verwundbare Dienste sowie Hintertüren, die ein Rootkit eingesetzt hat.
Sicher ohne Ausfall
Versehentlich geöffnete Ports lassen sich am besten mit einer Firewall an zentraler Stelle vor Angriffen abschirmen. Das ist heute Stand der Technik, mit allerlei Varianten. Statt für jedes neue Produkt eine neue Oberfläche und Konfigurationssprache zu lernen, bietet sich FW-Builder an (Seite 54), der einen ganzen Zoo an Firewalls korrekt konfiguriert. Der Artikel ab Seite 54 erklärt, wie die mitgelieferten Policy-Compiler aus der abstrakten, Firewall-unabhängigen Policy eine konkrete Konfiguration erzeugen. Er enthält Beispiele für Linux/Netfilter und für OpenBSD/PF.Diese Betriebssystem-Firewall-Gespanne sind auch Gegenstand der beiden folgenden Artikel. Deren Anliegen: Linux/Netfilter und OpenBSD/PF auf Hochverfügbarkeit trimmen. Redundant ausgelegte Hardware, intelligentes Clustering und flotte Zustandssynchronisation sorgen für unterbrechungsfreien Internetzugang, selbst wenn eine Firewall ausfällt. Bei OpenBSD ist diese Funktion längst integriert, Linux-Anwender müssen den Kernel noch selbst patchen und zusätzliche Softwarekomponenten betreiben. Immerhin ist Linux beim Statefull Filtering weiter – PF braucht für FTP einen Proxy, während das Connection Tracking von Netfilter selbst mit dem Protokoll klarkommt.
Anubis
Den Abschluss des Heftschwerpunkts bildet ein Artikel zu GNU Anubis. Bei richtiger Konfiguration fungiert es als zentrale PGP-Infrastruktur. Das erspart dem Admin und allen Benutzern Arbeit: Statt jeden E-Mail-Client PGP-fähig aufzurüsten, verschlüsselt Anubis an zentraler Stelle jede ausgehende E-Mail.






