Aus Linux-Magazin 12/2005

Mit Insiderwissen, Scantools und Firewalls wappnen Admins ihre Rechner gegen Angriffe

Die dickste Rüstung bleibt nutzlos, wenn sie empfindliche Stellen offen lässt. Dieser simple Grundsatz gilt auch im Netz: Jedes Admin höchste Pflicht heißt Gefahren kennen, mögliche Schwachstellen rechtzeitig aufspüren und sie mit haltbaren Schilden abschirmen.

Inhalt

 

36

Rootkits
Erfolgreiche Cracker schützen sich mit Rootkits vor
Entdeckung: Sie verbergen Dateien und Prozesse vor dem Admin und
installieren Hintertüren.

46

Nmap
Schwachstellen aufspüren, bevor es andere tun: Der
Lieblings-Scanner von Angreifern und Admins trickst dazu Firewall
und Betriebssystem aus.

54

Firewall Builder
Mit dem Meta-Regeldesigner verwalten Admins bequem verschiedene
Firewalls. Der Autor der Software erklärt Tricks und Kniffe
der internen Regel-Compiler.

70

HA-Firewall mit BSD
Dank Clustering bleibt das Netz online, wenn eine Firewall
ausfällt. Der Artikel erklärt Hochverfügbarkeit mit
OpenBSD/PF und CARP – für Linuxer verständlich.

70

HA-Firewall mit Linux
Längst beherrscht Linux Firewalling, nur für
Hochverfügbarkeit fehlte lange etwas. Nun rüstet Ct_sync
die Synchronisierung der Zustandstabellen nach.

74

GNU Anubis
Das universelle Mail-Manipulationsprogramm klinkt sich in den
SMTP-Verkehr ein und verarbeitet E-Mail. Unter anderem
verschlüsselt es Mails mit GnuPG.

Digitale Parasiten ärgern Admins ähnlich penetrant wie ihre biologischen Vorbilder viele Straßenköter. Haben sie sich im System eingenistet, wird es schwer, sie aufzuspüren und wieder loszuwerden. Entgegen manchem Missverständnis helfen Rootkits keinem Angreifer dabei, Root zu werden, sie sorgen nur dafür, dass er Root bleibt, sobald er sich diesen Status einmal verschafft hat.Die Programme greifen dazu tief in die Trickkiste. Sie ersetzen Systemsoftware, patchen den Kernel im laufenden Betrieb und verwischen geschickt ihre Spuren in den Logfiles. Dass diese Tools Download-fertig zu haben sind – inklusive anfängertauglicher Anleitungen -, ist auch nicht gerade beruhigend. Bequeme Ignoranz wäre aber in jedem Fall unangebracht: Der erste Artikel im Titelthema gibt einen Überblick über Schadsoftware im Allgemeinen und Rootkits im Speziellen.Derlei Ungeziefer will sich niemand einfangen. Am besten wirkt Prophylaxe: Sicherheitslücken stopfen, dann scheitern Einbrecher schon, bevor sie ihre Toolsammlungen implantieren. Auf der Suche nach möglichen Schwachstellen im Netz hilft Nmap (Seite 46). Dieser Scanner lässt keinen Trick aus, um umfassend jeden offenen Port zu melden. Admins entdecken damit potenziell verwundbare Dienste sowie Hintertüren, die ein Rootkit eingesetzt hat.

Sicher ohne Ausfall

Versehentlich geöffnete Ports lassen sich am besten mit einer Firewall an zentraler Stelle vor Angriffen abschirmen. Das ist heute Stand der Technik, mit allerlei Varianten. Statt für jedes neue Produkt eine neue Oberfläche und Konfigurationssprache zu lernen, bietet sich FW-Builder an (Seite 54), der einen ganzen Zoo an Firewalls korrekt konfiguriert. Der Artikel ab Seite 54 erklärt, wie die mitgelieferten Policy-Compiler aus der abstrakten, Firewall-unabhängigen Policy eine konkrete Konfiguration erzeugen. Er enthält Beispiele für Linux/Netfilter und für OpenBSD/PF.Diese Betriebssystem-Firewall-Gespanne sind auch Gegenstand der beiden folgenden Artikel. Deren Anliegen: Linux/Netfilter und OpenBSD/PF auf Hochverfügbarkeit trimmen. Redundant ausgelegte Hardware, intelligentes Clustering und flotte Zustandssynchronisation sorgen für unterbrechungsfreien Internetzugang, selbst wenn eine Firewall ausfällt. Bei OpenBSD ist diese Funktion längst integriert, Linux-Anwender müssen den Kernel noch selbst patchen und zusätzliche Softwarekomponenten betreiben. Immerhin ist Linux beim Statefull Filtering weiter – PF braucht für FTP einen Proxy, während das Connection Tracking von Netfilter selbst mit dem Protokoll klarkommt.

Anubis

Den Abschluss des Heftschwerpunkts bildet ein Artikel zu GNU Anubis. Bei richtiger Konfiguration fungiert es als zentrale PGP-Infrastruktur. Das erspart dem Admin und allen Benutzern Arbeit: Statt jeden E-Mail-Client PGP-fähig aufzurüsten, verschlüsselt Anubis an zentraler Stelle jede ausgehende E-Mail.

LINUX-MAGAZIN KAUFEN
EINZELNE AUSGABE Print-Ausgaben Digitale Ausgaben
ABONNEMENTS Print-Abos Digitales Abo
TABLET & SMARTPHONE APPS Readly Logo
E-Mail Benachrichtigung
Benachrichtige mich zu:
0 Kommentare
Älteste
Neuste Beste Bewertung
Nach oben