[ zurück ] [ Inhalt ] [ 1 ] [ 2 ] [ 3 ] [ 4 ] [ 5 ] [ 6 ] [ 7 ] [ 8 ] [ 9 ] [ 10 ] [ 11 ] [ 12 ] [ A ] [ B ] [ C ] [ D ] [ E ] [ F ] [ G ] [ H ] [ weiter ]
FIXME: More content needed.
Debian stellt außerdem einige Sicherheitswerkzeuge zur Verfügung, die eine Debian-Maschine zum Zweck der Sicherheit passend einrichten können. Diese Zielsetzung schließt die Sicherung von Systeminformationen durch Firewalls (sowohl auf Paket- als auch auf Anwendungsebene), Eindringlingserkennung (netzwerk- und hostbasiert), Einschätzung der Verwundbarkeit, Antivirus, private Netzwerke und vieles mehr ein.
Seit Debian 3.0 (woody ist kryptographische Software in der Hauptdistribution integriert. OpenSSH und GNU Privacy Guard sind in der Standardinstallation enthalten. Außerdem befinden sich jetzt in Web-Browsern und Web-Servern, Datenbanken usw. starke Verschlüsselungsmechanismen. Eine weitergehende Eingliederung von Kryptographie ist für zukünftige Veröffentlichungen geplant. Aufgrund von Exportbeschränkungen in den USA wurde diese Software nicht mit der Hauptdistribution ausgeliefert, sondern war nur auf Seiten außerhalb der USA erhältlich.
Die Werkzeuge, um Fernprüfungen der Verwundbarkeit durchzuführen, sind unter Debian: [60]
nessus
raccess
nikto
(Ersatz für whisker
)
Das weitaus vollständigste und aktuellste Werkzeug ist nessus
,
welches aus einem Client (nessus
) mit graphischer
Benutzungsschnittstelle und einem Server (nessusd
), der die
programmierten Attacken startet, besteht. Nessus kennt verschiedene entfernten
Verwundbarkeiten für einige Systeme, einschließlich Netzwerkanwendungen,
FTP-Servern, WWW-Servern, usw. Die neusten Sicherheitsplugins sind sogar in
der Lage, eine Web-Seite zu analysieren und zu versuchen, interaktive Inhalte
zu entdecken, die zu einem Angriff genutzt werden können. Es existieren auch
Java- und Win32-Clients, die benutzt werden können, um sich mit dem
Nessus-Server zu verbinden. Diese sind jedoch in Debian nicht enthalten.
Beachten Sie, wenn Sie Woody einsetzen, dass das Nessus-Paket ziemlich veraltet
ist (siehe Fehler #183524
). Es ist nicht
schwierig, die Pakete aus Unstable nach Woody zurückzuportieren. Falls es
Ihnen dennoch Schwierigkeiten bereiten sollte, können Sie auch die
zurückportierten Pakete von einem Mitentwickler verwenden. Sie sind unter
http://people.debian.org/~jfs/nessus/
verfügbar (diese Versionen können aber nicht so aktuelle sein wie die Versionen
aus Unstable).
nikto
ist ein Scanner zur Aufdeckung von Schwachstellen bei
Webservern und kennt auch einige Anti-IDS-Taktiken (die meisten davon sind
keine Anti-IDS-Taktiken mehr). Er ist einer der besten verfügbaren
CGI-Scanner zur Erkennung von WWW-Servern und kann nur bestimmte Angriffe gegen
ihn starten. Die Datenbank, die zum Scannen benutzt wird, kann sehr leicht
geändert werden, um neue Informationen einzufügen.
Debian bietet Ihnen einige Werkzeuge zum Scannen von Hosts (aber nicht zur Gefahrenabschätzung). Diese Programme werden in manchen Fällen von Scannern zur Gefahrenabschätzung zu einem ersten "Angriff" gegen entfernte Rechner genutzt, um festzustellen, welche Dienste angeboten werden. Unter Debian sind im Moment verfügbar:
nmap
xprobe
p0f
knocker
isic
hping2
icmpush
nbtscan
(für die Prüfung von NetBIOS)
fragrouter
strobe
(aus dem Paket netdiag
)
irpas
Während xprobe
lediglich aus der Ferne das Betriebssystem erkennen
kann (indem es TCP/IP-Fingerabdrücke benutzt, machen nmap
und
knocker
beides: das Betriebssystem erkennen und die Ports eines
entfernten Rechners scannen. Andererseits können hping2
und
icmpush
für ICMP-Angriffstechniken benutzt werden.
Nbtscan
, das speziell für SMB-Netzwerke entworfen wurde, kann
benutzt werden, um IP-Netzwerke zu scannen und diverse Informationen von
SMB-Servern zu ermitteln einschließlich der Nutzernamen, Netzwerknamen,
MAC-Adressen, ...
Dagegen kann fragrouter
dazu verwendet werden, um Systeme zur
Eindringlingserkennung zu testen und um zu sehen, ob das NIDS mit
fragmentierten Angriffen umgangen werden kann.
FIXME: Check Bug
#153117
(ITP fragrouter) to see if it's included.
FIXME: add information based on Debian
Linux Laptop for Road Warriors
which describes how to use Debian and
a laptop to scan for wireless (803.1) networks (link not there any more).
Derzeit kann lediglich das Programm tiger
benutzt werden, um
interne Prüfungen (auch "white box" genannt) eines Rechners
vorzunehmen. Dabei wird festgestellt, ob das Dateisystem richtig aufgesetzt
ist, welche Prozesse auf dem Rechner horchen, usw.
Debian bietet einige Pakete an, die C/C++-Quellcode prüfen und Programmierfehler finden, die zu möglichen Sicherheitsmängeln führen können:
flawfinder
rats
splint
pscan
Ein virtuelles privates Netzwerk (VPN) ist eine Gruppe von zwei oder mehreren Computern, die typischerweise zu einem privaten Netzwerk mit begrenztem öffentlichen Netzwerkzugang verbunden sind und gesichert über ein öffentliches Netzwerk kommunizieren. VPNs können einen einzelnen Rechner mit einem privaten Netzwerk verbinden (Client-Server) oder ein entferntes LAN mit einem privaten Netzwerk (Server-Server). VPNs verwenden Verschlüsselung, starke Authentifikation von entfernten Nutzern oder Hosts und Methoden, um Struktur des privaten Netzwerks zu verstecken.
Debian enthält einige Pakete, die zum Aufsetzen von verschlüsselten virtuellen privaten Netzwerken verwendet werden können:
vtun
tunnelv
(Abschnitt non-US)
cipe-source
, cipe-common
tinc
secvpn
pptpd
openvpn
freeswan
, welches jetzt überholt ist. Sein Ersatz ist:
openswan
(http://www.openswan.org/
)
FIXME: Update the information here since it was written with FreeSWAN in mind. Check Bug #237764 and Message-Id: <200412101215.04040.rmayr@debian.org>.
Das OpenSWAN-Paket ist wahrscheinlich die beste Wahl, da es nahezu mit allem zusammenarbeiten kann, das das IP-Security-Protokoll IPsec (RFC 2411) benutzt. Aber auch die anderen oben aufgeführten Pakete können Ihnen helfen, möglichst schnell einen sicheren Tunnel aufzusetzen. Das Point-to-Point-Tunneling-Protocol (PPTP) ist ein urheberrechtlich geschütztes Protokoll von Microsoft für VPN. Es wird unter Linux unterstützt, aber es sind einige schwere Sicherheitsprobleme bekannt.
Für weitere Informationen über IPsec und PPTP lesen Sie bitte das VPN-Masquerade-HOWTO
,
über PPP über SSH das VPN-HOWTO
, das
Cipe-Mini-HOWTO
und das PPP-
und SSH-Mini-HOWTO
.
Es kann sich auch lohnen, sich Yavipin
anzusehen.
Allerdings scheinen noch keine Pakete für Debian verfügbar zu sein.
Wenn Sie einen tunnelnden Server für eine gemischte Umgebung (sowohl Microsofts
Betriebssystem als auch Linux-Clients) zur Verfügung stellen wollen und IPsec
keine Möglichkeit ist (da es nur in Windows 2000 und Windows XP enthalten ist),
können Sie PoPToP (Point to Point Tunneling Server) verwenden. Er
wird vom Paket pptpd
bereitgestellt.
Wenn Sie Microsofts Authentifikation und Verschlüsselung mit dem Server
verwenden wollen, die im Paket ppp
enthalten sind, sollten Sie
Folgendes aus der FAQ beachten:
Sie müssen nur dann PPP 2.3.8 einsetzen, wenn Sie zu Microsoft kompatible MSCHAPv2/MPPE-Authentifikation und Verschlüsselung haben wollen. Der Grund dafür ist, dass der aktuelle MSCHAPv2/MPPE-Patch (19990813) gegen PPP 2.3.8 erstellt wurde. Wenn Sie keine zu Microsoft kompatible Authentifikation und Verschlüsselung brauchen, können Sie jede PPP-Quelle mit der Version 2.3.x verwenden.
Allerdings müssen Sie auf den Kernel einen Patch anwenden, der im Paket
kernel-patch-mppe
enthalten ist. Er stellt das Module pp_mppe für
den pppd zur Verfügung.
Beachten Sie, dass Verschlüsselung in ppptp erfordert, dass Sie die
Nutzerpasswörter in Klartext speichern. Außerdem sind für das
MS-CHAPv2-Protokoll Sicherheitslücken
bekannt
.
Mit der Infrastruktur für öffentliche Schlüssel (PKI) wurde eine Sicherheitsarchitektur eingeführt, um den Grad der Vertrauenswürdigkeit von Informationen, die über unsichere Netzwerke ausgetauscht werden, zu erhöhen. Sie beruht auf dem Konzept von öffentlichen und privaten kryptographischen Schlüsseln, um die Identität des Absenders (Signierung) zu überprüfen und die Geheimhaltung zu sichern (Verschlüsselung).
Wenn Sie über die Einrichtung einer PKI nachdenken, sehen Sie sich mit einer breiten Palette von Problemen konfrontiert:
eine Zertifizierungsstelle (Certification Authority, CA), die Zertifikate ausgeben und bestätigen und unter einer bestimmten Hierarchie arbeiten kann
ein Verzeichnis, das die öffentlichen Zertifikate der Benutzer enthält
eine Datenbank (?), um eine List von Widerrufen von Zertifikaten (Certificate Revocation Lists, CRL) zu verwalten
Geräte, die mit der CA zusammenarbeiten, um Smartcards/USB-Token oder ähnliches zu erzeugen und die Zertifikate sicher zu speichern
Anwendungen, die die von einer CA ausgestellten Zertifikate benutzen können, um verschlüsselte Kommunikation zu aufzubauen und bestimmte Zertifikate gegen die CRL zu prüfen (zur Authentifizierung und so genannte "full Single Sign On solutions")
eine Zeitstempel-Autorität, um Dokumente digital zu signieren
eine Verwaltungskonsole, von der aus dies alles vernünftig benutzt werden kann (Erstellung von Zertifikaten, Kontrolle der Widerruflisten, usw., ...)
Debian GNU/Linux beinhaltet Softwarepaket, die Ihnen bei einigen dieser
PKI-Probleme helfen können. Dazu gehört OpenSSL
(zur Erstellung
von Zertifikaten), OpenLDAP
(für ein Verzeichnis, um die
Zertifikate zu speichern) gnupg
und openswan
(mit
X.509 Unterstützung). Jedoch stellt Debian zum Zeitpunkt der Veröffentlichung
von Woody (Debian 3.0) keine der frei verfügbaren Certificate Authorities wie
zum Beispiel pyCA, OpenCA
oder
die CA-Muster von OpenSSL zur Verfügung. Für weitere Informationen lesen Sie
bitte das Open PKI
Buch
.
Debian stellt einige SSL-Zertifikate innerhalb der Distribution zur Verfügung,
so dass Sie sie lokal installieren können. Sie befinden sich im Paket
ca-certificates
. Dieses Paket stellt eine zentrale Sammelstelle
für Zertifikate dar, die an Debian übermittelt und vom Paketverwalter gebilligt
(das heißt, verifiziert) wurden. Sie können für alle OpenSSL-Anwendungen, die
SSL-Verbindungen verifizieren, nützlich sein.
FIXME: read debian-devel to see if there was something added to this.
Es gibt nicht viele Antiviren-Programme in Debian, wahrscheinlich weil die Benutzer von GNU/Linux nicht von Viren betroffen sind. Das Sicherheitsmodell von Unix trifft eine Unterscheidung zwischen privilegierten Prozessen (Root) und den Prozessen der Benutzer. Daher kann ein "feindliches" Programm, das ein Benutzer empfängt oder erstellt und dann ausführt, nicht das System "infizieren" oder daran Veränderungen vornehmen. Es existieren dennoch Würmer und Viren für GNU/Linux, auch wenn es (bisher) keinen Virus gab, der sich im Freien weit über eine Debian-Distribution verbreitet hat. Wie dem auch sei, Administratoren sollten vielleicht Antiviren-Gateways aufbauen, um verwundbarere Systeme in ihrem Netzwerk vor Viren zu schützen.
Debian GNU/Linux bietet derzeit die folgenden Werkzeuge zum Erstellen von Antiviren-Umgebungen an:
Clam Antivirus
, das in Debian
Sarge (der aktuellen 3.1 Veröffentlichung) enthalten ist. Es sind
Pakete sowohl für den Virusscanner (clamav
) des Scanner-Daemons
(clamav-daemon
) als auch für die Daten, die der Scanner benötigt,
verfügbar. Da es für die richtig Arbeit eines Antivirus-Programms entscheidend
ist, dass seine Daten auf dem neusten Stand sind, gibt es zwei verschiedene
Weg, um diese Daten aktuell zu halten: clamav-freshclam
eröffnet
die Möglichkeit, die Datenbank automatisch über das Internet zu aktualisieren,
und clamav-data
stellt die Daten unmittelbar zur Verfügung.[61]
mailscanner
ist ein Gateway-Scanner, der in E-Mails Viren und Spam
entdeckt. Er arbeitet auf der Grundlage von sendmail
oder
exim
und kann mehr als 17 verschiedene Virensuch-Engines
(einschließlich clamav
) verwenden.
libfile-scan-perl
, welches File::Scan liefert. Das ist eine
Erweiterung von Perl, mit der Dateien nach Viren durchsucht werden können. Mit
diesem Modul können plattformunabhängige Virenscanner realisiert werden.
Amavis Next
Generation
ist im Paket amavis-ng
enthalten und in
Sarge verfügbar. Es ist ein Virusscanner, der in verschiedene MTAs
(Exim, Sendmail, Postfix oder Qmail) integriert werden kann. Er unterstützt
mehr als 15 Virensuch-Engines (einschließlich clamav, File::Scan und
openantivirus).
sanitizer
, ein
Werkzeug, das das Paket procmail
verwendet. Es kann den Anhang
von E-Mails nach Viren durchsuchen, Anhänge aufgrund ihres Dateinamens abweisen
und vieles mehr.
amavis-postfix
, ein
Skript, das eine Schnittstelle vom Mail-Transport-Agent zu einem oder mehreren
kommerziellen Viren-Scannern anbietet (dieses Paket ist lediglich für den MTA
postfix
bestimmt).
exiscan
, ein Virusscanner für E-Mails, der in Perl geschrieben
wurde. Er arbeitet mit Exim zusammen.
sanitizer
, ein E-Mail-Scanner, der potenziell gefährliche Anhänge
entfernen kann.
blackhole-qmail
ist ein Spamfilter für Qmail mit eingebauter
Unterstützung von Clamav.
Einige Gateway-Daemons bieten schon Programmerweiterungen an, um
Antiviren-Umgebungen zu erstellen. Dazu gehören
exim4-daemon-heavy
(die heavy Version des Exim MTAs),
frox
, ein transparenter caching FTP-Proxyserver),
messagewall
(ein SMTP-Proxyserver) und pop3vscan
(ein
transparenter POP3-Proxy).
Wie Sie sehen, enthält Debian selbst derzeit keine Antiviren-Software in der
offiziellen Hauptdistribution (3.0 als dies geschrieben wurde). Es enthält
aber verschiedene Schnittstellen, um Gateways mit Antivirenfunktionen zu
erstellen. Der Scanner clamav
wird in der nächsten offiziellen
Veröffentlichung enthalten sein.
Im Folgenden einige andere freie Antiviren-Projekte, die in der Zukunft in Debian enthalten sein könnten:
FIXME: Is there a package that provides a script to download the latest virus
signatures from http://www.openantivirus.org/latest.php
?
FIXME: Check if scannerdaemon is the same as the open antivirus scanner daemon (read ITPs).
Allerdings wird Debian niemals kommerzielle Antiviren-Software
anbieten. Dazu zählen Panda Antivirus NAI Netshield, Sophos Sweep
, TrendMicro Interscan
oder RAV
. Weitere Hinweise finden Sie
im Mini-FAQ
'Antiviren-Software für Linux/Unix'
. Das bedeutet nicht, dass diese
Software auf einem Debian-System richtig installiert werden kann.
Zusätzliche Informationen über das Aufsetzen eines Systems zur Virenerkennung
erhalten Sie im Artikel Building an E-mail
Virus Detection System for Your Network
von Dave Jones.
Es ist heutzutage weit verbreitet, E-Mails digital zu unterschreiben (manchmal auch zu verschlüsseln). Sie können z.B. feststellen, dass viele Menschen auf Mailinglisten ihre E-Mails signieren. Signaturen von öffentlichen Schlüsseln ist im Moment die einzige Möglichkeit um festzustellen, ob eine E-Mail vom Absender geschickt wurden und nicht von jemand anderem.
Debian GNU/Linux enthält eine Anzahl von E-Mail-Clients mit der eingebauten
Fähigkeit, E-Mails zu signieren. Sie arbeiten entweder mit gnupg
oder pgp
zusammen:
evolution
.
mutt
.
kmail
.
mozilla
oder Thunderbird (im Paket
mozilla-thunderbird
enthalten), falls das Enigmail
-Plugin installiert ist,
was durch das Paket mozilla-enigmail
und
mozilla-thunderbird-enigmail
bereitgestellt wird.
sylpheed
. Abhängig davon wie sich die stabile Version dieses
Pakets entwickelt, müssen Sie die bleeding edge Version,
sylpheed-claws
, verwenden.
gnus
wird mit dem Paket mailcrypt
installiert und ist
eine Schnittstelle für emacs
zu gnupg
.
kuvert
stellt diese Funktion unabhängig von Ihrem Mail-User-Agent
(MUA) zur Verfügung, indem es mit dem Mail-Transport-Agent (MTA) arbeitet.
Key-Server ermöglichen es Ihnen, veröffentlichte öffentliche Schlüssel
herunterzuladen, damit Sie Signaturen überprüfen können. Einer diese
Key-Server ist http://wwwkeys.pgp.net
.
gnupg
kann automatisch öffentliche Schlüssel holen, die sich nicht
schon in Ihrem öffentlichen Schlüsselbund befinden. Um beispielsweise
gnupg
so einzurichten, dass es den oben genannten Key-Server
verwendet, müssen Sie die Datei ~/.gnupg/options
bearbeiten und
folgende Zeile hinzufügen: [62]
keyserver wwwkeys.pgp.net
Die meisten Key-Server sind miteinander verbunden. Wenn Sie also Ihren
öffentlichen Schlüssel einem hinzufügen, wird er an alle anderen Key-Server
weitergereicht. Da wäre auch noch das Debian GNU/Linux Paket
debian-keyring
, das die öffentlichen Schlüssel aller
Debian-Entwickler enthält. Der Schlüsselbund von gnupg
wird in
/usr/share/keyrings/
installiert.
Weitere Informationen:
[ zurück ] [ Inhalt ] [ 1 ] [ 2 ] [ 3 ] [ 4 ] [ 5 ] [ 6 ] [ 7 ] [ 8 ] [ 9 ] [ 10 ] [ 11 ] [ 12 ] [ A ] [ B ] [ C ] [ D ] [ E ] [ F ] [ G ] [ H ] [ weiter ]
Anleitung zum Absichern von Debian
Version: 3.10, Fri, 26 Jan 2007 16:59:21 +0000jfs@debian.org