6.2 Ports - Pro-Linux">
Login
Newsletter
Werbung

Mo, 22. Januar 2001, 00:00

Firewall - Teil 4

# inetd.conf This file describes the services that will be available
# through the INETD TCP/IP super server. To re-configure
# the running INETD process, edit this file, then send the
# INETD process a SIGHUP signal.
#
# Version: @(#)/etc/inetd.conf 3.10 05/27/93
#
# Authors: Original taken from BSD UNIX 4.3/TAHOE.
# Fred N. van Kempen,<waltje@uwalt.nl.mugnet.org>
# To re-read this file after changes, just do a 'killall -HUP inetd'
#
# <service_name> <sock_type> <proto> <flags> <user> <server_path> <args>
#
#echo stream tcp nowait root internal
#echo dgram udp wait root internal
#discard stream tcp nowait root internal
#discard dgram udp wait root internal
#daytime stream tcp nowait root internal
#daytime dgram udp wait root internal
#chargen stream tcp nowait root internal
#chargen dgram udp wait root internal
#time stream tcp nowait root internal
#time dgram udp wait root internal
ftp stream tcp nowait root /usr/sbin/tcpd in.ftpd -l -a
# telnet stream tcp nowait root /usr/sbin/tcpd in.telnetd
shell stream tcp nowait root /usr/sbin/tcpd in.rshd
login stream tcp nowait root /usr/sbin/tcpd in.rlogind
#exec stream tcp nowait root /usr/sbin/tcpd in.rexecd
#talk dgram udp wait nobody.tty /usr/sbin/tcpd in.talkd
#ntalk dgram udp wait nobody.tty /usr/sbin/tcpd in.ntalkd
#pop-2 stream tcp nowait root /usr/sbin/tcpd ipop2d
#pop-3 stream tcp nowait root /usr/sbin/tcpd ipop3d
#imap stream tcp nowait root /usr/sbin/tcpd imapd
#uucp stream tcp nowait uucp /usr/sbin/tcpd /usr/lib/uucp/uucico -l
# auth stream tcp wait root /usr/sbin/in.identd in.identd -e -o
#bootps dgram udp wait root /usr/sbin/tcpd bootpd
# Finger, systat and netstat give out userinformation which may be
# valuable to potential "system crackers." Many sites choose to disable
# some or all of these services to improve security.
#
#finger stream tcp nowait nobody /usr/sbin/tcpd in.fingerd
#cfinger stream tcp nowait root /usr/sbin/tcpd in.cfingerd
#systat stream tcp nowait guest /usr/sbin/tcpd /bin/ps -auwwx
#netstat stream tcp nowait guest /usr/sbin/tcpd /bin/netstat -f inet
#
# End of inetd.conf

6.3 Paßwörter

Paßwörter spielen eine zentrale Rolle in der Sicherheit eines Computernetzwerks. Sie beschränken den Zugriff auf wichtige Ressourcen und schützen Informationen vor den neugierigen Augen Dritter.

Ohne ein gutes Paßwortsystem haben Angreifer leichtes Spiel. Viele Benutzer haben ihren Namen, ihr Geburtsdatum oder die Marke ihres Autos als Paßwort vergeben. Solche Paßwörter sind für einen geübten Angreifer leichte Beute. Ist der Angreifer erst einmal im System, ist es nur noch eine Frage der Zeit, bis er Superuserstatus erlangt und weiteren massiven Schaden anrichten kann.

Einem sicheren Paßwortsystem kommt deshalb eine große Bedeutung zu.

Linux-Systeme sollten mit dem Shadow-System betrieben werden. Dies ist heute bei allen gängigen Linux-Distributionen der Fall.3

Früher wurden Benutzerdaten und Paßwörter in der Datei /etc/passwd gespeichert. Es war systembedingt jedoch nötig, daß alle Benutzer diese Datei lesen konnten. Die Paßwörter liegen hier zwar verschlüsselt vor, leider gibt es aber Programme, die diese Verschlüsselung in kurzer Zeit knacken können.

Das Shadow-Paßwortsystem geht einen anderen Weg. Hier sind sämtliche Benutzerdaten weiterhin in der Datei /etc/passwd gespeichert, das Paßwort wurde jedoch in eine separate Datei, /etc/shadow, ausgegliedert. Diese Datei ist nur vom Superuser root lesbar. Es ist erheblich schwerer, für diese Datei Lesezugriff zu erlangen.

Paßwörter eines Systems mit vielen Benutzern sollten regelmäßig mit dem Programm Crack überprüft werden, um schwache Paßwörter ausfindig zu machen, und die Benutzer erneut zur Paßwortvergabe aufzufordern.4

Bei Crack handelt es sich um ein Programm, das mit unterschiedlichen Ratetechniken versucht, Paßwörter herauszufinden. Findet Crack ein Paßwort innerhalb kurzer Zeit heraus, so kann davon ausgegangen werden, daß Angreifer dies auch tun werden 5

Ein wirklich gutes Paßwort läßt sich mit der folgenden Eselsbrücke kreieren:

Man nehme einen beliebigen Satz, in dem auch Zahlen enthalten sind, also z.B.

"Eine Fußballmannschaft besteht aus 10 Spielern und einem Torwart". Von diesem Satz nimmt man nun immer nur den Anfangsbuchstaben eines jeden Worts. Die Zahlen werden einfach übernommen. Das sich daraus ergebende Paßwort lautet dann Efba10Su1T.

6.4 Intrusion Detection Systems6

Einen weitreichenderen Schutz gegen Angriffe aus dem Internet bieten Intrusion Detection Systeme (IDS). Ein Intrusion Detection System nutzt automatisierte und intelligente Werkzeuge, um Einbruchsversuche in Echtzeit zu entdecken und zu verhindern.

Es existieren zwei unterschiedliche Typen von IDS:

  • Systeme, die auf Regeln basieren (Rule-based systems)

Sie verlassen sich auf Bibliotheken und Datenbanken, die Informationen über bekannte Angriffe und Angriffssignaturen enthalten. Erfüllt ein eingehendes Paket ein bestimmtes Kriterium, erkennt das IDS darin einen Angriff und schlägt Alarm. Diese Art von IDS hat einen entscheidenden Nachteil: Es erkennt nur Angriffe, die in ihren Libraries und Datenbanken gespeichert sind. Diese müssen ständig auf den neuesten Stand gebracht werden, um wirkungsvoll zu sein. Außerdem ist entscheidend, wie eng die einzelnen Angriffssignaturen gesetzt werden. Sind diese zu spezifisch, wird ein Angriff als solcher erkannt, ein anderer, der mit dem vorherigen Ähnlichkeiten hat, jedoch nicht.

Kommentare (Insgesamt: 0 || Kommentieren )
Pro-Linux
Pro-Linux @Facebook
Neue Nachrichten
Werbung