it-sicherheitsblog.de

Um den Server einigermaßen aktuell zu halten war es mal wieder an der Zeit die Linux-Version upzudaten. Dabei habe ich wieder einige neue Erfahrungen sammeln dürfen. So heißt ein im Plesk erfolgreich & als fehlerfrei erstelltes Backup noch lange nicht, dass das Backup auch wirklich fehlerfrei ist. Das merkt man jedoch erst beim zurückspielen. Lapidare Antwort vom Support hierzu, es ist allgemein bekannt, dass das Plesk-Backup nicht sauber arbeitet. Besser verzichten sie auf den Einsatz. Dazu muss ich wohl nichts sagen…..

Gut, dass die meine Seiten und die Artikel immer auch noch per Hand sichere, so ging wenigstens nichts allzuwichtiges verloren. Das einzige was leider auf der Strecke geblieben ist sind die Kommentare zu den Artikeln, ich bitte dies zu entschuldigen. Für die Zukunft werden auch die mitgesichert. Ein einfaches Zurückspielen der Daten in das Verzeichnis und das einspielen des vorab erstellen Mysql-Dumps hilft leider nicht. Er kann danach die IDs den Artikeln nicht mehr richtig zuordnen. Und um nicht noch mehr Zeit zu vertrödeln, habe ich die Artikel neu hochgeladen. Deshalb sind sie nun alle von heute und ohne die Kommentare.

Sobald ich eine funktionierende Backupstrategie habe, gibt es sie auch hier zu lesen.

Diesmal in eigener Sache:

Derzeit schreibe ich an einem Buch zum Thema Webserver- und Typo3-Sicherheit. Die Themen reichen von der Hardwareauswahl, über Schutzkonzepte, wie IDS und Firewalls, die Installation und Konfiguration von SSH, FTP, MySQL, Apache bis hin zu reichlich Methoden Typo3 sicher zu betreiben. Des weiteren werden die Rechtesysteme behandelt und Backupmethoden erläutert.
Ich würde mich freuen, weitere Anregungen zu Themen zu bekommen, die in diesem Bereich von Interesse sind. Ich kann zwar nicht versprechen alles zu berücksichtigen, aber soweit es inhaltlich einigermaßen passt und nicht den Rahmen sprengt nehme ich es gerne mit auf.

Zu einer vernünftigen IT-Sicherheitsinfrastruktur zählt auch ein Ticketsystem, mit dem Kunden bzw. Mitarbeiter in der Lage sind, Probleme zu melden, ohne großen Aufwand zu haben. Mein Favorit für diese Problemstellung ist das Open Source System OTRS. Damit lassen sich ohne viel Aufwand Tickets verwalten und abarbeiten. Die Installation möchte ich anhand eines Suse 11.1 darstellen.

Zunächst benötigen Sie ein Suse-System; da später alles per Webserver läuft, reicht ein text-basiertes System aus. Stellen Sie zunächst sicher, dass keine unnötigen Dienste laufen.

Installieren Sie nun ssh, Apache2 und Mysql mit Hilfe von yast. Wenn Sie den Apache nicht selber konfigurieren möchten, installieren Sie zusätzlich das Yast-Modul yast2-http-Server. Falls Sie diesen Weg gewählt haben, beenden Sie yast nach der Installation des Modules und starten Sie es neu, um dort unter Network Services den http-Dienst zu konfigurieren. Ohne das Modul beenden Sie yast und konfigurieren Sie den Apache nach Ihren Wünschen per Hand.

Hiernach starten Sie den Mysql-Dienst mit „rcmysql start“ und führen das Script für eine Absicherung des Mysql-Dienstes mit dem Befehl „mysql_secure_installation“ aus. Alternativ können Sie Mysql natürlich auch per Hand einrichten.

Nun wird es Zeit OTRS selbst zu installieren. Sie können die Version 2.2 direkt aus yast heraus installieren oder per „wget http://ftp.otrs.org/pub/otrs/RPMS/suse/10.0/otrs-2.3.4-01.noarch.rpm“ oä. sich die derzeit aktuelle stabile Version 2.3.4 als RPM herunter laden. Nehmen Sie die Version für Suse 10.0 -10.3 aus dem Verzeichnis, Sie läuft einwandfrei unter 11.1. (http://otrs.org/download/)

Bei dem selbst herunter geladenen Paket starten Sie die Installation mit „rpm –i Paketname“.

Zum Abschluss der Installation starten Sie den Apache und Mysql neu mit „rcapach2 restart && rcmysql restart“. Mit höchster Wahrscheinlichkeit startet der Apache nun nicht wieder. Dies liegt an dem Fehlen eines Perl-Moduls namens Apache::Reload, dass in mod_perl 2.0.4 nicht enthalten ist. Entweder verschieben Sie den Einsatz von OTRS, bis mod_perl 2.0.5 erschienen ist (da soll es dann wieder drin sein) oder Sie installieren es mit „cpan Apache::Reload“ selbst. Sollten Sie das erste mal cpan benutzen, müssen Sie einige Fragen beantworten. Ich empfehle Ihnen an der Stelle, auf die Frage „ Wollen Sie so viel wie möglich automatisch machen lassen“ mit yes zu antworten.

Nun können Sie den Apache starten und alles läuft.

Der nächste Schritt ist die Konfiguration von OTRS selbst. Rufen Sie hierzu die Seite Adresseserver/otrs/installer.pl von einem Browser aus auf. Die Menüs sind soweit selbsterklärend; tragen Sie die Werte ein und klicken Sie sich durch. Im Anschluss können Sie sich nun in Ihr System einloggen.

Serveradresse/orts/index.pl

Benutzer: root@localhost

Passwort: root

Sie sollten das Passwort nach dem Login im Adminbereich unter Benutzer ändern. Eine Eigenart von OTRS ist es, dass überall leere Listen angezeigt werden und Sie erst, wenn Sie auf Suchen gehen, die Daten bekommen. Also wundern Sie sich nicht, wenn Sie den Nutzer root nicht auf Anhieb sehen oder eine neue Firma nicht in der Liste erscheint.

1. Installieren Sie Ubuntu mit der Standardinstallation (hier ist Version 9.04 zum Einsatz gekommen).
2. Öffnen Sie unter System/Systemverwaltung den Synaptics-Paketmanager und suchen Sie nach „Nepenthes“. Installieren Sie das Paket und die zusätzlich benötigten Bibliotheken (Sie müssen nur bestätigen).
3. Öffnen Sie ein Terminalfenster und testen Sie mit „sudo nepenthes“, ob alles gut gelaufen ist. Sie werden eine Menge Text sehen und einige rote Fehlermeldungen. Mit diesen beschäftigen wir uns im Folgenden.
4. Brechen Sie den Prozess mit STRG-C ab. Dies ist leider nicht immer ganz erfolgreich, deshalb überprüfen Sie mit „sudo ps ax | grep nepen“, ob es funktioniert hat. Als Ergebnis sollten Sie nur eine Zeile sehen in der grep nepen vorkommt. Sollte noch eine zweite Zeile da sein, in der Nepenthes ausgeschrieben steht, benutzen sie den Befehl „sudo kill Nummer“, wobei Nummer die Zahl ist, die vor der Zeile in der Nepenthes steht zu sehen ist. Nun ist der Prozess definitiv beendet und Sie können mit der Konfiguration beginnen.
5. Hierzu öffnen Sie mit einem Texteditor Ihrer Wahl die Datei /etc/nepenthes/nepenthes.conf und schreiben die Zeile bind_address im Block socketmanager statt der 0.0.0.0 die IP-Adresse Ihrers Rechners. (Falls Sie sie noch nicht kennen, der Befehl „ifconfig“ zeigt Ihnen alle Adressen an, die Sie verwenden) Wichtig ist, dass Sie die Datei als mit root-Rechten bearbeiten. Also z.B. mit „sudo vi nepenthes.conf“
6. Nun läuft ihr Honeypot mit den Standardeinstellungen.

Nachfolgend erkläre ich Ihnen noch einige Modulkonfigurationsdateien.

Nepenthes.conf

In dieser Datei wird geregelt welche Module geladen werden sollen und wo welche speziellen Konfigurationen zu finden sind. Die Module haben alle als Endung ein .so und deren Konfigurationsdateien finden Sie im Ordner /etc/nepenthes.

Log-download.conf

Hier legen Sie fest in welchem Ordner die Logfile über protokollierte Downloads und Downloadversuche geschrieben werden sollen.

Submit-file.conf

Konfiguriert den Speicherplatz für entgegenommene Dateien

Vuln-*Dienstename*

Definiert die einzelnen offenen Ports, die simuliert werden sollen.

Wie immer gibt es die Anleitung auch als PDF.

http://www.great-oak.de/fileadmin/greatoak2008/pdf/nepenthes-installation-great-oak.pdf

un gibt es hier auch eine Anleitung um eine Verbindung zwischen einem Lancom-Router und der kostenlosen VPN-Software von Shrew Soft herzustellen, da es anscheinend diverse Probleme dabei gibt. Sie beschreibt, wie die Shrew Soft Software konfiguriert wird. Die Konfiguration des Lancom Routers entnehmen die bitte der IPSecuritas-Anleitung.

Die Anleitung für Shrew Soft finden Sie hier:

http://www.great-oak.de/fileadmin/greatoak2008/pdf/Anleitung-VPN-Lancom-1611-zu-Shrew-Soft.pdf

Die Landesbeauftragte für Datenschutz und Informationsfreiheit in NRW, Bettina Sokol, weist in Form eines Auskunftsersuchens eine Kommune mit touristischem Internetportal darauf hin, dass die Benutzung von Google Analytics bei der derzeitigen Rechtslage zu unterlassen ist.

Hiermit stellt Frau Sokol, genau wie in ihrem Datenschutzbericht 2009, klar, dass ihre Behörde die IP-Adresse eines Internetseitenbesuchers ganz eindeutig als personenbezogenes Datum einordnet. Dies hat somit als logische Konsequenz, dass für das Erheben und Auswerten von Besucherdaten und deren Übermittlung ins außereuropäische Ausland eine freiwillige und ordentlich dokumentierte Einwilligung notwendig ist. (§ 12 und 13 TMG)
Da dies aber bei einem Einsatz von Google Analytics nicht möglich ist (Die Daten werden schon erhoben, bevor ein Nutzer überhaupt etwas sieht) lässt sich hieraus die Rechtswidrigkeit eines Einsatzes von Google Analytics herleiten. Zu diesem Thema gibt es auch zwei bekannte Urteile, zum einen vom AG und LG Berlin, dass alle IPs personenbezogen definiert und eines vom AG München, was dynamische als nicht personenbezogen definiert, sich aber über statisches IP ausschweigt. Zudem hat das AG München leider versäumt zu begründen, warum sie dies so sehen.

Bei der derzeitigen Rechtslage sollte jeder Verantwortliche einer Website auf den Einsatz von Analytics verzichten.

Weitere Informationen zu dem Thema zusammengefasst unter:
http://www.it-sicherheitsblog.de/wp-content/googleanalytics.pdf

Am Wochenende, beim Lesen diverser Zeitungen und Zeitschriften, fielen mir die Stellenanzeigen ins Auge. Viele Stellenanzeigen stellen meiner Ansicht nach schon ein Sicherheitsrisiko für die betreffenden Unternehmen dar. Zum einen kann man beim Studium der Stellenanzeigen auf der Website des Unternehmens bereits viel über den internen Aufbau lernen und erfährt auch, als welche Person man sich bei einem Angriff am besten ausgeben (Ich bin der neue Marketingsassistent, leider habe ich noch keine Zugangsdaten, darf ich mal kurz ihren PC benutzen) bzw. an wen man sich wenden kann. (Ach Herr Meier, sie sind also der neue Vertriebler, ich bin Herr XYZ vom Rechenzentrum. Ich arbeite auch erst seit zwei Wochen hier *Smalltalk* und muss mal kurz ihren PC fertig einrichten. Bitte geben Sie mir doch kurz ihre Zugangsdaten, dann muss ich nicht erst ins Büro laufen und sie mir raussuchen. Wenn das der Arbeitsteilungsleiter sieht hält er mich gleich für vergesslich oä.)

Aber die Gefahren stecken auch noch in anderen Informationen in der Stellenanzeige. So kann ein potenzieller Angreifer häufig erfahren, welche Hard- und Software zum Einsatz kommt (Kenntnisse in Lexware FO, Suse Linux, MS IIS, LANCOM-Geräte (z.B. 1611+) wünschenswert).

Beim intensiven Studium der Anzeigen erfährt der Angreifer vieles, was er auch auf anderem Wege hätte herausfinden können, völlig gefahrlos und zusammengefasst.
Mein Vorschlag wäre, auch wenn man gerne seinen Traumkandidaten exakt definieren möchte, formulieren Sie ihre Beschreibungen allgemeiner. Schreiben Sie Kenntnisse im Umgang mit Linuxsystemen und gängigen Webservern wünschenswert oder statt “Wir möchten in Zukunft verstärkt auf IT-Sicherheit setzen und suchen deshalb einen IT-Sicherheitsexperten” lieber “Zur Verstärkung unseres IT-Teams suchen wir einen IT-Sicherheitsexperten”. So erfährt niemand welche Soft- oder Hardware Sie genau einsetzen und auch nicht, dass das Thema IT-Sicherheit bisher eine untergeordnete Rolle bei Ihnen gespielt hat. Und generell sollten Sie definieren, welche Informationen das Unternehmen verlassen dürfen und welche nicht. Dies ist dann auch bei Stellenanzeigen einzuhalten.

Auf Wunsch hin habe ich heute eine Anleitung für ein VPN zwischen IPSecuritas Client unter Mac OS X und einem Lancom Router 1611+ geschrieben. Die Anleitung sollte auch mit anderen Lancom Router funktioneren wie z.B. dem 1811 usw.

Über Kommentare zur der Anleitung freue ich mich. Verbesserungsvorschläge sind auch gern gelesen!

Die vollständige bebilderte Anleitung ist unter :

http://www.great-oak.de/fileadmin/greatoak2008/pdf/VPN-Lancom1611-IPSecuritas.pdf

zu bekommen.

Mit Hilfe von Schwachstellenscannern und Honeypots sollte eine 200 Besucher große LAN-Party hinsichtlich der Patchstandes und sonstiger Sicherheitsvorkehrungen untersucht werden. Die Zielgruppe waren 16 – 30 Jährige Personen mit einer hohen IT-Affinität und einer täglichen PC-Nutzungszeit von mehr als 60 Minuten.

Daten

Untersuchte Rechner: 193

Untersuchungszeitraum: 04.04.2009 von 10:15 Uhr bis 11:12 Uhr

Eingesetzte Software: Tenable Network Security Nessus Version 3.2.1 – build 2G912

Ergebnisse

Erstes Fazit

Trotz der eigentlich zu erwartenden relativ hohen IT-Kenntnisse waren bei fast einem drittel der Rechner nicht alle aktuellen Windowsupdates installiert. Hinzu kommen Schwachstellen durch installierte Dienste wie Webserver, FTP-Server und Remotecontroll-Tools. Leider zeigt die relativ hohe Anzahl an unsicheren Rechnern, dass selbst unter erfahrenen PC-Nutzern das Sicherheitsempfinden sehr gering ist. Viele Nutzer scheinen die automatischen Updates deaktiviert zu haben, denn selbst bei illegalen Installationen werden die Sicherheitsupdates installiert. Auch das installieren von Software die sie nicht richtig konfigurieren können schafft weitere ungeplante Löcher in der Sicherheit des eigenen Rechners.

Die endgültigen Ergebisse inklusive der Honeypot –Auswertung sind zu einem späteren Zeitpunkt hier zu finden und dann auch inklusive weiteren Zahlenmaterials und mehr Details.

Bei einem an einen externen Monitor angeschlossenen 15 Zoll MacBook Pro (neuste Bauserie) kommt es manchmal (häufiger nach dem Ruhezustand) zu einem Flackern und Flimmern des Monitorbildes. Auch zu einer Vergrieselung (Tolles Wort für lauter bunte kleine Punkte) auf dem Monitor kann es kommen. Der Effekt hält dauerhaft an und scheint unabhängig vom Monitor zu sein.

Meine Lösung dazu:

Systemeinstellung / Monitor öffnen und einfach die Auslösung auf einen niedrigeren Wert stellen, warten bis sie erfolgreich umgestellt wurde und wieder zurück auf den alten Wert stellen. Problem behoben bis mindestens zum nächsten Ruhezustand, meist aber noch länger.Workaround Flackern externer Monitor MacBook Pro