Red Hat Training

A Red Hat training course is available for Red Hat Enterprise Linux

Kapitel 1. Überblick über Sicherheit

Durch die wachsende Abhängigkeit von leistungsstarken, vernetzten Computern für das Führen von Unternehmen und Aufzeichnen unserer persönlichen Daten haben sich ganze Industriezweige um die Netzwerk- und Computersicherheit herum gebildet. Unternehmen ziehen das Wissen und die Fähigkeiten von Sicherheitsexperten zu Rate, um Systeme zu prüfen und maßgeschneiderte Lösungen für die Anforderungen des Unternehmens zu erstellen. Dadurch, dass die meisten Unternehmen dynamisch arbeiten, mit Mitarbeitern, die auf IT-Ressourcen der Firma intern und extern zugreifen, wird der Bedarf an sicheren EDV-Umgebungen immer deutlicher.
Leider betrachten viele Unternehmen (sowie auch Einzelbenutzer) die Sicherheit immer erst im Nachhinein, ein Faktor, der zu Gunsten erhöhter Leistung und Produktivität sowie aus Kostengründen gerne übersehen wird. Angemessene Sicherheitsimplementierung wird oftmals postmortem durchgeführt — erst nachdem ein unberechtigter Zugriff erfolgte. Sicherheitsexperten sind sich einig, dass das Ergreifen richtiger Maßnahmen vor dem Verbinden mit einem nicht vertrauenswürdigen Netzwerk wie dem Internet ein sicheres Mittel zum Verhindern von unerlaubten Zugriffen ist.

Anmerkung

Dieses Handbuch verweist an einigen Stellen auf Dateien im /lib-Verzeichnis. Wenn Sie 64-bit Systeme verwenden, befinden sich einige der genannten Dateien stattdessen in /lib64.

1.1. Einführung in Sicherheit

1.1.1. Definition von Computersicherheit

Computersicherheit ist ein allgemeiner Begriff, der einen weitreichenden Bereich der Datenverarbeitung umfasst. Industriezweige, die für ihre täglichen Geschäftstransaktionen und Zugriffe auf wichtige Daten auf Computersysteme und Netzwerke angewiesen sind, betrachten ihre Daten als einen wichtigen Teil ihres Gesamtkapitals. Mehrere Begriffe und Kennzahlen haben ihren Weg in die Geschäftssprache gefunden, wie zum Beispiel Total Cost of Ownership (TCO), Return on Investment (ROI) und Quality of Service (QoS). Anhand dieser Kennzahlen kalkulieren Unternehmen Aspekte wie Datenintegrität und Hochverfügbarkeit als Teil ihrer Planung und Prozessverwaltung. In einigen Industriezweigen wie zum Beispiel dem E-Commerce kann die Verfügbarkeit und Vertrauenswürdigkeit von Daten über Erfolg oder Misserfolg des Unternehmens entscheiden.

1.1.1.1. Anfänge der Computersicherheit

Die Datensicherheit hat sich in den letzten Jahren in Anbetracht der wachsenden Abhängigkeit von öffentlichen Netzwerken für persönliche, finanzielle und andere vertrauliche Informationen entwickelt. Die zahlreichen Fälle, wie z. B. der Mitnick [1] oder der Vladimir Levin [2] Fall, haben Unternehmen aller Industriebereiche dazu veranlasst, ihre Methoden zur Datenübertragung und -aufbewahrung neu zu überdenken. Die wachsende Beliebtheit des Internets war eine der wichtigsten Entwicklungen, die intensivere Bemühungen im Bereich der Datensicherheit mit sich brachte.
Eine stetig wachsende Zahl von Nutzern verwenden ihre eigenen Computer für den Zugriff auf Ressourcen, die das Internet zu bieten hat. Von Recherchen und Informationssuche bis hin zu E-Mail und Handelstransaktionen - das Internet gilt als eine der bedeutendsten Entwicklungen des 20. Jahrhunderts.
Das Internet und seine früheren Protokolle wurden jedoch als ein System auf Vertrauensbasis entwickelt. Mit anderen Worten, das Internetprotokoll (IP) war von vornherein nicht als sicher ausgelegt. Es sind keine anerkannten Sicherheitsstandards im TCP/IP-Kommunikationsstapel integriert, was eine Angriffsfläche für potenziell böswillige Benutzer und Prozesse im gesamten Netzwerk bildet. Moderne Entwicklungen haben die Kommunikation über das Internet zwar sicherer gemacht, allerdings kommt es immer wieder zu Vorfällen, die Aufsehen erregen und uns bewusst machen, dass nichts hundertprozentig sicher ist.

1.1.1.2. Heutige Sicherheit

Im Februar 2000 wurde ein Distributed Denial of Service (DDoS) Angriff auf einige der am häufigsten besuchten Internetsites ausgeführt. Durch diesen Angriff waren yahoo.com, cnn.com, amazon.com, fbi.gov und einige andere Sites für normale Benutzer unerreichbar, da Router mit stundenlangen, riesigen ICMP-Paketübertragungen, auch Ping Flood genannt, überlastet waren. Diese Attacke wurde von unbekannten Angreifern gestartet, die speziell dafür erstellte, einfach erhältliche Programme verwendeten, die angreifbare Netzwerkserver suchen und dann sogenannte Trojaner-Client-Applikationen auf den Servern installieren, um schließlich eine zeitlich koordinierte Attacke zu starten, bei der die Site des Opfers durch jeden dieser infizierten Server mit Anfragen überflutet wird und somit unerreichbar wird. Viele sehen die Ursache dieses Angriffs in fundamentalen Fehlern in der Weise, wie Router und Protokolle strukturiert sind, um alle eingehenden Daten anzunehmen, egal woher oder zu welchem Zweck Pakete gesendet wurden.
Im Jahre 2007 führte ein Verstoß gegen die Datensicherheit, der eine bekannte Schwachstelle des Wired Equivalent Privacy (WEP) Protokolls zur Verschlüsselung von Funkverbindungen ausnutzte, zum Diebstahl von über 45 Millionen Kreditkartennummern von einem globalen Finanzinstitut.[3]
In einem anderen Fall wurden die Abrechnungsunterlagen von über 2,2 Millionen Patienten, die auf einem Backup-Band gespeichert waren, vom Beifahrersitz eines Kurierfahrzeugs gestohlen.[4]
Geschätzte 1,4 Milliarden Menschen weltweit nutzen derzeit das Internet oder haben es genutzt.[5] Gleichzeitig wissen wir jedoch auch Folgendes:
  • Jeden Tag werden etwa 225 schwerwiegende Fälle von Sicherheitsverletzungen an das CERT-Koordinationszentrum an der Carnegie Mellon Universität gemeldet.[6]
  • Die Anzahl der bei CERT gemeldeten Vorfälle stieg sprunghaft von 52.658 im Jahre 2001 auf 82.094 in 2002 und auf 137.529 in 2003 an.[7]
  • Laut dem FBI wurde der Schaden durch Computerkriminalität für US-amerikanische Unternehmen für das Jahr 2006 auf 67,2 Milliarden US-Dollar geschätzt. [8]
Eine globale Befragung unter Sicherheits- und Informationstechnologie-Experten im Jahre 2009, "Why Security Matters Now"[9], durchgeführt vom CIO Magazine, brachte in diesem Zusammenhang einige bemerkenswerte Ergebnisse zu Tage:
  • Nur 23% der Befragten haben Richtlinien zur Verwendung von Web 2.0 Technologien. Diese Technologien wie z. B. Twitter, Facebook und LinkedIn bieten zwar einen bequemen Weg für Unternehmen und Privatpersonen zur Kommunikation und Zusammenarbeit, öffnen gleichzeitig aber auch neue Schwachstellen, insbesondere das mögliche Durchsickern vertraulicher Daten.
  • Sogar während der kürzlichen Finanzkrise in 2009 waren die in der Befragung festgestellten Sicherheitsbudgets im Vergleich zu den Vorjahren etwa gleich geblieben oder gestiegen (fast 2 von 3 Befragten erwarteten gleichbleibende oder steigende Ausgaben). Das sind gute Neuigkeiten, da es den Wert widerspiegelt, den Unternehmen heutzutage auf Datensicherheit legen.
Diese Ergebnisse unterstreichen die Tatsache, dass Computersicherheit mittlerweile eine messbare und gerechtfertigte Ausgabe in IT-Budgets ist. Unternehmen, die auf die Datenintegrität und Hochverfügbarkeit angewiesen sind, nehmen die Kenntnisse und Fähigkeiten von Systemadministratoren, Entwicklern und Technikern in Anspruch, um die Zuverlässigkeit ihrer Systeme, Dienste und Daten rund um die Uhr zu gewährleisten. Böswillige Benutzer, schädliche Prozesse oder koordinierte Angriffe sind eine direkte Bedrohung für den Erfolg eines Unternehmens.
Leider kann die System- und Netzwerksicherheit ein schwieriges Thema sein, welches zudem detailliertes Wissen darüber erfordert, wie ein Unternehmen seine Daten betrachtet, nutzt, bearbeitet und überträgt. Ein Verständnis davon, wie ein Unternehmen (und die Menschen in diesem Unternehmen) seine Geschäfte tätigt ist daher von höchster Bedeutung, um einen angemessenen Sicherheitsplan zu implementieren.

1.1.1.3. Standardisierung der Sicherheit

Unternehmen in jedem Industriezweig sind auf Richtlinien und Regeln von Standardisierungsorganisationen wie z. B. der American Medical Association (AMA) oder dem Institute of Electrical and Electronics Engineers (IEEE) angewiesen. Die gleichen Ideale gelten für die Datensicherheit. Viele Sicherheitsberater und Hersteller haben sich auf das Standard-Sicherheitsmodell CIA (Confidentiality, Integrity und Availability - Vertraulichkeit, Integrität und Verfügbarkeit) geeinigt. Dieses 3-Schichten-Modell ist eine allgemein anerkannte Komponente für das Einschätzen von Risiken für sensible Daten und das Einrichten einer Sicherheitsrichtlinie. Im Folgenden wird das CIA-Modell näher beschrieben:
  • Vertraulichkeit — Vertrauliche Informationen dürfen nur für im vornherein festgelegte Einzelpersonen verfügbar sein. Unautorisierte Übertragung und Verwendung von Informationen muss verhindert werden. So stellt zum Beispiel die Vertraulichkeit von Informationen sicher, dass persönliche oder finanzielle Details von Kunden nicht von Unbefugten für böswillige Zwecke wie Identitätsraub oder Kreditbetrug missbraucht werden können.
  • Integrität — Informationen dürfen nicht derart verändert werden, dass sie unvollständig oder falsch werden. Unbefugte müssen daran gehindert werden, vertrauliche Informationen ändern oder zerstören zu können.
  • Verfügbarkeit — Informationen müssen jederzeit für befugte Personen zugänglich sein. Verfügbarkeit ist die Garantie dafür, dass Informationen mit einer vereinbarten Häufigkeit und rechtzeitig abgerufen werden können. Dies wird häufig in Prozent gemessen und formell in Service-Level-Agreements (SLAs) zwischen Netzwerkservice-Anbietern und deren Geschäftskunden festgelegt.

1.1.2. SELinux

Red Hat Enterprise Linux beinhaltet eine Erweiterung zum Linux-Kernel namens SELinux, die eine Mandatory Access Control (MAC) Architektur implementiert, welche feingranulare Kontrolle über Dateien, Prozesse, Benutzer und Applikationen im System ermöglicht. Eine detaillierte Auseinandersetzung mit SELinux geht über den Rahmen dieses Handbuchs hinaus. Werfen Sie für mehr Informationen über SELinux und dessen Anwendung in Red Hat Enterprise Linux bitte einen Blick auf das Red Hat Enterprise Linux SELinux-Benutzerhandbuch. Weitere Informationen über das Konfigurieren und Ausführen von Diensten, die durch SELinux gesichert sind, finden Sie im SELinux-Handbuch zur Verwaltung eingeschränkter Dienste. Andere verfügbare Quellen für SELinux finden Sie unter Kapitel 8, Weitere Informationsquellen.

1.1.3. Sicherheitskontrollen

Computersicherheit wird häufig in drei verschiedene Hauptkategorien eingeteilt, die allgemein als Kontrollen bezeichnet werden:
  • Physische Kontrolle
  • Technische Kontrolle
  • Administrative Kontrolle
Diese drei Kategorien definieren die Hauptziele einer ordnungsgemäßen Sicherheitsimplementierung. Innerhalb dieser Kontrollen befinden sich Unterkategorien, die deren Implementierung näher definieren.

1.1.3.1. Physische Kontrolle

Die physische Kontrolle ist die Implementierung von Sicherheitsmaßnahmen in einer festgelegten Struktur, die unbefugten Zugriff auf sensible Daten verhindert. Beispiele für physische Zugangskontrollen:
  • Überwachungskameras
  • Bewegungs- oder Wärmemelder
  • Sicherheitspersonal
  • Ausweise
  • Verriegelte Stahltüren
  • Biometrie (z. B. Erkennung von Fingerabdrücken, Stimme, Gesicht, Iris, Handschrift oder andere automatisierte Methoden, um die Identität von Personen nachzuweisen)

1.1.3.2. Technische Kontrollen

Technische Kontrollen verwenden Technologie als Basis für die Kontrolle von Zugang zu bzw. Verwendung von sensiblen Daten durch eine physische Struktur und über ein Netzwerk. Technische Kontrollen decken weite Bereiche ab und umfassen unter anderem folgende Technologien:
  • Verschlüsselung
  • Smart Cards
  • Netzwerkauthentifizierung
  • Zugangskontrolllisten (ACLs)
  • Software zur Prüfung der Dateiintegrität

1.1.3.3. Administrative Kontrollen

Administrative Kontrollen definieren den menschlichen Faktor der Sicherheit. Sie umfassen alle Mitarbeiter innerhalb eines Unternehmens und legen fest, welche Benutzer Zugang zu welchen Ressourcen und Informationen haben. Dies geschieht unter anderem durch:
  • Schulung und Aufklärung
  • Katastrophenvorbereitung und Wiederherstellungspläne
  • Personaleinstellungs- und Separations-Strategien
  • Mitarbeiterregistrierung und Buchhaltung

1.1.4. Fazit

Nachdem Sie jetzt mehr über die Ursprünge, Beweggründe und Aspekte der Sicherheit erfahren haben, können Sie nun den richtigen Aktionsplan für Red Hat Enterprise Linux festlegen. Es ist wichtig zu wissen, welche Faktoren und Bedingungen die Sicherheit beinflussen, um eine richtige Strategie planen und implementieren zu können. Mit diesen Informationen im Hinterkopf kann der Prozess formalisiert werden, und der Weg wird klarer, je tiefer Sie in die Details des Sicherheitsprozesses eintauchen.

[1] http://law.jrank.org/pages/3791/Kevin-Mitnick-Case-1999.html
[2] http://www.livinginternet.com/i/ia_hackers_levin.htm
[3] http://www.theregister.co.uk/2007/05/04/txj_nonfeasance/
[4] http://www.fudzilla.com/content/view/7847/1/
[5] http://www.internetworldstats.com/stats.htm
[6] http://www.cert.org
[7] http://www.cert.org/stats/cert_stats.html
[8] http://news.cnet.com/Computer-crime-costs-67-billion,-FBI-says/2100-7349_3-6028946.html
[9] http://www.cio.com/article/504837/Why_Security_Matters_Now