Sicherheit in vernetzten Systemen - RRZ Universität Hamburg
Sicherheit in vernetzten Systemen - RRZ Universität Hamburg
Sicherheit in vernetzten Systemen - RRZ Universität Hamburg
Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.
YUMPU macht aus Druck-PDFs automatisch weboptimierte ePaper, die Google liebt.
KAPITEL 2. SICHERHEITSPROBLEME<br />
Netzwerksicherheit<br />
Auch das Netzwerk selbst ist e<strong>in</strong>e Schwachstelle, die das System angreifbar macht. Dies betrifft zum<br />
e<strong>in</strong>en die Protokolle, die das Versenden und Empfangen von Daten ermöglichen, zum anderen die verwendete<br />
Technologie und Topologie e<strong>in</strong>es Netzwerkes. Zu den entsprechenden Angriffsmöglichkeiten<br />
zählen hier z.B. das Fälschen von Absenderadressen, das Verändern der dynamischen Rout<strong>in</strong>gtabellen<br />
e<strong>in</strong>es Rechners oder Routers, um den Datenstrom umzuleiten, oder die Unterbrechung des Netzwerkzugangs.<br />
Maßnahmen zur Beseitigung dieser Angriffsmöglichkeiten dienen der Netzwerksicherheit.<br />
Die exakte Trennung zwischen Hostsicherheit und Netzwerksicherheit ist hierbei genau so schwierig<br />
wie die Trennung zwischen Netzwerk und Rechner selbst, der Übergang ist fließend.<br />
Weitere E<strong>in</strong>flüsse auf die <strong>Sicherheit</strong><br />
Es gibt weitere Faktoren, die die <strong>Sicherheit</strong> e<strong>in</strong>es Systems bee<strong>in</strong>flussen. Insbesondere menschliche<br />
Schwächen lassen sich ausnutzen, um an sicherheitsrelevante Informationen zu gelangen. Diese Art<br />
von Angriffen wird häufig alsSocial Hack<strong>in</strong>g oder Social Eng<strong>in</strong>eer<strong>in</strong>g bezeichnet. Hierzu gehört das<br />
Auskundschaften von Paßwörtern im Gespräch, oft per Telefon. Oftmals geben sich Angreifer als<br />
Systemadm<strong>in</strong>istratoren aus und erklären, sie bräuchten das Paßwort des Angerufenen für dr<strong>in</strong>gliche<br />
adm<strong>in</strong>istrative Aufgaben. Insbesondere <strong>in</strong> großen Firmen kennen die Mitarbeiter die Systembetreuer<br />
i.d.R. nicht und geben ihr Paßwort preis. Weiterh<strong>in</strong> s<strong>in</strong>d vielen Mitarbeitern die Gefahren und <strong>Sicherheit</strong>srisiken<br />
des Systems nicht bewußt. Auch Systemadm<strong>in</strong>istratoren e<strong>in</strong>zelner Abteilungen können<br />
unabsichtlich durch leichtfertige Konfiguration e<strong>in</strong>zelner Rechner die <strong>Sicherheit</strong> des Gesamtsystems<br />
gefährden. E<strong>in</strong>e gute Schulung der Mitarbeiter ist deshalb wichtig, um das <strong>Sicherheit</strong>sbewußtse<strong>in</strong> der<br />
Anwender zu schärfen. Auch e<strong>in</strong>e ständige Weiterbildung der Systemverwalter trägt dazu bei, daß<br />
<strong>Sicherheit</strong>slücken frühzeitig erkannt und geschlossen werden oder gar nicht erst entstehen.<br />
2.4 Angriffe auf die Hostsicherheit<br />
In diesem Kapitel werden Beispiele für die Möglichkeiten von Angriffen gegeben. Zunächst werden<br />
Angriffe auf die Hostsicherheit (d.h. auf Paßwort-Mechanismus, Systemaufrufe, Dienste und Anwendungen)<br />
aufgeführt, im nächsten Kapitel folgt die Beschreibung von Angriffen auf die Netzwerksicherheit,<br />
die i.d.R. die Schwächen von Netzwerkprotokollen und -diensten ausnutzen.<br />
2.4.1 Paßwort-Mechanismus<br />
Die Identifikation und Autorisierung von Benutzern erfolgt heutzutage weitestgehend über e<strong>in</strong>en<br />
Paßwort-Mechanismus. Dies erfordert, daß dem System e<strong>in</strong>e Liste zur Verfügung stehen muß, die<br />
den Benutzernamen die zugehörigen Paßwörter zuordnet. Unter Unix-<strong>Systemen</strong> ist dies die Datei<br />
/etc/passwd. E<strong>in</strong> E<strong>in</strong>trag <strong>in</strong> diese Datei sieht wie folgt aus:<br />
gellert:1/S1ocEzgyZA2:10000:10000:Olaf Gellert:/home/olaf:/b<strong>in</strong>/bash<br />
Der E<strong>in</strong>trag besteht aus dem Benutzernamen, dem verschlüsselten Paßwort, e<strong>in</strong>er Benutzer- und e<strong>in</strong>er<br />
Gruppenidentifikationsnummer, e<strong>in</strong>em beschreibenden Feld (<strong>in</strong> dem i.d.R. der volle Name des Benutzer<br />
steht), der Angabe des Heimatverzeichnisses des Benutzers und se<strong>in</strong>er Log<strong>in</strong>-Shell. Diese Datei ist<br />
für jeden Benutzer lesbar, damit z.B. die Angabe über das Heimatverzeichnis auch Anwendungen zur<br />
Verfügung steht. Dies birgt jedoch auch die Gefahr, daß versucht werden kann, die Paßwörter anderer<br />
26 SS 99, Sem<strong>in</strong>ar 18.416: <strong>Sicherheit</strong> <strong>in</strong> <strong>vernetzten</strong> <strong>Systemen</strong>