Sicherheit im CSN

Wir werden auf diesen Seiten versuchen, Euch auf Sicherheitsprobleme im CSN aufmerksam zu machen und Hinweise zu deren Umgehung bzw. Lösung aufzeigen. Die Sicherheitsprobleme kann man in folgende Bereiche untergliedern:

  • Windows Update
  • Fragen und Antworten zu Personal Firewalls
  • Mitlauschen (Sniffen) von fremden Daten
  • Angriffe auf fremde Rechner, um sich widerrechtlich Zugang zu verschaffen
  • Unberechtigte Nutzung und Veränderung fremder Ressourcen, Accounts und Daten
  • Störung von fremden Diensten, sodass reguläres Benutzen unmöglich ist (Denial of Service)
  • Schutz der Nutzer, Firewall

Windows Update

Aufgrund immer wieder auftretender Sicherheitslücken in den Betriebssystemen Windows XP, Windows Vista, Windows 7 und Windows 8 sollten regelmäßig (mind. einmal pro Woche) Aktualisierungen (sog. Updates) für diese Systeme bezogen werden. Wie das funktioniert, wird in dieser Anleitung beschrieben.

Selbstverständlich sind auch andere Betriebssysteme (Mac OS, Linux) von Sicherheitslücken betroffen und bedürfen regelmäßiger Sicherheitsaktualisierungen.

Fragen und Antworten zu Personal Firewalls

Mitlauschen (Sniffen) von fremden Daten

Aufgrund der Netztechnologie des CSN ist es möglich, fremde Daten, die über das Netz übertragen werden, durch sogenanntes Sniffen mitzulauschen. Besonders kritisch ist das genau dann, wenn die Daten im Klartext, d.h. nicht verschlüsselt, übertragen werden. Leider benutzen nur sehr wenige Netzwerkanwendungen (Browser, eMail-Client, usw.) standardmäßig Verschlüsselungstechnologien. Wir möchten Euch für die wichtigsten Netzwerkdienste Möglichkeiten aufzeigen, wie Eure Daten verschlüsselt übertragen werden können. Benutzung von Sniffern, Netzwerkmonitoren: Laut Nutzungsordnung § 3 Abschnitt 6.2 „Rechte und Pflichten der Nutzer“ ist jede Nutzung von Sniffern, Netzwerkmonitoren oder ähnlichen Werkzeugen, welche dem gleichen Zweck dienen, verboten. Netzwerkmonitore, welche nur die eigenen Daten anzeigen bzw. den Traffic dieser messen, sind jedoch gestattet. Grundvoraussetzung ist jedoch, dass die Netzwerkkarte sich nicht im sogenannten Promiscuous-Mode befindet. Sollte das CSN von der Nutzung solcher verbotenen Porgramme erfahren, wird der entsprechende Rechner gesperrt und der Nutzer dem URZ gemeldet.

E-Mail (allgemein)

Die Übertragung einer E-Mail via Internet kann man mit dem Verschicken einer Postkarte vergleichen, d.h. jedes „Postamt“ und jeder „Briefträger“ kann sie potentiell lesen. Um das zu verhindern, kann man seine E-Mail verschlüsseln. Dafür eignet sich beispielsweise GPG (GNU Privacy Guard).

Mailabruf aus einer Mailbox (Passwort-Problem)

Es gibt verschiedene Protokolle, mit denen man Mail von seiner Mailbox in der Uni abholen und lesen kann. Sowohl beim POP- als auch beim IMAP-Protokoll wird standardmäßig keine Verschlüsselung eingesetzt. Ankommende Mails werden dabei auf einem Mailserver (mit einem Postamt samt Postfach vergleichbar) gespeichert, von dem sie beispielsweise mittels POP(POP3) oder IMAP abgeholt werden können. Der Zugang zum Mailserver funktioniert wie bei einem Login-Vorgang. Es werden Benutzername und Passwort unverschlüsselt übertragen und die Mails abgeholt, wobei bei POP die Mails lokal gespeichert werden, d.h. einmal abgeholte Mails sind nur auf dem Rechner verfügbar, auf dem sie abgeholt wurden. Im Unterschied dazu verbleiben die Mails bei IMAP auf dem Mailserver, d.h. sie können von jedem beliebigen Rechner wiederholt abgerufen werden und sind damit überall bei Bedarf verfügbar. Das Problem stellt bei beiden Varianten die unverschlüsselte Übertragung des Nutzerkennzeichens und des Passwortes dar. Der URZ Mailserver unterstützt aus diesem Grund die Verschlüsselung der beiden Protokolle per SSL. Dasselbe Verfahren wird ebenso für abgehende Mails verwendet, das hier verwendete Protokoll ist SMTP bzw. SMTP über SSL.

Lösung: Mozilla Thunderbird und MS Outlook beziehungsweise MS Mail sind in der Lage, Mails per IMAP-SSL, POP-SSL zu empfangen oder per SMTP-SSL zu verschicken. Folgende Einstellungen sind nötig: Thunderbird, Microsoft

Anmeldevorgänge (Login)

Um sich aus dem Wohnheim auf einem anderen Rechner (auf dem man ein Login besitzt) anzumelden, wird häufig das Programm Telnet benutzt. Leider reiht sich auch Telnet in die Liste der Programme ohne Verschlüsselung ein.

Lösung: Es gibt für nahezu alle Plattformen (Linux, Windows, Mac) die Software „Secure Shell“ (SSH), welche eine gesicherte Kommunikation über unsichere Netzwerke bietet. Damit dies funktioniert, muss auf dem Remote-Rechner ein entsprechender SSH-Server laufen. Auf nahezu allen Universitätsrechnern, die unter Unix/Linux laufen, ist das der Fall. Das Kopieren von Dateien kann analog per Secure Copy (SCP) erfolgen.

Web-Formulare

Auf vielen interaktiven WWW-Seiten gibt es Formulare zum Ausfüllen. Da auch hier oftmals personenbezogene Daten (Adresse, Passwörter, etc.) oder gar Kreditkarten-Nummern und ähnliches im Klartext über das Internet übertragen werden, sollte man sich über eine Lösung Gedanken machen.

Lösung: Nahezu alle aktuellen Internet-Browser bieten die Möglichkeit, diese Verbindungen mittels SSL (Secure Sockets Layer) zu verschlüsseln. Um eine verschlüsselte Verbindung zu erhalten, genügt es meist, das führende „http“ in der URL durch „https“ zu ersetzen. Daraufhin muß man in einigen Dialogen das erhaltene „Zertifikat“ bestätigen und danach sollte die Verbindung verschlüsselt sein. Besonders bei Online-Banking ist darauf zu achten, dass man diese SSL-Verschlüsselung benutzt. Erkennen kann man dies am Schloßsymbol in der Fußzeile des Browsers.

Angriffe auf fremde Rechner, um sich widerrechtlich Zugang zu verschaffen

Unter Angriffen auf fremde Rechner werden Aktionen verstanden, welche zum Ziel haben, sich unberechtigten Zugang zu fremden Ressourcen zu verschaffen. Auch das Benutzen von Portscannern oder sogenannten „Security-Scannern“ wird als Vorbereitung eines Angriffes gesehen und entsprechend geahndet. Interessierte Nutzer, die ihren eigenen Rechner auf Sicherheit testen wollen, können sich gern an das Team des CSN wenden. Es sei weiterhin darauf hingewiesen, dass sogenannte Personal Firewalls keinen generellen Schutz vor Angriffen bieten und ohne eingehendes Verständnis der Grundlagen und korrekter Konfiguration sogar dem Nutzer schaden und/oder auch Dienste des CSN behindern. Viele Fragen zum Thema werden in einer FAQ von Lutz Donnerhacke beantwortet. Auch hier kannst Du Dich bei weiteren Fragen an das CSN-Team wenden. Das Ausnutzen von Sicherheitslücken von Soft- bzw. Hardware (Root-Exploits u.ä.) fremder Rechner stellt ebenso einen Angriff dar und wird entsprechend geahndet.

Unberechtigte Nutzung und Veränderung fremder Ressourcen, Benutzerkonten und Daten

Die unberechtigte Nutzung von fremden Ressourcen (z.B. Missbrauch eines fremden Rechners zu eigenen Zwecken ohne Zustimmung des Eigentümers, etc. ), der Missbrauch von fremden Benutzerkonten durch widerrechtlich beschaffte Passwörter (siehe auch Sniffen) und von Nutzerdaten ist, wie auch nur der Versuch, strafbar (Strafgesetzbuch) und wird mit Ausschluss aus dem CSN und einer strafrechtlichen Verfolgung geahndet. Um diesem nicht Vorschub zu geben, sollten unter Windows zum Beispiel nicht ganze Laufwerke ohne Passwort freigegeben werden.

Störung von fremden Diensten, sodass reguläres Benutzen unmöglich ist

Diese Angriffe, auch Denial of Service (DoS) genannt, haben die Absicht, die Hard- oder Software eines Zielrechners zu beeinträchtigen, diesen unerreichbar zu machen oder ihn an der Ausführung / am Anbieten von Diensten zu hindern. Allgemeines Ziel eines solchen Angriffs ist es, den PC vom Netzwerk zu trennen oder ihn zu blockieren. Diese Attacken können nicht nur von einem Host stammen, auch ein koordinierter Angriff von mehreren Rechnern aus (distributed DoS) ist möglich. Opfer eines solchen Angriffs wurde Anfang 2000 zum Beispiel Yahoo!, als mehrere tausend Rechner gleichzeitig so viele Anfragen schickten, wie sonst in einem ganzen Monat auftreten. Dadurch war die Seite für Stunden nicht erreichbar. Der kommerzielle Schaden ging dabei in die Millionen. Sollten solche Versuche im und aus dem CSN bekannt werden, wird dies mit sofortiger Sperrung des Zugangs und Weiterleitung des Sachverhaltes an die Staatsanwaltschaft und das URZ geahndet.

Schutz der Nutzer, Firewall

Um die Nutzer des CSN vor äußeren Angriffen zu schützen und eine effektive Ausnutzung der bereitgestellten Infrastruktur zu erreichen, wurde in Absprache mit dem URZ ein Firewallkonzept aufgestellt. Dieses umfasst folgende Punkte:

  • von außen (außerhalb der Uni = außerhalb 134.109.x.x) sind keine ankommenden Verbindungen möglich, d.h. Serverdienste (z.B. FTP, WWW) nach außen hin zur Verfügung zu stellen ist nicht möglich.
    Grund dafür ist, dass hierdurch Angriffe auf das CSN von außen schwieriger werden. Das heißt natürlich nicht, dass man auf seinem Rechner die Sicherheit vernachlässigen sollte, da Verbindungen innerhalb der Uni (inklusive dem CSN) weiter möglich sind.
  • Sperrung von DNS und NEWS nach außen; DNS auch innerhalb der Uni.
    Grund: bessere Ausnutzung der vorhandenen Ressourcen (DNS des CSN, News-Server der Uni)