Archiv der Kategorie: Möglichkeiten

© alphaspirit - Fotolia.com

Unidirektionale Netzwerke (Data Diode)

Eines der interessantesten, erfolgversprechendsten Möglichkeiten zur Absicherung sensibler Informationen, insbesondere zur Data Leakage Prevention, bieten unidirektionale Netzwerke mithilfe einer Data Diode. Diese Technik bietet eine der sichersten Möglichkeiten, Netzwerke auf hohem Niveau abzusichern.

Definition und genereller Aufbau unidirektionaler Netzwerke

Unidirektionale Netzwerke stellen sicher, dass Informationen nur von einer zur anderen Seite übertragen werden können, jedoch nicht umgekehrt. Data Dioden dienen der Netz-Trennung auf physikalischer Ebene.

Unidirektionales Netzwerk mit Data Diode

Unidirektionales Netzwerk mit Data Diode

Bezugnehmend auf die Abbildung könnte es sich beim "high"-Netzwerk beispielsweise um das Subnetz des Log-Servers handeln, dort sollen ausschließlich Protokoll-Meldungen eingehen und gespeichert, jedoch nicht wieder durch die Datenquelle ausgelesen bzw. geändert werden können. Gängig ist auch die Trennung und Absicherung des Forschungs- und Entwicklungsnetzwerks: Eine Data Diode verhindert hierbei zuverlässig, dass sensible Daten unbemerkt das Netzwerk verlassen können.
Weiterlesen

© Warakorn - Fotolia.com

Netzwerkzugriff für Unternehmens-Notebooks absichern

Die Absicherung des Netzwerkzugriffs für Unternehmens-Notebooks, also die Beschränkung des Zugriffs auf bestimmte Netzwerke, ist Thema des heutigen Beitrages.

Szenario der heutigen Problemstellung

In einem Unternehmens-Netzwerk existieren PCs, Notebooks oder andere netzwerkfähige Geräte, die von Mitarbeitern auch mit nach Hause genommen werden dürfen. Diese sind mit einer Netzwerkkarte ausgestattet, die es den Mitarbeitern ermöglicht, Services des Unternehmens zu nutzen.

Das Unternehmen möchte aus verschiedenen Gründen garantieren, dass die Mitarbeiter das Notebook nicht mit dem Heimnetzwerk verbinden können - um einen Abfluss vertraulicher Daten und ungeschützten Zugriff ins Internet zu verhindern.
Weiterlesen

© Maksim Kabakou - Fotolia.com

Härtung eines OpenVPN Servers

OpenVPN ist ein beliebtes Tool, um verschlüsselte Netzwerkverbindungen herstellen zu können. Dieser BLOG Beitrag beschäftigt sich mit der Härtung des OpenVPN Servers und beschreibt alle Konfigurationsoptionen, die Auswirkungen auf die Sicherheit der OpenVPN Verbindung haben.

Das Verständnis dieses Artikels setzt voraus, dass die grundlegende Arbeitsweise von OpenVPN bekannt ist. Einige nachfolgend beschriebenen Optionen setzen mindestens die OpenVPN Version 2.3 voraus, ein Großteil der Konfigurationsoptionen funktioniert bereits ab OpenVPN Version 2.0.x.

Nicht näher beschrieben werden Optionen, die ausschließlich den "Static key mode" betreffen. Der Fokus liegt auf dem gebräuchlicheren, zertifikatebasiertem "TLS-negotiated key mode". Ausgelassen wurden ebenfalls pkcs11/ pkcs12 Optionen.

1 Allgemeine OpenVPN Grundlagen

OpenVPN Server und Client markiert

1.1 Basics: Control- vs. Data-Channel

OpenVPN stellt zwei unabhängige Datenverbindungen her: Einen Kontroll- und einen Datenkanal.

Der Kontroll- und Datenkanal einer OpenVPN Verbindung

Der Kontrollkanal hat unter anderem folgende Aufgaben:

  • den SSL/TLS Handshake (z.B. Session Start, Schlüsselaustausch, Authentifikation, Cipher-Suite Vereinbarung) durchführen,
  • einige Aufräumarbeiten in der finalen Phase der Verbindung zu realisieren und
  • bei der Nutzung von UDP die "Nachteile" der UDP Transport Layer Unzuverlässigkeit durch Einführung von Time-Out, Packet Acknowledgement und Transmission Mechanismen auszugleichen.

Weiterlesen

© Natalia Merzlyakova - Fotolia.com

Trusted Path Execution des Grsecurity Kernel Patches

Bevor wir uns im nächsten Beitrag mit der Installation, sicheren Konfiguration und Härtung eines Nginx-Servers befassen, möchte ich im Folgenden noch etwas Grundlagenarbeit erörtern: Die Funktionsweise der Trusted Path Execution unter Linux.

Die Trusted Path Execution sind als Teil des Grsecurity Patches während der Konfiguration optional aktivierbar.

Linux Menuconfig Security > Grsecurity > Executable Protections / Trusted Path Execution ausgewählt
Security Options -> Grsecurity -> Executable Protections

Funktionsweise der Trusted Path Execution

Die Ausführung von schädlichem Code auf einem Linux System, entweder durch einen externen Angreifer oder (un)gewollt durch einen lokalen Nutzer, ist eine der größten IT-Sicherheitsbedrohungen der heutigen Tage. Um diese Gefahr zu vermindern, ist Trusted Path Execution (TPE) ein weiterer Sicherheits-Layer, der die Ausführbarkeit von Dateien unter bestimmten Umständen einschränkt.

Die Nutzung von TPE erschwert beispielsweise den Versuch einer Privilege Escalation deutlich - wenn der Account mithilfe von TPE geschützt wird, ist es einem Angreifer nicht möglich, benutzerdefinierte Dateien auszuführen, die nicht in einem vertrauenswürdigem Pfad liegen. Im Rahmen vieler Angriffe versuchen Angreifer oftmals, nach dem Einbruch in das System Code nachzuladen und auszuführen, beispielsweise um eine lokale Sicherheitslücke auszunutzen.

Weiterlesen

© violetkaipa - Fotolia.com

DNSCrypt für mehr Sicherheit und Privatsphäre

DNSCrypt ist eine interessante Möglichkeit für PCs, Server und Android-Smartphones, die Sicherheit, Integrität und Privatsphäre im Internet deutlich zu erhöhen. DNSCrypt geht auf eine Initiative von OpenDNS zurück, ein globaler, öffentlicher DNS Anbieter.

Die Relevanz der Sicherheit von DNS Anfragen wird häufig von Administratoren und sicherheitsbewussten IT Nutzern übersehen, obwohl die Manipulationen von DNS Antworten eines der häufigsten und einfachsten Möglichkeiten darstellt, ein System zu kompromittieren.

DNSSEC war ein erstes Vorhaben, die Authentizität und Integrität der DNS Daten sicherzustellen.

Was ist DNS, wie funktioniert es?

Ein kurzer Abriss zu den Funktionsweisen des DNS Systems, ich beschreibe im Folgenden die Standardfunktionsweise der Namensauflösung unter Windows, Linux und Android:

DNS Aufloesung ohne DNSCrypt als Flussdiagramm

DNS Auflösung ohne DNSCrypt als Flussdiagramm

Das Diagramm ist einfach verständlich, die Schwachstellen liegen vor allem an den Punkten 1 und 2, worauf ich gleich näher eingehen werde. DNS Anfragen und Antworten werden grundsätzlich im Klartext über das Internet versendet, für jeden lesbar. Mit einem Netzwerk-Sniffer extrahiert, sieht die Anfrage (Punkt 1 in der oberen Darstellung) wie folgt aus: Weiterlesen