Archiv der Kategorie: Möglichkeiten

Diese Seite zeigt alle Beiträge an, die Möglichkeiten zur Verbesserung der IT-Security aufzeigen bzw. erläutern.

© Kesu - Fotolia.com

Automatisiertes Log Management mit Graylog2

Die Wichtigkeit der Auswertung von Log-Dateien der Netzwerke-Hardware oder von Servern ist den meisten Administratoren bewusst. In der Praxis ist es jedoch häufig, das sich die Analyse darauf beschränkt, die wichtigsten Protokolldateien der letzten Tage durchzuschauen und die Erreichbarkeit von Services zu prüfen. Durch den Verzicht auf ein effizientes Log-(bzw. Event-)Management werden viele Gelegenheiten verpasst, drohende Systemstörungen oder Ausfälle frühzeitig zu erkennen.

Ich möchte in diesem Beitrag eine Möglichkeit vorstellen, große Protokollmengen mit mehreren Millionen Einträgen systematisch, automatisiert und zeitsparend auswerten zu können. Als Software werde ich hierbei das Open Source Log Management Tool Graylog2 verwenden.

Graylog2 - Dashboards

Teil eines effizienten Log Management Prozesses sind Dashboards, das sind kleine Übersichten mit vordefinierten Auswertungen der Log-Daten. Ein Dashboard für eine DMZ könnte zum Beispiel wie folgt aussehen:

Log Management Graylog2 Security Dashboard

Im Optimalfall werden sämtliche Logmeldungen bereits automatisiert so stark gefiltert und ausgewertet, dass das Dashboard auf einen Blick den Zustand der Infrastruktur visualisiert. Ein Klick auf den Wert des Dashboards zeigt Details zum angezeigten Item.

Weiterlesen

© alphaspirit - Fotolia.com

Unidirektionale Netzwerke (Data Diode)

Eines der interessantesten, erfolgversprechendsten Möglichkeiten zur Absicherung sensibler Informationen, insbesondere zur Data Leakage Prevention, bieten unidirektionale Netzwerke mithilfe einer Data Diode. Diese Technik bietet eine der sichersten Möglichkeiten, Netzwerke auf hohem Niveau abzusichern.

Definition und genereller Aufbau unidirektionaler Netzwerke

Unidirektionale Netzwerke stellen sicher, dass Informationen nur von einer zur anderen Seite übertragen werden können, jedoch nicht umgekehrt. Data Dioden dienen der Netz-Trennung auf physikalischer Ebene.

Unidirektionales Netzwerk mit Data Diode

Unidirektionales Netzwerk mit Data Diode

Bezugnehmend auf die Abbildung könnte es sich beim "high"-Netzwerk beispielsweise um das Subnetz des Log-Servers handeln, dort sollen ausschließlich Protokoll-Meldungen eingehen und gespeichert, jedoch nicht wieder durch die Datenquelle ausgelesen bzw. geändert werden können. Gängig ist auch die Trennung und Absicherung des Forschungs- und Entwicklungsnetzwerks: Eine Data Diode verhindert hierbei zuverlässig, dass sensible Daten unbemerkt das Netzwerk verlassen können.
Weiterlesen

© Warakorn - Fotolia.com

Netzwerkzugriff für Unternehmens-Notebooks absichern

Die Absicherung des Netzwerkzugriffs für Unternehmens-Notebooks, also die Beschränkung des Zugriffs auf bestimmte Netzwerke, ist Thema des heutigen Beitrages.

Szenario der heutigen Problemstellung

In einem Unternehmens-Netzwerk existieren PCs, Notebooks oder andere netzwerkfähige Geräte, die von Mitarbeitern auch mit nach Hause genommen werden dürfen. Diese sind mit einer Netzwerkkarte ausgestattet, die es den Mitarbeitern ermöglicht, Services des Unternehmens zu nutzen.

Das Unternehmen möchte aus verschiedenen Gründen garantieren, dass die Mitarbeiter das Notebook nicht mit dem Heimnetzwerk verbinden können - um einen Abfluss vertraulicher Daten und ungeschützten Zugriff ins Internet zu verhindern.
Weiterlesen

© Maksim Kabakou - Fotolia.com

Härtung eines OpenVPN Servers

Dieser Beitrag wurde am 23.April 2017 auf die OpenVPN-Version 2.4 aktualisiert, insbesondere Kapitel 4.1 bis 4.3.

OpenVPN ist ein beliebtes Tool, um verschlüsselte Netzwerkverbindungen herstellen zu können. Dieser BLOG Beitrag beschäftigt sich mit der Härtung des OpenVPN Servers und beschreibt alle Konfigurationsoptionen, die Auswirkungen auf die Sicherheit der OpenVPN Verbindung haben.

Das Verständnis dieses Artikels setzt voraus, dass die grundlegende Arbeitsweise von OpenVPN bekannt ist. Einige nachfolgend beschriebenen Optionen setzen mindestens die OpenVPN Version 2.3 voraus, ein Großteil der Konfigurationsoptionen funktioniert bereits ab OpenVPN Version 2.0.x.

Nicht näher beschrieben werden Optionen, die ausschließlich den "Static key mode" betreffen. Der Fokus liegt auf dem gebräuchlicheren, zertifikatebasiertem "TLS-negotiated key mode". Ausgelassen wurden ebenfalls pkcs11/ pkcs12 Optionen.

1 Allgemeine OpenVPN Grundlagen

OpenVPN Server und Client markiert

1.1 Basics: Control- vs. Data-Channel

OpenVPN stellt zwei unabhängige Datenverbindungen her: Einen Kontroll- und einen Datenkanal.

Der Kontroll- und Datenkanal einer OpenVPN Verbindung

Der Kontrollkanal hat unter anderem folgende Aufgaben:

  • den SSL/TLS Handshake (z.B. Session Start, Schlüsselaustausch, Authentifikation, Cipher-Suite Vereinbarung) durchführen,
  • einige Aufräumarbeiten in der finalen Phase der Verbindung zu realisieren und
  • bei der Nutzung von UDP die "Nachteile" der UDP Transport Layer Unzuverlässigkeit durch Einführung von Time-Out, Packet Acknowledgement und Transmission Mechanismen auszugleichen.

Weiterlesen

© Natalia Merzlyakova - Fotolia.com

Trusted Path Execution des Grsecurity Kernel Patches

Bevor wir uns im nächsten Beitrag mit der Installation, sicheren Konfiguration und Härtung eines Nginx-Servers befassen, möchte ich im Folgenden noch etwas Grundlagenarbeit erörtern: Die Funktionsweise der Trusted Path Execution unter Linux.

Die Trusted Path Execution sind als Teil des Grsecurity Patches während der Konfiguration optional aktivierbar.

Linux Menuconfig Security > Grsecurity > Executable Protections / Trusted Path Execution ausgewählt
Security Options -> Grsecurity -> Executable Protections

Funktionsweise der Trusted Path Execution

Die Ausführung von schädlichem Code auf einem Linux System, entweder durch einen externen Angreifer oder (un)gewollt durch einen lokalen Nutzer, ist eine der größten IT-Sicherheitsbedrohungen der heutigen Tage. Um diese Gefahr zu vermindern, ist Trusted Path Execution (TPE) ein weiterer Sicherheits-Layer, der die Ausführbarkeit von Dateien unter bestimmten Umständen einschränkt.

Die Nutzung von TPE erschwert beispielsweise den Versuch einer Privilege Escalation deutlich - wenn der Account mithilfe von TPE geschützt wird, ist es einem Angreifer nicht möglich, benutzerdefinierte Dateien auszuführen, die nicht in einem vertrauenswürdigem Pfad liegen. Im Rahmen vieler Angriffe versuchen Angreifer oftmals, nach dem Einbruch in das System Code nachzuladen und auszuführen, beispielsweise um eine lokale Sicherheitslücke auszunutzen.

Weiterlesen