Fedora 12

Beveiligings gidsEen gids voor het beveiligen van Fedora Linux

Johnray Fuller

John Ha

David O'Brien

Scott Radvan

Eric Christensen

Adam Ligas

Beveiligings gids

Fedora 12 Beveiligings gidsEen gids voor het beveiligen van Fedora LinuxUitgave 12.1

Auteur Johnray Fuller jrfuller@redhat.comAuteur John Ha jha@redhat.comAuteur David O'Brien daobrien@redhat.comAuteur Scott Radvan sradvan@redhat.comAuteur Eric Christensen sparks@fedoraproject.orgAuteur Adam Ligas adam@physco.com

Copyright © 2009 Red Hat, Inc.

The text of and illustrations in this document are licensed by Red Hat under a Creative CommonsAttribution–Share Alike 3.0 Unported license ("CC-BY-SA"). An explanation of CC-BY-SA is availableat http://creativecommons.org/licenses/by-sa/3.0/. The original authors of this document, and Red Hat,designate the Fedora Project as the "Attribution Party" for purposes of CC-BY-SA. In accordance withCC-BY-SA, if you distribute this document or an adaptation of it, you must provide the URL for theoriginal version.

Red Hat, as the licensor of this document, waives the right to enforce, and agrees not to assert,Section 4d of CC-BY-SA to the fullest extent permitted by applicable law.

Red Hat, Red Hat Enterprise Linux, the Shadowman logo, JBoss, MetaMatrix, Fedora, the InfinityLogo, and RHCE are trademarks of Red Hat, Inc., registered in the United States and other countries.

For guidelines on the permitted uses of the Fedora trademarks, refer to https://fedoraproject.org/wiki/Legal:Trademark_guidelines.

Linux® is the registered trademark of Linus Torvalds in the United States and other countries.

Java® is a registered trademark of Oracle and/or its affiliates.

XFS® is a trademark of Silicon Graphics International Corp. or its subsidiaries in the United Statesand/or other countries.

All other trademarks are the property of their respective owners.

The Fedora Security Guide is designed to assist users of Fedora in learning the processes andpractices of securing workstations and servers against local and remote intrusion, exploitation, andmalicious activity.

Focused on Fedora Linux but detailing concepts and techniques valid for all Linux systems, TheFedora Security Guide details the planning and the tools involved in creating a secured computingenvironment for the data center, workplace, and home.

With proper administrative knowledge, vigilance, and tools, systems running Linux can be both fullyfunctional and secured from most common intrusion and exploit methods.

mailto:jrfuller@redhat.commailto:jha@redhat.commailto:daobrien@redhat.commailto:sradvan@redhat.commailto:sparks@fedoraproject.orgmailto:adam@physco.comhttp://creativecommons.org/licenses/by-sa/3.0/https://fedoraproject.org/wiki/Legal:Trademark_guidelineshttps://fedoraproject.org/wiki/Legal:Trademark_guidelines

iii

Voorwoord vii1. Document conventies ..................................................................................................... vii

1.1. Typografische conventies .................................................................................... vii1.2. Pull-quote conventies ......................................................................................... viii1.3. Opmerkingen en waarschuwingen ........................................................................ ix

2. We hebben terugkoppeling nodig! .................................................................................... x

1. Beveiligings overzicht 11.1. Inleiding tot beveiliging ................................................................................................. 1

1.1.1. Wat is computer beveiliging ............................................................................... 11.1.2. SELinux ............................................................................................................ 31.1.3. Beveiligings controles ........................................................................................ 41.1.4. Conclusie .......................................................................................................... 5

1.2. Kwetsbaarheid beoordeling ........................................................................................... 51.2.1. Denk als de vijand ............................................................................................. 51.2.2. Het definiëren van onderzoeken en testen .......................................................... 61.2.3. Het evalueren van de gereedschappen ............................................................... 7

1.3. Aanvallers en kwetsbaarheden .................................................................................... 101.3.1. Een kleine geschiedenis van hackers ............................................................... 101.3.2. Bedreigingen voor netwerk beveiliging .............................................................. 111.3.3. Bedreigingen voor server beveiliging ................................................................. 121.3.4. Bedreigingen voor werkstations en beveiliging van thuis PC's ............................. 13

1.4. Veel voorkomende uitbuitingen en aanvallen ................................................................ 141.5. Beveiligings vernieuwingen ......................................................................................... 17

1.5.1. Pakketten vernieuwen ...................................................................................... 171.5.2. Ondertekende pakketten verifiëren .................................................................... 181.5.3. Ondertekende pakketten installeren .................................................................. 191.5.4. De veranderingen toepassen ............................................................................ 19

2. Je netwerk beveiligen 232.1. Werkstation beveiliging ............................................................................................... 23

2.1.1. Het onderzoeken van werkstation beveiliging .................................................... 232.1.2. BIOS en boot loader beveiliging ....................................................................... 232.1.3. Wachtwoord beveiliging .................................................................................... 252.1.4. Administratieve controles ................................................................................. 312.1.5. Beschikbare netwerk services .......................................................................... 372.1.6. Persoonlijke firewalls ........................................................................................ 412.1.7. Communicatie gereedschappen met verbeterde beveiliging ................................ 41

2.2. Server beveiliging ....................................................................................................... 422.2.1. Het beveiligen van services met TCP wrappers en xinetd ................................... 422.2.2. Portmap beveiligen .......................................................................................... 452.2.3. Het beveiligen van NIS .................................................................................... 462.2.4. NFS beveiligen ................................................................................................ 492.2.5. De Apache HTTP server beveiligen .................................................................. 502.2.6. FTP beveiligen ................................................................................................ 512.2.7. Sendmail beveiligen ......................................................................................... 532.2.8. Het verifiëren van welke poorten luisteren ......................................................... 54

2.3. Eenmalig inschrijven (Single sign-on - SSO) ................................................................ 562.3.1. Inleiding .......................................................................................................... 562.3.2. Beginnen met je nieuwe Smart Card ................................................................. 572.3.3. Hoe werkt het in gebruik nemen van een Smart Card ........................................ 592.3.4. Hoe werkt inloggen met een Smart Card ........................................................... 59

Beveiligings gids

iv

2.3.5. Het instellen van Firefox om Kerberos te gebruiken voor SSO ............................ 602.4. Pluggable Authentication Modules (PAM) ..................................................................... 62

2.4.1. Voordelen van PAM ......................................................................................... 632.4.2. PAM configuratie bestanden ............................................................................. 632.4.3. PAM configuratie bestand formaat .................................................................... 632.4.4. Voorbeeld PAM configuratie bestanden ............................................................. 662.4.5. PAM modules aanmaken ................................................................................. 672.4.6. PAM en administratieve legitimatie opslag ......................................................... 682.4.7. PAM en apparaat eigendom ............................................................................. 692.4.8. Extra hulpbronnen ........................................................................................... 71

2.5. TCP wrappers en xinetd ............................................................................................. 722.5.1. TCP wrappers ................................................................................................. 722.5.2. Configuratie bestanden voor TCP wrappers ...................................................... 742.5.3. xinetd .............................................................................................................. 812.5.4. xinetd configuratie bestanden ........................................................................... 812.5.5. Extra hulpbronnen ........................................................................................... 87

2.6. Kerberos .................................................................................................................... 882.6.1. Wat is Kerberos? ............................................................................................. 882.6.2. Kerberos terminologie ...................................................................................... 892.6.3. Hoe werkt Kerberos ......................................................................................... 912.6.4. Kerberos en PAM ............................................................................................ 922.6.5. Het instellen van een Kerberos 5 server ........................................................... 932.6.6. Het instellen van een Kerberos 5 cliënt ............................................................. 952.6.7. Domein naar gebied afbeelding ........................................................................ 962.6.8. Instellen van secundaire KDC's ........................................................................ 972.6.9. Cross gebieds authenticatie instellen ................................................................ 992.6.10. Extra hulpbronnen ........................................................................................ 102

2.7. Virtuele privé netwerken (VPN's) ............................................................................... 1032.7.1. Hoe werk een VPN? ...................................................................................... 1042.7.2. VPN's and Fedora ......................................................................................... 1042.7.3. IPsec ............................................................................................................. 1042.7.4. Een IPsec verbinding maken .......................................................................... 1052.7.5. IPsec installatie .............................................................................................. 1052.7.6. IPsec host-naar-host configuratie .................................................................... 1062.7.7. IPsec netwerk-naar-netwerk configuratie ......................................................... 1122.7.8. Het starten en stoppen van een IPsec verbinding ............................................ 118

2.8. Firewalls .................................................................................................................. 1192.8.1. Netfilter en IPTables ....................................................................................... 1202.8.2. Basis firewall instelling ................................................................................... 1212.8.3. IPTables gebruiken ........................................................................................ 1242.8.4. Algemene IPTables filtering ............................................................................ 1252.8.5. FORWARD en NAT regels ................................................................................ 1262.8.6. Kwaadwillige software en bedrogen IP adressen .............................................. 1292.8.7. IPTables en verbindingen volgen .................................................................... 1302.8.8. IPv6 .............................................................................................................. 1302.8.9. Extra hulpbronnen .......................................................................................... 131

2.9. IPTables ................................................................................................................... 1312.9.1. Pakket filtering ............................................................................................... 1322.9.2. Commando opties voor IPTables .................................................................... 1332.9.3. Het opslaan van IPTables regels ..................................................................... 1432.9.4. IPTables controle scripts ................................................................................ 143

v

2.9.5. IPTables en IPv6 ........................................................................................... 1462.9.6. Extra hulpbronnen .......................................................................................... 146

3. Versleuteling 1473.1. Data in rust .............................................................................................................. 1473.2. Volledige schijf versleuteling ...................................................................................... 1473.3. Bestand gebaseerde versleuteling ............................................................................. 1473.4. Data in beweging ..................................................................................................... 1483.5. Virtuele privé netwerken ............................................................................................ 1483.6. Beveiligde shell ........................................................................................................ 1483.7. LUKS schijf versleuteling .......................................................................................... 148

3.7.1. De LUKS implementatie in Fedora .................................................................. 1493.7.2. Handmatig mappen versleutelen ..................................................................... 1493.7.3. Stap-voor-stap instructies ............................................................................... 1493.7.4. Wat heb je zojuist bereikt ............................................................................... 1503.7.5. Interessante verwijzingen ............................................................................... 150

3.8. 7-Zip versleutelde archieven ...................................................................................... 1513.8.1. 7-Zip installatie in Fedora ............................................................................... 1513.8.2. Stap-voor-stap installatie instructies ................................................................ 1513.8.3. Stap-voor-stap gebruiks instructies .................................................................. 1513.8.4. Merk op ........................................................................................................ 152

3.9. GNU Privacy Guard (GnuPG) gebruiken .................................................................... 1523.9.1. Het maken van GPG sleutels in GNOME ........................................................ 1523.9.2. Het maken van GPG sleutels in KDE .............................................................. 1523.9.3. Het maken van GPG sleutels met de commandoregel ...................................... 1533.9.4. Over publieke sleutel versleuteling .................................................................. 154

4. Algemene principes van informatie beveiliging 1554.1. Tips, gidsen, en gereedschappen .............................................................................. 155

5. Veilige installatie 1575.1. Schijfpartities ............................................................................................................ 1575.2. LUKS partitie versleuteling gebruiken ......................................................................... 157

6. Software onderhoud 1596.1. Installeer minimale software ...................................................................................... 1596.2. Het plannen en configureren van beveiligingsvernieuwingen ........................................ 1596.3. Het aanpassen van automatische vernieuwingen ........................................................ 1596.4. Installeer ondertekende pakketten van goed bekende repositories ............................... 159

7. Referenties 161

vi

vii

Voorwoord

1. Document conventiesDit handboek hanteert verscheidene conventies om bepaalde woorden of zinsdelen te benadrukkenen aandacht te vestigen op specifieke delen van informatie.

In PDF en papieren edities gebruikt dit handboek Liberation Fonts set1 lettertypen. Het Liberationlettertype wordt ook gebruikt in HTML-edities indien dit lettertype op jouw computer geïnstalleerd is.Indien dat niet het geval is, worden alternatieve, gelijkwaardige lettertypen gebruikt. Opmerking: bijRed Hat Enterprise Linux 5 en later wordt de Liberation Font set standaard ingesteld.

1.1. Typografische conventiesVier typografische conventies worden gebruikt om aandacht te vestigen op specifieke woorden enzinsdelen. Deze conventies, en de omstandigheden waaronder zij gebruikt worden, luiden als volgt:

Mono-spaced Bold

Wordt gebruikt om systeem input, waaronder shell commando's, bestandsnamen en paden aan tegeven. Wordt ook gebruikt bij toetsaanduiding of toetsencombinaties. Bijvoorbeeld:

Om de inhoud van het bestand mijn_onwijsgoed_verkopende_boekin jouw huidige map te bekijken, voer je het commando catmijn_onwijsgoed_verkopende_boek in bij de shell-prompt en druk je op Enterom het commando uit te voeren.

Bovenstaande bevat een bestandsnaam, een shell-commando en een toetsaanduiding, alle getoondin mono-spaced bold en alle te onderscheiden dankzij hun context.

Toetsencombinaties kunnen worden onderscheiden van toetsaanduidingen door het plusteken dat elkdeel van een toetsencombinatie aan elkaar verbind. Bijvoorbeeld:

Druk op Enter om het commando te laten uitvoeren.

Druk op Ctrl+Alt+F1 om naar de eerste virtuele terminal over te schakelen. Drukop Ctrl+Alt+F7 om terug te keren naar jouw X-Windows sessie.

De eerste paragraaf benadrukt de bepaalde toets die moet worden ingedrukt. De tweede benadrukttwee toetscombinaties (ieder een reeks van drie toetsen, waarbij de toetsen van elke reeks tegelijkmoeten worden ingedrukt).

Indien broncode wordt besproken, worden klasse namen, methodes, functies, variabele namen enresultaten die in een paragraaf worden genoemd, weergegeven als hier boven afgedrukt, namelijk inmono-spaced bold. Bijvoorbeeld:

Onder bestandsgerelateerde klassen vallen filesystem voor bestandssystemen,file voor bestanden, en dir voor mappen. Elke klasse heeft haar eigen set vanrechten.

Proportional Bold

1 https://fedorahosted.org/liberation-fonts/

https://fedorahosted.org/liberation-fonts/https://fedorahosted.org/liberation-fonts/

Voorwoord

viii

Wordt gebruikt om woorden of zinsdelen op een systeem aan te duiden, waaronder toepassingsnamen, dialoogtekst-boxen, gelabelde knoppen, checkbox en radio-knop labels, menu titels ensubmenu titels. Bijvoorbeeld:

Kies Systeem → Voorkeuren → Muis in de hoofdmenu balk om Muisvoorkeuren teopenen. In de Knoppen tab, klik je de Linkshandige muis checkbox aan en klik jeSluiten om de primaire muisknop van links naar rechts te wisselen (waardoor de muisbeter geschikt is geworden voor linkshandig gebruik).

Om een speciaal teken in een gedit bestand op te nemen, kies je Toepassingen→ Hulpmiddelen → Tekens en symbolen in de hoofd menubalk. Vervolgens kiesje Zoeken → Zoeken… in de Tekens en symbolen menubalk, typ je de naam vanhet teken in het Zoek veld en klik je Volgende. Het teken dat je zoekt zal wordengemarkeerd in de Tekentabel. Dubbel-klik op dit teken om het in het Te kopiërentekst veld op te nemen en klik dan de Kopiëren knop. Keer nu terug naar jouwdocument en kies Bewerken → Plakken in de gedit menubalk.

De bovenstaande tekst bevat toepassingsnamen, systeem-brede menu namen en onderdelen,toepassings specifieke menu namen, en knoppen en tekst van een GUI-interface, alle getoond inproportional bold en alle te onderscheiden dankzij hun context.

Mono-spaced Bold Italic of Proportional Bold Italic

Voor mono-spaced bold of proportional bold geeft cursief gedrukt altijd vervangbare of wisselendeteksten aan. Cursief wijst op niet letterlijke tekst of toont tekst die wisselt naar omstandigheden.Bijvoorbeeld:

Om verbinding te maken met een andere computer met behulp van ssh, typ je sshgebruikersnaam@domein.naam bij een shell prompt. Als de machine op afstandexample.com is en jouw gebruikersnaam op die machine is jan, dan type je sshjan@example.com.

Het mount -o remount bestandssysteem commando koppelt het genoemdebestandssysteem opnieuw aan. Om bijvoorbeeld het /home bestandsysteem opnieuwaan te koppelen, gebruik je het mount -o remount /home commando.

Om de versie van een huidig geïnstalleerd pakket te zien, gebruik je het rpm -q package commando. Dit zal het volgende resultaat opleveren: package-version-release .

Let op de woorden in bold italics in bovenstaande tekst — username, domain.name, file-system,package, version en release. Elk woord is een plaats reservering, hetzij voor tekst die je invult als jeeen commando typt, hetzij voor tekst die door het systeem wordt getoond.

Buiten het standaard gebruik bij het presenteren van een titel van een werk, wordt cursief ingezet omhet eerste gebruik van een nieuwe en belangrijke term te benadrukken. Bijvoorbeeld:

Publican is een DocBook publicatie systeem.

1.2. Pull-quote conventiesTerminal output en broncode lijsten worden worden visueel gescheiden van de omringende tekst.

Output gestuurd naar een terminal wordt getoond in mono-spaced roman en als volgtgepresenteerd:

Opmerkingen en waarschuwingen

ix

books Desktop documentation drafts mss photos stuff svnbooks_tests Desktop1 downloads images notes scripts svgs

Opsommingen van broncode worden ook getoond in mono-spaced roman maar worden als volgtgepresenteerd en benadrukt:

package org.jboss.book.jca.ex1;

import javax.naming.InitialContext;

public class ExClient{ public static void main(String args[]) throws Exception { InitialContext iniCtx = new InitialContext(); Object ref = iniCtx.lookup("EchoBean"); EchoHome home = (EchoHome) ref; Echo echo = home.create();

System.out.println("Created Echo");

System.out.println("Echo.echo('Hello') = " + echo.echo("Hello")); }}

1.3. Opmerkingen en waarschuwingenTenslotte gebruiken we drie visuele stijlen om aandacht te vestigen op informatie die anders misschienover het hoofd zou worden gezien.

OpmerkingEen opmerking is een tip, handigheidje of een alternatieve benadering voor de taak dieuitgevoerd moet worden. Het negeren van een opmerking zou geen ernstige gevolgenmoeten hebben, maar het leven kan een stuk makkelijker worden als de opmerkinggevolgd wordt.

BelangrijkImportant boxes detail things that are easily missed: configuration changes that onlyapply to the current session, or services that need restarting before an update will apply.Ignoring a box labeled 'Important' won't cause data loss but may cause irritation andfrustration.

WaarschuwingEen waarschuwing dient niet genegeerd te worden. Waarschuwingen negeren zalongetwijfeld leiden tot data verlies.

Voorwoord

x

2. We hebben terugkoppeling nodig!Meer informatie over het Linux Security Guide project kan gevonden worden op https://fedorahosted.org/securityguide

Om terugkoppeling te geven over de Beveiligings gids, dien je een foutrapport in op https://bugzilla.redhat.com/enter_bug.cgi?component=security-guide&product=Fedora%20Documentation.Selecteer het juiste onderdeel in het uitklap menu.

https://fedorahosted.org/securityguidehttps://fedorahosted.org/securityguidehttps://bugzilla.redhat.com/enter_bug.cgi?component=security-guide&product=Fedora%20Documentationhttps://bugzilla.redhat.com/enter_bug.cgi?component=security-guide&product=Fedora%20Documentation

1

Beveiligings overzichtDoor het toenemende vertrouwen op krachtige computers in een netwerk om te helpen bedrijvendraaiende te houden en contact te houden met onze persoonlijke informatie, zijn complete bedrijvenontstaan rond de praktijk van netwerk en computer beveiliging. Ondernemingen hebben de kennisen vaardigheden van beveiligings deskundigen ingeroepen om systemen correct te controlerenen om aangepaste oplossingen te maken voor de werk vereisten van de organisatie. Omdat demeeste organisaties in toenemende mate dynamisch van natuur zijn, met werknemers die de IThulpbronnen van de onderneming lokaal en op afstand benaderen, is de behoefte aan beveiligdecomputeromgevingen sterk toegenomen.

Unfortunately, most organizations (as well as individual users) regard security as an afterthought, aprocess that is overlooked in favor of increased power, productivity, and budgetary concerns. Propersecurity implementation is often enacted postmortem — after an unauthorized intrusion has alreadyoccurred. Security experts agree that taking the correct measures prior to connecting a site to anuntrusted network, such as the Internet, is an effective means of thwarting most attempts at intrusion.

1.1. Inleiding tot beveiliging

1.1.1. Wat is computer beveiligingComputer beveiliging is een algemene term die een breed gebied van computer en informatieverwerking afdekt. Ondernemingen die afhangen van computer systemen en netwerken om hundagelijkse zakentransacties uit te voeren en toegang hebben tot cruciale informatie, zien hun dataals een belangrijk onderdeel van hun totale bezit. Verscheidene uitdrukkingen en metrieken zijnbinnengedrongen in onze zakelijke woordenschat, zoals totale kosten van eigendom (total costof ownership - TCO), en kwaliteit van diensten (quality of service - QoS). Met gebruik van dezemetrieken kunnen ondernemingen aspecten bereken zoals data integriteit en hoge-beschikbaarheidals onderdeel van hun planning en procesbeheerskosten. In sommige industrieën, zoals elektronischehandel, kan het de beschikbaarheid en betrouwbaarheid van data het verschil zijn tussen succes enmislukken.

1.1.1.1. Hoe is computer beveiliging ontstaan?Informatie beveiliging is door de jaren heen gegroeid door het toenemende vertrouwen van publiekenetwerken om hun persoonlijke, financielen en andere vertrouwelijke informatie niet te openbaren.Er zijn talrijke voorbeelden zoals de Mitnick 1en de Vladimir Levin 2 zaken die organisaties in alleindustrieën hebben aangezet om de manier waarop ze informatie behandelen te overdenken,maar ook de overbrenging en onthulling van data. De populariteit van het Internet was een van debelangrijkste ontwikkelingen die aanzette tot een toenemende inspanning in data beveiliging.

Een steeds groeiend aantal mensen gebruiken hun persoonlijke computer om toegang te krijgentot hulpbronnen die het Internet heeft te bieden. Van onderzoeken en vinden van informatie totelektronische mail en commerciële transacties, wordt het Internet gezien als een van de belangrijksteontwikkelingen van de 20ste eeuw.

Het Internet en zijn eerdere protocollen zijn echter ontwikkeld als een op vertrouwen-gebaseerdsysteem. Dat betekent dat het Internet Protocol niet ontworpen is om zelf veilig te zijn. Er zijn geen

http://law.jrank.org/pages/3791/Kevin-Mitnick-Case-1999.htmlhttp://www.livinginternet.com/i/ia_hackers_levin.htm

Hoofdstuk 1. Beveiligings overzicht

2

goedgekeurde beveiligings standaarden ingebouwd in de TCP/IP communicatie stack, waardoor hetopen is voor kwaadwillige gebruikers en processen over het netwerk. Moderne ontwikkelingen hebbenhet Internet veiliger gemaakt, maar er zijn nog steeds verscheidene incidenten die landelijke aandachtkrijgen en ons op het feit attenderen dat niets geheel veilig is.

1.1.1.2. Beveiliging in deze tijdIn februari 2000 werd een Distributed Denial of Service (DDoS) aanval uitgevoerd op verscheidenevan de meest gebruikte sites op het Internet. De aanval maakte yahoo.com, cnn.com, amazon.com,fbi.gov, en verscheidene andere sites volkomen onbereikbaar voor gewone gebruikers, omdathet de routers urenlang bezig hield met ICMP pakket verkeer, ook wel ping flood genoemd.De aanval werd uitgevoerd door onbekende aanvallers met gebruik van speciaal gemaakte,breed verkrijgbare programma's die kwetsbare netwerkservers opzochten en daarop cliënttoepassingen installeerden (trojans genaamd), waarna de aanvallen van alle geïnfecteerde serversde slachtoffer sites overspoelden en ze onbereikbaar maakten. Veel mensen geven de schuld aanfundamentele problemen in de manier waarop routers en de gebruikte protocollen zijn ingesteld omalle binnenkomende data te accepteren, onafhankelijk waar heen of voor welk doel de pakkettenverzonden worden.

In 2007, a data breach exploiting the widely-known weaknesses of the Wired Equivalent Privacy(WEP) wireless encryption protocol resulted in the theft from a global financial institution of over 45million credit card numbers.3

In a separate incident, the billing records of over 2.2 million patients stored on a backup tape werestolen from the front seat of a courier's car.4

Er wordt geschat dat op dit moment 1.4 miljard mensen over de gehele wereld het Internet gebruikenof hebben gebruikt.5 Te gelijkertijd:

• On any given day, there are approximately 225 major incidences of security breach reported to theCERT Coordination Center at Carnegie Mellon University.6

• In 2003, the number of CERT reported incidences jumped to 137,529 from 82,094 in 2002 and from52,658 in 2001.7

• The worldwide economic impact of the three most dangerous Internet Viruses of the last three yearswas estimated at US$13.2 Billion.8

From a 2008 global survey of business and technology executives "The Global State of InformationSecurity"9, undertaken by CIO Magazine, some points are:

• Slechts 43% van de ondervraagden bewaken de naleving van beveiligingsvoorschriften doorgebruikers

• Slechts 22% houdt bij welke externe bedrijven hun data gebruiken

• The source of nearly half of security incidents was marked as "Unknown"

• 44% van de ondervraagden is van plan de beveiligingsuitgaven in het volgend jaar te verhogen

• 59% hebben en informatie beveiligings strategie.

http://www.theregister.co.uk/2007/05/04/txj_nonfeasance/http://www.healthcareitnews.com/story.cms?id=9408http://www.internetworldstats.com/stats.htmhttp://www.csoonline.com/article/454939/The_Global_State_of_Information_Security_

SELinux

3

Deze resultaten onderstrepen de werkelijkheid dat computerbeveiliging een meetbaar en verdedigbaaronderdeel is van IT budgetten. Organisaties die data integriteit en hoge beschikbaarheid vereisen,gebruiken de vaardigheden van beheerders, ontwikkelaars, en ingenieurs om zeker te zijn vanononderbroken betrouwbaarheid van hun systemen, diensten, en informatie. Het slachtoffer wordenvan kwaadwillige gebruikers, processen, of gecoördineerde aanvallen is een directe bedreiging vanhet succes van de organisatie.

Helaas is systeem en netwerk beveiliging een moeilijk vak, wat een uitgebreide kennis vereist van demanier waarop een organisatie zijn informatie beschouwt, gebruikt, manipuleert en overbrengt. Hetbegrijpen van de manier waarop de organisatie (en de mensen die de organisatie vormen) zaken doetis van groot belang voor het maken van een juist beveiligingsplan.

1.1.1.3. Het standaardiseren van beveiligingBedrijven in elke industrie tak vertrouwen op voorschriften en regels die gemaakt zijn doorstandaardisatie organisaties zoals de American Medical Association (AMA) of de Institute ofElectrical and Electronics Engineers (IEEE). Hetzelfde ideaal geldt voor informatie beveiliging. Veelbeveiligings consulenten en bedrijven omarmen het standaard beveiligings model bekend als CIA,of Confidentiality, Integrity, and Availability (Vertrouwelijkheid, Integriteit, en Beschikbaarheid). Ditdrie-lagen model is een algemeen geaccepteerd onderdeel om de risico's van gevoelige informatiete onderzoeken en een beveiligings tactiek uit te stippelen.. Het volgende beschrijft het CIA model inmeer detail:

• Confidentiality (Vertrouwelijkheid) — Gevoelige informatie moet alleen beschikbaar zijn voor eenbeperkt, gedefinieerd aantal mensen. Onbevoegde overdracht en gebruik van informatie moetbeperkt worden. Bijvoorbeeld, vertrouwelijkheid van informatie verzekert dat de persoonlijke enfinanciële informatie van een klant niet verkregen kan worden door een onbevoegd persoon voorkwaadwillige doeleinden zoals identiteit diefstal of creditkaart fraude.

• Integrity (Integriteit) — Informatie moet niet veranderd worden op een manier waardoor hetincompleet of incorrect wordt. Onbevoegde gebruikers moeten beperkt worden in de mogelijkhedenom gevoelige informatie te veranderen of te vernietigen.

• Availability (Beschikbaarheid) — Informatie moet toegankelijk zijn voor bevoegde gebruikers opieder moment dat dit nodig is. Beschikbaarheid is een garantie dat informatie verkregen kan wordenmet een afgesproken frequentie en snelheid. Dit wordt vaak gemeten in percentages en wordtformeel afgesproken in Service Level Agreements (SLAs) (Service Niveau Overeenkomsten)gebruikt door netwerk dienst aanbieders en hun zakelijke klanten.

1.1.2. SELinuxFedora includes an enhancement to the Linux kernel called SELinux, which implements a MandatoryAccess Control (MAC) architecture that provides a fine-grained level of control over files, processes,users and applications in the system. Detailed discussion of SELinux is beyond the scope of thisdocument; however, for more information on SELinux and its use in Fedora, refer to the FedoraSELinux User Guide available at http://docs.fedoraproject.org/selinux-user-guide/. For moreinformation on configuring and running services in Fedora that are protected by SELinux, refer tothe SELinux Managing Confined Services Guide available at http://docs.fedoraproject.org/selinux-managing-confined-services-guide10. Other available resources for SELinux are listed in Hoofdstuk 7,Referenties.

10 http://docs.fedoraproject.org/selinux-managing-confined-services-guide/

http://docs.fedoraproject.org/selinux-user-guide/http://docs.fedoraproject.org/selinux-managing-confined-services-guide/http://docs.fedoraproject.org/selinux-managing-confined-services-guide/http://docs.fedoraproject.org/selinux-managing-confined-services-guide/

Hoofdstuk 1. Beveiligings overzicht

4

1.1.3. Beveiligings controlescomputer beveiliging wordt vaak verdeeld in drie aparte hoofdgroepen, gewoonlijk aangegeven alscontroles:

• Fysiek

• Technisch

• Administratief

Deze drie brede categorieën definiëren de belangrijkste doelen van een juiste beveiligingsimplementatie. Binnen deze controles zijn sub-categorieën die de controles verder verfijnen en deimplementatie aangeven.

1.1.3.1. Fysieke controlesFysieke controles is de implementatie van beveiligings maatregelen in een gedefinieerde structuurvoor het afschrikken of verhinderen van onbevoegde toegang tot gevoelig materiaal. Voorbeelden vanfysieke controles zijn:

• Gesloten-circuit bewakings camera's

• Bewegings of thermische alarm systemen

• Bewakers

• Badges met foto

• Afgesloten en vergrendelde stalen deuren

• Biometriek (zoals vingerafdrukken, stem, gezichts, iris, handschrift, en andere automatischemethoden gebruikt om individuen te herkennen)

1.1.3.2. Technische controlesTechnische controles gebruiken technologie als basis voor het controleren van de toegang tot en hetgebruik van gevoelige data door een fysieke structuur en via een netwerk. Technische controles reikenver en bevatten technologieën als:

• Versleuteling

• Smart cards

• Netwerk authenticatie

• Toegangs controle lijsten (ACL's)

• Bestandsintegriteit onderzoek software

1.1.3.3. Administratieve controlesAdministratieve controles definiëren de menselijke factoren van beveiliging. Ze omvatten alle niveausvan personeel binnen een organisatie en bepalen welke gebruikers toegang hebben tot welkehulpbronnen en informatie met behulp van middelen als:

• Onderwijs en bewustzijn

Conclusie

5

• Voorbereid zijn op ongevallen en herstel plannen

• Personeel aanwerven en scheiden strategieën

• Personeelsregistratie en verantwoording

1.1.4. ConclusieNu je iets hebt geleerd over de oorsprong, redenen, en aspecten van beveiliging, zul je hetgemakkelijker vinden om de juiste actie koers te bepalen met betrekking tot Fedora. Het is belangrijkom te weten welke factoren en condities beveiliging bepalen om een juiste strategie te bedenken en teimplementeren. Met deze informatie in gedachte, kan het proces geformaliseerd worden en wordt hetpad duidelijker als je dieper in de specifieke aspecten van het beveiligings proces duikt.

1.2. Kwetsbaarheid beoordelingMet voldoende tijd, hulpbronnen, en motivatie, kan een cracker in bijna elk systeem inbreken.Uiteindelijk kunnen alle beveiligings procedures en technologiën die nu beschikbaar zijn, nietgaranderen dat elk systeem volledig beveiligd is tegen indringing. Routers helpen de gatewaysnaar het Internet te beveiligen. Firewalls helpen om de randen van het netwerk te beveiligen. VirtualPrivate Networks geven data veilig door met een versleutelde stroom. Indringings detectie systemenwaarschuwen je voor kwaadwillige activiteiten. Het succes van al deze technologiën hangt echter afvan een aantal variabelen, zoals:

• De deskundigheid van de werknemers die verantwoordelijk zijn voor het instellen, bewaken, enonderhouden van de technologiën.

• De mogelijkheid om services en kernels snel en efficiënt te corrigeren en te vernieuwen.

• De mogelijkheid van de verantwoordelijken om constant waakzaam te zijn over het netwerk.

Door de dynamische toestand van data systemen en technologiën, kan het beveiligen van zakelijkehulpbronnen behoorlijk ingewikkeld zijn. Door deze complexiteit is het vaak moeilijk om deskundigente vinden voor al je systemen. Terwijl het mogelijk is om personeel te hebben die kennis heeft van velegebieden van informatie beveiliging, is het moeilijk personeel vast te houden die deskundig is in meerdan een paar onderwerpsgebieden. Dit komt voornamelijk door de vereiste van constante aandacht enscherpte voor ieder onderwerpsgebied van informatie beveiliging. Informatie beveiliging staat niet stil.

1.2.1. Denk als de vijandVeronderstel dat je een zakelijk netwerk beheert. Zo'n netwerk bestaat gewoonlijk uit operatingsystemen, toepassingen, servers, netwerk bewaking, firewalls, indringings detectie systemen, enmeer. Stel je nu voor om te proberen voor ieder van deze actueel te blijven. Gegeven de complexiteitvan de huidige software en netwerk omgevingen, zijn uitbuitingen en bugs een zekerheid. Actueel teblijven met correcties en vernieuwingen voor een geheel netwerk zal een intimiderende taak blijken tezijn in een grote organisatie met heterogene systemen.

Combineer de kennis vereisten met de taak om actueel te blijven, en het is duidelijk dat vijandigeincidenten zullen optreden, dat systemen verstoord worden, data corrupt raakt, en serviceonderbroken wordt.

Om de beveiligings technologiën te ondersteunen en te helpen met het beschermen van systemen,netwerken, en data, moet je denken als een cracker en de beveiliging van je systemen meten door

Hoofdstuk 1. Beveiligings overzicht

6

het zoeken naar zwaktes. Preventief kwestbaarheids onderzoek van je eigen systemen en netwerkhulpbronnen kan potentiële problemen laten zien voordat een cracker deze uit kan buiten.

A vulnerability assessment is an internal audit of your network and system security; the resultsof which indicate the confidentiality, integrity, and availability of your network (as explained inParagraaf 1.1.1.3, “Het standaardiseren van beveiliging”). Typically, vulnerability assessment startswith a reconnaissance phase, during which important data regarding the target systems and resourcesis gathered. This phase leads to the system readiness phase, whereby the target is essentiallychecked for all known vulnerabilities. The readiness phase culminates in the reporting phase, wherethe findings are classified into categories of high, medium, and low risk; and methods for improving thesecurity (or mitigating the risk of vulnerability) of the target are discussed.

Als je een kwetsbaarheidsonderzoek van je huis zou uitvoeren, zal je waarschijnlijk willen controlerenof elke deur naar je huis dicht en afgesloten is. Je zult ook elk venster controleren om er zeker vante zijn dat deze geheel dicht zijn en correct afgesloten. Dit zelfde concept is van toepassing opsystemen, netwerken, en elektronische data. Kwaadwillige gebruikers zijn de dieven en vandalen vanje data. Richt je op hun gereedschappen, mentaliteit, en motivatie, en je kunt dan snel reageren ophun acties.

1.2.2. Het definiëren van onderzoeken en testenKwetbaarheidsonderzoeken kunnen verdeeld worden in twee types:van buiten naar binnen kijken envan binnen rondkijken.

When performing an outside looking in vulnerability assessment, you are attempting to compromiseyour systems from the outside. Being external to your company provides you with the cracker'sviewpoint. You see what a cracker sees — publicly-routable IP addresses, systems on your DMZ,external interfaces of your firewall, and more. DMZ stands for "demilitarized zone", which correspondsto a computer or small subnetwork that sits between a trusted internal network, such as a corporateprivate LAN, and an untrusted external network, such as the public Internet. Typically, the DMZcontains devices accessible to Internet traffic, such as Web (HTTP) servers, FTP servers, SMTP (e-mail) servers and DNS servers.

Als je een van binnen rondkijken kwetsbaarheidsonderzoek uitvoert, heb je het voordeel dat je internbent en je status is verhoogd naar vertrouwd. Dit is het gezichtspunt dat jij en je collega's hebbenzodra je ingelogd bent op je systeem. Je ziet printservers, bestandsservers, databases en anderehulpbronnen.

Er is een opvallend verschil tussen de twee types van kwetsbaarheidsonderzoeken. Als je intern bijje bedrijf bent heb je meer rechten dan een buitenstaander. Vandaag de dag wordt beveiliging in demeeste organisaties nog steeds ingesteld om indringers buiten te houden. Erg weinig wordt gedaanom het binnenste van de organisatie te beveiligen (zoals afdelingsfirewalls, toegangscontrole opgebruikers niveau, authenticatie procedures voor interne hulpbronnen, enzovoort). Gewoonlijk zijner veel meer hulpbronnen als je binnen rondkijkt omdat de meeste systemen intern het bedrijf zijn.Zodra je jezelf buiten het bedrijf plaatst, krijg je onmiddellijk een onvertrouwde status. De systemen enhulpbronnen die voor je beschikbaar zijn als je extern bent is gewoonlijk erg beperkt.

Overweeg het verschil tussen kwetsbaarheidsonderzoek en indringings testen. Beschouw eenkwetsbaarheidsonderzoek als de eerste stap van een indringingstest. De informatie verkregen vanhet onderzoek wordt gebruikt voor het testen. Terwijl het onderzoek wordt uitgevoerd om gatenen potentiële kwestbaarheden te onderzoeken, probeert de indringingstest de resultaten echt tegebruiken.

Het evalueren van de gereedschappen

7

Het onderzoeken van de netwerk infrastructuur is een dynamisch proces. Beveiliging, zowel informatieals fysiek, is dynamisch. Het uitvoeren van een onderzoek geeft een overzicht die verkeerde plussenen verkeerde minnen kan opleveren.

Beveiligingsbeheerders zijn niet beter dan de gereedschappen die ze gebruiken en de kennis dieze hebben. Neem een van de op dit moment beschikbare beveiligingsgereedschappen, en het iszo goed als zeker dat er een paar verkeerde plussen zijn. Of dit komt door een programma fout ofeen gebruikers fout, het resultaat is hetzelfde. Het gereedschap kan kwestbaarheden vinden die inwerkelijkheid niet bestaan (verkeerde plussen); of, nog erger, het gereedschap kan kwetsbaarhedenniet vinden die werkelijk bestaan (verkeerde minnen).

Nu het verschil tussen een kwetsbaarheidsonderzoek en een indringingstest is gedefinieerd, nemenwe de resultaten van het onderzoek en bekijken we deze zorgvuldig voordat we een indringingstestuitvoeren als onderdeel van je nieuwe beste praktijken aanpak.

WaarschuwingHet proberen van het uitbuiten van kwetsbaarheden op productie hulpbronnen kan eenaverechts effect hebben op de productiviteit en efficiëntie van je systemen en netwerk.

De volgende lijst bekijkt een aantal voordelen van het uitvoeren van kwetsbaarheidsonderzoeken.

• Veroorzaakt een pro-actieve focus op informatie beveiliging

• Vindt potentiële uitbuitingen voordat crackers deze vinden

• Resulteert in systemen die bij de tijd gehouden worden en gecorrigeerd worden.

• Bevordert groei en helpt in het ontwikkelen van vaardigheden van het personeel

• Vermindert financiële verliezen en negatieve publiciteit

1.2.2.1. Het vaststellen van een methodologieOm te helpen bij het kiezen van gereedschappen voor een kwetsbaarheidsonderzoek, is het nuttig omeen kwetsbaarheidsonderzoek methodologie vast te stellen. Helaas is er op dit moment geen voor-gedefinieerde of door de industrie goedgekeurde methodologie; echter gezond verstand en bestepraktijken kunnen als voldoende gids dienen.

Wat is het doel? Kijken we naar een server, of kijken we naar ons gehele netwerk en alles binnen hetnetwerk? Zijn we extern of intern van het bedrijf? De antwoorden op deze vragen zijn belangrijk omdatze niet alleen helpen te bepalen welke gereedschappen we moeten kiezen, maar ook de manierwaarop ze gebruikt moeten worden.

Om meer te weten te komen over het vaststellen van een methodologie, refereer je naar de volgendewebsites:

• http://www.isecom.org/osstmm/ The Open Source Security Testing Methodology Manual (OSSTMM)

• http://www.owasp.org/ The Open Web Application Security Project

1.2.3. Het evalueren van de gereedschappenEen onderzoek kan beginnen met het gebruik van een informatie verzamel gereedschap. Als hetgehele netwerk onderzocht wordt, maak dan eerst een plattegrond om de host te vinden die er in

http://www.isecom.org/osstmm/http://www.owasp.org/

Hoofdstuk 1. Beveiligings overzicht

8

draaien. Zodra die gevonden zijn, bekijk dan iedere host individueel. Concentreren op deze hostsvereist een andere set gereedschappen. Te weten welke gereedschappen gebruikt moeten wordenkan de beslissende stap zijn in het vinden van kwetsbaarheden.

Net als in elk onderdeel van het dagelijkse leven, zijn er veel verschillende gereedschappendie dezelfde taak uitvoeren. Dit concept is ook van toepassing op het uitvoeren vankwetbaarheidsonderzoeken. Er zijn gereedschappen specifiek voor operating systemen,toepassingen, en zelfs netwerken (afhankelijk van het gebruikte protocol). Sommige gereedschappenzijn gratis, andere niet. Sommige gereedschappen zijn intuïtief en gemakkelijk te gebruiken, terwijlandere cryptisch en slecht gedocumenteerd zijn maar met eigenschappen die andere niet hebben.

Het vinden van de juiste gereedschappen kan een intimiderende taak zijn en op het eind telt ervaring.Indien mogelijk maak je een test omgeving en probeer je zoveel gereedschappen als je kunt, en jenoteert van elk de sterktes en zwaktes. Bekijk het README bestand of de manual pagina voor hetgereedschap. Kijk bovendien op het Internet voor meer informatie, zoals artikelen, stap-voor-stapgidsen, en zelfs mailing lijsten specifiek voor een gereedschap.

De hier beneden besproken gereedschappen is slechts een klein aantal van de beschikbaregereedschappen.

1.2.3.1. Hosts scannen met NmapNmap is een populair gereedschap dat onderdeel is van Fedora en gebruikt kan worden voor hetbepalen van de opbouw van een netwerk. Nmap is al vele jaren beschikbaar en is waarschijnlijk hetmeest gebruikte gereedschap voor het verzamelen van informatie. Een uitstekende manual pagina istoegevoegd die een gedetaileerde beschrijving van zijn opties en gebruik geeft. Beheerders kunnenNmap in een netwerk gebruiken om de host systemen te vinden en open poorten op die systemen.

Nmap is een goede eerste stap in een kwetsbaarheidsonderzoek. Je kunt alle hosts in je netwerkin kaart brengen en zelfs een optie meegeven dat Nmap de mogelijkheid geeft om het operatingssysteem te bepalen wat op een bepaalde host draait. Nmap is een goede ondergrond voor hetvaststellen van een tactiek voor het gebruiken van beveiligde services en het stoppen van ongebruikteservices.

1.2.3.1.1. Nmap gebruikenNmap kan uitgevoerd worden vanaf een shell prompt door het intypen van het nmap commandogevolgd door de hostnaam of IP adres van de machine die bekeken moet worden.

nmap foo.example.com

The results of a basic scan (which could take up to a few minutes, depending on where the host islocated and other network conditions) should look similar to the following:

Starting Nmap 4.68 ( http://nmap.org )Interesting ports on foo.example.com:Not shown: 1710 filtered portsPORT STATE SERVICE22/tcp open ssh53/tcp open domain70/tcp closed gopher80/tcp open http113/tcp closed auth

Het evalueren van de gereedschappen

9

Nmap test de meest gebruikte netwerk communicatie poorten voor het luisteren naar of wachten opservices. Deze kennis kan nuttig zijn voor een beheerder die onnodige of ongebruikte services wilafsluiten.

Voor meer informatie over het gebruik van Nmap refereer je naar de officiële Nmap pagina op:

http://www.insecure.org/

1.2.3.2. NessusNessus is een beveiligings scanner voor alle services. De plug-in architectuur van Nessus staatgebruikers toe het aan te passen voor hun systemen en netwerken. Zoals met elke scanner is Nessusniet beter dan de handtekeningen database waar het op steunt. Gelukkig wordt Nessus regelmatigvernieuwd en biedt het volledige rapportering, en real-time kwetsbaarheid zoeken. Denk er aan dater verkeerde plussen en verkeerde minnen kunnen zijn, zelfs bij een gereedschap zo krachtig enregelmatig vernieuwd als Nessus.

OpmerkingThe Nessus client and server software is included in Fedora repositories but requires asubscription to use. It has been included in this document as a reference to users whomay be interested in using this popular application.

Voor meer informatie over Nessus refereer je naar de officiële web pagina op:

http://www.nessus.org/

1.2.3.3. NiktoNikto een zeer goede common gateway interface (CGI) script scanner. Nikto controleert nietalleen voor CGI kwetsbaarheden maar doet dit op een ontwijkende manier zodat het ontsnapt aanindringings detectie systemen. Het heeft een grondige documentatie die je zorgvuldig moet bekijkenvoordat je het programma draait. Als je Web servers hebt die CGI scripts aanbieden, kan Nikto eenuitstekende hulpbron zijn om de beveiliging van deze servers te controleren.

Meer informatie over Nikto kan gevonden worden op:

http://www.cirt.net/code/nikto.shtml

1.2.3.4. VLAD de scannerVLAD is een kwetsbaarheids scanner, ontwikkelt door het RAZOR team van Bindview, Inc., welkecontroleert voor de SANS Top Tien lijst van algemene beveiligings problemen (SNMP problemen,bestandsdeling problemen, enz.). Hoewel het niet zo volledig is als Nessus, is VLAD de moeite vanhet bekijken waard.

OpmerkingVLAD is geen onderdeel van Fedora en wordt niet ondersteund. Het wordt in dit documentgenoemd als een referentie voor gebruikers die er interesse in hebben om deze populairetoepassing te gebruiken.

http://www.insecure.org/http://www.nessus.org/http://www.cirt.net/code/nikto.shtml

Hoofdstuk 1. Beveiligings overzicht

10

Meer informatie over VLAD kan gevonden worden op de RAZOR team website op:

http://www.bindview.com/Support/Razor/Utilities/

1.2.3.5. Anticiperen op je toekomstige behoeftesAfhankelijk van je doel en hulpmiddelen, zijn er veel gereedschappen beschikbaar. Er zijngereedschappen voor draadloze netwerken, Novell netwerken, Windows systemen, Linux systemen,een nog veel meer. Een ander essentieel onderdeel van het uitvoeren van onderzoeken kan zijnhet bekijken van fysieke beveiliging, personeel doorlichten, of voice/PBX netwerk beoordeling.Nieuwe concepten, zoals war walking, wat het scannen van de omtrek van de fysieke structuur vanje onderneming inhoudt voor draadloze netwerk kwetsbaarheden, zijn opkomende concepten die jekunt bekijken en, indien nodig, onderdeel maken van je onderzoek. Verbeelding en blootstelling zijn deenigste beperkingen voor het plannen en uitvoeren van kwetsbaarheidsonderzoeken.

1.3. Aanvallers en kwetsbaarhedenOm een goede beveiligings strategie te plannen en te implementeren, moet je bewust zijn van eenpaar van de problemen die vastberaden en gemotiveerde hackers uitbuiten om systemen in gevaarte brengen. Voordat we echter in detail gaan over deze problemen, moeten we de terminologiedefiniëren voor het identificeren van een aanvaller.

1.3.1. Een kleine geschiedenis van hackersDe huidige betekenis van de term hacker heeft een oorsprong die teruggaat naar 1960-er jaren en deMassachusetts Institute of Technology (MIT) Tech Model Railroad Club,welke treinstellen ontwierp opeen grote schaal en met complexe details. Hacker was de naam die gebruikt werd voor leden van declub die een slimme truc of workaround voor een probleem ontdekten.

Sindsdien beschrijft de term hacker iedereen van computer fanaten tot begaafde programmeurs. Eengemeenschappelijke eigenschap van de meeste hackers is de bereidheid om tot in detail te ontdekkenhoe computer systemen en netwerken werken met weinig of geen motivatie van buitenaf. Opensource software ontwikkelaars beschouwen zichzelf en hun collega's vaak als hackers, en gebruikenhet woord als teken van respect.

Gewoonlijk volgen hackers een vorm van de hacker ethiek die voorschrijft dat de zoektocht naarinformatie en expertise essentieel is, en dat het delen van deze kennis met de gemeenschap eenplicht is. Gedurende deze zoektocht naar kennis, genieten sommige hackers van de academischeuitdaging van het omzeilen van beveiligings maatregelen in computer systemen. Daarom gebruiktde pers vaak de term hacker voor het beschrijven van mensen die ongeoorloofd toegang krijgentot systemen en netwerken met gewetenloze, kwaadwillige, of criminele voornemens. De meernauwkeurige term voor dit type computer hacker is cracker — een term die midden 1980-er jaren doorhackers is bedacht om het verschil tussen de twee soorten aan te geven.

1.3.1.1. GrijsschalenWithin the community of individuals who find and exploit vulnerabilities in systems and networks areseveral distinct groups. These groups are often described by the shade of hat that they "wear" whenperforming their security investigations and this shade is indicative of their intent.

De witte hoed hacker is iemand die netwerken en systemen test om hun prestaties te onderzoekenen te bepalen hoe kwetsbaar ze zijn voor indringing. Gewoonlijk kraken witte hoed hackers hun

http://www.bindview.com/Support/Razor/Utilities/

Bedreigingen voor netwerk beveiliging

11

eigen systemen of de systemen van een opdrachtgever die ze specifiek heeft aangenomen om debeveiliging te onderzoeken. Academische onderzoekers en professionele beveiligings consulenten zijntwee voorbeelden van witte hoed hackers.

Een zwarte hoed hacker komt overeen met een cracker. In het algemeen zijn crackers mindergericht op programmeren en de academische kant van het inbreken in systemen. Zij steunen vaakop beschikbare crack programma's en buiten bekende zwakheden in systemen uit om gevoeligeinformatie te ontdekken voor persoonlijke winst of om schade aan te richten op het doel systeem ofnetwerk.

De grijze hoed hacker, daarin tegen, heeft in de meeste situaties de vaardigheden en bedoeling vaneen witte hoed hacker, maar gebruikt deze kennis soms voor minder nobele doeleinden. Een grijzehoed hacker kan beschouwd worden als een witte hoed hacker die soms een zwarte hoed draagt omzijn doel te bereiken.

Grijze hoed hackers onderschrijven gewoonlijk een andere vorm van de hackers ethiek, die zegt dathet geoorloofd is om in te breken in systemen zolang de hacker geen diefstal pleegt of vertrouwlijkegegevens schendt. Sommigen zullen echter zeggen dat het inbreken in systemen op zich al nietethisch is.

Onafhankelijk van de bedoeling van de indringer is het belangrijk om de zwaktes te kennen die eencracker waarschijnlijk zal proberen uit te buiten. De rest van dit hoofdstuk concentreert zich op dezaken.

1.3.2. Bedreigingen voor netwerk beveiligingSlechte praktijken tijdens het instellen van de volgende aspecten van een netwerk kunnen het risicovan een aanval vergroten.

1.3.2.1. Onveilige architecturenEen verkeerd ingesteld netwerk is de eerste ingang voor niet bevoegde gebruikers. Om een opvertrouwen gebaseerd, open lokaal netwerk kwetsbaar te laten voor het in grote mate onveiligeInternet is zoiets als de deur op een kier laten in een misdadige omgeving — gedurende eenwillekeurige tijds periode gebeurt er niets, maar uiteindelijk benut iemand de mogelijkheid.

1.3.2.1.1. Broadcast netwerkenSystem administrators often fail to realize the importance of networking hardware in their securityschemes. Simple hardware such as hubs and routers rely on the broadcast or non-switched principle;that is, whenever a node transmits data across the network to a recipient node, the hub or routersends a broadcast of the data packets until the recipient node receives and processes the data. Thismethod is the most vulnerable to address resolution protocol (ARP) or media access control (MAC)address spoofing by both outside intruders and unauthorized users on local hosts.

1.3.2.1.2. Gecentraliseerde serversEen andere potentiële netwerk valkuil is het gebruik van gecentraliseerde computers. Een vaakvoorkomende kosten besparing in veel bedrijven is om alle services te bundelen op een krachtigemachine. Dit is handig omdat het eenvoudiger te beheren is en behoorlijk goedkoper is dan eenconfiguratie met meerdere servers. Een gecentraliseerde server introduceert echter een enkel puntvan falen. Als de centrale server in gevaar is gebracht, kan het netwerk compleet nutteloos zijn of

Hoofdstuk 1. Beveiligings overzicht

12

erger, vatbaar zijn voor data manipulatie of diefstal. In deze situaties wordt een centrale server eenopen deur die toegang toestaat tot het gehele netwerk.

1.3.3. Bedreigingen voor server beveiligingServer beveiliging is even belangrijk als netwerk beveiliging omdat servers vaak een groot deel van devitale informatie van een organisatie bevatten. Als een server in gevaar is gebracht, komt zijn geheleinhoud misschien beschikbaar voor de cracker die het naar goeddunken kan stelen of manipuleren.De volgende paragrafen bespreken sommige van de hoofdzaken.

1.3.3.1. Ongebruikte services en open poortenEen volledige installatie van Fedora bevat meer dan 1000 toepassings en bibliotheek pakketten.De meeste serverbeheerders zullen er echter niet voor kiezen om ieder pakket in de distributie teinstalleren, maar zullen er de voorkeur aangeven om een installatie van basis pakketten uit te voeren,plus een aantal server toepassingen.

A common occurrence among system administrators is to install the operating system without payingattention to what programs are actually being installed. This can be problematic because unneededservices may be installed, configured with the default settings, and possibly turned on. This can causeunwanted services, such as Telnet, DHCP, or DNS, to run on a server or workstation without theadministrator realizing it, which in turn can cause unwanted traffic to the server, or even, a potentialpathway into the system for crackers. Refer To Paragraaf 2.2, “Server beveiliging” for information onclosing ports and disabling unused services.

1.3.3.2. Niet gecorrigeerde servicesDe meeste server toepassingen die onderdeel zijn van een standaard installatie zijn solide, goedgeteste stukken software. Omdat ze al vele jaren in productie omgevingen gebruikt worden, is huncode grondig verbeterd en veel van de fouten zijn gevonden en gerepareerd.

Er is echter niet zo iets als perfecte software en er is altijd ruimte voor verdere verbeteringen.Bovendien is nieuwere software meestal niet zo grondig getest als je zou verwachten, om dat het paskort in productie omgevingen aanwezig is of omdat het misschien niet zo populair is als andere serversoftware.

Ontwikkelaars en systeembeheerders vinden vaak fouten in server toepassingen die uit te buitenzijn en publiceren de informatie op bug volgen en beveiligings gerelateerde websites zoals deBugtraq mailing lijst (http://www.securityfocus.com) of de Computer Emergency Response Team(CERT) website (http://www.cert.org). Hoewel deze mechanismes een effectieve manier zijnom de gemeenschap te waarschuwen voor beveiligings kwetsbaarheden, is het de taak van desysteembeheerders om hun systeem snel te corrigeren. Dit is in het bijzonder van belang omdatcrackers toegang hebben tot dezelfde kwetsbaarheids volg systemen en zij zullen de informatiegebruiken om niet gecorrigeerde systemen te kraken wanneer ze dat kunnen. Goed systeembeheervereist oplettendheid, constant bugs volgen, en juiste systeem onderhoud om een veiliger computeromgeving te waarborgen.

Refer to Paragraaf 1.5, “Beveiligings vernieuwingen” for more information about keeping a system up-to-date.

1.3.3.3. Onoplettend beheerAdministrators who fail to patch their systems are one of the greatest threats to server security.According to the SysAdmin, Audit, Network, Security Institute (SANS), the primary cause of computer

http://www.securityfocus.comhttp://www.cert.org

Bedreigingen voor werkstations en beveiliging van thuis PC's

13

security vulnerability is to "assign untrained people to maintain security and provide neither the trainingnor the time to make it possible to do the job."11 This applies as much to inexperienced administratorsas it does to overconfident or amotivated administrators.

Sommige beheerders laten na hun servers en werkstations te corrigeren, terwijl anderen nalaten omde log boodschappen van de systeem kernel of het netwerk verkeer te bekijken. Een andere veelvoorkomende fout is het onveranderd laten van standaard wachtwoorden of sleutels voor services.Bijvoorbeeld, sommige databases hebben standaard beheerswachtwoorden omdat de databaseontwikkelaars aannemen dat de systeembeheerder deze wachtwoorden onmiddellijk na de installatiezal veranderen. Als een database beheerder nalaat om dit wachtwoord te veranderen, kan zelfs eenonervaren cracker het algemeen bekende standaard wachtwoord gebruiken om beheersrechten tekrijgen voor de database. Dit zijn slechts een paar voorbeelden van het veroorzaken van in gevaargebrachte servers door onoplettend beheer.

1.3.3.4. Inherent onveilige servicesZelfs de meest waakzame organisatie kan het slachtoffer worden van kwetsbaarheden als de netwerkservices die ze kiezen inherent onveilig zijn. Bijvoorbeeld, er zijn veel services ontwikkeld met deaanname dat ze gebruikt worden in betrouwbare netwerken; deze aanname vervalt echter zodra deservice beschikbaar komt via het Internet — welke zelf inherent onbetrouwbaar is.

Een categorie van onveilige netwerk sevices zijn degene die niet-versleutelde gebruikersnamenen wachtwoorden vereisen voor authenticatie. Telnet en FTP zijn zulke services. Als pakketsnuffelsoftware het verkeer tussen de gebruiker op afstand en zo'n service volgt, kunnen gebruikersnamenen wachtwoorden eenvoudig onderschept worden.

Zulke services kunnen inherent ook gemakkelijker prooi worden voor wat de beveiligings industrieeen de-man-in-het-midden aanval noemt. In dit type aanval leidt een cracker het netwerkverkeerom door het misleiden van een gekraakte naamserver op het netwerk om naar zijn machine tewijzen in plaats van de bedoelde server. Zodra iemand een sessie op afstand opent naar de server,gedraagt de machine van de aanvaller zich als een onzichtbaar kanaal en zit rustig tussen de serviceop afstand en de argeloze gebruiker informatie te verzamelen. Op deze manier kan een crackerbeheerswachtwoorden en ruwe data verzamelen zonder dat de server of de gebruiker dit realiseert.

Een andere categorie van niet veilige services zijn netwerk bestandssystemen en informatie serviceszoals NFS of NIS, die expliciet ontwikkeld zijn voor LAN gebruik, maar helaas zijn uitgebreidom WAN's te omvatten (voor gebruikers op afstand). NFS heeft standaard geen authenticatie ofbeveiligings mechanismes ingesteld om te voorkomen dat een cracker het NFS deel aankoppelt enalles kan bereiken wat zich daar bevindt. NIS heeft ook vitale informatie die aan iedere computer ophet netwerk bekend moet zijn, zoals wachtwoorden en bestandsrechten, dit in een leesbare tekstASCII of DBM (van ASCII afgeleid) database. Een cracker die toegang krijgt tot deze database heeftdan toegang tot elk gebruikersaccount op een netwerk, inclusief het account van de beheerder.

By default, Fedora is released with all such services turned off. However, since administrators oftenfind themselves forced to use these services, careful configuration is critical. Refer to Paragraaf 2.2,“Server beveiliging” for more information about setting up services in a safe manner.

1.3.4. Bedreigingen voor werkstations en beveiliging van thuis PC'sWorkstations and home PCs may not be as prone to attack as networks or servers, but since theyoften contain sensitive data, such as credit card information, they are targeted by system crackers.

http://www.sans.org/resources/errors.php

Hoofdstuk 1. Beveiligings overzicht

14

Workstations can also be co-opted without the user's knowledge and used by attackers as "slave"machines in coordinated attacks. For these reasons, knowing the vulnerabilities of a workstation cansave users the headache of reinstalling the operating system, or worse, recovering from data theft.

1.3.4.1. Slechte wachtwoordenBad passwords are one of the easiest ways for an attacker to gain access to a system. For moreon how to avoid common pitfalls when creating a password, refer to Paragraaf 2.1.3, “Wachtwoordbeveiliging”.

1.3.4.2. Kwetsbare cliënt toepassingenAls een beheerder een volledig veilige en gecorrigeerde server heeft, betekent dat niet dat gebruikersop afstand veilig zijn wanneer ze er toegang naar krijgen. Bijvoorbeeld, als de server Telnet of FTPservices aanbiedt over een publiek netwerk, kan een aanvaller de leesbare tekst gebruikersnamenen wachtwoorden bemachtigen als ze passeren over het netwerk, en daarna de account informatiegebruiken voor toegang naar het werkstation van de gebruiker op afstand.

Zelfs als veilige protocols gebruikt worden, zoals SSH, kan een gebruiker op afstand kwetsbaarzijn voor bepaalde aanvallen als ze hun cliënt toepassingen niet vernieuwen. Bijvoorbeeld, v.1SSH cliënten zijn kwetsbaar voor een X-doorsturen aanval van kwaadwillige SSH servers. Zodraer verbonden is met de server, kan de aanvaller op zijn gemak alle toetsaanslagen en muisklikkendie de gebruiker maakt onderscheppen over het netwerk. Dit probleem is gerepareerd in het v.2SSH protocol, maar het is de taak van de gebruiker om bij te houden welke toepassingen zulkekwetsbaarheden hebben en ze te vernieuwen zoals vereist.

Paragraaf 2.1, “Werkstation beveiliging” discusses in more detail what steps administrators and homeusers should take to limit the vulnerability of computer workstations.

1.4. Veel voorkomende uitbuitingen en aanvallenTabel 1.1, “Veel voorkomende uitbuitingen” details some of the most common exploits and entry pointsused by intruders to access organizational network resources. Key to these common exploits are theexplanations of how they are performed and how administrators can properly safeguard their networkagainst such attacks.

Uitbuiting Beschrijving Opmerkingen

Lege of standaardwachtwoorden

Leaving administrative passwordsblank or using a default password setby the product vendor. This is mostcommon in hardware such as routersand firewalls, though some servicesthat run on Linux can contain defaultadministrator passwords (thoughFedora 12 does not ship with them).

Vaak voorkomend in netwerk hardwarezoals routers, firewalls, VPN's, en aanhet netwerk gekoppelde opslag (NAS)apparaten.Veel voorkomend in legacy operatingsystemen, in het bijzonder diegenedie services bundelen (zoals UNIX enWindows).Beheerders maken somsgebruikersaccount met veel rechtenonder tijdsdruk aan en laten hetwachtwoord leeg, daarmee maken zeeen perfecte ingang voor kwaadwilligegebruikers die dat account ontdekken.

Veel voorkomende uitbuitingen en aanvallen

15

Uitbuiting Beschrijving Opmerkingen

Standaardgedeelde sleutels

Beveiligde services bevatten somsstandaard beveiligingssleutelsvoor ontwikkelings of evaluatietest doeleinden. Als deze sleutelsonveranderd blijven en ze wordenin een productie omgeving op hetInternet geplaatst, hebben allegebruikers met dezelfde standaardsleutels toegang tot die gedeeldesleutel hulpbron, en alle gevoeligeinformatie die het bevat.

Veel voorkomend in draadlozetoegangs punten en voor-ingesteldebeveiligde server apparaten.

IP adres voorde gek houden(spoofing)

Een machine op afstand doet zichvoor als een node in jouw lokalenetwerk, vindt kwetsbaarheden van jeservers, en installeert een achterdeurprogramma of een paard van Trojeom controle te krijgen over je netwerkhulpbronnen.

Spoofing is erg moeilijk omdathet inhoudt dat de aanvallerTCP/IP volgorde nummers moetvoorspellen om een verbinding naarde doelsystemen te coördineren, maarverschillende gereedschappen zijnbeschikbaar die crackers helpen eendergelijke kwetsbaarheid uit te voeren.Hangt af van de op het doel systeemdraaiende services (zoals rsh,telnet, FTP en andere) die op-broncode-gebaseerde authenticatietechnieken gebruiken, wat nietaanbevolen wordt in vergelijk met PKIof andere vormen van versleuteldeauthenticatie zoals gebruikt in ssh ofSSL/TLS.

Afluisteren Het verzamelen van data dat tussentwee actieve nodes op een netwerkuitgewisseld wordt door het afluisterenvan de verbinding tussen de tweenodes.

Dit aanvals type werkt meestalmet leesbare tekst verbindingsprotocollen, zoals Telnet, FTP, enHTTP overdracht.Een aanvaller op afstand moettoegang hebben tot een in gevaargebracht systeem in een LAN omeen dergelijke aanval uit te voeren;gewoonlijk heeft de cracker eenactieve aanval (zoals IP spoofing ofde-man-in-het-midden) gebruikt omeen systeem in het LAN in gevaar tebrengen.Preventieve maatregelen zijnservices met versleutelde sleuteluitwisseling, eenmalige wachtwoorden,of versleutelde authenticatie omwachtwoord snuffelen te voorkomen;sterke versleuteling gedurende deoverdracht is ook aanbevolen.

Hoofdstuk 1. Beveiligings overzicht

16

Uitbuiting Beschrijving Opmerkingen

Servicekwetsbaarheden

Een aanvaller vindt een zwakteof kijkgat in een service die ophet Internet draait; met dezekwetsbaarheid compromitteert deaanvaller het gehele systeem en alledata die het bevat, en kan mogelijkandere systemen in het netwerk ingevaar brengen.

HTTP-based services such as CGIare vulnerable to remote commandexecution and even interactive shellaccess. Even if the HTTP serviceruns as a non-privileged user suchas "nobody", information such asconfiguration files and network mapscan be read, or the attacker canstart a denial of service attack whichdrains system resources or renders itunavailable to other users.Services kunnen somskwetsbaarheden hebben die nietopgemerkt worden tijdens deontwikkeling en het testen; dezekwetsbaarheden (zoals bufferoverloop, waarbij aanvallers eenservice laten crashen door het gebruikvan willekeurige waardes die hetgeheugen buffer van een toepassingvullen, geven de aanvaller eeninteractieve commando prompt vanwaaruit ze willekeurige commando'skunnen uitvoeren) kunnen de helebeheers controle aan de aanvallergeven.Beheerders moeten er zeker van zijndat services niet als de root gebruikerdraaien, en moeten waakzaam blijvenvoor correcties of vernieuwingen voortoepassingen van leveranciers ofbeveiligings organisaties zoals CERTen CVE.

Toepassingskwetsbaarheden

Aanvallers vinden fouten in bureaubladen werkstation toepassingen (zoalsemail cliënten) en voeren willekeurigecode uit, brengen paarden vanTroje aan voor toekomstig in gevaarbrengen, of laten systemen chrashen.Verdere uitbuiting kan plaatsvinden alshet in gevaar gebrachte werkstationbeheersrechten heeft op de rest vanhet netwerk.

Werkstations en bureaubladen zijngevoeliger voor uitbuiting omdatwerknemers niet de kennis of ervaringhebben om in gevaar brengen tevoorkomen of te ontdekken; het isnoodzakelijk om mensen te informerenover de risico's die ze nemen als zeongeoorloofde software installerenof ongevraagde bijlages van emailsopenen.Beschermingen kunnen aangebrachtworden zodat email cliënt software nietautomatisch bijlages opent of uitvoert.Daarnaast kan de automatischevernieuwing van werkstation softwaremet Red Hat Network of andere

Beveiligings vernieuwingen

17

Uitbuiting Beschrijving Opmerkingensysteembeheerdiensten, de taak vanmulti-seat beveiligings opstellingenverlichten.

Serviceweigerings(Denial of service- DoS) aanvallen

Een aanvaller of een groep vanaanvallers coördineren tegen hetnetwerk of de server hulpbronnen vaneen organisatie door het ongevraagdsturen van pakketten naar de doelhost (of server, router, of werkstation).Dit veroorzaakt dat de hulpbronnenniet beschikbaar zijn voor rechtmatigegebruikers.

De meest vermelde DoS aanval in deVS vond plaats in 2000. Verscheidenedruk bezochte commerciële enregerings sites werden onbereikbaargemaakt door een gecoördineerdeping overspoelings aanval doorhet gebruik van verscheidene ingevaar gebrachte systemen methoge bandbreedte verbindingen dieoptraden als zombies, of doorsturendeuitzend nodes.Bron pakketten zijn meestal vervalst(en ook opnieuw uitgezonden), wathet onderzoek naar de echte herkomstvan de aanval moeilijk maakt.Vooruitgang in toegangs filtering(IETF rfc2267) met gebruik vaniptables en netwerk indringingsdetectie systemen zoals snorthelpen beheerders met het opsporenen voorkomen van gespreide DoSaanvallen.

Tabel 1.1. Veel voorkomende uitbuitingen

1.5. Beveiligings vernieuwingenAls beveiligings kwetsbaarheden ontdekt worden, moet de betreffende software vernieuwd wordenom elk potentieel beveiligings risico te beperken. Als de software onderdeel is van een pakket inde Fedora distributie die op dat moment ondersteund wordt, heeft Fedora zich verplicht om zospoedig mogelijk vernieuwde pakketten vrij te geven die de kwetsbaarheid repareren. Vaak gaanaankondigingen van een bepaalde beveiligings uitbuiting gepaard met een correctie (of bron codedie het probleem repareert). Deze correctie wordt dan toegepast in het Fedora pakket, getest, envrijgegeven als een errata vernieuwing. Als de aankondiging echter geen correctie bevat, werkt eenontwikkelaar eerst samen met de onderhouder van de software om het probleem op te lossen. Zodrahet probleem opgelost is, wordt het pakket getest en vrijgegeven als een errata vernieuwing.

Als een errata vernieuwing wordt vrijgegeven voor software die op je systeem gebruikt wordt, wordthet ten sterkste aanbevolen dat je de betreffende pakketten zo spoedig mogelijk vernieuwt om detijdsduur dat je systeem potentieel kwetsbaar is te minimaliseren.

1.5.1. Pakketten vernieuwenAls je pakketten op een systeem vernieuwt, is het belangrijk om de vernieuwing te downloaden vaneen vertrouwde bron. Een aanvaller kan een pakket eenvoudig opnieuw bouwen met hetzelfde versienummer als het pakket dat verondersteld wordt om het probleem op te lossen, maar met een anderebeveiligings uitbuiting en dit vrijgeven op het Internet. Als dit gebeurt, wordt de uitbuiting niet ontdektmet veiligheids maatregelen zoals het vergelijken van bestanden met de originele RPM. Het is dus

Hoofdstuk 1. Beveiligings overzicht

18

erg belangrijk om RPM's alleen te downloaden van vertrouwde bronnen, zoals van Fedora, en deondertekening van het pakket te controleren op zijn integriteit.

OpmerkingFedora bevat een handig paneel icoon dat zichtbare waarschuwingen laat zien als er eenvernieuwing is voor een Fedora systeem.

1.5.2. Ondertekende pakketten verifiërenAlle Fedora pakketten zijn ondertekend met de Fedora GPG sleutel. GPG staat voor GNU PrivacyGuard, of GnuPG, een vrij software pakket voor het verzekeren van authenticiteit van verspreidebestanden. Bijvoorbeeld, een privé sleutel (geheime sleutel) sluit het pakket af terwijl een publiekesleutel het pakket opent en verifieert. Als de publieke sleutel die door Fedora geleverd wordt tijdensde RPM verificatie niet past met de geheime sleutel, kan het pakket veranderd zijn en kan daarom nietvertrouwd worden.

Het RPM programma in Fedora probeert automatisch de GPG ondertekening van een RPM pakket teverifiëren voordat het geïnstalleerd wordt. Als de Fedora GPG sleutel niet geïnstalleerd is, doe dat danvan een veilige, statische locatie, zoals een Fedora installatie CD-ROM of DVD.

Aannemende dat de schijf zich bevindt in /mnt/cdrom, gebruik je het volgende commando om het teimporteren in de sleutelring (een database van vertrouwde sleutels op het systeem):

rpm --import /mnt/cdrom/RPM-GPG-KEY

Om een lijst te laten zien van alle sleutels die geïnstalleerd zijn voor RPM verificatie, voer je hetvolgende commando uit:

rpm -qa gpg-pubkey*

De output zal op het volgende lijken:

gpg-pubkey-db42a60e-37ea5438

Om details van een specifieke sleutel te laten zien, voer je het rpm -qi commando uit gevolgd doorde output van het vorige commando, zoals in dit voorbeeld:

rpm -qi gpg-pubkey-db42a60e-37ea5438

Het is uiterst belangrijk dat je de ondertekening van de RPM bestanden verifieert voor het installerenom er zeker van te zijn dat ze niet veranderd zijn ten opzichte van de originele bron van de pakketten.Om alle gedownloade pakketten tegelijk te verifiëren voer je het volgende commando uit:

rpm -K /tmp/updates/*.rpm

Het commando geeft voor ieder pakket gpg OK terug als de GPG sleutel met succes geverifieerd is.Als dat niet het geval is, wees er dan zeker van dat je de juiste Fedora publieke sleutel gebruikt encontroleer ook de bron van de inhoud. Pakketten die niet voldoen aan de GPG verificatie moeten nietgeïnstalleerd worden, omdat ze door derden veranderd kunnen zijn.

Ondertekende pakketten installeren

19

Na het verifiëren van de GPG sleutel en het downloaden van alle pakketten die behoren bij het erratarapport, installeer je de pakketten als root op een shell prompt.

1.5.3. Ondertekende pakketten installerenHet installeren van de meeste pakketten kan veilig gedaan worden (behalve voor kernel pakketten)met het volgende commando:

rpm -Uvh /tmp/updates/*.rpm

Voor kernel pakketten gebruik je het volgende commando:

rpm -ivh /tmp/updates/

Replace in the previous example with the name of the kernel RPM.

Zodra de machine veilig opnieuw opgestart is met de nieuwe kernel, kan de oude kernel verwijderdworden met het volgende commando:

rpm -e

Replace in the previous example with the name of the older kernel RPM.

OpmerkingHet is niet vereist dat de oude kernel verwijderd wordt. De standaard boot loader, GRUB,staat toe dat meerdere kernels geïnstalleerd worden, waarna een gekozen kan worden ineen menu tijdens het opstarten.

BelangrijkBefore installing any security errata, be sure to read any special instructions containedin the errata report and execute them accordingly. Refer to Paragraaf 1.5.4, “Deveranderingen toepassen” for general instructions about applying the changes made byan errata update.

1.5.4. De veranderingen toepassenNa het downloaden en installeren van beveiligings errata en vernieuwingen, is het belangrijk omhet gebruik van de oudere software te stoppen en te beginnen met het gebruiken van de nieuwesoftware. Hoe dit gedaan wordt hangt af van het type software dat vernieuwd is. De volgende lijst somtde algemene categorieën van software op en geeft instructies voor het gebruik van de vernieuwdeversies na een pakket vernieuwing.

OpmerkingIn het algemeen is het systeem opnieuw opstarten de veiligste manier om te verzekerendat de laatste versie van een software pakket wordt gebruikt; deze optie is echter nietaltijd vereist, of beschikbaar voor de systeembeheerder.

Hoofdstuk 1. Beveiligings overzicht

20

ToepassingenGebruikers-ruimte toepassingen zijn alle programma's die opgestart worden door een systeemgebruiker. Gewoonlijk worden deze toepassingen alleen gebruikt als een gebruiker, een script,of een automatische taak programma ze opstart en ze blijven niet voortduren voor langetijdsperiodes.

Zodra zo'n gebruikers-ruimte toepassing vernieuwd is, stop je alle instances van de toepassing ophet systeem en je start het programma opnieuw op om de vernieuwde versie te gebruiken.

KernelDe kernel is het kern software onderdeel van het Fedora operating systeem. Het beheert toegangtot het geheugen, de processor, en randapparaten en het plant alle taken.

Door zijn centrale rol, kan de kernel niet opnieuw gestart worden zonder ook de computer testoppen. Daarom kan een vernieuwde versie van de kernel pas gebruikt worden als het systeemopnieuw opgestart wordt.

Gedeelde bibliothekenGedeelde bibliotheken zijn stukken code, zoals glibc, welke gebruikt worden door een aantaltoepassingen en services. Toepassingen die een gedeelde bibliotheek gebruiken laden degedeelde code als de toepassing opgestart wordt, dus alle toepassingen die de vernieuwdebibliotheek gebruiken moeten gestopt en opnieuw opgestart worden.

Om te bepalen welke draaiende toepassingen verbonden zijn met een bepaalde bibliotheek,gebruik je het lsof commando zoals in het volgende voorbeeld:

lsof /lib/libwrap.so*

Dit commando geeft een lijst terug van alle draaiende programma's die TCP wrappers gebruikenvoor host toegangscontrole. Daarom moet elk programma in de lijst gestopt en opnieuw opgestartworden als het tcp_wrappers pakket vernieuwd wordt.

SysV servicesSysV services zijn blijvende server programma's die opgestart worden tijdens het boot proces.Voorbeelden van SysV services zijn sshd, vsftpd, en xinetd.

Omdat deze programma's gewoonlijk blijvend in het geheugen zijn zolang de computer aanstaat,moet iedere vernieuwde SysV service gestopt en opnieuw opgestart worden nadat het pakketis vernieuwd. Dit kan gedaan worden met het Service Configuratie gereedschap of door in teloggen in een root shell prompt en het /sbin/service commando uit te voeren zoals in hetvolgende voorbeeld:

/sbin/service restart

In the previous example, replace with the name of the service, such as sshd.

xinetd servicesServices die gecontroleerd worden door de xinetd super service draaien alleen als er eenactieve verbinding is. Voorbeelden van services die gecontroleerd worden door xinetd zijnTelnet, IMAP, en POP3.

Omdat nieuwe instances van deze services opgestart worden door xinetd iedere keer alseen nieuw verzoek wordt ontvangen, worden verbindingen die optreden na de vernieuwing

De veranderingen toepassen

21

afgehandeld door de vernieuwde software. Als er echter actieve verbindingen zijn op het momentdat de door xinetd gecontroleerde service vernieuwd wordt, blijven die werken met de oudeversie van de software.

Om oudere instances van een bepaalde service die door xinetd gecontroleerd wordt te stoppen,vernieuw je het pakket voor de service en daarna stop je alle processen die op dat momentdraaien. Om te bepalen of het proces draait gebruik je het ps commando en je gebruikt daarnahet kill of killall commando om de huidige instances van de service te stoppen.

Bijvoorbeeld, als een beveiligings errata voor de imap pakketten wordt vrijgegeven, vernieuw jede pakketten, en daarna type je het volgende commando in als root in een shell prompt:

ps -aux | grep imap

Dit commando geeft alle actieve IMAP sessies terug. Individuele sessies kunnen dan gestoptworden met het volgende commando:

kill

Als hiermee het stoppen mislukt, gebruik je het volgende commando:

kill -9

In the previous examples, replace with the process identification number (found in thesecond column of the ps command) for an IMAP session.

Om alle actieve IMAP sessies te stoppen, voer je het volgende commando uit:

killall imapd

22

23

Je netwerk beveiligen

2.1. Werkstation beveiligingEen Linux omgeving beveiligen begint met het werkstation. Of het gaat om het vergrendelen van eenpersoonlijke machine of het beveiligen van een bedrijfssysteem, een gezonde beveiligingstactiekbegint met de individuele computer. Een computer netwerk slechts zo veilig als zijn zwakste node.

2.1.1. Het onderzoeken van werkstation beveiligingAls de beveiliging van een Fedora werkstation onderzocht wordt, overweeg dan het volgende:

• BIOS en boot loader beveiliging — Kan een onbevoegde gebruiker fysieke toegang tot de machinekrijgen en opstarten in de enkele-gebruikers of reddings mode zonder een wacht