Vortrag FH-Frankfurt

1. Sicherheitsfunktionen in aktuellen Betriebssystemen Dr. Udo Ornik

6. Untergrund 15 Angriffe auf Testrechner zwischen 25.2.01 und 1.3.01 Im Schnitt etwa 2 Versuche pro Tag

7. Im Schnitt etwa alle 4,5 Tage ein Sicherheitspatch bei Microsoft- Produkten

8. Auch Linux ist ein System mit vielen Sicherheits- lücken Quelle: Linux Magazin 09/2002

10. Unix(Linux) Betriebsystem Kernel Kernelpatches der Distributoren & Module Standart Programm- pakete der Distributoren Paketauswahl des Users BSDs: FreeBSD 5.1 FreeBSD 4.8 FreeBSD 4.7 OpenBSD 3.2 NetBSD 1.6 i386 + Packages NetBSD 1.6.1 Linux Debian 3.1beta 'Sarge' CD Debian 3.1beta 'Sarge' DVD Debian 3.0r1 'Woody' Mandrake Linux 9.1 Mandrake MN Firewall Green Shoe Linux 9.0 Knoppix 3.3 kmLinux 4.0 Conectiva Linux 9 Crux 1.2 Gentoo 1.4 Gnoppix 0.5.5-2 Lycoris Desktop/ LX Bonzai Linux 2.1 Morphix 0.4-1 Quantian 0.4 Slackware AIX, IRIX, Solaris, SCO, …

11. Windows 2000+ Betriebssystem Microsoft Kernel Von Microsoft bereitgestellte Patches, Servicepacks Vom Betriebssystem bereitgestellte Anwendungen Userspezifische Anwendungen auch von Drittanbietern Windows NT WS/Server Windows 2000 WS/Server Windows XP Home/WS/Server Windows 2003 Server

21. Windows Rechtevergabe

22. Linux Rechte

23. ACE (Access Control Entry) (Netzwerkressource)

24. ACL (Access Control Lists) ACE

27. Public Key Algebra Ö A , P A – öffentlicher und privater Schlüssel von A T=beliebiger alphanumerischer Text PW=Kennwort Ö(T)=T‘ P(PW)(T)=T‘‘ ÖP=Ö(P(T))=T PÖ=P(Ö(T))=T Sichere Kommunikation A mit B: A: Ö B (T1)=T1‘ --  senden nach B B: P B (T1‘)= T B: Ö A (T2)=T2‘ --  senden nach A A: P A (T2‘)= T2 Kommutativgesetz

28. Kerberos ksd Physikalisch geschützte Maschine mit Kerberos daemon Client Anfrage nach Ticket Rückgabe des Tickets(T) Verschlüsselung mit P client (Passworteingabe) T‘=P Client (PW)(T) Bsp:Telnet demon bittet um Applikation Ticket auf Remote Server Überprüfung T=Ö Client (T‘)= Ö Client (P Client (PW)(T))=T Rückgabe zeitlich begrenztes App-Ticket ktelnetd Verbindung mit Telnet Server

29. Sicherheitsfunktionen aus Protokollsicht Hardware Anwendung TCP IP SSL Kryptochip Palladium Firewall PKI IPSec PPTP

30. SSL Hardware Hardware S ecure S ocket L ayer HTTP FTP Telnet SSL TCP IP HTTP FTP Telnet SSL TCP IP Eine zusätzliche Schicht zwischen Client und TCP

33. PKI CA: Bereitstellung von Zertifikaten Gültigkeitsdauer Besitzer Ein Zertifikat enthält u.a.: Signatur: SHA-1 oder MD5 des öffentlichen Schlüssels Öffentlicher Schlüssel Zertifikat = P CA (Zerttext) Ö CA (Zertifikat)=Ö CA P CA (Zerttext)

36. VPN/IPSec ? ? ? VPN1 Adapter VPN2 Adapter Tunnelmodus Datenpaket Absender VPN1 Empfänger VPN2 Netz 1 Netz 2 Absender Netz 1 Im Transport Modus nur Daten verschlüsselt PPTP – Microsoft L2F - Cisco L2TP – N-TUNNEL IPSec- neuer Standart in IPV6 integriert

44. Vergleich der Sicherheitsfunktionen gnupgp,openssl,md5 Zertifikatsdienste Integrität/Authentizität dump,amanda backup, … MS-Backup , Systemwiederherstellung Backup / Recovery JFS, Software Raid 1-5 NTFS 5/EFS, Software Raid 0,1 und 5 Dateisystem TCP-Wrapper Portfilter Internetsicherheit IPTables Internetverbindungsfirewall Firewalls PPTP,IPSEC (FreeSWan) PPTP,L2TP,IPSEC VPN Kerberos, DES, Smartcard PAP,CHAP,Kerberos, DES,…,Smartcard Authentifizierung Su,sudo,setgid,setuid Ausführen als … su Alles oder nichts Flexibel Anpassbar Zugriffsebenen Config files der Anwendungen Konto,Kennwort, User, Computer, Anwendung Sicherheitsrichtlinien passwd u. shadow, PAM, NIS+ Kerberos Objektzugriff, Domainkonzept (AD) Netzanmeldung Syslog Ereignisanzeige Überwachung Unix Windows Merkmal