FORSCHUNGSZENTRUM JÜLICH GmbH
Zentralinstitut für Angewandte Mathematik
D-52425 Jülich, Tel. (02461) 61-6402
Beratung und Betrieb, Tel. (02461) 61-6400
Technische Kurzinformation
FZJ-ZAM-TKI-0177
Burkhard Mertens, Rudolf Theisen
21.04.99
Rechner, Daten und Datennetze stellen in einer Einrichtung wie
der Forschungszentrum Jülich GmbH einen großen Wert dar, dessen
Schutz besonderer Aufmerksamkeit bedarf.
Hinzu kommt, daß durch die heute weite Verbreitung von
Informationstechnik (IT) und insbesondere die starke Vernetzung
auch kleiner Rechner (PCs) in einem weltweiten Verbund (INTERNET
mit mehreren Millionen Rechnern und vielen zig-Millionen von
Benutzern) auch die Gefahr eines unberechtigten Zugriffs auf
Rechner und Daten (Hacker, Saboteure usw.) sowie das Risiko durch
böswilliges Einschleusen von Schaden anrichtender Software
(Viren, Würmer, Trojanische Pferde usw.) wachsen. Dabei ist es
äußerst wichtig zu wissen, daß nicht nur der eigene Rechner
und die eigenen Daten bedroht sind, sondern daß auch ein
einzelner unsicherer Rechner die Sicherheit aller anderen Rechner
im lokalen Netz konkret gefährdet!
Daher müssen alle Nutzer und Betreiber von Rechnern und
Datennetzen sich dieser Gefahren bewußt sein und sich
entsprechend verantwortungsvoll verhalten. Diese Kurzinformation
soll die verbindlichen grundlegenden Verhaltensregeln und
Maßnahmen zur Verminderung dieser Risiken erläutern.
Generell lassen sich die Gefährdungen der IT-Sicherheit in die folgenden Hauptkategorien einteilen:
Eine weitere Gefährdung ist durch das Vortäuschen einer falschen Identität gegeben; so ist es z.B. bei bestimmten Electronic-Mail-Systemen (E-Mail) sehr einfach, einen falschen Absender anzugeben.
Fallstudien haben ergeben, daß Gefährdungen durch verschiedene Ursachen hervorgerufen bzw. ermöglicht werden und zwar mit unterschiedlichem Gewicht:
Im folgenden sind die wichtigsten Regeln gegeben, um diesen Gefahren zu begegnen und Risiken zu mindern. Hierbei wird allerdings auf die Gefahren eines physikalischen Verlusts (z.B. durch Feuer, Diebstahl) nicht weiter eingegangen.
| 1. | Jeden Rechner und jede Benutzerumgebung durch ein Paßwort schützen. Ein Paßwort muß geheim und nicht erratbar sein sowie häufig gewechselt werden. |
| 2. | Dienste ohne Paßwortschutz (z.B. rcp, rlogin, rshell) oder Dienste, die Informationen über Benutzer liefern (z.B. rwhod, fingerd), nicht aktivieren. |
| 3. | System-Log (Protokoll) mitschreiben. |
| 4. | Aktive Terminals (Log-in) nicht unbeaufsichtigt lassen. |
| 5. | Sicherheits-relevante Software-Updates einspielen. |
| 6. | Vertrauliche Informationen nicht bzw. nicht unverschlüsselt über Netze schicken. |
| 7. | Vorsicht bei E-Mail: Ein falscher Absender kann leicht vorgetäuscht werden (Absender-Maskerade). |
| 8. | Privilegierte Benutzerumgebungen (z.B. System, Root) sollten nicht über Datennetze erreichbar sein bzw. nicht über Netze angewählt werden. |
| 9. | Keine unkontrollierten Nebenpfade zu Datennetzen (z.B. MODEM-Anschluß) einrichten. (Der Anschluß an externe Datennetze erfolgt in der Forschungszentrum Jülich GmbH ausschließlich über das ZAM.) |
| 10. | Rechner mit besonders schutzwürdigen Daten und Anwendungen nicht an Netze anschließen. |
| 11. | Betriebssystem-Mechanismen zur Regelung des Datenzugriffs auf optimale Sicherheit einstellen. |
| 12. | Regelmäßig und systematisch Datensicherung durchführen. |
| 13. | Datenträger unter Verschluß halten. |
| 14. | Programme und Prozeduren aus unsicheren oder gar trüben Quellen nicht ausführen - insbesonders nicht mit hohen Privilegien (System, Root). |
| 15. | Jede Organisationseinheit hat einen Ansprechpartner (nebst Stellvertreter), der während der Dienstzeiten für Fragen der IT-Sicherheit ansprechbar ist. |
| 16. | Jedes IT-System im JuNet hat einen verantwortlichen Betreuer, der dem JuNet-Management bekannt sein muß. Änderungen des Betreuers oder des Standortes des Systems müssen unverzüglich bekannt gemacht werden. |
Das ZAM verfolgt die aktuellen Meldungen über Sicherheitsbedrohungen, wie sie z.B. über Usenet (NetNews) bzw. über besondere Warnungslisten publiziert werden. Meldungen, die relevant erscheinen, werden nach folgenden beiden Verfahren an die Benutzer im Forschungszentrum weitergegeben:
| 1. | Bei augenscheinlich dringenden Warnungen werden die dem ZAM bekannten Workstation-Systemadministratoren im FZJ per E-Mail informiert. Daher ist wichtig, daß das ZAM stets den Systemadministrator und seine aktuelle E-Mail-Adresse kennt. (Änderungen bitte entweder an Tel. 4772 oder per E-Mail an JuNet@fz-juelich.de; geben Sie in der Subject-Zeile nur den Namen des Betriebssystems (z.B. SUN, ULTRIX, HP-UX) und in der Mail selbst den INTERNET-Namen Ihres Rechners und die neue Mail-Adresse an.) |
| 2. | Alle für das FZJ relevanten Meldungen werden in die News-Gruppe 'news://news.kfa-juelich.de/kfa.zam.security' des ZAM-NetNews-Service eingebracht. Dieser Dienst ist auf dem Rechner NetNews.zam.kfa-juelich.de installiert. Er kann von allen UNIX-Workstations mit einer entsprechenden NetNews-Client-Software genutzt werden (s. TKI-0169). PC-Benutzer können NetNews-Beiträge mit einem WWW-Browser (z.B. Netscape oder Microsofts Internet-Explorer) lesen. |
Ein gut gewähltes Paßwort und dessen Geheimhaltung ist der wichtigste Beitrag, den jeder Benutzer zur Sicherung seiner Rechnerressourcen und seiner Daten leisten kann (vgl. TKI-0115).
Dienste ohne Paßwortschutz (z.B. die UNIX-Netzdienste rcp, rlogin und remsh sowie fingerd, rwhod) sollten auf einem System nicht aktiviert werden. Auf der einen Seite ist es nicht schwer, solchen Diensten eine falsche Identität vorzuspiegeln. Somit bieten diese Dienste eine ernste Sicherheitslücke und zusätzliche Angriffspunkte. Auf der anderen Seite legen manche dieser Dienste (finger, rwho) Informationen über Benutzer offen, was die Datenschutzrechte tangiert. Falls es notwendig ist, solche Dienste trotzdem zu nutzen, so sollte dies unter besonderer Vorsichtsmaßnahme (z.B. Einschränkung der verfügbaren Funktionen) geschehen. Hierzu bietet das ZAM Beratung an.
Ohne eine Aufzeichnung sicherheits-relevanter Ereignisse im System hat man keine Chance, möglichen Eindringlingen oder Angriffsversuchen auf die Spur zu kommen. Wenn also ein Eindringling sicher sein kann, daß man ihn nicht ertappen kann, so wird er das möglicherweise als Einladung auffassen.
Geht man von seiner Terminalsitzung weg (insbesondere in einer
Pause oder bei Dienst-Ende), ohne sich ganz abzumelden (exit, ...
), ohne das Terminal zu blockieren ( xlock, ...) oder wenigstens
den Raum abzuschließen, so handelt man fahrlässig.
Bei Nutzung eines öffentlich zugänglichen Terminal sollte man
sich des Risikos bewußt sein, daß der Vorbenutzer ein Programm
gestartet haben kann, das die LOGIN-Prozedur simuliert, um das
Paßwort auszuspähen. Man sollte also aufmerksam sein, wenn sich
das System ungewohnt merkwürdig verhält, und ggf. sofort sein
Paßwort (an einem 'sicheren' Terminal) ändern.
Das Ausnutzen von Lücken und Fehlern in der Software - insbesondere in der Betriebssoftware - ist ein Standardverfahren von Hackern, um sich in fremden Systemen Zugang und sogar Root-Berechtigung zu verschaffen. Renommierte Software-Hersteller reagieren in der Regel schnell, um nach Bekanntwerden solcher Lücken Abhilfe zu schaffen indem sie entsprechende Updates zur Verfügung zu stellen. Es ist also notwendig, schnell die Updates einzuspielen und solche Lücken auf dem eigenen System zu schließen, vor allem wenn man weiß, daß viele Hacker automatische Scans im Internet durchführen, um Systeme mit lückenhaften Software-Versionen aufzuspüren.
Datenkommunikationsleitungen können abgehört werden (Ethernet z.B. relativ einfach). E-Mail und andere Daten können während ihres Transports an vielen Stellen zwischengespeichert und vom jeweiligen System-Administrator im Prinzip gelesen werden. Die Konsequenz: Informationen, die nicht an Dritte gelangen soll, gehören nicht in Datennetze, es sei denn, man hat sie - dem Grad der Vertraulichkeit entsprechend - verschlüsselt. Zum Verschlüsseln eignet sich z.B. das Programm Pretty Good Privacy (PGP) (siehe TKI-0307 und TKI-0313 sowie Benutzerhandbuch BHB-0141).
Bei E-Mail kann ein Eingeweihter sehr einfach einen beliebigen
anderen Absender vortäuschen (für TCP/IP z.B. im RFC 821
beschrieben). Bevor man also auf wichtige Anweisungen (z.B. die
Aufforderung, sofort das Paßwort zu ändern), die per E-Mail
ankommen, reagiert, sollte man sich durch ein anderes Medium
(z.B. Telefon) vergewissern, ob die E-Mail auch wirklich von dem
kommt, der als Absender angegeben ist. Eine solche
Absender-Fälschung kann der Empfänger einer E-Mail auch per PGP
an Hand einer digitalen Signatur sicher aufdecken.
Konsequenterweise sollte man auch selbst keine E-Mail benutzen,
um wichtige Handlungsanweisungen weiterzugeben, außer man hat
diese mit PGP signiert.
Privilegierte Benutzerumgebungen sind ein besonders beliebtes Angriffsziel bei Hackern. Daher sollte der Zugang zu solchen Umgebungen nur von bestimmten, lokalen Terminals möglich sein. Paßworte zu privilegierten Benutzerumgebungen sollten nie über Netze übertragen werden.
Im Forschungszentrum Jülich darf die Verbindung der
FZJ-internen, übergreifenden Datennetze mit den externen
Datennetzen (z.B. DFN-WIN, Telefonnetz) nur an einer zentralen
Stelle, im ZAM, erfolgen. Hier sind die notwendigen
Sicherheitsmaßnahmen (Logging, Routing, Filterung unerwünschter
Kommunikationsprotokolle, Überprüfung des Netzpaßwortes usw.)
implementiert. Daher ist es wichtig, daß keine unkontrollierten
Nebenpfade zwischen den FZJ-internen Datennetzen und den
öffentlichen Netze existieren. Es ist bekannt, daß Hacker gerne
solche Nebenpfade nutzen, um sich unerlaubten Zugriff zu
erschleichen.
Eine gewisse Ausnahme von dieser Regel sind die Anschlüsse für
externe Systemwartung (Remote Service) durch Firmen, aber nur
dann, wenn diese Anschlüsse ausschließlich für diesen Zweck,
genau nach Vorschrift und mit Umsicht benutzt werden. Es
empfiehlt sich, diese Anschlüsse nur auf Zuruf zu aktivieren und
die Nutzung zu überwachen.
Um einen Fernzugriff auf Rechner mit besonders schutzwürdigen Daten und Anwendungen völlig auszuschließen, sollte man sie erst gar nicht an Kommunikationsnetze anschließen.
Betriebssystem-Mechanismen, die die Rechte der Benutzer im System (z.B. Datenzugriff) regeln, sollten vom Systemadministrator auf optimale Sicherheit eingestellt werden (hier gibt es vom ZAM eine Reihe von Empfehlungen, z.B. die TKI-0146 und TKI-0147, insbesondere Kap. 8). Die Betriebssystem-Schutzmechanismen sollten auf keinen Fall ganz abgeschaltet werden. Eine der Grundregeln ist, daß neu angelegte Dateien automatisch geschützt sind, d.h. daß nur der Eigentümer (ggf. die Gruppe) Zugriffsrechte hat (UNIX: umask=077, (ggf. umask=027)).
Daten kann man auf vielerlei Arten verlieren: sie können
versehentlich oder böswillig von anderen gelöscht werden; ein
Datenträger (Magnetplatte) kann defekt sein oder werden; eigene
Unachtsamkeit, Programmfehler oder gar Viren können Daten
vernichten.
Eine regelmäßige und systematische Datensicherung ist hier die
einzig mögliche Gegenmaßnahme. Es empfiehlt sich dabei, mehrere
Versionen von Sicherungsdaten (Generationen-Prinzip) aufzuheben.
Datenträger können nicht nur vertrauliche Informationen und unersetzbare Daten enthalten, sie können auch den Zugang zum ganzen System ermöglichen (z.B. Boot-Disk, UNIX-Archiv-Bänder). Sie sollten also unter striktem Verschluß gehalten werden.
Computerviren, logische Bomben, Backdoors und andere
unerfreuliche Erfindungen sind eine ernste Gefahr für die
heutige Informationsverarbeitung. Vorbeugen ist daher eine
Notwendigkeit.
Es ist z.B. dringend zu empfehlen, nur original-verpackte
Herstellersoftware zu verwenden. Dies läßt sich allerdings in
Umgebungen wie dem FZJ nicht strikt durchhalten. Der Einsatz von
Public-Domain-Software (PD-SW) ist oft aus wirtschaftlichen oder
technischen Gründen ein Muß. Trotzdem sollte man dabei die
folgenden Sicherheitsmaßnahmen beachten:
Besondere Aufmerksamkeit ist notwendig bei allen ausführbaren Programmen, die man über die Datennetze erhält - manchmal ohne daß man es merkt. Beispiele sind E-Mail-Attachments (sie können ausführbare Makros enthalten), JavaScript-Proceduren beim Web-Zugriff, Active-X-Programme usw. Um sicher zu gehen, sollte man die Ausführung solcher Programme durch Setzen entsprechender Optionen in der Betriebssoftware verhindern.
Aktuell auftretende Gefährdungen der Sicherheit von IT-Systemen im JuNet (Beispiele: Hacker-Einbrüche, Virenbefall, Bedrohung der Netzsicherheit) können nur in Zusammenarbeit von zentralen und lokalen Instanzen bearbeitet werden. Auch bei präventiven Vorkehrungen ist eine lokale Kompetenz unentbehrlich. Der Ansprechpartner für IT-Sicherheit koordiniert und regelt in Zusammenarbeit mit dem ZAM alle Maßnahmen, die in diesem Aufgabenbereich in der OE notwendig werden.
Jedes IT-System, das ans JuNet angeschlossen wird, hat einen benannten Betreuer (Systemadministrator), der sich beim Netzanschluß verpflichtet, für einen störungsfreien und sicheren Betrieb am JuNet zu sorgen und alle Konfigurations- und Standortänderungen dem JuNet-Management zu melden. Er muß namentlich mit gültiger Telefonnummer und E-Mail-Adresse bekannt sein. Um kurzfristig bei dem System auftretende Probleme des Netzwerkbetriebs und der IT-Sicherheit bearbeiten zu können, muß auch bei Abwesenheit des Systemadministrators eine Vertretung ansprechbar sein.
Zurück zu
Inhalt: