Download
1 / 30
310 likes | 427 Views
Microsoft-Betriebssysteme hinter Firewalls "sicher" betreiben. 17. DV-Treffen der Max-Planck-Institute. 2. Gesellschaft für wissenschaftliche Datenverarbeitung Göttingen. Microsoft-Betriebsysteme hinter Firewalls „ sicher “ betreiben. 10/2000 Andreas Ißleiber. Inhalt:.
E N D
Microsoft-Betriebssysteme hinter Firewalls "sicher" betreiben 17. DV-Treffen der Max-Planck-Institute
2 Gesellschaft für wissenschaftliche Datenverarbeitung Göttingen Microsoft-Betriebsysteme hinter Firewalls „sicher“ betreiben 10/2000Andreas Ißleiber Inhalt: • Kriterien für den Einsatz einer Firewall • Aufteilung der internen- und öffentlichen Dienste • Betrieb eines Windows-Mailserver • Betrieb eines DNS(ervers) • Betrieb eines Windows-Webservers (IIS) • Betrieb eines Windows-Terminalservers (TS) • Scenario • VPN (IPSec) • Benutzung von "privaten" Netzadressen • Lokale Filter unter Windows NT mit "Boardmitteln" • Personal Firewalls auf Windows-Systemen • Einige Regeln, Windows-Systeme sicherer zu betreiben • Firewall (Beispiel: SonicWall PRO) • Windows Analysetools • Monitoring Tools und Programme zum Aufspüren von Sicherheitslücken
3 DMZ IP: 134.76.10.2 GW: 134.76.10.254 Öffentliche ServerWeb,Mail,DNS, etc. Gesellschaft für wissenschaftliche Datenverarbeitung Göttingen Microsoft-Betriebsysteme hinter Firewalls „sicher“ betreiben 10/2000Andreas Ißleiber Kriterien für den Einsatz einer Firewall • Transparente FW:Vorteil: Die bisherige Netzstruktur kann beibehalten bleibenEine transparente FW kann bei Ausfall schnell aus dem Netz entfernt werden Die FW stellt häufig ein "single point of failure" dar. Lösung: Redundanz schaffen Internet • DMZDie FW sollte über eine DMZ verfügen, damit Zugriffe auf öffentliche Dienste nicht in das geschützte LAN erfolgen müssen Router 134.76.10.254 • FW mit NAT/PAT: Verwendet die FW NAT, so können im LAN-Bereich "private network"-Adressen benutzt werden. Vorteil: Ein direkter Zugriff von Außen auf "private network"-Adressen ist allein aufgrund des verwendeten Adressbereiches nicht möglich. Die Anzahl der "realen" im Internet sichtbaren IP-Adressen reduziert sich auf eine IP-AdresseNachteil: Fällt die FW aus, ist ein Zugriff vom LAN auf das Internet nicht möglich. Firewall 134.76.10.253 192.168.1.254 NAT& IP Umsetung NAT IP: 134.76.10.1 GW: 134.76.10.254 IP: 192.168.1.1 GW: 192.168.1.254 • NAT<->IP Umsetzung: FW mit direkter Umsetzung NAT<>IP haben Vorteile. Dadurch ist ein Zugriff von Außen auf Rechner, trotz Verwendung von NAT(private networks), möglich. LAN • FW mit DHCP: Vorteil: Die Adressvergabe im LAN ist dynamisch und dadurch einfach (keine doppelten IP-Adressen, zentrales Management)Nachteil: Fällt die FW aus, so ist auch ein interner Netzwerkbetrieb nicht mehr möglich. Lösung: Redundanter DHCP-Server unter NT. Server ist vom Internet erreichbar IP: 192.168.1.2 Externe IP: 134.76.10.3 GW: 192.168.1.254 Lokaler Server: IP: 134.76.10.3 GW: 134.76.10.254 Lokaler Server: IP: 192.168.1.2 GW: 192.168.1.254 • VPN: (IPSec, 3DES)um Zugriff auf das interne LAN von Außen zu ermöglichen, sollte die FW VPN-Kanäle "terminieren" können
4 Gesellschaft für wissenschaftliche Datenverarbeitung Göttingen Microsoft-Betriebsysteme hinter Firewalls „sicher“ betreiben 10/2000Andreas Ißleiber Aufteilung der internen- und öffentlichen Dienste • Öffentliche Server, in der DMZ(one), sollten keine sicherheitsrelevanten Daten halten, da diese Server häufig das primäre Ziel für Angriffe darstellen • File- sowie Web/FTP/Mailserver sollten nicht auf dem gleichen Rechner laufen • Ein erfolgreicher Angriff auf Server in der DMZ darf sich nicht auf sicherheitsrelevante Bereiche des LAN´s ausdehnen • Strikte Trennung zwischen DMZ und LAN ist das Ziel. Abhängigkeiten zwischen NT-Servern in DMZ und LAN sind nach Möglichkeit aufzulösen. -> keine Vertrauensstellung zwischen NT-Domänen in DMZ und LAN Bereich-> NTLM (oder gar LM) Authentifizierung vom DMZ in den LAN Bereich ist zu vermeiden • RAS-Server nicht! im LAN betrieben werden. Der Nutzen eines RAS-Servers ist mit den daraus resultierenden Sicherheitslücken abzuwägen -> Alternative: Fremde Provider • Ein RAS-Server im LAN reduziert die Gesamtsicherheit auf das Niveau des RAS-Servers. • Ist der Zugriff via Einwahl auf interne Netzwerkresourcen erforderlich, ist der Einsatz eines VPN-Clients sinnvoll. Die Einwahlanlage kann dann in der DMZ installiert sein, oder es wird zur Einwahl ein fremder Provider genutzt (Achtung mit NAT bei Providern). • Ist ein Einwahlservers unumgänglich, so sollte als Authentifizierungsverfahren ausschließlich CHAP(MS-CHAP) verwendet werden. Bei Einsatz eines RADIUS-Servers ist darauf zu achten, daß die Paßwörter gegen die SAM-DB des NT-Servers (verschlüsselt) übetragen werden • DMZ ist, selbst bei "offenen "Filtern, gegen IP-Spoofing, DoS Attacken geschützt Internet Firewall Firewall LAN DMZ ! öffentliche ServerWeb,Mail,DNS, etc. internes Netz Grundregeln auf der FW: Quelle Dienst allow / reject Ziel DMZ alle P Internet LAN alle P Internet LAN alle P DMZ Internet alle O LAN Internet alle/einige O DMZ DMZ alle O LAN
5 Gesellschaft für wissenschaftliche Datenverarbeitung Göttingen Microsoft-Betriebsysteme hinter Firewalls „sicher“ betreiben 10/2000Andreas Ißleiber Betrieb eines Windows-Mailserver Benutzer ruft seine Mail ab. (Anmelden an Domäne A) Internet 1 • "öffentliche" Server (Web, Mail, etc.) sollten nicht die zentrale Userdatenbank (z.B. SAM, bei Windows NT) halten, welche Zugriffe auf Bereiche des geschützte LAN´s ermöglichen • Aufgrund des stetigen Datenaustauschs zwischen den DC ist eine Verbindung zwischen LAN<->DMZ zu vermeidenMailserver Exchange:Problematisch wird dies, bei Mailservern (z.B. Exchange), da hierbei häufig der Zugriff auf die zentrale Userdatenbank zur Anmeldung erforderlich ist. Konflikt: Mailserver bieten Dienste nach Außen an, müssen zugleich auch innerhalb des LAN erreichbar sein. Lösung: Aufbau einer zweiten Domäne für "public Server" in der DMZ mit Vertrauensstellung zur "Haupt"-Domäne. NTLM Paßwörter werden von der Domäne (B) im LAN verifiziert. Ggf. sind Rechner im LAN in LMHOST des Mailservers einzutragen (kein WINS Zugriff ins LAN)DC der Domäne B muß trotz seines Standortes im sicheren LAN gesondert abgesichert sein, da über die Netbios Ports aus der DMZ(one) zugegriffen werden kann • Alternative Betriebsart des Mailservers in DMZ:Server in der DMZ bildet als PDC eine eigene Domäne. Benutzerkonten werden redundant eingetragen Vorteil: Höhere Sicherheit. Wird im Mailserver eingebrochen und Paßwörter ausgespäht, so ist der Zugang zu Daten im LAN immer noch nicht möglichNachteil: Verwaltungsaufwand (doppelte Benutzerführung)Der Mailabruf aus dem LAN belastet die FW (LAN DMZ) Domainserver A übrprüft bei zentraler Domäne B das Paßwort. Domäne B vertraut Domäne A 2 Wichtig bei der Mailboxsynchronisation zwischen Outlook und Exchange Für die Mailsynchronisation zwischen Outlook und Exchange sind über die IMAP,POP3, SMTP Ports hinaus, auch die Ports... 1071 (TCP), 1062 (TCP), 1054 (TCP), 1042 (TCP), 135 (TCP), 445 (TCP), bei LDAP 389(TCP) ...zu aktivieren. Eine Synchronisation aus dem Internet auf den Exchangeserver ist nicht sinnvoll, da die FW zu weit geöffnet werden muß und dadurch einfacheres Ziel für Attacken darstellt Auch hier wäre VPN eine Lösung! Dom.Server B bestätigt das Paßwort 3 Benutzerzugriff auf Mail (Domäne A) 4 4 Firewall Firewall 1 2 3 LAN DMZ 6 7 Mailserver auf PDC der Domäne A Zentraler PDC derDomäne B vertraute Domäne vertrauende Domäne Erforderliche Regeln auf der FW : Quelle Dienst allow / reject Ziel Bemerkung (6) 137..139 P (7) Netbios, SMB LAN 137..139 P (6) Netbios, SMB
6 Zonentransfer vom übergerordneten DNS 1 DNS Anfrage vom Client 2 DNS Anfrage, wenn nicht lokal aufgelöst wird 3 DNS Antwort zum Client 4 3 1 4 2 zweiter DNS im LAN(cache only) Gesellschaft für wissenschaftliche Datenverarbeitung Göttingen Microsoft-Betriebsysteme hinter Firewalls „sicher“ betreiben 10/2000Andreas Ißleiber Betrieb eines DNS(ervers) "übergeordneter" DNS • Ein Nameserver sollte in der DMZ placiert werdenVorteil: Für den erforderlichen Zonentransfer ist nicht der Port (53, TCP & UDP) in das LAN zu öffnenNachteil: Die DNS-Requests im LAN laufen durch die Firewall • Ein im LAN betriebener DNS muß durch entsprechende Filter der FW für etwaige Zonentransfers berücksichtigt werdenHierbei wäre ein Filter zum "übergeordneten" DNS für die UDP/TCP! Ports 53 erforderlich • DNS-Server sollten nicht Mitglied einer NT-Domäne sein, oder aus dem Internet über SMB erreicht werden können Internet 6 Firewall 4) Alternativ kann auch ein weiterer DNS "cache-only" im LAN placiert werden, der die Anfragen der LAN Clients an den DNS in der DMZ weiterleitetDieser Server ist aus dem Internet nicht direkt erreichbarDer Zonentransfer findet lediglich zwischen DMZ (DNS) und übergeordnetem DNS stattDieser LAN(DNS) kann auf einem DC betrieben werden DMZ LAN 8 Erforderliche Regeln auf der FW wenn DNS in der DMZ steht: Quelle Dienst allow / reject Ziel Bemerkung (6) DNS(53) P (8) Zonentransfer (TCP & UDP) LAN DNS(53) P (2) DNS Request (UDP) ... DNS Server als "stand alone" Server Die zweite Regel kann entfallen, wenn der DNS im LAN betrieben wird
7 Gesellschaft für wissenschaftliche Datenverarbeitung Göttingen Microsoft-Betriebsysteme hinter Firewalls „sicher“ betreiben 10/2000Andreas Ißleiber Betrieb eines Windows-Webservers (IIS) 1 Webrequest aus dem Internet Webrequest aus dem LAN 2 • Ein Webserver sollte in der DMZ placiert seinVorteil: Er ermöglicht bei erfolgreichen Attacken, kein Zugriff auf das geschützte LANNachteil: Der Zugriff auf Webseiten aus dem LAN laufen über die FW und belasten diese zusätzlich • Werden Webinhalte mit Daten aus dem LAN angeboten (SQL-Server, ODBC, etc.), sind entspr. Filterregeln zwischen DMZ und LAN erforderlich • Diese Seiten sollten ausschließlich über SSL erreichbar sein (Port 443/tcp)Alternativ können auch Ports <> 80 für die Webseiten genutzt werden • Webserver sollte nicht Mitglied einer NT-Domäne sein, oder über SMB Zugriffe aus dem Internet zulassen • Managementzugriff über das "Microsoft Management Interface" aus dem Internet auf den Webservers (IIS) ist zu verhindern • Wenn nicht erforderlich, sollten die Rechte für das Ausführen von Scripten in den HTML-Verzeichnissen deaktiviert werden • Das Management sollte über VPN erfolgen Internet Firewall Firewall 1 2 LAN DMZ Erforderliche Regeln auf der FW : Quelle Dienst allow / reject Ziel Bemerkung Internet HTTP(80) P (3) Web LAN HTTP(80) P (3) Web Internet HTTPS(443) P (3) Web (SSL, TCP) LAN HTTPS(443) P (3) Web (SSL, TCP) 3 WEB-Server als "stand alone" Server
8 ICA Client mit VPN Client VPN-Tunnel Gesellschaft für wissenschaftliche Datenverarbeitung Göttingen Microsoft-Betriebsysteme hinter Firewalls „sicher“ betreiben 10/2000Andreas Ißleiber Betrieb eines Windows-Terminalservers (TS) • Windows NT Terminalserver können in der DMZ, sowie auch im LAN placiert werden • Terminalserver in DMZ:Vorteil: Ist ein Zugriff von Außen erforderlich, so müssen keine Portfilter ins LAN konfiguriert werdenNachteil: Wird häufig aus dem LAN auf den TS zugegriffen, belastet das erheblich die FWTS ist weniger vor Angriffen geschützt als im LAN ICA Client 1 Internet • Terminalserver im LANVorteil: Der Zugrif der Client im LAN kann "schnell" erfolgen ohne die FW zu belastenNachteil: Entsprechende Filterreglen für den Zugriff von Außen müssen auf der FW eingerichtet sein Firewall LAN • Optimaler Einsatz eines TS:Das beste Ergebnis wird erreicht, wenn externe ICA-Client über VPN auf den TS zugreifenHierbei kann der TS im LAN angeschlossen sein, ohne durch zusätzliche Filter die FW zu öffnen DMZ 2 3 • Erforderliche Regeln auf der FW: • Quelle Dienst allow / reject Ziel Bemerkung • (6) ICA(1604) P (2) o. (3) icabrowser (UDP) • ICA(1494) P (2) o. (3) ICA (TCP) • LAN ICA(1604,1494) P (2) wenn TS in DMZ steht Windows Terminal Server Werden VPN-Clients eingesetzt, sind keine Filterregeln erforderlich!
9 Gesellschaft für wissenschaftliche Datenverarbeitung Göttingen Microsoft-Betriebsysteme hinter Firewalls „sicher“ betreiben 10/2000Andreas Ißleiber Scenario Übergeordneter DNS Internet DMZ 6 LAN RAS-Server greift auf diePaßwörter des PDC (1) zurück Firewall 3 2 5 1 Zentraler PDC derDomäne B RAS-Server als Mitglied der Domäne A DNS und Webserver Mailserver und PDC derDomäne A Zentraler Terminalserver (Zugriff nur mit VPN)Domäne B 4 Erforderliche Regeln auf der FW: Quelle Dienst allow / reject Ziel Bemerkung Internet SMTP(25) P (1) Mailgateway (6) DNS(53) P (2) Zonentransfer (TCP & UDP) Internet http(80) P (2) Webzugriff LAN alle P Internet DMZ alle P Internet LAN alle O DMZ Internet alle O LAN Internet alle O DMZ DMZ alle O LAN Mailserver (PDC) in DMZ DNS & Webserver in DMZ PDC im LAN (geschützt) Clients im LAN (geschützt) RAS-Server in DMZ 1 2 3 4 5
10 Gesellschaft für wissenschaftliche Datenverarbeitung Göttingen Microsoft-Betriebsysteme hinter Firewalls „sicher“ betreiben 10/2000Andreas Ißleiber VPN (IPSec) Internet- router • VPN (IPSec) ist ein geeignetes Verfahren, Verbindungen in das gesicherte LAN über unsichere Netze (Internet) zu führen • IPSec arbeitet transparent, sodass die IP-Anwendungen den verschlüsselten Datenaustausch nicht bemerken • Einige FW sind gleichzeitig in der Lage, VPN zu tunneln (VPN-Gateway) • VPN erfordert erheblichen Rechenaufwand in der FW (je nach Art der Veschlüsselung) • Als Verschlüsselunbgstiefe sollte 3DES (nicht mehr DES) eingesetzt werden • Immer dann, wenn administrative Zugriffe, aber auch Clients, auf lokale Ressourcen im geschützten LAN zugreifen, ist die Benutzung vonVPN eine ideale Lösung • Die schlechtere Alternative ist das Öffnen der Firewall durch erweiterte Filterregeln oder die Einschränkung der Dienste der Server VPN Clients aus dem Internet oder Fremd-Provider VPN-Tunnel VPN-fähige Firewall DMZ LAN RAS, Einwahl- Server, CHAP Internes Netz VPN-Tunnel VPN Clients über ein Einwahlserver
11 Gesellschaft für wissenschaftliche Datenverarbeitung Göttingen Microsoft-Betriebsysteme hinter Firewalls „sicher“ betreiben 10/2000Andreas Ißleiber Benutzung von "privaten" Netzadressen Rechner mit Internetzugang Rechner ohne Internetzugang (public) Server mit Internetzugang Router 1 • Windows NT erlaubt die gleichzeitige Verwendung mehrer IP-Adressen • Dies kann die Sicherheit erhöhen, wenn keine FW installiert ist • "private networks" ersetzten jedoch nicht eine FW • Bei NT wird lediglich die erste vergebene IP-Adresse für NetBIOS verwendet • Diese erste IP-Adresse kann aus dem Bereich eines "private networks" stammen • Alle Rechner mit "private network"-Adressen sind lokal erreichbar, aber im Internet unsichtbar • Alle weiteren IP-Adressen (2..n) sind für NetBIOS-Dienste nicht zugänglich • Dieser Umstand kann bewußt ausgenutzt werden, um ein lokales- vom öffentlichen Netz zu trennen 2 3 Internet 4 4 Gateway (gw): 134.76.10.254 3 1 IP(1): 192.168.1.1 IP(2): 134.76.10.11 Gw: 134.76.10.254 2 Webserver IP(1): 192.168.1.3 IP(2): 134.76.10.13 Gw: 134.76.10.254 Privates Netz: 192.168.1.0 Öffentliches Netz: 134.76.10.0 IP(1): 192.168.1.2
12 Gesellschaft für wissenschaftliche Datenverarbeitung Göttingen Microsoft-Betriebsysteme hinter Firewalls „sicher“ betreiben 10/2000Andreas Ißleiber Lokale Filter unter Windows NT mit "Boardmitteln" • Windows NT/Windows 2000 erlaubt die Einrichtung einfacher, lokaler Portfilter • Zugriff läßt sich für den Rechner auf bestimmte Ports beschränken • Filter können eingesetzt werden um sich innerhalb des LAN vor Hackerangriffen zu schützen • Ersetzt keine FW (kein IP-Spoofing Schutz, etc.) ! Soll der Rechner über SMB erreicht werden, so sind auch die Ports 137,138 (UDP) sowie 139 (TCP) auf dem Filter "freizuschalten" Filter für UDP-Ports IP-Protokolle Filter für TCP-Ports Liste der Ports:ftp://ftp.isi.edu/in-notes/iana/assignments/port-numbers
13 Gesellschaft für wissenschaftliche Datenverarbeitung Göttingen Microsoft-Betriebsysteme hinter Firewalls „sicher“ betreiben 10/2000Andreas Ißleiber Personal Firewalls auf Windows-Systemen • Vorteil:Günstiger Preis, wenn wenige Rechner geschützt werden müssenKein "single point of failure" im Vergleich zur zentralen FW • Nachteil:Jeder einzelne Rechner wird durch die "Software" Firewall belastetKeine(bzw. selten) einheitliche PoliciesTeilweise unzureichender Schutz vor AngriffenKombination aus zentraler- und personal FW nicht sinnvollFW ist nicht ohne "tiefere" Kenntnisse des Benutzers konfigurierbarHoher VerwaltungsaufwandBetriebsystemabhängig • Fazit • Personal Firewalls ersetzen keine zentrale FW • Sie bieten, i.d.R.nur bei fachgerechter ! Konfiguration einen Schutz vor Angriffen Quellen: c't 20/00, Seite 126, c't 17/00, Seite 77 http://www.tecchannel.de/software/405/0.html
14 Gesellschaft für wissenschaftliche Datenverarbeitung Göttingen Microsoft-Betriebsysteme hinter Firewalls „sicher“ betreiben 10/2000Andreas Ißleiber Einige Regeln, Windows-Systeme sicherer zu betreiben 1.) Eine FW befreit nicht von der zusätzlichen Absicherung der Betriebssysteme Insbesondere wenn öffentliche Dienste angeboten werden 2.) Niemals als Administrator, oder vergleichbarer Benutzer, im Internet "surfen" So verbreiten sich Trojaner etc. über die weitreichenden Rechte des Administrator schnell auf das gesamte NetzÜber Java, ActiveX, (andere Scripts) gelangen Komponenten schnell auf den lokalen RechnerViele FW erlauben die Filterung von Java/Javascript/ActiveX Komponenten. Dadurch sind allerdings viele Webseiten nicht mehr lesbar.Hinweis: http://www.heise.de/ct/browsercheck/ 3.) Auf Windows NT Rechnern ist das Routing zu deaktivierenauf dem NT-Rechner ist das Routing zu deaktivierenWährend einer Internetverbindung könnten so „Angreifer“ über den NT Rechner auf andere Systeme gelangen 4.) Die Einwahl zu anderen Providern vom LAN aus vermeiden 5.) Administratoraccountnamen umbenennen
15 Gesellschaft für wissenschaftliche Datenverarbeitung Göttingen Microsoft-Betriebsysteme hinter Firewalls „sicher“ betreiben 10/2000Andreas Ißleiber Einige Regeln, Windows-Systeme sicherer zu betreiben • 6.) Die Bindung zwischen dem Serverdienst und dem WAN-Interface trennen, • wenn kein SMB-Zugriff auf den Rechner über das WAN erfolgen sollBei der Einwahl über Provider ist der Zugriff auf lokale Freigaben nicht mehr möglich • 7.) Einsatz von "passfilt.dll" ab SP3 auf NT-Rechnern • Die passfilt.dll ermöglicht die Überprüfung von Passwörtern nach erweiterten Regeln • - mind. 6 Buchstaben Passwortlänge- Vor- Nach und Username dürfen nicht Bestandteil des Passwortes sein- Das Passwort muß! aus allen drei Gruppen mindestens ein Zeichen enthalten: Groß, Kleinschreibung, Zahlen, Sonderzeichen • HKLM\SYSTEM\CurrentControlSet\Control\LSA\NotificationPackages\passfilt.dll • siehe: http://www.microsoft.com/technet/support/kb.asp?ID=151082
16 Gesellschaft für wissenschaftliche Datenverarbeitung Göttingen Microsoft-Betriebsysteme hinter Firewalls „sicher“ betreiben 10/2000Andreas Ißleiber Einige Regeln, Windows-Systeme sicherer zu betreiben • 8.) Zugriffe auf die Registry begrenzen • Die Gruppe "Everyone" kann Registry-Einträge unter „Run“ und „RunOnce“ vornehmen • Unter folgenden Keys sollten die Zugriffsrechte eingeschränkt werden: • HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run • HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce • HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall • siehe: http://support.microsoft.com/support/kb/articles/Q126/7/13.asp • 9.) "unencrypted" Passwords verhindern • Verhindert die Übertragung von "Klartextpaßwörtern" • Ist ab SP3 deaktiviert • HKLM\System\CurrentControlSet\Services\RDR\parameters\EnablePlainTextPassword (REG_DWORD) auf 0
17 Gesellschaft für wissenschaftliche Datenverarbeitung Göttingen Microsoft-Betriebsysteme hinter Firewalls „sicher“ betreiben 10/2000Andreas Ißleiber Einige Regeln, Windows-Systeme sicherer zu betreiben • 10.) Default-Screensaver über den folgenden Registryeintrag festgelegen • HKEY_USERS\DEFAULT\Control Panel\Desktop\ScreenSaveActive auf 1 • (Scrnsave.exe) auf z.B. "black16.scr" • (ScreenSaveTimeOut) "300" (Zeit in Sekunden) • Wichtig: Die Rechte dieser Key´s sollten nur auf "Administratoren" gesetzt sein, da sonst ein fremder Screensave in Betrieb genommern werden kann, der unter Admin-Rechten läuft • 11.) IPC$ Nulluserverbindung verhindern • Sog. NullSessions (net use \\rechner\ipc$) erlauben über TCP-Port 139 den Zugriff auf Windows Rechner. Dadurch können Listen der User/Gruppen, Namen, Eventlog (Application sowie Systemlog) eingesehen werden. • Ab SP3 kann dieser Zugriff eingeschränkt werden. • HKLM\System\CurrentControlSet\Control\LSA\RestrictAnonymous • (RED_DWORD) auf 1 • Nullsessions sind weiterhin möglich (allerdings nun eingeschränkt)
18 Gesellschaft für wissenschaftliche Datenverarbeitung Göttingen Microsoft-Betriebsysteme hinter Firewalls „sicher“ betreiben 10/2000Andreas Ißleiber Einige Regeln, Windows-Systeme sicherer zu betreiben • 12.) Lan Manager (LM) Paßwörter • LAN-Managerpasswörter werden nur als Großbuchstaben übertragen • Einsatz ist erforderlich wenn im Netz Win9x Rechner integriert sind • Bei einer reinen NT Umgebung sind LM-Passwörter zu deaktivieren • Durch ... • HKLM\System\CurrentControlSet\Control\LSA\LMcompatibilityLevel (REG_DWORD) • Level 0 - Send LM response and NTLM response • Level 1 - Use NTLMv2 session security if negotiated • Level 2 - Send NTLM authenication only (in reiner NT Umgebung möglich) • Level 3 - Send NTLMv2 authentication only • Level 4 - DC refuses LM authentication • Level 5 - DC refuses LM and NTLM authenication (accepts only NTLMv2) • ... kann die "Art" der verwendeten Passwörter eingestellt werden
19 Gesellschaft für wissenschaftliche Datenverarbeitung Göttingen Microsoft-Betriebsysteme hinter Firewalls „sicher“ betreiben 10/2000Andreas Ißleiber Einige Regeln, Windows-Systeme sicherer zu betreiben • 13.) Ort der Eventlogdateien ändern • Die NT Eventlog´s liegen i.d.R. im Verzeichnis: %systemroot%/system32/config • Um diese in ein anderes Verzeichnis zu schreiben, muß... • HKLM\SYSTEM\CurrentControlSet\Services\EventLog\Application\Security • Teilschlüssel "File" • %SystemRoot%\System32\config\SecEvent.Evt • ... auf das gewünschte Verzeichnis zeigen • 14.) Default Admin Freigaben löschen • Die Standard-Freigaben (Laufwerk$ etc.) können durch folgenden Key gelöscht werden • HKLM\System\CurrentControlSet\Services\LanmanServer\Parameters\ • AutoShareWks bzw. AutoShareServer (REG_DWORD) auf den Wert 0 setzen
20 Gesellschaft für wissenschaftliche Datenverarbeitung Göttingen Microsoft-Betriebsysteme hinter Firewalls „sicher“ betreiben 10/2000Andreas Ißleiber Einige Regeln, Windows-Systeme sicherer zu betreiben • 15.) Deaktivieren des OS/2- sowie POSIX Subsystems bei NT • Aus Kompatibilitätsgründen ist das OS/2 Subsystem bei NT noch aktiviert • Damit NT auch dem C2 Standard entspricht, muß der Key... • HKLM\System\CurrentControlSet\Control\Session Manager\SubSystems\Os2 (REG_EXPAND_SZ) • … entfernt werden • Um auch das POSIX-Subsystem zu deaktivieren ist der Key... • HKLM\System\CurrentControlSet\Control\Session Manager\SubSystems\Posix (REG_EXPAND_SZ) • … zu entfernen
21 Gesellschaft für wissenschaftliche Datenverarbeitung Göttingen Microsoft-Betriebsysteme hinter Firewalls „sicher“ betreiben 10/2000Andreas Ißleiber Einige Regeln, Windows-Systeme sicherer zu betreiben • 16.) SYSKEY zur Verschlüsselung der SAM • SYSKEY dient zur nochmaligen 128-Bit-Verschlüsselung der NT-SAM-Datenbank (ab SP3) und deren Kopie • Verschlüsselung kann nicht mehr rückgängig gemacht machen • Dadurch können Hackertools wie "L0phtcrack" die SAM nicht mehr entschlüsseln • Im Netz "aufgefangene" verschlüsselte NTLM Passwörter hingegen können weiter mit L0phtcrack" entschlüsselt werden • 17.) Alte Windowssysteme ablösen • Windows 3.x, Win 9X sollten durch modernere Systeme (NT, 2000) abgelöst werden
22 Gesellschaft für wissenschaftliche Datenverarbeitung Göttingen Microsoft-Betriebsysteme hinter Firewalls „sicher“ betreiben 10/2000Andreas Ißleiber Einige Regeln, Windows-Systeme sicherer zu betreiben 18.) NetBIOS auf FW filtern NetBIOS Ports vom LAN ins Internet sperren Insbesondere Port (139) , für Freigaben ist zu Filtern I.d.R. erlauben die FW ohnehin kein NetBIOS-Zugriff ins LAN 19.) Zugriffrechte auf %systemroot%\repair einstellen Im Verzeichnis %systemroot%/repair befindet die Kopie der Registry incl. SAM Das Verzeichnis sollte lediglich für Administratoren u. System zugänglich sein, damit Angreifer nicht an die verschlüsselten Paßwörter (SAM) gelangen 20.) Passwortcache deaktivieren The system cannot log you on now because the domain is not available. Windows NT speichert die letzten 10 login(Versuche) Aus Sicherheitsgründen sollte dieser Mechanismus deaktiviert werden HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\CachedLogonsCount (REG_DWORD), Wert: 0 no cached pw, Wert: 1-50 Anzahl der "cached passwords"
23 Gesellschaft für wissenschaftliche Datenverarbeitung Göttingen Microsoft-Betriebsysteme hinter Firewalls „sicher“ betreiben 10/2000Andreas Ißleiber Einige Regeln, Windows-Systeme sicherer zu betreiben 21.) Fernzugriff auf Registry begrenzen Benutzerrechte auf den Key ... HKLM\System\CurrentControlSet\Control\SecurePipeServers\Winreg ... bestimmen die User/Gruppe die remote-Zugriff auf die Registry haben sollen. siehe: http://support.microsoft.com/support/kb/articles/Q155/3/63.ASP http://support.microsoft.com/support/kb/articles/q153/1/83.asp
24 Gesellschaft für wissenschaftliche Datenverarbeitung Göttingen Microsoft-Betriebsysteme hinter Firewalls „sicher“ betreiben 10/2000Andreas Ißleiber Firewall (Beispiel: SonicWall PRO, "www.sonicwall.com") Einige Merkmale • Stateful packet inspection • Network Anti-Virus • IPSec Virtual Private Networking (VPN) Client • Authentication Service • High Availability • Internet Content Filtering • AutoUpdates • ICSA Certified • DMZ (De-Militarized Zone) • Easy Setup and Administration • Robust, Scalable Architecture • Simple WebManagement SonicWall
25 Gesellschaft für wissenschaftliche Datenverarbeitung Göttingen Microsoft-Betriebsysteme hinter Firewalls „sicher“ betreiben 10/2000Andreas Ißleiber Windows Analysetools IPCONFIG Zeigt die lokale IP-Konfiguration an (WINIPCFG bei Win 9x) C:>\netstat -a Windows NT IP-Konfiguration PPP Adapter NdisWan14: IP-Adresse. . . . . . . . . : 0.0.0.0 Subnet Mask . . . . . . . . : 0.0.0.0 Standard-Gateway. . . . . . : Ethernet-Adapter CBE16: IP-Adresse. . . . . . . . . : 134.76.11.163 Subnet Mask . . . . . . . . : 255.255.0.0 Standard-Gateway. . . . . . : 134.76.11.254
26 Gesellschaft für wissenschaftliche Datenverarbeitung Göttingen Microsoft-Betriebsysteme hinter Firewalls „sicher“ betreiben 10/2000Andreas Ißleiber Windows Analysetools NETSTAT Zeigt die Verbindungen (aktive/passive) an Ports, über die der Rechner erreichbar ist Aktive Verbindungen C:>\netstat -a Aktive Verbindungen Proto Lokale Adresse Remote-Adresse Zustand TCP laptop-ai:echo 0.0.0.0:0 LISTENING TCP laptop-ai:echo 0.0.0.0:0 LISTENING TCP laptop-ai:discard 0.0.0.0:0 LISTENING TCP laptop-ai:discard 0.0.0.0:0 LISTENING .... TCP laptop-ai:137 0.0.0.0:0 LISTENING TCP laptop-ai:138 0.0.0.0:0 LISTENING TCP laptop-ai:nbsession 0.0.0.0:0 LISTENING TCP laptop-ai:1517 0.0.0.0:0 LISTENING TCP laptop-ai:1517 gwdg-pc-ps1.gwdg.de:nbsession ESTABLISHED TCP laptop-ai:1727 212.150.163.34:80 CLOSE_WAIT TCP laptop-ai:2194 GWDG-PC-S3.gwdg.de:nbsession TIME_WAIT TCP laptop-ai:2211 technologies.com:80 TIME_WAIT TCP laptop-ai:2231 194.77.35.100:591 LAST_ACK UDP laptop-ai:echo *:* ... Zielport Rechner Ziel
27 Gesellschaft für wissenschaftliche Datenverarbeitung Göttingen Microsoft-Betriebsysteme hinter Firewalls „sicher“ betreiben 10/2000Andreas Ißleiber Monitoring Tools und Programme zum Aufspüren von Sicherheitslücken • Netmon von Windows NT als Bestandteil von Windows NT Server bzw. SMS • NMAPNT for NThttp://www.eeye.com/html/Databases/Software/nmapnt.html • Big Brother http://www.bb4.com/ • NGREP (Windows 9x/NT)Durchsucht TCP, UDP und ICMP Pakete nach dem angegebenen Inhalten und schreibt dieses in ein Logfilehttp://www.packetfactory.net/Projects/Ngrep/ • WinDump: TCPDUMPhttp://netgroup-serv.polito.it/windump/ • Portmapperhttp://www.analogx.com/contents/download/network/pmapper.htm • ShadowScan: Security Scannerhttp://www.rsh.kiev.ua/edown.htm • Einige Cracktools • http://www.l0pht.com
28 Gesellschaft für wissenschaftliche Datenverarbeitung Göttingen Microsoft-Betriebsysteme hinter Firewalls „sicher“ betreiben 10/2000Andreas Ißleiber Monitoring Tools und Programme zum Aufspüren von Sicherheitslücken • Cerberus' Internet Scanner, guter, freier Portscanner unter NT/2000 • http://www.cerberus-infosec.co.uk/ntinfoscan.shtmlBeispiel • Sammlung von diversen Scannern, Securitytools etc. • http://www.AntiOnline.com/cgi-bin/anticode/anticode.pl
Weiterführende Links zum Thema Sicherheit: Microsoft Checklisten zur System-, Netzwerksicherheit: http://www.microsoft.com/technet/security/tools.asp http://www.microsoft.com/security/ NTBugtraq mailing list http://ntbugtraq.ntadvice.com/ NT Security Forum http://www.ntsecurity.net/ Liste der Firewallanbieter http://www.fwl.dfn.de/fwl/fw/fw-prod.html
