Die Präsentation wird geladen. Bitte warten

Die Präsentation wird geladen. Bitte warten

Microsoft-Betriebssysteme hinter Firewalls "sicher" betreiben

Ähnliche Präsentationen


Präsentation zum Thema: "Microsoft-Betriebssysteme hinter Firewalls "sicher" betreiben"—  Präsentation transkript:

1 Microsoft-Betriebssysteme hinter Firewalls "sicher" betreiben
17. DV-Treffen der Max-Planck-Institute

2 Microsoft-Betriebsysteme hinter Firewalls „sicher“ betreiben
Gesellschaft für wissenschaftliche Datenverarbeitung Göttingen 2 Microsoft-Betriebsysteme hinter Firewalls „sicher“ betreiben 10/2000 Andreas Ißleiber Inhalt: Kriterien für den Einsatz einer Firewall Aufteilung der internen- und öffentlichen Dienste Betrieb eines Windows-Mailserver Betrieb eines DNS(ervers) Betrieb eines Windows-Webservers (IIS) Betrieb eines Windows-Terminalservers (TS) Scenario VPN (IPSec) Benutzung von "privaten" Netzadressen Lokale Filter unter Windows NT mit "Boardmitteln" Personal Firewalls auf Windows-Systemen Einige Regeln, Windows-Systeme sicherer zu betreiben Firewall (Beispiel: SonicWall PRO) Windows Analysetools Monitoring Tools und Programme zum Aufspüren von Sicherheitslücken

3 Microsoft-Betriebsysteme hinter Firewalls „sicher“ betreiben
Gesellschaft für wissenschaftliche Datenverarbeitung Göttingen 3 Microsoft-Betriebsysteme hinter Firewalls „sicher“ betreiben 10/2000 Andreas Ißleiber Kriterien für den Einsatz einer Firewall Transparente FW: Vorteil: Die bisherige Netzstruktur kann beibehalten bleiben Eine transparente FW kann bei Ausfall schnell aus dem Netz entfernt werden Die FW stellt häufig ein "single point of failure" dar. Lösung: Redundanz schaffen Internet DMZ Die FW sollte über eine DMZ verfügen, damit Zugriffe auf öffentliche Dienste nicht in das geschützte LAN erfolgen müssen Router FW mit NAT/PAT: Verwendet die FW NAT, so können im LAN-Bereich "private network"-Adressen benutzt werden. Vorteil: Ein direkter Zugriff von Außen auf "private network"-Adressen ist allein aufgrund des verwendeten Adressbereiches nicht möglich. Die Anzahl der "realen" im Internet sichtbaren IP-Adressen reduziert sich auf eine IP-Adresse Nachteil: Fällt die FW aus, ist ein Zugriff vom LAN auf das Internet nicht möglich. Firewall DMZ Öffentliche Server Web,Mail,DNS, etc. IP: GW: NAT NAT& IP Umsetung IP: GW: NAT<->IP Umsetzung: FW mit direkter Umsetzung NAT<>IP haben Vorteile. Dadurch ist ein Zugriff von Außen auf Rechner, trotz Verwendung von NAT(private networks), möglich. IP: GW: LAN FW mit DHCP: Vorteil: Die Adressvergabe im LAN ist dynamisch und dadurch einfach (keine doppelten IP-Adressen, zentrales Management) Nachteil: Fällt die FW aus, so ist auch ein interner Netzwerkbetrieb nicht mehr möglich. Lösung: Redundanter DHCP-Server unter NT. Server ist vom Internet erreichbar IP: Externe IP: GW: Lokaler Server: IP: GW: Lokaler Server: IP: GW: VPN: (IPSec, 3DES) um Zugriff auf das interne LAN von Außen zu ermöglichen, sollte die FW VPN-Kanäle "terminieren" können

4 Microsoft-Betriebsysteme hinter Firewalls „sicher“ betreiben
Gesellschaft für wissenschaftliche Datenverarbeitung Göttingen 4 Microsoft-Betriebsysteme hinter Firewalls „sicher“ betreiben 10/2000 Andreas Ißleiber Aufteilung der internen- und öffentlichen Dienste Öffentliche Server, in der DMZ(one), sollten keine sicherheitsrelevanten Daten halten, da diese Server häufig das primäre Ziel für Angriffe darstellen File- sowie Web/FTP/Mailserver sollten nicht auf dem gleichen Rechner laufen Ein erfolgreicher Angriff auf Server in der DMZ darf sich nicht auf sicherheitsrelevante Bereiche des LAN´s ausdehnen Strikte Trennung zwischen DMZ und LAN ist das Ziel. Abhängigkeiten zwischen NT-Servern in DMZ und LAN sind nach Möglichkeit aufzulösen. -> keine Vertrauensstellung zwischen NT-Domänen in DMZ und LAN Bereich -> NTLM (oder gar LM) Authentifizierung vom DMZ in den LAN Bereich ist zu vermeiden RAS-Server nicht! im LAN betrieben werden. Der Nutzen eines RAS-Servers ist mit den daraus resultierenden Sicherheitslücken abzuwägen -> Alternative: Fremde Provider Ein RAS-Server im LAN reduziert die Gesamtsicherheit auf das Niveau des RAS-Servers. Ist der Zugriff via Einwahl auf interne Netzwerkresourcen erforderlich, ist der Einsatz eines VPN-Clients sinnvoll. Die Einwahlanlage kann dann in der DMZ installiert sein, oder es wird zur Einwahl ein fremder Provider genutzt (Achtung mit NAT bei Providern). Ist ein Einwahlservers unumgänglich, so sollte als Authentifizierungsverfahren ausschließlich CHAP(MS-CHAP) verwendet werden. Bei Einsatz eines RADIUS-Servers ist darauf zu achten, daß die Paßwörter gegen die SAM-DB des NT-Servers (verschlüsselt) übetragen werden DMZ ist, selbst bei "offenen "Filtern, gegen IP-Spoofing, DoS Attacken geschützt Internet Firewall Firewall LAN DMZ ! öffentliche Server Web,Mail,DNS, etc. internes Netz Grundregeln auf der FW: Quelle Dienst allow / reject Ziel DMZ alle P Internet LAN alle P Internet LAN alle P DMZ Internet alle O LAN Internet alle/einige O DMZ DMZ alle O LAN

5 Microsoft-Betriebsysteme hinter Firewalls „sicher“ betreiben
Gesellschaft für wissenschaftliche Datenverarbeitung Göttingen 5 Microsoft-Betriebsysteme hinter Firewalls „sicher“ betreiben 10/2000 Andreas Ißleiber Betrieb eines Windows-Mailserver Benutzer ruft seine Mail ab. (Anmelden an Domäne A) Internet 1 "öffentliche" Server (Web, Mail, etc.) sollten nicht die zentrale Userdatenbank (z.B. SAM, bei Windows NT) halten, welche Zugriffe auf Bereiche des geschützte LAN´s ermöglichen Aufgrund des stetigen Datenaustauschs zwischen den DC ist eine Verbindung zwischen LAN<->DMZ zu vermeiden Mailserver Exchange: Problematisch wird dies, bei Mailservern (z.B. Exchange), da hierbei häufig der Zugriff auf die zentrale Userdatenbank zur Anmeldung erforderlich ist. Konflikt: Mailserver bieten Dienste nach Außen an, müssen zugleich auch innerhalb des LAN erreichbar sein. Lösung: Aufbau einer zweiten Domäne für "public Server" in der DMZ mit Vertrauensstellung zur "Haupt"-Domäne. NTLM Paßwörter werden von der Domäne (B) im LAN verifiziert. Ggf. sind Rechner im LAN in LMHOST des Mailservers einzutragen (kein WINS Zugriff ins LAN) DC der Domäne B muß trotz seines Standortes im sicheren LAN gesondert abgesichert sein, da über die Netbios Ports aus der DMZ(one) zugegriffen werden kann Alternative Betriebsart des Mailservers in DMZ: Server in der DMZ bildet als PDC eine eigene Domäne. Benutzerkonten werden redundant eingetragen Vorteil: Höhere Sicherheit. Wird im Mailserver eingebrochen und Paßwörter ausgespäht, so ist der Zugang zu Daten im LAN immer noch nicht möglich Nachteil: Verwaltungsaufwand (doppelte Benutzerführung) Der Mailabruf aus dem LAN belastet die FW (LAN  DMZ) Domainserver A übrprüft bei zentraler Domäne B das Paßwort. Domäne B vertraut Domäne A 2 Wichtig bei der Mailboxsynchronisation zwischen Outlook und Exchange Für die Mailsynchronisation zwischen Outlook und Exchange sind über die IMAP,POP3, SMTP Ports hinaus, auch die Ports... 1071 (TCP), 1062 (TCP), 1054 (TCP), 1042 (TCP), 135 (TCP), 445 (TCP), bei LDAP 389(TCP) ...zu aktivieren. Eine Synchronisation aus dem Internet auf den Exchangeserver ist nicht sinnvoll, da die FW zu weit geöffnet werden muß und dadurch einfacheres Ziel für Attacken darstellt Auch hier wäre VPN eine Lösung! 3 Dom.Server B bestätigt das Paßwort 4 Benutzerzugriff auf Mail (Domäne A) 4 Firewall Firewall 1 2 3 LAN DMZ 6 7 Mailserver auf PDC der Domäne A Zentraler PDC der Domäne B vertraute Domäne vertrauende Domäne Erforderliche Regeln auf der FW : Quelle Dienst allow / reject Ziel Bemerkung (6) P (7) Netbios, SMB LAN P (6) Netbios, SMB

6 Microsoft-Betriebsysteme hinter Firewalls „sicher“ betreiben
Gesellschaft für wissenschaftliche Datenverarbeitung Göttingen 6 Microsoft-Betriebsysteme hinter Firewalls „sicher“ betreiben 10/2000 Andreas Ißleiber Betrieb eines DNS(ervers) 1 Zonentransfer vom übergerordneten DNS "übergeordneter" DNS Ein Nameserver sollte in der DMZ placiert werden Vorteil: Für den erforderlichen Zonentransfer ist nicht der Port (53, TCP & UDP) in das LAN zu öffnen Nachteil: Die DNS-Requests im LAN laufen durch die Firewall Ein im LAN betriebener DNS muß durch entsprechende Filter der FW für etwaige Zonentransfers berücksichtigt werden Hierbei wäre ein Filter zum "übergeordneten" DNS für die UDP/TCP! Ports 53 erforderlich DNS-Server sollten nicht Mitglied einer NT-Domäne sein, oder aus dem Internet über SMB erreicht werden können 2 DNS Anfrage vom Client 3 DNS Anfrage, wenn nicht lokal aufgelöst wird Internet 4 DNS Antwort zum Client 6 Firewall 4) Alternativ kann auch ein weiterer DNS "cache-only" im LAN placiert werden, der die Anfragen der LAN Clients an den DNS in der DMZ weiterleitet Dieser Server ist aus dem Internet nicht direkt erreichbar Der Zonentransfer findet lediglich zwischen DMZ (DNS) und übergeordnetem DNS statt Dieser LAN(DNS) kann auf einem DC betrieben werden DMZ LAN zweiter DNS im LAN (cache only) 8 Erforderliche Regeln auf der FW wenn DNS in der DMZ steht: Quelle Dienst allow / reject Ziel Bemerkung (6) DNS(53) P (8) Zonentransfer (TCP & UDP) LAN DNS(53) P (2) DNS Request (UDP) ... DNS Server als "stand alone" Server Die zweite Regel kann entfallen, wenn der DNS im LAN betrieben wird

7 Microsoft-Betriebsysteme hinter Firewalls „sicher“ betreiben
Gesellschaft für wissenschaftliche Datenverarbeitung Göttingen 7 Microsoft-Betriebsysteme hinter Firewalls „sicher“ betreiben 10/2000 Andreas Ißleiber Betrieb eines Windows-Webservers (IIS) 1 Webrequest aus dem Internet Webrequest aus dem LAN Ein Webserver sollte in der DMZ placiert sein Vorteil: Er ermöglicht bei erfolgreichen Attacken, kein Zugriff auf das geschützte LAN Nachteil: Der Zugriff auf Webseiten aus dem LAN laufen über die FW und belasten diese zusätzlich Werden Webinhalte mit Daten aus dem LAN angeboten (SQL-Server, ODBC, etc.), sind entspr. Filterregeln zwischen DMZ und LAN erforderlich Diese Seiten sollten ausschließlich über SSL erreichbar sein (Port 443/tcp) Alternativ können auch Ports <> 80 für die Webseiten genutzt werden Webserver sollte nicht Mitglied einer NT-Domäne sein, oder über SMB Zugriffe aus dem Internet zulassen Managementzugriff über das "Microsoft Management Interface" aus dem Internet auf den Webservers (IIS) ist zu verhindern Wenn nicht erforderlich, sollten die Rechte für das Ausführen von Scripten in den HTML-Verzeichnissen deaktiviert werden Das Management sollte über VPN erfolgen 2 Internet Firewall Firewall 1 2 LAN DMZ Erforderliche Regeln auf der FW : Quelle Dienst allow / reject Ziel Bemerkung Internet HTTP(80) P (3) Web LAN HTTP(80) P (3) Web Internet HTTPS(443) P (3) Web (SSL, TCP) LAN HTTPS(443) P (3) Web (SSL, TCP) 3 WEB-Server als "stand alone" Server

8 Microsoft-Betriebsysteme hinter Firewalls „sicher“ betreiben
Gesellschaft für wissenschaftliche Datenverarbeitung Göttingen 8 Microsoft-Betriebsysteme hinter Firewalls „sicher“ betreiben 10/2000 Andreas Ißleiber Betrieb eines Windows-Terminalservers (TS) VPN-Tunnel ICA Client mit VPN Client Windows NT Terminalserver können in der DMZ, sowie auch im LAN placiert werden Terminalserver in DMZ: Vorteil: Ist ein Zugriff von Außen erforderlich, so müssen keine Portfilter ins LAN konfiguriert werden Nachteil: Wird häufig aus dem LAN auf den TS zugegriffen, belastet das erheblich die FW TS ist weniger vor Angriffen geschützt als im LAN ICA Client 1 Internet Terminalserver im LAN Vorteil: Der Zugrif der Client im LAN kann "schnell" erfolgen ohne die FW zu belasten Nachteil: Entsprechende Filterreglen für den Zugriff von Außen müssen auf der FW eingerichtet sein Firewall LAN Optimaler Einsatz eines TS: Das beste Ergebnis wird erreicht, wenn externe ICA-Client über VPN auf den TS zugreifen Hierbei kann der TS im LAN angeschlossen sein, ohne durch zusätzliche Filter die FW zu öffnen DMZ 2 3 Erforderliche Regeln auf der FW: Quelle Dienst allow / reject Ziel Bemerkung (6) ICA(1604) P (2) o. (3) icabrowser (UDP) ICA(1494) P (2) o. (3) ICA (TCP) LAN ICA(1604,1494) P (2) wenn TS in DMZ steht Windows Terminal Server Werden VPN-Clients eingesetzt, sind keine Filterregeln erforderlich!

9 Microsoft-Betriebsysteme hinter Firewalls „sicher“ betreiben
Gesellschaft für wissenschaftliche Datenverarbeitung Göttingen 9 Microsoft-Betriebsysteme hinter Firewalls „sicher“ betreiben 10/2000 Andreas Ißleiber Scenario Übergeordneter DNS Internet DMZ 6 LAN RAS-Server greift auf die Paßwörter des PDC (1) zurück Firewall 3 2 5 1 Zentraler PDC der Domäne B RAS-Server als Mitglied der Domäne A DNS und Webserver Mailserver und PDC der Domäne A Zentraler Terminalserver (Zugriff nur mit VPN) Domäne B 4 Erforderliche Regeln auf der FW: Quelle Dienst allow / reject Ziel Bemerkung Internet SMTP(25) P (1) Mailgateway (6) DNS(53) P (2) Zonentransfer (TCP & UDP) Internet http(80) P (2) Webzugriff LAN alle P Internet DMZ alle P Internet LAN alle O DMZ Internet alle O LAN Internet alle O DMZ DMZ alle O LAN Mailserver (PDC) in DMZ DNS & Webserver in DMZ PDC im LAN (geschützt) Clients im LAN (geschützt) RAS-Server in DMZ 1 2 3 4 5

10 Microsoft-Betriebsysteme hinter Firewalls „sicher“ betreiben
Gesellschaft für wissenschaftliche Datenverarbeitung Göttingen 10 Microsoft-Betriebsysteme hinter Firewalls „sicher“ betreiben 10/2000 Andreas Ißleiber VPN (IPSec) Internet- router VPN (IPSec) ist ein geeignetes Verfahren, Verbindungen in das gesicherte LAN über unsichere Netze (Internet) zu führen IPSec arbeitet transparent, sodass die IP-Anwendungen den verschlüsselten Datenaustausch nicht bemerken Einige FW sind gleichzeitig in der Lage, VPN zu tunneln (VPN-Gateway) VPN erfordert erheblichen Rechenaufwand in der FW (je nach Art der Veschlüsselung) Als Verschlüsselunbgstiefe sollte 3DES (nicht mehr DES) eingesetzt werden Immer dann, wenn administrative Zugriffe, aber auch Clients, auf lokale Ressourcen im geschützten LAN zugreifen, ist die Benutzung von VPN eine ideale Lösung Die schlechtere Alternative ist das Öffnen der Firewall durch erweiterte Filterregeln oder die Einschränkung der Dienste der Server VPN Clients aus dem Internet oder Fremd-Provider VPN-Tunnel VPN-fähige Firewall DMZ LAN RAS, Einwahl- Server, CHAP Internes Netz VPN-Tunnel VPN Clients über ein Einwahlserver

11 Microsoft-Betriebsysteme hinter Firewalls „sicher“ betreiben
Gesellschaft für wissenschaftliche Datenverarbeitung Göttingen 11 Microsoft-Betriebsysteme hinter Firewalls „sicher“ betreiben 10/2000 Andreas Ißleiber Benutzung von "privaten" Netzadressen Rechner mit Internetzugang Rechner ohne Internetzugang (public) Server mit Internetzugang Router 1 Windows NT erlaubt die gleichzeitige Verwendung mehrer IP-Adressen Dies kann die Sicherheit erhöhen, wenn keine FW installiert ist "private networks" ersetzten jedoch nicht eine FW Bei NT wird lediglich die erste vergebene IP-Adresse für NetBIOS verwendet Diese erste IP-Adresse kann aus dem Bereich eines "private networks" stammen Alle Rechner mit "private network"-Adressen sind lokal erreichbar, aber im Internet unsichtbar Alle weiteren IP-Adressen (2..n) sind für NetBIOS-Dienste nicht zugänglich Dieser Umstand kann bewußt ausgenutzt werden, um ein lokales- vom öffentlichen Netz zu trennen 2 Internet 3 4 4 Gateway (gw): 3 1 IP(1): IP(2): Gw: 2 Webserver IP(1): IP(2): Gw: Privates Netz: Öffentliches Netz: IP(1):

12 Microsoft-Betriebsysteme hinter Firewalls „sicher“ betreiben
Gesellschaft für wissenschaftliche Datenverarbeitung Göttingen 12 Microsoft-Betriebsysteme hinter Firewalls „sicher“ betreiben 10/2000 Andreas Ißleiber Lokale Filter unter Windows NT mit "Boardmitteln" Windows NT/Windows 2000 erlaubt die Einrichtung einfacher, lokaler Portfilter Zugriff läßt sich für den Rechner auf bestimmte Ports beschränken Filter können eingesetzt werden um sich innerhalb des LAN vor Hackerangriffen zu schützen Ersetzt keine FW (kein IP-Spoofing Schutz, etc.) ! Soll der Rechner über SMB erreicht werden, so sind auch die Ports 137,138 (UDP) sowie 139 (TCP) auf dem Filter "freizuschalten" Filter für UDP-Ports IP-Protokolle Filter für TCP-Ports Liste der Ports: ftp://ftp.isi.edu/in-notes/iana/assignments/port-numbers

13 Microsoft-Betriebsysteme hinter Firewalls „sicher“ betreiben
Gesellschaft für wissenschaftliche Datenverarbeitung Göttingen 13 Microsoft-Betriebsysteme hinter Firewalls „sicher“ betreiben 10/2000 Andreas Ißleiber Personal Firewalls auf Windows-Systemen Vorteil: Günstiger Preis, wenn wenige Rechner geschützt werden müssen Kein "single point of failure" im Vergleich zur zentralen FW Nachteil: Jeder einzelne Rechner wird durch die "Software" Firewall belastet Keine(bzw. selten) einheitliche Policies Teilweise unzureichender Schutz vor Angriffen Kombination aus zentraler- und personal FW nicht sinnvoll FW ist nicht ohne "tiefere" Kenntnisse des Benutzers konfigurierbar Hoher Verwaltungsaufwand Betriebsystemabhängig Fazit Personal Firewalls ersetzen keine zentrale FW Sie bieten, i.d.R.nur bei fachgerechter ! Konfiguration einen Schutz vor Angriffen Quellen: c't 20/00, Seite 126, c't 17/00, Seite 77

14 Microsoft-Betriebsysteme hinter Firewalls „sicher“ betreiben
Gesellschaft für wissenschaftliche Datenverarbeitung Göttingen 14 Microsoft-Betriebsysteme hinter Firewalls „sicher“ betreiben 10/2000 Andreas Ißleiber Einige Regeln, Windows-Systeme sicherer zu betreiben 1.) Eine FW befreit nicht von der zusätzlichen Absicherung der Betriebssysteme Insbesondere wenn öffentliche Dienste angeboten werden 2.) Niemals als Administrator, oder vergleichbarer Benutzer, im Internet "surfen" So verbreiten sich Trojaner etc. über die weitreichenden Rechte des Administrator schnell auf das gesamte Netz Über Java, ActiveX, (andere Scripts) gelangen Komponenten schnell auf den lokalen Rechner Viele FW erlauben die Filterung von Java/Javascript/ActiveX Komponenten. Dadurch sind allerdings viele Webseiten nicht mehr lesbar. Hinweis: 3.) Auf Windows NT Rechnern ist das Routing zu deaktivieren auf dem NT-Rechner ist das Routing zu deaktivieren Während einer Internetverbindung könnten so „Angreifer“ über den NT Rechner auf andere Systeme gelangen 4.) Die Einwahl zu anderen Providern vom LAN aus vermeiden 5.) Administratoraccountnamen umbenennen

15 Microsoft-Betriebsysteme hinter Firewalls „sicher“ betreiben
Gesellschaft für wissenschaftliche Datenverarbeitung Göttingen 15 Microsoft-Betriebsysteme hinter Firewalls „sicher“ betreiben 10/2000 Andreas Ißleiber Einige Regeln, Windows-Systeme sicherer zu betreiben 6.) Die Bindung zwischen dem Serverdienst und dem WAN-Interface trennen, wenn kein SMB-Zugriff auf den Rechner über das WAN erfolgen soll Bei der Einwahl über Provider ist der Zugriff auf lokale Freigaben nicht mehr möglich 7.) Einsatz von "passfilt.dll" ab SP3 auf NT-Rechnern Die passfilt.dll ermöglicht die Überprüfung von Passwörtern nach erweiterten Regeln - mind. 6 Buchstaben Passwortlänge - Vor- Nach und Username dürfen nicht Bestandteil des Passwortes sein - Das Passwort muß! aus allen drei Gruppen mindestens ein Zeichen enthalten: Groß, Kleinschreibung, Zahlen, Sonderzeichen HKLM\SYSTEM\CurrentControlSet\Control\LSA\NotificationPackages\passfilt.dll siehe:

16 Microsoft-Betriebsysteme hinter Firewalls „sicher“ betreiben
Gesellschaft für wissenschaftliche Datenverarbeitung Göttingen 16 Microsoft-Betriebsysteme hinter Firewalls „sicher“ betreiben 10/2000 Andreas Ißleiber Einige Regeln, Windows-Systeme sicherer zu betreiben 8.) Zugriffe auf die Registry begrenzen Die Gruppe "Everyone" kann Registry-Einträge unter „Run“ und „RunOnce“ vornehmen Unter folgenden Keys sollten die Zugriffsrechte eingeschränkt werden: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall siehe: 9.) "unencrypted" Passwords verhindern Verhindert die Übertragung von "Klartextpaßwörtern" Ist ab SP3 deaktiviert HKLM\System\CurrentControlSet\Services\RDR\parameters\ EnablePlainTextPassword (REG_DWORD) auf 0

17 Microsoft-Betriebsysteme hinter Firewalls „sicher“ betreiben
Gesellschaft für wissenschaftliche Datenverarbeitung Göttingen 17 Microsoft-Betriebsysteme hinter Firewalls „sicher“ betreiben 10/2000 Andreas Ißleiber Einige Regeln, Windows-Systeme sicherer zu betreiben 10.) Default-Screensaver über den folgenden Registryeintrag festgelegen HKEY_USERS\DEFAULT\Control Panel\Desktop\ScreenSaveActive auf 1 (Scrnsave.exe) auf z.B. "black16.scr" (ScreenSaveTimeOut) "300" (Zeit in Sekunden) Wichtig: Die Rechte dieser Key´s sollten nur auf "Administratoren" gesetzt sein, da sonst ein fremder Screensave in Betrieb genommern werden kann, der unter Admin-Rechten läuft 11.) IPC$ Nulluserverbindung verhindern Sog. NullSessions (net use \\rechner\ipc$) erlauben über TCP-Port 139 den Zugriff auf Windows Rechner. Dadurch können Listen der User/Gruppen, Namen, Eventlog (Application sowie Systemlog) eingesehen werden. Ab SP3 kann dieser Zugriff eingeschränkt werden. HKLM\System\CurrentControlSet\Control\LSA\RestrictAnonymous (RED_DWORD) auf 1 Nullsessions sind weiterhin möglich (allerdings nun eingeschränkt)

18 Microsoft-Betriebsysteme hinter Firewalls „sicher“ betreiben
Gesellschaft für wissenschaftliche Datenverarbeitung Göttingen 18 Microsoft-Betriebsysteme hinter Firewalls „sicher“ betreiben 10/2000 Andreas Ißleiber Einige Regeln, Windows-Systeme sicherer zu betreiben 12.) Lan Manager (LM) Paßwörter LAN-Managerpasswörter werden nur als Großbuchstaben übertragen Einsatz ist erforderlich wenn im Netz Win9x Rechner integriert sind Bei einer reinen NT Umgebung sind LM-Passwörter zu deaktivieren Durch ... HKLM\System\CurrentControlSet\Control\LSA\LMcompatibilityLevel (REG_DWORD) Level 0 - Send LM response and NTLM response Level 1 - Use NTLMv2 session security if negotiated Level 2 - Send NTLM authenication only (in reiner NT Umgebung möglich) Level 3 - Send NTLMv2 authentication only Level 4 - DC refuses LM authentication Level 5 - DC refuses LM and NTLM authenication (accepts only NTLMv2) ... kann die "Art" der verwendeten Passwörter eingestellt werden

19 Microsoft-Betriebsysteme hinter Firewalls „sicher“ betreiben
Gesellschaft für wissenschaftliche Datenverarbeitung Göttingen 19 Microsoft-Betriebsysteme hinter Firewalls „sicher“ betreiben 10/2000 Andreas Ißleiber Einige Regeln, Windows-Systeme sicherer zu betreiben 13.) Ort der Eventlogdateien ändern Die NT Eventlog´s liegen i.d.R. im Verzeichnis: %systemroot%/system32/config Um diese in ein anderes Verzeichnis zu schreiben, muß... HKLM\SYSTEM\CurrentControlSet\Services\EventLog\Application\Security Teilschlüssel "File" %SystemRoot%\System32\config\SecEvent.Evt ... auf das gewünschte Verzeichnis zeigen 14.) Default Admin Freigaben löschen Die Standard-Freigaben (Laufwerk$ etc.) können durch folgenden Key gelöscht werden HKLM\System\CurrentControlSet\Services\LanmanServer\Parameters\ AutoShareWks bzw. AutoShareServer (REG_DWORD) auf den Wert 0 setzen

20 Microsoft-Betriebsysteme hinter Firewalls „sicher“ betreiben
Gesellschaft für wissenschaftliche Datenverarbeitung Göttingen 20 Microsoft-Betriebsysteme hinter Firewalls „sicher“ betreiben 10/2000 Andreas Ißleiber Einige Regeln, Windows-Systeme sicherer zu betreiben 15.) Deaktivieren des OS/2- sowie POSIX Subsystems bei NT Aus Kompatibilitätsgründen ist das OS/2 Subsystem bei NT noch aktiviert Damit NT auch dem C2 Standard entspricht, muß der Key... HKLM\System\CurrentControlSet\Control\Session Manager\SubSystems\Os2 (REG_EXPAND_SZ) … entfernt werden Um auch das POSIX-Subsystem zu deaktivieren ist der Key... HKLM\System\CurrentControlSet\Control\Session Manager\SubSystems\Posix (REG_EXPAND_SZ) … zu entfernen

21 Microsoft-Betriebsysteme hinter Firewalls „sicher“ betreiben
Gesellschaft für wissenschaftliche Datenverarbeitung Göttingen 21 Microsoft-Betriebsysteme hinter Firewalls „sicher“ betreiben 10/2000 Andreas Ißleiber Einige Regeln, Windows-Systeme sicherer zu betreiben 16.) SYSKEY zur Verschlüsselung der SAM SYSKEY dient zur nochmaligen 128-Bit-Verschlüsselung der NT-SAM-Datenbank (ab SP3) und deren Kopie Verschlüsselung kann nicht mehr rückgängig gemacht machen Dadurch können Hackertools wie "L0phtcrack" die SAM nicht mehr entschlüsseln Im Netz "aufgefangene" verschlüsselte NTLM Passwörter hingegen können weiter mit L0phtcrack" entschlüsselt werden 17.) Alte Windowssysteme ablösen Windows 3.x, Win 9X sollten durch modernere Systeme (NT, 2000) abgelöst werden

22 Microsoft-Betriebsysteme hinter Firewalls „sicher“ betreiben
Gesellschaft für wissenschaftliche Datenverarbeitung Göttingen 22 Microsoft-Betriebsysteme hinter Firewalls „sicher“ betreiben 10/2000 Andreas Ißleiber Einige Regeln, Windows-Systeme sicherer zu betreiben 18.) NetBIOS auf FW filtern NetBIOS Ports vom LAN ins Internet sperren Insbesondere Port (139) , für Freigaben ist zu Filtern I.d.R. erlauben die FW ohnehin kein NetBIOS-Zugriff ins LAN 19.) Zugriffrechte auf %systemroot%\repair einstellen Im Verzeichnis %systemroot%/repair befindet die Kopie der Registry incl. SAM Das Verzeichnis sollte lediglich für Administratoren u. System zugänglich sein, damit Angreifer nicht an die verschlüsselten Paßwörter (SAM) gelangen 20.) Passwortcache deaktivieren The system cannot log you on now because the domain is not available. Windows NT speichert die letzten 10 login(Versuche) Aus Sicherheitsgründen sollte dieser Mechanismus deaktiviert werden HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\CachedLogonsCount (REG_DWORD), Wert: 0 no cached pw, Wert: 1-50 Anzahl der "cached passwords"

23 Microsoft-Betriebsysteme hinter Firewalls „sicher“ betreiben
Gesellschaft für wissenschaftliche Datenverarbeitung Göttingen 23 Microsoft-Betriebsysteme hinter Firewalls „sicher“ betreiben 10/2000 Andreas Ißleiber Einige Regeln, Windows-Systeme sicherer zu betreiben 21.) Fernzugriff auf Registry begrenzen Benutzerrechte auf den Key ... HKLM\System\CurrentControlSet\Control\SecurePipeServers\Winreg ... bestimmen die User/Gruppe die remote-Zugriff auf die Registry haben sollen. siehe:

24 Microsoft-Betriebsysteme hinter Firewalls „sicher“ betreiben
Gesellschaft für wissenschaftliche Datenverarbeitung Göttingen 24 Microsoft-Betriebsysteme hinter Firewalls „sicher“ betreiben 10/2000 Andreas Ißleiber Firewall (Beispiel: SonicWall PRO, "www.sonicwall.com") Einige Merkmale Stateful packet inspection Network Anti-Virus IPSec Virtual Private Networking (VPN) Client Authentication Service High Availability Internet Content Filtering AutoUpdates ICSA Certified DMZ (De-Militarized Zone) Easy Setup and Administration Robust, Scalable Architecture Simple WebManagement SonicWall

25 Microsoft-Betriebsysteme hinter Firewalls „sicher“ betreiben
Gesellschaft für wissenschaftliche Datenverarbeitung Göttingen 25 Microsoft-Betriebsysteme hinter Firewalls „sicher“ betreiben 10/2000 Andreas Ißleiber Windows Analysetools IPCONFIG Zeigt die lokale IP-Konfiguration an (WINIPCFG bei Win 9x) C:>\netstat -a Windows NT IP-Konfiguration PPP Adapter NdisWan14: IP-Adresse : Subnet Mask : Standard-Gateway : Ethernet-Adapter CBE16: IP-Adresse : Subnet Mask : Standard-Gateway :

26 26 Windows Analysetools NETSTAT
Gesellschaft für wissenschaftliche Datenverarbeitung Göttingen 26 Microsoft-Betriebsysteme hinter Firewalls „sicher“ betreiben 10/2000 Andreas Ißleiber Windows Analysetools NETSTAT Zeigt die Verbindungen (aktive/passive) an Ports, über die der Rechner erreichbar ist Aktive Verbindungen C:>\netstat -a Aktive Verbindungen Proto Lokale Adresse Remote-Adresse Zustand TCP laptop-ai:echo : LISTENING TCP laptop-ai:discard : LISTENING .... TCP laptop-ai: : LISTENING TCP laptop-ai: : LISTENING TCP laptop-ai:nbsession : LISTENING TCP laptop-ai: : LISTENING TCP laptop-ai: gwdg-pc-ps1.gwdg.de:nbsession ESTABLISHED TCP laptop-ai: : CLOSE_WAIT TCP laptop-ai: GWDG-PC-S3.gwdg.de:nbsession TIME_WAIT TCP laptop-ai: technologies.com:80 TIME_WAIT TCP laptop-ai: : LAST_ACK UDP laptop-ai:echo *:* ... Zielport Rechner Ziel

27 Microsoft-Betriebsysteme hinter Firewalls „sicher“ betreiben
Gesellschaft für wissenschaftliche Datenverarbeitung Göttingen 27 Microsoft-Betriebsysteme hinter Firewalls „sicher“ betreiben 10/2000 Andreas Ißleiber Monitoring Tools und Programme zum Aufspüren von Sicherheitslücken Netmon von Windows NT als Bestandteil von Windows NT Server bzw. SMS NMAPNT for NT Big Brother NGREP (Windows 9x/NT) Durchsucht TCP, UDP und ICMP Pakete nach dem angegebenen Inhalten und schreibt dieses in ein Logfile WinDump: TCPDUMP Portmapper ShadowScan: Security Scanner Einige Cracktools

28 Microsoft-Betriebsysteme hinter Firewalls „sicher“ betreiben
Gesellschaft für wissenschaftliche Datenverarbeitung Göttingen 28 Microsoft-Betriebsysteme hinter Firewalls „sicher“ betreiben 10/2000 Andreas Ißleiber Monitoring Tools und Programme zum Aufspüren von Sicherheitslücken Cerberus' Internet Scanner, guter, freier Portscanner unter NT/2000 Beispiel Sammlung von diversen Scannern, Securitytools etc.

29 Weiterführende Links zum Thema Sicherheit:
Microsoft Checklisten zur System-, Netzwerksicherheit: NTBugtraq mailing list NT Security Forum Liste der Firewallanbieter

30


Herunterladen ppt "Microsoft-Betriebssysteme hinter Firewalls "sicher" betreiben"

Ähnliche Präsentationen


Google-Anzeigen