Linux Basics, Security & Hacking
willi moser (2005-12-12)
Sicherheitsrelevante Systeme MÜSSEN so versperrt sein daß ein unberechtigter Zugriff vor Ort nicht möglich ist. Versperrter Serverschrank oder Serverraum mit Alarmsystem und/oder Alarmanlage. Wenn ein Angreifer physikalisch Zugang zum Computer erhält ist er drin.
Vorgang
Maschine ausschalten - Linux-CD einlegen und mit dem eigenen System neu starten.
Festplatten einbinden - wenn die CD das nicht automatisch macht
Daten absaugen - am besten über das ohnehin vorhandene Netzwerk an einen anderen
Rechner.
Und wenn's die ganze Nacht dauert? - Na und? - CD rausnehmen und auf ein Bier
gehen.
Wenn die CD gut ist dann macht das System nachher einen reboot und es fällt
nicht mal mehr auf.
Auditing nachher
Glauben Sie, dass dem Auditor oder Administrator wirklich auffällt daß die
Maschine neu gestartet wurde? Der sucht eher nach Mitarbeitern die garstige
Seiten runtergeladen haben!
Eigentlich ist es offensichtlich und ganz leicht festzustellen - aber wer denkt
an so was?
Sie sollten grundsätzlich einen Rechner der direkt im Internet hängt nicht neu starten ohne vorher das Netzwerkkabel abgezogen zu haben.
Warum?
Was passiert beim booten?
aber von Schritt 2 bis 7 ist der Rechner für JEDEN Angriff ungeschützt offen! Während dessen ist der Rechner völlig ungeschützt denn die Netzwerkkarte kann sehr wohl auch ohne TCP/IP Protokoll Signale empfangen. (kompliziert, kommt praktisch nicht vor ist aber möglich) Von Schritt 6 auf 7 befindet sich die Netzwerkkarte im promiscuous mode ud der Weg zur Festplatte ist für den Trojaner oder das root kit frei.
Der Promiscuous Mode
Der Promiscuous Mode ist ein spezieller Modus, in welchem ein
Netzwerkinterface nicht nur Pakete empfängt, die an die eigene MAC-Adresse
gerichtet sind, sondern alle im Netzwerk verfügbare Daten. Der Modus dient zu
Testzwecken und wird hauptsächlich von Netzwerk-Monitorsoftware oder sogenannten
"Sniffern" verwendet
Linux Basics, Security & Hacking
willi moser (2005-12-12)