Eine Auflistung aller bekannten Schwachstellen, kann man unter https://hpi-vdb.de/vulndb durchsuchen. Hier werden Schwachstellen aus dem gesamten Web gesammelt und veröffentlicht. Die Schwachstellen Datenbank will in Zukunft auch eine API für Programm seitige XML-Abfragen einrichten, auf deren Basis sich entsprechende Schutz- und Analyseprogramme erstellen lassen.
Benutzer und Gruppenberechtigungen in Rechtelisten austauschen
Wenn Sie z.B. einen Benutzer in einer Domäne löschen und in einer anderen neu erstellen ist das ja nicht mehr derselbe Benutzer, trotzdem er vielleicht den gleichen Namen hat. Das hat natürlich auch Auswirkungen auf die ACL (Access Control Lists, die sich in DACL und SACL aufteilen). Nun möchten Sie Beispielsweise auf einer Freigabe, dass der Benutzer weiterhin zugreifen kann. Insbesondere bei NTFS kann das recht mühsam werden. Nicht mit SubInACL.exe, dass Sie bei Microsoft herunterladen können. Damit können Sie einfach ein Benutzer- oder Gruppenkonto aus der Rechteliste einer Verzeichnisstruktur gegen ein anderes austauschen lassen, ohne dabei die bestehende Rechteliste zu zerschießen. Nur da eine Konto wird gegen ein anderes ausgetauscht.
Informationen zu SSL und TLS
Oft spricht man von SSL (Secure Socket Layer) oder SSL-Verschlüsselung. Häufig meint man damit jedoch TLS (Transport Layer Security). Die meist gestellt Frage dürfte wohl sein, was denn nun der Unterschied zwischen SSL und TLS ist. SSL wurde von der Firma Netscape entwickelt um Daten verschlüsselt und sicher über das Internet zu übertragen. Es fand aber nie den Einzug in RFCs und ist somit ein proprietärer Standard. Häufig wird behauptet, dass SSL Version 3.0 dasselbe ist wie TLS Version 1.0. Nun, die beiden liegen ziemlich nah beieinander, sind aber doch so verschieden, dass Sie nicht miteinander kompatibel sind. D.h. ein Client der SSL 3.0 spricht kann nicht auf einen Server zugreifen, der nut TLS 1.0 kann und genauso umgekehrt. TLS ist in RFC 2246 als Internetstandard fixiert. Als Vorlage dafür diente SSL 3.0. Daher auch die häufige Verwechslung der beiden.
SSL 3.1 / TLS 1.0 galten bislang als sicher und werden daher noch vielfach eingesetzt. Im September 2011 wurde allerdings offiziell BEAST (Browser Exploit Against SSL TLS)vorgestellt. Eine länger bekannte Sicherheitslücke, die speziell auf AES (Advanced Encryption Standard) Verschlüsselung abzielt wurde in den nachfolgenden Protokollen TLS 1.1 (RFC 4346) und 1.2 (aktuell – RFC 5246) behoben. Bei RC4 unter TLS 1.0 (obwohl es eine schwächere Verschlüsselung als AES nutzt) funktioniert BEAST ebenfalls nicht.
Microsoft hat das Problem erkannt und daher dieses Security-Bulletin veröffentlicht. Als Administrator eines IIS sollten Sie das auf jeden Fall lesen und anwenden!!!
Für den Apache empfiehlt sich mod_gnutls statt mod_ssl, oder wenn mod_ssl, dann die Verwendung von RC4 statt AES (Beschreibungen dazu finden Sie an jeder Ecke im Internet).
Das Hauptproblem dürften aber die Browser sein. Wenn die Browser nicht schleunigst aktualisiert und vor allem richtig konfiguriert werden, dann nutzt die gesamte Server seitige Sicherheit nichts! Um Ihren Browser sicher zu machen, sorgen Sie in der jeweiligen (IE, Firefox, Chrome, Opera, etc…) Konfiguration dafür, dass nur noch TLS 1.1 oder 1.2 zum verschlüsselten Verbindungsaufbau akzeptiert werden. Sollten Sie keine Option dafür finden, sondern nur TLS 1.0/SSL 3.0, aktualisieren Sie Ihren Browser und wenn das auch nicht hilft, wechseln Sie den Webbrowser! Sollten Sie alles erledigt haben, aber z. B. Probleme beim Onlinebanking bekommen, weil die Webserver der Bank immer noch nur TLS 1.0 können, denken Sie über einen Wechsel Ihrer Bank nach! Das ist dann in meinen Augen schon fahrlässig und somit kein vertrauenswürdiger Geschäftspartner in einem so sensiblen Bereich!
Was Webserver so alles beim Besuch über Sie in Erfahrung bringen können
Wenn Sie die Website http://www.maxa-tools.com/cookie-privacy.php besuchen, wird Ihnen angezeigt, was Ihr Browser alles über Sie verrät. Jeder andere Webserver bzw. jede andere Website die Sie besuchen, kann diese Daten über Sie ebenfalls erfassen, um nicht zu schreiben ausspionieren.
Windows OpenVPN Client als Dienst laufen lassen
Voraussetzung ist, dass OpenVPN bereits mit normaler Benutzer-Authentifizierung funktioniert. Dieses Tutorial richtet sich also an Fortgeschrittene und nicht an OpenVPN Einsteiger! Die allgemeine OpenVPN Konfiguration und Installation können Sie unter http://openvpn.net/index.php/open-source/documentation/howto.html nachlesen.
Nachdem Sie den OpenVPN Client und danach OpenVPN GUI for Windows installiert haben finden Sie bei den Windows-Diensten einen Service namens OpenVPN Service. Legen Sie die Startart auf Automatisch fest und setzen Sie den Registry-Key-Eintrag HKLM\SOFTWARE\OpenVPN-GUI\allow_service auf den Wert 1 (vorher 0). Des Weiteren verändern Sie in der Datei mit der Endung ovpn im C:\Programme\OpenVPN\config Verzeichnis die Zeile auth-user-pass indem Sie in dieser Zeile einen Dateinamen hinten dran schreiben, also z.B. so: auth-user-pass access.txt.
Erstellen Sie mit Notepad ebenfalls im config Verzeichnis die Datei access.txt mit dem Inhalt des gewünschten VPN-Benutzers für den Verbindungsaufbau, dessen Zertifikate Sie bereits hier im config Verzeichnis hinterlegt haben:
Benutzername
Kennwort
Damit da nicht gleich jeder dran kommt, sollten Sie auf die Datei nur dem Administrator und dem SYSTEM Zugriff geben und allen anderen die Berechtigungen entziehen. Für die ganz Paranodien ist dann noch eine Bitlockerverschlüsselung zu empfehlen (EFS geht an dieser Stelle nicht).
Wie anfällig sind Ihre Benutzer gegenüber Phising?
Alle Sicherheitsmechanismen sind machtlos, wenn der Endbenutzer (der Mitarbeiter in Ihrer Firma – nicht der Admin!!!) nicht in Sachen Sicherheit ausgebildet wurde. Mit dem Opensource-Projekt spt können Sie Ihre Anwender testen. spt erstellt Phisingwebsites, genauso wie es die „bösen Jungs“ auch tun würden, mit dem kleinen Unterschied, das sich das Tool nicht Ihre Kreditkartenangaben mitschreibt, sondern welche Ihrer Anwender auf der gefälschten Site bereitwillig Ihre Anmeldedaten eingegeben haben. Bei der heutigen Informationspolitik in Firmen (Anwender auf Sicherheitsschulungen zu schicken kostet Geld), denke ich mal dürfen 90% Ihrer Anwender auf die Phisingangriffe herein fallen. Aber vielleicht hilft dieses Tool dem IT-Leiter der Geschäftsführung endlich einmal die Augen zu öffnen, wie verwundbar die Firma ist, wenn Anwender mich Ach und Krach das Browser-Knöpfchen finden, um dann auf der Google Startseite „facebook“ einzutragen, wilde Links anzuklicken um sich anschließend (vielleicht tatsächlich) auf facebook einzuloggen.
Vertrauenswürdigkeit einer Website überprüfen
Unter http://www.trustedsource.org/ kann man seine eigene, aber natürlich auch jede andere Website überprüfen lassen und danach entscheiden, ob man den Besuch dort fortsetzt, oder lieber nicht. Man erfährt natürlich auch warum man keine Besucher hat, wenn man schlecht eingestuft wurde. Einige Firewallhersteller, wie z. B. Astaro blocken den Verkehr, wenn die Site nicht als sicher genug eingestuft ist (vergleichen Sie dort doch einmal serials.ws mit www.martinlehmann.de ;-)).
Linux Firewall Tipp gegen SYN-Flood Attacken
Bei SYN-Flood Attacken werden von einem bösen Client mehrere Verbindungsanfragen an einen Server geschickt und einfach offen stehen gelassen. Irgendwann schafft der Server es nicht mehr so viele Verbindungen zu erhalten. Um solcher Attacken Herr zu werden tragen Sie in Ihre Linux-Firewall die folgenden beiden Regeln ein:
iptables -I INPUT -m state --state NEW -m recent --set iptables -I INPUT -m state --state NEW -m recent --update --seconds 60 --hitcount 11 -j DROP
Damit können nur noch 10 Verbindungsversuche von einer einzelnen IP-Adresse innerhalb einer Minute durchgeführt werden. Alle Weiteren werden verworfen, wodurch dem Server viel Arbeit erspart wird.
Anwendungen / Programme stürzen unter Linux mit einem Segmentation fault ab bzw. lassen sich nicht starten
Wenn Anwendungen bzw. Programme sich unter Linux nicht starten lassen oder mit einem Segmentation Fault abstürzen können Sie das beheben indem Sie in die /etc/sysctl.conf folgenden Eintrag schreiben bzw. ändern:
vm.mmap_min_addr=0
Dies sollten Sie aber nicht bei Systemen machen die direkt am Internet abgeschlossen ist, denn man hat damit eine Sicherheitslücke im System geschlossen, die nun wieder offen stehen würde. Im geschützten LAN können Sie den Eintrag aber ruhigen Gewissens vornehmen.
Identity Management bei IIS 7.5 unter Windows Server 2008 auf einen Blick
Bei IIS 7.5 unter Windows Server 2008 R2 und auch bei IIS 7 ist es gar nicht so leicht zu durchblicken wann welcher Benutzer zur Authentifizierung und Autorisierung zum Einsatz kommt. Daher habe ich einmal ein Schaubild gezeichnet auf dem die Zusammenhänge der verschiedenen Einstellungen deutlich werden (wenn das Bild fehlt bitte auf die Artikel-Überschrift klicken):
Weitere Informationen zur Application Pool Identity bei IIS 7.5 finden Sie hier. Wie man den Zugriff auf UNC-Freigaben weiterleitet wird hier erklärt.