; TeX output 2003.04.04:1546_2 ~?ՁZ2Iqqecss2074LinuxfSecuritwmyHOWTO cG 1 ecrm1000KevinU F*enzi,qL ectt1000kevin@tummy.com&DaveU Wreski,dave@linuxsecurity.comV*ertaaldU doGorNineMatthijssen,smurfin@nl.linux.org}z[v1.1.1,17maart2000&6 ecss1000DitdoGcumentiseenalgemeenoverzichtvanbeveiligingskwestieswaareenbGeheerdervanLinuxsystemenmeegeconfronteerdwordt.HetbGehandelteenalgemenebeveiligingslosoeeneenaantalspeciekevoorbeeldenvanhoGejejeLinux-systeembetertegenindringerskuntbeveiligen.fYOokzijnerverwijzingennaarmateriaalenprogramma'sdiebGetrekkinghebbenopbeveiliging.xVerbeteringen,constructievekritiek,toGevoegingenencorrectieswordendankbaargeaccepteerd.P\StuurjereactiealsjeblieftnaarbGeideauteurs,met"SecurityHOWTO"alsU onderwerp.(&Lt$ffffecbx1440Inhoudsopgacve]f ecbx10001Inleiding3ؼ1.1%NieuweU versiesvqanditdoGcument83.荍.................................w41.2%Reacties{{.荍...............................................w41.3%Disclaimer.荍..............................................w41.4%CopyrightU informatie.荍........................................w52Ov>erzicht52.1%W*atU ishetnutvqanbGeveiliging?0ߍ.荍..................................w52.2%HoGeU veiligisveilig?=?.荍.........................................w52.3%W*atU probGeerjetebeschermen?Ӎ.荍..................................w62.4%EenU bGeveiligingsbeleidontwikkelenq[.荍................................w72.5%ManierenU omjesitetebGeveiligen󍍑.荍.................................w7%2.5.1EBeveiligingU vqandehostU.荍..................................w8%2.5.2EBeveiligingU vqanhetlokalenetwerk.荍............................w8%2.5.3EBeveiligingU doGoronduidelijkheid.荍.............................w82.6%OrganisatieU vqanditdoGcument.荍...................................w83F ysiek>ebQeveiligingc)93.1%Computersloten`K.荍...........................................w93.2%BeveiligingU vqandeBIOS.荍......................................w93.3%BeveiligingU vqandeBoGotLoader?'.荍..................................x?103.4%xloGckU envlock'.荍............................................x?113.5%F*ysiekeU bGeveiligingsgevqarenopspGorenUS.荍...............................x?114Lok\|alebQev>eiligingam124.1%NieuweU accountsaanmakenߍ.荍....................................x?12*_2 ~?GINHOUDSOPGAVEh2ՁV4.2%RoGotU beveiligingnk.荍..........................................x?135Bev>eiligingv\|anbQestandenenbestandssystemenʾj14ؼ5.1%UmaskU instellingen.荍.........................................x?165.2%BestandspGermissies.荍.........................................x?165.3%ControleU opintegriteit/w.荍.......................................x?195.4%T*ro0janU HorsesǍ.荍............................................x?196W ac>htwoQordbev>eiligingen-versleuteling206.1%PGPU enPublic-Keyversleuteling.荍.................................x?206.2%SSL,U S-HTTP*,HTTPSenS/MIME.荍...............................x?216.3%LinuxU IPSECuitvoGeringen.荍.....................................x?226.4%sshU (SecureShell)enstelnet K.荍...................................x?226.5%P*AMU -PluggableAuthenticationMoGdules/.荍............................x?236.6%CryptographicU IPEncapsulation(CIPE)2g.荍.............................x?236.7%KerbGerosǍ.荍...............................................x?246.8%ShadowU Passwords.荍.........................................x?246.9%"Cracknid"JohntheRippGer"256.10%CFSU -CryptographicFileSystemenTCFS-T*ransparentCryptographicFileSystem獍.荍....x?256.11%X11,U SVGAenbGeeldschermbeveiliging.荍..............................x?25%6.11.1EX11Y.荍.............................................x?25%6.11.2ESVGA덍.荍............................................x?26%6.11.3EGGIU (GenericGraphicsInterfacepro0ject)Q.荍........................x?267Bev>eiligingv\|andekernel< 267.1%OptiesU om2.0kernelstecompilerenjg.荍...............................x?277.2)ROptiesU om2.2kernelstecompilerenG.荍...............................x?297.3)RKernelU DevicesY.荍...........................................x?308(Bev>eiligingv\|anhetnetwerk+h_318.1%PacketU Sniers.荍...........................................x?318.2%SysteemdienstenU entcp-wrappGers.荍.................................x?318.3%V*erieerU jeDNSinformatie>g.荍....................................x?338.4%identd.荍................................................x?338.5%SA*TAN,U ISSenanderenetwerkscannersr3.荍.............................x?33%8.5.1EPoGortscansU detecterenEݍ.荍...................................x?348.6%sendmail,U qmailenMT*A's.荍....................................x?348.7%DenialU ofServiceaanvqallen.荍....................................x?35%_2 ~?G1.8Inleiding"3ՁV8.8%NFSU (NetworkFileSystem)bGeveiligingG.荍..............................x?36ؼ8.9%NISU (NetworkInformationService)(voGorheenYP){.荍.......................x?368.10%Firewallso.荍...............................................x?378.11%IPU Chains-LinuxKernel2.2.xFirewallingd.荍............................x?378.12%VPN'sU -VirtualPrivqateNetworks.荍................................x?389Bev>eiligingsvoQorbereidingen(v>oordatjeon-linegaat)m389.1%MaakU eenvolledigebackupvqanjemachine2.荍............................x?389.2%HetU kiezenvqaneengoGedbackupschema.荍..............................x?389.3%MaakU eenbackupvqanjeRPMofDebianFileDatabase{.荍....................x?399.4%HoudU jesysteemloggegevensbij1.荍..................................x?399.5%MaakU gebruikvqanallenieuweU systeemupGdatesk.荍.........................x?4010W attedoQentijdensennaeenin>braak4010.1%EenU aanvqalopdebGeveiligingisaandegangVc.荍...........................x?4010.2%EenU aanvqalheeftreedsplaatsgevonden.荍..............................x?41%10.2.1EHetU gatdichten.荍.......................................x?41%10.2.2EDeU schadeopnemen .荍....................................x?42%10.2.3EBackups,U backups,backups!ݍ.荍................................x?42%10.2.4EDeU indringertracerenE.荍...................................x?4211Bronnen*4311.1%FTPU Sites.荍..............................................x?4311.2%W*ebsitesX.荍...............................................x?4311.3%MailingU Lists󍍑.荍............................................x?4411.4%BoGekenU -Gedruktmateriaal.荍....................................x?4412V erklarendew>oQordenlijst=N4513V eelgesteldevragenT0"4614Conclusie"4915DankbQetuigingene49(1Inleiding:DitdoGcumentbehandeltenkelevqandebelangrijkstekwestiesdiebetrekkinghebbenopbeveiliginginLinux. AlgemeneU losoeenviahetnetwerkU ontstanemiddelenwordenbGesproken.IneenaantalandereHOWTOdoGcumentenwordenoGokbeveiligingskwestiesbehandeldennaardezedocu-mentenU wordtverwezenalsdatnoGdigis.Xl_2 ~?G1.8Inleiding"4ՁVDitdoGcumentkqanHЃ ecti1000nietZzobijgewerktzijndatallenieuwebGeveiligingslekkeneringenoGemdworden,aangezien erevoGortdurendnieuwebGeveiligingslekkenwordenontdekt.voorwaarden.|G_2 ~?G2.8Ov>erzichtD5ՁV1.4CopyrightinformatieMDitdoGcumentisauteursrechtelijkbGeschermd(c)1998-2000KevinF*enzienDaveW*reskienwordtverspreid onderU devolgendevoGorwaarden:ؼ !", cmsy10LinuxjHOWTOjMdoGcumentenmogenwordengereproGduceerdeninz'ngeheelofingedeelten,inelkmedium,Jfysiekuofelectronischwordenverspreid,Jalsdezecopyright-vermeldingmaarbGehoudenblijftopqallecopien.PCommercileherverspreidingistoGegestaanenwordtaangemoGedigd;Vechter,.deauteurswillenU graagopdehoGogtegesteldwordenvqanzulkedistributies.Allevertalingen,%afgeleidewerkenofverzameldewerkendietemakenhebbGenmetenigeLinuxHOWTOdoGcumenten\moetendezecopyright-vermeldingbGevqatten.&4Dathoudtindatjegeenafgeleidwerkvqaneen HOWTO magmakenenaanvullendebGeperkingen opdedistributiemagopleggen.XnUitzonderingenopdezeregelskunnenonderbGepaaldevoorwaardentoegestaanworden;neemalsjeblieftcontactopmetdeU LinuxHOWTOcoGrdinatorophetonderstaandeadres.Alsbjevragenhebt,e;neemdanalsjeblieftcontactopmetTimBynum,e;deLinuxHOWTOacoGrdinator,opؼtjbynum@metalab.unc.edu(2Ovcerzicht:DitvdoGcumentzalenkeleproGceduresenveelgebruiktesoftwareomjetehelpGenjeLinuxsysteemveiligertemakenHprobGerenuitteleggen.rHetisbelangrijkom,+voordatwebeginnen,+eerstenkelebasisbegrippentebGesprekenU eneenbasisbeveiligingtecreren.#Í2.1Watishetnutv@ anb_eveiliging?MIn%dealtijdveranderendewereldvqanglobaledatacommunicatie,.goGedkope%InternetverbindingenenhethogetempGo:vqansoftware:ontwikkeling,)5wordtbGeveiligingeensteedsbGelangrijkeronderwerp._4Beveiligingisnueenbasisvereiste,omdatglobaleinformaticainherentonveiligis.DAlsjegegevensbijvoGorbeeldvqanpuntAnaarBophetInternetgaan,(zouhetonderwegviadiverseanderepuntenkunnengaan,(hetgeenanderegebruikersdegelegenheidgeefthetteonderscheppGenenhetzelfstewijzigen.A|ZelfsanderegebruikersopjesysteemkunnenopzettelijkjouwgegevensverandereninietsdatjenietbGedoelde.DOnbevoegdetoegangtotjesysteemkqanverkregenwordendoGorindringers,Eookbekendals"crackers",EdiedangeavqanceerdekennisgebruikenomzichalsjouvoGortedoen, Zinformatievqanjetestelenofjezelfsdetoegangtotjeeigenmiddelenteontzeggen.RXAlsjejeafvraagtwathetverschilistusseneen"Hackerneen"Cracker",)bGekijkdanEricRaymond'sdoGcument"HowU toBecomeAHacker",bGeschikbaarophttp://www.netaxs.c}/om/esr/faqs/hacker-howto.html.2.2Ho_eveiligisveilig?MHoudallereerstingedachtendatgeenenkelcomputersysteemoGoitvolledigveiligkqanzijn.N(JekunthetalleenmaarsteedsmoGeilijkervoGoriemandmakenomjesysteemingevqaartebrengen.wV*oGordegemiddeldeLinuxthuisgebruikerisernietveelnoGdigomdeterloopsecrackerbuitendedeurtehouden.^V*oorprofessioneleLinuxU gebruikers(banken,telecommunicatie-bGedrijvenenz.)qisechterveelmeerwerkvereist.ؼEenanderefactoromrekeningmeetehoudenisdathoGeveiligerjesysteemis,;hoGeindringerigerjebeveiligingwordt.JeYmoGeteenbalanszientevindenzodatjesysteemnogsteedsbruikbaarisentochveiligvoGorjouwdoGeleinden.JenkuntbijvoGorbeeldnverlangendatiedereendieopjesysteeminbGelteen'call-backmoGdem'f_2 ~?G2.8Ov>erzichtD6ՁVgebruiktomzeterugtekunnenbGellenophunnummerthuis.{Ditisveiliger,Imaaralsiemandnietthuis is,>wordt8hetmoGeilijkvoGorhenominteloggen.yJekuntjeLinuxsysteemoGokinstellenzondernetwerkofverbindingU methetInternet,maarditbGeperktU zijnbruikbaarheid.ؼAlstheteengemiddeldtotgrotesitebGetreft, zuljeeenbeveiligingsbeleidmoetenvqaststellen, waarinstaathoGeveelbeveiligingvoorjouwsitevereistisenopwelkewijzeditgecontroleerdwordt.sJekunteenvoGor-bGeeldvqaneenwelbekendbeveiligingsbeleidvindenophttp://www.faqs.or}/g/rfcs/rfc2196.html.!OHetisrecentbijgewerktU enbGevqateengoedeopzetomeenbeveiligingsbeleidvoorjouwbedrijfvqasttekunnenstellen."u2.3Watprob_eerjetebeschermen?MV*oGordatmjeprobeertjesysteemtebeveiligen, moetjevqaststellentegenwelkniveauvqanbGedreigingjejemoetbGeschermen,zwelkehrisico'sjewelofnietmoetnemenenhoekwetsbaarjesysteemalsgevolghiervqanis.XJemoGetjesysteemanaliserenomtewetenwatjebGeschermt,(waaromjehetbGeschermt,(welkewaardehetheeftenU wiedeverantwoGordingU voorU jedataenanderebezittingenheeft.EenVrisic}/oisdemogelijkheiddateenindringersuccesvolkqanzijninzijnpGogingenomtoegangtotjeBcomputertekrijgen.:KaneenindringerbGestandenlezenofschrijvenBofprogramma'suitvoerendieschade kunnenveroGorzaken?Kanhijkritiekedataverwijderen?KanhijvoGorkomendatjijofjouwbGedrijfbelangrijkwerkgedaankrijgt?0UV*ergeetniet:iemanddiezichtoGegangverschafttotjouwaccountofܢjouwsysteemkqanzichoGokalsjouvoGordoen.BovendienܢkqanhethebbGenvannonveiligܢaccounterinqresulterendatjehelenetwerkqingevqaarkomt.OAlsqjeeenenkelegebruikertoGestaatominteloggenmiddelseen.rhostsleofdoGorgebruiktemakenvqaneenonveiligeservicealstftp, riskeerjedateenindringert'zijnvoGettussendedeurkrijgt'.}Alsdeindringereenmaaleengebruikersaccountopjouwof+iemandandersz'nsysteemheeft,akqanhetgebruiktwordenomtoGegangtoteenandersysteemofaccountU teverkrijgen.-EenKb}/edreiging.IvormtiemanddiegemotiveerdisomonbGevoegdKtoegangtotjenetwerkKofcomputertekrijgen.XzJe moGetvqaststellenwiejevertrouwt omtoegangtotjesysteemtehebbenenwelke bedreigingzeU kunnenvormen.ErzijnverschillendetypGenindringersenhetishandigomhunverschillendekqarakteristiekeningedachtenU tehoudenalsjejesystemengaatbGeveiligen.Z$@^/DevNieu>wsgierige F-DittypGeindringerisvoGornamelijkgenteresseerdinhetuitvindenwatvoGor/typGeU systeemengegevensjehebt.-$@^/DeҁK>waadwilligetD-DittypGeindringeriseropuitomjesystementenvqaltebrengen,=jewebpagina/tebontsierenofjeopeenanderemaniertedwingenomgeldentijdtespGenderenaanhetherstellen/vqanU deschadediehijheeftaangebracht.$@^/DeYGea>v\|anceerde鮹-DittypGeindringerprobeertjesysteemtegebruikenompopulairenberucht/teU worden.qHijkqanjesysteemgebruikenomaandachttevragenvoGorzijnbekwaamheden.$@^/Deg&Concurren>tie!-DittypGeindringerisgenteresseerdinwatvoGorgegevensjeopjesysteem/hebt.CHetEkqaniemandzijndiedenktdatjeietshebtwaarvanhijkanproteren,nancieelof/anderszins.$@^/DeLenerh-DittypGeindringerisgenteresseerdinhet`winkelen'opjesysteemomdedaarbij/verkregenmiddelenvoGoreigendoeleindentegebruiken.oHettypGeerthemomchatofirqservers/teU draaien,pGornoarchiefsitesofzelfsDNSservers.$@^/Haasje-o>ver^-DittypGeindringerisalleengenteresseerdinjesysteemomhettegebruikenom/andere systemenbinnentedringen.YAlsjesysteemvoGorzienisvqanveelverbindingenofeenpGoort/is?naareenaantalinternehosts,zoujedittypGetegenkunnenkomenomteprobGerenjesysteem/teU bGeschadigen.^_2 ~?G2.8Ov>erzichtD7ՁVKwetsb}/aarheid{bGeschrijfthoegoedbeveiligdjecomputerisvqanafeenandernetwerkendemogelijkheid dieźiemandheeftomonbGevoegdźtoegangteverkrijgen.MW*atstaaterophetspelalsiemandinbreektin1jesysteem?NatuurlijkzullendezorgenvqaneendynamischePPP1Zthuisgebruikerverschillenvqandie_RvqaneenbGedrijfdiezijnmachinemethetInternetofeenandergroGotnetwerkheeftverbGonden.HoGeveelStijdzalhetinbeslagnemenomallegegevensdieverlorenzijngegaanteherstellen/opnieuwaantemaken?_NuwattijdinvesterenkqantienkeerzoveeltijdlaterbGesparenalsjedegegevensdieverlorenzijngegaanopnieuwaanmoGetmaken.:KHebjejeback-upstrategiegecontroleerdenjegegevensrecentelijkU geverieerd?#Í2.4Eenb_eveiligingsbeleidontwikkelenMCreerӀeeneenvoudig,algemeenӀbGeleidvoorjesysteemdatjegebruikersgemakkelijkkunnenbGegrijpenӀenvolgen.oHetTvmoGetzoweldegegevensalsdeprivqacyvandegebruikersbGeschermen.oEnkeledingendiejekuntoverwegenomtoGetevoGegenzijn:;wieheefttoegangtothetsysteem(Kanmijnvriendmijnaccountgebruiken?),\wieiserbGevoegdomsoftwareophetsysteemteinstalleren,\wiebGezitwelkegegevens,\herstelnaU eenrampenpassendgebruikvqanhetsysteem.ؼEenU algemeengeaccepteerdbGeveiligingsbeleidU begintU metdezin:ؼ'Datw>atniettoQegestaanis,isverbQoden.Dit bGetekentdat,8 tenzijjeeengebruikertoGegangtoteendiensttoestaat,8 diegebruikergeengebruikmag maken5vqandiediensttotdatjetoGegangtoestaat.LV*erzekerjezelfervqandathetbeleidwerktopjeregulieregebruikersaccount.YCZeggen i"Ach,ikwordgeenwijsuitdatpGermissie-probleem,ikdoehetwelalsroot",kqanleidenU totbGeveiligingslekkenU dieergvoordehandliggendzijn,zelfsdegenendienognietmisbruiktzijn.rfc1244U iseendoGcumentdatbeschrijfthoejejeeigennetwerkU beveiligingbeleidU moetcreren.rfc1281 iseendoGcumentdateenvoGorbeeld vqaneenbGeveiligingsbeleid laatzienmeteengedetalleerdebGeschri-jvingU vqanelkestap.T*ot slotzoujehetCOAST-bGeleidarchiefopftp://c}/oast.cs.purdue.edu/pub/doc/policy kunnenbGekijkenomnaU tegaanhoGeeenbeveiligingsbeleiderinwerkelijkheidU uitziet.#Í2.5Manierenomjesiteteb_eveiligenMDit7doGcumentzalverschillendemanierenbGesprekenwaaropjededingenwaarjehardvoGorhebtgewerktkuntbGeveiligen:]ojelokqalemachine,jegegevens,jegebruikers,jenetwerkenzelfsjereputatie.gW*atzouergebGeurenBmetjereputatiealseenindringerenkelegegevensvqanjegebruikerszouwissen?kNOfjewebsitezouontsieren?Of5hetcollectievepro0jectplanvqanjebGedrijfvoGorhetkomendkwartaalzoupubliceren?Alsjeeennetwerkinstallatieoverweegt,=zijnervelefactorenwaarjerekeningmeemoGethoudenalvorenseenenkelemachineU aanjenetwerktoGetevoGegen.Zelfs,alsjeeenenkeldialupPPPaccounthebtofslechtseenkleinesite, ]houdtditnietindatindringersnietinjouwsystemengenteresseerdzijn.GrotegeavqanceerdesiteszijnnietdeenigedoGelenveelindringerswillenasimpGelwegzoveelmogelijksitesbinnendringen,UongeachthungroGotte. @BBovendienkunnenzeeenbGeveiligingslek/injouwsitegebruikenomtoGegangteverkrijgentotanderesiteswaarmeejebGentverbGonden.Indringers!hebbGenheelveeltijdenkunnenhetgokkenhoGejejesysteemverduisterdhebtvoGorkomendoGorgewoGon)allemogelijkhedenteproberen.+ErzijnookeenaantalredenenwaaromeenindringerinjouwsysteemgenteresseerdU zoukunnenzijn,welkewelaterzullenbGespreken.f_2 ~?G2.8Ov>erzichtD8ՁV2.5.1#!\Bev>eiligingv\|andehostMHetgebiedvqanbGeveiligingwaarbGeheerderszichhetmeestopconcentrereniswellichtdehost-gebaseerde bGeveiliging.DitbhoudtkenmerkendinhetervoGorzorgendatjeeigensysteemveiligisenhethopGendatiedereen{opjenetwerk{hetzelfdedoGet.Goede{wachtwoGordenkiezen,delokqalenetwerkdienstenvqanjehostbGeveiligen,deiaccount-bestandenigoedbijhoudenenprogramma'smetbekendebeveiligingslekkeniverbeteren,zijnonderanderededingendieonderdeverantwoGordelijkheidvqallenvandelokalebGeveiligingsbeheerder.HoGewel:ditabsoluutnoodzakelijkis,-kqanheteenontmoGedigendetaakwordenalsjesysteemgroterwordtdanU eenpaarmachines. 2.5.2#!\Bev>eiligingv\|anhetlokalenet>werkBeveiligingvqanhetnetwerkisnetzobGelangrijkalsbeveiligingvqandelokalehost.BMethonderden,duizendenofDmeercomputersophetzelfdenetwerkDkunjeernietopvertrouwenDdataldezesystemenveiligzijn.$Jeervqan!{verzekerendatalleengeautoriseerdegebruikersjenetwerkkunnengebruiken,TrewallsbGouwen,Teenhogezmatevqanversleutelinggebruikenenzekerwetendatergeen"louche"(dusonveilige)machinesmetjenetwerk verbGondenzijn, vmaaktallemaaldeeluitvqandetakenvqandebGeveiligingsbeheerder vqaneennetwerk.ؼDit_;doGcumentbehandeltenkelevqandetechniekendiewordengebruiktomjesitetebGeveiligenenzaljehopGelijkenkelemanierenlatenzienomtevoGorkomendateenindringertoGegangkrijgttotwatjeprobGeerttebGeschermen. 2.5.3#!\Bev>eiligingdoQoronduidelijkheidEensoGortbeveiligingdiebesprokenmoetwordenis"beveiligingdooronduidelijkheid".>sDitbetekentbijvoor-bGeeldghetverplaatsenvqaneendienstdiebekendebeveiligingskwetsbaarhedengheeftnaareenniet-standaardpGoort?indehoGopdataanvqallershetnietindegatenhebbenenhetdusnietmisbruiken.jNW*eesgerustdatzekunnenvqaststellendatheterisendatzehetzullenmisbruiken.EBeveiligingdoGoronduidelijkheidishelemaalgeenAbGeveiliging.SimpelwegAomdathetfeitdatjeeenkleinesitehebtofnietteveelopvqaltnietinhoudtdateenindringernietgenteresseerdzalzijninwatjehebt.HW*ezullenbGesprekenwatjebGeschermtindevolgendeU paragrafen.#Í2.6Organisatiev@ anditdo_cumentDit!doGcumentisverdeeldineenaantalparagrafen.`kZebGehandelenverscheidenealgemenebGeveiligingskwest-ies.Deneerste,uF3(F*ysiekebGeveiliging),uFbehandeltnhoejejefysiekemachinemoGetbeschermentegengeknoei.Detweede,C=4(LokqalebGeveiliging),C=beschrijfthoejejesysteemmoetbeschermentegengeknoeivqanlokalegebruikers.-Dederde, 5(BeveiligingvqanbGestandenenbestandssystemen), laatzienhoejebestandssyste-menenpGermissiesopbestandenmoetinstellen.<Devolgende,6(W*achtwoGordbeveiligingen-versleuteling),bGespreekthoejeversleutelingkuntgebruikenomjemachineennetwerkbGetertebeveiligen. 7(Beveiligingvqan0dekernel)bGespreektwelkekerneloptiesjemoGetinstellenofjebewustvqanmoetzijnvooreenveiligersysteem.8nI(Beveiligingvqanhetnetwerk)bGeschrijfthoGejejeLinuxsysteembGeterkuntbGeveiligentegennetwerkqaanvallen.^`9k(BeveiligingsvoGorbereidingen)bespreekthoejejemachine(s)moetvoorbereidenvoorje zeon-linebrengt.'HDevolgende, 10(W*attedoGentijdensennaeeninbraak), bGespreektwattedoGenalsjeϙeenaanvqalopjesysteemconstateertofontdektdatditrecentelijkisgebGeurd.In11(Bronnen)wordenenkeleprimairebronnenopgesomdwaarjemeeroverbGeveiligingkuntvinden.|IndeVenAparagraaf13(V*eelvgesteldevragen)wordenenkeleveelgesteldevragenbGeantwoordventotslotvolgteenconclusiein14(Conclusie).ؼDeU tweebGelangrijkstepuntendiejejemoGetrealiserenalsjeditdocumentleest,zijn: u_2 ~?G3.8F ysiek>ebQeveiligingaq9ՁVW*eesWjebGewustvqanjesysteem.w8Controleersysteemlogszoals/var/log/messages,Whoudeenoogjeop jeU systeemenHoud jesysteemup-to-datedoGorjeervqanteverzekeren datjedemeestrecentesoftwareversieshebtgenstalleerd:enverbGeteringenhebtaangebrachtbijbGeveiligingswaarschuwingen.hDitgewoGonwegdoGenzalU helpGenomjesysteemmerkbaarveiligertemaken.(3F(ysiekceG\bpeveiliging:Dej*eerstelaagvqanbGeveiligingwaarjerekeningmeemoGethoudenisdefysiekebGeveiligingvqanjecomputer-systemen.Wiej=heeftdirectefysieketoGegangtotjemachine?ZoudenzedatoGokmoetenhebben?KunjejemachineU bGeschermentegenhungeknoGei?qZoujedatookmoetendoen?ؼHoGeveelU fysiekebGeveiligingjenoGdighebtopjesysteemisergafhankelijkvqanjesituatieen/ofbudget.AlsjeeenthuisgebruikerbGent,*zuljewaarschijnlijknietveelnoGdighebben(alhoeweljemisschienjemachine wilt`bGeschermentegenhetgeknoeivqankinderenofhinderlijkefamilieleden).D@Alsjeineenlaboratoriumbent,zul3jeaanzienlijkmeernoGdighebben,:maargebruikersmoetenwelhunwerkkunnendoGenophunmachines.V*eeloSvqandevolgendeparagrafenbiedenuitkomst.AlsjeineenkqantoGorbent,ukunjewelofnietjemachinebGeveiligen}nakqantoGortijdofalsjewegbGent.BijsommigebGedrijvenleidthetonbGeveiligdachterlatenvqanjecomputerU totontslag.ؼV*oGorJ*dehandliggendefysiekebeveiligingsmethodenalsslotenopdeuren,kqabels,afgeslotenJ*kqastenenvideobe-wakingU zijnallemaalgoGedeideen,maarvqallenbuitendestrekkingvanditdoGcument.q:)#Í3.1ComputerslotenMV*eelmoGdernePC-kqastenbiedeneenvoorzieningomzepslottedoen".Gewoonlijkzalditeensocketaande5voGorkqantvqandekastzijn,;waarmeejemeteenbijgeleverdsleuteltjedecomputeropslotkuntzettenofvqanhetslotkunthalen.JKastslotenkunnenhelpGenvoGorkomendatiemandjePCjsteeltofdekqastopGentenjehardwarerechtstreeksmanipuleert/steelt.TKSomskunnenzeoGokvoGorkomendatiemandjecomputeropnieuwopstartU vqanafz'neigenoppyofanderehardware.DezeLkqastslotendoGenverschillendeLdingenalnaargelangdeondersteuninginhetmoederbordendewijzewaarop6dekqastisgemaakt.1OpveelPC'sishetzogemaaktdatjedekqastmoGetopenbreken6omhemopenteEkrijgen.COpenkeleanderelatenzejegeennieuwetoGetsenbordenEofmuizenaansluiten.CRaadpleegdevoGorschriftenvqanjemoederbordofkqastvoormeerinformatie. Ditkqansomseenergbruikbarevoorzieningzijn,4ondanks xdatdeslotengewoGonlijkvqanerglagekwaliteitzijnenmakkelijkkunnenwordengesloGoptdooraanvqallersU metslotenmakersgereedschap.Sommige@machines(voGornamelijkSP*ARC'senMac's)hebbGeneenoogaandeachterkqant@waarjeeenkqabGeldoGorokunthalen,_zodataanvqallersdekabGelmoetendoorknippenofdekqastmoetenslopenomerintekunnenkomen.AFEenrhangslotofeencombinatiesloterdoGoriseenafschrikwekkendmiddelvoGoriemanddiejemachinewilU stelen.#Í3.2Beveiligingv@ andeBIOSMDe]]BIOS]ishetlaagsteniveauvqansoftwaredatjex86-gebaseerdehardwarecongureertofmanipuleert.LILO#en#andereLinuxbGootmethodes#benaderendeBIOS#omvqasttestellenhoejeLinuxmachineopgestartmoGetworden.\mAnderehardwarewaarLinuxopdraaitheeftvergelijkbaresoftware(OpGenFirmwareopMac'sennieuweSun's,PSunbGootPROM,enz...).ZJekuntjeBIOSgebruikenomtevoGorkomendataanvqallersjemachineU opnieuwopstartenenjeLinuxsysteemmanipuleren. Ѣ_2 ~?G3.8F ysiek>ebQeveiliging\10ՁVIndeBIOSvqanveelPC'skunjeeenbGootwachtwoordinstellen.5 DitverschaftnietzoheelveelbGeveiliging(de BIOSvkqanvwordengeresetofverwijderdalsiemandindekqastkankomen),(maarhetkaneengoGedafschrik-wekkendmiddelzijn(d.w.z._hetkosttijdenlaatspGorenvqangeknoeina)._OpdezelfdewijzekqanopS/Linux(LinuxFtvoGorSP*ARC(tm)proGcessormachines)jeEEPROMF6wordeningesteldomeenbGoot-wachtwoGordtevereisen.qDitU kqanvertragendwerkenvoGoraanvqallers.ؼV*eelx86BIOS'senstaanjeoGoktoeomdiverseanderegoedebeveiligingsinstellingentespeciceren.4Raad-pleegsjeBIOSshandleidingofbGekijkhetdevolgendekeeralsjeopstart.&qSommigeBIOS'senstaanbijvoGorbeeldhet SopstartenvqanafoppydrivesniettoGeensommigenvereisenwachtwoGordenomtoegangtekrijgentotenkeleU BIOSvoGorzieningen.L}/et op:xAlsتjeeenservermachinehebtenjestelteenbGootتwachtwoordتin,zaljemachinenietonbGeheerdopstarten./Houd7ingedachten7datjeingevqalvaneenstroGomstoringmoetkomenopdagenomhetwachtwoordinU tetoGetsen.q;(#Í3.3Beveiligingv@ andeBo_otLoaderMInŤdeverschillendeŤLinuxbGootloaderskqanookeenwachtwoGordingesteldworden. LILOEheeftbijvoGor-bGeeldCpasswordenrestrictedinstellingen;;UpasswordvereisteenwachtwoGordbijhetopstarten,LterwijlrestrictedħalleeneenwachtwoGordħbijhetopstartenvereistalsjeoptiesspeciceert(zoalssingle)bijdeLILOU prompt.UitU delilo.confmanpagina: =qL ectt0900password=password["FTheNper-imageoption`password=...'(seebelow)appliestoallimages.restricted["FTheNper-imageoption`restricted'(seebelow)appliestoallimages.:$password=password["FProtectNtheimagebyapassword.:$restricted["FANpasswordisonlyrequiredtoboottheimageif["FparametersNarespecified ronthecommandline["F(e.g.Nsingle).ؼHoudingedachtendatwanneerjealdezewachtwoGordeninstelt,"jezeookmoetonthouden.\z:)QOnthoudook datdezewachtwoGordendevqastbeslotenaanvqallerlouterzullenvertragen.=ZekunnennietvoGorkomendatiemandebQeveiliging\11ՁV3.4xlo_ckenvlockMAls;hjeafentoGevqanjemachineafdwaalt,tishetwelaardigdatjedemogelijkheidhebtomjeconsolete "vergrendelen"zoGdat$niemandjewerkkqanverknoGeienofbekijken.4T*wee$programma'sdiedatdoenzijnxlockU envlock.ؼxlockiseenXbGeeldschermvergrendeling./HetzoubijelkeLinuxdistributiemoGetenzittendieXondersteunt.BekijkhiervoGordemanpaginavoGormeeropties,maarinhetalgemeenkunjexlockdraaienvqanafelkextermopU jeconsoleenhetzalhetbGeeldschermvergrendelenenomeenwachtwoGordvragenomteontgrendelen.vlockWiseensimpGelkleinprogrammawaarmeejeenkeleofallevirtueleconsolesopjeLinuxbGoxkuntvergrendelen.Je8kuntalleendegenewaaropjeaanhetwerkbGentvergrendelen,"~ofallemaal.Alsjeermaarnafsluit,(kunnenanderenbinnenkomenendeconsolegebruiken;05zekunnenalleennietjouwvirtueleconsole}gebruikentotdatjehemontgrendelt.vlockwordtgeleverdbijRedhatLinux,maardewegdiejijmoGetU bewandelenomzovertekomenkqananderszijn.Natuurlijk"zalhetvergrendelenvqanjeconsoleiemandervanweerhoudenommetjewerkteknoGeien,maarhetzalzenietbGelettenomjemachineopnieuwoptestartenofanderszinsjewerkteverstoren.8HetweerhoudtzeoGok2nietomjemachinetebenaderenvqanafeenanderemachineophetnetwerkenproblementeveroGorzaken.MaarbGelangrijker,HhetweerhoudtiemandnietomhetXWindowsysteemgeheelteverlatenennaareennormale}virtueleloginprompttegaanofnaardevirtueleconsolewaarvqanX11isopgestartenhetopnon-actief>tezettenomzoGdoende>jouwprivilegesteverkrijgen.jOmdezeredenzoujemoGetenoverwegenomhetalleenU incombinatiemetxdmtegebruiken."|3.5Fysiekeb_eveiligingsgev@ arenopsp_orenMHet8eerstewaarjealtijdopmoGetlettenisofjemachineopnieuwisopgestart.gOmdatLinuxeenrobuustenstabielѨbGesturingssysteemis,zijndeenigekerendathetopnieuwopgestartmoGetworden,dekerendatjijChetbuiten2gebruiksteltvoGorupgradesvqanhetbesturingssysteem,9wisselingvqanhardwareofietsdergelijks.fAlsjemachineopnieuwisopgestartbuitenjouwmedeweten, kqandateentekenzijndateenindringerjesysteemingevqaarbrengt.V*eelvandemanierenwaaropjemachineingevqaarkanwordengebracht,5vereisendatdeindringerU jemachineopnieuwopstartofhemuitschakelt.ControleerhoptekenenvqangeknoGeimetdekastofdeomgevingvandecomputer.OHoGewelveelindringershunspGoren5indelogbestandenverwijderen,;isheteengoedideeomzetecontrolerenenenigediscrepantieoptemerken.HetXisoGokeengoedideeomloggegevensopeenveiligeplaatsopteslaan,&bijvoGorbeeldXopeentoGegewijdelogu serveropjegoGedbeschermdenetwerk.CAlseenmachineeenmaaltemakenheeftgehadmeteenaanvqal,zijnU loggegevensvqanweinignutmeer,omdatzehoGogstwaarschijnlijkoGokzijnaangepastdoordeindringer.Desyslogdaemonkqanzowordeningestelddathijloggegevensautomatischnaareencentralesyslogserverstuurt,maarditwordtkenmerkendongecoGdeerdgedaan,zodateenindringerdemogelijkheidheeftomdegegevenstebGekijkenterwijlzewordenverzonden.E8DitkqaninformatieoverjenetwerkbloGotgeven,Wwaarvqanhet“nietdebGedoeling“isdathetopGenbaarwordt.@ErzijnsyslogdaemonsbGeschikbaardiedegegevenscoGderenterwijlU zewordenverzonden.W*ees? jeoGokbewustdathetnamakenvqansyslogberichten? gemakkelijkismeteenspGeciaalprogrammadatreedsgepubliceerdis.fSyslogaccepteertzelfsnetlogentriesdiehetdoGenvoGorkomenalsofzevqandelokalehostU afkomstigzijn,zonderenigeaanwijzingoverhunwareherkomst.EnkeleU dingendiejemoGetcontrolereninjelogs:쁍korteU ofonvolledigelogs7logsU dievreemdetijdstippGenbevqatten _2 ~?G4.8Lok\|alebQev>eiliging`=12ՁVlogsU metverkeerdeU pGermissiesofeigendomsrechtregistratiesU vqanhetopnieuwopstartenvanhetsysteemofdienstenontbrekendeU logssuU entriesofloginsvqanafvreemdeplaatsenؼW*eU zullensysteemloggegevens9.4(later)indezeHOWTObGespreken.(4LokaleG\bpevceiliging:HetvolgendewaarwenaargaankijkenisdebGeveiligingvqanjesysteemtegenaanvqallenvanlokalegebruikers. ZeidenU wezo0juistlokaleogebruikers?qJa!ؼT*oGegangverkrijgentoteenlokqaalgebruikersaccountiseenvqandeeerstedingendieindringersopeensysteemprobGerenSophunwegnaarhetmisbruikenvqanhetroGotaccount.pMeteenlakselokqalebGeveiligingkunnenzehunnormalegebruikerstoGegangpgraden"naareenroottoegangdoorgebruiktemakenvqaneenverscheiden-heid،aanbugsenminnetjesingesteldelokqalediensten.GAlsjeervoGorzorgtdatjelokalebGeveiligingwaterdichtis,U zaldeindringernogeenhindernismoGetennemen.LokqalegebruikerskunnenoGokeenhoopschadeaanrichtenopjesysteem,ɒzelfs(juist)alszeinderdaaddiegenezijndiezezeggendatzezijn.HetverstrekkenvqanaccountsaanmensendiejenietkentofvqanwiejegeenachtergrondinformatieU hebt,iseenergslechtU idee.#Í4.1NieuweaccountsaanmakenMJe{moGetervqanovertuigd{zijndatjegebruikersaccounts{verschaftmetslechtsdeminimalevereistenvoGordetaakkEdiezemoGetendoen.Alsjejezoon(10jaar)eenaccountverschaft,pzuljewellichtwillendathijalleentoGegangheefttoteentekstverwerkeroftekenprogramma,maargeengegevenskqanverwijderendienietvqanhemU zijn.EnkeleU goGedevuistregelsalsjeanderemensenrechtmatigetoGegangtotjeLinux-machinetoGestaat:ؼGeefU zehetminimaleaantalprivilegesdatzenoGdighebben.W*eetU wanneer/waarvqandaanzeinloggenofwaarvqandaanzezoudenmoGeteninloggen.V*erwijderU nietgebruikteaccounts.HetgebruikvqanhetzelfdegebruikersIDpopallecomputersennetwerkenisaanteradenomhet onderhoudvqanaccountstevereenvoudigen./OokstaatheteeneenvoudigereanalysevqanloggegevenstoGe.HetOaanmakenvqangroGeps-gebruikerID'szouabsoluutverbGodenOmoetenzijn. GebruikersaccountszorgenU oGokvoorverantwoordelijkheidU enditisbijgroepsaccountsnietmogelijk.V*eelPlokqalegebruikersaccountsPdiegebruiktwordenbijeenaanvqalzijningeenmaandenofjarenmeergebruikt.OmdatU niemandzegebruikt,zorgenzevoGoreenideaalaanvqalsvoGertuig. Ǡ_2 ~?G4.8Lok\|alebQev>eiliging`=13ՁV4.2Ro_otbeveiligingMHetvmeestgewildeaccountopjemachineishetroGot(superuser)account.pDitaccountheeftzeggenschap over?degehelemachine,Cwat?oGokzeggenschapkqaninhoudenoveranderemachinesophetnetwerk.jXOnthouddat jehetroGotaccountalleenmoetgebruikenvoGorhelekortespGecieketakenendathetmeestaluitgevoGerdmoGet`wordenalseennormalegebruiker.;ZelfskleinefoutjesalsjeingelogdbGentalsroGotkunnenproblemenveroGorzaken.qHoeU korterjeingelogdbGentmetroGotprivileges,hoeveiligerhetis.ؼEnkeleU trucksomtevoGorkomendatjejecomputeroverhoGophaaltalsroot:ؼAlsPjebGezigbentmeteencomplexcommando,probeerhetdaneerstopeenniet-destructievemanier...qvoGoralU commando'sdiewildcardsgebruiken:qalsjebijvoGorbeeldU "rm?foo*.bar"wiltU doGen,doedaneerst"ls?foo*.bar"omzekertewetendatjedebGestandenverwijdertdiejewildeverwijderen.{Hetgebruikvqanechoin plaatsU vqandestructievecommando'swerktsomsoGok.V*oGorziejegebruikersvqaneenstandaardaliasvoGorhetrmcommandoomeenbevestigingtevragenvoGordatU zebestandenverwijderen.W*ordtalleenroGotomenkelespecieketakenuittevoGeren.@%Alsjejezelferopbetraptdatjeprobeertuit)tevindenhoGeietswerkt,,gadaneerstterugnaardegewonegebruiker-shell,,totdatjezekerweetwatU eralsroGotgedaanmoetworden.Het*commandpathvoGorderootgebruikerisergbelangrijk.Hetcommandpath(datwilzeggendePATH.omgevingsvqariabGele).speciceertdedirectory'swaarindeshellzoektnaarprogramma's.dProbeerhetcommandpathvoGorderootgebruikerzoveelmogelijktebGeperkenenzetno}/oit eeen.(hetgeenbGetekent1"dehuidigedirectory")injeP*ATH.1Zorgerbovendien1voor1datjenooitdirectory'smetschrijfpGermissie#injezoekpadhebt,Vomdatditaanvqallerstoestaatombestaandebinary'saantepassenof nieuwebinary'saanjezoGekpadtoetevoegen,hetgeenhentoestaatalsrootteopererendevolgendekeerU datjedatcommandouitvoGert.GebruikjEnoGoitderlogin/rsh/rexectools(genaamdder-utility's)alsroot.ZezijnonderhevigaanvelesoGortenaanvqallenenzijnronduitgevaarlijkalsjezeuitvoGertalsroot.9Maaknooiteen.rhostsbestandaanU voGorroot.Hetg/etc/securettybGestandbevqateenlijstmetterminalswaaroprootinkqanloggen.Standaard(onder>RedHatLinux)isditingesteldopalleendelokqalevirtueleconsoles(vty's).3W*eesergvoGorzichtigmethettoGevoegenvqanietsandersaanditbGestand. JezouindirectopjenormalegebruikersaccountinmoGetenkunnenloggenenvervolgenssualsdatnodigis(hopelijkvia6.4?(ssh)ofeenanderversleuteldU kqanaal),zoGdatergeenredeniswaaromjedirectalsroGotinzoumoetenloggen.W*eesAaltijdlangzaamenweloverwogenAalsjebGezigbentalsroot.[JeactieskunneneenheleboeldingenbGenvloeden.qDenkU navoGordatjetypt!ؼAlshetabsoluutnoGodzakelijkisomiemand(hopGelijkergvertrouwd)roGottoegangtotjemachinetoGetestaan,zijnereenaantaltoGolsdiekunnenhelpen. sudostaatgebruikerstoehunwachtwoGordtegebruikenomUtoGegangtekrijgentoteenbeperktesetcommando'salsroot.VZodoendekunje,bijvoorbeeld,eenUgebruikerinmstaatstellenomverwijderbaremediauittewerpGenentemountenopjeLinuxbGox,Rmaarverdergeenandere[roGotprivilegestehebben.sudohoudtookeenlogbijvqanallegeslaagdeenmisluktesudopogingen,zoGdatjeuitkuntzoekenwiewelkcommandogebruikteomwattedoGen.0#OmdezeredenwerktsudozelfsgoGedoppOplaatsenwaareenaantalmensenroGottoeganghebben,womdathetjehelptomaangebrachtepOwijzigingenbijU tehouden._2 ~?G5.8Bev>eiligingv\|anbQestandenenbestandssystemenZ14ՁVHoGewel6sudogebruiktkqanwordenombGepaaldegebruikersbGepaaldeprivilegesvoGorbepaaldetakentegeven, heeftT6heteenaantaltekortkomingen.q2HetmoGetalleengebruiktwordenvoGoreenbeperkttakenpakket,TezoalseenserveropnieuwopstartenofnieuwegebruikerstoGevoegen.\}Elkprogrammawaarbijhetuitwijkennaareenwshellmogelijkis,zalroGottoegangverschaenwaaneengebruikerdiehetaanroeptviasudo.LDitomvqatdemeestetekstverwerkersbijvoGorbeeld.@mOokeenprogrammazoonschadelijkals/bin/catkqanwordengebruiktombGestandenteoverschrijven,#waarmeehetmogelijkzoukunnenwordenomroottemisbruiken.\Beschouwsudo޹alseenmiddelvoGorhettoekennenvqanverantwoGordelijkhedenenverwachtnietdathetderoGotgebruikerkqanU vervangenentevensveiligis.(5BevceiligingG\vanbpestandenenbestandssystemen:EenߑpaarminutenvqanvoGorbereidingߑenplanningvoGoraf,.voordatߑjejesystemenonlinezet,.kqanhelpGenze(enU degegevensdieeropopgeslagenzijn)tebGeschermen.ErzounoGoiteenredenmogenzijnomtoetestaandatSUID/SGIDprogramma'suitgevoerdmogenwordenvqanuitdehomedirectory'svqangebruikers.Gebruikdenosuidoptiein/etc/fstabvoGorpartitiesVdiebGeschrijfbaarzijndooranderendanroot.,Jewiltmisschienooknodevennoexectoepassenopcdehomepartitiesvqangebruikers,evenalscop/var,dushetuitvoGerenvqanprogramma'sisverbGoden,netalshetcrerenvqancharacterofbloGckdevices,׶wattrouwenstoGchnoGoitnoodzakelijkzoumoetenzijn.jAlsjebGestandssystemenexporteertmiddelsNFS,leterdanopdatje/etc/exportsinsteltmetdemeestbGeperktetoegangmogelijk.xDithoudtindatjegeengebruikmoetmakenvqanwildcards,geenroGotU schrijfpermissietoestaatenwaarmogelijkread-onlyexporteert.SteldebGestandsaanmaakumaskvqanjegebruikerszobeperktmogelijkin.MpZie5.1(umaskinstellingen).AlsjegebruikmaaktvqaneennetwerkbGestandssysteemzoalsNFSombestandssystementemounten,letSerdanopdatje/etc/exportsinsteltmetgeschiktebGeperkingen.qKenmerkendSishetgebruikvqan'noGdev',U `nosuid'enmisschien`noexec'wenselijk.StellimieteninvoGorhetbestandssysteeminplaatsvqanhettoestaanvqanunlimited, watstandaardis.JeCkuntdelimietenpGergebruikerbGeherendoorgebruiktemakenvqanderesource-limitsP*AMCmoduleenU /etc/pam.d/limits.conf.qDelimietenvoGordegroepuserskunnenerbijvoorbeeldzouitzien:n=/@usershard rcore80 =/@usershard rnproc+50/@usershard rrss5000Ditjzegt:verbiedhetcrerenvqancorebGestanden,=beperkjhetaantalproGcessentot50enbeperkhet geheugengebruikU tot5MpGergebruiker.DeԼ/var/log/wtmpen/var/run/utmpbGestandenbevqattendeloginrecordsvanallegebruikersopjesysteem.+Hun*zuiverheidmoGetbehoudenblijven,`omdatzegebruiktkunnenwordenomtebGepalenwanneermenwaarvqandaaneengebruiker(ofeenmogelijkeindringer)jesysteemisbinnengekomen.DezePbGestandenmoetenook644permissieshebben,eiligingv\|anbQestandenenbestandssystemenZ15ՁVSUIDenSGIDbGestandenopjesysteemvormeneenmogelijkbeveiligingsrisicoenzullennauwgezetin degatengehoudenmoGetenworden.UOmdatdezeprogramma'sspecialeprivilegestoekennenaandege-bruikerdiezeuitvoGert,ishetnoodzakelijkomjeervqanteverzekerendatergeenonveiligeprogramma'sgenstalleerdgzijn.GEenfavorietgtrucjevqancrackersgisomSUID-roGotprogramma'stemisbruikenendaneenSUIDprogrammaachtertelatenalseenachterdeuromdevolgendekeerbinnentekomen,_zelfsalsU hetoGorspronkelijkeU gatisgedicht.=ZoGekHalleSUID/SGID4programma'sopjesysteemenhoudbijwatzezijn, zodatjejebewustbentvqanenigeveranderingendiekunnenduidenopeenmogelijkeindringer.CGebruikhetvolgendecommandoomU tezoGekennaaralleSUID/SGIDprogramma'sopjesysteem:/root# rfindN/-typef\(-perm-04000-o-perm-02000\)DeSDebiandistributievoGertelkenachteentaakuitomtebGepalenwelkeSUID*programma'serbGestaan.HetevergelijkthetdanmetdeuitvoGervqandevorigenacht._Jekuntkijkenin/var/log/setuid*voGordezeU log.Je^kuntdeSUID5ofSGIDpGermissiesopeenverdacht^programmaverwijderenmetchmodenzedanterugzettenU alsjedenktdatdatabsoluutnoGdigis.BestandenmetschrijfpGermissievoGoriedereen,inhetbijzondersysteembGestanden,kunneneenbeveilig-ingslek(zijnalseencracker(toGegangkrijgttotjesysteemenzeaanpast.bDirectory'smetschrijftoegangvoGorViedereenzijnbovendienVgevqaarlijk,$omdatzeeencrackerVtoestaanomnaarwensbestandentoetevoGegenofteverwijderen.SOmallebGestandenmetschrijfpGermissievoGoriedereenopjesysteemtevinden,U gebruikjehetvolgendecommando:/root#Nfind/-perm-2!-typel-lsenverzekerjeervqandatjeweetwaaromdezebGestandenschrijfpGermissiehebben.Bijnormaalge-bruik5zullenverscheidene5bGestandenschrijfpermissievooriedereenhebben,inclusiefenkelevqan/devensymbGolischeIlinks,Sdusmiddels! X-type?lwordendezenietmeegenomendoorhetvoorgaandefindcommando.BestandendieniemandtoGebehorenkunnenoGokeenindicatiezijndateenindringerjesysteemisbinnengedrongen.rJeUkuntbGestandenopjesysteemdiegeeneigenaarhebbenoftotgeenenkelegroepbGehoren,U vindenmethetcommando:/root#Nfind/-nouser-o-nogroup-printHetLjzoGekennaar.rhostsbestandenzouonderdeeluitmoetenmakenvqanjevastesysteembGeheertaken,omdatdezebGestandenniettoegestaanzoudenmogenzijnopjesysteem.dnOnthoud,XeencrackerheeftslechtsUnonveiligUaccountnoGdigommogelijktoegangtotjegehelenetwerkteverkrijgen.RJekuntalleU .rhostsbGestandenopjesysteemvindenmethetvolgendecommando:=/root#Nfind/home-name.rhosts-printT*ota:slot,dAvoGordatjedepermissiesopwelkea:systeembestandena:danookgaatwijzigen,dAmoetjejeervqanverzekerendatjebGegrijptwatjeaanhetdoenbent.V*erandernooitdepermissiesvqaneenbestand,omdatǾhetdemakkelijkstemanierlijktomdingenwerkendtekrijgen.YBepaalaltijdwaaromhetbGestandU diepermissieheeftalvorenshetteveranderen.7͠_2 ~?G5.8Bev>eiligingv\|anbQestandenenbestandssystemenZ16ՁV5.1UmaskinstellingenMHetumaskcommandokqangebruiktwordenomdestandaardmanierwaaropbGestandenopjesysteemaange- maaktIVwordentebGepalen.N"HetisdeachtsteaanvullingvqandegewenstebGestandsmodus.N"AlsIVbestandenwordenaangemaaktzondertelettenophunpGermissie-instellingen,pkqandegebruikeronbGewustlees-ofschri-jfpGermissiewgevenaaniemanddiedezepermissienietmaghebben.@Kenmerkendeumaskinstellingenbevqatten022,=0278en077(welke8demeestbGeperkte8is).gNormaalgesprokenwordtumaskingesteldin/etc/profile,zoGdathhetvqantoepassingisopallegebruikersophetsysteem..CHetbestandsaanmaak-maskkqanwordenberek-enddoGordegewenstewaardeaftetrekkenvqan777.;pMetanderewoGorden,_eenumaskvqan777heefttotgevolgdat-vnieuwaangemaaktebGestandenvoGorniemandlees-,5eschrijf-ofuitvoGerpermissies-vbevqatten.dHEenmaskvan666E heefttotgevolgdatnieuwaangemaaktebGestandeneenmaskvqan111hebben.l#JekuntbijvoGorbeeldE eenregelU hebbGendieerzouitziet:卑#NSettheuser'sdefaultumask ="rumaskN033ؼLetveropdatjedeumaskvqanroGot077maakt,~watlees-,schrijfenuitvoGerpermissievvoorvanderegebruikersuitschakelt,tenzijhetexplicietisgewijzigdmetchmod.(Inditgevqalzullennieuwaangemaaktedirectory's744pGermissieshebben,verkregendoor033aftetrekkenvqan777.F NieuwaangemaaktebGestandendiegebruikmakenU vqande033umask,zullenpGermissiesvan644hebbGen.ؼAlsijeRedHatgebruiktenjehoudtaanhungebruiker-engroGep-IDKaanmaakschema(UserPrivqateGroups),ishetalleennoGodzakelijkom002voGoreenumasktegebruiken.\DitkomtdoGorhetfeitdatdestandaardinstellingU ngebruikerpGergroepis.#Í5.2Bestandsp_ermissiesHetisbGelangrijkomjeervqanteverzekerendatjesysteembestandennietopenstaanvooraanpassingendoorgebruikersU engroGepenU diezulksysteemonderhoudnietzoudenmoGetendoen.ؼUnix`scheidttoGegangsbeheer`opbGestandenendirectory'svolgensdriekenmerken:Xeigenaar,groGepenanderen.ErU isaltijdexactneigenaar,eenwillekeurigaantalledenvqandegroGepenalleanderen.EenU korteuitlegvqanUnixpGermissies:EigendomS-W*elkegebruiker(s)engroGep(en)heeft/hebbenhetbeheeroverSdepermissie-instellingenvqandenoGdeU enparentvqandenode.PermissiesBn-BitsdiekunnenwordeningesteldofopnieuwingesteldkunnenwordenombGepaaldesoortentoGegang0totzetekunnenverlenen.kPermissies0voor0directory'skunneneenanderebetekenishebbendandezelfdeU setpGermissiesvoorbestanden.Lezen:ؼDeU mogelijkheidhebbGenomdeinhoudvqaneenbestandtekunnenlezenDeU mogelijkheidhebbGenomeendirectorytekunnenlezenSc>hrijven:DeU mogelijkheidhebbGenomeenbestandtekunnentoevoegenofwijzigenDeU mogelijkheidhebbGenombestandenineendirectorytekunnenverwijderenofverplaatsenUitv>oQeren:H?_2 ~?G5.8Bev>eiligingv\|anbQestandenenbestandssystemenZ17ՁVDeU mogelijkheidhebbGenomeenbinairprogrammaofshellscriptuittekunnenvoerenDeU mogelijkheidhebbGenomineendirectorytekunnenzoeken,gecombineerdmetleestoGegangؼSa>veT extattribuut: (VoQordirectory's)HetH"stickybit"heeftoGokeenanderebetekenisalshettoegepastwordtopdirectory'sdanwanneer hetZtoGegepastwordtopbestanden.>.Alshet"stickybit"wordtingesteldopeendirectory*,hmageengebruikerstalleenbGestandenverwijderendiezijneigendomzijnofwaarvoGorhemexplicietschrijfpGermissieisqverleend, azelfswanneerhijschrijfpGermissieheeftvoGordedirectory*.QDitisontworpGenvoGordirectory'sals;\/tmp,@dieschrijfpGermissievoGoriedereenhebben,@maarwaarhetmisschiennietwenselijkisdatelkegebruiker{naarwensbGestandenkqanverwijderen.(Het"stickybitstezienalseentineenlangedirectoryopsomming.SUIDattribuut: (V oQorbestanden)Dit_bGeschrijftset-uder-idpermissiesophetbestand.Alsdeset-user-ID_accessmodeisingesteldindeeigendomsrechtenienhetbGestandisexecutable,{zullenprocessendiehetuitvoerentoegangverkrijgentot@systeembronnen,DgebaseerdopdegebruikerdieeigenaarvqanhetbGestandis,DintegenstellingtotdegebruikerAdiehetproGcesheeftaangemaakt._6Ditisdeoorzaakvqandevele"bueroverow"misbruiken.SGIDattribuut: (V oQorbestanden)Indien:ingesteldindegroGeppermissies,@beheert:dezebitde"set-group-ID"statusvqaneenbGestand.hDitgaatjopdezelfdemanieralsSUID,bGehalvedathetnuopdegroGepbetrekkingheeft.THetbestandmoetexecutableU zijnvoGordatditenigeectkqanhebben.SGIDattribuut: (V oQordirectory's)AlsjehetSGIDbitopeendirectoryinstelt(metchmod?g+sdirectoryV),ChebbGenbestandendieindieU directoryaangemaaktzijnhungroGepingesteldopdegroepvqandedirectory*.JijU -DeeigenaarvqanhetbGestandؼGroGepU -DegroepwaarjetoebehoortIedereenU -IedereenophetsysteemdienietdeeigenaarisengeendeeluitmaaktvqandegroGepBestandsv>oQorbeeld: =:$-rw-r--r-- r1NkevinusersPN.114Aug281997.zlogin:$1eNbit-directory?g(nee)>r2eNbit-lezendooreigenaar?8(ja,doorkevin)C3eNbit-schrijvendooreigenaar?%p(ja,doorkevin)H=4eNbit-uitvoerendooreigenaar?%p(nee)L\5eNbit-lezendoorgroep?Fے(ja,doorusers)Q6eNbit-schrijvendoorgroep?3Z(nee)Vh7eNbit-uitvoerendoorgroep?3Z(nee)["F8eNbit-lezendooriedereen?8(ja,dooriedereen)_۔9eNbit-schrijvendooriedereen?%p(nee)d10eNbit-uitvoerendooriedereen?!"(nee)DevolgenderegelszijnvoGorbeeldenvqandeminimalesetvanpGermissiesdievereistzijnvoGordebeschreven toGegang.DMisschienwiljemeerpermissiesgevendanhetgeenhieropgesomdis,maarditzoumoetenbeschri-jvenU watdezeminimalepGermissiesopbestandendoen:W*_2 ~?G5.8Bev>eiligingv\|anbQestandenenbestandssystemenZ18ՁV =-r--------NStaatleestoegangophetbestandtoeaandeeigenaar.--w-------NStaathetdeeigenaartoeomhetbestandaantepassenofteL\verwijderen.(MerkNopdatiedereenmetschrijfpermissieopdeL\directoryNwaarhetbestandzichinbevindt,hetkanoverschrijvenL\enNdusverwijderen.)---x------NDeeigenaarkanditprogrammauitvoeren,maargeenshellscriptsL\waarvoorNooknogleestoegangnodigis.---s------NUitvoerenismogelijkmeteeneffectieveUser-ID=naareigenaar.--------s-NUitvoerenismogelijkmeteeneffectieveGroup-ID=naargroep.-rw------TNGeenupdatevan"lastmodifiedtime".WordtmeestalgebruiktvoorL\swapNbestanden.---t------NGeeneffect.(voorheenstickybit)ؼDirectoryv>oQorbeeld:塍:$drwxr-xr-x r3NkevinusersY512Sep1913:47.public_html/:$1eNbit-directory?q_P(ja,hetbevatveelbestanden)>r2eNbit-lezendooreigenaar?B"D(ja,doorkevin)C3eNbit-schrijvendooreigenaar?/= (ja,doorkevin)H=4eNbit-uitvoerendooreigenaar?/= (ja,doorkevin)L\5eNbit-lezendoorgroep?PN.(ja,doorusers)Q6eNbit-schrijvendoorgroep?=h(nee)Vh7eNbit-uitvoerendoorgroep?=h(ja,doorusers)["F8eNbit-lezendooriedereen?B"D(ja,dooriedereen)_۔9eNbit-schrijvendooriedereen?/= (nee)d10eNbit-uitvoerendooriedereen?*(ja,dooriedereeen)DevolgenderegelszijnvoGorbeeldenvqandeminimalesetvanpGermissiesdievereistzijnvoGordebeschreven toGegang.N)Misschienwiljemeerpermissiesgevendathetgeenhieropgesomdis,Nmaarditzoumoetenbeschri-jvenU watdezeminimalepGermissiesopdirectory'sdoen: =dr--------NDeinhoudkanopgesomdworden,maarbestandsattributenkunnennietL\gelezenNworden.d--x------NDedirectoryistoegankelijkenkaninopdrachtenwordenverwerktL\waarinNhetdirectorypadwordtgebruikt.dr-x------NBestandsattributenkunnengelezenwordendoordeeigenaard-wx------NBestandenkunnenwordenaangemaakt/verwijderd,zelfsalsdeL\directoryNnietdehuidigeis.d------x-tNVoorkomtdatbestandenwordenverwijderddooranderenmetL\schrijftoegang.NWordtgebruiktbij/tmp.d---s--s--NGeeneffect.Systeemconguratie;bGestanden(meestalin/etc)zijnmeestalmodus640(-rw-r-)eneigendomvqanroot. AfhankelijkvqandebGeveiligingsvereistenvqanjesitekunjeditaanpassen.LLaatnoGoitenigesysteembGestandenbGeschrijfbaarzijnvoGoreengroepofiedereen.HSommigeconguratiebestanden,waaronder/etc/shadow,zouden;alleenleesbaarvoGorrootmoetenzijnendirectory'sin/etczoudenopz'nminstniettoegankelijkvoGorU anderenmoetenzijn.SUIDshellscriptse_2 ~?G5.8Bev>eiligingv\|anbQestandenenbestandssystemenZ19ՁVSUIDAlshellAscriptsvormeneenserieusbGeveiligingsrisicoenomdezeredenzaldekernelzeniettoGejuichen. Ongeacht-hoGeveiligjedenktdateenshellscriptis,5hetkqanwordenmisbruiktomeencrackereenroGotshellU tegeven."M5.3ControleopintegriteitMEennanderezeergoGedemanieromlokqale(enooknetwerk)naanvqallenopjesysteemoptespGorenishetuitvoGerenvqaneenntegritychecker"zoalsTripwire,7AideofOsiris.Deze"Integritycheckers"voGereneenaantalHcontrolesuitopaljebGelangrijkebinary'senconguratiebGestandenenvergelijktzemeteendatabasevqanweerdere, goGed-bewezenwaardenalseennaslagwerk.Kortom, alleveranderingenindebGestandenzullengenoteerdU worden.ؼHetiseengoGedideeomditsoortprogramma'sopeenoppyteinstallerenendanhetoppytegenschrijventebGeveiligen.Opdezemanierkunnenindringersnietknoeienmetde"Integritycheckerfdedatabaseveranderen.\Alsjezoietseenmaalhebtingesteld,#ZisheteengoGedideeomhetuittevoGerenalseenonderdeelvqanU jenormalebGeveiligingsbeheertakenU omtezienoferietsisveranderd.JekuntzelfseencrontabentrytoGevoegenomhetcontroleprogrammavqanafjeoppyelkenachtuittevoGerenenU deresultatenindeoGchtendU pere-mailtekrijgen.qIetsals: =_R#NsetmailtoMAILTO=kevin_R#NrunTripwire15N05***root/usr/local/adm/tcheck/tripwirezalU jeelkemorgenom5.15uureenverslagmailen."Integretycheckers"kunneneenuitkomstzijnomindringersoptespGorenvoGordatjezeopeenanderemanier indegatenkrijgt.OmdateropeendoGorsneesysteemveelbestandenwijzigen,smoetjevoorzichtigzijninhetU bGepalenvqanwathetwerkvqaneencrackerisenwatjezelfgedaanhebt.JeWkuntdeopGensourceversievqanTripwirevindenophttp://www.tripwir}/e.org,zonderWkosten.HandleidingenenU ondersteuningkunnenaangeschaftworden.AideU vindjeophttp://www.cs.tut./r}/ammer/aide.html.OsirisU vindjeophttp://www.shmo}/o.com/osiris/."M5.4TrojanHorsesM"T*ro0janQ(Horses"zijngenoGemdnaardefabelachtigeQ(tactischezetinHomer's"Iliad".HetideeisdateencrackereenprogrammaofbinarydatergoGeduitzietverspreidtenanderemensenaanmoedigthettedownloadenen}hetuittevoGerenalsroot.Hetprogrammakqanvervolgens}schadeaanrichtenophunsysteemalszenietopletten.LqT*erwijlzedenkendatdebinarydiezezo0juisthebbGenverkregenietsdoGet(endatiswellichtoGokzo),U schaadthetoGokhunbGeveiliging.Je moGetvoorzichtig zijnwelke programma'sjeinstalleertopjecomputer.[>RedHatlevertMD5checksumsenh$PGPhsignaturesopzijnRPMbGestanden,lzodath$jekuntverirendatjehetorigineelinstalleert.AnderedistributieshebbGensoortgelijkemethoden.]+Jemoetnooitenigeonbekendebinary*,$Swaarvqanjedesourceniethebt,@als:roGotuitvoeren!ErzijnmaarweinigaanvqallersbGereidomsourcecodevrijtegeven,@zodathetinhetU opGenbaaraaneennauwkeurigonderzoGekkqanwordenonderworpGen.HoGewelhEhetveelomvqattendkanzijn,vergewisjeerdanvandatjedesourcevaneenprogrammavandeoriginele"distributiesiteafhaalt.AlshetprogramauitgevoGerdgaatwordenalsroGot,bzorgdandatofjijofiemandU diejevertrouwtU desourceheeftbGekekenU engeverieerdheeft.rR_2 ~?G6.8W ac>htwoQordbev>eiligingen-versleuteling6r20ՁV6W(acchtwopordbevceiligingG\en-versleuteling:W*achtwoGorden]zijnnvqandebelangrijkstebeveiligingsmogelijkhedendievqandaagdedaggebruiktworden. Hetl5isbGelangrijkvoorzowell5jezelfalsjegebruikersomveilige,qnietteraden,wachtwoGordenl5tehebben.Hetmerendeel vqandemeerrecenteLinuxdistributieslevertpasswdprogramma'sdiehetjeniettoGestaanomeenumakkelijkteradenwachtwoGordintestellen.ZorgdatjepasswdprogrammauptodateisendezemogelijkhedenU heeft.ؼEenxGdiepgaandeverhandelingoverversleutelingvqaltbuitendestrekkingvanditdoGcument,rmaareeninleidingisnopz'nplaats.V*ersleutelingisergnuttig,VwaarschijnlijknzelfsnoGodzakelijkntegenwoGordig.ErnzijnveelverschillendeU methoGdenomgegevensteversleutelen,elkmetzijneigenkenmerken.De>meesteUnixsystemen(enLinuxisgeenuitzondering)gebruikenprimaireeneenrichtingsverkeerver-sleutelingsalgoritme,$genaamd/DES(DataEncryptionStandard)omwachtwoGorden/teversleutelen.ʭDitversleuteldewachtwoGordwordtdanopgeslagenin(gebruikelijk)/etc/passwd(ofmindergebruikelijk)/etc/shadow.AlsIjeprobGeertinteloggenwordthetwachtwoGorddatjeintyptopnieuwversleuteldenvergelekenmetdeentryinhetbGestandwaarinjewachtwoGordenwordenopgeslagen.'AlszeovereenkomenmoGetX_hetwelhetzelfdewachtwoGordzijnenwordjetoGegangverleend.{>HoGewelDESeentweerichtingsverkeerversleutelingsalgoritmeIis(jekunteenbGerichtcoGderenendecoderen,LopvoorwaardeIdatjedejuistesleutelshebt),nis6devqariantdiedemeesteUnixsystemengebruikendene-way".DitbGetekentdathetnietmo-gelijkisomdeversleutelingomtekerenomzoGdoendehetwachtwoGordteverkrijgenvqanuitdeinhoudvqan/etc/passwdU (of/etc/shadow).Aanvqallenlmetbrutekracht,rzoals"Crackf"JohntheRippGer"(zieparagraaf6.9())kunnenvqaakwachtwo-ordenraden,tenzijjewachtwoGordafdoendewillekeurigis.NP*AMmodules(ziehieronder)staanjetoeomeenandereUversleutelingsroutinevoGorjewachtwoGordentegebruiken.L (MD5ofietsdergelijks).JekunttevensCrackGinjevoGordeelgebruiken.\OverweeghetpGeriodiekGuitvoerenGvqanCrackopjewachtwoGorddatabaseomonveiligewachtwoGordentevinden.MLNeemvervolgenscontactopmetdeovertredendegebruikerenvertelhemdatU hijzijnwachtwoGordU moetveranderen.KijkΧophttp://c}/onsult.cern.ch/writeup/security/security_3.htmlΧvoGorinformatieoverhetkiezenvqaneengoGedU wachtwoord.#Í6.1PGPenPublic-KeyversleutelingMPublic-keyAversleuteling,zoalsdatgebruiktwordtvoGorPGP*,gebruikteensleutelvoGorhetcodereneneensleutel'voGorhetdecoderen.HT*raditioneleversleutelinggebruiktechterdezelfdesleutelvoGorhetcoderenendecoGderen;dezesleutelmoetbekendzijnbijbeidepartijenenzaldusopdeeenafanderewijzeveiligvqandeU eennaardeanderovergebrachtU moGetenworden.OmdenoGodzaakvqanhetveiligoverbrengenvqandecoGderingssleutelteverlichten,fgebruiktpublic-keyver-sleutelingtbtweeafzonderlijkesleutels:!eenpubliekesleuteleneenpGersoonlijkesleutel.&IederspubliekesleutelisbGeschikbaarxvoorxiedereenomdecoderinguittevoeren,terwijltegelijkertijdiedereenzijnofhaarpersoonlijkesleutelU heeftombGerichten,U diegecodeerdzijnmetdejuistepubliekesleutel,tedecoderen.Zowellpublic-keyalsprivqate-keyversleutelinghebbGenhunvoGordelenenjekuntoverdezeverschillenlezeninTheE,genoGemdaanheteindvqandezeparagraaf.PGP(PrettyGoGodPrivqacy)wordtgoedondersteundonderLinux.Deversies2.6.2en5.0staanerbGekendomfdatzegoGedwerken.SSV*oorfeengoedeerste-beginselen-boekjeoverfPGPSenhoehettegebruiken,8kunjedeU PGPFAQbGekijken:qhttp://www.p}/gp.com/service/export/faq/55faq.cgi.LeteropdatjedeversiegebruiktdiegeschiktisvoGorhetlandwaarjewoGont.htwoQordbev>eiligingen-versleuteling6r21ՁVlandsgrenzenU overtebrengen.ؼExpGortcontroleswordennubGeheerddoorEAR(ExportAdministrationRegulations).]Zewordennietlanger bGepaaldU doorIT*AR.Er&isoGokeenstap-voor-stapgidsvoorhetinstellenvqanPGPonderLinux, beschikbaar&ophttp://mer}/cury.chem.pitt.edu/angel/LinuxF;ocus/English/November1997/article7.html. rHetqisgeschrevenvoGor7deinternationaleversievqanPGP*,maarhetismakkelijkaantepassenaandeversievoGordeV*erenigdeStaten.lcJeEhebtmogelijkoGokeenpatchnodigvoorderecenteversiesvqanLinux;JdepatchisbGeschikbaaropftp://metalab.unc.e}/du/pub/Linux/apps/crypto.Ermiseenpro0jectwaargewerktwordtaaneengratisre-implementatievqanPGPTmetopGensource.hGnuPGis\eencompleteengratisvervqangingvanPGP*.OmdathetgeenIDEA\ofRSAgebruikt,kqanhetzonderenige bGeperkingengebruiktworden.YGnuPG komtbijnaovereenmetOp}/enPGP.ZiedeGNU PrivqacyGuardwebpaginaU voGormeerinformatie:qhttp://www.gnup}/g.org/.Meerainformatieoveraversleutelingkqangevondenwordenin"TheRSAacryptographyFAQ",dbGeschikbaarophttp://www.rsa.c}/om/rsalabs/newfaq/.Hier[vindjeinformatieover[bGegrippenals"Die-Hellman",]"public-keyU cryptography","digitalcerticates",enz.#Í6.2SSL,S-HTTP,HTTPSenS/MIMEMGebruikers/vragenvqaaknaardeverschillentussendediversebGeveiligings-enversleutelingsprotoGcollenenhoGezegebruiktmoetenworden.=Hoewelditgeendocumentoverversleutelingis,isheteengoGedideeomkortU uitteleggenwatelkprotoGcolinhoudtenwaarmeerinformatietevindenis.ؼSSL:-SSL,ofSecureSoGcketsLayer,%iseenversleutelingsmethoGdedieontwikkeldisdoGorNetscapeominbGeveiligingoverhetInternettevoGorzien.yHetondersteuntdiverseverschillendeversleutelingspro-toGcollen envoorzietinclientenserverauthenticatie.SSL nopGereertopdetransportlaag,9htwoQordbev>eiligingen-versleuteling6r22ՁV6.3LinuxIPSECuitvo_eringenMAfgezienYvqanCIPEXenanderevormenvangegevensversleuteling,ڗzijnYeroGokdiverseandereuitvoGerin- gen;vqanIPSECvoGorLinux. UIPSECiseenpGogingvqandeIETFomcryptograsch-veilige;communi-catiesophetIPnetwerkniveautecrerenenomtevoGorzieninauthenticatie, integriteit,toGegangscont-roleenvertrouwelijkheid.InformatieoverIPSECenontwerpGenvoGorInternetkqangevondenwordenophttp://www.ietf.or}/g/html.charters/ipsec-charter.html.(JekunteroGokverwijzingennaarandereprotoGcollenbGetreendeU sleutelbeheervindeneneenIPSECmailinglistenarchieven.ؼDeRx-kernelLinuxuitvoGering,,dieontwikkeldwordtopdeUniversiteitvqanArizona,,gebruikteenob0ject-gebaseerdeUopzetvoGorhetuitvoGerenvqannetwerkprotoGcollengenaamdx-kernelenkqanwordengevondenophttp://www.cs.arizona.e}/du/xkernel/hpcc-blue/linux.html.3.SimpGelgezegdisdex-kerneleenmethodeombGerichtenU ophetkernelniveauU doortegeven,watzorgtvoGoreengemakkelijkereuitvoGering.EenU anderevrijverkrijgbareIPSECuitvoGeringisdeLinuxF*reeS/WANIPSEC.Hunwebpaginaverklaart:ؼ'"Met]dezedienstenkunjeveiligetunnelsdoGornietvertrouwdenetwerkenbGouwen.6Alleswat.doGorhetnietvertrouwdenetgaatwordtgecoGdeerddoordeIPSECgateway.machineengedecoGdeerdAdoordegatewayaandeanderekqant.'HetresultaatisVirtualPrivqateNetworkofVPN.֪Ditiseennetwerk֪dateectiefprivis, ondanksdathetmachinesopverschillendesitesomvqatU diezijnverbGondendoorhetonveiligeU Internet."HetlisbGeschikbaaromtedownloadenvqanafhttp://www.xs4all.nl/fr}/eeswan/lenheeftophetmomentvqanditU schrijvenjuistversie1.0bGereikt.ؼNetalsbijanderevormenvqanversleutelingwordthetnietverspreidmetdekernelvqanwegeexpGortbeperkin-gen.#Í6.4D7` ectt1200ssh(SecureShell)enstelnetMssh[enstelnetzijnprogramma'sdiehetmogelijkmakenominteloggenopremotesystemenmiddelseenversleuteldeU verbinding.opensshiseenserieprogramma'sdiegebruiktwordtalseenveiligevervqangingvoGorrlogin,'rshenrcp.Hetgebruiktpublic-keyversleutelingzowelomcommunicatietussentweehoststeversleutelenalswelhetauthenticerenqvqangebruikers. sHetkqangebruiktwordenomveiliginteloggenopeenremotehostofvoGorhetocopirenvqangegevenstussenhosts,terwijl"man-in-het-middenaanvqallen"(sessie-kaping)oenDNSRspGoof-ingJvoGorkomenworden.vHetvoGertgegevenscompressieopjeverbindingenuitenzorgtvoGorveiligeX11communicatieU tussenhosts.ErzijntegenwoGordigdiversesshuitvoGeringen. DeoriginelecommercileuitvoGeringvqanDataF*el-lows+kqangevondenwordenophttp://www.datafellows.c}/om.Desshhomepagekqanwordengevondenophttp://www.cs.hut./ssh/.DeuitstekendeOpGensshuitvoGeringisgebaseerdopeenvroegeversievqansshvanDataF*ellowsenisgeheelbGewerktWCzodathetgeenenkelpatentofeigendomsdelenbGevqat.wHetisgratisenondereenBSDWBlicentie.wHetkqanU wordengevondenop:qhttp://www.op}/enssh.com.ErRisoGokeenopensourcepro0jectomsshvqandegrondaftere-implementeren,genaamd"psst...".CV*oormeerinformatieU zie:qhttp://www.net.lut.ac.uk/psst/Je2kuntoGoksshgebruikenvqanafjeWindowswerkstationnaarjeLinuxsshserver.Erzijndiversegratisverkrijgbare[WindowsclientuitvoGeringen,inclusiefdegeneophttp://guar}/dian.htu.tuwien.ac.at/therapy/ssh/alsU oGokeencommercileuitvoeringvqanDataF*ellowshttp://www.datafellows.c}/om.Y_2 ~?G6.8W ac>htwoQordbev>eiligingen-versleuteling6r23ՁVSSLeayjiseengratisuitvoGeringvqanNetscape'sSecureSocketsjLayerprotoGcol,p"ontwikkelddoGorEricY*oung. HetbGevqatdiverseapplicatieszoalseenveiligtelnet,eenmoGdulevoGorApache,diversedatabasesenoGokdiverseU algoritmesinclusiefDES,IDEAenBlowsh.ؼDoGorJgebruiktemakenvqandezelibrarywerdeenveiligetelnetvervqanginggecreerddieversleuteltovereen`telnet-verbinding.IntegenstellingtotSSH`UgebruiktstelnetSSL,hetSecureSoGcketsLayerprotoGcol,ontwikkelddoGorNetscape.kJekuntSecuretelnetenSecureFTPvindendoortebeginnenmetdeSSLeayFAQ,U bGeschikbaarophttp://www.psy.uq.oz.au/ftp/Crypto/.SRPU iseenandereveiligetelnet/ftpimplementatie.qUithunwebpagina:ؼ'"Het+SRP+pro0jectontwikkelt+veiligeInternetsoftwarevoGorgratiswereldwijdgebruik.c{Begin-nendmeteenvolledigveiligT*elnetenFTPQdistributie,hopGenwedezwakkenetwerkauthenticatiesystementeverdringenmetsterkevervqangersdiegebruikersvriendelijkheidnietopGoerenvoGorbGeveiliging.qBeveiligingU moetstandaardzijn,geenoptie!"GaU voGormeerinformatienaarhttp://srp.stanfor}/d.edu/srp.#Í6.5PAM-PluggableAuthenticationMo_dulesMRecente|versiesvqandeRedHatLinuxdistributiekomenmeteenuniformauthenticatieschema,genaamd"P*AM".PPAMYmaaktrhetmogelijkdatjejeauthenticatiemethoGdenenvereisteninnkeerverandertenallelokqalel"authencatiemethoGdenkortsamenvqatzonderdatjeenigebinary'shoGeftterecompileren.ConguratievqanP*AMligtbuitendestrekkingvanditdoGcument,maarneemzekereenseenkijkjeopdeP*AMwebsitevoGorU meerinformatie.qhttp://www.kernel.or}/g/pub/linux/libs/pam/index.html.ؼGewoGonU eenpaardingendiejemetP*AMkuntdoGen:Gebruik;PversleutelingandersdanDES;JvoGorjewachtwoGorden.h(HetmaakthetmoeilijkerzemetbrutekrachtU tedecoGderen.)StelresourcelimitsvoGoraljegebruikersin,zoGdatzegeendenial-of-serviceaanvqallenkunnenuitvoGeren(hoGeveelheidU processen,hoeveelheidgeheugenenz.)SchakelU shadowpasswords(ziehieronder)innkeerin.ZorggervoGordatbepaaldegebruikersalleenkunneninloggenopbepaaldetijdenvqanafbepaaldeplaatsen.ؼBinnenpeenpaaruur,HnoGdigvoorhetinstallerenencongurerenvqanjesysteem,HkunjeveelaanvqallenopvoGorhandvoorkomen.^GebruikbijvoorbeeldP*AMhomhetsysteemwijdgebruikvqan.rhostsbestandeninhomeLdirectory'svqangebruikersuitteschakelendoGorhettoevoegenvqandezeregelsaan/etc/pam.d/rlogin: =L\#L\#NDisablersh/rlogin/rexecforusersL\#L\loginNauthrequiredpam_rhosts_auth.sono_rhosts#Í6.6CryptographicIPEncapsulation(CIPE)MHetoprimairedoGelvqandezesoftwareoistevoorzienineenfaciliteitvooreenveilige(tegenhetauisterenofaf- tappGenvqanberichten,inclusiefhetanalyserenvqanhetnetwerkverkeerenfakedmessageinjection)subnetwerkinterconnectieU overeenonveiligpacketnetwerkzoalshetInternet.{_2 ~?G6.8W ac>htwoQordbev>eiligingen-versleuteling6r24ՁVCIPEGversleuteltdegegevensophetnetwerkniveau.#Pakkettendiereizentussenhostsophetnetwerk wordennversleuteld.$HetversleutelingsmechanismeisdichtbijhetstuurprogrammageplaatstdatdepakkettenverstuurtU enontvqangt.ؼDitwerktintegenstellingtotSSH,datdegegevenspGerverbindingversleutelt, ophetsoGcketniveau.EenlogischeU verbindingtussenprogramma'sdieopverschillendehostsuitgevoGerdwordenwordtversleuteld.CIPE77kqan7rgebruiktwordenbij"tunnellingmeenVirtualPrivateNetwork7raantemaken.uLow-level7rver-sleutelingheefthetvoGordeeldathetzogemaaktkqanwordendathettransparantwerkttussendetweenetwerkenU verbGondeninhetVPN,zonderenigewijzigingaanapplicatie-software.SamengevqatU uitdeCIPEdoGcumentatie:S.'De8IPSEC7normendenireneensetprotoGcollendiegebruiktkunnenworden(onderandere)omversleuteldeVPN'stebGouwen.IPSECisechtereenzwareengecompliceerdesetvqanproto-collengmeteenhelebGoelgopties.XUitvoeringenvqandevolledigesetprotocollenwordennogzeldengebruikt )ensommigegeschilpunten )(zoalssleutelbGeheer)zijnnognietvolledigopgelost.CIPEgebruiktweeneenvoudigerewbGenadering,wwaarbijveeldingendieinparametersvqastgelegdkunnenworden[(zoalsdekeuzevqanhetactueleversleutelingsalgoritmewatgebruiktwordt)eenkeuzeisdie5tijdensdeinstallatiegemaaktmoGetworden.fDitbeperktdeexibiliteit,;maarzorgtvooreeneenvoudigeU (enderhalveecinte,makkelijktedebuggen...)quitvoGering.V*erdereU informatiekqanwordengevondenophttp://www.inka.de/bigr}/ed/devel/cipe.htmlؼNetkalsmetanderevormenvqanversleutelingwordthetnietstandaardmetdekernelmeegeleverdwegensexpGortbeperkingen."6.7Kerb_erosMKerbGerosiseenauthenticatiesysteem,;ontwikkelddoorhetAthenaPro0jectopMIT.Alseengebruikerinlogt,authenticeertKerbGerosdezegebruiker(gebruikmakendvqaneenwachtwoGord)envoGorzietdegebruikerineenmanierU omzijnidentiteittebGewijzenaanandereserversenhostsverspreidoverhetnetwerk.DezeoauthenticatiewordtdangebruiktdoGorprogramma'szoalsrloginomhetdegebruikermogelijktemaken_opanderehostsinteloggenzonderwachtwoGord(inplaatsvqanhet.rhostsbestand).Dezeauthen-ticatiemethoGde:BkqanookgebruiktwordendoorhetmailsysteemomtegaranderendatdemailisaangeleverdbijU dejuistepGersoon,U evenalshetgaranderendatdeafzenderiswiehijbGeweerttezijn.KerbGeros/endeandereprogramma'sdieerbijgeleverdworden,:voGorkomendatgebruikershetsysteem"spGoofenn mzodoendelatengelovendatzeiemandanderszijn.gHelaasishetinstallerenvqanKerbGerosergindringend,U omdathethetaanpassenofvervqangenvanvelestandaardprogramma'svereist.JeQkuntmeerinformatieoverKerbGerosvindendoortekijkenopthekerb}/erosF_AQ4enQdecoGdekqanwordengevondenU ophttp://nii.isi.e}/du/info/kerberos/.[V*an:]|Stein,5Jennifer-G.,CliordNeumanenJereyL.Schiller.d("KerbGeros:]|EenAuthenticatieServicevoGorOpGenU NetwerkSystemen."USENIXConferenceProGceedings,Dallas,T*exas,Winter1998.]KerbGeroszounietjeeerstestapmoetenzijninhetverbeterenvqandebeveiligingvqanjehost.Q@HetisnogalingewikkeldU enwordtnietzoveelgebruiktalsbijvoGorbeeldU SSH."6.8ShadowPasswordsMShadow[passwordsiseenmanieromjegecoGdeerdewachtwoGordinformatiegeheimtehoudenvoGornormalegebruikers.TtRecenteversiesvqanzowelRedHatalsDebianLinuxmakenstandaardgebruikvqanshadowpass-words, maaropanderesystemenwordengecoGdeerdewachtwoGordenopgeslageninhet/etc/passwdbestand,_2 ~?G6.8W ac>htwoQordbev>eiligingen-versleuteling6r25ՁVdatV(iedereenkqanlezen.tIedereenkanhiervervolgensV(programma'soploslatendiewachtwoGordenV(kunnen raden@enzoGdoende@proberenvqasttestellenwatzezijn. Shadowpasswordsdaarentegenwordenopgeslagenin/etc/shadow,!datalleendoGorbevoegdegebruikerskqanwordengelezen.\Omshadowpasswordstekunnengebruiken,moGet8jejeervqanvergewissendataljevoGorzieningendietoegangnodighebbentotwachtwo-ordinformatieopnieuwzijngecompileerdomhetteondersteunen.IP*AM(hierbGoven)biedtjedemogelijkheidom}simpGelwegeenshadowmoGduleteplaatsen;hetvereistgeenhercompilatievqanexecutables.QJekunteenbGeroep#2doenopdeShadow-PasswordHOWTO#&voGormeerinformatiealsdatnodigis.`Hetisbeschikbaarophttp://metalab.unc.e}/du/LDP/HOWTO/Shadow-Password-HOWTO.htmliHetisnubGehoorlijkigedateerdennietU noGdigvoordistributiesdieP*AMondersteunen.#Í6.9"Crackn"JohntheRipp_er"MAlsomwatvoGorredendanookjepasswdprogrammageenmoeilijkteradenwachtwoordenafdwingt,zulTjewellichtTeenprogrammawillenuitvoGerendatwachtwoGordenkraaktomjezodoendeervqantekunnenvergewissenU datdewachtwoGordenvqanjegebruikersveiligzijn.ؼProgramma'sbdiewachtwoGordenbkrakenzijngebaseerdopeensimpGelidee:OzeproberenelkwoordinhetwoGordenboekkenvervolgenskvqariatiesopdezewoorden,{coderenzeallemaalenvergelijkenkzemetjegecodeerdewachtwoGord.qAlsU dittoteentreerleidt,wetenzewatjewachtwoGordis.Erzijneenaantalvqandezeprogramma'sinomloGop...Biwaarvqandetweemeestopvqallende"Crackn"JohnthepRippGer"zijn(http://www.false.c}/om/security/john/index.html).RoZepnemeneenhoopvqanjeCPUFtijdinbGeslag,Cmaarףjezouwelmoetenkunnenvertellenofeenaanvqallerbinnenzoukunnenkomenmiddelsdezeprogramma's,doGorzeeerstzelfuittevoerenengebruikersmetzwakkewachtwoGordenopdehoogtetestellen.HoudindegatendateenaanvqallereersteenanderlekmoGetgebruikenomje/etc/passwdbGestandtekunnenlezen,U maarzulkelekkenkomenvqakervoGordanjedenkt.Omdat*bGeveiligingslechtszokrachtigisalsjemeestonveiligehost,`%ishetdemoGeitewaardtevermeldendatalsjeenigeWindowsmachinesopjenetwerkhebt,)jeeensL0phtCrack,)eenCrackimplementatievoGorWindows,U zoumoGetenproberen.qHetisbeschikbaarophttp://www.l0pht.c}/om#Í6.10%}CFS-(CryptographicFileSystemenTCFS-TransparentCryptographic%}FileSystemMCFSis%eenmanieromheledirectorystructurentecoGderenengebruikersdemogelijkheidtegevenomgecoGdeerde1Ebestandenhierinopteslaan.HetmaaktgebruikvqaneenNFS1 serverdiedraaitopdelokalemachine.RPM'szijnbGeschikbaarophttp://www.ze}/dz.net/redhat/enmeerinformatieoverhoGehetwerktstaatU opftp://ftp.r}/esearch.att.com/dist/mab/.TCFSovertreftCFSdoGordatermeerintegratiemethetbestandssysteemistoegevoegd,zodathetduideli-jkerݴvoGordegebruikersisdathetbGestandssysteemgecodeerdis. ;Meerinformatiestaatophttp://e}/du-gw.dia.unisa.it/tcfs/.HetU hoGeftooknietgebruikttewordenopgehelebestandssystemen,hetwerktookopdirectorystructuren.#Í6.11%}X11,SVGAenb_eeldschermbeveiligingM6.11.1(X11Het isbGelangrijkdatjejegraschebeeldschermbeveiligtomtevoGorkomendataanvqallersjewachtwoGord inpikkenjterwijljehetintypt,pdoGcumentenofandereinformatiedieopjeschermstaatlezenofzelfseenlekgebruiken[,omroGottoegangteverkrijgen.HetuitvoGerenvqanremoteX[*applicatiesoverhetnetwerkkqanoGok4_2 ~?G7.8Bev>eiligingv\|andekernel;26ՁVvolUgevqaarzijn,UdoGordathetsnuelaarsmogelijkwordtgemaaktomaljeinteractiemethetremotesysteem teU zien.ؼX heeft+eenaantalmanierenvoGortoegangsbeheer.Deeenvoudigste+vqandezeishost-gebaseerd:ɖjegebruiktxhost;omallehostsdietoGegangmogenhebbentotjebeeldschermtespeciceren.NDitisabsoluutnietveilig,wantValsiemandtoGegangheefttotjemachine,kqanhetcommandoxhost?+hunmachinefgegevenVwordenenۜmenkomtۜgemakkelijkbinnen.Bovendien,;alsjetoGegangvqanafeennietvertrouwdemachinetoGemoetstaan,U kqaniedereendaarjebGeeldschermcompromitteren.Alsjexdm(XDisplayManager)gebruiktominteloggen,krijgjeeenveelbGeteretoegangsmethode:MIT-MAGIC-COOKIE-1._Een128-bit"coGokie"wordtgegenereerdenopgeslageninje.XauthoritybGestand._AlsjeaseenremotemachinetoGegangmoetverschaenastotjebeeldscherm,kunjehetxauthcommandoendeinformatieinje.XauthoritybGestandgebruikenomtoegangteverschaenvooralleendieverbinding.C2Ziede5Remote-X-Appsmini-HOWTO,bGeschikbaarophttp://metalab.unc.e}/du/LDP/HOWTO/mini/Remote-X-Apps.html.JekuntoGoksshgebruiken(zie6.4(),hierbGoven)omveiligeXeverbindingenmogelijktemaken.DitheeftalsvoGordeeldathetookduidelijkisvoordeeindgebruikerenhoudtindatergeenongecodeerdegegevensoverU hetnetwerkU verzondenworden.Bekijk+deXsecuritymanpaginavoGormeerinformatieoverXbGeveiliging.+/DemeestveiligegokishetgebruikvqaniڼxdmominteloggenopjeconsoleenvervolgensiڼsshtegebruikenomnaarremotesitestegaanwaaropjeU Xprogramma'swiltuitvoGeren. ፍ6.11.2(SV>GAMSVGAlibTprogramma'szijnkenmerkendSUID-roGot,!teneindealdevideohardwarevqanjeLinuxmachinestekunnenbGenaderen. Ditmaaktzeerggevqaarijk.Alszecrashen,zuljekenmerkendjemachineopnieuwmoGeten opstartenomeenbruikbareconsoleterugtekrijgen.LeteropdatelkSVGA programmadatjeuitvoGertU authentiekenopz'nminstenigszinsvertrouwdis.qNogbGeter,voGerzehelemaalnietuit.6.11.3(GGI(GenericGraphicsIn>terfaceproject)MHetZ:LinuxGGIYpro0jectprobGeertverschillendevqandeproblemenmetvideointerfacesonderLinuxoptelossen.GGIzaleenkleinstukjevqandevideocoGdenaardeLinuxkernelverplaatsenenvervolgensdetoGegangtothetvideosysteembGeheren.`DitbetekentdatGGIinstaatisomopelkmomentjeconsoleineenbekende,goGede$staatteherstellen.a#Hetvoorzietookineenbeveiligings-waarschuwingssleutel,-zodat$jezekerweetdaterU geenT*ro0janhorseloginprogrammaopjeconsoledraait.http://syner}/gy.caltech.edu/ggi/(h7BevceiligingG\vandekernel:DitEiseenbGeschrijvingvqandeoptiesvoGorhetcongurerenvqandekerneldiemetbGeveiligingtemakenhebbGen,eenU bGeschrijvingvqanwatzedoGenenhoejezemoetgebruiken.ؼOmdatidekernelhetgebruikvqanjecomputerophetnetwerkbGeheert,ishetbelangrijkdatdezeergveiligisennietXingevqaargebrachtXkanworden.5OmenkelevqandemeestrecentenetwerkqaanvallenXtevoGorkomen,MmoetXjeprobGerenomjekernelversieactueeltehouden.LJekuntnieuwekernelsvindenopּofU bijdeleveranciervqanjedistributie.ErlisoGokeeninternationalegroepdieeenafzonderlijkeuniformecoderingspatchverschaftvoGordeconven-tionelejLinuxkernel.s_DezepatchverschaftondersteuningvoGoreenaantalcryptograschesubsystemenenzaken4dienietkunnenwordentoGegevoegd4aandeconventionelekernelvqanwegeexpGortbeperkingen.IV*oormeerU informatiekunjehunwebpaginabGezoekenU op:qhttp://www.kerneli.or}/g=_2 ~?G7.8Bev>eiligingv\|andekernel;27ՁV7.1Optiesom2.0kernelstecompilerenMDevolgendeoptieszijnvoGor2.0.xkernelsvqantoGepassing.ǯJezoudezeoptiesmoetenkun- nenzientijdenshetconguratieproGcesvqandekernel. V*eelvandeopmerkingenhierkomenuit./linux/Documentation/Configure.help.!DitcishetzelfdedoGcumentalswaarnaarverwezenwordtwanneerdeU HelpfaciliteitaangeroGepenU wordttijdensdemake?configfasevqanhetcompilerenvandekernel.ؼNetwerkU Firewalls(CONFIG_FIREWALL)=DezeoptiemoGetingeschakeldzijnalsjevqanplanbentomenigerewallingofmasqueradingopjeLinuxmachine>uittevoGeren.j Alshetslechtsgaatomeengewoneclientmachine,C;ishetveiligdezeoptienietinU teschakelen.IP:U forwarding/gatewaying(CONFIG_IP_FORWARD)AlsrjeIPeforwardinginschakelt,wordtjeLinuxbGoxwezenlijkeenrouter.vAlsjemachineaangesloten isopeennetwerk,HkunjegegevensdoGorsturenvqanhetenenetwerknaarhetandereenwellichteenrewallondermijnendiedaarwasgeplaatstomdittevoGorkomen.Gewonedial-upgebruikerszullenditduitwillenschakelendenanderegebruikersmoGetenzichconcentrerenopdebGeveiligingsimplicatiesalsze?ditdoGen.FirewallmachineszullenditingeschakeldwillenhebbGenensamenmetrewallsoftwaregebruiken.JeU kuntIPforwardingdynamischinschakelendoGorgebruiktemakenvqanhetvolgendecommando:=/root# rechoN1>/proc/sys/net/ipv4/ip_forwardenU hetuitschakelenU methetcommando:/root# rechoN0>/proc/sys/net/ipv4/ip_forwardHoudingedachtendatdebGestandenin/proc"virtuele"bestandenzijnendegetoondeomvqangvanhet bGestandU wellichtnietovereenkomtmetdegegevensuitvoGerhiervqan.=IP:U syncoGokies(CONFIG_SYN_COOKIES)Eenb"SYNbAttackseen"denialofservice"(DoS)baanvqaldieallehulpbronnenopjemachineverbruikt en@jedwingtomopnieuwoptestarten.FW*ekunnengeenredenbGedenkenwaaromjeditnietgewoGoninschakelt.%nInde2.2.xkernelseriesstaatdezeconguratieoptiealleensyncoGokiestoe,maarschakeltzeU nietin.qOmzeinteschakelen,U moGetjehetvolgendecommandogeven:=/root#Necho1> =//proc/sys/net/ipv4/tcp_syncookiesIP:U Firewalling(CONFIG_IP_FIREWALL)=}_2 ~?G7.8Bev>eiligingv\|andekernel;28ՁVDezefoptieisnoGodzakelijkfalsjejemachinegaatcongurerenalseenrewall,kRaanmasqueradinggaat doGenofjedial-upwerkstationwilbeschermentegenhetbinnendringenvqaniemandviajePPPndial-upinterface.=IP:U rewallpacketlogging(CONFIG_IP_FIREWALL_VERBOSE)Deze3Foptiegeeftjeinformatieover3Fdepakkettendiejerewallontvqangt,jzoalsafzender,ontvqanger, pGoortU enzovoGorts.IP:U Dropsourceroutedframes(CONFIG_IP_NOSR)DezeYoptiemoGetingeschakeldYworden.~SourceroutedframesbGevqattenhetgehelepadtothunbGestem- mingbinneninhetpakket.VPDitbGetekentdatderouterswaarhetpakketdoGorheengaathetniethoeventeְinspGecterenenhetgewoondoorsturen.G[DitkqanertoeleidendatergegevensjesysteembinnenkomendieU eenpGotentieelbeveilingslekkunnenzijn.=IP:U masquerading(CONFIG_IP_MASQUERADE)AlsՉeenvqandecomputersopjelokalenetwerk,waarvoGorՉjeLinuxboxalseenrewalloptreedt,iets wilyversturennaarbuiten,kqanjouwbGoxzichvermommen(masquerade)alsdiehost.-Datwilzeggen,hetkstuurthetverkeerkdoGornaardebedoeldebestemming,qmaarlaatheteruitzienalsofhetkomtkvqandeU rewallbGoxzelf.qZiehttp://www.indyr}/amp.com/masqU voGormeerinformatie.=IP:U ICMPmasquerading(CONFIG_IP_MASQUERADE_ICMP)Dezee#optievoGegtICMPemasqueradingtoeaandevorigeoptie,i#waarbijalleenmasqueradingvqanTCP ofU UDPverkeerU plaatvindt.IP:U transparentproxysuppGort(CONFIG_IP_TRANSP*ARENT_PROXY)HiermeePkqanjeLinuxrewallelknetwerkverkeerdatvqanhetlokalenetwerkPafkomstigisenbGestemd is`voGoreenremotehosttransparantomleidennaareenlokqaleserver,genaamdeen"transparentproxyserver". TqDitzorgtervoGordatdelokqalecomputersdenkendatzepratentegenhetremoteeind,٢terwijlzeinfeiteverbGondenzijnmetdelokqaleproxy*.ZiedeIP-MasqueradingHOWTOenhttp://www.indyr}/amp.com/masqU voGormeerinformatie.=IP:U alwaysdefragment(CONFIG_IP_ALWA*YS_DEFRAG)Q_2 ~?G7.8Bev>eiligingv\|andekernel;29ՁVGewoGonlijkFisdezeoptieuitgeschakeld,|maaralsjeeenrewallofeenmasqueradinghostaanhetbGouwen bGent,zulhjeditinwillenschakelen.eiligingv\|andekernel;30ՁVPorth}F*orwardingiseenaanvullingopMasquerading,mTdatenigedoGorzendingvqanpakkettenvqanbuiten naarbinnenineenrewallopvqastgesteldepGoortentoestaat. Ditkqannuttigzijnalsje,bijvoGorbeeld,eenwebserverachtereenrewallofmasqueradinghostwildraaienendiewebservertoGegankelijkmoGetzijnnvqanafdebuitenwereld.kEennexterneclientstuurteenverzoGeknaarpoort80vqanderewall,DBderewallUstuurtditverzoGekdoornaardewebserver,~deUwebserverbGehandelthetverzoGekenderesultatenwordenviaderewallnaardeorigineleclientverstuurd.Declientdenktdatderewallmachinezelfdewebserverdraait. 2~DitkqanoGokgebruiktwordenvoGorhetverdelenvqandebGelastingalsjeeenhelebGoel}Jidentiekewebserversachterderewallhebt.InformatieoverdezevoGorzieningisbeschikbaarop$Uhttp://www.monmouth.demon.co.uk/ipsubs/pGortforwarding.html(omophetWWW$ItesurfenhebjeϥtoGegangtoteenmachineophetInternetnoGdig,WdieeenprogrammaalslynxofNetscapeheeft).EV*ooralgemeneU informatiekunjekijkenopftp://ftp.compsoGc.net/users/steve/ipportfw/linux21/=SoGcketU Filtering(CONFIG_FIL*TER)Bijgebruikvqandezeoptiekunnenuser-spaceprogramma'seenlteraanelkesoGcketverbindenen daardoGor'!dekernelvertellendatbGepaaldesoortengegevenswelofnietdoGordesocket'!mogengaan.Linux%xsoGcketlteringwerktvoGorlopigopallesoortensocketsbGehalveTCP*.ZiehettekstbGestand./linux/Documentation/networking/filter.txtU voGormeerinformatie.=IP:U MasqueradingDe2.2kernelmasqueradingisverbGeterd.HetverschaftaanvullendeondersteuningvoGorhetvermom- menU (masquerading)vqanspGecialeprotocollenetc.qLeesdeIPChainsHOWTOvoGormeerinformatie.#Í7.3#=KernelDevicesMErzijneenpaarbloGckencharacterdevicesbGeschikbaaronderLinuxdiejeoGokbehulpzaamkunnenzijnmetdeU bGeveiliging.ؼDetweedevices/dev/randomen/dev/urandomwordenverschaftdoGordekernelomopelktijdstiptekunnenvoGorzienU inwillekeurigegegevens.Zowel4/dev/randomals/dev/urandomzoudenveiliggenoGegmoetenzijnomtegebruikenvoGorhetgenererenvqanI;PGPHsleutels,~hetaanroGepenI;vansshenandereapplicatieswaarveilige,~willekeurigenummersvereistzijn.V*oGorLaanvqallersmoethetonmogelijkzijnhetvolgendenummertevoGorspellenLgezienelkeaanvqangsvolgordevqan) nummersvandezebronnen.bEriseenhoGopmoeitevoorgedaanomzekertestellendatdenummersdiejeU vqandezebronnenkrijgt,willekeuriginelkebGetekenisvqanhetwoGordzijn.Hetenigeverschiltussendetweedevices,Iyisdat/dev/randomdoGorzijnvoorraadwillekeurigebytesheenraaktenjelaatwachtentoterweereenvoGorraadisaangemaakt.wMerkopdathetopsommigesystemeneenblokkqadevoGorlangetijdkanopwerpGendoordatergewachtwordtophetinvoGegenvqannieuwedoGordegebruiker gegenereerdeentropieinhetsysteem.MJemoGetvoGorzichtigheidbGetrachtenvoGordatje/dev/randomgebruikt.A(W*ellichtishetbGestewatjekuntdoGen,hettegebruikenwanneerjegevoGeligesleutelinformatieaanhetRgenererenbGentenjedegebruikerverteltherhaaldelijkophettoGetsenbordRteslaantotdatjedemelding"OK,U genoGeg"geeft)./dev/randomishogekwaliteitentropy*, gegenereerddoGorhetmetenvqandeinterrupttijdenetc.,NHetblokkeerttotdatU ervoldoGendebitsmetwillekeurigegegevensbGeschikbaarzijn.&Z_2 ~?G8. XBev>eiligingv\|anhetnetwerk(߹31ՁV/dev/urandom3isvergelijkbaar,k4maarwanneerdeopslagvqanentropieopeenlaagpitjestaat,k4zalheteen cryptograschԖsterkmengelmoGesjevqanwateristerugsturen.FDitisnietzoveilig,LmaarhetisvoldoGendevoGordeU meesteapplicaties.ؼJeU kuntdedevicesraadplegendoGorietsdergelijkstegebruiken:卑'+root# rheadN-c6/dev/urandom|mimencodeؼDitzalachtregelswillekeurigekqaraktersopdeconsoleafdrukken,geschiktvoGorwachtwoGordgeneratie.>JekuntU mimencodeinhetmetamailpackqagevinden.ZieU /usr/src/linux/drivers/char/random.cvoGoreenbeschrijvingvqanhetalgoritme.MetdankaanTheoGdoreY.T*s'o,JonLewisenanderenvqanLinux-kerneldiemij(Dave)hiermeegeholpenhebbGen.(8xBevceiligingG\vanhetnetwerk:NetwerkbGeveiligingrwordtsteedsbGelangrijkeromdatmensensteedslangerverbGondenzijnmethetnetwerk.DebGeveiligingvqanhetnetwerkingevqaarbrengenisvaakveeleenvoudigerdanhetingevqaarbrengenvandefysiekeU oflokqalebGeveiligingenwordtsteedsalledaagser.ErzijneenaantalgoGedetoolsdiehulpbiedenbijnetwerkbGeveiligingensteedsmeerdaarvqanwordengeleverdbijU Linuxdistributies.#Í8.1PacketSniersMEen'vqandemeestgebruiktemanierenwaaropindringerszichtoGegangtotmeersystemenopjenetwerkverschaenisdoGorhetgebruikvqaneen"packetsnierpeenreedsingevaargebrachtehost.YDeze"snif-fer"luistertopdeEthernetpGoortslechtsnaardingenalspasswd,loginensuindepakkettenstroGomenlogtdan7hetverkeer7datvolgt.OpdezemanierverkrijgenaanvqallerswachtwoGordenvoGorsystemenwaaropzenietteensprobGeerdenintebreken.ШW*achtwoordentdieuitplattetekstbestaanzijnergkwetsbaarvoGordezeaanvqal.V*oGorbeeld:ZHost'}A'qisgecompromitteerd.bJAanvqallerinstalleerteensnier.SnierpikteenbGeheerderloggingop9POPaccounts>kunnendezeaanvqaloGokvoGorkomen.6(NormalePOPloginszijnhierergkwetsbaarvoGor,U zoalsallesdatplatte-tekstwachtwoGordenoverhetnetwerkverstuurt).#Í8.2Systeemdienstenentcp-wrapp_ersMHeteerstewaarjenaarmoGetkijken, voGordatjejeLinuxsysteemopENIGnetwerkaansluit, iswatvoGordienstenjemoGetbieden.GdDienstendiejeniethoefttebiedenmoetenuitgeschakeldworden,zodatjendingminderU hebtomjezorgenoverU temakenenaanvqallerseenplekminderhebbGenomtezoekennaareenlek. 7_2 ~?G8. XBev>eiligingv\|anhetnetwerk(߹32ՁVErzijneenaantalmanierenomdienstenonderLinuxuitteschakelen.Jekuntkijkennaarje /etc/inetd.confԹbGestandomtezienwelkedienstenwordenaangebodendoorjeinetd.ESchakeldege-nen%diejenietnoGdighebtuitdooreen#aanhetbeginvqanderegelteplaatsenenvervolgens%jeinetdproceseenU SIGHUPtesturen.ؼJeTkuntoGokdienstenuitje/etc/servicesbestandverwijderen(ofeen#aanhetbeginvqanderegelplaat-sen).2DitheefttotgevolgdatlokqaleclientsdedienstoGoknietkunnenvinden(alsjebijvoGorbeeldftpverwijdert0qenprobGeertteftp-ennaareenremotesitevqanafdiemachine,7zaldatmislukkenendebGoodschapnknowns]service"zalgetoGondworden).8HetismeestaldemoGeitenietwaardomdienstenteverwijderenuit/etc/services,#omdathetgeenaanvullendebGeveiligingverschaft._AlseenlokqalepGersoonռftpzouwillengebruiken2ondankshetfeitdatjeeen#aanhetbGeginvqanderegelhebtgeplaatst,$bmakenzehuneigenclientaanU diedegebruikelijkeU FTPpGoortU gebruiktennogprimawerkt.EnkeleU dienstendiejewellichtingeschakeldzouwillenlatenzijn:ؼftptelnetU (ofssh)mail,U zoalspop-3ofimapidentdAlsjeweetdatjeeenbGepaaldpakketnietgaatgebruiken,>kunjehetoGokhelemaalverwijderen.xrpm?-e naam?vanhetpakketonder/deRedHatdistributiezalhetgehelepakketverwijderen.dOnderDebiandoGetdpkg?removeU hetzelfde.ؼBovendienmoGetjeechtdersh/rlogin/rcputility'suitschakelenentevensvoGorkomendatlogin(gebruiktdoGorrlogin),shell(gebruiktdoGorrcp)enexec(gebruiktdoorrsh)wordengestartin/etc/inetd.conf.2DezeprotoGcollenU zijnextreemonveiligU enzijninhetverledenhetdoelgeweestvqanmisbruik.JemoGet/etc/rc.d/rc[0-9].d(opRedHat;3f/etc/rc[0-9].dopDebian)controlerenomtezienoferservers+indezedirectory'sgestartwordendienietnoGdigzijn.cDebestandenindezedirectory'szijneigenlijksymbGolischelinksnaarbestandenindedirectory/etc/rc.d/init.d(opRedHat;ټ/etc/init.dopDebian).Het2hernoGemenvqandebestandenindeinit.ddirectoryschakelt2allesymbolische2linksuitdienaardatbGestandYverwijzen.8+AlsjeeendienstslechtsvoGoreenbepaaldrunleveluitwiltschakelen,hernoGemdandedesbGetreendeU symbolischeU linkdoGordehoofdletterStevervqangendooreenkleineletters,zoalsdit: =root# rcdN/etc/rc6.droot# rmvNS45dhcpds45dhcpdؼAlsjercbGestandeninBSD-stijlhebt,moetje/etc/rc*controlerenopprogramma'sdiejenietnodighebt.Bij;demeesteLinuxdistributieswordentcp_wrappGersgeleverddiealjeTCP;diensten"wrappGen".%Een tcp_wrappGert(tcpd)wordtaangeroependoorinetdinplaatsvqandeechtetserver.tcpdcontroleertdandehost4dieomdedienstverzoGektenstartofweldeechteserveropofweigerttoGegangvqanafdiehost. Mettcpd,xkunjedetoGegangtotjeTCP,ndienstenbeperken.cJemoeteen/etc/hosts.allowaanmakenenalleentoGevoegenU indehostsdietoGegangtotdedienstenvqanjemachinenoGdighebben.AlsjeeendialupthuisgebruikerbGent,stellenwevoGordatjezeALLEMAAL~weigert.OStcpdlogtoGokmisluktepGogingenrfomtoegangtotdienstentekrijgen,dusditkqanjewaarschuwenrfalsjeaangevallenwordt.SAlsjecnieuwedienstentoGevoegt,3moetcjejeervqanovertuigencdatjezezocongureertdatzetcp-verbindingengebruikenPalszezijngebaseerdopTCP*.EennormaledialupgebruikerkqanbijvoGorbeeldPvoorkomenPdat!G̠_2 ~?G8. XBev>eiligingv\|anhetnetwerk(߹33ՁVbuitenstaandersBnverbindingmakenmetzijnmachineentoGchdemogelijkheidhebbGenompostteontvqan- genennetwerkverbindingennaarhetInternettemaken.AOmdittedoGen,moetjehetvolgendeaanje/etc/hosts.allowU toGevoegen:ؼALL:U 127.EnU natuurlijkbGevqat/etc/hosts.deny:ALL:U ALLwat5EexterneverbindingennaarjemachinevoGorkomtenjetoGchtoGestaatomvqanbinnenuiteenverbindingte makenU metserversophetInternet.Houdingedachtendattcp_wrappGersalleendienstendieuitgevoerdwordendoorinetdbeschermteneenbGepaald-aantalanderen.oHetisheelgoedmogelijkdaterookanderedienstenopjemachinedraaien.oJekuntU netstat?-tagebruikenomeenlijsttezoGekenmetalledienstendiejemachineaanbiedt.#Í8.3VerieerjeDNSinformatieMHetenNessuszijnenkelevqandemeerbGekende.tDezesoftwaremaaktk{verbindingmetdedoGelmachine(ofaldedoGelmachinesopeennetwerk)opallemogelijkepGoortenk{enprobGeerte%uittevindenwelkee%dienstdaardraait.GebaseerdopdezeinformatiekunjezeggenofdemachinekwetsbaarU isvoGoreenbepaaldsoortmisbruikopdieserver."Y\_2 ~?G8. XBev>eiligingv\|anhetnetwerk(߹34ՁVSA*TAN(SecurityAdministrator'sT*oGolforAnalyzingNetworks)iseenpGoortscannermeteenwebinterface. HetEkqaningesteldwordenomlichte,mediumofzwarecontrolesopeenmachineofeencomputernetwerkuitx tevoGeren.GHetiseengoedideeomSA*TANwtex downloadenenjemachineofnetwerktescannenende}problemendiehetvindtoptelossen.lDownloadSA*TAN}wvqanaf}metalabZofvqanafeengoGedbekendstaandeFTPKofwebsite.]Eriseentro0jaanseecopievqanSA*TANIverspreideoverhetnet:9#http://www.tr}/ouble.org/zen/satan/satan.html.KMerkopdatSA*TANalgeruimetijdnietmeerisbijgewerktenenkelevqandeanderetoGolshieronderwellichtbGeterwerken.ؼISSD(Internet\SecurityScanner)iseenanderepGoort-gebaseerdescanner.5HetissnellerdanSA*TANDenduswellichtbGetervoorgroterenetwerken.9Echter,͹SA*TANheeftdeeigenschapdathetmeerinformatieverschaft.AbacusbGestaatuiteensettoolsomtevoorzieninhost-gebaseerdebeveiligingeninbraakdetectie.SNeemeenkijkjeU opdehomepageophetwebvoGormeerinformatie.qhttp://www.psionic.c}/om/abacus/SAINTsisseenbijgewerkteversievqanSA*TAN.sHetisweb-gebaseerdenheeftveelmeerup-to-datetestsdanSA*TAN.U Jekunthiermeerovertewetenkomenop:qhttp://www.wwdsi.c}/om/saintNessusOiseengratisbGeveiligingsscanner.oHetisgemakkelijkingebruikdankzijeenGTKOgrascheinterface.HetFisoGokuitgerustmeteenergaardigepluginsetupvoornieuweFpoort-scantesten. 3KijkvoormeerinformatieU op:qhttp://www.nessus.or}/g <;8.5.1#!\P>oQortscansdetecterenMEr)GzijnenkeletoGolsontworpGenomjetewaarschuwenvoGorpoortscansdoorSA*TAN,)GISS)r# r/usr/lib/sendmailN-q15m[.Dit>zorgtervoGordatsendmaildeberichtenlijst>elkevijftienminutennazoGektopberichtendiebijdeeerstepGogingU nietmetsucceskondenwordenovergebracht.#i_2 ~?G8. XBev>eiligingv\|anhetnetwerk(߹35ՁVV*eelvbGeheerderskiezenervooromsendmailniettegebruikenenkiezeninplaatsdaarvqanvoGoreenvqande andere*&mailtranspGortmiddelen.Jezoukunnenoverwegen*&omover*&testappenopqmail.qmailisvqanafheteerstebGeginontworpenmetbeveiligingingedachten.ќHetissnel,stabielenveilig.ќQmailkqanwordengevondenU ophttp://www.qmail.or}/gؼEendirecteconcurrentvqanqmailis"pGostx",geschrevendoGorWietseV*enema,deauteurvqantcp_wrappersenjanderebGeveiligingstools. V*roegerjheettehetvmailer,werdgespGonsorddoorIBMj\enisookeenmail-transpGortk^middeldatvqanafheteerstebegingeschrevenk^ismetbeveiliginginhetachterhoGofd.9JekuntmeerinformatieU overpGostxvindenophttp://www.p}/ostx.org"x8.7DenialofServiceaanv@ allenMEen&"DenialofService"(DoS)aanvqalisereenwaardeaanvqallerprobGeertomenkelebronnenzooverbGelasttemakenSdatzegeenrechtmatigeverzoGekenmeerkunnenbGeantwoordenSofrechtmatigegebruikersdetoGegangtotU hunmachineontzeggen.DenialofserviceaanvqallenzijnindeaopGenjarensterkinaantaltoGegenomen.AEnkelevqandemeerpGopulaireenRrecentezijnhieronderopgesomd.pMerkopdatersteedsweernieuweverschijnen,SdusditzijnslechtseenpaarU voGorbeelden.qLeesdeLinuxsecuritylists,debugtraqlistenarchievenvoGormeerrecenteinformatie.SYNMFloQoding-SYNuoGodingiseendenialofserviceaanvqalophetnetwerk.HetmaaktmisbruikvqanVeen"loGopholendemanierwaaropTCPverbindingentotstandgekomenzijn.vDenieuwereLinuxkernelsK(2.0.30enhoger)hebbGendiverseintestellenoptiesomtevoGorkomendatSYN<oGodKaanvqallenmensen}detoGegangtothunmachineofdienstenontzeggen.OZie7(KernelbGeveiliging)voGoroptiesomdeU kerneljuisttebGeveiligen.4P>entium"F00F"Bug-HetisrecentelijkontdektdateenserieassembleercoGdesdiegestuurdwordtnaar4eenechte4IntelPentiumproGcessordemachineopnieuwopzalstarten.-DitheeftbGetrekkingopelkemachinemeteenPentiumproGcessor(geenklonen,%geenPentiumProofPIGI),ongeachtopwelkbGesturingssysteemhetdraait.&Linuxkernels2.0.32enhogerbGevqatteneenhandigheidomdezebugteomzeilenɛenzoGdoendeɛtevoGorkomenɛdathetjemachinepslotzet".BKernel2.0.33heefteenverbGeterdeversievqandezekernelxenwordtaangeradenvqanafversie2.0.32.\AlsjedraaitopeenPentium,#moGetjeU dezeupgradenuuitvoGeren!PingmFloQodingu-PingoGodinguiseeneenvoudigeudenialofserviceaanvqalmetbrutekracht.~DeaanvqallerstuurteenstroGom(ood)vqanICMPKpakkettennaarjemachine.AlszeditdoGenvqanafeenhostmeteengroterebandbreedtedandievqanjou,NzaljemachinenietinstaatzijnomoGokmaarietsoverhetnetwerkteversturen. DEenvqariatieopdezeaanvqal,Wgenaamd"smurng",Wstu-urthoICMPgpakkettennaareenhostmethetreturnIPvqanjouw{machine's,ChetgeenzetoGestaatomjemindertraceerbaarte"oGoden".Jekuntmeerinformatieoverde"smurfanvqalvindenophttp://www.quadrunner.c}/om/chuegen/smurf.txtAls"|jeoGoittemakenkrijgtmeteenpingoodaanvqal,,gebruikdaneentoolalstcpdumpomtebepalenwaardepakkettenvqandaankomen(ofvqandaanschijnentekomen)enneemvervolgenscontactopmetjeprovideromdezeinformatiedoGortegeven.ϥPingoGodskunnenheteenvoudigsttotstaanwordengebrachtU ophetrouterniveauofdoGorgebruiktemakenvqaneenrewall.PingKfo'Deathd-DePingo'DeathaanvqalstuurtICMPFECHOREQUESTpakkettenddietegroGotzijnomLtepassenindekernelgegevensstructurendiebGedoeldLzijnomzeopteslaan.BOmdathetsturenvqaneenenkel,groGot(65,510bytes)"ping"pakketnaarveelsystemenerinzalresulterendatze"hangenfzelfs crashen,werdditprobleemalsnelde"Pingo'Death"genoGemd.DitprobleemisallanggeledenopgelostU enisnietlangerietswaarjejedrukoverhoGefttemaken.$|Q_2 ~?G8. XBev>eiligingv\|anhetnetwerk(߹36ՁVT eardropQ/NewTearI-Eenvqandemeestrecentemisbruikenheefttemakenmeteenbugdie aanwezig|isindeIPNfragmentatiecoGdeopLinuxenWindowsplatformen.Hetisopgelostinkernelversiey$2.0.33enhetisnietmeernoGdigomtijdenshetcompilerenvqandekerneleenoptieteselecterenomgebruikU temakenvqandezeoplossing.qLinuxisblijkbaarnietkwetsbaarvoGorhet"newtear"misbruik.ؼJe~wkuntdecoGdevqandemeestemisbruikeneneenmeerdiepgaandebGeschrijvingvqanhoGezewerken,vindenopU http://www.r}/ootshell.comdoGorgebruiktemakenvqanhunzoGekmachine.#Í8.8NFS(NetworkFileSystem)b_eveiligingMNFSǞiseenveelgebruiktprotoGcolombestandentedelen.BaHetstaatserverstoeomnfsdenmountdtedraaienomkgehelebGestandssystementexporteren"naaranderemachinesdoorgebruiktemakenvqandeonderste-uningvqanhetNFSbGestandssysteemdatisingebouwdinhunkernels(ofeenandereclientondersteuningalshetgeenLinuxmachineszijn)./EmountdhoudtdegemountebGestandssystemenbijin/etc/mtabenkqanzetonenU metshowmount.ؼV*eelK>sitesgebruikenNFSK;omgebruikerstevoGorzienvqaneenhomedirectory*,M8zodatze,M8ongeachtK>vqanafwelkemachineU inhetclusterzeinloggen,allemaalhuneigenbGestandenhebben.ErsismaareenkleinehoGeveelheidbeveiligingtoegestaanbijhetexporterenvqanbestandssystemen.JekuntjeѧnfsdderemoteroGotgebruiker(uid=0)latenomzettennaardenobodygebruiker,waardoGortotaletoegangtotxdebGestandendiewordengexporteerdwordtontzegt.eOmdatindividuelegebruikersechtertoGeganghebbGen\Btothuneigenbestanden(ofopz'nminstmethetzelfdeuid),^ kqanderemoterootgebruikerinloggen(ofԼsugebruikenominteloggen)ophunaccountentotaletoGeganghebbentothunbestanden.MDitisslechtseenU kleinehindernisvoGoreenaanvqallerdietoGegangheeftomjeremotebestandssystementemounten.AlskjeNFSk moGetgebruiken,pweeskerdanzekervqandatjealleenexporteertnaardiemachineswaarnaarhetechtU noGdigis.qExporteernooitjegehelerootdirectory;exporteeralleendirectory'sdiejemoetexporteren.BekijksdeNFSoHOWTOvoGorsmeerinformatieoverNFS,bGeschikbaarophttp://metalab.unc.e}/du/mdw/HOWTO/NFS-HOWTO.html#Í8.9NIS(NetworkInformationService)(vo_orheenYP)MNetwork#InformationService(voGorheenYP)iseenmanierwaaropinformatieverspreidwordtnaareengroGepmachines.LDeONIS3bGeheerderbeheertdeinformatietabellenenconverteertOzenaarNIS3mapbestanden.LDezemappGenTwordendanophetnetwerkgezet,waarzeNISTclientmachinestoGestaanomlogin,wachtwoGord,homedirectoryenshellinformatieteverkrijgen(alleinformatieineenstandaard/etc/passwdbGestand).DitstaatgebruikerstoGeomeenmalighunwachtwoGordteveranderen, waarnaditzijnuitwerkingheeftopalleU machinesinhetNISdomein.NISNis_helemaalnietveilig.8=DitwasoGoknooitdebedoeling.8=Hetwasbedoeldomhandigennuttigtezijn.IedereenmQdiedenaamvqanjeNISmKdomeinkanraden(waardanoGokophetnet),s^kaninhetbGezitkomenvaneen\RkopievqanjepasswdbGestandengebruikmakenvqan"crackn"JohntheRippGermdewachtwoGordenvqanjegebruikerstekraken.DOokishetmogelijkomNISte"spGoofennallerleisoGortennaretrucksuittehalen.AlsU jeNISmoGetgebruiken,weesjedanbGewustvqandegevaren.Er kiseenveelveiligerevervqangingvoGorNIS,genaamdNIS+._BekijkdeNIS ^HOWTOvoGor kmeerinformatie:http://metalab.unc.e}/du/mdw/HOWTO/NIS-HOWTO.html%_2 ~?G8. XBev>eiligingv\|anhetnetwerk(߹37ՁV8.10%}FirewallsMFirewallszijnbGedoeldomtecontrolerenwelkeinformatiejelokqalenetwerkbinnenkomtenuitgaat.WDe rewall<^hostiskenmerkendverbGondenmethetInternetenjelokqaleLANeiligingsvoQorbereidingen(v>oordatjeon-linegaat)&38ՁVKanU omgaanmetprotoGcollenandersdanICMP/TCP/UDP*.ލAls9jenuipfwadmopje2.0kernelgebruikt,?9zijnerscriptsbGeschikbaaromhetipfwadmcommandoformaat teU converterennaarhetformaatdatipchainsgebruikt.ؼLees deIPChainsHOWTOvoGor verdereinformatie.$HetisbGeschikbaarophttp://www.rustc}/orp.com/linux/ipchains/HOWTO.html#}8.12%}VPN's-VirtualPriv@ ateNetworksMVPN's(zijneenmanieromeen"virtueel"netwerk(totstandtebrengenbGovenop(eenreedsbestaandnetwerk.DitvirtuelenetwerkisvqaakgecoGdeerdenstuurthetverkeeralleennaarenvanenkelebGekendeentiteitendiedeel̇uitmakenvqanhetnetwerk.׵VPN'swordenvqaakgebruiktomiemanddiethuiswerktviahetpubliekeInternetU teverbindenmethetinternebGedrijfsnetwerk.AlsfjeeenLinuxmasqueradingrewalldraaitenjemoGetMSfPPTP(Microsoft'sfVPNpoint-to-pointfproduct)pakkettenU omzeilen,isereenLinuxkernelpatchuitgekomenomjuistdattedoGen.qZie:ip-masq-vpn.ErU zijndiverseLinuxVPNoplossingenbGeschikbaar:ލvpnd.qZieU dehttp://sunsite.auc.dk/vpnd/.F*reeU S/Wan,bGeschikbaarophttp://www.xs4all.nl/fr}/eeswan/sshU kqanwordengebruiktomeenVPNteconstrueren.qZiedeVPNmini-howtovoGormeerinformatie.vpsU (virtualprivqateserver)ophttp://www.str}/ongcrypto.com.ZieU oGokdeparagraafoverU IPSECvooraanwijzingenenmeerinformatie.(V9BevceiligingsvoporbereidingenG\(vcoordatjeon-linegaat):Ok,udusjehebtjesysteemgecontroleerdenbGevondendathetzoveiligmogelijkisenjebGentklaaromhet on-line5tezetten._ErzijneenaantaldingendiejenumoGetdoenomjevoortebereidenopeenaanvqal,)zodatjeU deindringersnelkqanuitschakelen,U dezaakhersteltenweerdraait.#}9.1Maakeenvolledigebackupv@ anjemachineMEen3discussieover3backupmethoGdesenopslagvqaltbuitendestrekkingvanditdoGcument,9maarhierzijneenpaarU woGordenoverbackupsenbGeveiliging:ؼAls*jeminderdan650mbaangegevensopeenpartitieopteslaanhebt,#miseenkopievqanjegegevensopeenN CD-RNeengoGedemanier(omdathetmoeilijkisomerlatermeeteknoeienenheteenheletijdmeegaatmitshetjuistwordtbGewaard).T*apesenandereherschrijfbaremediamoGetengelijktegenschrijvenwordenbGeveiligdzodrajebackupklaarisenvervolgenswordengeverieerdomgeknoGeitevoGorkomen.^LeteropdatjejebackupsbGewaartopeenveiligeo-linelokqatie.EengoGedebackupverzekertjeervqandatjejesysteemkuntU herstellenvqanafeenbGekendgoGedpunt.9.2Hetkiezenv@ aneengo_edbackupschemaMEen)NcyclusvqanzestapGesismakkelijkteonderhouden.bDithoudtin:[viertapesvoordoordeweek,2eentapevoGorUdeevenvrijdageneneentapGevoGordeonevenvrijdagen. V*oGerelkedageenbackupuitvqanalleende'_2 ~?G9.8Bev>eiligingsvoQorbereidingen(v>oordatjeon-linegaat)&39ՁVgegevensdieeropdiedagbijgekomenzijnenzetopdedesbGetreendevrijdagtapeeenvolledigebackup. AlsjebGepaaldebelangrijkewijzigingenaanbrengtofenkelebGelangrijkegegevensaanjesysteemtoGevoegt,zalU eenvolledigebackupopzijnplaatszijn.#Í9.3Maakeenbackupv@ anjeRPMofDebianFileDatabaseMInhetgevqaldatjesysteembinnengedrongenwordt,kunjejeRPMdatabasegebruikenzoalsjetripwirezou>zgebruiken,xmaaralleenalsjeerzekervqankanzijndathetnietoGokisaangepast.-JemoetdeRPMdatabasekopirennaareendisketteendezekopietenalletijdeno-linebGewaren.DeDebiandistributieheeftU waarschijnlijkietsdergelijks.ؼDe4bGestanden/var/lib/rpm/fileindex.rpmen/var/lib/rpm/packages.rpmzullenwaarschijnlijk4nietopeenU enkelediskettepassen.qMaargecomprimeerdzalelkwelopeenenkelediskettepassen.Nu,U alsjesysteemingevqaarisgebracht,U kunjehetvolgendecommandogebruiken:卑droot# rrpmN-VaؼompbelkbGestandopjesysteemteveriren.FZiederpmmanpagina,w3wanterzijneenpaarandereoptiesdiekunnenwordenmeegegevenomhetminderverbGose(uitgebreid)temaken.0DenkeraandatjeeroGokzekervqanU moGetzijndatjeRPMbinarynietingevaarisgebracht.DitxbGetekentdatelkekeerdateenRPMUwordttoGegevoegdxaanhetsysteem,3deRPMUdatabaseopnieuwmoetwordenU gearchiveerd.qJemoGetdevoGordelenafwegentegendenadelen.#Í9.4HoudjesysteemloggegevensbijMHet"isergbGelangrijkdatdeinformatiedieafkomstigisvqansyslognietgecompromitteerdis.`DebestandeninU /var/loglees-enschrijfbaarmakenvoGorslechtseenbGeperktU aantalgebruikersiseengoGedbegin.HoudqGeenoGogjeqGopwaterdaarweggeschrevenwordt,xQspGeciaalonderdeauthfaciliteit.V*eelvuldigmislukteloginsU bijvoGorbeeld,kunneneenindicatiezijnvooreenpogingtotinbraak.W*aar!jejelogbGestandmoetzoekenhangtafvqanjedistributie.]OndereenLinuxsysteemdatinovereen-stemming7ismetde"LinuxFilesystemStandard",=zoalsRedHat,moGetjekijkenin/var/logenmessages,mail.logU enanderencontroleren.JeQkuntuitzoGekenwaarjedistributiedelogswegschrijftdoGortekijkennaarje/etc/syslog.confbGestand.DitoiseenbGestanddatsyslogd(desysteemloggingdaemon)verteltwaardediversebGerichtenmoGetenwordengelogd.MisschienwiljeoGokjelog-rotatingscriptofdaemonzoinstellendatzedelogslangerbewaren,D]zodatjedetijdhebtomzeteonderzoGeken.X,BekijkhetlogrotatepakketoprecenteRedHatdistributies.X,AnderedistributiesU hebbGenwaarschijnlijkU eensoortgelijkproces.Als^yermetjelogbGestandenisgeknoeid,`kijkdanofjekqanbepalenwanneerhetgeknoeiisbegonnenenmetwatHvoGorsoortdingengeknoeidis.`Zijnergroteperiodesvqantijddienietgelogdzijn?`HetzoekenopjebackupU tapGes(alsjediehebt)naarlogbestandenwaarnietmeegeknoeidis,iseengoedidee.IndringersystaanerbGekendomdatzelogbestandenaanpassenomhunsporenuittewissen,#maarzemoetentoGchSwordengecontroleerdopvreemdegebGeurtenissen.eJekuntdeindringerindegatenkrijgenalshijprobGeerttoegangteverkrijgenofeenprogrammamisbruiktomhetrootaccounttepakkentekrijgen.MisschienU ziejewellogentriesvoGordatdeindringertijdheeftomzeaantepassen.JekmoGetookdeauthfaciliteitscheidenvqanandereloggegevens,jevenalspGogingenomvqangebruikertewisselendoGorU gebruiktemakenvqansu,loginpogingenenandereloginformatievqangebruikers.(1_2 ~?G10.8W attedoQentijdensennaeenin>braak򂯹40ՁVStel,0indien`mogelijk,syslogzoindatheteenkopievqandebGelangrijkstegegevensstuurtnaareenveilig systeem. .DitLvoGorkomtdateenindringerzijnspGorenuitkqanwissendoorhetverwijderenvqanzijnlo-gin/su/ftp/etcU pGogingen.qZiedesyslog.confmanpaginaenganaarde@optie.ؼEr6zijndiversemeergeavqanceerdesyslogdprogramma'sbGeschikbaar.ggNeemeenkijkjeophttp://www.c}/ore-sdi.c}/om/ssyslog//yvoGorSecureSyslog.MetSecureSyslogkunjejesyslogentriesversleutelenomzekertewetenU daterniemandmeeheeftgeknoGeid.Eenaanderesyslogdmetmeermogelijkhedenissyslo}/g-ng.HiermeehebjemeerexibiliteitinjeloggingenhetU kqanoGokvoorkomenU datermetjeremotesyslogstromenwordtgeknoeid.T*otEslot,HlogbGestandenzijnveelminderbruikbaaralsniemandzeleest.lrMaakzoafentoeeenswattijdvrijomjelogbGestandentebekijkenomeenindruktekrijgenhoezeeropeengewonedaguitzien.DDitkqanhelpenomU alleswatongebruikelijkisteonderscheiden.#Í9.5Maakgebruikv@ anallenieuwesysteemup_datesMDeWmeesteLinuxgebruikersinstallerenvqanafeenCD-ROM.DoGordathettempowaaropbeveiligingsxesuitkomen>hoGogis,wordeneraltijdnieuwe(gecorrigeerde)programma'suitgegeven.V*oGordatjejemachineverbindtmethetnetwerk,tisheteengoGedideeomopdeftpsitevqanjedistributietekijkenenallebijgewerktepakketten,VvqanafhetmomentdatjedeCD-ROMvqanjedistributiehebtontvqangen,Vtedownloaden.5V*aakbGevqattenU dezepakkettenbelangrijkebeveiligingsxes,dushetiseengoedideeomzeteinstalleren.(10%W(atG\tedopentijdensennaeenincbraak:Dus jehebtenkelevqandeadviezenhier(ofergensanders)opgevolgdeneeninbraakgeconstateerd?7HeteersteY2datjemoGetdoeniskqalmblijven.}OverhaasteY2actieskunnenmeerschadeaanrichtendandeaanvqallerzouU hebbGengedaan.10.1%}Eenaanv@ alopdeb_eveiligingisaandegangMHet indegatenkrijgenvqaneenaanvalopdebGeveiligingdieaandegangis,pkaneengespannenondernemingzijn.qDeU manierwaaropjereageertkqangrotegevolgenhebbGen.ؼAls^deaanvqaldiejezieteenfysiekeis,bGestaatdekqansdatjeiemandhebtopgemerktdieheeftingebrokeninjeohuis,ukqantoGoroflaboratorium.fJezoudeplaatselijkeautoriteiteninmoetenlichten.fIneenlabGoratoriumkunUjemisschieniemandopgemerkthebbGendieprobeerdeeenkqastteopenenofeenmachineopnieuwopteDstarten.rAfhankelijkvqanjeautoriteitenproGcedureskunjehemvragendaarmeetestoppenofcontactopnemenU metlokqalebGeveiligingsmensen.AlsjehebtgeconstateerddateenlokqalegebruikerjebGeveiligingingevqaartrachttebrengen, isheteerstedatjemoGetdoenjeervqanvergewissendathetinderdaaddepersoonisdiejedenktdathetis.,Controleerdesitewaarvqanafhijinlogt.ZIshetdesitewaarvqanafhijnormaalgesprokeninlogt?ZNee?GebruikdaneenAniet-elektronischemanieromcontacttemaken.kBelhembijvoGorbeeldAopofloGopnaarzijnkqantoGor/huisenpraatmethem.ҍAlshijbGevestigtdathijverbindingheeft,;kunjehemvragenomuitteleggenwathijaan$hetdoGenwasofhemvertellendathijermeeopmoGethouden.a\AlshijgeenverbindingheeftenoGokgeenidee#heeftwaarjehetoverhebt,-bGestaatdekqansdatditincidentverderuitgezoGchtmoGetworden.aBestudeerzulkeU incidentenenverzamelgenoGeginformatievoGordatjeenigebeschuldiginguit.Als%jeeenaanvqalviahetnetwerkhebtgeconstateerd,isheteerstedatjemoGetdoen(alsjedaartoedemogelijkheidhebt)hetverbrekenvqandeverbindingmethetnetwerk.DlAlszeverbGondenzijnmeteenmodem,haaldestekkervqanhetmoGdemerdanuit;RalsjeverbGondenzijnviaEthernet,haaldandeEthernetkqabel)Ҁ_2 ~?G10.8W attedoQentijdensennaeenin>braak򂯹41ՁVlos.Dit[:voGorkomtdatzenogmeerschadeaanrichten.Zezullenhetwaarschijnlijkalseennetwerkprobleem zienU ennietalseensignaaldatzeopgemerktzijn.ؼAls'jedeverbindingmethetnetwerknietkuntverbreken(alsjeeendrukkesitehebtofjehebtgeenfysiekecontrole@overjemachines),9isdevolgendestapomietsalstcp_wrappersofipfwadmtegebruikenomtoGegangvqanafU desitevandeindringerteweigeren.AlsjjenietallemensenvqanafdezelfdesitealsdeindringerdetoGegangkuntweigeren,zalafsluitenvqanhetgebruikersaccount?deoplossingzijn.4Houderrekeningmeedathetafsluitenvqaneenaccountnietgemakkelijkis.qDenkU aande.rhostsbGestanden,FTPtoegangeneenhostmetmogelijkeachterdeuren.AlsjeeenvqandebGovenstaandedingenhebtgedaan(hetnetwerkafgesloten,toegangvqanafhunsitegeweigerden/ofU hunaccountuitgeschakeld),moGetjealhungebruikersproGcessenafsluitenenzeuitloggen.Jed[moGetjesitedekomendepaarminutengoGedindegatenhouden,wantdeaanvqallerprobGeertomweerbinnenteU komen.qMisschiendoGorgebruiktemakenvqaneenanderaccounten/ofvqanafeenandernetwerkqadres.#Í10.2%}Eenaanv@ alheeftreedsplaatsgevondenMDusjehebtofweleenaanvqalopgemerktdiereedsheeftplaatsgevondenofjehebthetopgemerkten(hopGelijk)deU overtredendeaanvqallerbuitenjesysteemgesloten.qW*atnu? 10.2.1(Hetgatdic>htenAlsthetgeluktisomvqasttestellenopwelketmanierdeaanvallerjesysteemisbinnengedrongen,> moGetjeprobGerenKdatgattedichten.TMisschienKziejebijvoorbeelddiverseFTPKWentriesnetvoGordatdegebruikerinlogte.cSchakel+deFTP+serviceuitenkijkofereenbijgewerkteversievqanisofdateenvandemailinglistsietsU weetovereenx.ؼControleeraljelogbGestandenenbrengeenbezoekaanjebeveiligingslistsenpagina'somtekijkenofereenxisvoGornieuwealgemenemisbruiken. WJekuntbGeveiligingsxesvoGorCalderavindenophttp://www.c}/aldera.com/tech-ref/security/. RedHatheeftzijnbGeveiligingsxesnognietgescheidenvqanzijnU bugxes,maarhundistributieerrataisbGeschikbaarophttp://www.r}/edhat.com/errata.DebianheeftnueenmailinglistoverbGeveiligingeneenwebpagina.GtZie:http://www.debian.or}/g/security/voGorU meerinformatie.HetisergwaarschijnlijkdatalsdeenedistributeureenbGeveiligingsupdateheeftuitgegeven,;demeesteandereLinuxU distributeursditoGokzullendoen.Er!risnueenpro0jectdatdebGeveiligingonderLinuxdoGorlicht.uZegaansystematischdoGoralleuser-spacevoGorzieningenU enkijkennaarmogelijkebGeveiligingslekkenenoverows.qUithunaankondiging:ؼ'"W*e probGerendeLinuxbronnensystematischdoGortelichtenteneindenetzoveiligtezijnalsOpGenBSD.W*ehebbenreedsenkeleproblemenontdekt(enopgelost),maarmeerhulpiswelkom.De!lijststaatopGenvooriedereenenistevenseenbruikbaarhulpmiddelvoGoralgemenediscussiesover;bGeveiliging.i Hetadresvqandelijstis:dsecurity-audit@ferret.lmh.ox.ac.uk.i Stuur,@omjeinteschrijven,U eene-mailnaar:qsecurity-audit-subscribGe@ferret.lmh.ox.ac.uk"Alsjedeaanvqallernietbuitensluit,Pkomthijwaarschijnlijkterug.Nietalleenterugopjemachine,Pmaarterug'ergensopjenetwerk.Als'hijeenpacket'snierdraaide,\MisdekqansgroGotdathijtoegangheefttotandereU lokqalemachines.*_2 ~?G10.8W attedoQentijdensennaeenin>braak򂯹42ՁV10.2.2(Desc>hadeopnemenMHetpeerstedatjemoGetdoenisdeschadeopnemen.ZW*aarismeegeknoeid?ZAlsjeeenintegritypcheckerzoals Tripwire޹draait, QkunjediegebruikenomeenintegriteitscontroleuittevoGeren;hethelptjemethetbepalenwaarmeeU isgeknoGeid.qZoniet,danzuljealjebelangrijkegegevensmoGetennakijken.ؼOmdatLinuxsystemensteedseenvoudigerteinstallerenzijn,!kunjeoverwegenomjeconguratiebGestandenopteslaan,jedisk(s)schoGontevegen,opnieuwteinstallerenenjegebruikersbGestandenenconguratiebe-standen-vqanafbackupsterugtezetten.ZobGenjeervanverzekerd-datjeeennieuw,schoGon-systeemhebt.Als=jebGestandenmoetterugplaatsenvqanafeengecompromitteerdsysteem,BweesdanvoGoralvoGorzichtigmetenigeDKbinary'sdiejeterugplaatst,omdathetT*ro0janhorseskunnenzijndiedaarneergezetzijndoGordeindringer.AlsHeenindringerroGottoegangheeftverkregen, moetjeopnieuwinstalleren.M8BovendienwiljeallebGewijsdaterU isgraagbGewaren,dushethebbenvqaneenreservediskindekluisiszinvol.V*ervolgensmoGetjejedrukmakenoverhoGelanggeledenhetgebeurdisenofdebackupsbeschadigdwerkbGevqatten.qMeerU overbackupsvolgtlater. 10.2.3(Bac>kups,backups,backups!MHethebbGenvqanregelmatiggemaaktebackupsiseenuitkomstvoGorbeveiligingsaangelegenheden.EAlsjesysteemugecompromitteerdis,}kunjedegegevensdiejenoGdighebtherstellenvqanafdebackups.ӏNatuurlijkzijnsommigegegevensoGokvoGordeaanvqallerwaardevol.PZezullenzenietalleenvernietigen,=zezullenzestelenU enerkopienvoGorhenzelfvqanmaken;maarjehebtiniedergevqaldegegevensnog.JemoGetdiverseeerderebackupscontrolerenvoGordatjeeenbestandhersteltwaarmeegeknoeidis. Deindringer1*kqanjebGestandenallanggeledenhebbengecompromitteerdenjekuntveelsuccesvollebackupsgemaaktU hebbGenvqanhetgecompromitteerdebestand.NatuurlijkvkleveneroGokeenaantalbGeveiligingsbezwarenvaanbackups.֕ZorgervoGordatjezeopeenveiligeplaatsbGewaart.fW*eetwieertoegangtoeheeft.f(Alseenindringerjebackupstepakkenkqankrijgen,KheefthijU toGegangtotaljegegevenszonderdatjehetooittewetenkomt.) 10.2.4(DeindringertracerenMOk,ojehebtdeindringerbuitengeslotenenjesysteemhersteld,maarjebGentnogniethelemaalklaar.FHoewelhet onwaarschijnlijkisdatdemeesteindringersoGoitwordenopgepakt,+moGetjeaangiftedoenvqandeaanval.JeTmoGetdeaanvqalrapporterenaandebeheerdervqandesitevanwaarTdeaanvallerjesysteemheeftaangevallen.Jep.kuntdezebGeheerderopzoekenmetwhoisofdeInternicdatabase.«Jezouhemeene-mailkunnensturenmetallevqantoGepassingzijndelogentries,datumsentijden.cAlsjeietsandersopmerkerkelijksoverjeindringer isopgevqallen,9moGetjedatookmelden.Nadee-mailverstuurdtehebben,9zoujedit(mocht jedaartoGeSgeneigdzijn)moetenlatenvolgendooreentelefoontje.qAlsdiebeheerderopzijnbeurtjeaanvqallerinddegatenkrijgt,hYkqancontactwordenopgenomenmetdebGeheerdervqandesitewaardeaanvqallervandaankomtU enzovoGort.GoGedeVucrackersgebruikenvqaakveelbGemiddelendesystemen.uSommige(ofveel)daarvqanwetenwellichtnieteensdatzezijngecompromitteerd.-OProbGerenomhetspoorvqaneencrackerterugtevolgennaarzijneigensysteem|kqanmoGeilijkzijn.W*eesbeleefdtegendebeheerderswaarjemeepraat,zekunnenjeeenheeleindopU weghelpGen.JeNmoGetookdebeveiligingsorganisatieswaarjedeelvqanuitmaaktopdehoGogtestellen(CER;TU ofsoGortgelijk),evenalsdeverkopGervqanjeLinuxsysteem.+_2 ~?G11.8Bronnenڹ43ՁV11%Bronnen:Erx zijnVEELxgoGedesitesoverx debeveiligingvqanUnixinhetalgemeenenoverdebGeveiligingvqanLinuxin hetbijzonder. 2HetisergbGelangrijkomjeteabonnerenopeen(ofmeer)vqandebeveiligingsmailinglistsenbijteblijvenophetgebiedvqanbGeveiligingsxes.'Demeestevqandezelistszijnkleinvanomvangenerginformatief.#Í11.1%}FTPSitesMCER*TpisϐhetComputerEmergencyRespGonseTeam.ZeversturenvqaakwaarschuwingenvoGorrecenteaan-vqallenU enxes.qZieftp://ftp.c}/ert.orgU voGormeerinformatie.ؼZEDZ(voGorheen>Replay)(http://www.ze}/dz.net)heeftarchievenvqanvelebGeveiligingsprogramma's.OmdatzeU zichbuitendeVSbGevinden,hoevenzezichniettehoudenaandecoGderingsbeperkingenU vqandeVS.MattBlazeisdeauteurvqanCFSxeneengoGedebeveiligingsadvocaat.Matt'sarchiefisbGeschikbaaropftp://ftp.r}/esearch.att.com/pub/mabU tue.nlU iseengoGedeNederlandseFTPsiteoverU beveiliging.qftp.win.tue.nl#Í11.2%}Websites#TheU HackerFAQiseenFAQoverhackers:qTheHackerF_AQHet1COAST1archiefheefteengroGotaantalbGeveiligingsprogramma'seninformatievoGorUnix:_COASTSuSeU SecurityPage:qhttp://www.suse.de/se}/curity/RoGotshell.comiseengoedesiteomtezienwelkesoortenmisbruikertegenwoordigwordengepleegd doGorU crackers:qhttp://www.r}/ootshell.com/BUGTRAQU geeftadviesoverbGeveiligingsonderwerpen:qBUGTRAQar}/chivesCER*T,.hetComputerEmergencyRespGonseTeam,'geeftadviesover.algemeneaanvqallenopUnixplatvormen:CER;ThomeDanxF*armerisdeauteurvqanSATANbenveleanderebGeveiligingstools.TZijnxeigensitebGevqateenhandigoverzichtU metbGeveiligingsinformatie,evenalsbGeveiligingstools:qhttp://www.tr}/ouble.orgDe>LinuxsecurityWWWiseengoGedesitevoGorinfomatieoverdebGeveiligingvqanLinux:LinuxSe}/curityWWWInlsecheefteenkwetsbaarheidsenginediejekqanvertellenwelkekwetsbaarhedenbGetrekkinghebbenopU eenbGepaaldplatform:qhttp://www.inlse}/c.com/vulnerabilities/CIAC verstuurt =pGeriodiekebeveiligingsbulletinsoveralgemeenmisbruik: ߹http://ciac.llnl.gov/c}/gi-bin/index/bulletinsEenMgoGedstartpuntvoGorLinuxPluggableAuthenticationmoGduleskqanwordengevondenophttp://www.kernel.or}/g/pub/linux/libs/pam/.HetZADebianpro0jectheefteenwebpaginavoGorhunbGeveiligingsxeseninformatie. Hetstaatophttp://www.debian.c}/om/security/.WWWaSecurityaFAQ,geschrevendoGorLincolnStein,e iseengoednaslagwerkoverwebbGeveiliging.JekuntU hetvindenophttp://www.w3.or}/g/Security/F;aq/www-security-faq.html,t_2 ~?G11.8Bronnenڹ44ՁV11.3%}MailingListsMBugtraq:+V*oGor2>eenabonnementopbugtraqstuurjeeene-mailnaarlistserv@netspace.org,iwaarbijinde inhoudU vqanhetbGerichtU "subscribebugtraq"staat.q(ZiedeverwijzingenhierbovenU voorU archieven).ؼCIAC:Stuureene-mailnaarma0jordomo@tholia.llnl.gov.N6ZetindeINHOUD](nietonderwerp)vqanhetbGerichtU "subscribeciac-bulletin".Red8GHatheefteenaantalmailinglists,waarvqandebGelangrijkstederedhat-announcelistis. JekunterlezenoverbGeveiligings(enandere)xeszoGdrazeuitkomen.7Stuureene-mailnaarredhat-announce-list-request@redhat.comnmetalsonderwerp"SubscribGe".Ziehttp://www.r}/edhat.com/mailing-lists/redhat-announc}/e-list/U voGormeerinformatieenarchieven.HetDebianpro0jectheefteenbGeveiligingsmailinglistdiehunbGeveiligingsxesbGehandelt.KZiehttp://www.debian.c}/om/security/U voGormeerinformatie.#Í11.4%}Bo_eken-GedruktmateriaalMEr&zijneenaantalgoGedeboekenoverbGeveiliginginomloGop.Dezeparagraafsomteenkleinaantalhiervqanop.L InaanvullingopdebGoekendiespGeciekoverbGeveiliginggaan,kwordtbGeveiligingbGehandeldineenaantalandereU bGoekenoversysteembGeheer.BuildingU InternetFirewallsdoGorD.BrentChapman&ElizabGethD.Zwicky1eU drukseptembGer1995ISBN:U 1-56592-124-0PracticalU UNIX&InternetSecurity*,2edrukdoGorSimsonGarnkel&GeneSpaord2eU drukapril1996ISBN:U 1-56592-148-8ComputerU SecurityBasicsByDebGorahRussell&G.T.Gangemi,Sr.1eU drukjuli1991ISBN:U 0-937175-71-4LinuxU NetworkAdministrator'sGuidedoGorOlafKirch1eU drukjanuari1995ISBN:U 1-56592-087-2PGP:U PrettyGoGodU PrivqacydoGorSimsonGarnkel1eU drukdecembGer1994ISBN:U 1-56592-098-8Computer%CrimeACrimeghter'sHandbGook%doorDavidIcove,KarlSeger&WilliamV*onStorch(ConsultingEditorU EugeneH.Spaord)1eU drukaugustus1995ISBN:U 1-56592-086-4LinuxU SecuritydoGorJohnS.FlowersNewU RidersISBN:U 0735700354maartU 1999MaximumU LinuxSecurity:qAHacker'sGuidetoProtectingY*ourLinuxServerandNetworkAnoniemPapGerbackU -829pagesSams- _2 ~?G12.8V erklarendew>oQordenlijst6*45ՁVISBN:U 0672313413 juliU 1999ؼIntrusionU DetectiondoGorT*erryEscamillaPapGerbackU -416pagina's(September1998)JohnU WileyandSonsISBN:U 0471290009FightingU ComputerCrimeDonnU ParkerPapGerbackU -526pagina's(September1998)JohnU WileyandSonsISBN:U 0471163783(12%V(erklarendeG\wcopordenlijstauthen>ticatie:)?HetĝtewetenkomenofdeontvqangengegevenshetzelfdezijnalsdeverzondengegevensenU ofdebGeweerdeafzenderinderdaaddewerkelijkeafzenderis.=bastion'host:kmeestalomdathetisbloGotgesteldaanhetInterneteneenbGelangrijkcontactpuntisvoGorgebruikersDvqaninternationalenetwerken.Hetdanktzijnnaamaandegeavqanceerdeverdedigingspro-jectenopdebuitenmurenvqanmiddeleeuwsekqastelen.WBastionsoverzienkritiekeverdedigingsgebieden,hebbGen@meestalsterkemuren,ruimtevoGorextramankrachtenhetsomsnuttigevqatmetkokendheteolieU omaanvqallersteontmoGedigen.buerHo>verloQop:4lDealgemenecoGderingsstijlisomnooitbuersdiegrootgenoegzijntoetewijzenenniet+tecontrolerenopoverlopGen.E/AlszulkebuersoverlopGen,kqanhetuitvoGerendeprogramma(daemonofset-uidprogramma)wordenverlokttothetdoGenvqananderedingen.GewoGonlijkgebeurtditdoorhetU overschrijvenvqanhetretouradresvaneenfunctieomnaareenandereloGcatieteverwijzen.denialnofservice:,EenvaanvqaldiedehulpbronnenopjecomputergebruiktvoGordingendiehetnietzou$moGetendoenenzodoendehetnormalegebruikvqanjenetwerkbronnen$voor$legitiemedoeleindenverhindert.dual-homeddhost:k EencomputersysteemvoGoralgemenedoeleindendatopz'nminsttweenetwerkinterfacesU heeft.rew>all:,Een2compGonentofsetvqancomponentendatdetoegangbeperkttusseneenbeveiligdnetwerkenU hetInternetoftussenanderenetwerken.host:qEenU computersysteemdataangeslotenisopeennetwerk..!Ӡ_2 ~?G13.8V eelgesteldevragenM 46ՁVIPM6spQoong:6{IPSpGoongiseencomplexetechnischeaanvqaldiebGestaatuitdiverseonderdelen.J'Hetis een`bGeveiligingslekdatwerktdoGorcomputersineenvertrouwensrelatietelatendenkendatjeiemandbGent ydiejeinwerkelijkheidnietbGent.Eriseenuitgebreidstukgeschrevenoverdeamon9,9routeeninnityU inV*olumeZeven,uitgave48vqanPhrackMagazine.=non-repudiation:YDe5mogelijkheiddieeenontvqangerheeftomtekunnenbGewijzendatdeafzendervqan?bGepaaldegegevensinderdaaddegegevensverstuurdheeft,CzelfswanneerdeafzenderlaterontkentdatU hijhetoGoitverstuurdheeft.pakk>et:qHetU basisonderdeelvqancommunicatieophetInternet.pakk>et^ltering:&DesactiedieeenapparaatonderneemtomselectiefdegegevensstroGomnaaren vqanaf'keennetwerk'ktebGeheren.`Pakketlters'kstaanpakkettentoeofblokkerenze,[gewoGonlijkterwijlzezeroutenvqanhetenenetwerknaarhetandere(veelalvanafhetInternetnaareeninternnetwerken%viceversa).Ompakketlteringtotstandtebrengen,>steljeregelsopdiebGepalenwelkesoGortenpakkettenb(degenennaarofvqanafeenbGepaaldIPbadresofpoort)wordentoegestaanenwelkebsoortengeblokkeerdU worden.pQerimeternet>werk:FEen?netwerkdattoGegevoegd?istusseneenbeschermdnetwerkeneenexternnetwerk,ObGedoeldomtevoGorzienineenaanvullendebGeveiligingslaag.OEenpGerimeternetwerkwordtsomsU eenDMZgenoGemd.pro>xyserver:TEen=programmadatdeexterneserversbGeheerttenbehoevevqaninterneclients.^5Proxyclients0gcommunicerenmetproxyservers,9wiensrelaisclientverzoGekenaanechteserversgoGedkeurtwaarnaU hetrelaisantwoGordteruggeeftaanclients.supQeruser:qEenU informelenaamvoGorroot.(13%V(eelG\gesteldevragen 9b1.Ishetveiligeromondersteuningvqanstuurprogramma'sdirectindekerneltecompileren,inplaatsvqanhetU eenmoGduletemaken?AntwoGord:Sommige&mensendenkendathetbeterisomdemogelijkheidtothetladenvqanstuurpro-gramma'sJvoGorapparatenmiddelsmodulesuitteschakelen,ΕomdatJeenindringereenT*ro0janmoduleofU eenmoGduledieinvloedkqanhebbenopdebeveiligingvqanhetsysteemkanladen.MaarCommoGdulestekunnenladenmoetjerootzijn.=HDemoduleob0jectbestandenzijnookalleenbGeschrijfbaar.(b)/Bouw,U testeninstalleerhet!(c)/HaalU deApache1.2.5sourceop.(d)/Haal-deApacheSSLeayextensiesopvqanafher}/e.(e)/PakU hetuitindeapache-1.2.5sourcedirectoryenpatchApachezoalsbGeschreveninREADME.dJ(f)/CongureerU enbGouwhet.=JekuntoGokZEDZ netproberen,#datveelkqantenklarepakkettenheeftenzichbuitendeV*erenigde StatenU bGevindt.= 9b5.HoGeU kqanikgebruikersaccountsU bewerkenU entochdebeveiligingbehouden?AntwoGord:~DeۡRedHatdistributie,BspeciaalRedHat5.0,Bbevqateengrootaantaltoolsomdeeigen- schappGenU vqangebruikersaccountsteveranderen.%/DeLżpwconvenunpwconvprogramma'skunnengebruiktwordenomtewisselentussen"shadown/"non-shadowed"wachtwoGorden.%/DeKpwckengrpckprogramma'skunnengebruiktwordenomteverirenofdepasswdengroup/bGestandenU juistingedeeldzijn.%/Deeuseradd,vusermodenuserdelprogramma'skunnengebruiktwordenomgebruikersaccounts/toGetevoegen,tteverwijderenenaantepassen.*dDegroupadd,groupmodengroupdelprogramma's/doGenU hetzelfdevoorgroepen.%/W*achtwoGordenU voorU groepenkunnenmetbehulpvqangpasswdaangemaaktworden.Aldezeprogramma'szijn"shadow-aware--dathoudtindatalsje"shadownschakelt,gze/etc/shadowzullengebruikenvoGorwachtwoGordinformatie,Sandersdoenzedatniet.ZZiederespectievemanpagina'svoGorU aanvullendeinformatie. 9b6.HoGeU kqanikmetbehulpvqanApachebGepaaldeHTMLdocumentenmeteenwachtwoGordbeveiligen?=IkU weddatjenietwistvqanhetbGestaanvanhttp://www.ap}/acheweek.orgU ofwel?1H%_2 ~?G14.8Conclusie49ՁVJeJkuntinformatieoverhetauthenticerenvqangebruikersvindenop http://www.ap}/acheweek.com/features/userauth evenalsanderewebserverbGeveiligingstipsvqanhttp://www.ap}/ache.org/docs/misc/security_tips.html(14%Conclusie:DoGorojeinteschrijvenoopdemailinglistsvoorbeveiligingswaarschuwingenoenbijteblijven,kunjeeenhoGopldoenmethetoogopbeveiligingvqanjemachine.eAlsjejelogbGestandenindegatenhoudtenietsalstripwireU regelmatiguitvoGert,kunjezelfsnogmeerdoen.ؼEenhverstandigniveauvqancomputerbGeveiligingisnietmoGeilijkteonderhoudenopeenmachinevoGorthuisge-bruik.m!MeerHmoGeiteisvereistbijzakelijkemachines,JmaarLinuxkqanzekereenveiligplatformzijn.m!DankzijhetkqaraktervandeontwikkelingvanLinux,komenbGeveiligingsoplossingenvqaakveelsnelleruitdandievoGorcommercileU bGesturingssystemen,watLinuxeenideaalplatformmaaktalsbGeveiligingeenvereisteis.15%Dankbpetuigingen:Derinformatiehierisverzamelduitvelebronnen.@DankaandevolgendendiezowelindirectalsdirecthebbGenbijgedragen:ؼRobU Riggsr}/ob@DevilsThumb.comS.U Consc}/on@netcom.comViktorU Przebindaviktor@CR;YSTAL.MATH.ou.e}/duRoGelofU Osingar}/oelof@eboa.comKyleU Hasselbacherkyle@c}/arefree.quux.soltc.netDavidU S.Jacksondsj@dsj.netT*oGddU G.Ruskellruskell@b}/oulder.nist.govRogierU W*olR.E.W;ol@BitWizar}/d.nlAntonomasiaU ant@notatla.demon.c}/o.ukNicU Bellamysky@wibble.netEricU Hanchrowoby1@blar}/g.netRobGertU J.Bergerrb}/erger@ibd.comUlrichU AlpGerslur}/chi@cdrom.uni-stuttgart.deDavidU Nohadave@c-c-s.c}/omPavelU Epifanovepv@ibm.netJoGeU Germuskqajo}/e@germuska.comF*ranklinU S.Werrenfswerr}/en@bagpipes.netPaulU RustyRussell b> cmmi10ChristineU GauntlinU bhewitt@r}/efmntutl01.afsc.noaa.gov2TӠ_2 ~?G15.8DankbQetuigingen^ع50ՁVA.SteinmetzU astmail@yaho}/o.comؼJunU Morimotomorimoto@xantia.citr}/oen.orgXiaotianU Sunsunx@newton.me.b}/erkeley.eduEricU Hanchrowoby1@blar}/g.netDeU volgendepGersonenhebbendezeHOWTOvertaaldinverschillendeanderetalen!SpGecialeU dankaanhenallemaalvoorhunhulpbijhetverspreidenvqanhetLinuxwoGord....PoGols:qZiemekU Borowskiziemb}/or@F_AQ-bot.ZiemBor.W;aw.PLJapans:qFUJIWARAU T*eruyoshifjwr@mtj.biglob}/e.ne.jpIndonesisch:qT*ediU Heriyanto22941219@students.ukdw.ac.idKoreaans:qBumeU ChangBoxc}/ar0001@aol.comSpaans:qJuanU CarlosF*ernandezpiwiman@visionnetwar}/e.comNederlands:qNineU Matthijssensmurn@nl.linux.or}/g^;_2G2D7` ectt1200qL ectt0900qL ecit1000!N ecbx1200HЃ ecti1000]f ecbx1000&Lt$ffffecbx14406 ecss1000qL ectt1000Iqqecss2074 1 ecrm1000 !", cmsy10 b> cmmi10b