IT-Academy Logo
Sign Up Login Help
Home - Betriebssysteme - Unix - Solaris-Spezielles - Solaris 8 härten



Solaris 8 härten

Der Artikel beschreibt die Maßnahmen und Tools die nötig sind, um eine Core-Installation von Solaris 8 so weit abzuspecken, das man hinterher eine Checkpoint Firewall-1 NG darauf installieren kann.


Autor: Jochen Berner (jberner)
Datum: 08-06-2002, 21:46:11
Referenzen: http://www.enteract.com/~lspitz/armoring2.html (der englische Originalartikel)
Schwierigkeit: Profis
Ansichten: 3598x
Rating: Bisher keine Bewertung.

Hinweis:

Für den hier dargestellte Inhalt ist nicht der Betreiber der Plattform, sondern der jeweilige Autor verantwortlich.
Falls Sie Missbrauch vermuten, bitten wir Sie, uns unter missbrauch@it-academy.cc zu kontaktieren.

[Druckansicht] [Als E-Mail senden] [Kommentar verfassen]



Übersicht

Firewalls sind einer der am schnellsten wachsenden Bereiche auf dem Gebiet der Informationssicherheit. Eine Firewall ist aber nur so sicher, wie das Betriebssystem auf dem sie läuft. Dieser Artikel ist eine Fortsetzung des Originals Solaris panzern (http://www.enteract.com/~lspitz/armoring.html) und konzentriert sich auf den Aufbau eines Minimal-Solaris 8 64-bit für die Checkpoint Firewall-1 NG. Dieser Artikel beinhaltet kein neues Skript für die automatische Absicherung einer neuen Installation, wie es im ersten Teil der Fall war. Statt dessen werden wir das Solaris Security Toolkit (JASS) (http://wwws.sun.com/software/security/jass/) verwenden. Dies ist ein neues Werkzeug, entwickelt und herausgebracht von Sun für die sichere Auslieferung der Solaris Plattform. In anderen Worten: ich werde kein neues Tool zur automatischen Sicherung entwickeln da es dieses Tool bereits gibt.

Installation

Der beste Punkt, um mit der Panzerung eines Systems zu beginnen ist ganz am Anfang: bei der Installation. Da diese Maschine die Firewall werden soll, kann man keiner alten Installation trauen. Stellen sie das System in ein isoliertes Netzwerk. Zu keiner Zeit soll das ungeschützte System mit einem aktiven Netzwerk oder gar dem Internet verbunden werden und so der Gefahr einer möglichen Kompromittierung ausgesetzt werden. Ich selbst habe neu installierte Systeme gesehen, die innerhalb von 15 Minuten nach Anschluss an das Internet gescannt und deren Schwachstellen ausgenutzt worden sind. Um später kritische Dateien und Updates einzuspielen, braucht man eine zweite Maschine, die als Mittelsmann fungiert. Diese zweite Maschine lädt die Dateien aus dem Internet und wird dann an das isolierte Konfigurationsnetzwerk angeschlossen um die Dateien zu übertragen.

Sobald die zukünftige Firewall in einem isolierten Netzwerk steht, kann man beginnen. Zuerst wird die Installationsart gewählt. Der Plan ist es, mit einem Minimum an installierter Software maximale Effizienz zu gewährleisten. Je weniger Software auf dem System läuft, umso weniger Angriffsfläche bietet es. Ich empfehle und bevorzuge die Core-Installation da sie eine absolute Minimalinstallation darstellt und dadurch für ein sichereres Betriebssystem sorgt. Man kann jedoch sogar von einer Core-Installation noch Pakete entfernen um das Betriebssystem noch sicherer zu machen.
Anmerkung: die folgende Paketliste basiert auf einer Solaris 8 Distribution 04/01 Core-Installation die automatisch 64-Bit Unterstützung einschließt. Aber egal welche Version von Solaris 8 Sie nutzen, am Ende möchten Sie die gleiche Anzahl Pakete haben. Die Installation wurde auf einer Ultra5 sun4u mit einer vierfach Ethernetkarte durchgeführt.

* Liste der 83 Pakete einer Core-Installation mit 64-Bit OS Unterstützung: http://www.enteract.com/~lspitz/jump.txt
* Liste der 58 Pakete die NICHT benötigt und entfernt werden können: http://www.enteract.com/~lspitz/jump-remove.txt
* Liste der 5 Pakete die für die Checkpoint Firewall-1 NG Unterstützung benötigt werden: http://www.enteract.com/~lspitz/jump-required.txt
* Liste der 30 verbleibenden Pakete: http://www.enteract.com/~lspitz/jump-done.txt
* Liste von optionalen Paketen die man der Firewall hinzufügen kann: http://www.enteract.com/~lspitz/jump-option.txt

Wenn Sie eine GUI oder zusätzliche Funktionen benötigen oder neu bei Solaris sind, dann könnten Sie über eine End-User-Installation nachdenken. Aber seien Sie vorsichtig: eine End-User-Installation fügt fast 100 zusätzliche Pakete hinzu und setzt so das System einer deutlich größeren Gefahr aus. Sie sollten also, wo immer möglich, die Core-Installation wählen. Alles über einer End-User-Installation fügt zusätzliche nutzlose und angreifbare Software hinzu. Für mehr Informationen darüber, wie man eine Minimalinstallation durchführt finden Sie hier: http://www.sun.com/security/blueprints/#minimum.

Partitionierung und Patching

Während der Installation wird man aufgefordert, das System zu partitionieren. Partitionierung hilft der Sicherheit auf zwei Weisen. Als erstes kann man kritische Partitionen wie die ´/´ Partition davor schützen vollgeschrieben zu werden, indem man separate Partitionen für die Protokollierung und Mail anlegt. Als zweites kann man festlegen, welche Partitionen welche Möglichkeiten haben, man kann z.B. die /usr die alle Systemdateien enthält auf Nur-Lesen setzen.

Daher empfehle ich eigene Partitionen für /var und /usr. Auf /var landen alle System und Firewall Protokolle sowie E-Mail. Durch Anlegen einer eigenen /var Partition schützt man seine root-Partition vor Vollschreiben. Eine eigene /usr Partition kann schreibgeschützt angelegt werden und so die Systemdateien gegen Veränderungen oder mögliche Ausnutzung von außen schützen. Sie möchten vielleicht auch eine eigene /opt Partition anlegen, da hier die Firewall-1 NG Programmdateien liegen werden.

Firewall-1 NG Protokolle liegen in /var/opt/CPfw1-50. Die meisten Solaris Systeme haben zwei oder mehr Festplatten, wie die Ultra10 oder zwei IDE-Laufwerke für einen x86. Wird auf die zweite Platte nicht gespiegelt, sollte man sie für die Firewall Protokolle und Konfigurationsdateien zur Verfügung stellen. Noch einmal: dies schützt andere Partitionen davor, vollgeschrieben zu werden. Mit solch einer Einteilung, einer 20GB Festplatte und 128 MB RAM könnte die Konfiguration so aussehen

/ - alles übrige
swap - 256MB (oder traditionell 2xRAM Größe)
/var - 400MB
/var/opt/CKPfw-50 - 15GB oder ein zweites Laufwerk
/usr - 500MB (wenn Sie eine eigene Nur-Lesen Partition wünschen).

Sobald das System nach der Installation neu gestartet ist, stellen Sie sicher, dass der "Recommended an Security patch cluster" (http://sunsolve.sun.com) installiert wird. Außerdem benötigt Checkpoint Firewall-1 NG zwei zusätzliche Patches die nicht zu diesem Cluster gehören: 108434-02 und 108435-02. Diese beiden Patches muss man selbst herunterladen und zusätzlich installieren. Vergewissern Sie sich, das zum Herunterladen ihr spezielles System zum Einsatz kommt, da die Firewall bis zum Abschluss der Installation in einem isolierten Netzwerk stehen sollte. Patches sind ENTSCHEIDEND für die Sicherheit einer Firewall und sollten mindestens einmal wöchentlich auf den neuesten Stand gebracht werden. Auf http://www.securityfocus.com findet man eine exzellente Datenbank mit den aktuellen Schwachstellen.

Sichern des Systems

In dem originalen Artikel "Solaris panzern" (http://www.enteract.com/~lspitz/armoring.html) habe ich im Detail beschrieben, wie man sein Solarissystem vernünftig sichern sollte. In diesem Artikel werde ich ähnliches nicht versuchen. Sicherheitsingenieure von Sun Microsystems haben eine exzellente Reihe von Artikeln herausgegeben (Blueprint Serie genannt) die dieses Thema wesentlich umfangreicher behandeln. Ich verweise Sie an diese Dokumente um mehr über sie Sicherung von Solaris zu lernen. Die Solaris Security Blueprint Serie findet man online unter http://www.sun.com/security/blueprints. In dem Originalartikel habe ich auch Skript zur Verfügung gestellt, das automatisch eine Solarisinstallation panzerte. Auch hier habe ich mich entschieden, kein solches Skript zu veröffentlichen. Die Sicherheitsingenieure Alex Noordergraaf und Glenn Brunette haben ein Tool entwickelt, das ebendieses übernimmt. Dieses Tool, das Solaris Security Toolkit (JASS), kann genutzt werden um ein System zu sichern, während man es per Jumpstart aufsetzt oder wenn es schon installiert ist. Ich empfehle es wärmstens, besonders wenn man mehrere Systeme zu installieren hat. JASS benötigt mehrere Konfigurationsdateien, die es an die spezifischen Umstände jeder Installation anpassen. Hier finden Sie ein solches Skript namens firewall.profile (http://www.enteract.com/~lspitz/firewall.profile.txt) das man nutzen kann, um Firewalls aufzubauen. Diese Konfigurationsdateien legen fest, wie das System aussieht, inklusive der Pakete die installiert werden (wie oben besprochen) und der Partitionstabelle. Ich habe außerdem ein Abschlussskript (http://www.enteract.com/~lspitz/minimize.firewall.fin.txt) geschrieben welches alle unnötigen Pakete aus der Core-Installation entfernt. Diese beiden Dateien sind die einzigen, die für JASS gebraucht werden um Solaris 8 zu installieren und zu sichern für die Checkpoint Firewall-1 NG.

Schlussfolgerung

Der Sinn dieses Artikels war es, auszuführen wie man eine minimale gesicherte Solaris 8 64-Bit Plattform für eine Checkpoint Firewall-1 NG erstellt. Wir haben uns besonders auf den minimalen Paketumfang und die Partitionstabelle konzentriert, die eine erfolgreiche Installation gewährleisten. Dieser Artikel enthält KEINE Schritt für Schritt Anleitung zum Panzern des Systems, da Sun die Blueprint Serie veröffentlicht hat (http://wwws.sun.com/software/security/blueprints/). Dieser Artikel enthielt auch KEIN Tool um einen sicheren Installationsprozeß zu gewährleisten, da JASS diese Funktionalität mitbringt. Allerdings enthält dieser Artikel zwei angepaßte JASS Konfigurationsdateien die Ihnen bei der Installation Ihres sicheren Systems helfen sollen. Ich hoffe, das dieser Artikel Ihnen geholfen hat, ein möglichst sicheres System zu installieren.

Anm. d. Übers.

Ich bin kein professioneller Übersetzer, deswegen ist es sehr wahrscheinlich, das man vieles besser hätte formulieren können. Trotzdem hoffe ich, dass sich nirgendwo grobe Sinnentstellungen oder gar Fehler eingeschlichen haben. Wenn doch, oder auch bei sonstiger Kritik oder gar Lob, kurze e-mail reicht und dann wird korrigiert.
Der Originalartikel ist hier zu finden: http://www.enteract.com/~lspitz/armoring2.html



[back to top]



Userdaten
User nicht eingeloggt

Gesamtranking
Werbung
Datenbankstand
Autoren:04508
Artikel:00815
Glossar:04116
News:13565
Userbeiträge:16552
Queueeinträge:06246
News Umfrage
Ihre Anforderungen an ein Online-Zeiterfassungs-Produkt?
Mobile Nutzung möglich (Ipone, Android)
Externe API Schnittstelle/Plugins dritter
Zeiterfassung meiner Mitarbeiter
Exportieren in CSV/XLS
Siehe Kommentar



[Results] | [Archiv] Votes: 1154
Comments: 0