• Informationen für …
• Wir über uns
• Unsere Servicepalette
• Fragen, Beratung und Unterstützung
• Presse
• Projekte, Kooperationen, Arbeitsgruppen
• Andere im WWW

• Security
  • Motivation
  • Rechner sicher machen
  • Umgang mit Passwörtern
  • Die Anti-Virus-Seite
  • Windows Server Update Service
  • Rechner geknackt - was tun?
  • PATH-Variable in Unix
  • AFS und Sicherheit
  • E-Mail und Sicherheit
  • Phishing
  • Konfiguration von 'pine'
  • Sichere Institutsnetze
  • Virtuelle Firewalls
  • Secure Shell (SSH)
  • SSH-Client PuTTY
  • SCP/SFTP-Clients WinSCP
  • Online-Informationen, Literatur
  • Brief der LRZ-Leitung
  • Bearbeitung von Abuse-Fällen
  • Informationen zum DFN-CERT
  • LRZ-Dienste zur Sicherheit
  • Kurs: Sicherheit (für Benutzer)
  • Vortrag: Schattenseiten des Internet
  • Kurs: Sicherheit (für Unix-Admins)
  • Security-Vorträge

ALIs

kommt noch

Sicherheits-relevante Dienste des LRZ

Angriffe durch elektronische Schädlinge (Malware) und Hacker sind inzwischen ein sehr häufig auftretendes Problem.  Leider ist noch immer nicht allgemein bekannt, dass die meisten Sicherheitsprobleme nicht durch "geniale" Hacker oder durch fehlerhafte Software entstehen, sondern vielmehr durch Nichtbeachtung oder unsachgemäße Handhabung von einfachen Sicherheitsmaßnahmen durch Benutzer, Systemverwalter und schlimmstenfalls sogar durch gesamte Institutionen.

Das  Leibniz-Rechenzentrum  (LRZ) der Bayerischen Akademie der Wissenschaften bietet deshalb für seine Kunden ein umfangreiches Dienstangebot zur Verbesserung der System- und Netzsicherheit (Security), das wir Ihnen hier kurz vorstellen wollen.

Zum Kundenkreis für die Sicherheits-relevanten Dienste gehören im wesentlichen alle Teilnehmer am  Münchner Wissenschafts-Netz  (MWN);  die meisten der Dienste sind jedoch allgemein zugänglich.  Im Zweifelsfall fragen Sie einfach bei folgender Adresse nach:

security@lrz.de

Die praktische Umsetzung unserer  "Tipps & Tricks"  wird allerdings weitgehend an Ihnen selbst hängen bleiben.  Bitte haben Sie Verständnis dafür, dass wir Ihnen zwar mit Rat, aber wegen fehlender Person-Power keinesfalls auch mit  "Tat vor Ort"  zur Seite stehen können.

Warum ist Security wichtig ?

Der Artikel  " Warum ist Security wichtig ? "  versucht darzustellen, warum man sich auf jeden Fall im  eigenen  Interesse mit dem Gebiet der System- und Netzsicherheit  (Security)  vertraut machen sollte.  Dabei werden folgende Fragen näher behandelt:

• Was auch Ihnen passieren könnte !
• Warum ist System- und Netzsicherheit so wichtig ?
• Warum haben Hacker oft besonders leichtes Spiel ?
• Warum ist die Anzahl der Angriffe so angestiegen ?
• Begriffsbildung:  Was ist der Unterschied zwischen  "Sicherheit"  und  "Security" ?

Wir hoffen, dass das Lesen dieses Artikels Sie motiviert, sich ganz persönlich mit Security auseinanderzusetzen.  Das LRZ möchte Ihnen dabei helfen, Ihren Rechner und damit auch Ihren Netz-Zugang sicherer zu machen.  Deshalb bietet das LRZ Ihnen eine ganze Reihe von Diensten an, die wir Ihnen hier kurz vorstellen wollen.

Informations- und Beratungsangebote des LRZ

Das LRZ stellt eine Reihe von Informationen zur Verfügung, wie Sie Ihre Sicherheit verbessern können:

• Im Rahmen der  Online-Informationen  finden Sie unter

  www.lrz.de/services/security/

  dieverse Security-Artikel des LRZ und einen Überblick über Security-Schriften und -Tools, sowie weiterführende Literatur und Links.

• Das LRZ veranstaltet als besonderes Informationsangebot für die  LRZ-Kunden  regelmäßig einen halbtägigen  Security-Kurs für Anwender:

  Einführung in die System- und Internet-Sicherheit

  Dieser Kurs wird 2-mal pro Jahr eigenständig angeboten und ist auch Bestandteil unserer  UNIX-Systemverwalterkurse.  Bei Interesse (d.h. mindestens 20 Teilnehmer) kann er nach Absprache auch vor Ort in den Instituten abgehalten werden.

  Der Kurs besteht aus folgenden weitgehend plattformunabhängigen Teilen:

  • Grundlagen und allgemeine Maßnahmen
  • System-Sicherheit:  Sicherer Umgang mit Kennungen und Passwörtern
  • Internet-Sicherheit:  Allgemeine Aspekte, E-Mail, WWWW
  • Kryptographische Grundlagen (optional auf Wunsch)

  -->  Weitere Informationen  zum Kurs (u.a. auch die Handouts der Kursfolien).

  Zu diesem Kurs gibt es kein Praktikum.

• Ergänzend zum  Anwenderkurs  wird ca. 1-mal pro Jahr der mehrtägige Spezialkurs

  System- und Netz-Sicherheit für UNIX-Systemverwalter

  angeboten.

  -->  Weitere Informationen  zum Kurs (u.a. auch die Handouts der Kursfolien und eine für das Selbststudium geeignete Begletschrift).

• Bei Bedarf bieten wir eine  Security-Sprechstunde  für Institute und Lehrstühle an, die sich  allgemein  informieren wollen, wie sie Ihre Rechner sicherer machen können, oder die  konzpetionelle  bzw.  infrastrukturelle  Probleme haben.
  Insbesondere können hier keine Detailprobleme oder im Security-Kurs für  Anwender  bzw.  UNIX-Administratoren  behandeltes Grundwissen besprochen werden.

  In diesem Fall schicken Sie bitte eine  kurze  Beschreibung Ihrer derzeitigen Umgebung (Hardware, Betriebssystem, Anwender-Software, besondere Rahmenbedingungen usw.) sowie Ihrer Fragestellungen an folgende Adresse:

  security@lrz.de

  Wir werden Sie dann kontaktieren und einen Termin mit Ihnen vereinbaren.

Mail-Adressen

Sie können Fragen, Probleme, Beschwerden usw. an folgende Mail-Adressen schicken.

antivirus@lrz.de	Fragen zu den Themen  "Viren/Würmer",  "Anti-Viren-Sotware"  oder  "Sophos"
abuse@lrz.de	Sie haben einen Hinweis, dass ein Rechner des MWN Ihren eigenen Rechner angegriffen hat, oder eine Beschwerde über einen Teilnehmer des MWN. Wir nehmen Ihre  Beschwerden  entgegen und leiten sie an die zuständigen Ansprechpartner weiter. -->  Weitere Informationen  zur Bearbeitung von Abuse-Fällen
firewall@lrz.de	Fragen zum Thema  "Firewalls"
security@lrz.de	Bei allen sonstigen oder unklaren  Sicherheitsfragen
Tel.  (089) 35831-8800, hotline@lrz.de	Sollten Sie sich nicht sicher sein, ob es sich überhaupt um ein Security-Problem handelt, oder sollte eine ganz  akute Notfallsituation  eingetreten sein, kontaktieren Sie bitte die  LRZ-Hotline.

Anti-Viren-Software

Das LRZ ermöglicht seinen Kunden einen  günstigen  Bezug  der kommerziellen  Anti-Viren-Software  "Anti-Virus"  der Firma  Sophos.

Diese Software ist zur Zeit verfügbar für folgende Plattformen:

• Windows 2000/XP/2003/Vista
• Windows 95/98/ME
• Windows NT 4.0
• Mac OS X 10.2
• Linux
• Diverse UNIX-Varianten
• Netware
• Macintosh (OS 8/9)
• OS/2

Alle relevanten Informationen sind auf der

Anti-Virus-Seite  des LRZ

zusammengefasst.  U.a. bietet dort das LRZ mit  "Sophos Remote-Update"  ein Verfahren an, das die Installation und die  regelmäßige  Aktualisierung dieser Software wesentlich vereinfacht.

Bei den zentralen Mail-Relays des LRZ werden E-Mails mit einigen Typen von ausführbaren Attachments blockiert, da diese spezifischen E-Mails erfahrungsgemäß sehr oft mit einem Virus verseucht sind.

-->  Weitere Informationen  zur  Blockade von E-Mails mit ausführbarem Attachment.

Windows Server Update Service (WSUS) für Windows 2000/XP/2003

Selbst bei einem kontinuierlich aktualisierten  Viren-Scanner  sind Sie nach dem erstmaligen Auftreten eines  neuen  Virus oder Wurms für eine gewisse Zeitspanne ungeschützt.  Alle Hersteller von Anti-Viren-Software benötigen zwangsläufig i.a. Stunden aber manchmal sogar Tage (!), bis sie entsprechende Signaturen gegen den neuen Virus oder Wurm (allgemein) zur Verfügung stellen können.
Leider gibt es noch keine praktisch einsetzbare Methode, einen Virus ohne eine  spezifisch  angepasste Signatur  sicher  zu erkennen und gleichzeitig normale Programme nicht zu behindern.

In dieser Hinsicht ist es besonders wichtig, dass Sie Viren und Würmern eine möglichst geringe Angriffsfläche bieten.  Dazu gehört u.a., dass Sie alle  bekannten  Sicherheitslücken im  Betriebssystem  und in  allen installierten Software-Komponenten  mit Hilfe entsprechender  Security-Patches  so schnell wie möglich schließen.

Der  Windows-Server-Update-Service des LRZ  hilft Ihnen dabei, Ihren Windows-Rechner immer auf dem aktuellen Patch-Stand zu halten.

Mail-Verteiler

Im Security-Bereich verändert sich die Situation unglaublich schnell.  Dies erfordert einen ziemlichen Zeitaufwand, wenn man immer am Ball bleiben möchte.  Insbesondere die gewaltige Informationsflut ist kaum noch zu bewältigen.

Um Sie bei der erforderlichen Know-How-Beschaffung zu entlasten, führt das LRZ etliche Mail-Verteiler, die Ihnen (aus unserer Sicht nach Wichtigkeit) vorgefilterte Informationen aus verschiedenen Quellen anbieten.

Das LRZ bietet derzeit folgende Mail-Verteiler zum Thema  "Security"  an:

• security-news@lists.lrz.de

  Interessante Neuigkeiten rund um das Thema "Security" aus verschiedenen Quellen.

  Durch die Vorauswahl soll vermieden werden, dass die Abonnenten dieser Liste die verschiedenen Informationsquellen kontinuierlich selbst beobachten müssen (--> Zeitersparnis).

  Nachrichtenaufkommen:  Wenige Artikel pro Woche.
  -->  Weitere Informationen;   -->  Versenden  eines Beitrags.

• mwn-security@lists.lrz.de

  Der Verteiler dient für Bekanntmachungen und zur offenen Diskussion von Security-Themen, die einen konkreten Bezug zum MWN haben.

  Nachrichtenaufkommen:  Wenige Artikel pro Quartal.
  -->  Versenden  eines Beitrags.

• Subverteiler zu den  Security-Mail-Verteilern  des  Deutschen Forschungsnetzes  (DFN):
  • win-sec-ssc@lists.dfn-cert.de

    Diese Liste dient  aussschließlich  zur Verbreitung der Warnungen und Hinweise des DFN-CERT's und ist in erster Linie für System- und Netzadministratoren gedacht.

    Sehr zu empfehlen !

    -->  Weitere Informationen;   -->  WWW-Archiv  des LRZ

  • win-sec@lists.dfn-cert.de

    Offene Diskussion aller Fragen der System- und Netzsicherheit.

    -->  Weitere Informationen;   -->  Versenden  eines Beitrags.

Im Anhang finden Sie Hinweise, wie Sie sich in diese Listen eintragen (lassen) können.

Beschränkungen und Monitoring im MWN

Eine der Hauptaufgaben des LRZ ist der Betrieb des MWN, an das zur Zeit über 55.000 Rechner angeschlossen sind.  Der Zugang zum weltweiten Internet wird über das X-WiN des  DFN  ermöglicht. 

Seit dem Jahr  2001  hat im Internet die Zahl der Angriffe und die Zahl der elektronischen Schädlinge dramatisch zugenommen.  Davon blieb auch das MWN leider nicht verschont, wie die folgende Statistik zeigt.

Entwicklung der Abuse-Fälle seit 1998

Durch die Verschärfung der Abuse-Problematik sah das LRZ sich gezwungen, Maßnahmen zu ergreifen, die ohne Zutun des Einzelnen das gesamte MWN schützen:

• Durch  allgemeine Beschränkungen  (z.B.  Port-Sperrungen  oder  Filter-Regeln ) soll im MWN folgendes zumindest eingeschränkt werden:
  • Verbreitung von elektronischen Schädlingen
  • Ausnützen weit verbreiteter Schwachstellen
  • Angriffe auf unzureichend gesicherte Rechner

  Wichtig !   Diese Beschränkungen können aus technischen und organisatorischen Gründen nur gegen einen kleinen Teil der Gefahren schützen !
  Der   individuelle Schutz  des  einzelnen  Rechners wird dadurch  keinesfalls  überflüssig !

• Mit Hilfe von diversen  Monitoring-Maßnahmen  sollen kompromittierte MWN-Rechner schnell erkannt werden, um den von ihnen verursachten Schaden möglichst gering zu halten.

-->  Weitere Informationen  zu Beschränkungen und Monitoring.

Anhang

Alle Angebote auf einen Blick  (Links)

• Informationsangebote:
  • Online-Informationen:
    http://www.lrz.de/services/security/
  • Security-Kurs für Anwender:   Einführung in die System- und Internet-Sicherheit
  • Security-Spezialkurs:   System- und Netz-Sicherheit für UNIX-Systemverwalter
  • Security-Sprechstunde  für Institute und Lehrstühle
• Mail-Adressen:

  antivirus@lrz.de	Fragen zu den Themen  "Viren/Würmer",  "Anti-Viren-Sotware"  oder  "Sophos"
  abuse@lrz.de	Beschwerden  über einen  Rechner oder Teilnehmer des MWN.
  firewall@lrz.de	Fragen zum Thema  "Firewalls"
  security@lrz.de	Bei allen  sonstigen  oder unklaren  Sicherheitsfragen
  Tel.  (089) 35831-8800, hotline@lrz.de	Hilfe bei einer  akuten Notfallsituation  oder bei einer  unklaren Situation  über die LRZ-Hotline.

• Anti-Viren-Software:
  • Günstiger Bezug der kommerziellen Software  "Anti-Virus"  der Firma Sophos für verschiedene Plattformen und Hinweisen zur Installation und Nutzung.
  • Informationen zur  Blockade von E-Mails mit ausführbarem Attachment.
• Mail-Verteiler:

  win-sec-ssc@lists.dfn-cert.de	Verbreitung von Warnungen
  win-sec@lists.dfn-cert.de	Diskussionen zum Thema "Security"
  win-pca@lists.dfn-cert.de	Diskussionen zum Spezialthema "PKI" usw.
  security-news@lists.lrz.de	Interessante Neuigkeiten zum Thema "Security"
  mwn-security@lists.lrz.de	Bekanntmachungen und Diskussionen zum Thema "Security im MWN"

Hinweise zur Aufnahme in Mail-Verteiler des LRZ

Das LRZ betreibt diverse Mail-Verteiler zu Sicherheitsthemen.  Wenn Sie sich in einen dieser Verteiler aufnehmen lassen wollen, verwenden Sie bitte die entsprechenden Web-Formulare (Links siehe unten) oder schicken Sie eine E-Mail an

majordomo@lists.lrz.de

mit folgendem Inhalt (Achtung: "Body" und  nicht  "Subject": Das Subject wird nicht ausgewertet; der Inhalt des Subject kann beliebig oder leer sein.):

• LRZ-eigene  Mail-Verteiler:
  • Aufnahme in  "security-news@lists.lrz.de"  per  Web-Formular
    oder per  E-Mail:

    subscribe security-news
end

  • Aufnahme in  "mwn-security@lists.lrz.de"  per  Web-Formular
    oder per  E-Mail:

    subscribe mwn-security
end

• Subverteiler zu den  Mail-Verteilern  des  Deutschen Forschungsnetzes  (DFN):
  • Aufnahme in  "win-sec-ssc-l@lists.lrz.de"  per  Web-Formular
    oder per  E-Mail:

    subscribe win-sec-ssc-l
end

  • Aufnahme in  "win-sec-l@lists.lrz.de"  per  Web-Formular
    oder per  E-Mail

    subscribe win-sec-l
end

  • Aufnahme in  "win-pca-l@lists.lrz.de":   per  Web-Formular
    oder per  E-Mail:

    subscribe win-pca-l
end

Optional können Sie bei der Mail-Variante auch  explizit  diejenige Mail-Adresse angeben, die in die jeweilige Liste aufgenommen werden soll.  Hängen Sie dazu bitte bei der subscribe-Anweisung hinten die gewünschte Mail-Adresse an:

subscribe  HIER_DER_NAME_DER_LISTE  HIER_DIE_E_MAIL_ADRESSE
end

Beispiel:

subscribe  security-news  sec.fan@alphabethologie.uni-muenchen.de
end

Achtung:

• Bei allen Mail-Verteilern werden Sie erst eingetragen,  nachdem  Sie eine Bestätigungs-Mail beantwortet haben.  Dieser Zusatzaufwand dient zu Ihrem eigenen Schutz und soll verhindern, dass ein "Witzbold" Sie ohne Ihr Wissen in einen der Verteiler einträgt.
• Bei der Web-Formularvariante werden Sie manchmal mit einer anderen Mail-Adresse eingetragen, als der im Web-Formular eingegebenen.  Dies ist meist dann der Fall, wenn Ihr lokales Mail-System Ihre Absende-Adresse verändert.  Hierauf haben Sie als Benutzer normalerweise leider keinen Einfluss.
• Wenn Sie bei der Mail-Variante die Adresse explizit vorgeben, kann es passieren, dass Sie keine eigenen E-Mails an den jeweiligen Verteiler schicken dürfen.

  Die Listen sind nämlich zum Schutz vor Spam so konfiguriert, dass nur Listenteilnehmer auch E-Mails an die Liste schicken dürfen.
  Wenn Sie aber nun mit einer Mail-Adresse  "X"  in einer der Listen eingetragen sind und einen Beitrag unter der anderen Adresse  "Y"  verschicken wollen, kann nicht erkannt werden, dass dies ein Beitrag von einem legitimen Listenteilnehmer ist.

Weitere Informationen zum Verteiler  "security-news"

Ein signifikanter Teil der Informations-Mails in diesem Verteiler wird ehrenamtlich erstellt.  Dennoch versuchen die Autoren weitgehend, ein einheitliches Format für die Artikel zu verwenden.

Bei den Nachrichten handelt es sich überwiegend um knappe Verweise auf Security-relevante Meldungen, die i.a. aus folgenden Quellen stammen:

hS:	heise Security
hN:	heise Newsticker
/.:	Slashdot
Fm:	Freshmeat
??:	Diverse andere Veröffentlichungen (DFN-CERT, RUS-CERT, BugTraq usw.)

Das Subject der Meldungen sieht meist wie die folgenden Beispiele aus:

• Subject: [SN: Bugs]  hS: Internet Explorer wieder verwundbar
• Subject: [SN: Misc]  hS (4),  hN (3),  ?? (1)
• Subject: [SN: Virus et al.; URGENT]  hS: Aggressiver Wurm W32/Mimail kursiert

Durch den Präfix sollen die Meldungen leicht erkannt und verschiedenen Themenbereichen zugeordnet werden können:

[SN: Bugs] [SN: Bugs; URGENT]	Meldungen zu Sicherheitslücken in diversen Betriebssystemen und Software-Paketen
[SN: Crime] [SN: Crime; URGENT]	Nachrichten über kriminelle Aktivitäten
[SN: Firewall] [SN: Firewall; URGENT]	Informationen zu Firewalls
[SN: Privacy] [SN: Privacy; URGENT]	Meldungen zu den Themen "Datenschutz", "Privatsphäre", "Menschenrechte in der digitalen Welt" usw.
[SN: Tools] [SN: Tools; URGENT]	Neuigkeiten zu (UNIX-)Tools
[SN: Malware] [SN: Malware; URGENT]	Nachrichten über aktuelle "Malware", d.h. Viren, Würmer, Trojaner usw.
[SN: WWW] [SN: WWW; URGENT]	Meldungen zum Thema "Web"
[SN: Misc] [SN: Misc; URGENT]	Sonstige Informationen

Besteht eine E-Mail nur aus  einer  Meldung, so folgt nach dem Präfix die Quelle der Meldung und eine kurze Überschrift.  Andernfalls steht nach dem Präfix ein Hinweis, aus welchen Quellen die Meldungen stammen und wieviel es jeweils sind (die Zahl in Klammern).

Der Body einer E-Mail besteht aus folgenden Teilen:

• Übersicht:
  
  [hS] Bayerns Polizei setzt auf digitalen Fingerabdruck
  
  [hN] Abzocke per Satellit
  [hN] Abzocke per Telefon
  
  [??] Betrüger prellen eBay-Kunden
  

  Bei einer längeren Informations-Mail steht am Anfang meist eine Übersicht über die einzelnen Meldungen.

• ######################################################################
  # heise Security   <http://www.heise.de/security/>
  

  Mit "###..." werden alle Meldungen aus dieser betreffenden Quelle eingeleitet (hier z.B. "heise Security").

• rsync übers Netz verwundbar
     ...
  
     rsync dient dazu, Dateien übers Netz gegen einen Server
     abzugleichen, der Fehler betrifft nur den Server-Betrieb der
     Software.
  
     ...
  
     http://www.heise.de/security/news/meldung/42612
     http://rsync.samba.org/
  
     {   "rsync" wird primaer unter UNIX (Solaris, AIX, Linux, BSD,
     Mac OS X usw.) verwendet.   }
  

  Die einzelne Meldung besteht meist nur aus einer Überschrift und mindestens einem URL.  Dabei führt jeweils der erste URL zu der eigentlichen Meldung.  Evtl. noch vorhandene weitere URL's kommen in der Meldung direkt oder indirekt vor.

  Vor dem URL bzw. den URL's steht manchmal noch die Meldung selbst bzw. ein Teil davon.

  Am Ende einer Meldung steht manchmal noch ein Kommentar des Mail-Autors, der zur Kennzeichnung in geschweiften Klammern ("{}") eingeschlossen ist.

• ======================================================================
  

  Mit "===..." wird eine weitere Meldung aus der gleichen Quelle eingeleitet.

Natürlich könnte man diesen LRZ-Dienst noch verbessern:

• Anstelle des Verweises wird gleich die komplette Meldung integriert.
• Jede Informations-Mail hält sich garantiert an das gerade beschriebene Schema.
• Man integriert Hinweise, für welchen Personenkreis die einzelne Meldung relevant ist und wie wichtig die Meldung ist.
• Man generiert Web-Seiten, von denen aus die Meldungen einfach zu erreichen sind.
• ...

Leider gibt es Gründe, warum das LRZ dies nicht machen kann:

• Die Nutzungsbestimmungen einiger Quellen untersagen die Verbreitung des kompletten Meldungstextes.
• Für eine Ausweitung dieser Dienstleistung fehlt am LRZ im Augenblick die Person-Power.
  Ein Teil der Informations-Mails wird sogar ehrenamtlich erstellt !

  ==> Die Erstellung der E-Mails darf nicht viel Zeit kosten.

  ==> Bis auf weiteres kann dasjenige Tool nicht erweitert werden, mit dem die meisten E-Mails halb-automatisch erzeugt werden.

  ==> Bei ehrenamtlichen Autoren kann man nicht die Einhaltung von strikten Regeln verlangen.