Intrusion Detection SystemUnix bzw. Linux ist als Multiuser-System konzipiert und enthält bereits von Anfang an Konzepte, die den unbefugten Zugriff auf Dateien verwehren. Das Standardverfahren der Zugriffskontrolle unter Linux ist die benutzerbestimmte Zugriffskontrolle.
Der Zugriff auf Objekte wird über sogenannte Zugriffskontrolllisten (ACLs) geregelt. Ausgenommen davon ist allerdings der Administrator, dieser hat immer unbeschränkte Rechte.
Folgende Gefahrenpotentiale sind dadurch grundsätzlich vorhanden:  | Falls es ein Benutzer schafft, durch Weitergabe das
Administratorpasswort erlangt und sich an dem Linux-System mit
diesem Account anmelden kann, hat er uneingeschränkte Rechte.
| | Falls auf dem Linux-Rechner Software läuft, die einen Fehler
enthält und es einem Angreifer gelingt, diese Software zu hacken,
stehen ihm im Prinzip dieselben Rechte wie der Software zu. Falls
diese Software mit Administratorrechten läuft, hat der Angreifer
evtl. sogar Administratorrechte.
| | Falls der Angreifer physikalisch an den Rechner gelangt, kann er
evtl. wichtige Dateien austauschen, um sich so Administratorrechte
zu verschaffen. |
Man sieht, es gibt hinreichende Gefahrenpotentiale auch für ein Unix-System, besonders, wenn es über Netzwerk erreichbar sein soll. Grundsätzlich sollte man deshalb versuchen, möglichst wenig Software mit Administratorrechten laufen zu lassen (z.B. einen Mailserver). Bei manchen Diensten ist dieses aber unumgänglich, wie z.B. für ein VPN-Gateway oder eine Firewall. Diese Systeme sollte man in kritischen Umgebungen besonders schützen.
Linux Intrusion Detection System
Ein Intrusion Detection System beschäftigt sich zum einen mit dem Erkennen von nichtauthorisierten Systemveränderungen, ausserdem enthält es ein Sicherheitssystem, welches es ermöglicht, ein laufendes System abzuriegeln. Eine Implementierung unter Linux ist das Linux Intrusion Detection System, kurz LIDS. LIDS erweitert Standardlinux um die Möglichkeit, Dateien und Prozesse zu schützen oder zu verstecken, so dass nicht einmal der Administrator Zugriff auf sie hat. In Bezug auf Zugriffskontrolle werden außerdem Capabilities sowie ACLs mit feinerer Abstufung implementiert (Mandatory Access Control). Sollte es jetzt jemand schaffen, in das System einzudringen (zum Beispiel durch ein Fehler eines Programmes), so wird die Konsole der Person bei Hackversuchen gesperrt und der Administrator erhält eine Nachricht. Diese kann auf mehrere Arten erfolgen: entweder sie wird per Mail, oder direkt durchs Netz an eine andere Konsole geschickt. Ein großer Vorteil ist, daß LIDS direkt im Kernel implementiert wird, was die Sicherheit beträchtlich erhöht.
Alles in allen wird somit auch ein Administrator zu einem normalen Benutzer. Das System ist damit auch weitgehend in Fehlersituation geschützt.
Weitere Informationen teilen wir Ihnen auf Anfrage gerne mit und schicken Ihnen auch ein persönliches Angebot zu. |
