Sie sind hier
E-Book

Security@Work

Pragmatische Konzeption und Implementierung von IT-Sicherheit mit Lösungsbeispielen auf Open-Source-Basis

AutorDaniel E. Atencio Psille, Jörg Eschweiler
VerlagSpringer-Verlag
Erscheinungsjahr2006
Seitenanzahl334 Seiten
ISBN9783540362265
FormatPDF
KopierschutzDRM
GerätePC/MAC/eReader/Tablet
Preis6,99 EUR

Die Autoren erläutern die konzeptionellen und technischen Grundlagen des Themas IT-Sicherheit anhand anschaulicher Beispiele. Im Fokus stehen dabei die praktische Verwendbarkeit realitätsnaher Konzepte und Techniken. Hierzu werden ebenfalls aktuelle Standards erläutert und eingebunden.

Um die Komplexität des Themas und seine Abhängigkeiten darzustellen, werden die Integration der einzelnen Bausteine sowie der Betrieb eines solchen Verbundes von IT-Komponenten sowohl aus technischer als auch administrativer Sicht und unter dem Aspekt der Integration in eine organisationsweite IT-Infrastruktur betrachtet.

Das Buch bietet technisch versierten Einsteigern und Administratoren eine umfassende Grundlage für die weitergehende Auseinandersetzung mit dem Thema IT-Sicherheit.



Jörg Eschweiler ist langjähriger IT-Berater und Trainer mit den Schwerpunkten Systems Management und Projektleitung. Er engagiert sich nebenberuflich in Organisationen zur Entwicklung und Pflege von Projektmanagement-Methoden.

Daniel E. Atencio Psille ist langjähriger IT-Berater mit den Schwerpunkten Systeme und Sicherheit. Er engagiert sich nebenberuflich für Debian GNU/Linux sowie im Rahmen einer Vereinigung von Mietserverbetreibern.

Kaufen Sie hier:

Horizontale Tabs

Leseprobe

20 Interpretersprachen zur Web-Ausgabe (S. 279-280)

In diesem Kapitel beschäftigen wir uns mit IT-Sicherheit im Hinblick auf (Web-)Skriptsprachen. Dabei wurde PHP (PrettyHomePage Hypertext Processor) als Beispiel gewählt, da es sich hier um eine mittlerweile recht stabile Version einer solchen Sprache handelt, sie über eine Fülle von Funktionalitäten verfügt und der Einsatz im Feld recht weit verbreitet ist. Entsprechend liegt es in der Natur der Dinge, dass statistisch gesehen PHP-basierte Websitesöfters Opfer von Angriffen werden.

Skriptsprachen wie PHP werden meist eingesetzt, um dynamische Webseiten zu schaffen, wozu ebenfalls einige Features aus bekannten, aber eher klassischen Sprachen wie Perl, C oder auch Java entliehen wurden. Je kraftvoller und funktionsreicher ein solches Werkzeug ist, umso mehr Möglichkeiten für Fehlfunktionen, suboptimales Design und daraus resultierenden Problemen bietet es. Insbesondere kommt bei Web-Skriptsprachen wie PHP oftmals zum Tragen, dass die Benutzer zwar mit HTML etc. und Grundlagen der Programmierung vertraut sind, aber nicht unbedingt mit Design- und Coding-Grundsätzen aus der klassischen Programmierung. Entsprechend gilt es, einige potentielle Sicherheitsprobleme mit optimiertem Design oder auch Programmierverfahren im Keim zu ersticken, anstatt die (Er-)Lösung in weiteren Features oder Zusätzen zu suchen!

Durch Beachtung einiger Regeln und Gedanken zur sicheren Programmierung kann auch beim Einsatz von Tools wie PHP das Risiko von Sicherheitslöchern oder deren Kompromittierung signifikant gesenkt werden. Auf den folgenden Seiten werden also weniger "Kernel Hacker’s Coding Hints" als vielmehr praktische Erfahrungen (beziehungsweise Lehren daraus) und Designaspekte im Vordergrund stehen. Klar, dass sich diese Aspekte auch auf andere Sprachen wie z.B. Python, regul¨are CGIs etc. übertragen lassen.

20.1 Mögliche Schwachstellen
20.1.1 Allgemeines

Um die folgenden Betrachtungen aus Sicht der IT-Sicherheit, aber auch allgemeiner Systemadministration besser einschätzen zu können, sei der werten Leserschaft angeraten, Folgendes im Hinterkopf zu halten: Prinzipell bietet PHP zwei verschiedene Ausführungsmodi: einmal als CGI-Applikation und einmal als in den Webserver integriertes Modul. Unabhängig vom gewählten Modus verfügt der im System installierte und laufende PHP-Interpreter (unabhängig vom Betriebssystem) über das Potential, zur Laufzeit auf jeden Teil des Systems zugreifen zu können. Dies bedeutet, Prozesssystem, Dateisysteme, Netzwerkverbindungen etc. stehen zur Verfügung – auch beziehungsweise gerade im Falle eines Missbrauchs! Um also Risiko und Auswirkung von Attacken oder Fehlfunktionen eingrenzen zu können, sollten sich Programmierer und Administrator darüber im Klaren sein, was zur Laufzeit der Programme im Rahmen deren Ausf¨uhrung, aber auch auf Ebene der genutzten Schnittstellen passieren kann. Das ist natürlich in Anbetracht der doch mitunter recht komplexen Softwaresysteme auf PHP-Basis nicht trivial. Dies bedingt erst recht eine ordentliche konzeptionelle Grundlage, um Ursachen – sofern möglich – proaktiv eliminieren zu könen und nicht späer "nur" Symptome oder Auswirkungen eingrenzen zu müssen.

Inhaltsverzeichnis
Vorwort7
Inhaltsverzeichnis9
1 Einleitung14
1.1 Für wen dieses Buch interessant ist15
1.2 Warum dieses Buch entstand15
1.3 Was dieses Buch leistet16
1.4 Was dieses Buch nicht bietet18
1.5 Wie dieses Buch gelesen werden sollte18
1.6 Konventionen im Buch19
1.7 Randgedanken19
Teil I Einführung in das Thema ”IT-Sicherheit“22
2 Was ist ”IT-Sicherheit“?24
2.1 Versuch einer Herleitung25
2.1.1 ”Sicherheit“ im Alltag25
2.1.2 ”IT“28
2.2 Sicherheitsgrundbedürfnisse32
2.2.1 Verfügbarkeit32
2.2.2 Verlässlichkeit33
2.2.3 Vertraulichkeit35
2.3 Begriffsdefinition35
3 IT-Sicherheit im Kontext38
3.1 Der allgemeine Kontext38
3.2 Schutzbedarf39
3.3 Schutzziele41
3.3.1 Integrität43
3.3.2 Verfügbarkeit43
3.3.3 Vertraulichkeit44
3.3.4 Weitere Zielsetzungen44
3.4 Schutzmaßnahmen45
3.4.1 Konfiguration46
3.4.2 Überwachung46
3.4.3 Alarmierung48
3.4.4 Reaktion52
4 Ideen für eine Laborumgebung56
4.1 Logische Struktur57
4.1.1 Netzwerkzone DMZ58
4.1.2 Netzwerkzone LAN60
5 Bedrohungen62
5.1 Motivation der Angreifer62
5.1.1 Habgier63
5.1.2 Neugier64
5.1.3 Spionage65
5.1.4 Vergeltung/Sabotage66
5.1.5 Konspiration67
5.2 Das Ebenenmodell der Bedrohungsarten68
5.2.1 Anwendungsebene70
5.2.2 Protokollebene70
5.2.3 Ressourcenebene72
5.3 Technische Bedrohungskategorien73
5.3.1 Denial of Service73
5.3.2 Code Injection77
5.3.4 Spoofing und Session Hijacking81
5.3.5 Poisoning88
5.3.6 Flooding88
5.3.7 Malicious Content89
5.4 Social Engineering94
5.5 Zusammenfassung95
Teil II Methodische Grundlagen zur Modellierung und Umsetzung von IT-Sicherheit98
6 Anforderungsableitung und -definition102
6.1 Einleitung102
6.2 Exkurs: Bundesdatenschutzgesetz (BDSG)102
6.3 Ausgangssituation104
6.4 Analyse von Organisation- und IT-Struktur106
6.5 Anregungen108
7 Sicherheitsanalyse110
7.1 Einleitung110
7.2 Zielsetzung110
7.3 Vorgehensweise111
7.4 Ist-Erhebung111
7.5 Schutzbedarfserhebung112
7.5.1 Ableitung von Schutzbedarfskategorien112
7.5.2 Festlegung des Schutzbedarfs112
7.6 Ableitung Soll-Modell113
7.6.1 IT-Sicherheitsrichtlinie / Security-Policy113
7.6.2 Priorisierung115
7.6.3 Zuordnung von Maßnahmen116
7.6.4 Restrisikoanalysen116
7.7 Ergebnisumfang117
8 Anwendung der Sicherheitsanalyse120
8.1 Einführung120
8.2 Vorgehen120
8.3 Bedrohungs- und Gefahrenpotentialanalyse120
8.4 Sicherheitscheck122
8.5 Ableitung Handlungsbedarf122
9 Überprüfung und Bewertung von IT-Sicherheit124
9.1 Vorbemerkungen124
9.2 Prüfung ist notwendig, Evaluierung nutzbringender!124
9.3 Assessments126
9.3.1 Self-Assessment126
9.3.2 Vulnerability-Assessment126
9.3.3 Penetration-Assessment126
9.3.4 Risk-Assessment127
9.4 Audits127
9.4.1 Internes Audit127
9.4.2 Externes Audit127
9.5 Möglichkeiten einer Tool-Unterstützung128
10 IT-Sicherheitskonzept130
10.1 Überblick130
10.1.1 Kapitel 1 und 2 – Administrativa und Überblick131
10.1.2 Kapitel 3 – Fokus132
10.1.3 Kapitel 4 – Systemarchitektur132
10.1.4 Kapitel 5 – Schutzbedarf133
10.1.5 Kapitel 6 – Anzuwendende Vorgaben134
10.1.6 Kapitel 7 – Anforderungen134
10.1.7 Kapitel 8 – Implementierungsvorgaben136
10.1.8 Kapitel 9 – Restrisiken137
10.1.10 Sonstige Konzepte und Querverweise139
10.2 Exkurs: Erstrealisierung von IT-Sicherheit141
11 Standards zur IT-Sicherheit und Regulatory Compliance142
11.1 Was hat IT-Sicherheit mit Regulatory Compliance zu tun?142
11.2 Regulatory Compliance143
11.2.1 Allgmeine Gesetze und Regelungen in der BRD143
11.2.2 Fachspezi.sche Gesetze und Regelungen in der BRD145
11.2.3 Ausl¨andische Gesetze und Regelungen148
11.2.4 Allgemeine Standards151
11.3 Standards zur IT-Sicherheit152
11.3.1 ISO-Standards152
11.3.2 BSI-Standards154
11.4 Weitere Technologie- und Methodenstandards mit Bezug zur IT-Sicherheit157
11.4.1 Querschnittliche Methoden und Standards157
11.4.2 NIST-Methoden und -Standards161
11.4.3 Open Source Community / Freie Projekte163
Teil III Etablierung einer Grundabsicherung165
12 Methodische Vorgehensweise zur Umsetzung technischer Maßnahmen166
12.1 Konzeption und PoC168
12.2 Implementierung und Ausbringung173
12.3 Betrieb173
13 Grundlagen zur Härtung von Systemen176
13.1 Zielsetzung178
13.2 Betriebskonzeption178
13.3 Konzeptionelle H¨artung des Betriebssystems180
13.3.1 Ressourcenverwaltung181
13.3.2 Der Kernel184
13.3.3 Benutzerverwaltung193
13.3.4 Berechtigungskonzepte196
13.3.5 Installation203
13.4 Konzeptionelle H¨artung systemnaher Dienste208
13.5 Virtualisierung211
13.5.1 LPAR212
13.5.2 chroot212
13.5.3 jails, UML, vserver213
13.5.4 Virtuelle Hardware214
13.5.5 Einsatzgebiete214
14 Grundlagen zur Absicherung von Netzen216
14.1 Netzwerkgrundlagen219
14.1.1 Das ISO/OSI-Modell220
14.2 Ethernet223
14.2.1 Zugang zum Medium223
14.2.2 Adressierung225
14.2.3 Zugriffskontrolle227
14.2.4 Zusammenfassung228
14.3 TCP/IP229
14.4 Übergreifende Absicherung von Netzen und Datenverkehr230
14.4.1 Anbindung von Systemen an Netze230
14.4.2 Absicherung von Endger¨aten auf Systemebene232
14.4.3 Absicherung von Netzwerkverkehr235
14.4.4 Absicherung des Zugangs zu Diensten und Anwendungen237
14.4.5 Datentransfer und -haltung auf Anwendungsebene239
14.4.6 Gedanken zum integrierten Betrieb240
15 Querschnittsbetrachtungen zur Absicherung des Betriebs242
15.1 Best Practices242
15.1.1 NTARS243
15.1.2 Think Twice244
15.1.3 Konfigurationsänderungen244
15.1.4 Installationen245
15.1.5 Informationsbescha.ung246
15.1.6 Gesunde Paranoia246
15.2 Systems Management247
15.2.1 Monitoring247
15.2.2 Event Management und Resolution248
15.2.3 Con.guration Management249
15.2.4 Software Distribution250
15.3 Dokumentation252
15.3.1 Inhalte253
15.3.2 Umfang254
15.3.3 Aufbau und Form255
15.3.4 Ablage256
15.4 Information Flow Control258
15.5 ”Externe“260
15.5.1 Dienstleister261
15.5.2 Mitarbeiter262
15.6 Worst Practices264
15.6.1 Security by Obscurity264
15.6.2 Sorglosigkeit265
15.6.3 Inselmentalit¨at266
Teil IV Absicherung von Peripheriediensten268
16 Überblick und Szenarien270
16.1 Uberblick270
16.2 Szenarien271
17 Datensicherung272
17.1 Allgemeine Anforderungen und Lösungen272
17.1.1 Methoden und Verfahren zur Datensicherung273
17.1.2 Datenhaltung und Kategorien von Daten275
17.2 Anforderungen an Datensicherungsimplementierungen275
17.2.1 Kommunikationswege276
17.2.2 Verschlüsselung von Datensicherungsdaten276
17.2.3 Datensicherungsserver277
17.2.4 Datensicherungsklient278
17.2.5 Datenhaltung279
18 Verzeichnisdienste280
18.1 Historie und Einsatzfelder280
18.1.1 System- und Benutzerverwaltung281
18.1.2 Rollen- und Berechtigungsverwaltung im Anwendungsumfeld282
18.1.3 Benutzeranmeldung282
18.1.4 Verwaltung von Metadaten284
18.1.5 Next Generation Tools: Access und Identity Management284
18.1.6 Zertifikate und Verzeichnisdienste285
18.2 Architekturempfehlungen hinsichtlich Betriebsf uhrung286
18.2.1 Datenladung und Platzierung von Verzeichnisdiensten286
18.2.2 Kommunikation mit Verzeichnisdiensten286
19 RDBMS288
19.1 Betriebssysteme und Datenbanken289
19.2 Kommunikation mit Datenbanken über Schnittstellen290
19.3 Datenhaltung und Zugri.290
19.4 Kryptologie im RDBMS-Umfeld291
20 Interpretersprachen zur Web-Ausgabe292
20.1 Mögliche Schwachstellen293
20.1.1 Allgemeines293
20.1.2 Vulnerabilities des PHP-Interpreter293
20.1.3 Benutzereingaben294
20.1.4 Dateinamen294
20.1.5 Variante 1: Lokale Dateien294
20.1.6 Variante 2: Entfernte Dateien295
20.1.7 Eingabe von Werten mittels eval()295
20.1.8 Umgebungs- und Laufzeitvariablen296
20.1.9 Aufruf externer Programme297
20.1.10 Datenbankzugri.e298
20.2 Übergreifende Lösungsansätze298
20.2.1 Allgemeine PHP-Kon.guration299
20.2.2 PHP Safe Mode300
20.2.3 Include-Dateien301
20.2.4 Auslagern von sensitiven Daten302
20.2.5 Filterung von Benutzereingaben302
20.2.6 Handhabung von Benutzersitzungen303
20.2.7 HTTP-Authentisierung303
20.2.8 Credential-Authentisierung304
20.2.9 Verfolgung von Benutzeraktivitäten305
20.2.10 Berechtigungssysteme305
21 Web Application Server308
21.1 Einleitung308
21.2 Plattform308
21.3 Technische Aspekte zur Absicherung310
21.3.1 Dislozierung in Netzwerkzonen310
21.3.2 J2EE-Server310
21.3.3 CVS und Entwicklungstools311
21.4 Betriebliche Aspekte zur Absicherung311
21.4.1 Transportwesen und Release Management311
21.4.2 Überwachung Laufzeitverhalten312
21.4.3 Security by Policy312
22 Exkurs: Technische Sicherheit von Web-Inhalten314
22.1 Aktive Inhalte315
22.1.1 Java-Applets315
22.1.2 JavaScript317
22.1.3 ActiveX und Visual Basic Script318
22.1.4 Macromedia Flash und sonstige Plug-ins319
22.2 Dynamische Inhalte320
Teil V Spezielle Sicherheitsdienste323
23 Betrachtung spezieller Sicherheitsdienster325
24 Proxy-Dienste326
24.1 Grundfunktionalität326
25 Content-Filter328
25.1 Funktionsweise328
26 Eindringlingserkennung330
26.1 Arten von IDS330
26.1.1 Network Based IDS330
26.1.2 Host Based IDS331
26.1.3 Web Based IDS331
26.1.4 Grundlegende Architektur331
26.2 Funktionsweisen332
26.2.1 Signaturerkennung332
26.2.2 Anomalieerkennung332
26.2.3 Wirtschaftlichkeit versus Motivation333
Teil VI Abschluss335
27 Reflexion und Ausblick336
Teil VII Anhänge338
Literaturverzeichnis340
Sachverzeichnis342

Weitere E-Books zum Thema: Betriebssysteme - Computersoftware

Automotive Embedded Systeme

E-Book Automotive Embedded Systeme
Effizfientes Framework - Vom Design zur Implementierung Format: PDF

Die Entwicklung hochkomplexer automotiver Infotainmentsysteme bestehend aus einer Headunit und weiteren Komponenten wie Audio- und Videoelementen, Kommunikationseinheiten, Navigationssystemen und…

Automotive Embedded Systeme

E-Book Automotive Embedded Systeme
Effizfientes Framework - Vom Design zur Implementierung Format: PDF

Die Entwicklung hochkomplexer automotiver Infotainmentsysteme bestehend aus einer Headunit und weiteren Komponenten wie Audio- und Videoelementen, Kommunikationseinheiten, Navigationssystemen und…

Automotive Embedded Systeme

E-Book Automotive Embedded Systeme
Effizfientes Framework - Vom Design zur Implementierung Format: PDF

Die Entwicklung hochkomplexer automotiver Infotainmentsysteme bestehend aus einer Headunit und weiteren Komponenten wie Audio- und Videoelementen, Kommunikationseinheiten, Navigationssystemen und…

Automotive Embedded Systeme

E-Book Automotive Embedded Systeme
Effizfientes Framework - Vom Design zur Implementierung Format: PDF

Die Entwicklung hochkomplexer automotiver Infotainmentsysteme bestehend aus einer Headunit und weiteren Komponenten wie Audio- und Videoelementen, Kommunikationseinheiten, Navigationssystemen und…

Automotive Embedded Systeme

E-Book Automotive Embedded Systeme
Effizfientes Framework - Vom Design zur Implementierung Format: PDF

Die Entwicklung hochkomplexer automotiver Infotainmentsysteme bestehend aus einer Headunit und weiteren Komponenten wie Audio- und Videoelementen, Kommunikationseinheiten, Navigationssystemen und…

Automotive Embedded Systeme

E-Book Automotive Embedded Systeme
Effizfientes Framework - Vom Design zur Implementierung Format: PDF

Die Entwicklung hochkomplexer automotiver Infotainmentsysteme bestehend aus einer Headunit und weiteren Komponenten wie Audio- und Videoelementen, Kommunikationseinheiten, Navigationssystemen und…

Sicheres Netzwerkmanagement

E-Book Sicheres Netzwerkmanagement
Konzepte, Protokolle, Tools Format: PDF

Die Administration komplexer Rechnernetzwerke verlangt durch die ständige Weiterentwicklung etablierter Standards und die Integration gänzlich neuer Technologien ein umfassendes technisches Know-how…

Sicheres Netzwerkmanagement

E-Book Sicheres Netzwerkmanagement
Konzepte, Protokolle, Tools Format: PDF

Die Administration komplexer Rechnernetzwerke verlangt durch die ständige Weiterentwicklung etablierter Standards und die Integration gänzlich neuer Technologien ein umfassendes technisches Know-how…

Weitere Zeitschriften

FREIE WERKSTATT

FREIE WERKSTATT

Die Fachzeitschrift FREIE WERKSTATT berichtet seit der ersten Ausgaben 1994 über die Entwicklungen des Independent Aftermarkets (IAM). Hauptzielgruppe sind Inhaberinnen und Inhaber, Kfz-Meisterinnen ...

Bibel für heute

Bibel für heute

BIBEL FÜR HEUTE ist die Bibellese für alle, die die tägliche Routine durchbrechen wollen: Um sich intensiver mit einem Bibeltext zu beschäftigen. Um beim Bibel lesen Einblicke in Gottes ...

Card Forum International

Card Forum International

Card Forum International, Magazine for Card Technologies and Applications, is a leading source for information in the field of card-based payment systems, related technologies, and required reading ...

caritas

caritas

mitteilungen für die Erzdiözese FreiburgUm Kindern aus armen Familien gute Perspektiven für eine eigenständige Lebensführung zu ermöglichen, muss die Kinderarmut in Deutschland nachhaltig ...

Demeter-Gartenrundbrief

Demeter-Gartenrundbrief

Einzige Gartenzeitung mit Anleitungen und Erfahrungsberichten zum biologisch-dynamischen Anbau im Hausgarten (Demeter-Anbau). Mit regelmäßigem Arbeitskalender, Aussaat-/Pflanzzeiten, Neuigkeiten ...

DER PRAKTIKER

DER PRAKTIKER

Technische Fachzeitschrift aus der Praxis für die Praxis in allen Bereichen des Handwerks und der Industrie. “der praktiker“ ist die Fachzeitschrift für alle Bereiche der fügetechnischen ...

Deutsche Hockey Zeitung

Deutsche Hockey Zeitung

Informiert über das nationale und internationale Hockey. Die Deutsche Hockeyzeitung ist Ihr kompetenter Partner für Ihren Auftritt im Hockeymarkt. Sie ist die einzige bundesweite Hockeyzeitung ...

die horen

die horen

Zeitschrift für Literatur, Kunst und Kritik."...weil sie mit großer Aufmerksamkeit die internationale Literatur beobachtet und vorstellt; weil sie in der deutschen Literatur nicht nur das Neueste ...