Netzwerksicherheit Grundkurs

TCP/IP-Protokoll in Mac OS X und Linux härten

LinkedIn Learning kostenlos und unverbindlich testen!

Jetzt testen Alle Abonnements anzeigen
Das TCP/IP-Protokoll kann ebenfalls in Mac OS X oder in Linux-Betriebssystemen gehärtet werden. Hierfür steht ein spezielles Programm zur Verfügung.

Transkript

Wie sieht das Härten unter anderen Betriebssystemen aus? Zum Beispiel OS X oder Linux. Grundsätzlich sind die Probleme, die ein Stack hat, unter Windows, OS X und Linux die gleichen. Das ist in dem Fall abhängig vom jeweiligen Protokoll. Das heißt also, diese SynAttacks gibt es da auch. Jetzt muss man gucken, wie reagiert ein Protokoll darauf. Ich habe jetzt für die anderen Protokolle beziehungsweise Betriebssysteme noch andere Bereiche herausgegriffen. Einfach um zu zeigen, dort gibt es auch Situationen, wo man das tun kann. TCP unter OS X härten, hierzu brauche ich auch ein Tool. Dieses Tool schauen wir uns jetzt mal an. Es gibt sich einen Befehl, der nennt sich sysctl net.inet. Damit zeigen Sie zum Beispiel die ganzen gesetzten Parameter an, hier können Sie also sehen, was wir für Werte definiert haben. Da können Sie auch sehen, welche der Werte es dort auch gibt und können dann auch mit Werten von Windows arbeiten, weil TCP/IP letztendlich das ist, was es ist. Und wenn ein SynAttack stattfindet, ist der unter OS X genau so zu handhaben wie unter Windows. Mit sysctl und in dem Fall net.inet können Sie sich wie gesagt die Parameter anschauen. Gucken Sie mal nach, welche Parameter hier möglich sind und passen Sie die Ihren Gegebenheiten an. Ich habe hier ein Beispiel für OS X, und zwar ICMP Redirect. Was versteht sich unter ICMP Redirect? Die Idee unter ICMP Redirect ist eine löbliche. Wenn jemand einen Routingfehler hat, eine Tabelle falsch geschrieben hat, dann würde zum Beispiel ein Router, der unnötig angesprochen wird, eine Meldung zurückschicken, in der drinsteht: Pass mal auf, über mich zu gehen ist zwar eine nette Idee, aber ich habe da einen wesentlich besseren Weg, der sinnvoll ist. Es wird also ein sogenanntes Redirect geschickt und anhand dieses Redirect wird dann der Benutzer beziehungsweise die Maschine, letztendlich der IP-Stack, den Weg wählen, den man ihm vorgeschlagen hat. Sie ahnen schon, was man damit machen kann. Man könnte jetzt als Man in the Middle ICMP Redirects definieren und schicken, und wäre somit in der Lage, dem Stack mitzuteilen, Pass auf, der Router, den du sonst hast, ist nicht so toll, nimm doch bitte diesen anderen. Überraschenderweise würden dann auf diesem Router, den er verwenden würde, Mechanismen wirken um zu überprüfen, was da im einzelnen läuft und welche Informationen dort übertragen werden. Aus diesem Grund ist ICMP Redirect immer auszuschalten. Das geht natürlich auch für Windows. Da haben wir's nochmal stehen. ICMP Redirect. Tritt auf bei Routingfehlern. Hier ist der Befehl, mit dessen Hilfe man dies abschalten kann. Mit diesem Befehl wird quasi der OS X-Rechner gegen ein Redirect immunisiert. Das Redirect ist dann zwar immer noch da, aber man sieht hier: drop_redirect, das heißt, es wird schlicht und ergreifend in die Tonne getreten. Damit ist die Gefahr gebannt, dass ich über so einen Mechanismus jemandem einen anderen Weg aufzeige, den er gar nicht gehen möchte, den ich aber will, dass er ihn geht, als Man in the Middle, in diesem Fall. Wie sieht es bei einem Härten von Linux/Unix aus? Da hängt es ein bisschen von Ihrer Distribution oder Ihrem Unix ab. Grundsätzlich wird das aber ähnlich sein wie bei OS X. Sie haben auch hier einen Befehl, sysctl, in diesem Fall net.ipv4. Da können Sie sich die gesetzten Parameter anschauen und könnten zum Beispiel den Befehl, den wir da gerade hatten, diesen SourceRoute-Mechanismus, über diesen Weg eliminieren. Das heißt, hier würde das IP-Paket nicht mehr einem vorgegebenen Weg folgen, sondern es würde abgeschaltet werden. Grundsätzlich gilt beim Härten vom Stack: Vorsicht mit den Parametern! Es sollte auch immer mal wieder überprüft werden, ob unsere Maschinen noch so laufen, wie sie sollen.

Netzwerksicherheit Grundkurs

Machen Sie sich mit den grundlegenden Konzepten der Netzwerksicherheit vertraut und erfahren Sie, wie Sie Ihre Kenntnisse unter Windows, OS X und Linux praktisch umsetzen können.

11 Std. 47 min (142 Videos)
Derzeit sind keine Feedbacks vorhanden...

Dieser Online-Kurs ist als Download und als Streaming-Video verfügbar. Die gute Nachricht: Sie müssen sich nicht entscheiden - sobald Sie das Training erwerben, erhalten Sie Zugang zu beiden Optionen!

Der Download ermöglicht Ihnen die Offline-Nutzung des Trainings und bietet die Vorteile einer benutzerfreundlichen Abspielumgebung. Wenn Sie an verschiedenen Computern arbeiten, oder nicht den ganzen Kurs auf einmal herunterladen möchten, loggen Sie sich auf dieser Seite ein, um alle Videos des Trainings als Streaming-Video anzusehen.

Wir hoffen, dass Sie viel Freude und Erfolg mit diesem Video-Training haben werden. Falls Sie irgendwelche Fragen haben, zögern Sie nicht uns zu kontaktieren!