INTRO

Die Unbefangenheit, mit der viele User im Internet unterwegs sind und konsumieren, kommunizieren und spielerisch ausprobieren hat sich leider in vielen Bereichen auf die Administration und Systemplanung übertragen.
Bunt, schnell, lustig und gefällig muß alles sein.

An den Wert von Datenschutz und -sicherheit können sich vielleicht gerade noch diejenigen erinnern, die einmal gegen die Volkszählung protestiert haben. Heute trägt der Bundesbürger fleissigst bei Industrie und in Community-Portalen alle Daten freiwillig ein. Es wird intensiv geshoppt in ssl-zertifizierten websites – damit die Bestellungen mit den Kundendaten den Server dann unverschlüsselt per email Richtung Betreiber verlassen oder plötzlich 'aus unerklärlichen Gründen' als Datendump für Dritte abrufbar sind.

Nach dem Hack eines privat betriebenen Polizeiforums kursierte in der Szene der Witz:

„Was haben alle Polizisten gemeinsam? Das Passwort.“

und hob damit darauf ab, dass viele der user fahrlässigerweise aus Faulheit gleiche user/passwort Kombinationen bei diversen Foren, ihren email-accounts und sogar bei ebay und ähnlichen Angeboten verwendet hatten. Nun gut, auch Polizeibeamte sind nur ein Querschnitt der Bevölkerung.

Ich habe vor kurzem in einem kurzen Artikel über die Verwendung von frei im Netz benutzbaren Anonymizern/Proxies etc., den Vergleich mit einer elektronischen Waffe benutzt:
„
If you offer loaded weapons without control, you are definitively responsible, if someone gets shot
„.

also sinngemäß "Wer durchgeladene Waffen unkontrolliert anbietet, trägt auch die Verantwortung für eventuelle Opfer".

Dieser Vergleich lässt sich ohne Weiteres auf offene WLANs, Heim-Rechner ohne Firewall und Virenscanner oder nicht abgesicherte Server anwenden. Gleiches gilt für die Nutzung von Internetdiensten aus administrativen Accounts heraus (mit vollen Systemrechten).

Die Leistungsfähigkeit der aktuellen Rechnergenerationen ist bei einem Missbrauch nicht im Wesentlichen für dessen Besitzer gefährlich, sondern für unschuldige Dritte. Zum Autofahren braucht man einen Führerschein, für Feuerwaffen einen Waffenschein. Beim Kampf um den Flatratekunden unterbieten sich die Firmen mit Kombipaketen gegenseitig - der Konsument braucht kein Vorwissen. Um einen Server zu betreiben genügen einige Mausklicks und Eingaben auf einer Bestellseite – der neue Betreiber merkt erst spät, was er alles nicht weiss.

Leistung kostet Geld - Sicherheit kostet Zeit und noch viel mehr Geld

Es stimmt, dass mit vermeintlicher Sicherheit momentan in der Branche viel Geld verdient wird. Mit Anzug und Krawatte und Powerpointpräsentation werden diverse Appliances (Geräte, meist in 19" Bauform, schön lackiert mit blinkenden Lämpchen) und Echtzeit-Services an den Industrie-Kunden gebracht – auf saloppere Art wird dem Endkunden das glücklich machende Komplettpaket für Internetsicherheit verkauft. In beiden Fällen wird auch gleich die Verantwortung/Schuld abgegeben.

Was aber, wenn sich mit kleinem Geld Netz-Sicherheit mit vorhandenen Komponenten realisieren ließe?

Die Struktur im Rechenzentrum:

Die Basis für die Firewalls bilden zwei soekris 4801 Microcomputer mit pfsense als Firmware.

Dieses statische Firewalling begrenzt die Protokolle auf das Wesentliche. Im Unterschied zu Standard-Umgebungen ist in diesem Netz generell alles verboten, das nicht dediziert erlaubt ist.
Administrative Zugänge wie ssh, mysql (bis auf wenige isolierte Ausnahmen) nur über VPN (IPSEC/PPTP).

Die zweite Ebene bilden serverbasierte iptables-Regeln, die alle halbe Stunde aus dem Datenbankbestand neu erzeugt werden. In 2 Varianten wird sie externen Partner per autoupdate zur Verfügung gestellt.

Auf Applikationsebene:

Der mailserver wurde mit qsheff (einem wrapper mit aktivem spamassassin und clamav) versehen.
Alle 30 Minuten werden für qmail neue hosts.deny-Regeln erstellt, die eingehende Verbindungen noch vor dem Service mit geringstem Load blocken. Für postfix, exim und MS Exchange Server7 werden für externe Partner im gleichen Durchlauf Blockingregeln erzeugt, die per autoupdate abgeholt werden.

Der Apache mit mod_security2 geschützt. Ausgehende http-Verbindungen sind nur zu vertrauensvollen Zielservern erlaubt. Aus dem Datenbankbestand wird eine .htaccess generiert, die wiederum extern zur Verfügung gestellt wird.
Eine auf mod_rewrite basierende s.g. 'Boomerang config' leitet erkannte Angreifer beliebig um und ist in die .htaccess vhost-spezifisch eingearbeitet.

LAN

Das LAN verfügt über einen eigenen Gigabit-Switch, über den die sensitiven Daten (Datenbank-Verbindungen, Backups, Administration) laufen. Hier sind ebenfalls die 2 Remote Power Controls mit LAN-IPs untergebracht, über die jedes Gerät einen Powercycle bekommen kann.

Die Kontrolle über die gesamte Umgebung hat die netsecdb, eine MySQL-Datenbank mit heutigem Bestand von (siehe statistics).

Damit ist die Datenbank der mir momentan größte bekannte Sicherheitsdatenbestand in Europa, der afrinic, lacnic, brnic und arin in Teilen und alle sonstigen Netze komplett kennt und bei Bedarf automatisch oder manuell importiert.

Alle in der Netzumgebung erfassten Daten über externe Netze werden in der Datenbank klassifiziert abgelegt.

Unter Anwendung der netsecdb für die Kommunikationsmatrix haben wir das Aufkommen innerhalb von 3 Monaten Betrieb schon auf ca. 1% des Ursprungs reduziert (und damit auch die darauf verwendete Rechenleistung).

(vgl. mailstats unter statistics)

Die gleichen Ergebnisse wurden mir von den s.g. STAT-Nodes in Deutschland und der Schweiz zurückgemeldet. Diese ziehen sich die erzeugten Mailserver-Configfiles, iptables-scripts und htaccess-Dateien und wenden sie auf ihren Servern an. Turnusmässig erzeugen sie dann im Gegenzug Statistiken aus den Logfiles mit den TOP-25 Spammer Ländern zur Gegenkontrolle der Matrixwerte.

Lernen

Mit

• jeder spam aus einem noch unbekannten Netz
• der Auswertung von 2.9 Mio conficker domains
• der Zurordnung von porno-domains zu ihren Netzsegmenten
• dem Mapping von Warez, Filesharing- Hackerwebseiten
• jedem exploit-Angriff

hat die netsecdb dazugelernt.

'bullet proofed'

Wir haben von Anfang an die Systemarchitektur publiziert und damit für potentielle Angreifer transparent gemacht - eigentlich ein Unding in der EDV.

Dass wir immer noch online sind, ist ein Beweis dafür, das Sicherheit auch mit kleinem Geldbeutel machbar ist.

Keine Hexerei sondern ein grundsätzlicher Ansatz um ein Problem umfassend in den Griff zu bekommen und die Arbeitsergebnisse extern in Standardumgebungen reproduzierbar zu machen.

ZU HAUSE / OFFICE

Mit der Absicherung von Hosting-Umgebungen alleine ist es natürlich nicht getan - da gibt es ja noch die Gegenseite in Form von Home- und Office-Netzwerken.

Hierfür braucht es 'stärkere Geschütze' als im Rechenzentrum. Eine soekris 4801, besser noch 5501 jeweils mit eingebauter 2,5" Festplatte für den Betrieb von transparenten Proxies. Hier kommt zusätzlich noch der Jugendschutz in's Spiel. Zugriff auf Pornhoster, Warez, Filesharing, Phishing, SpamLinkDestinations, Tor-ExitNodes, Proxies gibt es für die Kinderzimmer nicht:

Wer heute als Elternteil seine Kinder schützen will, kann es.

IPSEC-VPN ist für die gesicherte Verbindung in's Rechenzentrum eingerichtet - könnte aber angesichts der Vorratsdatenspeicherung und geplanten staatlich kontrollierten Blockadepolitik (aktuell sind es Kinderpornos, wer weiss, was noch dazukommt) später einmal nützlich werden.

Wer sich mit dem vom Provider offerierten Router nicht zufrieden gibt, kann überrascht feststellen, was sich da alles in seinem Einwahlnetz an Datenpaketen tummelt, obwohl es da eigentlich gar nichts zu suchen hätte. Hacker, bunt zusammengewürfelt wie eine UN-Vollversammlung, versuchen einen Weg ins Innere und zur Übernahme der Kontrolle für einen unbemerkten Missbrauch der Rechner zu finden.
Müssig zu erwähnen, dass auch die dort gesammelten Daten der Hackversuche ihren Eingang in die netsecdb finden.

FAZIT

Das, was unsere Politiker momentan zur Sicherheitslage an Sensorik und Schutzmassnahmen auf länderübergreifender Ebene planen, läuft also hier seit gut 1 1/2 Jahren technisch erfolgreich. Transparent und überprüfbar für jeden, der mit den Daten arbeitet und ohne einen einzigen personenbezogenen Datensatz.