ToDo-Liste für Kompetenz-Upgrade?

[faz]

Hallo zusammen,

ich möchte meine Sicherheits-Kompetenz ausbauen. Was wird dazu konkret benötigt, was muß ich wissen bzw. lernen und wieviel Zeit sollte ich für all das mindestens einplanen? Ich möchte mir quasi einen kleinen Lehrplan aufbauen.

Was ich so ganz grob können will:

• Linux-Server gegen die häufigsten Arten von Angriffen absichern
• Versuche und erfolgreiche Einbrüche erkennen und signalisieren (Intrusion Detection)
• Maßnahmen für versuchte und erfolgreiche Einbrüche kennen und anwenden können
• Einschätzen, wann man Netzwerk oder Host IDS verwenden sollte.
• Welche OpenSource und welche kommerziellen Tools gibt es? Wann nutzt man welche?
• aktuelle Angriffs-Szenarien kennen
• Zusammenhänge verstehen
• Sicherheitskonzepte entwerfen für
  • kleine interne Netze
  • kleine öffentliche Server-Strukturen (Web, Mail, DB, Applications)

Was benötigt man noch?


Was ich nicht erreichen muß:

• Hacker werden
• der NSA die Stirn bieten können
• Sicherheitsstandard von Banken & Co erfüllen können (wobei das Prinzip vermutl. eh immer das gleiche ist)

Meine Basis

• leicht angestaubtes Informatikstudium
• Internet/Netzwerkkenntnisse (Strukturen, Protokolle & Co)
• Linux ca. 10 Jahren immer wieder im Servereinsatz gehabt (kleine abgeschlossene Intranets, sonst wäre es leichtsinnig)
• Grundlagen über Serversicherheit (nur die nötigsten Dienste, SSH per Key, etc.)
• Das Buch IDS von Spannenberg vor Jahren mal angefangen zu bearbeiten
• Tripwire vor Jahren mal im Einsatz
• Iptables vor Jahren angefangen
• Konfiguration von separaten Firewalls (Lancom, Bintec, Netgear) geht soweit gut
• regelmäßig ShellScripting
• die letzten 4 Jahre nicht viel neue IT "gemacht".
• Bewusstsein für Sicherheit

Ich weiß, dass das ganze nicht mal eben "über Nacht" geht und ganz viel Übung und Erfahrung erst den Meister macht. Aber irgendwie muß man ja anfangen - bzw. weiter machen. Ich hoffe, dass meine paar Stichworte ausreichen, um Euch einen groben Überblick meiner Bedürfnisse zu geben und Ihr daraus eine Einschätzung vornehmen könnt. Was denkt Ihr? Hoffnungsloser Fall und lieber Bäcker werden ( ) oder gibt es eine realistische Chance?

Vielen Dank und Grüße
faz

 

[bitmuncher]

[*]Linux-Server gegen die häufigsten Arten von Angriffen absichern

Nimm dir das Handbuch der von dir eingesetzten Distribution und die Handbücher der eingesetzten Server-Software. Daraus sollten genug sich sicherheitsrelevante Informationen ableiten lassen um eine grundlegende Absicherung zu erreichen.

[*]Versuche und erfolgreiche Einbrüche erkennen und signalisieren (Intrusion Detection)

Schau dir Software wie Snort, OSSEC, Samhain usw. an.

[*]Maßnahmen für versuchte und erfolgreiche Einbrüche kennen und anwenden können

Auch dazu wirst du kaum etwas allgemeingültiges finden. Gesunder Menschenverstand und Verständnis für den durchgeführten Angriff sind da in erster Linie hilfreich. Ausserdem hängt es davon ab welche Möglichkeiten der Rückverfolgung eines Angriffs du in deine Systeme einbaust.

[*]Einschätzen, wann man Netzwerk oder Host IDS verwenden sollte.

NIDS = Traffic überwachen
HIDS = Zustand des Hosts/Servers überwachen

[*]Welche OpenSource und welche kommerziellen Tools gibt es? Wann nutzt man welche?

Da wirst du wohl nicht drumrum kommen selbst Google zu bemühen. Die Auswahl ist zwar im OSS-Umfeld relativ klein, aber im Bereich der Appliances schon recht gross.

[*]aktuelle Angriffs-Szenarien kennen

Die Szenarien haben sich in den letzten Jahren kaum geändert. Die Technologien sind nur ausgefeilter/komplexer geworden.

[*]Zusammenhänge verstehen

Das entsteht von allein, wenn du die eingesetzte Technologie verstehst.

[*]Sicherheitskonzepte entwerfen für

• kleine interne Netze
• kleine öffentliche Server-Strukturen (Web, Mail, DB, Applications)

Das BSI bietet recht gute Unterlagen um sich grundlegend das Entwerfen von Sicherheitskonzepten anzueignen. Einfach mal ein wenig auf der Website des BSI stöbern.

Was benötigt man noch?

Zeit! Viel Zeit! Und Enthusiasmus für das Thema... Viel Enthusiasmus!

 

[SchwarzeBeere]

Einige Fragen habe ich noch:

• Willst du dein Wissen beruflich einsetzen oder privat? Wieviel Geld/Budget steht dir zur Verfügung?
• Was bedeutet für dich "klein"? <10 Server oder eher 10-100 Server?
• Wie siehts mit Client-Security aus?
• Willst du dich eher mit stabiler "Standardsoftware" beschäftigen oder auch abgefreakten Nischenprodukten?

Das wichtige ist garnicht die Technik dahinter, sondern vielmehr das Modell aussen rum:

• aktuelle Angriffs-Szenarien kennen
• Zusammenhänge verstehen
• Sicherheitskonzepte entwerfen für
  • kleine interne Netze
  • kleine öffentliche Server-Strukturen (Web, Mail, DB, Applications)

Hier ist es zuerst einmal wichtig, dass du dir eine oder mehrere Bedrohungen und Angreifer vorstellst oder dich vielleicht sogar direkt in einen hineiversetzt. Was würdest du tun, wenn du Angreifer eines Konkurrenten, eines gekränkten Mitarbeiters, eines Skriptkiddies mit simplem Scanner- oder Bruteforceskript oder eines NSAlers wärst (Bedrohungs- oder Angreifermodell)? Welche Daten (neudeutsch: Assets) könnten dich interessieren und wie könntest du am besten an sie dran kommen? Fortgeschrittene Fragen könnten noch bzgl. der Wahrscheinlichkeiten und Schadenshöhen (neudeutsch: Risikoanalyse) gestellt werden, oder auch der Auswirkungen der Maßnahmen auf die Geschäftsprozesse (d.h. was ist der Zweck deiner IT-Umgebung und wie erreichst du eine möglich komfortable Bedienung für den Enduser bei möglichst hohem Sicherheitsniveau?). Daraus kannst du dir dann deine eigenen Anforderungen an die Sicherheit ableiten.
Dann probierst du es einfach mal selbst aus: Starte nmap, schau dir den Output genau an und versuche zu den gefundenen Informationen Schwachstellen (https://nvd.nist.gov/, OSVDB: Open Sourced Vulnerability Database, http://www.exploit-db.com/, ...) zu finden. Weiterhin kannst du dir z.B. nessus anschauen, das darüber hinaus auch schon erste Probleme in der Konfiguration, z.B. bzgl. SSL, aufdecken kann.

Auf Basis der gesammelten Informationen kannst du dir nun ein Konzept überlegen, das Maßnahmen gegen die in Schritt 1 definierten Bedrohungen und Angreifer enthält und sinnvoll miteinander kombiniert (Stichwort: Ganzheitliche Sicherheit). Als Maßnahmen solltest du keine konkreten Soft- oder Hardwareprodukte überlegen, sondern vielmehr allgemein beschreiben, wie du welche Anforderungen erfüllen willst, z.B. wo du am besten welche Informationen verarbeitest, wie du am besten Accounts anlegst, löscht oder sperrst, oder wer auf welchen Dienst von wo wie Zugriff haben muss, damit die Daten sicher an nur die Personen übertragen werden, die dazu autorisiert wurden. Dieses Konzept nutzt du nun als Grundlage, um dir deine Produkte zusammen zu suchen. In kleinen Umgebungen ist man hier in der komfortablen Lage, dass man zu 99% der Probleme bereits vorhandene Lösungen (OpenSource, Freeware, Properitär) via Google findet.

Die weiteren Antworten ergeben sich nun aus dem grundlegenden Prozess und die Maßnahmen erfüllen vollständig deine Anforderungen. Somit lernst du nichst unnötiges, sondern beschäftigst dich nur mit dem, was du wirklich brauchst