Sie sind hier
E-Book

Security@Work

Pragmatische Konzeption und Implementierung von IT-Sicherheit mit Lösungsbeispielen auf Open-Source-Basis

AutorDaniel E. Atencio Psille, Jörg Eschweiler
VerlagSpringer-Verlag
Erscheinungsjahr2006
Seitenanzahl334 Seiten
ISBN9783540362265
FormatPDF
KopierschutzDRM
GerätePC/MAC/eReader/Tablet
Preis6,99 EUR

Die Autoren erläutern die konzeptionellen und technischen Grundlagen des Themas IT-Sicherheit anhand anschaulicher Beispiele. Im Fokus stehen dabei die praktische Verwendbarkeit realitätsnaher Konzepte und Techniken. Hierzu werden ebenfalls aktuelle Standards erläutert und eingebunden.

Um die Komplexität des Themas und seine Abhängigkeiten darzustellen, werden die Integration der einzelnen Bausteine sowie der Betrieb eines solchen Verbundes von IT-Komponenten sowohl aus technischer als auch administrativer Sicht und unter dem Aspekt der Integration in eine organisationsweite IT-Infrastruktur betrachtet.

Das Buch bietet technisch versierten Einsteigern und Administratoren eine umfassende Grundlage für die weitergehende Auseinandersetzung mit dem Thema IT-Sicherheit.



Jörg Eschweiler ist langjähriger IT-Berater und Trainer mit den Schwerpunkten Systems Management und Projektleitung. Er engagiert sich nebenberuflich in Organisationen zur Entwicklung und Pflege von Projektmanagement-Methoden.

Daniel E. Atencio Psille ist langjähriger IT-Berater mit den Schwerpunkten Systeme und Sicherheit. Er engagiert sich nebenberuflich für Debian GNU/Linux sowie im Rahmen einer Vereinigung von Mietserverbetreibern.

Kaufen Sie hier:

Horizontale Tabs

Leseprobe

20 Interpretersprachen zur Web-Ausgabe (S. 279-280)

In diesem Kapitel beschäftigen wir uns mit IT-Sicherheit im Hinblick auf (Web-)Skriptsprachen. Dabei wurde PHP (PrettyHomePage Hypertext Processor) als Beispiel gewählt, da es sich hier um eine mittlerweile recht stabile Version einer solchen Sprache handelt, sie über eine Fülle von Funktionalitäten verfügt und der Einsatz im Feld recht weit verbreitet ist. Entsprechend liegt es in der Natur der Dinge, dass statistisch gesehen PHP-basierte Websitesöfters Opfer von Angriffen werden.

Skriptsprachen wie PHP werden meist eingesetzt, um dynamische Webseiten zu schaffen, wozu ebenfalls einige Features aus bekannten, aber eher klassischen Sprachen wie Perl, C oder auch Java entliehen wurden. Je kraftvoller und funktionsreicher ein solches Werkzeug ist, umso mehr Möglichkeiten für Fehlfunktionen, suboptimales Design und daraus resultierenden Problemen bietet es. Insbesondere kommt bei Web-Skriptsprachen wie PHP oftmals zum Tragen, dass die Benutzer zwar mit HTML etc. und Grundlagen der Programmierung vertraut sind, aber nicht unbedingt mit Design- und Coding-Grundsätzen aus der klassischen Programmierung. Entsprechend gilt es, einige potentielle Sicherheitsprobleme mit optimiertem Design oder auch Programmierverfahren im Keim zu ersticken, anstatt die (Er-)Lösung in weiteren Features oder Zusätzen zu suchen!

Durch Beachtung einiger Regeln und Gedanken zur sicheren Programmierung kann auch beim Einsatz von Tools wie PHP das Risiko von Sicherheitslöchern oder deren Kompromittierung signifikant gesenkt werden. Auf den folgenden Seiten werden also weniger "Kernel Hacker’s Coding Hints" als vielmehr praktische Erfahrungen (beziehungsweise Lehren daraus) und Designaspekte im Vordergrund stehen. Klar, dass sich diese Aspekte auch auf andere Sprachen wie z.B. Python, regul¨are CGIs etc. übertragen lassen.

20.1 Mögliche Schwachstellen
20.1.1 Allgemeines

Um die folgenden Betrachtungen aus Sicht der IT-Sicherheit, aber auch allgemeiner Systemadministration besser einschätzen zu können, sei der werten Leserschaft angeraten, Folgendes im Hinterkopf zu halten: Prinzipell bietet PHP zwei verschiedene Ausführungsmodi: einmal als CGI-Applikation und einmal als in den Webserver integriertes Modul. Unabhängig vom gewählten Modus verfügt der im System installierte und laufende PHP-Interpreter (unabhängig vom Betriebssystem) über das Potential, zur Laufzeit auf jeden Teil des Systems zugreifen zu können. Dies bedeutet, Prozesssystem, Dateisysteme, Netzwerkverbindungen etc. stehen zur Verfügung – auch beziehungsweise gerade im Falle eines Missbrauchs! Um also Risiko und Auswirkung von Attacken oder Fehlfunktionen eingrenzen zu können, sollten sich Programmierer und Administrator darüber im Klaren sein, was zur Laufzeit der Programme im Rahmen deren Ausf¨uhrung, aber auch auf Ebene der genutzten Schnittstellen passieren kann. Das ist natürlich in Anbetracht der doch mitunter recht komplexen Softwaresysteme auf PHP-Basis nicht trivial. Dies bedingt erst recht eine ordentliche konzeptionelle Grundlage, um Ursachen – sofern möglich – proaktiv eliminieren zu könen und nicht späer "nur" Symptome oder Auswirkungen eingrenzen zu müssen.

Inhaltsverzeichnis
Vorwort7
Inhaltsverzeichnis9
1 Einleitung14
1.1 Für wen dieses Buch interessant ist15
1.2 Warum dieses Buch entstand15
1.3 Was dieses Buch leistet16
1.4 Was dieses Buch nicht bietet18
1.5 Wie dieses Buch gelesen werden sollte18
1.6 Konventionen im Buch19
1.7 Randgedanken19
Teil I Einführung in das Thema ”IT-Sicherheit“22
2 Was ist ”IT-Sicherheit“?24
2.1 Versuch einer Herleitung25
2.1.1 ”Sicherheit“ im Alltag25
2.1.2 ”IT“28
2.2 Sicherheitsgrundbedürfnisse32
2.2.1 Verfügbarkeit32
2.2.2 Verlässlichkeit33
2.2.3 Vertraulichkeit35
2.3 Begriffsdefinition35
3 IT-Sicherheit im Kontext38
3.1 Der allgemeine Kontext38
3.2 Schutzbedarf39
3.3 Schutzziele41
3.3.1 Integrität43
3.3.2 Verfügbarkeit43
3.3.3 Vertraulichkeit44
3.3.4 Weitere Zielsetzungen44
3.4 Schutzmaßnahmen45
3.4.1 Konfiguration46
3.4.2 Überwachung46
3.4.3 Alarmierung48
3.4.4 Reaktion52
4 Ideen für eine Laborumgebung56
4.1 Logische Struktur57
4.1.1 Netzwerkzone DMZ58
4.1.2 Netzwerkzone LAN60
5 Bedrohungen62
5.1 Motivation der Angreifer62
5.1.1 Habgier63
5.1.2 Neugier64
5.1.3 Spionage65
5.1.4 Vergeltung/Sabotage66
5.1.5 Konspiration67
5.2 Das Ebenenmodell der Bedrohungsarten68
5.2.1 Anwendungsebene70
5.2.2 Protokollebene70
5.2.3 Ressourcenebene72
5.3 Technische Bedrohungskategorien73
5.3.1 Denial of Service73
5.3.2 Code Injection77
5.3.4 Spoofing und Session Hijacking81
5.3.5 Poisoning88
5.3.6 Flooding88
5.3.7 Malicious Content89
5.4 Social Engineering94
5.5 Zusammenfassung95
Teil II Methodische Grundlagen zur Modellierung und Umsetzung von IT-Sicherheit98
6 Anforderungsableitung und -definition102
6.1 Einleitung102
6.2 Exkurs: Bundesdatenschutzgesetz (BDSG)102
6.3 Ausgangssituation104
6.4 Analyse von Organisation- und IT-Struktur106
6.5 Anregungen108
7 Sicherheitsanalyse110
7.1 Einleitung110
7.2 Zielsetzung110
7.3 Vorgehensweise111
7.4 Ist-Erhebung111
7.5 Schutzbedarfserhebung112
7.5.1 Ableitung von Schutzbedarfskategorien112
7.5.2 Festlegung des Schutzbedarfs112
7.6 Ableitung Soll-Modell113
7.6.1 IT-Sicherheitsrichtlinie / Security-Policy113
7.6.2 Priorisierung115
7.6.3 Zuordnung von Maßnahmen116
7.6.4 Restrisikoanalysen116
7.7 Ergebnisumfang117
8 Anwendung der Sicherheitsanalyse120
8.1 Einführung120
8.2 Vorgehen120
8.3 Bedrohungs- und Gefahrenpotentialanalyse120
8.4 Sicherheitscheck122
8.5 Ableitung Handlungsbedarf122
9 Überprüfung und Bewertung von IT-Sicherheit124
9.1 Vorbemerkungen124
9.2 Prüfung ist notwendig, Evaluierung nutzbringender!124
9.3 Assessments126
9.3.1 Self-Assessment126
9.3.2 Vulnerability-Assessment126
9.3.3 Penetration-Assessment126
9.3.4 Risk-Assessment127
9.4 Audits127
9.4.1 Internes Audit127
9.4.2 Externes Audit127
9.5 Möglichkeiten einer Tool-Unterstützung128
10 IT-Sicherheitskonzept130
10.1 Überblick130
10.1.1 Kapitel 1 und 2 – Administrativa und Überblick131
10.1.2 Kapitel 3 – Fokus132
10.1.3 Kapitel 4 – Systemarchitektur132
10.1.4 Kapitel 5 – Schutzbedarf133
10.1.5 Kapitel 6 – Anzuwendende Vorgaben134
10.1.6 Kapitel 7 – Anforderungen134
10.1.7 Kapitel 8 – Implementierungsvorgaben136
10.1.8 Kapitel 9 – Restrisiken137
10.1.10 Sonstige Konzepte und Querverweise139
10.2 Exkurs: Erstrealisierung von IT-Sicherheit141
11 Standards zur IT-Sicherheit und Regulatory Compliance142
11.1 Was hat IT-Sicherheit mit Regulatory Compliance zu tun?142
11.2 Regulatory Compliance143
11.2.1 Allgmeine Gesetze und Regelungen in der BRD143
11.2.2 Fachspezi.sche Gesetze und Regelungen in der BRD145
11.2.3 Ausl¨andische Gesetze und Regelungen148
11.2.4 Allgemeine Standards151
11.3 Standards zur IT-Sicherheit152
11.3.1 ISO-Standards152
11.3.2 BSI-Standards154
11.4 Weitere Technologie- und Methodenstandards mit Bezug zur IT-Sicherheit157
11.4.1 Querschnittliche Methoden und Standards157
11.4.2 NIST-Methoden und -Standards161
11.4.3 Open Source Community / Freie Projekte163
Teil III Etablierung einer Grundabsicherung165
12 Methodische Vorgehensweise zur Umsetzung technischer Maßnahmen166
12.1 Konzeption und PoC168
12.2 Implementierung und Ausbringung173
12.3 Betrieb173
13 Grundlagen zur Härtung von Systemen176
13.1 Zielsetzung178
13.2 Betriebskonzeption178
13.3 Konzeptionelle H¨artung des Betriebssystems180
13.3.1 Ressourcenverwaltung181
13.3.2 Der Kernel184
13.3.3 Benutzerverwaltung193
13.3.4 Berechtigungskonzepte196
13.3.5 Installation203
13.4 Konzeptionelle H¨artung systemnaher Dienste208
13.5 Virtualisierung211
13.5.1 LPAR212
13.5.2 chroot212
13.5.3 jails, UML, vserver213
13.5.4 Virtuelle Hardware214
13.5.5 Einsatzgebiete214
14 Grundlagen zur Absicherung von Netzen216
14.1 Netzwerkgrundlagen219
14.1.1 Das ISO/OSI-Modell220
14.2 Ethernet223
14.2.1 Zugang zum Medium223
14.2.2 Adressierung225
14.2.3 Zugriffskontrolle227
14.2.4 Zusammenfassung228
14.3 TCP/IP229
14.4 Übergreifende Absicherung von Netzen und Datenverkehr230
14.4.1 Anbindung von Systemen an Netze230
14.4.2 Absicherung von Endger¨aten auf Systemebene232
14.4.3 Absicherung von Netzwerkverkehr235
14.4.4 Absicherung des Zugangs zu Diensten und Anwendungen237
14.4.5 Datentransfer und -haltung auf Anwendungsebene239
14.4.6 Gedanken zum integrierten Betrieb240
15 Querschnittsbetrachtungen zur Absicherung des Betriebs242
15.1 Best Practices242
15.1.1 NTARS243
15.1.2 Think Twice244
15.1.3 Konfigurationsänderungen244
15.1.4 Installationen245
15.1.5 Informationsbescha.ung246
15.1.6 Gesunde Paranoia246
15.2 Systems Management247
15.2.1 Monitoring247
15.2.2 Event Management und Resolution248
15.2.3 Con.guration Management249
15.2.4 Software Distribution250
15.3 Dokumentation252
15.3.1 Inhalte253
15.3.2 Umfang254
15.3.3 Aufbau und Form255
15.3.4 Ablage256
15.4 Information Flow Control258
15.5 ”Externe“260
15.5.1 Dienstleister261
15.5.2 Mitarbeiter262
15.6 Worst Practices264
15.6.1 Security by Obscurity264
15.6.2 Sorglosigkeit265
15.6.3 Inselmentalit¨at266
Teil IV Absicherung von Peripheriediensten268
16 Überblick und Szenarien270
16.1 Uberblick270
16.2 Szenarien271
17 Datensicherung272
17.1 Allgemeine Anforderungen und Lösungen272
17.1.1 Methoden und Verfahren zur Datensicherung273
17.1.2 Datenhaltung und Kategorien von Daten275
17.2 Anforderungen an Datensicherungsimplementierungen275
17.2.1 Kommunikationswege276
17.2.2 Verschlüsselung von Datensicherungsdaten276
17.2.3 Datensicherungsserver277
17.2.4 Datensicherungsklient278
17.2.5 Datenhaltung279
18 Verzeichnisdienste280
18.1 Historie und Einsatzfelder280
18.1.1 System- und Benutzerverwaltung281
18.1.2 Rollen- und Berechtigungsverwaltung im Anwendungsumfeld282
18.1.3 Benutzeranmeldung282
18.1.4 Verwaltung von Metadaten284
18.1.5 Next Generation Tools: Access und Identity Management284
18.1.6 Zertifikate und Verzeichnisdienste285
18.2 Architekturempfehlungen hinsichtlich Betriebsf uhrung286
18.2.1 Datenladung und Platzierung von Verzeichnisdiensten286
18.2.2 Kommunikation mit Verzeichnisdiensten286
19 RDBMS288
19.1 Betriebssysteme und Datenbanken289
19.2 Kommunikation mit Datenbanken über Schnittstellen290
19.3 Datenhaltung und Zugri.290
19.4 Kryptologie im RDBMS-Umfeld291
20 Interpretersprachen zur Web-Ausgabe292
20.1 Mögliche Schwachstellen293
20.1.1 Allgemeines293
20.1.2 Vulnerabilities des PHP-Interpreter293
20.1.3 Benutzereingaben294
20.1.4 Dateinamen294
20.1.5 Variante 1: Lokale Dateien294
20.1.6 Variante 2: Entfernte Dateien295
20.1.7 Eingabe von Werten mittels eval()295
20.1.8 Umgebungs- und Laufzeitvariablen296
20.1.9 Aufruf externer Programme297
20.1.10 Datenbankzugri.e298
20.2 Übergreifende Lösungsansätze298
20.2.1 Allgemeine PHP-Kon.guration299
20.2.2 PHP Safe Mode300
20.2.3 Include-Dateien301
20.2.4 Auslagern von sensitiven Daten302
20.2.5 Filterung von Benutzereingaben302
20.2.6 Handhabung von Benutzersitzungen303
20.2.7 HTTP-Authentisierung303
20.2.8 Credential-Authentisierung304
20.2.9 Verfolgung von Benutzeraktivitäten305
20.2.10 Berechtigungssysteme305
21 Web Application Server308
21.1 Einleitung308
21.2 Plattform308
21.3 Technische Aspekte zur Absicherung310
21.3.1 Dislozierung in Netzwerkzonen310
21.3.2 J2EE-Server310
21.3.3 CVS und Entwicklungstools311
21.4 Betriebliche Aspekte zur Absicherung311
21.4.1 Transportwesen und Release Management311
21.4.2 Überwachung Laufzeitverhalten312
21.4.3 Security by Policy312
22 Exkurs: Technische Sicherheit von Web-Inhalten314
22.1 Aktive Inhalte315
22.1.1 Java-Applets315
22.1.2 JavaScript317
22.1.3 ActiveX und Visual Basic Script318
22.1.4 Macromedia Flash und sonstige Plug-ins319
22.2 Dynamische Inhalte320
Teil V Spezielle Sicherheitsdienste323
23 Betrachtung spezieller Sicherheitsdienster325
24 Proxy-Dienste326
24.1 Grundfunktionalität326
25 Content-Filter328
25.1 Funktionsweise328
26 Eindringlingserkennung330
26.1 Arten von IDS330
26.1.1 Network Based IDS330
26.1.2 Host Based IDS331
26.1.3 Web Based IDS331
26.1.4 Grundlegende Architektur331
26.2 Funktionsweisen332
26.2.1 Signaturerkennung332
26.2.2 Anomalieerkennung332
26.2.3 Wirtschaftlichkeit versus Motivation333
Teil VI Abschluss335
27 Reflexion und Ausblick336
Teil VII Anhänge338
Literaturverzeichnis340
Sachverzeichnis342

Weitere E-Books zum Thema: Betriebssysteme - Computersoftware

Arbeitsschutz im Bauwesen mit RFID

E-Book Arbeitsschutz im Bauwesen mit RFID
Forschungsbericht zum Projekt 'Sicherheitstechnik mit RFID - Entwicklung, Erprobung und Optimierung von geeigneten Instrumenten zur nachhaltigen Verbesserung des Arbeitsschutzes auf Grundlage von RFID' Format: PDF

Die Beiträge des Sammelbands fassen die Entwicklung, Erprobung und Optimierung von geeigneten Instrumenten zur nachhaltigen Verbesserung des Arbeitsschutzes auf der Grundlage der RFID-Technologie…

Arbeitsschutz im Bauwesen mit RFID

E-Book Arbeitsschutz im Bauwesen mit RFID
Forschungsbericht zum Projekt 'Sicherheitstechnik mit RFID - Entwicklung, Erprobung und Optimierung von geeigneten Instrumenten zur nachhaltigen Verbesserung des Arbeitsschutzes auf Grundlage von RFID' Format: PDF

Die Beiträge des Sammelbands fassen die Entwicklung, Erprobung und Optimierung von geeigneten Instrumenten zur nachhaltigen Verbesserung des Arbeitsschutzes auf der Grundlage der RFID-Technologie…

Abnahme komplexer Software-Systeme

E-Book Abnahme komplexer Software-Systeme
Das Praxishandbuch Format: PDF

Das Praxisbuch dient als Grundlage für die Abnahme komplexer IT-Software-Systeme. Die behandelten Methoden gelten sowohl für Standardsoftware als auch für angepasste oder neu entwickelte Software.…

RFID in der Baulogistik

E-Book RFID in der Baulogistik
Forschungsbericht zum Projekt 'Integriertes Wertschöpfungsmodell mit RFID in der Bau- und Immobilienwirtschaft' Format: PDF

Das Ziel des Forschungsvorhabens liegt in der Entwicklung eines anwendungsorientierten Wertschöpfungsmodells zum Einsatz der RFID-Technik in der Bau- und Immobilienwirtschaft über den gesamten…

PowerShell für die Windows-Administration

E-Book PowerShell für die Windows-Administration
Ein kompakter und praxisnaher Überblick Format: PDF

Das Buch stellt die Windows PowerShell als vielseitiges Werkzeug für die Administration von Windows Server 2008 R2/2012/2012 R2 vor. Es beschreibt zunächst die Kernkonzepte wie Cmdlets, Pipeline und…

Windows Vista Service Pack 1

E-Book Windows Vista Service Pack 1
Format: PDF

Etwa ein Jahr nach dem Erscheinen von Windows Vista hat Microsoft das erste Service Pack herausgegeben, das viele Fehler der Originalfassung korrigiert und neue Funktionen einführt. Dieser Band…

Abnahme komplexer Software-Systeme

E-Book Abnahme komplexer Software-Systeme
Das Praxishandbuch Format: PDF

Das Praxisbuch dient als Grundlage für die Abnahme komplexer IT-Software-Systeme. Die behandelten Methoden gelten sowohl für Standardsoftware als auch für angepasste oder neu entwickelte Software.…

Die Informatisierung des Alltags

E-Book Die Informatisierung des Alltags
Leben in smarten Umgebungen Format: PDF

Hochaktuell und spannend: Wir erleben eine ständig zunehmende Informatisierung. Informations- und Kommunikationstechnologien werden unseren Alltag künftig weitaus stärker durchdringen als wir es uns…

Linux-Systemadministration

E-Book Linux-Systemadministration
Grundlagen, Konzepte, Anwendung Format: PDF

Linux ist eine fest etablierte, für vielfältige Rechnerarchitekturen verfügbare Plattform und zeichnet sich insbesondere durch die hohe Stabilität und Sicherheit des Systems aus. Dieses Buch bietet…

Weitere Zeitschriften

Berufsstart Gehalt

Berufsstart Gehalt

»Berufsstart Gehalt« erscheint jährlich zum Sommersemester im Mai mit einer Auflage von 50.000 Exemplaren und ermöglicht Unternehmen sich bei Studenten und Absolventen mit einer ...

Card-Forum

Card-Forum

Card-Forum ist das marktführende Magazin im Themenbereich der kartengestützten Systeme für Zahlung und Identifikation, Telekommunikation und Kundenbindung sowie der damit verwandten und ...

dental:spiegel

dental:spiegel

dental:spiegel - Das Magazin für das erfolgreiche Praxisteam. Der dental:spiegel gehört zu den Top 5 der reichweitenstärksten Fachzeitschriften für Zahnärzte in Deutschland (laut LA-DENT 2011 ...

die horen

die horen

Zeitschrift für Literatur, Kunst und Kritik."...weil sie mit großer Aufmerksamkeit die internationale Literatur beobachtet und vorstellt; weil sie in der deutschen Literatur nicht nur das Neueste ...

Die Versicherungspraxis

Die Versicherungspraxis

Behandlung versicherungsrelevanter Themen. Erfahren Sie mehr über den DVS. Der DVS Deutscher Versicherungs-Schutzverband e.V, Bonn, ist der Interessenvertreter der versicherungsnehmenden Wirtschaft. ...

Evangelische Theologie

Evangelische Theologie

 Über »Evangelische Theologie« In interdisziplinären Themenheften gibt die Evangelische Theologie entscheidende Impulse, die komplexe Einheit der Theologie wahrzunehmen. Neben den ...