Sicherheit/Verschlüsselung/Erschwerung Serverhacking

[Payne_of_Death]

Hey,

ich habe eine sagen wir mal eher allgemeine Frage die sich Richtung Brainstorming orientiert...

Und zwar steht in meinem hausinternen Netzwerk ein kleiner aber feiner Rechner welcher genötigt wurde u.A. Serverdienste wie Fileserver mit Samba/FTP etc. wahrzunehmen.
Allerdings ist er bislang nicht wirklich als sicher einzustufen, d.h. man in the middle attacks wurden etwas minimiert aber insgesamt bin ich mit der Sicherheit unzufrieden.

Mich beschäftigt u.A. die Frage wie ich wirksam verhindern kann das ein Eindringling an meine vertrauliche Daten gelangt, d.h. er entführt meinen Server und überspielt einfach das Linux Betriebssystem und schon müsste er ja auf meine sensiblen Partitionen problemlos zugreifen können.

Solche Fälle möchte ich gänzlich verhindern, indem entweder die Daten unbrauchbar gemacht werden, d.h. die Daten irgendwie an ein bestehendes OS exklusiv gebunden werden oder aber nach getaner Arbeit komplett verschlüsseln.

Ansonsten interessieren mich prinzipiell alle Sicherheitsbelange angefangen bei Man in the Middle Attacks bis zu Vorort Hacking, d.h. unnötige Dienste entfernen, unwichtige Ports schließen bis zu allen möglichen Sicherheitsoptimierungen

Evtl. habt Ihr bereits gute Skripte finden können, die einem bei diesem wichtigen Aspekt als Leitfaden dienen. Im Eifer des Gefechts übersieht man oftmals kleine Hintertürchen oder nimmt Sie nicht wahr..

Vielen Dank für ernstgemeinte Tipps/Hinweise/Stichworte

[finupsen]

moin,

ich weiss ja nicht welche dubiosen menschen in deinem netzwerk raumhacken oder
welches interesse jemand haben könnte, bei dir einzubrechen und dein system heimlich
zu kopieren.

zum thema sicherheit:
- firewall
- application-firewall
- IDS (intrusion detection system)
- unnötige dienste abschalten bzw. an localhost binden
- sorgfältige konfigurationen der dienste
- verschlüsselung

> Evtl. habt Ihr bereits gute Skripte finden können, die einem bei diesem wichtigen Aspekt als Leitfaden dienen.

Du wirst keine auf dich zugeschnittene scripte finden. Dir bleibt nur lesen und lernen.

[MarkusF]

Evtl. habt Ihr bereits gute Skripte finden können, die einem bei diesem wichtigen Aspekt als Leitfaden dienen. Im Eifer des Gefechts übersieht man oftmals kleine Hintertürchen oder nimmt Sie nicht wahr..

Das http://www.debian.org/doc/manuals/secur ... ex.de.html dürfte dich ne Weile beschäftigen
Grüße

[trompetenkaefer]

Zum Thema Brainstorming, ich weiß ja nicht ob das Programm Bastille was für deine Aufgabenstellung ist, aber gucks dir mal an. Es ist zum "härten" von UNIX- / Linux-Systemen.
http://bastille-linux.sourceforge.net/

In SID ist bereits ein fertiges Paket enthalten, bei Lenny und Etch weiß ichs jetzt nicht aus dem Stehgreif.

[suno]

Code: Alles auswählen

sa@sub:~$ type acsn
acsn is aliased to `apt-cache search --names-only'
sa@sub:~$ acsn harden
harden - Makes your system hardened
harden-clients - Avoid clients that are known to be insecure
harden-development - Development tools for creating more secure programs
harden-doc - Useful documentation to secure a Debian system
harden-environment - Hardened system environment
harden-nids - Harden a system by using a network intrusion detection system
harden-remoteaudit - Audit your remote systems from this host
harden-servers - Avoid servers that are known to be insecure
harden-surveillance - Check services and/or servers automatically
harden-tools - Tools to enhance or analyze the security of the local system
hardening-wrapper - experimental compiler wrapper to enable security hardening flags
sa@sub:~$ 

Code: Alles auswählen

debtags search "security::ids"

ist auch gut um zu sehen was es so gibt ...

bastille Unix ist imho ganz brauchbar fuer Leute die Anfaenger oder Fortgeschrittene sind, real Linux-heads stoert aber meist die Inflexibilitaet so das diese eher eine Ebene daraunter selbst Hand anlegen

@Payne_of_Death
Was du eigentlich wirklich willst sind VLANs um dann auf OSI Layer 2 dein LAN zu separieren ... d.h. KEIN routing (keine Verb. auf dem Netzwerklayer d.h. ueber IP) der Rest den du oben geschrieben hast klingt eher nach Hollywood.

Generell kann man all den paranoiden sagen das sich niemand fuer ein nomaler_user_mit_LAN@home interessiert.
- keine wichtigen Daten (nein, privat pornos etc. sind nicht wichtig fuer dritte)
- keine Bandbreite die Drohnen eines Botnetzes interessieren wuerde
- keine Hardware um hidden cloud computing zu machen
- etc.

Ehrlich, niemand interessiert sich fuer das LAN eines Otto Normalverbrauchers. VLAN Switch mit Gateway oder IPS Modem auf dem ein Paketfilter laueft ist mehr als genug.

[pluvo]

Hallo Payne_of_Death!

1. Festplattenverschlüsselung
   (Stichwörter: luks, dm-crypt, cryptsetup, ...)
2. openssh-server als Dateiserver
   (Damit wären schon mal MITM-Attacken ausgeschlossen/erschwert. Am besten mit Public-Keys + Passwort.)
3. Sicherheitsupdates einspielen!
   (Du solltest die Mailingliste debian-security-announce im Blick haben.)
4. Allgemeine Security-News lesen.
   (heise Security, ...)
5. SELinux oder ähnliches einsetzen.
6. IEEE 802.1X?

Den Punkt 5 habe ich noch nicht umgesetzt, und Punkt 6 ist vermutlich schon zu viel

(Wichtige Dateien, die du auf dem Server ablegst, könntest du vorher auf deinem Client mit GPG/GnuPG signieren.)

mfg pluvo