5.3. Sichern von NIS
NIS steht f�r Network Information Service. Es ist ein RPC-Dienst mit dem Namen ypserv, der zusammen mit portmap und anderen zugeh�rigen Diensten verwendet wird, um Informationen zu Benutzernamen, Passw�rtern und anderen empfindlichen Daten an jeden beliebigen Computer innerhalb dessen Domain weiterzugeben.
Ein NIS-Server besteht aus mehreren Applikationen, unter anderem:
/usr/sbin/rpc.yppasswdd — Auch yppasswdd-Dienst genannt. Dieser Daemon erm�glicht Benutzern, ihre NIS-Passw�rter zu �ndern.
/usr/sbin/rpc.ypxfrd — Auch ypxfrd-Dienst genannt. Dieser Daemon ist f�r den NIS-Map-Transfer �ber das Netzwerk verantwortlich.
/usr/sbin/yppush — Diese Applikation verbreitet ge�nderte NIS-Datenbanken an mehrere NIS-Server.
/usr/sbin/ypserv — Dies ist der NIS-Server-Daemon.
Im Vergleich zu heutigen Standards ist NIS als eher unsicher einzustufen. Es besitzt keine Host-Authentifizierungsmechanismen und �bertr�gt Informationen, einschlie�lich Passwort-Hashes, unverschl�sselt �ber das Netzwerk. Aus diesem Grund m�ssen Sie beim Einrichten eines Netzwerks mit NIS extreme Vorsicht walten lassen. Dadurch, dass die Standard-Konfiguration von NIS von Natur aus unsicher ist, wird die Angelegenheit noch weiter verkompliziert.
Es wird empfohlen, dass Sie, bevor Sie einen NIS-Server implementieren wollen, zuerst den portmap-Dienst wie unter Abschnitt 5.2 beschrieben sichern und dann weitere Angelegenheiten wie Netzwerkplanung angehen.
5.3.1. Planen Sie das Netzwerk sorgf�ltig
Da NIS empfindliche Informationen unverschl�sselt �ber das Netzwerk �bertr�gt, ist es wichtig, dass dieser Dienst hinter eine Firewall und auf einem segmentierten und sicheren Netzwerk ausgef�hrt wird. Jedes Mal, wenn NIS-Informationen �ber ein unsicheres Netzwerk �bertragen werden, wird das Abfangen von Daten riskiert. Hier kann ein sorgf�ltiges Design des Netzwerks schwerwiegende Sicherheitsbr�che verhindern.
5.3.2. Verwenden Sie Passwort-�hnliche NIS-Domainnamen und Hostnamen
Jede Maschine innerhalb einer NIS-Domain kann �ber bestimmte Befehle, ohne Authentifizierung, Informationen von einem Server extrahieren, solange der Benutzer den DNS-Hostnamen und den NIS-Domain-Namen des NIS-Servers kennt.
Wenn sich zum Beispiel jemand mit einem Laptop in das Netzwerk einklinkt oder von au�en ins Netzwerk eindringt (und es schafft, eine interne IP-Adresse vorzut�uschen), enth�llt der folgende Befehl die /etc/passwd-Map:
ypcat -d <NIS_domain> -h <DNS_hostname> passwd |
Ist der Angreifer ein Root-Benutzer, kann dieser die Datei /etc/shadow durch folgenden Befehl einsehen:
ypcat -d <NIS_domain> -h <DNS_hostname> shadow |
 | Hinweis |
|---|
| | Wenn Kerberos verwendet wird, wird die Datei /etc/shadow nicht innerhalb einer NIS-Map gespeichert. |
Um den Zugang zu NIS-Maps f�r einen Angreifer zu erschweren, erstellen Sie einen zuf�lligen String f�r den DNS-Hostnamen, wie zum Beispiel o7hfawtgmhwg.domain.com. Erstellen Sie in gleicher Weise einen anderen, zufallsgenerierten NIS-Domain-Namen. Hierdurch wird es einem Angreifer erheblich erschwert, Zugang zum NIS-Server zu erhalten.
5.3.3. Bearbeiten Sie die Datei /var/yp/securenets
NIS h�rt alle Netzwerke ab, wenn die Datei /var/yp/securenets leer ist oder gar nicht existiert (dies ist z.B: nach einer Standard-Installation der Fall). Als erstes sollten Sie ein Netmask/Netzwerkpaar in der Datei hinterlegen, damit ypserv nur auf Anfragen des richtigen Netzwerks reagiert.
Unten finden Sie einen Beispieleintrag einer /var/yp/securenets-Datei:
255.255.255.0 192.168.0.0 |
 | Achtung |
|---|
| | Sie sollten niemals einen NIS-Server zum ersten Mal starten, ohne vorher die Datei /var/yp/securenets erstellt zu haben. |
Diese Methode sch�tzt nicht vor einer IP-Spoofing-Attacke, schr�nkt jedoch die Netzwerke, die von NIS bedient werden, zumindest ein.
5.3.4. Zuweisung von Static Ports und Verwendung von IPTables -Regeln
Jedem der zu NIS geh�renden Server kann ein bestimmter Port zugewiesen werden, mit Ausnahme von rpc.yppasswdd — dem Daemon, der Benutzern das �ndern ihrer Login-Passw�rter erlaubt. Indem Sie den anderen beiden NIS-Server-Daemons, rpc.ypxfrd und ypserv, Ports zuweisen, k�nnen Sie Firewall-Regeln erstellen, um die NIS-Server-Daemons noch mehr vor Eindringlingen zu sch�tzen.
Hierzu f�gen Sie die folgenden Zeilen zu /etc/sysconfig/network hinzu:
YPSERV_ARGS="-p 834"
YPXFRD_ARGS="-p 835" |
Die folgenden IPTables-Regeln k�nnen erlassen werden, um festzulegen, welches Netzwerk der Server f�r diese Ports abh�ren soll:
iptables -A INPUT -p ALL -s! 192.168.0.0/24 --dport 834 -j DROP
iptables -A INPUT -p ALL -s! 192.168.0.0/24 --dport 835 -j DROP |
 | Tipp |
|---|
| | Unter Kapitel 7 finden Sie weitere Informationen zum Errichten von Firewalls mit dem IPTables-Befehl. |
5.3.5. Verwenden Sie Kerberos-Authentifizierung
Einer der gr��ten M�ngel beim Verwenden von NIS f�r Authentifizierung ist, dass wenn sich ein Benutzer an einem Computer anmeldet, ein Passwort-Hash der /etc/shadow-Map �ber das Netzwerk verschickt wird. Wenn ein Angreifer Zugang zu einer NIS-Domain erh�lt und Verkehr �ber das Netzwerk durchschn�ffelt, k�nnen Benutzernamen und Passwort-Hashes unbemerkt gesammelt werden. Mit gen�gend Zeit kann dann ein Passwort-Knack-Programm schwache Passw�rter ermitteln und ein Angreifer kann dann auf einen g�ltigen Account im Netzwerk zugreifen.
Da Kerberos Verschl�sselungen mit geheimen Schl�sseln einsetzt, werden niemals Passwort-Hashes �ber das Netzwerk versandt, was das System erheblich sicherer macht. Weitere Informationen �ber Kerberos finden Sie im Kapitel Kerberos im Red Hat Enterprise Linux Referenzhandbuch.
