Navigation

Inhalt Hotkeys
Universitätsrechenzentrum
URZ-Sicherheitsinitiative

URZ-Sicherheitsinitiative

Das Jahr 2014 war aus Sicht der IT-Sicherheit von globalen Schlagzeilen geprägt. Der NSA-Abhörskandal führte vor Augen, wie schlecht Datenschutz und Wahrung der Privatsphäre aktuell sichergestellt werden können. Der schwere Softwarefehler in der Sicherheitssoftware OpenSSL (Stichwort Heartbleed) zeigte außerdem, wie schnell unsere gesicherte Netzwerkkommunikation verwundbar werden kann.

Das URZ der TU Chemnitz hat auf diese Vorfälle umfassend reagiert und die URZ-Sicherheitsinitiative als Leitprojekt im Kontext der IT-Sicherheit an der TU Chemnitz initiiert. Ziel dieser Initiative ist, sowohl system- als auch nutzerseitig das Sicherheitsniveau in einem kontinuierlichen Prozess deutlich zu erhöhen und an die jeweils aktuellen technischen Entwicklungen anzupassen, um Datenschutz und Datensicherheit für die Nutzer dauerhaft gewährleisten zu können.

Es ist eine allgemeine Erkenntnis, dass ein Gewinn an Sicherheit den gewohnten Komfort bei der Nutzung der Systeme etwas reduzieren kann. Dafür bitten wir unsere Benutzer um Verständnis. Selbstredend versuchen wir, die Einschränkungen so minimal wie möglich zu halten.

Die nachfolgenden Listen stellen die in den einzelnen Jahren im Rahmen des Projektes bereits realisierten sowie geplanten Maßnahmen dar.


2017

Derzeit sind folgende Maßnahmen geplant:

  • Implementierung eines sichereren Verfahrens zur Rücksetzung eines vergessenen Passworts im IdM-Portal
  • Nutzung des Dienstes DFN-MailSupport zur SPAM- und Viren-Filterung
    Hier besteht noch Klärungsbedarf, wie unsere individuellen Spamfilter umsetzbar sind.
  • Dediziertes Aktivieren sicherheitsrelevanter Dienste durch die Nutzer im IdM-Portal: SSH zum Login-Server, persönliche Homepage, VPN

2016

Bereits realisierte Maßnahmen:

 

  • Den Kern der Maßnahmen bildete die Aktualisierung der zentralen Kerberos-Infrastruktur (Key Distribution Center).
  • In einem weiteren Schritte erfolgte die Deaktivierung veralteter Kerberos-Protokolle. Dazu gehören das krb4- und das von AFS stammende kaserver-Protokoll.
  • Mit der Aktivierung und Unterstützung moderner Verschlüsselungsalgorithmen (z.B. aes256) und der Deaktivierung von mittlerweile als unsicher eingestuften Schlüsseltypen (z.B des, rc4) haben wir ein aktuelles Sicherheitsniveau erreicht.

 

  • RADIUS ist ein zentraler Bestandteil der weltweiten eduroam-Infrastruktur. Es bietet im Standardfall keinen Schutz der übertragenen Nutzer-Attribute, wie z.B. der MAC-Adresse des nutzenden Geräts. Zur Verbesserung der Privatspähre erfolgt nun die RADIUS-Absicherung mittels RadSec. Dabei sorgen RadSec-Proxys durch TLS-Tunnel für den kryptografischen Schutz der RADIUS-Kommunikation zwischen dem DFN-Verein und den Partnereinrichtungen.

 

  • Mit der Modernisierung des Kernelupdate-Verfahrens wurde das bisherige skriptbasierte Verfahren durch die vom Distributor vorgesehenen Automatismen für Updates ersetzt. Damit kann kurz nach dem Erscheinen von neuen Kernel-Paketen die Freigabe auf die Zielsysteme erfolgen. Den Zeitpunkt der Aktivierung des neuen Kernel legt der Funktionsverantwortliche durch einen geplanten Neustart fest. Durch die Verringerung der Aufwendungen ist das Ausrollen neuer Kerne in kürzer Zeit möglich und erhöht damit das Sicherheitsniveau der Systeme.
    Das Verfahren ist für alle Versionen der Plattform Scientific Linux umgesetzt.

 

  • Zur systematischen Erfassung relevanter Sicherheitsvorfälle wurde mittels Python und Django eine Web-basierte Vorfalldatenbank entwickelt und in Betrieb genommen. Sie löste eine bereits existierende LibreOffice-Tabelle ab und erleichtert die Klassifizierung und Verwaltung von Sicherheitsvorfällen.

2015

Alle vom IdM-Portal mit der Absenderadresse support@hrz.tu-chemnitz.de versendeten E-Mails werden ab sofort mit S/MIME signiert, sodass die Empfänger deren Authentizität und Integrität nachprüfen können.

Wie im Blog-Artikel Sicherheitsinitiative 2015 – Kerberos beschrieben, wurden ab dem 1.9.2015 konkret zwei Änderungen wirksam:

  • Aktivierung von PreAuth
  • Deaktivierung der Kerberos4- und kaserver-Unterstützung

Damit wird generell die Nutzung der aktuellen Version 5 von Kerberos erzwungen. PreAuth stellt sicher, dass ein Klient nur dann ein TGT (Ticket Granting Ticket) erhält, wenn er die Kenntnis des gültigen Schlüssels für einen Account nachweisen konnte, indem er einen mit diesem Schlüssel chiffrierten aktuellen Zeitstempel sendet. Dadurch werden aktive Attacken deutlich erschwert, bei denen ein Angreifer ein TGT anfordert und dieses dann offline durch eine Brute-Force-Attacke bricht.

Mit dem erfolgreichen Update der KDC-Serversoftware stehen aktuelle Verschlüsselungsverfahren (beispielsweise AES256) für die Kerberos-Schlüssel zur Verfügung. Diese Verschlüsselungsverfahren werden für Nutzeraccounts nach der nächsten Passwortänderung aktiv.

Die Aktualisierung der Kerberos-Schlüssel für Dienste wie Web-Trust-Center, E-Mail, SSH-Zugänge und den Speicherdienst AFS ist derzeit in Planung und für das erste Quartal 2016 vorgesehen.

Weitere Informationen zum Stand Dezember 2015 finden Sie auch im Blog-Artikel Aktuelle Arbeiten an der zentralen Kerberos-Authentifizierungsinstanz.


2014

Sämtliche vom URZ administrierten Server, die potentiell vom Heartbleed-Bug betroffen waren, wurden mit einer neuen OpenSSL-Version sowie mit neuen Schlüsseln ausgestattet. Die TUC/URZ-CA hat hierfür die neuen Zertifikate ausgestellt und die vorherigen gesperrt.

Nachdem die Server auf diese Weise geeignet geschützt waren, empfahl das URZ all seinen Benutzern dringend, ggf. kompromittierte Passwörter zeitnah zu tauschen.

Wie im Blog-Artikel Neue Passwortrichtlinie beschrieben, mussten seit Herbst 2013 neue Benutzer-Passwörter mindestens 8 Zeichen lang sein und aus Klein- und Großbuchstaben, Ziffern sowie Sonderzeichen bestehen. Im Juli 2014 wurden diese bisherigen Regeln etwas gelockert, so dass die Anforderungen mit zunehmender Passwortlänge sinken. Ein hinreichend langes Passwort muss nun keine kryptischen Zeichen mehr beinhalten. Die Regeln bezüglich der zu erfüllenden Kriterien (Kleinbuchstaben, Großbuchstaben, Ziffern, Sonderzeichen) setzen sich wie folgt zusammen:

  • 8-11 Zeichen Passwortlänge: alle Kriterien müssen erfüllt sein
  • 12-15 Zeichen Passwortlänge: drei Kriterien müssen erfüllt sein
  • 16-19 Zeichen Passwortlänge: zwei Kriterien müssen erfüllt sein
  • ab 20 Zeichen Passwortlänge: keine Restriktionen bezüglich der Kriterien

Es ist jedoch nach wie vor erforderlich, dass das Passwort aus mindestens acht Zeichen besteht, hinreichend viele unterschiedliche Zeichen enthält und nicht in einem Wörterbuch vorkommt.

Gemäß Rundschreiben des Kanzlers 08/2014 wird durch technische Maßnahmen sichergestellt, dass jedes IT-Endgerät eindeutig einem Nutzer zuordenbar ist, was durch eine Registrierung der gerätespezifischen MAC-Adresse oder durch eine persönliche Anmeldung des Nutzers mit dem zentralen Nutzerkennzeichen gewährleistet werden kann.

Da die Firma Microsoft den Support für Windows XP am 8.4.2014 beendete, wurden die Windows-XP-Systeme geeignet auf neuere Betriebssysteme umgestellt, für die weiterhin der Anbieter-Support existiert. Die vom URZ betreuten Windows-Computer werden nun mit Windows 7 betrieben.

Das bisher standardmäßig im AFS-Homeverzeichnis verfügbare und für alle AFS-Nutzer frei lesbare Verzeichnis PUBLIC wird für neue Benutzer nicht mehr automatisch angelegt. Damit entfällt auch das Lookup-Recht für den anonymen AFS-Benutzer (system:anyuser) im Homeverzeichnis, das benötigt wurde, um zu PUBLIC zu gelangen.

Da im AFS beim Anlegen eines neuen Verzeichnisses automatisch die Rechte des Elternverzeichnisses vererbt werden, breitete sich das Lookup-Recht für den anonymen AFS-Benutzer typischerweise unbemerkt auf viele Benutzerverzeichnisse aus. Dadurch konnten beliebige AFS-Benutzer die Dateihierarchien anderer AFS-Benutzer durchlaufen und sich die Datei- und Verzeichnisnamen auflisten lassen. Das ist problematisch, da man ggf. aus den Dateinamen diverse Rückschlüsse auf Inhalte oder Aktivitäten ziehen kann, auch wenn die Dateien selbst nicht lesbar sind.

Detaillierte Informationen zu den AFS-Zugriffsrechten finden Sie auf der Seite Homeverzeichnis.

Das Lookup-Recht für den anonymen Benutzer ist in vielen existierenden AFS-Homeverzeichnissen weit verbreitet. Stichproben haben ergeben, dass sich viele Benutzer des Risikos einer zu freizügigen Rechtevergabe für ihr Homeverzeichnis nicht bewusst sind.

Ein automatischer nächtlicher Dienst sorgt daher dafür, die Rechte im Homeverzeichnis auf sichere Standardwerte zurückzusetzen, sofern der Benutzer Änderungen vorgenommen hat. Diejenigen, die Rechte bewusst vergeben und erhalten wollen, können im IdM-Portal für ihr Homeverzeichnis eine Ausnahme setzen. Der Blog-Artikel Berechtigungsmanagement für AFS-Homeverzeichnisse enthält weitere Informationen dazu.

Auf den Login-Servern der TU Chemnitz, die man per Secure Shell unter der Adresse login.tu-chemnitz.de erreicht, werden keine nutzereigenen Cronjobs mehr zugelassen, da diese in der Vergangenheit bei Angriffen auf kompromittierte Nutzer-Accounts missbraucht wurden.

Zur weiteren Erhöhung der Sicherheit unserer IT-Infrastruktur werden seit Juli 2014 externe Zugriffe auf die Chemnitzer AFS-Zelle unterbunden. Details zur AFS-Absicherung benennt der Blog-Artikel AFS-Nutzung außerhalb des Campusnetzes der TU Chemnitz. AFS ist von außen weiterhin nutzbar, wenn zuvor eine VPN-Verbindung zum Campusnetz aufgebaut wurde.

Unter dem Motto „Warum unverschlüsselt, wenn es auch verschlüsselt geht?“ werden seit dem 10. September 2014 alle Webseitenabrufe der zentralen Webserver ausschließlich über das kryptografisch sichere Protokoll HTTPS abwickeln. Weitere vom URZ administrierte Web-Server folgen bereits der Initiative „Always On SSL“ der Online Trust Alliance. Details dazu finden sich im zugehörigen Blog-Artikel.

Presseartikel