NLUUG Voorjaarsconferentie 1996
Nu meer en meer systemen worden aangesloten op het Internet, neemt ook het belang van goede beveiliging toe. Daarom krijgen zaken als firewalls, packet filters, alternatieve login procedures steeds meer aandacht.
Maar niet alleen beveiliging naar buiten toe is belangrijk. Gebruikers moeten ook hun eigen omgeving kunnen beschermen tegen medegebruikers op het systeem. Ook in de UNIX wereld komen steeds meer faciliteiten om fijnmaziger privileges te kunnen uitdelen. Afhankelijk van de omgeving waarin het systeem functioneert, zullen de strengere of minder strenge regels ingesteld en afgedwongen moeten kunnen worden.
CERT/CC schreef in de zomer van 1994 :
`Really for about the last year and half, three new incidents a day. Now we are averaging 13 incidents a day, and the upper limit is 65,000 sites per incident.'
Wij zijn bijzonder verheugd een twee daagse conferentie over UNIX en beveiliging te kunnen aanbieden. De eerste dag bevat een drietal tutorials, de tweede dag bestaat uit drie tracks met verschillende lezingen.
Wij wensen u twee leerzame dagen toe,
De programmacommissie
Wietse Venema Technische Universiteit Eindhoven <wietse@wzv.win.tue.nl>
The security of (UNIX) systems has many aspects. In slightly more than an hour I will discuss UNIX security from a practical point of view: ranging from passwords, system configuration and network services to security mechanisms, tools and techniques, and how to handle intrusion.
Although UNIX will never be a completely secure system, the material presented may help to choose and maintain a suitable level of security.
About the author: Wietse Venema is the author of several popular and notorious UNIX security tools: among the better known ones are the TCP Wrapper, an electronic gatekeeper program, and the SATAN network security audit tool that he wrote together with Dan Farmer.
Leo Willems Tunix Open System Consultants <leo@tunix.kun.nl>
Bij het aansluiten van het bedrijfsnetwerk aan het Internet is het treffen van beveiligingsmaatregelen geen optie. Want wie zich zonder maatregelen veilig waant, is naïef. Kennelijk bieden constructies betiteld als ``firewalls'' uitkomst.
Dit tutorial geeft een overzicht van klassieke firewall technieken en hun nadelen. Het behandelt de typen waarin moderne firewalls ingedeeld kunnen worden: IP, connectie en application level firewalls. Aan de orde komen verder firewall-netwerk-topologie en andere zaken waaraan gedacht moet worden, zoals mail, DNS etc. Tenslotte volgen nog moderne firewall trends: NAT's, PVN's en transparante proxies.
Het doel van het tutorial is om systeembeheerders een overzicht te geven van de Internet security problematiek. Deze kennis kan dienen als eerste stap om zelf te kunnen bepalen welk type firewall geschikt is, maar maakt vooral duidelijk dat een firewall geen doos is die je koopt en waarnaar je verder geen omkijken hebt.
Tatu Ylonen <ylo@ssh.fi>
SSH provides secure login, file transfer, X11 and TCP/IP connections over an untrusted network. It features cryptographic authentication, automatic session encryption and integrity protection of transferred data. It uses RSA for key exchange and authentication and symmetric algorithms (e.g., IDEA or three-key triple-DES) for encrypting transferred data.
SSH is intended as a replacement for the existing rsh, rlogin, rcp, rdist and telnet protocols. SSH is currently (February 1996) being used at thousands of sites in at least 40 countries. Its users include top universities, research laboratories, many major corporations and numerous smaller companies and individuals.
Timothy Panton West Consulting <tim@west.nl>
Background Definition. Contrast with application level firewalls. No firewall is not an option. Why every firewall needs a Packet filter. Which is in and which is out? Packet level attacks against router/bastion. routing. ICMP. IP spoofing fake internal addresses fake localhosts Dynamic packet filters Definition. Uses FTP data channel protection. UDP traffic Authentication. What else can it do ? Intrusion logging. Catch config errors. Authentication for mobile users. Review of available technology. TCP wrappers. SOCKS. Cisco MorningStar Checkpoint FireWall-1 User Interfaces and maintainability.
Martien van Steenbergen Sun Microsystems Nederland B.V.Imagine, you're conducting business in various locations, either just in your country, or world wide. And you're sending faxes around, and tapes, and CD-ROMS, and paper mail. And it's not just public information about your products or services. No, you're sending sensitive information like employee records, financial records, blueprints of strategic future products, and so forth.
And the products and services that you sell are in high demand, and the demand is growing rapidly. Now how can you work more efficiently and effectively, be even more competitive, in other words: how can you improve and streamline your communication. Both within your company as well as between your business and other's businesses.
Well, one excellent to do this is using a Secure Virtual Private Network or SVPN. A SVPN allows you to send sensitive information in a secure way across a public network like the Internet. And it appears that setting it up is very cost effective. Or can save you millions of dollars on communication costs if you migrate your private internal network to a SVPN.
And the emphasis in a SVPN is on secure communication. How is this achieved? What are the important elements in setting it up. What will it cost? Why is it secure? And how does JavaTM fit in?
Enter Internet-based SVPNs: The Cost of Ownership.
Our conclusion was that the Internet-based approach provided significant savings when compared against scenarios involving leased lines.
We addressed two technical issues that concern customers that might consider using the Internet as a backbone network: security and quality of service.
Our conclusions were that a new generation of Internet security products effectively address the security issue, and that Internet Service Provider (ISP) networks are migrating to technologies that effectively address quality of service issues.
Our conclusion was that a new generation of Internet security products addresses all of these concerns and makes real Internet security feasible. Using public key and standards-based encryption and authentication, these filters allow companies to build secure corporate intranets over the Internet.
We used the Sun Microsystems SunScreenTM SPF-100 network security product as a basis for our analysis.
Our conclusion was that a successful merger between frame relay technology and Internet backbone design is occurring throughout the Internet Service Provider (ISP) industry. Companies like Performance Systems International (PSI) have pioneered the use of frame relay concepts such as permanent virtual circuits (PVCs) and committed information rates (CIRs) to guarantee service levels within an Internet-based network architecture.
For the high-priority corporate backbone case, we found that an Internet-based approach could reduce costs by nearly 50% and 1.3 million dollars. This assumed that a redundant leased line network and a separate Internet connection at each key corporate location could be replaced by a single Internet-based frame relay network with proper use of frame relay CIR to guarantee bandwidth between corporate locations.
For the low-priority branch office case, we found that an Internet-based approach could reduce costs by as much as 23% and $240,000. This compared a private leased line network against an Internet-based leased line network as competitors for a new network. In the worst case, a break-even point was reached within twelve months of investing in the new network architecture.
You can find more information on Sun's Internet Commerce Group.
Please contact the local Dutch Sun Sales Office if you have any questions or need more information, or if you want to apply for a copy of the full report.
Martien van
Steenbergen
Ambassador Interactive Media
Sun Microsystems Nederland B.V.
Computerweg 1
3821 AA Amersfoort
033 450 1234
Linux firewall facilities for kernel-level packet screening Jos Vos / Willy Konijnenberg X/OS Experts in Open Systems <info@xos.nl>
The freely available Linux operating system includes a number of facilities for efficient kernel-level IP packet filtering and screening. The acceptance and forwarding of IP packets can be regulated by specifying filter rules, using packet and network device characteristics, such as IP addresses, port numbers, IP flags and incoming or outgoing interfaces. Linux also provides a facility equivalent to transparent proxies (not requiring any changes for users or application software), which is implemented as part of the IP firewall module and can be configured using a similar set of rules.
After an introduction to the underlying concepts, the technical aspects of the Linux implementation will be described, showing both its strong and weak points. Then the use of these firewall facilities by the system administrator will be explained, using some real-life examples. We will finish with some comments on using Linux systems when building a complete firewall solution.
The target audience for this presentation includes system and network managers, consultants dealing with security issues and everybody interested in the technical aspects of IP firewalls.
Beveiliging binnen een academische omgeving Patrick Schoo Universiteit Utrecht <schoo@math.ruu.nl>
Academische instellingen hebben van oudsher de mogelijkheden van Internet benut. Vanaf het begin heerste hier een open structuur. De laatste jaren zijn er door de groei van het Internet problemen ontstaan bij het handhaven van de open structuur. Wel of niet geslaagde inbraakpogingen toonden aan dat het hard nodig was om de beveiliging te verbeteren. Aan de andere kant was het evident dat de gegevens niet geheel achter slot en grendel konden worden gezet. Vrije uitwisseling van gegevens is immers van groot belang voor het uitvoeren van wetenschappelijke activiteiten. Diverse bedrijven zijn inmiddels ingesprongen op de beveiligingsbehoefte en leveren bijvoorbeeld firewalls op maat. Dit zijn over het algemeen tamelijk dure oplossingen. Echter, om netwerken te beveiligen hoeft niet altijd meteen worden gedacht aan een firewall. Binnen de Internet gemeenschap zijn er diverse public domain pakketten beschikbaar, die de bouwstenen kunnen vormen voor een goede beveiliging.
In dit artikel wordt onze ervaring beschreven met een aantal niet commerciële pakketten. Aan de orde komen onder andere fwtk, tripwire, tcp wrappers en one-time passwords. Tevens wordt aandacht besteed aan de beveiliging van binnenuit. Een goede policy voor het verstrekken van accounts en het toekennen van rechten aan gebruikers is daarvoor onontbeerlijk. Ter afsluiting gaan we in op de problemen die ontstaan als er toch blijkt te zijn ingebroken en de activiteiten die ondernomen moeten worden om de computersystemen weer werkende te krijgen.
Onno Massar Verdonck, Klooster & Associates <onno@vka.nl>
Dankzij de toepassing van firewalls kunnen veel organisaties zich tegenwoordig veroorloven een rechtstreekse koppeling aan te brengen tussen het eigen netwerk en het Internet. De voordelen van een directe koppeling kunnen zo worden uitgebuit zonder dat onaanvaardbaar grote risico's ontstaan. Dit is mogelijk door de combinatie van steeds intelligentere methoden van mapping en filtering, die de fabrikanten van deze systemen in hun programmatuur hebben gebouwd. Het wordt zo mogelijk om nauwkeurig te bepalen wat wel en wat niet mogelijk is. Een gevolg is wel, dat het instellen van een firewall bepaald geen sinecure is.
Terwijl de beveiligingstechnieken steeds beter worden, worden ook trucs en technieken voor het doorbreken en misleiden van de beveiliging steeds slimmer.
Dit leidt tot een soort bewapeningswedloop, waarbij de beheerder zijn firewall steeds up-to-date moet houden door het installeren van nieuwe software en het verbeteren van de instellingen. Daardoor worden de firewalls steeds complexere systemen en vraagt het om een steeds hoger niveau van expertise voor het beheer ervan. Het wordt daarbij steeds kritischer: kleine fouten door onwetendheid of door onoplettendheid kunnen niet alleen ontstaan bij de installatie van de firewall, maar juist ook bij het later wijzigen van de instellingen.
Een systematische aanpak van het beheer en de beveiliging van de firewall is essentieel. Behalve de expertise van de beheerders zelf is ook de kwaliteitsbeheersing van het beheersproces belangrijk. Begrippen uit de wereld van informatiesysteembeheer, een systematische aanpak van change management, incident management en configuration management zijn van belang. Naast dit beheer is testen van de beveiliging van belang.
In deze lezing wordt aangegeven welke methoden de beheerder tot zijn beschikking heeft om de firewall beter te beheersen en te bewaken. Welke taken moet hij uitvoeren, welke procedures zijn minimaal nodig om het beheer beter in de hand te krijgen. Hoe wordt de firewall bewaakt en op welke manier is de juiste keuze van de instellingen te testen en verifiëren. Een en ander wordt samengevat in een praktische checklist.
Frans Schippers Xirion <frans@xirion.nl>
De normale toegangbeveiliging van UNIX via usernaam en wachtwoord wordt tegenwoordig niet meer als voldoende beschouwd. Regelmatig horen wij over de inbraken op systemen. Echter, een geïsoleerde opstelling is als oplossing voor de beveilingsproblematiek niet meer haalbaar in open systemen; thuiswerken, Internet, Email en draadloze communicatie vormen gegronde redenen om te opereren in een omgeving met verbindingen over de gehele wereld. De beveiliging van de systemen moet daarop inspelen en wordt steeds geavanceerder: Firewalls, Encryptie, TokenCards.
Het onderhouden van de toegangspermissies is geen sinecure; de verschillende toegangsmechanismen moeten beheerd worden. Een inzicht in de verschillende toegangsprivileges en de interactie daartussen is van groot belang. Het aantal te beheren systemen en componenten neemt enorm toe. In veel situaties moet een gebruiker vele wachtwoorden onthouden voor al die verschillende systemen. De meeste systeembeheerders hebben een dagtaak aan het up-to-date houden van autorisaties. Een wirwar van applicaties zoals ftp, telnet, rsh, rlogin geven toegang tot de machines. Zoals gezegd: de complexiteit van de toegangscontrole groeit enorm.
Deze presentatie gaat in op een Beheer- & Beveiligingsfilosofie voor toegangsbeveiliging en laat tevens zien op welke wijze verschillende aspecten van deze filosofie geïmplementeerd zijn.
De implementatie is gebaseerd op een modulair gedistribueerd toegangbeheersysteem op basis van een centraal referentie model. De kernfuncties hierin zijn: authenticatie en autorisatie van gebruikers, registratie van handelingen en controle d.m.v. auditing.
De te beheren objecten hierin zijn: gebruikers, systemen en domeinen. Een domein is een omgeving (shell of applicatie) waarin een gebruiker zijn taken naar behoren kan uitvoeren op een systeem. De gebruikers (en systemen) kunnen via verschillende methoden (wachtwoorden, s/key, chipcard's, ...) geauthenticeerd worden. Op basis van de authenticatie van gebruiker en systeem wordt de autorisatie verleend voor een bepaald domein, waarbij de start en beëindiging van een autorisatie worden geregistreerd. De audit functie bewaakt de interne integriteit van het toegangbeheersysteem. Hierbij wordt de werkelijke situatie vergeleken met het referentie model en kan onverwacht gebruik gesignaleerd worden.
Het genoemde toegangbeheersysteem is in een aantal fasen gerealiseerd. De spreker is een van de ontwerpers van het systeem en is tevens verantwoordelijk voor de realisatie van de verschillende fasen.
Jacques Schuurman VU Amsterdam <sjaak@cca.vu.nl>
In an academic environment, system management typically faces a user community of a highly heterogeneous character. Users may be familiar with various platforms and OS flavours, will have different expertise levels and computer awareness and may perceive computing facilities in a rather different way. Protecting one user's functionality may limit another user's freedom: various interests may be interfering with each other.
Much attention is usually paid to the protection of the whole site against outside world attacks. However, the issue of internal security and guidelines may be neglected. Especially in heterogeneous environments, system management has a key position in ensuring that computer resources become generally available, notwithstanding possible requirements of specific individuals or user groups. In this context, the role of system management to the local user community is twofold. Firstly, system management plays the role of the supporting entity within the institution's working groups (faculties, departments, etc.). In the ideal situation, the presence of system management is hardly noticed. Secondly, system management must see to it that the rules of the game be obeyed by all users.
If we would formalise a general goal for managing the computer resources made available to users, we would probably get something along the following lines:
Making the right decisions and taking the appropriate measures so that all users perceive a system that is offering them the requested functionality to carry out their work.
The talk will address the problem description, the issues that need specific attention and the possible solutions in terms of hardware, software and guidelines. Examples of system vulnerabilities, both explored by bona fide users (by accident) and malicious users (on purpose), will be given.
Walter Belgers Origin / Philips C&P <walter@giga.nl>
Beveiliging komt in vele soorten en maten. Het heeft te maken met allerlei factoren zoals wat, hoe en tegen wat of wie er beveiligd moet worden. Ook moet rekening worden gehouden met beperkende organisatorische factoren en de al aanwezige technische infrastuctuur.
Volgens velen wordt een inbraak gekenmerkt door het feit dat de beveilipose), will be given.
Walter Belgers Origin / Philips C&P <walter@giga.nl>
Beveiliging komt in vele soorten en maten. Het heeft te maken met allerlei factoren zoals wat, hoe en tegen wat of wie er beveiligd moet worden. Ook moet rekening worden gehouden met beperkende organisatorische factoren en de al aanwezige technische infrastuctuur.
Volgens velen wordt een inbraak gekenmerkt door het feit dat de beveili