Basishärten von Macintosh Systemen

Eine einfache Art, wichtige Fehlerkorrekturen und Sicherheitspatches möglichst bald nach Erscheinen zu erhalten: Up-to-date bleiben!

Mac OS X

Up-to-date bleiben

OS X bietet über die Funktion "Software Update" die Möglichkeit, den Vorgang zu automatisieren. Standardmäßig wird "Software Update" wöchentlich automatisch gestartet, dieser Wert sollte bei exponierten Systemen jedoch auf einen kürzeren Zeitraum (täglich) gesetzt werden:

  • Click auf "System Preferences" > "Software Update" (Tab)
  • Ändern des Defaultwertes von "wöchentlich" auf "täglich"
  • Verlassen der "System Preferences"

Achtung!

Obwohl Apple sicher einen der besseren Qualitätssicherungsprozesse in der Software-Industrie hat, können sich in solche Patches Fehler einschleichen. Daher bitte immer erst - sofern möglich - auf einem nicht-kritischen System testen.

Abschalten unnötiger Services

Default-Einstellung

Mac OS X hat in der Default-Installation alle Services, die auf dem "Inetd" (dem Internet Master-Dienstprozess) laufen, abgeschaltet. Falls Sie nicht sicher sind, können Sie diese Einstellungen in /etc/inetd.conf überprüfen, zum Beispiel mit einem Texteditor oder dem Shell-Kommando cat /etc/inetd.conf. Betreffs dieser Default-Einstellung gibt es unter Umständen eine Ausnahme: Den FTP-Service kann man auch über die System Preferences einstellen (System Preferences > Sharing > File > Web). Hier kann die Checkbox "Allow ftp access" an- oder abgewählt werden.

Verbesserte Features

Mac OS X Leopard (10.5) bringt einige sicherheitsrelevante neue oder verbesserte Features mit:

  • Stärkere Verschlüsselung der Harddisk
  • Heruntergeladene Software wird markiert und der Benutzer beim erstmaligen Start, woher die Software kommt
  • Programmsignaturen, die die Vertrauenswürdigkeit der Programmen bestätigt
  • Blocken von gewissen Applikationen mittels der eingebauten Firewall von Apple
  • Zugriffskontrolle nun möglich für Shared Folders

Nicht mehr wegzudenken: IDS / PIDS

Bessere Schutzmaßnahmen

Die Gefahren im Internet steigen tagtäglich, immer wieder werden neue Angriffs-Methoden gefunden. Der Hauptgrund dafür ist einfach: die ständig besser werdende Sicherheit - ein Teufelskreis. Es ist nicht mehr unüblich, dass Malware in der Lage ist, eine Personal Firewall oder ein Anti-Virus-Programm zu deaktivieren oder gar zu deinstallieren. Deshalb müssen von Zeit zu Zeit neue, bessere und stärkere Protektions-Methoden gefunden werden. Aktuell sind hier die sogenannten Intrusion Detection System's. Intrusion Detection System (IDS) ist ein System (Hardware und / oder Soft-ware) zur Erkennung von Angriffen auf ein Computersystem oder Computernetz.

Weitere verwandte Systeme

  • Network intrusion detection system (NIDS)
  • Host-based intrusion detection system (HIDS)
  • Protocol-based intrusion detection system (PIDS)
  • Intrusion prevention system (IPS)

Konfiguration

Falsch konfigurierte Services können große Sicherheitslücken im System hinterlassen, daher sollte großer Wert auf eine richtige Konfiguration nach dem "so wenig als möglich - so viel wie nötig" Prinzip gelegt werden. Wenn ein Service läuft und Sie wissen eigentlich gar nicht so richtig, was er macht, - schalten Sie ihn ab. Wenn er wichtig war, wird sich jemand melden, wenn nicht, hat man ein potentielles Sicherheitsleck gestopft.

TCP Wrappers

Falls es auf einem Ihrer Systeme nötig ist, Internet-Services anzubieten, beispielsweise für Webserver, FTP-Server oder ähnliches, bietet sich der Einsatz von so genannten "TCP Wrappers" an. Diese arbeiten als "Mittelsmann" zwischen der Außenwelt und den System-Services und bieten eine massiv bessere Kontrolle über diese als das ohne Wrappers möglich wäre. So können Anfragen gefiltert werden, um beispielsweise ein "Spoofing" (siehe Glossar) oder eine "TCP Sequence prediction" (siehe Glossar) zu verhindern. Bei OS X ist bereits ein Open Source Produkt integriert, welches genau diese Aufgaben erfüllt: "TCP Wrappers".

Sichere Fernwartung

Unix-basierte Systeme bieten oft eine Reihe von Standard-Services, die äußerst unsicher sind, wie beispielsweise Telnet, FTP, Rlogin und einige weitere. Vor allem für administrative Tätigkeiten sollte man auf Protokolle setzen, die eine stärkere Authentisierung und eine Verschlüsselung der Kommunikation bieten. Mac OS X bietet von Haus aus Unterstützung für SSH (OpenSSH wird mitgeliefert). SSH (Secure Shell) ist ein Protokoll, welches sich hervorragend für die System Fernwartung eignet.

Personal Firewall

Der Einsatz von Personal-Firewall Software ist generell auf jedem System zu empfehlen. Die Personal Firewall von Mac OS X bietet die Möglichkeit, allen eingehenden Netzwerkverkehr zu prüfen. Erlaubte Verbindungen werden durchgelassen, alle anderen nicht. Die Mac OS X Personal Firewall basiert auf "ipfw", einer Technologie, die sich schon seit einigen Jahren auf Unix Systemen bewährt hat. Das Management der Personal Firewall ist im "Sharing" Tab integriert und erlaubt die einfache Konfiguration über Anwählen von Checkboxen zu vordefinierten Services (wie beispielsweise IRC). Natürlich ist es auch möglich, neue Services selbst zu definieren. Zugriff auf die Firewall erhalten Sie wie folgt:

  • Öffnen der "System Preferences" > Sharing > Firewall
  • Auf "Start" klicken
  • "System Preferences" wieder verlassen

Wem die Funktionalität der integrierten Firewall nicht ausreicht, sollte sich eines der kommerziellen Drittprodukte näher ansehen.

Benutzersicherheit

Obwohl Mac OS X bereits "ab Fabrik" mit relativ guten Sicherheitseinstellungen zum Thema Benutzer ausgeliefert wird, gibt es doch einige Einstellungen, die angepasst werden sollten. Mac OS X hat bei Auslieferung den "Root"-Account deaktiviert, jedoch hat dieser ein leeres Passwort. Bei einer Kompromittierung eines solchen Systems ist es für den Angreifer sehr einfach, volle Kontrolle über das System zu erlangen.

Passwörter

Root-Password

Zum Setzen eines Root-Passwortes muss folgende Prozedur durchgeführt werden:

  • Öffnen eines Terminals via: Macintosh HD > Applications > Utilitis > Terminal.app
  • danach folgenden Befehl im Terminal eingeben: sudo passwd root
  • nun das Passwort des User Accounts eingeben
  • Jetzt kann das neue Root Passwort eingegeben werden.
  • Um nun auf dem Terminal Root Rechte zu erhalten, benutzen Sie den Befehl "su -"

Richtlinien für sichere Passwörter

Obwohl es schon einige alternative Technologien zur Authentisierung gibt, ist die Kombination von Benutzername und Passwort immer noch die am meisten gebrauchte Methode. Der Mensch neigt zur Bequemlichkeit und wählt Passworte, welche er sich einfach merken kann - wie beispielsweise die präferierte Feriendestination, der Name des Hundes oder die Telefonnummer. Aus heutiger Sicht sind alle diese Passworte schwach und durch ein modernes Hackertool innerhalb von Sekunden oder Minuten zu knacken.

Autor
Avatar Dr. Michael Böni

Zum Autoren-Profil

Frei nutzbares Material
Die von Lehrer-Online angebotenen Materialien können frei für den Unterricht genutzt und an die eigene Zielgruppe angepasst werden.

In Kooperation mit

educa.ch

In Zusammenarbeit mit educa.ch bietet Lehrer-Online ausgewählte Inhalte an.