Sicherheitsworkshop Teil 1 - Bastille OS X

[Bier]

[yt]Aa_D4rejiHc[/yt]
Wem das als Erklärung reicht, der möge evtl. nicht weiterlesen. Ich persönlich halte das für großen Schwachsinn. Wer eine so schlecht implementierte Firewall mitliefert, wie Apple das tut, sollte keineswegs Zeit mit Spott verschwenden.

Bastille unter OS X


Kurzes Vorwort:

Ich bin Sicherheitsfan. Das kein Witz: nichtsdestotrotz, dass es manchmal kompliziert ist, macht sie mir Spaß. Ich geh auch auf diverse Konferenzen, zwar nicht auf die ganz weit weg im Ausland, aber doch auf manche.

Und in der heutigen Zeit, in der selbst der Staat Interesse hat, einem PC Nutzer hinterherzuspionieren und schreibend dumme Pläne gefasst werden, um diese Spionage zu realisieren, kann sich keiner mehr sicher sein, dass sein Computer nicht auch diskreditiert wird.
Keiner? Fast keiner.

Ich bin mir nie zu 100% sicher, dass es unmöglich ist.


Der geneigte Leser wird es kennen, der weniger Geneigte nun kennen lernen. Es gibt diverse andere Möglichkeiten, manche davon kenne selbst ich nicht. Aber die eine hier, die ich kenne, stelle ich nun mal kurz vor:

Bastille – die Philosophie dahinter

Bastille broke new ground by working to educate users about security, and help them make balanced, informed choices. Many users have found Bastille's secondary goal of educational just as useful as its primary goal of system hardening, leading some organizations to make an interactive Bastille hardening session part of their training regimen for new system administrators. In this spirit, Bastille can allow the user to run through the entire interactive portion without applying the chosen changes.

• Es handelt um eine X-11 basierte Anwendung.
• Sonst schwerer zugängliche allgemeine Sicherheitseinstellungen werden einfach zugänglich gemacht.
• die Änderungen sind gut dokumentiert
• sie sind wichtig fürs System

Warum?

Meiner Meinung nach, und der Meinung der Macher nach, gilt Folgendes:

„The OSX firewall is weaker than it should be.“

Der Missstand mit der ipfw-Implementation in OS X beginnt ja schon in der standardisierten Deaktivierung. Dies ist zwar übers GUI schnell änderbar, und man kann auch wenige andere sicherheitsbezogene Optionen vornehmen. Aber so wirklich in die Tiefe geht das alles nicht.

Auch Daemons, die man als OS Xler in der Regeln nicht braucht, kann man doch deaktivieren. Wer von uns hat schließlich lokal einen Webserver am Laufen?

Zudem gab es in der Vergangenheit in iTunes sowie Safari gravierende Implementationsmängel:

[yt]3uC4TDxumWI[/yt]
Es ging allerdings hier um einen im root-Modus arbeitenden Nutzer, der auf eine altbekannte Sache hereinfiel, weshalb dieses kleine Video keineswegs aktuell-referenziell zu werten ist. Vielmehr warnend, dass es anderes gibt, was aktuell und ein wenig komplizierter ist. Mit konfigurieter Firewall/angeschalteter Firewall war das Ganze dann witziger.

Installation

Die Installation ist nicht einfach. Unix Power User sehen das sicher anders. Ich nicht, ich finde, das könnte man einfacher machen, zumal die relativ sinnigen Konfigurationen übers GUI vorgenommen werden, einem X11 GUI.

Nun ja... gehen wir es an. Ich schätze die Zeit auf 30 Minuten.

Herunterladen

http://bastille-linux.sourceforge.ne...astille_on.htm

Da führt kein Weg dran vorbei. Ganz unten finden wir es. Wir laden es herunter. Nun kommen viele Unix-Leute immer gern mit tar. Ich mag tar, aber wir sind hier unter OS X. Wir sind crude-cool:

Code:

open bastille.tar

Oder wie auch immer ihr das File nennt. Es wird entpackt mit dem Archiv-Dienstprogramm oder der standardisierten Wahlanwendung. Klick-ersetzend geht’s im Programmverzeichnis weiter:

Code:

more README

Ist immer gut. Manch einer möchte jetzt sicher noch as Skript Install-OSX.sh durchlesen. Schließlich muss es mit root-Rechten ausgeführt werden.

Abhängigkeiten

Gebraucht werden: wget, ncftp, lynx

Die installiert man am besten per dports. Beispiel:

Code:

sudo port install lynx

Ist das gemacht geht’s weiter:

Code:

sudo cpan

Nun werden, sofern es der erste Start ist, config-Files ins Homes gelegt. Perl sollte aber insoweit noch ein normales Verhalten an den Tag legen.
In der Shell geben wir an:

Code:

install module Tk

Das dauert ein wenig. Haben wir das, geht’s zu Bastille ins programmzugehörige Verzeichnis.

Wir führen aus:

Code:

sudo ./Install-OSX.sh

Und dann wieder in der BaSh oder was auch immer ihr nutzt:

Code:

sudo Bastille

Es öffnet sich das X11 Fenster.

Um das Ganze ein wenig zu vereinfachen:

Video

Hier ein thematisches Video dazu:

http://video.google.com/videoplay?do...77192339716238

Wenn jemand weiß wie man GoogleVideo hier einbindet bitte ich um eine PM. Danke

Fazit

Englischkenntnisse vorausgesetzt informiert dieses Tool wunderbar genau, darüber was und wie es konfiguriert.

Soviel erst mal... ich schau mal. Vielleicht setz ich noch nen II. Teil rein oder so. Vielleicht hat auch wer anders noch gute Tipps für mich, die in die gleiche Richtung gehen.

Vergesst nicht

Code:

sudo Bastille -b

nach dem Konfigurieren auszuführen. Ob es geklappt hat sehr ihr per

Code:

 sudo ipfw show

.

% sudo ipfw show
02000 73175 7341171 allow ip from any to any via lo*
02010 0 0 deny ip from 127.0.0.0/8 to any in
02020 0 0 deny ip from any to 127.0.0.0/8 in
02030 0 0 deny ip from 224.0.0.0/3 to any in
02040 0 0 deny tcp from any to 224.0.0.0/3 in
02050 101972 6593055 allow tcp from any to any out
02060 175347 251113921 allow tcp from any to any established
02065 0 0 allow tcp from any to any frag
12190 0 0 deny log tcp from any to any
20000 0 0 deny log icmp from any to me in icmptypes 8
20310 0 0 allow udp from any to any dst-port 53 in
20320 3 1156 allow udp from any to any dst-port 68 in
20321 0 0 allow udp from any 67 to me in
20322 0 0 allow udp from any 5353 to me in
20340 0 0 allow udp from any to any dst-port 137 in
20350 150 9716 allow udp from any to any dst-port 427 in
20360 0 0 allow udp from any to any dst-port 631 in
20370 97 17941 allow udp from any to any dst-port 5353 in
22000 0 0 allow udp from any to any dst-port 123 in
30510 664 75471 allow udp from me to any out keep-state
30520 0 0 allow udp from any to any in frag
35000 512 178319 deny log udp from any to any in
65535 16 512 allow ip from any to any

Wem das zu komplex sein sollte... keine Sorge. Leopard wird sicher auch einige Verbesserungen in dem Bereich bringen. Wenn nicht... ihr wisst ja wo ihr fortan Bastille findet.

So Freunde,
schönen Abend noch!

Bier

Quellen und Infos:
http://www.toorcon.org/
http://macsecurity.wordpress.com/200...e-on-os-x-103/
http://bastille-linux.sourceforge.net/
http://www.apfelwiki.de/Main/Bastille

p.s.: Ich würde mich hier besonders über Anfängerfragen freuen, da ich denke, dass jeder eine ordendliche Sicherheitskonfiguration verdient hat.

[Gastone]

Vielen Dank für das Tutorial.

Endlich mal ein fundierter Bericht zum Thema Sicherheit und Mac OS. Der Videobeitrag von der Sicherheitskonferenz war sehr informativ.

Du hattest gefragt, was Anfänger von Deinem Bericht halten. Ich habe mein MacBook jetzt seit etwa einem Jahr und bin technisch nicht ganz unbewandert. Deine Ausführungen sind verständlich und zugänglich. Allerdings traue ich mich nicht wirklich "unter der Haube des Mac OS" zu schrauben. Mein System läuft stabil und ich bin damit sehr zufrieden. Ich habe ehrlich gesagt Angst, dass ich das System zerschiesse. Dies liegt insbesondere daran, dass ich im Falle eines Gaus nicht wüßte, welche Schritte ich für eine Systemwiederherstellung einleiten müsste, geschweige denn, dass ich jemanden kenne, der mir helfen könnte, da ich keine anderen Mac User kenne.

Insgesamt ist mir allerdings klar, dass man regelmäßig in Sachen Sicherheit etwas unternehmen muss.

[Bier]

Hi!

Ja... das Schöne an Bastille ist mitunter, dass nur beim Ausführen von bastille -b eine wirkliche Systemänderung geschieht. Das heißt der Weiterbildungseffekt ist sowieso vorhanden. Das Programm wird industriell eingesetzt; d. h. damit werden teils 100te Rechner "konfiguriert".

Ich hab persönlich mein System 1:1 im Backupkasten auf 3 DoubleLayer DVDs. Die booten, schreiben sich auf meine Festplatte, und das System ist wieder da, wenn ich das will. Sorum fährt man eigentlich ein sehr geringes Risiko.

[MacMark]

[…] Der Missstand mit der ipfw-Implementation in OS X beginnt ja schon in der standardisierten Deaktivierung. […]

Welcher Dienst läuft denn in der Standardeinstellung, den Du abschirmen möchtest?

[…] Auch Daemons, die man als OS Xler in der Regeln nicht braucht, kann man doch deaktivieren. Wer von uns hat schließlich lokal einen Webserver am Laufen? […]

Der Webserver ist standardmäßig aus. Der zugehörige Dämon "httpd" läuft standardmäßig nicht.

[Bier]

Welcher Dienst läuft denn in der Standardeinstellung, den Du abschirmen möchtest?

Bonjour, ntpd, CUPS, dann später PGP Desktop (wenn installiert natürlich), Word (frag MS warum)...

[KayHH]

Okay, (erst) bis zum ersten Abschnitt habe ich gelesen.

Zitat: „Wer eine so schlecht implementierte Firewall mitliefert, wie Apple das tut, sollte keineswegs Zeit mit Spott verschwenden.“

Was ist an der Firewall schlecht? Es ist die aus jedem BSD bekannt Firewall und BSD gilt jetzt nicht gerade als besonders unsicher. BTW, der Nutzen einer Firewall wird weit überschätzt. Das Hauptrisiko ist der Anwender selbst.


KayHH


PS: Ich lese dann mal weiter …

[Bier]

Oh, sorry, ich meinte natürlich nicht die Firewall selbst, sondern die Einstellungsoptionen. Den "Stealth Mode" z. B., dessen Beschreibung von keiner sehr tiefgehenden Kenntniss von TCP/IP zeugt... die ipfw liefert Apple ja selbst nicht wirklich.

[KayHH]

Okay, die GUI bietet nicht sehr viele Einstellmöglichkeiten, aber das ist ja auch so gewollt. Keep it simple, das ist Apple-Philosophie. Alles weitere geht über das Terminal und einen normalen Editor.

Was meinst du mit Stealth-Mode? Bist du ein Anhänger des selbigen? Der Stealth-Mode ist alles andere als unumstritten und verhindert weder Portscans noch Angriffe. Auch sich nicht konform zu verhalten lenkt die Aufmerksamkeit der Angreifer auf sich.


KayH

[KayHH]

Welche Dämons laufen denn standardmäßig? Wer bitte arbeitet als root? Es gibt Leute die als Admin arbeiten, aber auch das sollte man vermeiden, zumindest sollte sich das rumgesprochen haben. Ich weiß, viele tun es trotzdem.

Aus dem Rest bin ich nicht schlau geworden. Was macht Bastille besser?



KayHH

[Bier]

Im Endeffekt ist das eine vielfältige Konfigurationsplattform. Es wird ein Framework für allerhand Einstellungen geboten, die _alle_ auch manuell ohne möglich sind.
Zu Sagen ist wohl, dass es sich keineswegs um "nur" eine Firewall handelt. Die spezielle Konfiguration der ipfw für den passenden Einsatzzweck kann lediglich verbessert werden.

Neben diesem Feature kann man auch noch vieles andere einstellen, anpassen, und sich informieren. Das steht eigentlich alles recht eindeutig da.
Ziel ist es halt, dass man nicht alles manuell einstellen muss. Dass man nicht das Terminal oder einen Editor nutzen muss und als "Fortgeschrittenerer" nicht überfordert wird. Und man kann auch ne Menge technischen Mist bauen, gerade da.
Weiß ich aus eigener sehr leidlicher Erfahrung

Natürlich macht Bastille das Betriebssystem weder besser oder sicher(er), noch verändert es dieses durch meintwegen Kernel-Erweiterungen. Es setzt halt gewisse Limits, sodass zum Beispiel DoS Attacken weniger ausmachen und weniger Plattform erhalten.
So ist es ein allgemeines Konfigurationsframework, mehr aber auch nicht.

Und ja, eine Firewall ist stark überschätzt. Wobei Mac-User sie gemeinhin unterschätzen, indem sie sie auslassen.
"Keep it simple" - nettes Motto. Aber der "Stealth Mode" ist faktisch eindeutig FALSCH beschrieben. Stichwort "unsichtbar". Das ist Humbug! Wer meint unsichtbar zu sein, sollte bei den Fantastic Four anfangen als "Invisibel 'User'".

Was die Frage zum Thema "Wer arbeitet als root?" betrifft. Das lenkt wohl auf dieses Youtube Video. Da habe ich zu gesagt, dass das lediglich ein Kleinstbeispiel ist. Ich möchte hier nicht anfangen einschlägige Offensivanleitungen zu verbreiten, obwohl ich meinerseits sage, dass sie sinnvoll und wichtig sind. Es geht auch gar nicht darum, oder?