LOGO_ASPICON-white.svg
aspicon-logo-1024x169-gradient.png
logo-oracle-white.svg
Microsoft_SQL_Server_Logo_horizontal_white.svg
postgresql-logo_white_horiz.png
logo_red_hat_white3
suse-white-logo-green_large_white3
logo_windows_server2_white.png
aws_white2.png
logo_azure_white2
Oracle-Cloud-Logo_horizontal_white2.png
Docker-Logo-White-RGB_Horizontal.png
logo_helm_white.png
ansible-horiz_white.png
logo_fujitsu_white.png
logo_hpe_white.png
NetApp_logo_horizontal_white.png
News zu Oracle

Härtung von Oracle Linux Be­triebs­sys­te­men Teil I

Härtung von Oracle Linux Betriebssystemen - Netzwerkkonfiguration

In der IT-Si­cher­heit gibt es keine Kom­pro­mis­se – besonders, wenn es um ge­schäfts­kri­ti­sche In­fra­struk­tu­ren wie deine Oracle Linux Be­triebs­sys­te­me geht. Als IT-Dienst­leis­ter im Bereich Da­ten­ban­ken und da­ten­bank­ba­sier­te IT-Systeme wissen wir: Eine un­ge­här­te­te Umgebung ist ein ge­fun­de­nes Fressen für Angreifer.

Doch welchen Pa­ra­me­tern solltest du bei der Härtung besondere Auf­merk­sam­keit schenken? Ein CIS Benchmark Report kann hier für Klarheit sorgen. Mit dem Report können deine Systeme de­tail­liert auf po­ten­zi­el­le Schwach­stel­len ana­ly­siert werden, um Si­cher­heits­ri­si­ken zu erkennen.

Das ist dir alles zu abstrakt? Kein Problem! In unserer neuen Bei­trags­rei­he stellen wir dir aus­ge­wähl­te Parameter aus den CIS Bench­marks vor und erklären deren Bedeutung. Das hilft dir mög­li­cher­wei­se dabei, Licht ins Dunkel zu bringen – denn Si­cher­heit beginnt mit Wissen!

All­ge­mei­nes zum CIS Benchmark Report für die Härtung eines Oracle Linux Betriebssystems

Kurz zum all­ge­mei­nen Ver­ständ­nis des CIS Benchmark Reports: Der Report zeigt dir, inwiefern das gescannte System den Si­cher­heits­emp­feh­lun­gen innerhalb des ge­wünsch­ten Security Levels (1 oder 2) des Center for Internet Security (CIS) folgt. Der Grad der Erfüllung bemisst sich sys­tem­über­grei­fend und zu­sätz­lich für einzelne The­men­kom­ple­xe jeweils mit einem un­ge­wich­te­ten, pro­zen­tua­len Score (Score / Max). Ziel sollte es stets sein, sich mit ver­tret­ba­ren Här­tungs­maß­nah­men der 100% Marke best­mög­lich zu nähern.

Folgende The­men­kom­ple­xe werden im CIS Benchmark Report beleuchtet:

  • Netz­werk­kon­fi­gu­ra­ti­on
  • Kon­fi­gu­ra­ti­on spe­zi­el­ler Dienste und Service Clients
  • Zugang, Au­then­ti­fi­zie­rung und Autorisierung
  • Logging and Auditing
  • Sys­tem­war­tung


Im ersten Teil unserer Bei­trags­rei­he schauen wir uns aus­ge­wähl­te Punkte aus dem Bereich der Netz­werk­kon­fi­gu­ra­ti­on an. Wir haben für unser Beispiel eine Oracle Linux 9 Kon­fi­gu­ra­ti­on gewählt.

CIS Benchmark Report Beispiel Oracle Linux 9

Teil I – Netz­werk­kon­fi­gu­ra­ti­on: Aus­ge­wähl­te Emp­feh­lun­gen zur Härtung eines Oracle Linux Betriebssystems

Punkt 1: De­ak­ti­vie­ren nicht ver­wen­de­ter Netz­werk­pro­to­kol­le und ‑geräte

Im Abschnitt “Netz­werk­kon­fi­gu­ra­ti­on” des CIS Reports erfährst du alles zur Sicherung der Netz­werk­kon­fi­gu­ra­ti­on deiner Systeme durch Ker­nel­pa­ra­me­ter, Zu­griffs­lis­ten­kon­trol­le und Firewall-Ein­stel­lun­gen. Ein Beispiel ist das De­ak­ti­vie­ren nicht ver­wen­de­ter Netz­werk­pro­to­kol­le und ‑geräte: Um die An­griffs­flä­che deiner Systeme zu ver­rin­gern, sollten nicht ver­wen­de­te Netz­werk­pro­to­kol­le und ‑geräte de­ak­ti­viert werden. Die Linux-Ker­nel­mo­du­le un­ter­stüt­zen mehrere Netz­werk­pro­to­kol­le, die nicht häufig verwendet werden. Wenn diese Pro­to­kol­le nicht benötigt werden, empfiehlt es sich, sie im Kernel zu deaktivieren.

Punkt 2: Si­cher­stel­len, dass ICMP-Um­lei­tun­gen nicht ak­zep­tiert werden

ICMP-Redirect-Nach­rich­ten sind Pakete, die Routing-In­for­ma­tio­nen über­mit­teln und den Host (der als Router fungiert) anweisen, Pakete über einen al­ter­na­ti­ven Pfad zu senden. Auf diese Weise kann ein externes Routing-Gerät die Routing-Tabellen deines Systems ak­tua­li­sie­ren. Angreifer könnten ge­fälsch­te ICMP-Redirect-Nach­rich­ten verwenden, um die Routing-Tabellen des Systems böswillig zu verändern und sie dazu zu bringen, Pakete an falsche Netzwerke zu senden, so dass deine Sys­tem­pa­ke­te ab­ge­fan­gen werden können. Deine Systeme sollten also keine ICMP-Redirect-Nach­rich­ten akzeptieren.

Punkt 3: Si­cher­stel­len, dass Broadcast-ICMP-Anfragen ignoriert werden

Die Annahme von ICMP-Echo- und Zeit­stem­pel-Anfragen mit Broadcast- oder Multicast-Zielen für dein Netzwerk könnte dazu verwendet werden, deinen Host dazu zu bringen, einen Smurf-Angriff zu starten (oder daran teil­zu­neh­men). Ein Smurf-Angriff beruht darauf, dass ein Angreifer große Mengen von ICMP-Broadcast-Nach­rich­ten mit einer ge­fälsch­ten Quell­adres­se sendet. Alle Hosts, die diese Nachricht empfangen und darauf antworten, senden Echo-Antwort-Nach­rich­ten an die ge­fälsch­te Adresse zurück, die wahr­schein­lich nicht routbar ist. Wenn viele Hosts auf die Pakete antworten, könnte sich der Da­ten­ver­kehr im Netz erheblich ver­viel­fa­chen. Deine Systeme sollten also möglichst alle ICMP-Echo- und Zeit­stem­pel-Anfragen an Broadcast- und Multicast-Adressen ignorieren.

Bitte beachte, dass es sich bei den genannten Punkten lediglich um einen Bruchteil der Themen handelt, die im Report be­leuch­tet werden. Sie sollen dir lediglich einen Eindruck der Her­an­ge­hens­wei­se ver­mit­teln. In wei­ter­füh­ren­den Beiträgen werden wir uns noch weitere Punkte anschauen. 

Selbst­ver­ständ­lich lassen sich die CIS Benchmark Reports auch für andere En­ter­pri­se Linux Be­triebs­sys­te­me wie Red Hat En­ter­pri­se Linux erstellen sowie für Oracle Da­ten­ban­ken, SQL Server Da­ten­ban­ken und Windows Server Betriebssysteme.

Du hast Fragen dazu oder benötigst Un­ter­stüt­zung?
Ruf uns gern an oder schreibe uns. 
Kontakt 
Marcel Heinrich - Account Manager ASPICON

Marcel
Senior Account Manager bei ASPICON

Hier findest du weitere Infos rund um Oracle und Security aus unserem News & Insights Bereich.

icon-arrow_right_medium-violet-blue.svg

Share this article

Facebook 
Twitter 
LinkedIn 
XING 
WhatsApp 
Email