Red Hat Enterprise Security: Network Services

Trainingsziel

Red Hat Enterprise Linux verzeichnet beachtliche Erfolge als bevorzugtes Betriebssystem für die Implementierung von Netzwerkdiensten wie Web, FTP, E-Mail und File Sharing. RHS333 Red Hat Enterprise Security: Network Services ist ein Intensivkurs, der vier Tage des theoretischen und praktischen Trainings zur Verwendung der neusten Technologien zur Sicherung Ihrer Dienstleistungen bietet. Dieser Kurs vermittelt folgende Kenntnisse und Fähigkeiten:

• In dem Kurs RHS333 werden Teilnehmer mit Kompetenzen auf der RHCE-Ebene im Verständnis und in der Verhinderung ausgefeilter Sicherheitsbedrohungen für Unternehmenssysteme sowie in der ordnungsgemäßen Reaktion auf entsprechende Bedrohungen geschult.



• Der Kurs vermittelt Systemadministratoren und Sicherheitsfachkräften die nötigen Kenntnisse und Fähigkeiten zur Abhärtung von Computern sowohl gegen interne, als auch gegen externe Angriffe.



• Zu diesem Zweck werden umfassende Analysen der ständig variierenden Bedrohungsmodelle in ihrer für Red Hat Enterprise Linux relevanten Form geboten.



• Der Kurs RH333 baut auf die in anderen Red Hat-Schulungsveranstaltungen erworbenen Sicherheitskompetenzen auf.



• Dies ermöglicht Administratoren die Entwicklung und Implementierung eines angemessenen Sicherheitsprofils für kritische Unternehmenssysteme.

Teilnehmerkreis

Dieser Kurs wendet sich an Systemadministratoren, Berater und andere IT-Fachleute, die für die Planung, Implementierung und Instandhaltung von Netzwerkservern verantwortlich sind. Der Schwerpunkt der Kurse liegt auf der Umsetzung dieser Dienste auf Red Hat Enterprise Linux; Inhalte und Übungen sind daher überwiegend auf eine solche Nutzung ausgerichtet. Trotzdem finden hier auch Systemadministratoren und Benutzer anderer Unix-Formate viele Elemente, die für sie von Bedeutung sind.

Voraussetzungen

Um diesen Kurs erfolgreich absolvieren zu können, sollten Sie über folgende Vorkenntnisse verfügen:

• RH253, RH300 oder die RHCE-Zertifizierung bzw. gleichwertige Berufserfahrung sind Voraussetzung für diesen Kurs.



• Potenzielle Teilnehmer sollten bereits über die wesentlichen Grundlagen in der Konfiguration der behandelten Dienste verfügen, da der Kurs von Beginn an auf fortgeschrittenere Themen ausgerichtet ist.

Überblick über den Inhalt des Trainings

Der Kurs RHS333 geht über die grundlegenden Sicherheitsbelange hinaus, die in den RHCE-Kursen behan­delt werden, und befasst sich eingehender mit den Sicherheitselementen, -fähigkeiten und -risiken, die mit den gängigsten Diensten verbunden sind. Unter anderem werden in diesem viertägigen praxisorientierten Kurs folgende Themen behandelt:

Bedrohungsmodell und Schutzmethoden

• Internet-Bedrohungsmodell und Plan des Angreifers
• Systemsicherheit und Verfügbarkeit der Dienste
• Überblick über Schutzmechanismen

Grundlegende Sicherheit der Dienst

• SELinux
• Hostbasierte Zugriffskontrolle
• Firewalls mit NetFilter und IPTables
• TCP-Wrapper
• xinetd und Servicegrenzen

Verschlüsselung

• Übersicht über Verschlüsselungstechniken
• Verwaltung von SSL-Zertifikaten
• Nutzung von GnuPG

Protokollierung und NTP

• Zeitsynchronisierung mit NTP
• Protokollierung: syslog und seine Schwächen
• Schutz von Protokollservern

BIND- und DNS-Sicherheit

• BIND-Schwächen
• DNS-Sicherheit: Angriffe auf den DNS
• Zugriffskontrolllisten
• Transaktionssignaturen
• Einschränkung von Zonentransfers und rekursive Abfragen
• DNS-Topologien
• Fingierte Server und Blackholes
• Ansichten
• Überwachung und Protokollierung
• Dynamische DNS-Sicherheit

Netzwerkauthentifizierung: RPC, NIS und Kerberos

• Schwächen
• Netzwerkverwaltete Benutzer und Kontenverwaltung
• RPC- und NIS-Sicherheitsprobleme
• Verbesserung der NIS-Sicherheit
• Verwendung der Kerberos-Authentifizierung
• Fehlerbeseitigung bei Kerberos-unterstützten Diensten
• Kerberos-Cross-Realm-Trust
• Kerberos-Verschlüsselung

Netzwerkdateisystem (Network File System; NFS)

• Überblick über die NFS-Versionen 2, 3 und 4
• Sicherheit bei den NFS-Versionen 2 und 3
• Sicherheitsverbesserungen beim NFS4
• Fehlerbehebung beim NFS4
• Mounting-Optionen auf der Client-Seite

OpenSSH

• Schwächen
• Serverkonfiguration und die SSH-Protokolle
• Authentifizierung und Zugriffskontrolle
• Sicherheit auf der Client-Seite
• Schutz privater Keys
• Probleme bei der Port-Weiterleitung und X11-Weiterleitung

E-Mail mit Sendmail

• Schwächen
• Servertopologien
• E-Mail-Verschlüsselung
• Zugriffskontrolle und STARTTLS
• Anti-Spam-Mechanismen

Postfix

• Schwächen
• Sicherheit und Postfix-Design
• SASL-/TLS-Konfiguration

FTP

• Schwächen
• FTP-Protkoll und FTP-Server
• Protokollierung
• Anonymes FTP
• Zugriffskontrolle

Apache-Sicherheit

• Schwächen
• Zugriffskontrolle
• Authentifizierung: Dateien, Kennwörter, Kerberos
• Sicherheitsimplikationen häufig genutzter Konfigurationsoptionen
• CGI-Sicherheit
• Server-Seite umfasst
• suEXEC

Erkennen von unbefugtem Zugriff und Wiederherstellung

• Risiken des unbefugten Zugriffs
• Sicherheitsrichtlinie
• Erkennen potenzieller unbefugter Zugriffe
• Überwachung des Netzwerkdatenverkehrs und offener Ports
• Erkennen veränderter Dateien
• Untersuchung und Verifizierung ermittelter unbefugter Zugriffe
• Wiederherstellung nach unbefugten Zugriffen sowie Berichterstattung und Dokumentation bezüglich derselben