Solaris! Ett riktigt säkert operativsystem! Systemleverantör sedan Tel Fax

Transkript

1 Systemleverantör sedan 1984 Solaris! Systemleverantör sedan 1984 Ett riktigt säkert operativsystem! Tel Fax

2 KHUSET WHITE PAPER SOLARIS 2 Innehållsförteckning: Solaris ursprung... 3 SPARC-processorn... 3 SPARC-processorn kan inte utföra Intel-processorns instruktionsrepertoar... 3 SPARC-processorn och kryptering... 4 Solaris säkerhetsklassning... 4 Solaris stoppar Buffer overflow attacker... 4 Solaris levereras med alla nätverkstjänster avslagna förutom Secure Shell...4 Solaris levereras med Kerberos och LDAP för autentisering av användare... 4 Solaris Secure Shell (SSH), Kerberos och certifikatbaserad inloggning... 5 Solaris levereras med lokal brandvägg... 5 Solaris IPsec, VPN och VLAN... 5 Solaris Auditing... 5 Solaris Rollbaserad Access Control (RBAC)... 6 Solaris nya filsystem ZFS (Zettabyte File System)... 6 Solaris Access Control (ACL)... 6 Solaris Trusted Extensions... 6 Solaris detektering av fil-/dataförändringar... 7 Solaris zoner ökar säkerheten... 7 Solaris 11.2 levereras med SAMP...7 Kernelbaserad SSL-Proxy... 7 Solaris och nätverkssäkerhet...8 Solaris och kvalitetsgaranterade differentierade nätverkstjänster. (QoS)... 8

3 KHUSET WHITE PAPER SOLARIS 3 Solaris ursprung: I några korta teser skall denna skrift försöka beskriva varför Solaris är det säkraste kommersiellt tillgängliga operativsystemet som rätt konfigurerat har störst möjlighet att skydda ditt data från intrångsförsök, vandalism och stöld. Solaris ursprung. Operativsystemet Solaris är en utveckling av UNIX System V Release 4. Denna Unix-variant skapades av amerikanska AT&T under åren AT&T Bell Labs i New Jersey var ett av de ursprungliga utvecklingslaboratorierna för UNIX. (Berkeley universitetet i Californien var det andra UNIX labbet) porterades UNIX System V Release 4 till SPARC-processorn, som var ny 1987,av företaget International Computers Limited (ICL) vilket sedermera uppgick i företaget Fujitsu. Sun Microsystem lanserade Solaris 1992, efter att ha utvecklat UNIX System V R4-porten till SPARC ytterligare. Så här 25 år senare är det enkelt att ha glömt bort ursprunget för Solaris men dess tillkomst var alltså ett gediget arbete under en 5-årsperiod av bolagen AT&T, ICL och Sun Microsystems. SPARC-processorn. Solaris kan idag användas på både Intel s X86, AMD X64 och på SPARC processorer. Vi har det senaste året haft ett generationsskifte ned till 28 nanometers kretsar för SPARC processorn. Det har inneburit en revolution i SPARC-prestanda där Fujitsu s SPARC64 X+ chip nu är den starkaste testade processorn, alla kategorier, med ett genomfört & publicerat SPECintRate CPU2006 benchmark. SPARC64X+16 core processorn har idag nära dubbla prestandan av en Intel Xeon E v2 ivy-bridge 12 core processor. SPARC-processorn kan inte utföra Intel-processorns instruktionsrepertoar. Det betyder att Virus och Malware som skrivits för Intel X86-processorn och distribueras i binär form inte kan förstås eller utföras av en SPARC-processor. X86-koderna är helt enkelt obegriplig för SPARC-processorn. Virus som förstör system med Intel X86-processorer är alltså helt harmlöst för en SPARC-dator. X86-viruset är bara en harmlös sträng med meningslösa tecken i SPARC-datorn. Det går knappast att överdriva betydelsen av detta faktum när X86-processorn skall jämföras med SPARC-processorn. En bra bit över 90% av virus och malware som sprids på näten är avsedda för X86-processorer. Och de har ingen effekt alls på SPARC-baserade datorer.

4 KHUSET WHITE PAPER SOLARIS 4 Säkerhet och kryptering: På samma sätt som det inte går att flytta kompilerade program mellan X86 och SPARC så går det inte att flytta Virus heller. Det är därför mycket lämpligt att använda SPARC-datorer i situationer och system där applikationen är en säkerhetsfunktion. Ett typexempel på detta är en brandväggsserver eller en server som skall detektera intrångsförsök. Det är förstås otroligt väsentligt att servern, som skall vara brandvägg, inte själv blir virusattackens första offer och att det går att förutsätta att brandväggen överlever virusattacker. En brandväggsserver baserad på en Intel X86 processor kan mycket väl bli den första serven på företaget som dukar under i en virusattack. (Detta är anledningen till att författaren nästan dog av skratt under den mest gastkramande delen av filmen Independence Day - hjältarna i filmen bekämpar onda rymdvarelser med PC-Virus och laddar upp PC-virus till utomjordingarna s huvuddator, varefter den havererar och rymdgubbarna blir hjälplösa. Har knappast haft lika roligt sen dess). SPARC-processorn och kryptering. Sparc-processorn innehåller krypteringsaccelerationskretsar ingraverade på chippet. Kryptering av nätverkstrafik med t.ex. SSH eller HTTPS görs av hårdvaran vilket radikalt ökar antalet samtidiga koppel som servern klarar. SPARC- processorerna SPARC64X+ och T5 är 2,5 till 3 ggr snabbare än Intel E v2 CPU på krypteringsoperationer med AES. Solaris säkerhetsklassning. Solaris 11.1 är säkerhetscertifierat emot Common Criteria Evaluation Assurance Level EAL4+ mot CAPP, RBACPP. Solaris Trusted Extensions är certifierat emot Common critera EAL4 + LSPP protection profiles. Solaris stoppar Buffer overflow attacker. Solaris kan konfigureras så att det inte går att exekvera kod som lagts på stacken. Det innebär att den traditionella intrångsmetoden, med att skapa ett buffer overflow till stacken och sedan exekvera det, inte fungerar. Solaris levereras med alla nätverkstjänster avslagna förutom Secure Shell. Solaris systemadministratören måste själv aktivera varje nätverkstjänst som skall användas. Det ger administratören full kontroll över vilka tjänster som är i drift. Solaris levereras med Kerberos och LDAP för autentisering av användare. Solaris innehåller samma tjänster som ingår Microsofts ActiveDirectory för användarautentisering: Kerberos & LDAP. På samma sätt som ActiveDirectory måste dessa tjänster planeras, designas och aktiveras.

5 KHUSET WHITE PAPER SOLARIS 5 Solaris Secure Shell: Solaris Secure Shell (SSH), Kerberos och certifikatbaserad inloggning. Att logga in på en server med den traditionella metoden, med lokalt användarnamn och passord, är inte längre en säker metod för användarautentisering. Med Solaris kan Secure Shell kombineras med Kerberos+LDAP inloggning och passord kan ersättas med personliga certifikat med s.k. PassPhrase. Detta tillvägagångssätt åstadkommer fyra säkerhetshöjande steg. Centralt LDAP-baserat användarddirectory. Åtkomsttilldelning med Kerberos Tickets. Två faktors användarautentisering med både Certifikat och PassPhrase. SPARC-processor accelererad nätverkstrafikkryptering på IP Layer 4 nivå mellan användare och server. Detta är därför den rekommenderade metoden att konfigurera upp användaraccess i Solarismiljö. Solaris levereras med lokal brandvägg. Brandväggsprogramvaran IP-Filter ingår i Solaris. Brandvägg kan konfigureras upp för varje enskild server. Säkerhetsmässigt är det bättre att ha lokala brandväggar i varje server än att endast lita till perimeter-brandväggar utanför företagsnätet. IP-Filter innehåller en Network Address Translation (NAT) modul som gör det möjligt för solaris att översätta adresser från internet till ett lokalt privat nät enligt RFC Solaris IPsec, VPN och VLAN. Solaris kan konfigureras för krypterad IP på Layer 3 nivå (IPSEC). Solaris innehåller egen IKE IPsec nyckelhantering. Solaris kan därför användas som en nod eller server i ett VPN-nätverk. Solaris kan också använda VLAN direkt från servern. Solaris Auditing. Solaris levereras med ett fullständigt system för granskning av varje händelse i operativsystemet ned till individuella läs och skrivoperationer på disk. En aktivering av Auditing måste planeras med avseende på hur auditloggarna skall lagras, hanteras och kontrolleras.

6 KHUSET WHITE PAPER SOLARIS 6 Access kontroll: Solaris Rollbaserad Access Control (RBAC). Solaris innehåller som standard rollbaserad accesskontroll där användare kan ges åtkomst till delar av systemfunktionen baserat på användarens roll/ funktion i organisationen så att administration av system kan ske med definierade roller med olika set av tillåtna adminprogram. Solaris nya filsystem ZFS (Zettabyte File System). ZFS filsystem är det första filsystemet med 128 adressbitar och kan lagra 256 Zettabyte. Allt data skrivs med checksummor till disk och jämförs vid läsning så att läsfel inte kan uppkomma. ZFS är både ett filsystem och en volymhanterare för spegling, RAID5 m.m. Därför krävs inga RAID- kort i SPARC-servrar. Solaris Access Control (ACL). Solaris ZFS filsystem innhåller Extended ACL,s enligt NFSv4-modellen vilken är förvillande lik ACL:er i Microsoft NTFS. Det äldre systemet med UNIX-permission fungerar fortfarande men emuleras med utgångspunkt från ZFS ACL:er. Solaris Trusted Extensions. Trusted Extension kan installeras i zoner för att åstadkomma det som brukar kallas Multi Level Security (MLS) vilket oftast används för militära ändamål. Trusted extensions fungerar genom att applicera LABEL s på object som TOP SECRET eller UNRESTRICTED. Label styr sedan hur objektet kan läsas, skrivas ut eller överföras. Trusted extensions inför även Mandatory Access Control (MAC) som innbär att en säkerhetsadministratör inför accessregler på object som användare och systemadministratörer inte kan ändra på. System med Trusted Extensions aktiverat behöver därför två administratörer, en systemadministratör och en säkerhetsadministratör. Dessa skall vara två olika personer med olika ansvar, om systemet skall vara meningsfullt.

7 KHUSET WHITE PAPER SOLARIS 7 Detektering: Solaris detektering av fil-/dataförändringar. Solaris har två huvudsakliga metoder att upptäcka om programfiler eller datafiler har modifierats, (av ett potentiellt dataintrång). Pakethanteringssystemet kan verifiera att alla installerade program har samma checksummor som installationsrepositoriet med #pkg verify. Basic Auditing Report Tool (BART) skapar inventarielistor över installerade filer som därefter regelbundet kan jämföras och uppdateras med ny inventarierapport. Solaris zoner ökar säkerheten. Solaris har med sin zon-funktion möjlighet att logiskt isolera applikationer från varandra i dessa zoner. Det innebär också att brandväggar kan konfigureras individuellt per zon, samt att operativsystemets moduler kan installeras selektivt per zon. En zons funktionalitet och säkerhetsnivå kan därför anpassas på ett flexibelt sätt. Med en unik applikation i en zon kan zonens brandvägg anpassas för den unika applikationen och inga övriga anslutnings TCP/IP portar behöver aktiveras. Samma resonemang kan föras med avseénde på Solaris Virtuella maskiner (Oracle VM for SPARC) som är ett alternativ till zoner. Solaris 11.1 levereras med SAMP. Webstacken levereras med Solaris/Apache/ MySQL /PHP och ingår i Solaris Kernelbaserad SSL-Proxy. Solaris 11.2 innhåller en kernelbaserad SSL-Proxy som dels skyddar Webservern från direkt kontakt med en potentiellt farlig modifierad web-läsare, dels accelererar SSL-hanteringen med en tredjedel. Apache 2.2 webservern som levereras med Solaris kan ansluta sig till SSL proxy.

8 KHUSET WHITE PAPER SOLARIS 8 Nätverkssäkerhet: Solaris och nätverkssäkerhet. Solaris 11.2 är designat för att fungera i miljöer som utsätts för nätverksattacker. Med Solaris 11.2 kan följande normala IP-funktionalitet omkonfigureras: Broadcast packet forwarding, kan stängas av för att förhindra att servern deltar i en Ping of Death attack. Responce to echo Requests, kan stängas av så att servern inte blir offer för en Ping of Death attack. Solaris kan konfigureras att inte vidarebefordra paket där source-adressen i paketet inte stämmer med avsändarens adress. Antalet icke kompletta anslutningsförsök kan begränsas för att förhindra Denial of Service attacker. Antalet öppna inkommande koppel kan begränsas för att förhindra Denial of Service-attacker. Stark slumpvis generering av IP-sekvensnummer enligt RFC 6528 kan konfigureras för att hindra en angripare att kapa en session. Solaris kan konfigureras att ignorera ICMP-redirect-meddelanden för att hindra en angripare att kapa en session. Solaris 11.2 är default konfigurerat för att: Förhindra Source Packet Forwarding. Att ej svara på Address Mask Broadcast. Att ej svara på Timestamp -eller Broadcast Timestamp-frågor. Att ej genomföra IP Source Routing (för att forcera paket en annan väg än genom brandväggen). Solaris och kvalitetsgaranterade differentierade nätverkstjänster. (QoS) Solaris stöder Quality of Service DiffServ-modellen och kan tillsammans med nätverksutrustning som stöder DiffServ modellen (CISCO, HP Procurve m.fl) bygga nätverksflöden med olika prioritet och bandbredd till olika konsumenter. Dataflöden kan specificeras internt i Solaris så att olika konsumenter i en virtualiserad miljö, t.ex en VM, en zon eller ett virtuellt nät internt i Solaris-maskinen får garanterad eller begränsad tillgång på bandbredd till viss adress eller till viss TCP/IP-tjänst eller port. Funktionen kan också användas för att helt strypa flödet av data till eller från viss TCP/IP-port eller tjänst utan att brandvägg används och är därför intressant i nätverkssäkerhetssammanhang.

9 Systemleverantör sedan 1984 Om khuset: 30 års erfarenhet som systemleverantör. Expert på Unix. Tel Fax Systemleverantör sedan 1984 Tel Fax