6.5 KiB
Projektarbeit
Kurze Beschreibung
- Tor relay aufsetzen
- Monitoring und Backups, config wegspeichern
- Server härten
Schutzziele
- Verfügbarkeit: mittel (Ausfall von 3 Tagen akzeptabel, da es viele andere Relays gibt).
- Vertraulichkeit: sehr hoch, da Menschenleben, bzw. die Privatsphäre von Menschen davon abhängt.
- Integrität: sehr hoch, da Daten nicht manipuliert werden dürfen. Ist voraussetzung für Vertraulichkeit.
Systemarchitektur:
flowchart TB
SSH --> Software[Betriebssystem] --> Hardware
Tor --> Software[Betriebssystem]
Grafana --> Software[Betriebssystem]
Prometheus --> Software[Betriebssystem]
restic --> Software[Betriebssystem]
Nutzergruppen
Admin
Anforderungen:
- geringer Administrationsaufwand (2 > h/Monat)
- brauchbares Monitoring
Schutzbedarf:
- sehr hoch -> maximal benötigter Bedarf der anderen Nutzer (Menschenleben können davon abhängen)
Nötige Berechtigungen
- volle Privilegien ("alle" -> nein)
- remote administration über ssh-key + vpn
- root disablen und Nutzer mit weniger Privilegien erstellen
Endbenutzer
Anforderungen:
- schnelles, sicheres und funktionierendes Relay
Schutzbedarf:
- sehr hoch, da sichere Kommunikation und Informationsbeschaffung davon abhängt
Nötige Berechtigungen:
- keine Privilegien
Zielobjekte für Schutzbedarf
Aus welchen Zielobjekten besteht das System?
Welche Daten werden verarbeitet?
- Systemkonfiguration
- Netzwerkeinstellungen
- Kommunikationsdaten (von wo wird eine Verbindung aufgebaut, nach wohin -> sollte nicht gespeichert werden)
- Inhaltsdaten (sind verschlüsselt)
- Firewall logs (sollten nicht geloggt werden)
Welche Datenverarbeitende Systeme (insbesondere Dienste) müssen geschützt werden?
- OS
- SSH
- tor.service
Auf welcher Plattform (Hardware/Virtualisierungslösung/Clouddienst) läuft das System? In welchen Räumen stehen diese? Wer hat Zugang zu diesen Räumen?
- vServer in einem Rechenzentrum
- Zugang sollte niemand haben
Welche externe Komponenten gibt es, von denen das System abhängt (z.B. Internetzugang, DNS-Server, Repository der Distribution ...)
- Internetzugang
- Repository der Distribution
Schutzbedarf
(vereinfachte Schutzbedarfsfeststellung)
Geben Sie für jedes der Schadenszenarien an, welche Schutzbedarfskategorie (Normal/Hoch/Sehr Hoch) sie ihr zuordnen würden. Begründen Sie die Entscheidung jeweils in 1-2 Sätzen.
Beeinträchtigung der persönlichen Unversehrtheit:
- Vertraulichkeit der Annonymität muss gewährleistet sein, sowohl für Admin als auch Endnutzer --> sehr hoch, da Menschen dem Tor-Netzwerk vertrauen und für sichere Kommunikation angewiesen sind. Menschen können dauerhaft geschädigt werden, wenn ihre Privatsphäre geleakt wird.
Verstöße gegen Gesetze, Vorschriften oder Verträge:
- Admin: je nach Auffassung eines Landes kann das Betreiben eines Tor-Knotens nicht legal sein, weshalb es einen sehr hohen Schutzbedarf gibt!
- Endnutzer: Benutzen eines Tor-Knotens kann abhängig der Auffassung eines Landes nicht legal sein
Beeinträchtigungen des informationellen Selbstbestimmungsrechts:
- sehr hoch, da Menschen dem Tor-Netzwerk vertrauen und für sichere Kommunikation angewiesen sind. Menschen können dauerhaft geschädigt werden, wenn ihre Privatsphäre geleakt wird.
Beeinträchtigung des Aufgabenerfüllung:
- Hardwareausfall
- Strom/Internetausfall
- Fehlkonfiguration
- Angriff (Schadsoftware/Hacking)
Recovery Time Objective? Recovery Point Objective?
--> mittel, da Ausfall eines Relays nicht existenziell bedrohend für das Netzwerk ist.
Negative Innen- oder Außenwirkung:
- mittel, da Ausfall eines Relays nicht existenziell bedrohend für das Netzwerk ist.
Finanzielle Außwirkungen:
- mittel - durch Rechtsverstöße kann sehr hoch werden.
Schutzbedarfskategorie nach Maximumsprinzip: sehr hoch
Risikoanalyse
Ist eine Riskoanalyse erforderlich? ja Wenn ja, erstellen Sie eine Gefährdungsübersicht:
a) Vor welchen der 47 elementaren Gefahren ist ein besonderer Schutz nötig? b) Welche weiteren Gefährdungen fallen ihnen ein? c) Schätzen Sie für jede Gefährdung Häufigkeit und Auswirkung ein. Bewerten Sie das Risko. d) Wenn (später) eine geeignete Maßnahme zur Behandlung gefunden wurde, notieren sie diese.
Nr | Gefährdung | Häufigkeit | Auswirkung | Risiko | Behandlung |
---|---|---|---|---|---|
1 | Ausfall/Störung von Kommunikationsnetzen | selten | beträchtlich | mittel | Akzeptieren |
2 | Ausfall/Störung von Dienstleistern | selten | beträchtlich | mittel | Akzeptieren |
3 | Ausspähen von Informationen(Spionage) | mittel | existenzbedrohend | hoch | Reduzieren --> Server härten |
4 | Abhören | mittel | existenzbedrohend | hoch | Reduzieren --> Server härten |
5 | Naturkatastrophen | selten | begrenzt | gering | Akzeptieren |
6 | Offenlegung schützenswerter Informationen | mittel | beträchtlich | hoch | Reduzieren --> Server härten |
7 | Manipulation von Software | mittel | beträchtlich | mittel | Akzeptieren --> Paketquellen vertrauen |
8 | unbefugtes Eindringen in IT-Systeme | häufig | beträchtlich | hoch | Reduzieren --> iptables ausgehende Verbindungen von Port 22 blockieren |
9 | Fehlerhafte Administration von Geräten und Systemen | mittel | beträchtlich | hoch | Reduktion --> strukturiert und konzentriert an Server arbeiten |
Risikobehandlung und Maßnahmen
a) Listen Sie geplante Maßnahmen (technisch und organisatorisch) zur Behandlung der Risiken. b) Wenn eine Maßnahme zur Vermeidung oder Reduktion einer Gefährdung aus der Risikoanalyse dient, vermerken Sie die Nummer der Maßnahme in der Tabelle der Gefährdungen in der Spalte "Behandlung". c) Setzen Sie die geplanten Maßnahmen um. Vermerken Sie, wenn sie erledigt wurden.
Nr | Maßnahme | erledigt |
---|---|---|
1 | root-Zugriff disablen, Nutzer anlegen | ja, erledigt |
2 | Anmeldung nur via SSH-Schlüssel | ja |
3 | Installation von fail2ban | ja + getestet |
4 | Firewall-Konfiguration: Regel, damit Server keine Verbindung über Port 22 nach außen herstellen kann. Soll zum einen geloggt und dann gedroppt werden. iptables -A OUTPUT -p tcp -m tcp --dport 22 -j LOG iptables -A OUTPUT -p tcp -m tcp --dport 22 -j DROP | ja |
5 | nicht benötigte Services entfernen | nein, da unklar, welche Services bei einem minimalen Nixos entfernt werden können |