apple/Projekt.md

Projektarbeit

Kurze Beschreibung

• Tor relay aufsetzen
• Monitoring und Backups, config wegspeichern
• Server härten

Schutzziele

• Verfügbarkeit: mittel (Ausfall von 3 Tagen akzeptabel, da es viele andere Relays gibt).
• Vertraulichkeit: sehr hoch, da Menschenleben, bzw. die Privatsphäre von Menschen davon abhängt.
• Integrität: sehr hoch, da Daten nicht manipuliert werden dürfen. Ist voraussetzung für Vertraulichkeit.

Systemarchitektur:

flowchart TB
  SSH --> Software[Betriebssystem] --> Hardware
  Tor  --> Software[Betriebssystem]
  Grafana --> Software[Betriebssystem]
  Prometheus --> Software[Betriebssystem]
  restic --> Software[Betriebssystem]

Nutzergruppen

Admin

Anforderungen:

• geringer Administrationsaufwand (2 > h/Monat)
• brauchbares Monitoring

Schutzbedarf:

• sehr hoch -> maximal benötigter Bedarf der anderen Nutzer (Menschenleben können davon abhängen)

Nötige Berechtigungen

• volle Privilegien ("alle" -> nein)
• remote administration über ssh-key + vpn
• root disablen und Nutzer mit weniger Privilegien erstellen

Endbenutzer

Anforderungen:

• schnelles, sicheres und funktionierendes Relay

Schutzbedarf:

• sehr hoch, da sichere Kommunikation und Informationsbeschaffung davon abhängt

Nötige Berechtigungen:

• keine Privilegien

Zielobjekte für Schutzbedarf

Aus welchen Zielobjekten besteht das System?

Welche Daten werden verarbeitet?

• Systemkonfiguration
• Netzwerkeinstellungen
• Kommunikationsdaten (von wo wird eine Verbindung aufgebaut, nach wohin -> sollte nicht gespeichert werden)
• Inhaltsdaten (sind verschlüsselt)
• Firewall logs (sollten nicht geloggt werden)

Welche Datenverarbeitende Systeme (insbesondere Dienste) müssen geschützt werden?

• OS
• SSH
• tor.service

Auf welcher Plattform (Hardware/Virtualisierungslösung/Clouddienst) läuft das System? In welchen Räumen stehen diese? Wer hat Zugang zu diesen Räumen?

• vServer in einem Rechenzentrum
• Zugang sollte niemand haben

Welche externe Komponenten gibt es, von denen das System abhängt (z.B. Internetzugang, DNS-Server, Repository der Distribution ...)

• Internetzugang
• Repository der Distribution

Schutzbedarf

(vereinfachte Schutzbedarfsfeststellung)

Geben Sie für jedes der Schadenszenarien an, welche Schutzbedarfskategorie (Normal/Hoch/Sehr Hoch) sie ihr zuordnen würden. Begründen Sie die Entscheidung jeweils in 1-2 Sätzen.

Beeinträchtigung der persönlichen Unversehrtheit:

• Vertraulichkeit der Annonymität muss gewährleistet sein, sowohl für Admin als auch Endnutzer --> sehr hoch, da Menschen dem Tor-Netzwerk vertrauen und für sichere Kommunikation angewiesen sind. Menschen können dauerhaft geschädigt werden, wenn ihre Privatsphäre geleakt wird.

Verstöße gegen Gesetze, Vorschriften oder Verträge:

• Admin: je nach Auffassung eines Landes kann das Betreiben eines Tor-Knotens nicht legal sein, weshalb es einen sehr hohen Schutzbedarf gibt!
• Endnutzer: Benutzen eines Tor-Knotens kann abhängig der Auffassung eines Landes nicht legal sein

Beeinträchtigungen des informationellen Selbstbestimmungsrechts:

• sehr hoch, da Menschen dem Tor-Netzwerk vertrauen und für sichere Kommunikation angewiesen sind. Menschen können dauerhaft geschädigt werden, wenn ihre Privatsphäre geleakt wird.

Beeinträchtigung des Aufgabenerfüllung:

• Hardwareausfall
• Strom/Internetausfall
• Fehlkonfiguration
• Angriff (Schadsoftware/Hacking)

Recovery Time Objective? Recovery Point Objective?

--> mittel, da Ausfall eines Relays nicht existenziell bedrohend für das Netzwerk ist.

Negative Innen- oder Außenwirkung:

• mittel, da Ausfall eines Relays nicht existenziell bedrohend für das Netzwerk ist.

Finanzielle Außwirkungen:

• mittel - durch Rechtsverstöße kann sehr hoch werden.

Schutzbedarfskategorie nach Maximumsprinzip: sehr hoch

Risikoanalyse

Ist eine Riskoanalyse erforderlich? ja Wenn ja, erstellen Sie eine Gefährdungsübersicht:

a) Vor welchen der 47 elementaren Gefahren ist ein besonderer Schutz nötig? b) Welche weiteren Gefährdungen fallen ihnen ein? c) Schätzen Sie für jede Gefährdung Häufigkeit und Auswirkung ein. Bewerten Sie das Risko. d) Wenn (später) eine geeignete Maßnahme zur Behandlung gefunden wurde, notieren sie diese.

Nr	Gefährdung	Häufigkeit	Auswirkung	Risiko	Behandlung
1	Ausfall/Störung von Kommunikationsnetzen	selten	beträchtlich	mittel	Akzeptieren
2	Ausfall/Störung von Dienstleistern	selten	beträchtlich	mittel	Akzeptieren
3	Ausspähen von Informationen(Spionage)	mittel	existenzbedrohend	hoch	Reduzieren --> Server härten
4	Abhören	mittel	existenzbedrohend	hoch	Reduzieren --> Server härten
5	Naturkatastrophen	selten	begrenzt	gering	Akzeptieren
6	Offenlegung schützenswerter Informationen	mittel	beträchtlich	hoch	Reduzieren --> Server härten
7	Manipulation von Software	mittel	beträchtlich	mittel	Akzeptieren --> Paketquellen vertrauen
8	unbefugtes Eindringen in IT-Systeme	häufig	beträchtlich	hoch	Reduzieren --> iptables ausgehende Verbindungen von Port 22 blockieren
9	Fehlerhafte Administration von Geräten und Systemen	mittel	beträchtlich	hoch	Reduktion --> strukturiert und konzentriert an Server arbeiten

Risikobehandlung und Maßnahmen

a) Listen Sie geplante Maßnahmen (technisch und organisatorisch) zur Behandlung der Risiken. b) Wenn eine Maßnahme zur Vermeidung oder Reduktion einer Gefährdung aus der Risikoanalyse dient, vermerken Sie die Nummer der Maßnahme in der Tabelle der Gefährdungen in der Spalte "Behandlung". c) Setzen Sie die geplanten Maßnahmen um. Vermerken Sie, wenn sie erledigt wurden.

Nr	Maßnahme	erledigt
1	root-Zugriff disablen, Nutzer anlegen	ja, erledigt
2	Anmeldung nur via SSH-Schlüssel	ja
3	Installation von fail2ban	ja + getestet
4	Firewall-Konfiguration: Regel, damit Server keine Verbindung über Port 22 nach außen herstellen kann. Soll zum einen geloggt und dann gedroppt werden. iptables -A OUTPUT -p tcp -m tcp --dport 22 -j LOG iptables -A OUTPUT -p tcp -m tcp --dport 22 -j DROP	ja
5	nicht benötigte Services entfernen	nein, da unklar, welche Services bei einem minimalen Nixos entfernt werden können