Absicherung von Serversystemen

Die sechs wichtigsten Funktionen des HP-UX 11i

Die Absicherung von Serversystemen wir im angloamerikanischen Sprachgebrauch auch als Hardening bezeichnet. HP-UX 11i umfasst hierzu gleich mehrere dieser Funktionen, um das Betriebssystem gegen Angriffe zu sichern.

1. Bastille: Durch die Funktionen in Bastille erfolgt eine grundsätzliche Absicherung des Systems. Dazu gehört beispielweise das Abschalten nicht benötigter Dienste, das Sperren von Konfigurationen gegen Veränderungen oder die Konfiguration von IP-Filtern für die Kommunikation. Die Bedienung des Verwaltungstool wird durch die Bereitstellung von Assistenten vereinfacht. Die Sicherheitseinstellungen durch Bastille überstreichen die Sicherheitsbelange von Web-Servern, Applikations-Server und Datenbankmanagementsysteme gleichermaßen.

2. HIDS: Bei HIDS handelt es sich um ein Host Intrusion Detection System, dass Angriff auf das Serversystem verhindert. Dies passiert durch die Echtzeitüberwachung des Kommunikationsverhaltens. HIDS hilft damit einen Host-Server gegen Angriffe abzusichern.

3. Secure Resource Partitions (SRP): SRPs werden verwendet, um zusammengehörende Applikationen in einer abgeschlossenen und separierten Instanz des HP-UX zusammenzufassen. Durch diese Separierung einer definierten Gruppe von Applikationen sind diese gleichzeitig gegen Angriffe von außen besser geschützt. Korrespondierend dazu stehen die Security Containment Compartments. Sie bilden die Container, in denen die Applikationen und die Betriebssysteminstanz agieren. Die Verwaltung der SRP erfolgt durch den HP Process Resource Manager. Er ermöglicht eine zentrale Administration und die Separierung der Softwaremodule in die Compartments.

4. IPFilter: Beim IPFilter handelt es sich um eine Stateful Inspection Firewall des jeweiligen Systems. Dieses filtert den Datenverkehr von oder zu einem Serversystem. Der IPFilter liefert damit Funktionen, wie sie durch traditionelle Firewalls geboten werden. Aber im Gegensatz zu den bekannten Firewalls adressiert der IPFilter die Sicherheit eines Serversystems und nicht die Absicherung des Unternehmensnetzes gegen Angriffe von außen.

5. EVFS: Durch das EVFS (Encrypted Volume und File System) erfolgt die Verschlüsselung der Daten auf allen eingesetzten Datenträgern. Selbst wenn es einem Angreifer gelingen mag, Zugriff auf die Speichersysteme zu erhalten, so wird er mit deren Inhalt nichts anfangen können, da diese vor der Ablage auf die Speichersysteme automatisch durch die Dateisystem-Treiber des Betriebssystems verschlüsselt werden.