Netzwerk Sicherheit und Protokolldaten Handhabung
Eine übliche Frage die wir hören ist was Sicherheitsleute tun um die Nutzer zu schützen? Wir tun unser bestes, um die Frage zu beantworten. Dies ist keine vollständige Liste aller Prozedere aber eine kleine Übersicht für die technisch Interessierten unter euch.
Zuerst einmal wollen wir betonen dass IRC kein sicheres Medium ist aber es gibt Maßnahmen die jeder Nutzer vornehmen sollte um seine Sicherheit auf Clientseite zu erhöhen. Ausführliche Informationen und persönliche Hilfe ist auf unserem Netzwerk in den Anonymitäts-relevanten Kanälen verfügbar.
Client Verbindungen
SSL Verbindungen sind auf all unseren Servern in diesem Netzwerk verfügbar inclusive voller SSL Verschlüsselung über unserem Webchat. Nutzt Port 6697 in eurem Clienten um mit SSL Verschlüsselung zu verbinden. Es ist wahr dass bei JEDER Verbindung zu einem Server im Internet, die zu verbindende IP sichtbar ist wenn man weiß wo man suchen soll. Alle IPs die sich auf unserem Netzwerk befinden werden Codiert und können nicht von anderen Nutzern eingesehen werden. Dies wird automatisch durchgeführt über ein Maskierungs-Modul das grundsätzlich einen zufällig generierten Schlüssel und ein Algorythmus verwendet um eure IP unkenntlich zu machen. Die Schlüssel rotieren regelmäßig. Ebenfalls können alle registrierten Nicks die NickServ Kill Funktion verwenden um Nachahmer vorzubeugen.
Protokolldaten Handhabung
Kurz Erklärt: keine Protokolle die möglichkeit zur Identifizierung bieten werden behalten. Dies schliesst IRCd Protokolle, Dienstprotokolle, BOPM Scan Protokolle, Versionsangaben oder irgendwelche Systemprotokolle die irgendeinen Benutzer durch das normale Chatten Identifizieren könnten ein.
Inspircd wird ein startup.log erstellen sogar wenn man bestimmt nichts zu Loggen. Dies wird an /dev/null geschickt also niemals auf Festplatte geschrieben... BOPM erstellt keine Scan Protokolle und auch der BOPM.log wird ebenfalls zu /dev/null gesendet sogar hartnäckige Verbindungen die vom BOPM Scanner entdeckt wurden, jedoch keine aktuellen Nutzer. Dienste erstellen ein Protokoll mit dem Datum als Teil der Erweiterung, die es erschweren Verweise auf /dev/null zu machen. Diese Daten werdem mit dem shred Kommando vernichtet. Das Shreddern wird automatisch alle 180 Sekunden vorgenommen. Die Daten werden überschrieben mit irgendwelchen Sachen wie Zeit und dann überschrieben mit Nullen (0). Dies macht es sehr schwer wenn nicht sogar Unmöglich für jemanden irgendwelche Daten von Nutzern unseres Servers wiederherzustellen.
Sicherheits Maßnahmen
Bei uns läuft die aktuellste Version von Inspircd und Anope die verfügbar ist um sicher zu gehen dass wir nicht für irgendwelche Bugs die gefunden wurden angreifbar sind. Wir schauen Täglich nach Berichten von möglichen Fehlern und wenn einer entdeckt wurde ergreifen wir entsprechende Maßnahmen. Als Ergänzung ist unsere Systemsoftware ständig auf dem laufenden entweder von einem Paketmanager, oder wenn die Versionen im Software Verzeichnis veraltet sind, bedienen wir uns der Quelle. Verzeichnisse sind oft veraltet deswegen suchen wir meist selbst nach dem aktuellsten Programmcode.
Wie ihr euch sicher Vorstellen könnt sind Bugs die nicht Gemeldet oder Korrigiert wurden nicht existent sind. Wir treffen erweiterte Maßnahmen um sicherzugehen dass Beeinflussung von solchen Vorkommnissen minimiert werden. Deswegen nutzen wir verschiedene Systemwächter wie z.B. Tripwire, Logwatch, und Network IPS um ein paar zu nennen. Unsere IRCds laufen als unprivilegierter Nutzer und unserer Dienstprogramm als ein extra Nutzer vom IRCd; wird eins Gefährdet, ist das andere Sicher. Als weitere Maßnahme werden IPtabellen benutzt als Eingrenzung, für eingehenden und ausgehenden Netzwerk Zugang und zu den Hubs und Subhubs, um sicher zu stellen dass nur authorisierte Fachleute Daten zu unserem Kernnetzwerk senden und empfangen können.
Wobei es möglich ist dass unsere SSH Programme auf verschiedenen IPs laufen die niemals öffentlich sein werden. SSH Zugang ist nötig dass wir unsere Server verwalten können. Wir versichern dass sie gutmöglichst Verschlossen sind. Wir ERLAUBEN KEINE Passwort Authentifizierung in unserem Netzwerk; es ist spezielle Schlüsselauthentifizierung. Root Zugang ist nicht über SSH erlaubt. Wir lassen nur aktuelle Openssh Server laufen mit den aktuellsten Openssl Verzeichnis, kombiniert von den stets aktuellsten Quellen.
Unser Sicherheits-System Verfahren wird täglich Getestet (nicht nur von uns). Wir haben das Recht unsere Server zu verteidigen. Solltet ihr versuchen zu DoS/DDoS, Nmap/Portscan, langweilige Exploits, Bruteforce auf den SSH, Bruteforce auf unsere Operator Passwörter durchzuführen, werdet ihr SICHER von unserem IPS/Verteidugungs System Protokolliert.
