LANs & WANs - Sicherheit

Der Punkt "Sicherheit" ist in Unternehmensnetzwerken immer ein heikler Punkt, da es prinzipiell unmöglich ist, ein Netzwerk hundertprozentig abzusichern. Wenn man dies denn dann doch machen würde, braucht man zum Beispiel schon gar nicht über einen von allen Plätzen nutzbaren Internet-Zugang nachdenken, da hier die besten Einbruchsmöglichkeiten geschaffen werden. Genauso bräuchte man an den einzelnen Arbeitsstationen kein Disketten- bzw. CD-ROM-Laufwerk, um das einspielen von eventuell gefährlichen Programmen, bzw. den "Datenklau" zu verhinden. Das wäre die einzige Möglichkeit, ein Netz bzw. PC wirklich sicher zu machen, aber diese Einschränkungen sind wohl doch etwas zu umfassend, als nun wirklich notwendig.

Das Betriebssystem

Die Wahl des Betriebssystems ist ein Grundbaustein, wie sicher ein Netz bzw. PC denn überhaupt werden kann. Als Betriebssysteme mit eingebauter Sicherheit kommen somit nur MicroSoft Windows NT 4.0, Windows 2000 oder Linux in Frage. Da es für Linux zur Zeit leider kaum Anwendungen für den Unternehmensbereich gibt, möchte ich es an dieser Stelle für den Einsatz auf den Arbeitsplatzrechnern ausklammern, jedoch bei der Verwendung als Server-Betriebssystem ist es eine echte Alternative zu den MicroSoft-Produkten.
Windows NT 4.0 und Windows 2000 zeichnen sich zum einen durch die Vergabemöglichkeit von Benutzergruppen und Benutzerkonten , zum anderen von Gruppenrechten und Benutzerrechten aus. Jedem Benutzer eines solchen Systems wird ein Benutzerkonto mit eigenem Benutzernamen und Passwort zugewiesen. Somit ist der Zugriff auf den PC selbst schon einmal eingeschränkt. Jedem Benutzer können dann individuell Rechte zugewiesen werden, auf welche Dateien er zum Beispiel zugreifen darf, in welche Verzeichnisse er schreiben darf und welche Systemeinstellungen er verändern darf. Somit kann man einen Benutzer auf einfache Weise davon abhalten, Dateien mit Inhalten zu lesen, die nicht für seine Augen bestimmt sind, oder auch Programme zu installieren, die dann eventuell Sicherheitslücken mitbringen oder gar Viren enthalten. Hat man nun mehr als nur einige wenige Benutzer zu verwalten, kann man den Benutzern individuell Benutzergruppen zuorden und die Rechte an die entsprechende Benutzergruppe binden, die sich dann auch wieder durch Benutzerrechte erweitern lassen. So bekommt man eine sehr genaue Dosierung der Möglichkeiten des einzelnen Benutzers und es lassen sich "Datenklau" und unerwünschte Programme auf dem PC einfach verhindern.

Die Software

Welcher Benutzer benötigt welche Software ? Wenn diese Frage geklärt ist, ist der Rest ein Kinderspiel: Da die Programme ja nur Dateien auf dem Datenträger sind, kann über die Zugriffsrechte auf die Programmdatei kontrolliert werden, wer dieses Programm ausführen darf. Somit kann zum Beispiel der "normale" Arbeiter, der sich seinen PC mit dem Buchhalter teilen muß, weder auf die Daten, noch auf das Programm zugreifen, die exklusive dem Buchhalter vorbehalten sein sollten.

Das Internet

Wenn Sie sich das Tor zur "weiten Welt" öffnen, öffnen Sie natürlich auch der "weiten Welt" das Tor zu Ihren privaten Daten. Um nun aber das Internet nutzen zu können, ohne dabei gleich auf dem Präsentierteller zu sitzen, gibt es einige Programme und Möglichkeiten, Angriffe von außen abzuwehren, die vor allem mit Linux kostengünstig zu realisieren sind:

Firewalls

Eine Firewall ist ein Rechner, der den TCP/IP-Verkehr überwacht und gegebenenfalls nicht erwünschte Daten ausfiltert. Dies klingt banal einfach, ist aber manchmal komplizierter als man glauben möchte. Das TCP/IP-Protokoll ist das Übtertragungsprotokoll im Internet. Alle Dienste im Internet nutzen es, jedoch verbergen sich diese Dienste hinter verschiedenen Ports, an die die jeweilige Anfrage dann gestellt wird. So benutzt zum Beispiel ein HTTP-Server (WebServer) den Port 80, während ein FTP-Server den Port 21 benutzt. Eine Firewall schaut sich nun jedes TCP/IP-Datenpaket an und überprüft, an welchen Port das Paket geschickt wird, bzw. von welchem Port es stammt. Das TCP/IP-Paket kann dabei sowohl eine Anfrage an den lokalen Rechner als auch eine Antwort auf eine zuvor vom lokalen Rechner gesendete Anfrage sein. Es gibt eine ganze Reihe von Anwendungen, die auf diese Art und Weise kommunizeren, einige sind harmlos, andere sind gefährlich, zum Beispiel das "Ofrice Hacking Tool", das eine "Fernsteuerung" des heimischen PCs durch das Internet gestattet. Um solche Angriffe zu vermeiden, schaltet man nun einen als Firewall konfigurierten Rechner zwischen die InterNet-Verbindung und den lokalen PC bzw. das IntraNet und gibt nur die benötigten Ports für den Datenverkehr frei. Eine solche Firewall bezeichnet man als "circuit-level-Firewall".
Es gibt dann auch noch die "application-level-Firewall", die nicht die Ports kontrolliert, sondern den Inhalt selber. Es wird zum Beispiel nachgesehen, ob das Datenpaket gefährlichen Inhalt mitbring oder nur ganz normale Daten.

IP-Masquerading

Das IP-Masquerading wird benutzt, um das gesammte IntraNet hinter einer IP-Adresse zu verstecken. Dabei gehen alle Informationen über den Aufbau (IP-Adressen, etc.) des IntraNets verloren und somit ist ein Angriff auf die einzelnen PCs im Netz unmöglich, da nicht ersichtlich ist aus wievielen PCs das IntraNet besteht und welche IP-Adressen verwendet werden. Somit braucht nur der Rechner der das Masqueradung durchführt geschützt zu werden, dabei handelt es sich jedoch auch normalerweise um den Rechner, der auch die Firewall darstellt.

Proxy

Ein Proxy nimmt die Anfragen, die an das InterNet gestellt werden auf einem anderen Port entgegen, und leitet sie dann seinerseits auf dem "normalen" Port an das InterNet. Dieser Mechanismus hat den Vorteil, das man den gesammten Datenverkehr einfach mitprotokollieren kann, und das Programme, die zum Beispiel den gesammten Inhalt der Festplatte im InterNet präsent machen könnten, sich nicht so einfach mit dem InterNet verbinden könnten, da man Ihnen erst mitteilen muß, auf welchem Port der Proxy überhaupt die Anfragen akzeptiert. Der einzige Nachteil ist bei Verwendung eines langsamen PCs als Proxy, daß die Datenübertragungsrate stark absinkt. Das sollte jedoch bei der heutigen Leistung der PCs und den niedrigen Preisen kein nennenswertes Problem darstellen. Der Proxy würde dann ebenfalls auf dem PC laufen, der auch die Firewall stellt.

Protokolle und Bindungen

Wenn man direkt über ein Modem oder eine ISDN-Karte eine Verbindung ins Internet aufbaut, sollte man darauf achten, daß nur das TCP/IP-Protokoll an das Modem bzw. die ISDN-Karte gebunden sind, da ansonsten dem Zugriff auf die Dateien Tür und Tor geöffnet sind. Wenn man sich mit seinem PC in einem Netzwerk befindet, sollte man auch alle Freigaben beenden, um möglichst wenig Angriffsfläche zu bieten. Diese Einstellungen kann man unter "Netzwerk" in der "Systemsteuerung" überprüfen und gegebenenfalls ändern.

Was zu tun bleibt

Einige Sachen lassen sich durch die genannten Sicherheitsmaßnahmen nicht in den Griff bekommen, so zum Beispiel Viren und Würmer. Es sollte immer gelten:
Nehmen Sie nur Dateien aus gesicherten Quellen an, laden sie niemals von irgendwelchen unbekannten WebSeiten Dateien herunter, sie könnten Viren enthalten. Das gleiche gilt für eMails mit Anhang. Fragen Sie lieber zurück, bevor Sie einen Anhang leichtsinnig öffnen. Dies ist seit "I-love-you" wohl jedem klar geworden.
Machen Sie regelmäßig Sicherheitskopien von Ihren Daten und verwahren Sie diese an einem sicheren Ort, so kann man auch Plattencrash, Diebstahl, Feuer, etc. vorbeugen.
Außerdem sollte man sich generell überlegen, ob man nicht vielleicht doch besser JavaScript und Cookies deaktiviert und sie nur aktiviert, wenn's denn dann unbedingt sein muß, weil man mit diesen Sachen mehr machen kann, als nur nette animierte Web-Seiten und eMails erstellen kann, bzw Shop-Systeme betreiben kann. Mit JavaScript kann man zum Beispiel Dateien vom PC senden, ohne das der Benutzer was merkt, mit einem Cookie kann man Benutzerprofile der besuchten Web-Seiten erstellen, da nützt auch keine Firewall oder Proxy-Server etwas. Somit sollte man sich die Verwendung dieser Optionen dreimal überlegen, bevor es zu spät ist.

Stand