silvesterlangen.de

Seite
Menü

Das Konzept Firewall

Vielen verstehen unter einer Firewall eine Software, die lokal auf dem PC installiert ist und bedenkliche Verbindungen von und zum Internet verhindern. Oder der Router, der ebenfalls Verbindung blockiert, die problematisch sind. Dabei ist Firewalling mehr als nur eine Software.

 

Die Einstufung/Gefährdungsanalyse

Bevor man ein Firewallkonzept entwirft, muss man sich zunächst im Klaren sein welche Art Daten man hat und wie sie einzustufen sind. Wir sind uns sicherlich einig, dass eine Sammlung belangloser Screenshots aus diversen Computerspielen eines Jugendlichen anders zu bewerten sind als Daten von einem Unternehmen, welches Krankendaten ihrer Patienten/Kunden hat.

Hier mal eine Zusammenfassung eines Firewallkonzepts. Lange Erklärungen und ermüdende Texte habe ich weggelassen und nur das wesentliche dargestellt.

 

Zugangskontrolle

Der Zugang sollte kontrolliert sein, um eine Übersicht zu haben wer als möglicher Angreifer in Frage kommt. Das gilt vom Betreten des Betriebsgeländes bis hin zum öffnen des Serverracks.

Gebäude
Das Gebäude ist nicht für jeden betretbar. Zugang hat man nur als Mitarbeiter sofern sich der Arbeitsplatz im Gebäude befindet. Ist man zwar betriebsangehörig, aber gehört nicht in das Gebäude, so muss jeder Besuch angekündigt und protokolliert werden.

Serverraum
Der Serverraum ist nur von dem Personal betretbar, welches auch in diesem Raum arbeitet bzw. berechtigt ist diesen Raum zu betreten. Ein Mitarbeiter aus der Metallabteilung wird kaum Zutritt zum Serverraum haben müssen, um seine Arbeit zu erledigen. Ein Administrator hingegen schon.

Rack
Wie der Serverraum, so sollte auch das Rack zugriffgeschützt sein. Offene Racks bieten Angriffsfläche. Sei es ein böswilliger Zugiff oder ein simpler Irrtum.

Externe Mitarbeiter
Sei es für Arbeiten am Server selbst oder nur der Elektriker oder Klimatechniker. Jeder Zugang zum Serverraum muss protokolliert und überwacht werden.

Zugriff für externe IT-Dienstleister, die für irgendwelche Zwecke bestellt wurden, erhalten nur so viel Zugriff auf die Systeme und Netzwerke, wie absolut notwendig. Admin-Zugriff auch wirklich nur, dann wenn es nötig ist. Zugang zu anderen Netzwerken nur dann, wenn es im Rahmen der Tätigkeit ist. So viel wie nötig, so wenig wie möglich!

 

Zugriffsgeschützte Systeme

Der Zugriff auf das System muss in jedem Fall geschützt sein. Das gilt für physischen sowie auch virtuellen Zugriff. Je restriktiver, desto besser.

Physischer Zugriff
Damit ist gemeint, dass sich niemand einfach vor den Server stellen kann, um direkt vor Ort Eingaben im System zu machen. Es sollte weder Tastatur noch Montior einfach so zugriffsbereit sein. Auch darf es nicht möglich sein das Gerät einfach so ein- oder auszuschalten oder Peripherie ein- bzw. auszustecken.

Remote Zugriff
Wie der physische Zugriff muss auch der Zugriff per Remote Console wie bspw. SSH geschützt sein. So ist ein direkter Login als Root ebensowenig möglich wie ein Login per Passwort. Ein zertifikatsbasierter Login macht schon mehr Sinn. Wenn sich der Zugriff dann noch auf wenige Clients beschränken lässt durch Verwendung der MAC- und IP-Adresse, ist der Zugriff erheblich schwieriger.

Nicht einfach so bootbar
Hat ein Angreifer erst mal geschafft vor dem Server zu stehen, kommt aber so nicht in das System, so wird gerne versucht den Server zu rebooten und über den Bootloader an das System zu kommen. Zur Not auch per Bootmedium. Ist der Server aber nicht bootbar, weil er kein anderes Bootmedium zulässt, so hilft auch der USB-Stick nichts. Darüber hinaus sollte der Bootloader Passwortgeschützt sein, um zu vermeiden, dass man mittels Bootloader-Optionen direkt in die Shell booten kann.

Verschlüsselte Datenträger
Obendrein ist es eine Überlegung wert, ob die Festplatten nicht verschlüsselt werden. Der Vorteil liegt darin, dass dem Angreifer der Umbau der Festplatte in ein anderes System nichts bringt, da er davon nicht booten kann und auch sonst keine Zugriffsmöglichkeit hat solange er nicht das Passwort kennt. Stichwort: GELI

Der passwortgeschützt Bootloader ist dabei eine weitere Hürde.

 

Geschultes Personal

Umgang mit Speichermedien
Gutes Personal weiß, dass es nicht jeden USB-Stick einfach so in den USB-Port stecken sollte. Daten kommen am besten per Upload auf einen Server, der einen Virenscan durchführt und weitere Prüfungen der Daten vornimmt.

Nicht vertrauenswürdige Seiten/Inhalte/Anhänge erkennen
Es ist gut, wenn der Mitarbeiter - dazu zählen alle Mitarbeite r- böse Websites selbst erkennt und nicht gleich bei Emails mit Links und Anhängen auf alles klickt, was nicht bei 3 verschwunden ist. Die Mühe lohnt, wenn man den Mitarbeitern mittels Schulung eine gewissen Sensibilität vermittelt. Kaum ein Mitarbeiter gefährdet den Arbeitsplatz-PC bzw. das Netzwerk absichtlich.

Reagieren im Ernstfall
Damit ein Mitarbeiter reagieren kann, muss er erst mal wissen was zu einem "seltsamen Verhalten" gehört. Verschiedene Szenarien sollten dabei ruhig mal durchgespielt werden. Mitarbeiter sind in der Regel kooperativ und willens den Arbeits-PC fit zu halten.

Zugriffsbeschränkungen
Passwörter an den Workstations sind genauso wichtig wie bei Servern. Es kann auch eine Tokenauthentifizierung sein mit einem Kurzpasswort, dass der Benutzer nicht immer 12 Zeichen eingeben muss.

 

Mehrstufigkeit und Trennung

Vom unsicheren Netz kommend
Es ist nicht verkehrt, wenn man zwischen Internet und geschütztem Netzwerk zwei Router betreibt und diese von unterschiedlichen Herstellern sind. Zwischen den Routern befindet sich beispielsweise ein Proxy, sodass kein direkter Internetzugang über die Router möglich ist. Natürlich werden keine Portforwardings/NAT vom äußeren Router zum geschützten Netzwerk hergestellt. Am besten ganz Verbindungen von draußen nach drinnen vermeiden, wenn sie nicht von innen angefordert wurden.

Trennung von Servern
Sofern möglich sind Server voneinander zu trennen und in eigenen DMZ zu betreiben, wenn sie von außen erreichbar sein sollen. Sollten unbedingt Verbindungen von außen nach innen benötigt werden, dann ist ein Reverse-Proxy bzw. ein Edge-Server, der für diesen Zweck ausgelegt ist, zu verwenden.

Router
Bei der Wahl des Routers sollte ein Qualitätsgerät verwendet werden, welches für einen sicheren Betrieb bekannt ist. Ich rate ganz klar von Consumer-Geräten ab.

Proxy
Der Client-Zugang zum Internet muss nicht über ein Standartgateway laufen. Gerade in Zeiten von Windows 10 und Telemetriedaten, wo niemand so genau weiß was da eigentlich übertragen wird, sollte man besser mit einem Proxy arbeiten. Somit ist auch Schadprogrammen der Zugriff erschwert und die Verbreitung etwas beschränkt.

Reverse Proxy
Sollen Verbindungen von draußen nach drinnen hergestellt werden, bspw. die Bereitstellung einer Website, die auf einem Server liegt, der in der DMZ steht, so kann ein Reverse Proxy genutzt werden. Dieser nimmt die Anfragen der Clients von außen entgegen, kommuniziert mit dem gewünschten Webserver und gibt dann an die Clients die Antwort. Gebenüber dem Webserver ist der Proxy der Client und bekommt auch nur ihn zu sehen. Für die Clients außerhalb ist wiederum der Proxy der Ansprechpartner und es schaut so aus als wäre er der Webserver. Im Falle eines Angriffs wird nicht gleich der eigentliche Webserver angegriffen, sondern nur der Reverse-Proxy.

 

Eindringlinge erkennen und handeln

Itrusion Detection System
Das System erkennt unübliche Verhaltensmuster und meldet es direkt dem Administrator.

AppArmor/SELinux
Konfigurationsdateien und Kommandos werden gesperrt, sodass ohne weiteres keine Veränderungen vorgenommen werden können. Beispielsweise Veränderungen an der sshd_config oder Vergleichbares, um einfachen Zugang zum System zu ermöglichen.

« vorige Seite Seitenanfang nächste Seite »
Seite
Menü
Earned Certificates:
LPIC-1 LPIC-1 LPIC-1
Powered by CMSimple | Template by CMSimple | Login