Client Security

Plug and Play ist nett weil alles ohne Mühe funktioniert aber Sicherheit und Zugriffschutz sind auch in kleinen und mittleren Netzwerken wichtig und erforderlich. Was sollten Sie dabei beachten:

Diese Seite beschreibt sehr kurz die verschiedenen Dinge, um die Sicherheit in ihrem Netzwerk zu erhöhen und Ausfälle und Angriffsflächen zu minimieren. Dies kann auf mehreren Ebenen geschehen und im Idealfall sind alle Schutzfunktionen sinnvoll kombiniert.

Beachte dazu auch Passwordsecurity

Netzwerkphysik (MAC)

Mal abgesehen von einem direkte Zugriff zu einem PC oder Server finden viele unerwünschte Zugriffe natürlich über das Netzwerk statt. Hier muss erst einmal das physikalische Netzwerk untersucht werden. Wenn ich mit meinem Notebook mich einfach an einen freien Port anschließen kann oder einen Mini-Hub in das Anschlusskabel eines anderen PCs oder Druckers einschleife, dann ist der Weg frei für interne Angriffe mit voller Brandbreite. Viele Firmen haben ja nur Angst vor Angriffen aus dem Internet. Das ist aber ein Irrtum.

Aber was kann ein Administrator hier tun ?. Es gibt mehrere Möglichkeiten:

  • aktive/inaktive Anschlüsse/Ports
  • MAC-Adressen Authentifizierung
  • 802.1x

Weitere Details finden Sie auf 802.1x

Sicherer Datentransfer

Sie glauben gar nicht, wie viele Nutzdaten komplett unverschlüsselt über das LAN übertragen werden. D.h. selbst wenn Sie den Zugriff auf das Medium kontrollieren, so sind ja nicht alle Mitarbeiter "gut" bzw. Trojaner und Viren können ohne Wissen des Mitarbeiters die Berechtigungen missbrauchen. Daher sollten Sie generell kontrollieren, welche Protokolle in ihrem Netzwerk genutzt werden und wie diese zu verschlüsseln sind, z.B.:

  • IPSec
    Seit Windows 2000 können Sie mittels IPSec die Kommunikation zwischen einzelnen Servern und Gruppen oder auch innerhalb des gesamten Netzwerks verschlüsseln und signieren. Der zusätzliche Ressourcenbedarf ist eher gering. IPSec ist aber nicht nur eine Verschlüsselung als solches, sondern erlaubt auch die Kontrolle bis auf Portebene und Subnetze. Sie können damit Netzwerke quasi von anderen Systemen abschotten. (Stichwort Domain Isolation)
  • WPA
    Gerade mit drahtlosen Netzwerken (WiFi) ist natürlich die Verschlüsselung von Daten (WEP, WPA, WPA2 etc.) eine essentielle Funktion, um unerwünschten Mithörern den Zugriff zu erschweren. Im Gegensatz zu kabelgebundenen Netzwerken sind hier fremde Stationen nicht so einfach zu erkennen und müssen sich nicht in den eigenen Räumlichkeiten befinden. Natürlich sollten Sie auch hier nicht vergessen, dass Sie das Endgerät authentifizieren müssen. Eine Verschlüsselung bringt nicht viel, wenn jeder den Schlüssel durch Plug and Play-Techniken einfach so erhält.
  • Nutzprotokolle sichern (SSL/TLS)
    Sehr viele andere andere Protokolle (HTTP, FTP, SNMP, TELNET, SMTP, POP3 etc.) werden im eigenen Netzwerk sehr sorgenfrei genutzt. Leider werden hierbei die Kennworte quasi in Klartext übertragen. Dabei ist es mit einer eigenen CA (siehe CA installieren) sehr einfach, zumindest intern alle Verbindungen per SSL abzusichern. Stellen Sie sich vor, Sie melden sich per TELNET auf ihrem Switch oder per POP3 oder OWA an ihrer Mailbox an und jemand liest das Kennwort einfach mit. Einfacher kann ein Angreifer nicht an ihr Kennwort kommen und Programme, die dies per Mausklick erlauben, sind im Internet verfügbar (z.B. Cain&Abel auf www.oxid.it)
    Denken Sie dabei auch die NTLM-Authentifizierung: Wenn sie keine alten Client mehr haben, sollten Sie die Übertragung unverschlüsselter Kennworte verbieten. Zusätzlich können Sie z.B. NTLM V2 erzwingen und die Signierung der Datenpakete verlangen. (Gruppenrichtlinien)
  • Segmentierung mit VLANs
    Neben Verschlüsselung und logischer Segmentierung ist natürlich auch eine Trennung der verschiedenen Netzwerke ein praktikabler Weg, um verschiedene Klassen von Clients voneinander zu separieren. Viele Lauschprogramme scheitern an Routern und verschiedene Subnetze sind eine Grundlage, um zwischen Netzwerken mit Filtern aktiv zu arbeiten. Dabei unterstützen VLANs auf Switches, um Subnetze entsprechend logisch zu trennen. In Verbindung mit 802.1x können sie oftmals sogar abhängig von der Anmeldung das System in ein passendes VLAN patchen.

Systemschutz

Die Sicherheit eines Gesamtsystems nicht nur vom Netzwerk abhängig. Auch die Server sollten Sie etwas genauer untersuchen, da Sie als permanent verfügbare Systeme natürlich auch erstes Ziel eines Angriffs sein werden.

  • Firewalls
    Wenn Sie schon Windows XP oder Windows 2003 nutzen, dann sollten Sie den Einsatz der vorhandenen Firewall erwägen, um das System besser gegen Angriffe zu schützen. Eine Firewall zum Internet sichert nur die externe Kommunikation aber nicht die sehr viel häufiger auftretenden absichtlichen oder unabsichtlichen Angriffe von innen.
  • Bindungen, Portfilter und IPSec
    Erst Windows XP und 2003 enthalten eine "Firewall". Aber selbst bei Windows 2000 können Sie IPSec nutzen, um Verbindungen auf Portebene zu kontrollieren. Auf Windows NT4 konnten Sie schon seit 1995 mit den IP-Portfiltern nur ausgewählte Verbindungen erlauben. Das ist zwar nicht elegant, aber wenn ihr Webserver zwei Netzwerkkarten hatte, dann könnte Sie so die Verbindung aus dem Internet auf Port 80 und 443 beschränken. Das geht sogar noch mit Windows 2003, wenn Sie die Firewall nicht verwenden wollen.
  • Dienstbindungen und Beschränkungen
    Beschränken Sie die Dienste auf ihrem Server auf das notwendige Minimum. Ein Webserver mit ASP muss nur dann installiert und aktiv sein, wenn er benötigt ist. Selbst dann kann und muss er mit IISLockD etc. gesichert werden. Viele Server haben auch sie "Simple TCP Dienste" installiert, die vermutlich niemand braucht. Aber auch erforderliche Dienste können besser gesichert werden. Wenn ein Webserver nur von bestimmten Subnetzen erreichbar sein muss, dann stellen Sie dies in den Beschränkungen ein. Auch der anonyme Zugriff auf einem SMTP-Server könnte nur für die Firewall erlaubt sein. Alle anderen Systeme sollten sich anmelden. So können Sie mit ganz wenig Aufwand viele Gefahren abwehren.
  • Dienstkonten und Berechtigungen
    Viele Schwächen eines Servers sind keine Probleme der Software, sondern der Menschen davor. Höchste Zeit, dass Sie hier für klare Verhältnisse Sorgen. (Siehe auch Adminkonzept). Entsprechend sollten Sie auch sicher stellen, dass Dienste mit jeweils eigenem Konto gestartet werden, so dass eine getrennte Steuerung der Berechtigung aber auch eine selektive Deaktivierung überhaupt erst möglich ist.
  • Monitoring und Checks
    Angriffe zeigen sich oft an vielen Anmeldeversuchen, Zugriffe auf gesperrte Dienste oder einfach Meldungen im Eventlog. Die Aktualität eines System lässt sich mit Tools wie MBSA, ExBPA etc. Prüfen. Das gilt auch für die Überwachung von Protokollen der Webserver auf Fehlerseiten. Dies kann ebenfalls automatisiert werden.

Desktop Absicherung

Oft sind es die kleinen Dinge, die ein Gesamtsystem schon sehr viel sicherer machen. Wenn Sie die Haustür einfach nur schließen, dann hilft das schon sehr viel. Wenn ein Einbrecher in ihrem Haus ist, dann kann er auch die Werkzeuge nutzen, die Sie selbst haben. Übertragen bedeutet dies:

  • Kennwort, Tokens
    Es ist unverantwortlich, wenn heute Zugänge ohne Kennwort genutzt werden. Eine Authentifizierung ist wichtig und erst wirkungsvoll, wenn das Kennwort auch komplex genug ist und geändert werden muss. Eine stärkere Authentifizierung ist mit Smartcards oder Einmaltokens möglich. Nach einigen Fehlversuchen sollte das Konto für bestimmte Zeit deaktiviert werden und eine Meldung erfolgen.
  • Bildschirmschoner mit Schutz, Cookies
    Wird ein Computer oder eine Anwendung eine bestimmte Zeit nicht mehr genutzt, d.h. der Anwender arbeitet nicht mehr aktiv, dann sollte die Verbindung entweder beendet oder zumindest gesperrt werden. Outlook Webzugriff 2003 meldet dazu einen Benutzer nach einigen Minuten Inaktivität ab und erfordert eine erneute Anmeldung. Ihr Windows Desktop kann nach einiger Zeit einen Bildschirmschoner mit Kennwortschutz aktivieren.
  • "Log on Local"-Steuerung
    Bei einer Standardinstallation kann ein Anwender, der Mitglied von "Domänen Benutzer" ist, sich auf jedem Computer anmelden, der Mitglied der Domäne oder anderen Domänen im Forest ist. Das muss nicht sein. Über das Recht "Log on Locally", entsprechenden Sicherheitsgruppen und Gruppenrichtlinien können Sie sehr einfach steuern, welche Mitarbeiter sich an welchen Computern anmelden können. Damit stellen Sie sicher, dass sich an den Adminworkstations, die vielleicht per 802.1x andere Systeme erreichen können, keine normalen Benutzer anmelden und umkehrt auch in der Personalabteilung sich nur die Anwender aus der Abteilung anmelden. Dies reduziert das Risiko bzw. die Chancen für böse Buben

Unterstützung durch Net at Work:
Die Umsetzung einer solchen Anmeldesteuerung geht mit Bordmitteln und ganz einfach, wird aber auf der MSXFAQ nicht beschrieben. Sprechen Sie uns einfach an,  wenn Sie hier Bedarf haben.

  • Ordnerumleitung
    Daten sind um so sicherer, je weniger ein Angreifer direkt darauf zugreifen kann. Ein Desktop mit Windows kann auch mit Linux oder BartPE gebootet und damit der Zugriff auf Dateien ausgehebelt werden. Nutzdaten sollten daher direkt auf dem Server gespeichert werden. Hierzu eignen sich z.B.: die Ordnerumleitungen von Windows, so dass "Eigene Dateien" und andere Daten nicht auf C:\Dokumente und Einstellungen\Benutzername" sondern auf einem Netzwerklaufwerk gespeichert werden.

Nutzdatensicherung

Zuletzt schauen wir uns natürlich noch mal die Daten selbst an. Die meisten Dokumente werden mehr oder minder ungeschützt auf Dateiservern, USB-Stick, CD-Roms und Backupbändern gespeichert

  • Zugriffsrechte
    Der erste Schritt ist natürlich die Steuerung der Zugriffe über Berechtigungen (Siehe Datenhaltung). Wenn die Daten auf dem Server liegen und es keine Lücken gibt, dann ist es sehr schwer, diese Daten unberechtigt zu erhalten. Natürlich sollten Sie auch eine Überwachung dieser Anmeldungen ins Auge fassen um den Versuch eines Missbrauchs zu erkennen.
  • EFS, PGPDisk, TrueCrypt
    Eine weitere Funktion ist die Verschlüsselung der Dateien durch das NTFS-Dateisystems oder Zusatzprogramme wie PGP-Disk oder das kostenfreie TrueCrypt. Ein Angreifer benötigt dann immer das entsprechende Zertifikat oder Kennwort um das Archiv zu öffnen. Das größere Problem hierbei ist aber die eingeschränkte Funktion, eben solche Daten gemeinsam mit mehreren Personen zu nutzen. Je nach Produkt sind auch die Datensicherung (Gesamtcontainer statt einzelner Dateien), und die Sicherheit des Kennworts als solches zu berücksichtigen.
REM Kommandozeile zum decodieren aller Dateien in einem Baum, wenn "versehentlich" 
REM die Daten beim Kopieren auf den Server verschlüsselt wurden.

cipher /d /s:\\server\share
  • Applikationskennworte
    Schon sehr lange können Sie z.B. auch in verschiedenen Anwendungen wie Word, Excel, Acrobat, Access etc. Kennworte auf Dokumente und Datenbanken setzen. Zumindest die neueren Versionen scheinen dabei auch sehr gut gegen Passwortattacken gesichert zu sein. Das Arbeiten wird aber damit auch immer umständlicher, besonders im Team.
  • S/Mime und PST-Kennwort
    Für Nachrichten in ihrem Postfach gilt, dass diese auf einem Exchange Server relativ sicher liegen. Nur wenn Sie diese auf ihrem lokalen PC als PST oder OST-Datei mitführen, muss diese Datei z.B.: mit einem Kennwort gesichert werden. Bei der Übertragung von Nachrichten zu anderen Empfängern sollten Sie sich natürlich Gedanken über Verschlüsselung machen. (Siehe auch Verschlüsseln und Signieren)

Soweit eine kurze Übersicht der verschiedenen Stellen, an denen Sie die Sicherheit aktiv steuern können.

Weitere Links