Weiter Zurück [Inhalt] Online Suche im Handbuch LITTLE-IDIOT NETWORKING

28.1 Grundlegende Fragen für die Erstellung einer security policy

Diese Liste ist die Grundlage, mögliche Sicherheitsprobleme erkennen und analysieren zu können. Es sind eine Reihe von Fragen gestellt, die möglichst gewissenhaft beantwortet werden sollten. In vielen Fällen dürfte das theoretische Wissen nicht ausreichen, um eine klare Anwort geben zu können. Hier helfen evtl. die RFC´s weiter. Im allgemeinen veröffentlichen alle Hersteller dort detaillierte Informationen über Protokolle und Dienste. Nach meinen Erfahrungen gibt es einige Security Firmen, die z.B. den Policy Maker einsetzen, wo man ein paar Formulare ausfüllt, und dieser dann vollautomatisch hunderte von Seiten Security Policy für ein Unternehmen generiert. Unternehmen, wie Siemens, die große Banken und Versicherungen ausstatten, berufen sich beim Thema Sicherheit bei IT Angeboten inzwischen auf die Empfehlungen von Microsoft, obwohl Siemens eine eigene CERT Abteilung besitzt. Juristisch kommt dies der völligen Ablehnung aller Verantwortungen für die Sicherheit des Netzwerkes gleich.

Das Grundschutzhandbuch des BSI

Die Anweisungen entsprechend dem Grundschutzhandbuch des BSI sollten unbedingt eingehalten werden. Sie enthalten wichtige Grundregeln, die sich hauptsächlich auf Sicherheitsmaßnahmen nicht technischer Art im Unternehmen beziehen. (http://www.bsi.bund.de) Sind diese Forderungen alle erfüllt ? Welche nicht ?

Der Fragenkatalog

Dieser Fragenkatalog ist so gefaßt, daß er nur als Anregung gedacht ist, bestimmten sicherheitsrelevanten Fragen einmal genauer nachzugehen und diese zu durchleuchten. Diese Fragen basieren auf konkreten Angriffen auf Systeme und berücksichtigen auch noch nicht entdeckten Fehlern in Systemen, die theoretisch jedoch durchaus bestehen. In der Sicherheits-Policy wird definiert, welche Sicherheitsanforderungen bestehen, wie diese umgesetzt werden können, und wie diese regelmäßig überprüft werden können. Hierbei muß jedes Unternehmen für sich selber festlegen, welche Sicherheitsansprüche bestehen, was zu schützen ist, und wie sichergestellt werden kann, daß nicht unbemerkt Informationen entwendet werden können, sowohl durch interne Mitarbeiter, als auch durch externe Angreifer.

Schematische Aufzeichnung des Informationsflusses im Unternehmen

Folgende Unterlagen sollten stets aktuell schriftlich verfügbar sein (evtl. auch handschriftlich).

  1. Kommunikationswege
  2. Gateways zu anderen Netzwerken
  3. Server
  4. Router, Switches, Firewalls
  5. Modems, ISDN-Karten in Arbeitsstationen
  6. Netzwerkdrucker
  7. Fax-Server
  8. Zeiterfassungssysteme
  9. Arbeitsstationen und Standorte
  10. Hardwareadressen und IP - Nummern
  11. Installierte Software und Versionsnummern und Patchlevel
  12. Aktivierte Protokolle und Dienste
  13. Interfaces zu anderen Diensten
  14. Verbindungswege
  15. Fernwartungszugänge zu Zeiterfassungssystemen, Telefonanlagen, Servern....

Analyse der Abhängigkeiten der Systeme untereinander

  1. Anayse der DNS - Abhängigkeiten
  2. Analyse der MAIL-DNS Abhängigkeiten
  3. Analyse von NDS/X.500/LDAP,ActiveDirectory....Services
  4. Double Reverse Lookups
  5. IDENTD Lookups
  6. Abhängigkeiten der Protokolle
  7. Mißbrauch von Interfaces zum Datentransport
  8. Abhängigkeiten der Dienste
  9. Abhängigkeiten der Authentifizierungsverfahren
  10. Abhängigkeiten der Backup-Systeme
  11. Abhängigkeiten anderer redundanter Systeme
  12. Analyse des Sicherheitssysteme untereinander
  13. Kontrolle der Abhängigkeiten
  14. Überprüfung der Abhängigkeiten der Systeme untereinander
  15. Konsequenzen bei Fehlbedienung
  16. Konsequenzen bei Ausfällen

Sicherheitsrelavante Informationen im Unternehmen

Zur Klärung, welche Daten einen Angreifer im Unternehmen evtl. interessieren können, ist es notwendig, festzustellen, auf welchen Servern wichtige Informationen gelagert sind, welche Arbeitsstationen auf diese Daten authorisierten Zugriff haben, und welche sich theoretisch Zugriff verschaffen könnten. Da es in einem Unternehmen viele Wege und Umwege gibt, um dann doch schließlich an die gewünschte Information zu gelangen, ist es notwendig, einem Angreifer so viele Schwierigkeiten, wie nur irgend möglich, zu bereiten.

Analyse der Netzwerk - Topologie

  1. Feststellung von collision domains
  2. Feststellung von geswitchten Netzwerkbereichen
  3. Feststellung von mit Routern abgesicherten Bereichen
  4. Feststellung von mit Firewalls gesicherten Netzwerken
  5. Feststellung von erreichbaren Netwerken
  6. Analyse der überwachten Bereiche

Überwachung und Absicherung der Server

Dieser Liste von Fragen gründen sich auf konkrete Erfahrungen in der täglichen Praxis und auf Einbruchsversuche aus dem Internet bzw. Intranet.

Überwachung der zugreifenden Clients

  1. Können unauthorisierte Zugriffe von Usern entdeckt werden ?
  2. Können ungewöhnliche Zugriffe auf Dienste erkannt werden ?
  3. Werden Übertragungsvolumina zwischen Server und Arbeitsstationen gezählt ? (accounting)
  4. Können diese eindeutig Hosts/Usern und Protokollen zugeordnet werden ?
  5. Wird protokolliert, ob und wann ein User auf welche Verzeichnisse/Dateien zugegriffen hat ?
  6. Sind User/Gruppen/File - Zugriffsrechte klar feststellbar ?
  7. Werden Portscans registriert und der Systemadministrator benachrichtigt ?
  8. Können Server untereinander kommunizieren ? Über welche Ports /Dienste ?

Sicherheit der Authentifizierungsmechanismen

  1. Sind die Paßworte so gewählt, daß ein dictionary attack erfolglos ist ?
  2. Wird dieses regelmäßig überprüft ?
  3. Sind gleiche Paßworte für unterschiedliche Protokolle im Einsatz ?
  4. Werden Paßworte verschlüsselt ? Wie wird das überprüft ?
  5. Ist ein replay attack möglich ? (Gültigkeit der Zufallszahl (challenge), Beispiel SMB) Wie wird das überprüft ?
  6. Werden Paßworte zentral verwaltet ?
  7. Wie sind die beteiligten Server abgesichert ?
  8. Ist bei Änderung des Paßwortes evtl. das alte Paßwort noch gültig (verzögertes Update in verteilten Umgebungen, Windows NT, NIS+, Kerberos)
  9. Wie erfolgt die Synchronisation der Paßworte in einer verteilten Umgebung, welche Protokolle werden benutzt ?
  10. Sind Directory Services (NDS, LDAP, NIS+, YP, ActiveDirectory) im Einsatz ?
  11. Wie sind diese DS abgesichert ?
  12. Welche Dienste benutzen welche Arten der Authentifizierung ?
  13. Werden Daten verschlüsselt übertragen ?
  14. Ist session hijacking möglich ? (SMB, TELNET, SMNP...)
  15. Sind buffer overflows möglich ?

Erkennen von Ereignissen

  1. Über welche Ereignisse wird der Systemadministrator informiert ?
  2. Wie wird der Systemadministrator / Vertreter informiert ?
  3. Existiert darüber eine Archiv-Datei ?
  4. Werden Ereignisse miteinander kombiniert und ausgewertet ?
  5. Kann der momentane Zustand des Systems ermittelt werden ? Netzwerkverbindungen, Logins, Prozesse, RAM-Verbrauch, offene Files.
  6. Ist Manipulation möglich ? (Veränderung der Binaries durch einen Angreifer ?)
  7. Können unberechtigte Leseversuche auf Dateien anderer User entdeckt werden ?
  8. Können interne Portscans entdeckt werden ?

Absicherung gegen Manipulationsversuche

  1. Können Logfiles von Hosts innerhalb des Netzwerkes verändert, ergänzt oder manipuliert werden (Zugriff auf den SYSLOGD).
  2. Kann die Aufzeichnung des Logservers durch DoS unterbrochen werden ?
  3. Exisitert eine redundante Überwachung ?
  4. Können Log-Dateien im Falle eines Einbruchs gelöscht werden ?
  5. Welche Kernel Security Level sind aktiviert ?
  6. Werden regelmäßig nichtlöschbare Backups von Logs erstellt ?
  7. Kann die Systemzeit von außen verändert werden ?
  8. Hat dies Auswirkungen auf die Auswertung der Logfiles ?
  9. Wie wird die Authentizität von Meldungen des Servers an den Systemadministrator gesichert ?
  10. Können Binaries verändert werden ? Wie wird dies überprüft ?
  11. Kann ein Systemadministrator seinem Nachfolger trojanische Pferde hinterlassen ?
  12. Welche Veränderungen auf dem Server können nicht bemerkt/kontrolliert werden ?

Protokolle und Dienste

  1. Welche Dienste sind aktiviert ?
  2. Über welche Dienste kann welcher User welche Dateien einsehen ?
  3. Welche Übertragungsprotokolle werden eingesetzt ?
  4. Welche Ports sind aktiv ?
  5. Welche Dienste/ Programme sind nicht notwendig ?
  6. Kann der Systemadministrator Veränderungen in der Konfiguration feststellen ?
  7. An welche Netzwerkkarten sind welche Dienste gebunden ?
  8. Ist forwarding von Paketen zwischen Netzwerkkarten möglich ?
  9. Exisiteren IrDA - Netzwerkkarten (Infrarot) ? Welche Protokolle und Dienste sind eingebunden ?
  10. Können Dienste/Dämonen gegen buffer overflows gesichert werden ? (chroot(), Usermode)
  11. Besteht eine Zugangsmöglichkeit ins Internet ?

Softwarepflege

  1. Sind veraltete, schlecht gewartete Server im Einsatz, die von einem Angreifer als Werkzeug benutzt werden können ? Wie können diese gesichert werden ?
  2. Welche Software ist installiert ?
  3. Stammt die Software aus einer vertrauenswürdigen Quelle ?
  4. Sind regelmäßig Sicherheitspatches eingespielt worden ?
  5. Existieren ungelöste, bekannte Sicherheitsprobleme ?
  6. Kann der Systemadministrator unerlaubt installierte Software auf Clients feststellen ?

Entdeckung von Viren, trojanischen Pferden

  1. Ist ein Virenscanner installiert ?
  2. Ist der Virenscanner in weitere Dienste integriert (E-Mail, FTP, HTTP) ?
  3. Ist der Virenscanner stets aktuell ?
  4. Stammen die Updates aus einer vertrauenswürdigen Quelle ?

Fernwartung, Administration

  1. Werden Paßworte verschlüsselt übertragen ?
  2. Werden Daten verschlüsselt übertragen ?
  3. Wie erfolgt Authentifizierung und Verschlüsselung ?
  4. Ist ein replay attack möglich ? (challenge)
  5. Ist ein buffer overflow auf das Fernwartungsprogramm /Dämon möglich (Siehe SSH) ?
  6. Kann ein Administrator Klartext-Paßworte im RAM oder SWAP auslesen ?
  7. Von welchen Hosts aus ist (theoretisch) Fernwartung möglich ?
  8. Wie werden diese hosts abgesichert ? (Siehe Absicherung der Clients)
  9. Wie werden Details und Veränderungen auf dem Server mitprotokolliert ?
  10. Können bei der Fernadministration gleichzeitig Protokollfiles manipuliert werden ?
  11. Ist eine Rückverfolgung der Veränderungen möglich (HISTORY)
  12. Sind nach einem Security - Update (Einführung von verschlüsselten Paßworten) noch die alten Paßworte gültig ?
  13. Sind nach einem Zurückspielen eines Backups alte Paßworte wieder gültig ? (nach einem DoS durch einen Angreifer)
  14. Wird nach jedem Update eine Grundsicherung durchgeführt ?

Vertraulichkeit

  1. Kennt der Systemadministrator Paßworte von Usern ?
  2. Kann der Systemadministrator E-Mail/ Dateien von Usern einsehen ?
  3. Kann der Systemadministrator aus Protokoll-Files auf besondere Neigungen/Hobbies der User schließen ?
  4. Kann ein User über das Netzwerk übertragene Logfiles mitlesen ?
  5. Kann ein User über das Netzwerk übertragene Datenbankanfragen bzw. Inhalte der Datenbank mitlesen ? (Access)
  6. Bestehen nach dem Ausscheiden des Systemadministrators noch Zugangsrechte bzw. Zugriffsmöglichkeiten ?
  7. Kann Spionage oder Mithilfe durch den Systemadministrator bemerkt werden ?
  8. Welche Dateien können User gegenseitig einsehen ? Kann dies regelmäßig ermittelt und gelistet werden ?

Hinweise: Zur Abklärung dieser Probleme ist auf die BUGTRAQ Datenbank (http://ww w.geek-girl.com) zurückzugreifen. Eine komfortable Suchfunktion erleichtert die Auflistung.

Bestimmung geeigneter Software zur Überprüfung der Server

  1. Welche Software ist zur Überprüfung o.a. Fragen geeignet ?
  2. Welche Informationen können nicht ermittelt werden ?
  3. Welche Konsequenzen ergeben sich hieraus ?
  4. Wie schnell können Angriffe erfolgen ?
  5. Welche Überprüfungsinterwalle sind dementsprechend notwendig ?
  6. Welche Angriffe können nicht bemerkt werden ?

Festlegung der Verantwortung

  1. Wer ist für die Überprüfung der Sicherheit der Server verantwortlich ?
  2. Wer führt die Überprüfungen durch (exekutiv)?
  3. Welche unabhängige Person überprüft die Durchführung ?
  4. Wer ist für die Einhaltung der Sicherheitmaßnahmen verantwortlich ?
  5. Welche unabhängige Person prüft die Sicherheitsmaßnahmen ?
  6. Welche Sicherheitsprobleme existieren weiterhin ?
  7. Gibt es mögliche Überschneidungen der Zuständigkeiten ?

Festlegung der Haftung

Die Festlegung der Haftung für den Fall eines Einbruchs in ein System ist natürlich ein großes Problem. Da die Fehler vieler Softwarekomponenten in einem Netzwerk dafür verantwortlich sind, daß ein Einbruch überhaupt möglich wurde ist es sicherlich schwierig, einen Fehler nachzuweisen und somit auch jemanden zur Verantwortung zu ziehen. Es gibt nur wenige Versicherungen, die hierfür pauschal die Verantwortung für Schäden und Folgeschäden übernehmen. Insbesondere das Jahr 2000 Problem dürfte erhebliche Schäden verursachen. Die Security Policy hat nur die Aufgabe, Risiken zu minimieren und vor allem die Fehlersuche zu beschleunigen. Oft läßt sich hierdurch der Schaden begrenzen.

Überwachung und Absicherung der Clients

Arbeitsstationen sollte eine noch größere Aufmerksamkeit gewidmet werden, da diese von einem Angreifer als Träger von trojanischen Pferden mißbraucht werden. Sie gehören zu den größten Schwachstellen im Netzwerk. Hierbei sollte besondere Aufmerksamkeit folgenden Punkten gewidmet werden. Im Prinzip gelten, sofern die Clients Serverqualitäten mitbringen (Windows 95/98) für Clients dieselben Überprüfungskriterien, wie für Server auch. Es darf nicht vergessen werden, daß ein Angreifer diese Arbeitsstation mit Hilfe von Fernwartungsprogrammen und portierten Werkzeugen durchaus zu Servern umfunktionieren kann. Die Gefahr, hierbei entdeckt zu werden, ist geringer, da im allgemeinen Arbeitsstationen viel weniger Aufmerksamkeit geschenkt wird. Daher sind auf Arbeitsstationen darüber hinaus zusätzliche Probleme zu beachten.

Überwachung der Clients

  1. Können unauthorisierte Zugriffe von Usern auf fremde Dateien/Verzeichnisse entdeckt werden ?
  2. Können ungewöhnliche Zugriffe auf Dienste erkannt werden ?
  3. Werden Übertragungsvolumina zwischen Server und Arbeitsstationen gezählt ? (accounting)
  4. Können diese eindeutig Hosts/Usern und Protokollen zugeordnet werden ?
  5. Wir protokolliert, ob und wann ein User auf welche Verzeichnisse/Dateien zugegeriffen hat ?
  6. Sind User/Gruppen/File - Zugriffsrechte klar feststellbar ?
  7. Werden Portscans registriert und der Systemadministrator benachrichtigt ?
  8. Können Server untereinander kommunizieren ? Über welche Ports /Dienste ?

Sicherheit der Authentifizierungsmechanismen

  1. Sind die Paßworte sicher ?
  2. Sind gleiche Paßworte für unterschiedliche Protokolle im Einsatz ?
  3. Welche Dienste benutzen welche Arten der Authentifizierung ?
  4. Werden Paßworte verschlüsselt ?
  5. Werden Daten verschlüsselt übertragen ?
  6. Ist session hijacking möglich ? (SMB, TELNET, SMNP)

Protokolle und Dienste

  1. Welche Dienste sind aktiviert ?
  2. Welche Übertragungsprotokolle werden eingesetzt ?
  3. Welche Ports sind aktiv ? Werden diese regelmäßig überprüft ?
  4. Welche Dienste/ Programme sind nicht notwendig ?
  5. Kann der Systemadministrator Veränderungen in der Konfiguration feststellen ?
  6. An welche Netzwerkkarten sind welche Dienste gebunden ?
  7. Ist forwarding von Paketen zwischen mehreren Netzwerkkarten möglich ?
  8. Besitzt er mehrere IP - Nummern ?
  9. Ist dieser Client an mehrere Netzwerke angebunden, besitzt er Zugriff auf unterschiedliche Router ?
  10. Sind Laufwerke oder Verzeichnisse zum Schreiben freigegeben (WfW) ?
  11. Exisiteren IrDA Netzwerkkarten ? Welche Protokolle, Dienste sind angebunden ?
  12. Können Dienste/Dämonen gegen buffer overflows gesichert werden ? (chroot(), Usermode)
  13. Besteht eine oder mehrere Zugangsmöglichkeiten ins Internet ?
  14. Existiert eine Anbindung an Faxserver/ Zeiterfassungssysteme

Softwarepflege

  1. Sind veraltete, schlecht gewartete Server im Einsatz, die von einem Angreifer als Werkzeug benutzt werden können ?
  2. Welche Software ist installiert ?
  3. Stammt die Software aus einer vertrauenswürdigen Quelle ?
  4. Sind regelmäßig Sicherheitspatches eingespielt worden ?
  5. Existieren ungelöste, bekannte Sicherheitsprobleme ?
  6. Kann der Systemadministrator unerlaubte Software feststellen ?

Entdeckung von Viren, trojanischen Pferden

  1. Ist ein Virenscanner installiert ?
  2. Ist der Virenscanner in weitere Dienste integriert (E-Mail, FTP, HTTP) ?
  3. Werden Viren auch zuverlässig erkannt, wenn über HTTP gleichzeitige Verbindungen zu mehreren Internetservern bestehen ?
  4. Ist der Virenscanner stets aktuell ?
  5. Stammen die Updates aus einer vertrauenswürdigen Quelle ?
  6. Erkennt der Virenscanner Varianten von bekannten (Makro)Viren ?

Anbindung des Client an das Internet

  1. Erreichten externe E-Mails mit Attachments diesen Client ?
  2. Erreichen interne E-Mails mit Attachments diesen Client ?
  3. Besteht eine überwachte Internet - Anbindung ?
  4. Wie wird diese überwacht ? (Firewall, Proxy)
  5. Existieren weitere unkontrollierte Internet-Anbindungen ?
  6. Ist die Ausführung von JAVA(Skript) Active-X auf dem Browser möglich ?
  7. Ist download von Software möglich ? Über welche Protokolle /Ports ?
  8. Exisitert ein HTTP - PROXY (CACHE) ?
  9. Exisitieren weitere PROXY (CACHE) ?
  10. Exisitert ein E-Mail Gateway (intern/extern) ?
  11. Exisitieren weitere E-Mail Gateways in anderen angeschlossenen Netzwerken ?
  12. Existiert eine direkte Portverbindung in das Internet ? (Ohne PROXY) Für welche Protokolle ?
  13. Existieren HTML-Editoren ? Sind auch lokale WWW-Server installiert ? (z.B. Frontpage)
  14. Von wo aus ist der WWW-Server auf dem Client erreichbar ? Existieren Sicherheitsprobleme ?
  15. Welche Informationen über den Client werden vom Browser oder via E-Mail in das Internet verraten ?
  16. Welche Informationen über die interne Netzwerkstruktur werden in das Internet verraten ?

Kommunikation der Clients untereinander ?

  1. Können Clients untereinander kommunizieren ?
  2. Über welche Protokolle ?
  3. Welche Dienste sind aktiviert und können gemeinsam genutzt werden ?
  4. Sind Clients untereinander erreichbar (ping) ?
  5. Können Clients über Server miteinander kommunizieren (indirekt) ?

Weitere Kommunikationsgateways

  1. Existieren Faxserver ?
  2. Exisitieren Faxmodems auf Arbeitsstationen ?
  3. Exisitieren Modemserver ?
  4. Fernwartungszugänge ? Wie sind diese abgesichert ?
  5. Existieren IrDA - Schnittstellen in Druckern, Arbeitsplatzrechnern, Servern, Laptops ?
  6. Existieren Funkmodems ?
  7. Können FAX / Modemserver für Angriffe mißbraucht werden ?

Erkennen von Ereignissen

  1. Über welche Ereignisse wird der Systemadministrator informiert ?
  2. Wie wird er informiert ?
  3. Existiert eine Archiv-Datei ?
  4. Werden Ereignisse miteinander kombiniert und ausgewertet ?
  5. Sind regelmäßig Sicherheitspatches eingespielt worden ?
  6. Exisiteren ungelöste, bekannte Sicherheitsprobleme ? (Browser....)
  7. Welche Protokolle sind aktiviert ?
  8. Welche Dienste sind aktiviert ? (z.B. Frontpage, IIS,......) Welche Übertragungsprotokolle werden eingesetzt ? Welche Ports sind aktiv ?
  9. Welche Software ist installiert ? Stammt die Software aus einer vertrauenswürdig en Quelle ?
  10. Sind mehr Softwarepakete /Funktionen installiert, als für die Arbeit benötigt wird ?
  11. Welche Software greift auf welche Netzwerkresourcen zu ?
  12. Kann der Benutzer eigene Software installieren ?
  13. Wie wird festgestellt, ob der Anwender Software installiert hat ?
  14. Paßwortsicherheit ? Werden unverschlüsselte Paßworte auf der Festplatte gelagert ? (WS-FTP, LOGIN, MAIL) Mit welchen Algorithmen sind diese verschlüsselt ? Sind Paßworte evtl. im Klartext im RAM oder im SWAP-Bereich der Arbeitsstation abgelegt ? Kann ein Programm diese RAM - Bereiche auslesen ? (trojanisches Pferd) Existieren Sammlungen von Paßworten auf einem zentralen Server im Netz ?
  15. Werden Ereignisse auf dieser Arbeitsstation an einen Logserver gemeldet ? Welche ?
  16. Ist über ein eingebautes Modem/ISDN-Karte Internet-Zugang möglich ?
  17. Ist Fernwartung möglich ? Von wo aus ?
  18. Werden von dieser Arbeitsstation aus Server, Router, Firewall... fernadministriert ? Welche Protokolle werden eingesetzt ? Sind verschlüsselte Paßworte im Einsatz ? Werden die Daten verschlüsselt ? Ist session hijacking möglich ?
  19. Ist ein Virenscanner installiert ? Werden E-Mails/Downloads überprüft ?
  20. Ist der Virenscanner stets aktuell ?
  21. Über welche Ereignisse wird der Systemadministrator informiert ? Wie wird er informiert ? Existiert eine Archiv-Datei ? Werden Ereignisse miteinander kombiniert und ausgewertet ?

Interne Überwachung des Netzwerkes

  1. Werden Ereignisse aufgezeichnet ? Welche ? Wie erfolgt die Benachrichtigung ?
  2. Ist ein DoS Angriff auf das IDS - System (Intrusion Detection System) oder Teile möglich ?
  3. Ist hiermit eine Überprüfung der Einhaltung der security policy möglich ? Wie wird der Systemadministrator benachrichtigt ?
  4. Werden Datenströme gemessen ? Wird bei Auffälligkeiten der Systemadministrator benachrichtigt ?
  5. Wird regelmäßig ein Security-Scanner eingesetzt ?
  6. Kann eine Entführung von Daten aus dem Netzwerk über das Internet-Gateway festgestellt werden ? Kann nachträglich festgestellt werden, welche Daten entführt wurden ? Existiert ein Archiv ? Ist ein DoS Angriff auf das System möglich ?
  7. Findet eine regelmäßige Kontrolle des Internet-Gateways statt ?
  8. Werden Datenströme durch das Internet - Gateway gemessen ? Können diese eindeutig bestimmten Usern zugeordnet werden ?
  9. Wie lang ist die längste Reaktionszeit des Systemadministrators im Falle einer Verletzung einer Security Policy ? Kann innerhalb dieser Zeit eine Entführung von Daten verhindert werden ? Von wem ? Wie ?
  10. Wie wird der Datenschutz gewährleistet ?

Überwachung der Firewall

  1. Werden Ereignisse aufgezeichnet ? Welche ? Wie erfolgt im Notfall die Benachrich tigung des Systemadministrators ?
  2. Werden Datenströme gemessen ? Wie erfolgt eine Benachrichtigung im Falle von Auffälligkeiten ?
  3. Wie ist die Reaktionszeit bei Einbrüchen ?
  4. Exisiteren andere Wege, Daten mit Servern im Internet auszutauschen ? Wie werden diese überwacht ? Sind diese Gateways in die Überwachung integriert ?
  5. Kann eine Entführung von Daten aus dem Netzwerk über das Internet-Gateway festgestellt werden ?
  6. Kann nachträglich festgestellt werden, welche Daten entführt wurden ? Existiert ein Archiv ?
  7. Ist ein DoS Angriff auf den Logserver der Firewall oder das IDS-System möglich ?
  8. Können Datenströme über das Gateway gefiltert werden ? Welche Daten werden gefiltert ? Wie erfolgt eine Benachrichtigung des Systemadministrators ?
  9. Kann der Download von Daten aus dem Internet verhindert werden ? Wie wird sichergestellt, daß die Daten aus einer vertrauenswürdigen Quelle kommen ?
  10. Wie kann die Exisitenz eines Tunnels durch die Firewall von einer Arbeitsstation zu einem Internet-Server festgestellt werden ? (Port 25 oder 80) Wie wird der Systemadministrator benachrichtigt ?
  11. Existieren counter intelligence - Mechanismen, die automatisch eingreifen ? Wie können diese überlistet werden ? Konsequenzen ?
  12. Wird die technische Sicherheit des Internet-Gateways durch Security-Scanner regelmäßig überprüft ?
  13. Was testen die Securityscanner ?
  14. Erkennen die Security Scanner counter intelligence Mechanismen des Internet- Gateways (Blockierung aller Ports bei Entdeckung eines Scanners) Welche Konsequenzen ergeben sich daraus ?
  15. Welche Daten werden auf der Firewall aus den Datenströmen gefiltert ?
  16. Welche Informationen über interne Netwerk - Strukturen oder Clients werden in das Internet verraten ? (http://www.little-idiot.de/cgi-bin/test.cgi)
  17. Welche Informationen könnten für einen Angreifer aufschlußreich sein ?
  18. Wird die Wirksamkeit der Filter regelmäßig überprüft ?
  19. Wie wird der Datenschutz gewährleistet ?

Zusammenhänge zwischen Ereignissen erkennen

Es ist wichtig, alle möglichen Vorgehensweisen eines Angreifers korrekt einschätzen zu können. Geht man davon aus, daß ein Angreifer immer irgendwie Programme in das Netzwerk einschleusen, und von arglosen Usern starten lassen kann, so ergibt sich zwangsläufig, daß sämtliche Sicherheitsbarrieren wie Dominosteine Zug um Zug umfallen, je länger ein Angreifer sich im Netzwerk unentdeckt betätigt. Es ist also notwendig, wem Angreifer so viele Barrieren, wie möglich, von Anfang an in den Weg zu legen:

  1. Paßworte immer nach den Richtlinien des BSI vergeben
  2. Niemals unverschlüsselte Paßworte über das Netzwerk übertragen
  3. Für jeden Dienst (E-Mail, Fileserver, Fernadministration...) andere Paßworte benutzen
  4. Stets mit Keyboard/Netzwerksniffern rechnen - daraus ergibt sich, daß man von seinem Arbeitsplatzrechner, welcher Internet-Anschluß hat, keine Firewall administriert, oder Server konfiguriert.
  5. Eine E-Mails von unbekannten Personen öffnen oder gar .exe Files unbekannter Herkunft starten
  6. Stets mit Sicherheitsproblemen des Browsers oder von Anwendungsprogrammen rechnen
  7. Möglichkeiten schaffen, Portscanner o.ä. im Netzwerk entdecken zu können.
  8. Alle unkontrollierbaren Internet-Gateways entfernen ...

Pflicht zur Weiterbildung

Der Systemadministrator hat die Pflicht, sich regelmäßig, möglichst täglich über neue Sicherheitsprobleme der von ihm anvertrauten Software und Hardware zu informieren, und Sicherheits-Updates schnellstmöglich zu installieren. Falls ungelöste Sicherheitsprobleme existieren, muß abgeschätzt werden, welche Auswirkungen zu erwarten sind. Im Ernstfall könnte es notwendig sein, Software zu deinstallieren oder bestimmte Dienste zu sperren.


Weiter Zurück [Inhalt] Online Suche im Handbuch LITTLE-IDIOT NETWORKING