Firewalling für KMU Internet-Partner der Wirtschaft

Transkript

1 Firewalling für KMU Internet-Partner der Wirtschaft 1

2 Es passt... Ihr Business Unser Beitrag 2

3 was zusammen gehört! Medien Wirtschaftskompetenz Bewährte Technik Neue Gedanken 3

4 Wir bauen Portale... 4

5 und machen, dass man SIE sieht 5

6 Wir hosten redundant DC-Berlin 1 DC-Berlin 2 6

7 Agenda Beispielhafte Ereignisse Firewalls (Theorie) Gateway (Praxis) 7

8 Fall 1: Immobilienverwaltung Drucker drucken nicht mehr PCs fahren unmotiviert herunter Netz (LAN) ist langsam Admin wurde zehn Tage vorher gekündigt und ist seitdem krankgeschrieben 8

9 Fall 1: Immobilienverwaltung Beobachten, nichts trennen Fernzugriffe dokumentieren Uplink trennen Fernwartungszugänge trennen Admin-Passworte ändern Trojaner finden und entfernen Ex-Admin verklagen? 9

10 Fall 1: Immobilienverwaltung Beim Kündigen von Mitarbeitern richtige Reihenfolge einhalten Speziell Admin: Ersatz oder Nachfolger besorgen Kündigung und sofortiges Deaktivieren seiner Rechte Hausverbot erteilen Alle Mitarbeiter informieren 10

11 Fall 2: PR-Agentur Mails (In/Out) teilweise gestört Webzugang sehr langsam VOIP unmöglich 11

12 Fall 2: PR-Agentur DSL-Zugang gewechselt: alles ok! DSL-Zugang zurück: Effekt wie gehabt Bandbreitenmessung ergab 32 Mb Inbound DOS-Attacke auf den DSL-Zugang 12

13 Fall 2: PR-Agentur Firewall konfigurieren: Anzahl Inbound-Verbindungen begrenzen Inbound-Verbindungen loggen Nach Protokollen filtern Typische DSL-DOS laufen ins Leere! 13

14 Fall 3: Galabau-Firma Ausgehende Mails an 1&1 (sowie deren Subs), Yahoo, AOL, Strato werden abgewiesen Seit einiger Zeit erscheint der DSL-Zugang zeitweise sehr langsam Einzelne PC dito Feste IP (SDSL 3000) 14

15 Fall 3: Galabau-Firma PCs dienten als SPAM-Versender Teil eines Bot-Netzes IP wurde in diversen RDNSBL geführt Dient als Referenz für SPAM-Erkennung IP als sauber melden und warten! 15

16 Fall 3: Galabau-Firma Port 25 outbound in Firewall sperren Mails ausschliesslich per Port 587 senden Regelmässig PC auf Trojaner prüfen Mitarbeiter einweisen 16

17 Fall 4: Kfz-Werkstatt Buchhaltungs-PC wird gestohlen Backup der Buchhaltungsdaten vorhanden (inkrementelles Backup) Neuer PC wird gekauft, Betriebssystem, Buchhaltungssoftware läuft nur unter Windows XP, PC nicht XP-kompatibel Software-Update gekauft, unter Windows 8 installiert, Backup... 17

18 Fall 4: Kfz-Werkstatt Sicherungs-Restore dauert zehn Stunden (inkrementell!) Neue Software funktioniert anders, Schnittstellen zum Stb müssen eingerichtet werden Vorhandene MS-Office SW läuft nicht unter Windows

19 Fall 4: Kfz-Werkstatt Bewegungsdaten auf Server! Backup 2/3 Generationen + Monats-Backup + Outbound-Backup PC-Image Virgin Vor grösseren Veränderungen Auf Daten-Partition + zentralem Server 19

20 Definitionen [ Firewall ] Hardware- und regelbasierte Netztrennung Drei oder vier Zonen Regeln frei definierbar Logging Zusatzfunktionen: Proxy SPAM-/Virenfilter [in kleinen Netzen] Routerfunktion 20

21 Was ist zu schützen? Daten Unternehmensdaten [z. B. Buchhaltung/Kundendaten] Ressourcen eigene Netzanbindung, Rechentechnik, Telefonanlage Reputation Ihre Kunden vertrauen Ihrer Handlungsfähigkeit 21

22 Vor wem ist zu schützen? Amateure / Spinner wollen nur gucken Wettkämpfer /Punktesammler Punktesystem für Server-Hacks, hinterlassen Logo Vandalen zerstören wahllos Spione verkaufen Ihre Daten bzw. werten sie aus Interne Dummheit 22

23 Schutzmethoden Security by Obscurity Prinzip Hoffnung Rechner-zentrierter Schutz Freigaben- und Ressourcen-Management Netzwerk-zentrierter Schutz : Firewall 23

24 Was bringt eine Firewall? Klarheit, Richtlinien, Policy wird erstellt, bevor Firewall gekauft wird Zentraler Zugangs-Knoten zum Internet leichtere Kontrolle Dadurch: Begrenzung der Angriffsfläche Einen Single-Point-of-failure 24

25 Wovor schützt keine Firewall? Angriffe von Innen Bestandteile von übertragenen Daten Angriffe über weitere Netz-Zugänge z.b. für Fernwartung Telefonanlage Ersatz-DSL 25

26 Netzwerk 26

27 WAN 27

28 Definitionen [ LAN ] Lokales Netzwerk KEIN Zugriff aus WAN Definierte Zugriffe aus DMZ und WLAN ( idealer Weise keine ) Definierte Zugriffs-Rechte auf andere Zonen 28

29 LAN Regeln Datenverkehr initiiert von PC: Ports 80,443,110,25,139,143 Datenverkehr initiiert von Server:??? Datenverkehr initiiert von ausserhalb LAN:??? 29

30 Definitionen [ WLAN ] Wireless LAN ACL in Firewall via MAC-Adresse [ Access Control List ] Authentifizierung via WPA-PSK [ minimal ] Datenverschlüsselung Aus WLAN kein Zugriff auf LAN 30

31 WLAN Regeln Datenverkehr initiiert von Laptop: 25,110,80,143,443 Datenverkehr initiiert von ausserhalb WLAN:??? 31

32 Definitionen [ DMZ ] Demilitarisierte Zone Ist Teil von WAN UND von LAN Ist aus WAN definiert erreichbar [ z.b. VPN ] Hat Schlupflöcher zum LAN 32

33 DMZ Regeln Datenverkehr initiiert von internen Servern: 25,110,143,53 Datenverkehr initiiert von aussen: 25,110,143 33

34 Fragen & Antworten 34