Berlin, 26.01. 2006 Netzwerksicherheit gefördert durch das 1
Zur Person Geschäftsführer BERLIN-ONE.net Internet Serviceprovider mit eigener Serverfarm in Berlin www.berlin-one.net Vorstand BCIX e.v. Internetknoten Berlin-Brandenburg www.bcix.de Partner ecomm Kompetenzzentrum für elektronischen Geschäftsverkehr www.ecomm-online.de Gründungsmitglied We-Make-IT BerlinBrandenburger IT-Standortinitiative www.we-make-it.de 2
Agenda Problemstellung Aufbau eines Firmennetzes Netzwerkbereiche Massnahmen 3
Standard heute DSL- bzw. ISDN-Anbindung, meist dauerhaft Verbindung über DFÜ-Netzwerk oder Router Virenscanner Häufig Personal Firewall Software IE/Outlook (Express) 4
Gefühlte Bedrohungen Ärger über SPAM Eigenleben der PC Langsame Netze Verunsicherung durch Publikationen über Würmer/Pishings/Trojaner/Datenverlust 5
Reale Bedrohungen [ I ] Image- bzw. juristische Probleme wegen realer oder gefakter emails ausgehend vom Firmenaccount From - Thu May 19 08:51:38 2005 X-Account-Key: account2 X-UIDL: UID7875-1103627818 X-Mozilla- Status: 0001 X-Mozilla-Status2: 00000000 Return-Path: <00-000003D.P.Telefaxs.axt@wirtschaftsrat.de> Received: from localhost (localhost [127.0.0.1]) by mail1.bb-one.net (Postfix) with ESMTP id 7CE7A106C0DF for <uwe.stache@stache.de>; Thu, 19 May 2005 08:42:43 +0200 (CEST) Received: from mail1.bb-one.net ([127.0.0.1]) by localhost (mail1.corporate-mail.net [127.0.0.1]) (amavisd-new, port 10024) with ESMTP id 14784-03 for <uwe.stache@stache.de>; Thu, 19 May 2005 08:42:43 +0200 (CEST) Received: from porky.im-netz.de (mm1.im-netz.net [212.42.242.92]) by mail1.bb-one.net (Postfix) with ESMTP id 2F87D106C079 for <uwe.stache@stache.de>; Thu, 19 May 2005 08:42:42 +0200 (CEST) Received: by flachpost.im-netz.de (8.13.3/nora-16.03.2005) with SMTP from chqxich.de (pd9e7a6f5.dip.t-dialin.net [217.231.166.245]) (envelope-from 00-000003D.P.Telefaxs.axt@wirtschaftsrat.de) id j4j6c28t018749; Thu, 19 May 2005 08:38:03 +0200 From: 00-000003D.P.Telefaxs.axt@wirtschaftsrat.de 6
Mögliche Konsequenzen [ I ] Lernende SPAM-Filter interpretieren Absender als SPAM-Versender emails verschwinden im SPAM-Filter Juristische Konsequenzen gegen realen Versender= Besitzer des gehackten/kompromittierten PC Access-Provider landet in RBL [ Realtime Blocking List ] 7
Gegenmassnahmen [ I ] Abkehr von Sensations- bzw. unqualifizierter Information Akzeptanz der Realität Einsatz von sinnvollen Werkzeugen Verhaltensänderungen 8
Konkretes [ I ] Wie können Arbeitsplatz-PC zu Mailservern werden? Weil...... Windows-PC Programminstallationen ohne Benutzereingriff ermöglichen... Unsichere Mailclients verwendet werden... Verfügbare Werkzeuge nicht oder falsch eingesetzt werden 9
Reale Bedrohung [ II ] PC und Server entwickeln Eigenleben Rechner öffnen sich gegenüber anderen Rechner sind möglicherweise kompromittiert 10
Mögliche Konsequenzen [ II ] Bestehender Zugriff auf Firmendaten Löschen Verändern Einsichtnahme Verwendung der Rechner für Zwecke Dritter SPAM-Absender DDOS 11
Gegenmassnahmen [ II ] Anpassbarer Zugriffsschutz für gesamtes Netzwerk mit Auswertung Einsatz weniger unsicherer Mail- und Web-Clients Betrieb von Windows-PC im Nicht-Administrator-Modus Regelmässiger sinnvoller Einsatz von Scannern 12
Netzwerk 13
Definitionen [ LAN ] Lokales Netzwerk KEIN Zugriff aus WAN Definierte Zugriffe aus DMZ und WLAN ( idealer Weise keine ) Definierte Zugriffs-Rechte in WAN 14
Definitionen [ DMZ ] Demilitarisierte Zone Ist Teil von WAN UND von LAN Ist aus WAN definiert erreichbar Hat Schlupflöcher zum LAN 15
Definitionen [ WLAN ] Wireless LAN Wie LAN, jedoch: ACL in Firewall via MAC-Adresse [ Access Control List ] Authentifizierung via WPA-PSK [ minimal ] Datenverschlüsselung Aus WLAN kein Zugriff auf LAN 16
Definitionen [ Firewall ] Hardware- und regelbasierte Netztrennung Drei oder vier Zonen Regeln frei definierbar Logging Zusatzfunktionen: Proxy SPAM-/Virenfilter Routerfunktion 17
LAN Massnahmen PC Virenscanner Trojanerscanner Läuft im Usermode Server Regelmässiges Backup Scanner (s.o.) Datenträger-Check Sinnvolle Freigaben 18
WLAN Massnahmen Laptop Virenscanner Trojanerscanner Läuft im Usermode Datenverschlüsselung Bootkontrolle 19
WAN 20
DMZ Massnahmen PBX Zugriff nur lokal Server Regelmässiges Backup Scanner (s.o.) Datenträger-Check Sinnvolle Freigaben 21
Vielen Dank für Ihr Interesse! 22