Viren, Spyware, Datenschutz 11.241 Themen, 94.650 Beiträge

IT-Sicherheit: Die Grundlagen... ein Weg zum Minimalkonsens?

Olaf19 / 77 Antworten / Flachansicht Nickles
Hallo zusammen.

Da die Diskussionen zum Thema Sicherheitskonzepte auf diesem Board sich mit schöner Regelmäßigkeit im Kreise drehen, nicht wirklich vorankommen und in jedem Thread wieder bei Null beginnen, möchte ich jetzt einmal in die Runde fragen, ob es nicht eine Möglichkeit gibt, sich auf einen Minimalkonsens zu einigen, dem alle zustimmen können, egal welches Sicherheitskonzept sie für sich bevorzugen.

Bildlich gesprochen, hatten bislang alle Diskussionen hier eine V-Form: Einigkeit gab es nur auf dem alleruntersten Level. Jeder ist gegen Malware und für mehr Sicherheit - aber danach driften die Argumentationen schon munter auseinander. Mein Ziel ist es, von diesem V-förmigen Diskussions-Verlauf zu einer Y-Form zu kommen: Ein Stück weit gehen alle zusammen, und erst dann gabelt sich der Weg - je nachdem, wie die Vorlieben in Sachen Sicherheit sind.

Ob das mit Hilfe dieses Thread gelingt, kann ich nicht im voraus sagen - aber einen Versuch ist es mir wert. Wer weiß, vielleicht kann dieser Thread sogar die Grundlage für eine FAQ speziell für dieses Board bilden.

Um überhaupt in die Lage zu kommen, ein Sicherheitskonzept zu entwickeln, muss man sich die Frage stellen: Wer oder was bedroht überhaupt meine Sicherheit, wie, womit, auf welche Weise geschieht das? Dazu das folgende fiktive, aber nicht unwahrscheinliche Fallbeispiel von "Herrn X".

Herr X hat folgende Voraussetzungen:

- ein flottes AMD-System als Einzelplatzrechner, also kein Heimnetzwerk
- Betriebssystem: Windows XP ohne SP 1 und ungepatched
- Browser: Internet Explorer 6 ohne SP 1 und ungepatched
- Mailclient: Outlook Express 6, ebenfalls im "Urzustand"
- Werbeblocker: keine
- Virenscanner: keinen
- Firewall: keine
- sonstige Sicherheitsmaßnahmen: keine

Um es einmal salopp auszudrücken: Herr X kümmert sich einen Dreck um seine Sicherheit. Um das Maß vollzumachen: Er hat noch nicht einmal einen Gastaccount eingerichtet - er geht immer mit vollen Administratorrechten ins Internet... und doch, es gibt auch Positives zu berichten:

Herr X gibt seine eMail-Adresse nicht wahllos heraus. Als Resultat bekommt er kaum Spammails. EMails unbekannter Absender wandern ungelesen in den Müll. Mit Attachments und HTML-Mails ist Herr X äußerst vorsichtig - im Zweifel ebenfalls: Weg damit.

Gelegentlich lädt sich Herr X Software aus dem Internet herunter, Open Office z.B. oder Utilities wie den Acrobat Reader oder Total Commander. Immer vom Hersteller oder von renommierten PC-Zeitschriften. Dubiose Quellen oder Tauschbörsen meidet Herr X wie der Teufel das Weihwasser.

Auch Sex-, Porno-, Hacker- und WareZseiten sind Herrn X fremd. Dafür surft er umso häufiger Nachrichtenseiten, Firmenhomepages, politische, wissenschaftliche und literarische Seiten an.

Was den humanen Sicherheitsfaktor, also das Surfverhalten angeht, ist Herr X demnach geradezu ein Musterschüler des Internets. Vorbildlich ist auch seine Angewohnheit, seine Daten regelmäßig zu sichern. Nur seine Systemkonfiguration enthält keinerlei Merkmale eines sicheren Systems...

Frage an Euch: Was genau kann diesem Herrn X im Internet passieren? Wo lauern die Gefahren? Mit welchen mehr oder gravierenden Sicherheitsproblemen muss er rechnen, wenn er derart ungeschützt im Web auf die Reise geht? An welchen Stellen müsste er konkret den Hebel ansetzen, um Sicherheitslücken zu schließen?

Bitte an dieser Stelle noch keine Ratschläge posten. Zunächst geht es nur um mögliche Probleme - noch nicht um die Lösungen dazu.

Ich freue mich wie immer - aber diesmal ganz besonders! - auf Eure Anregungen.

CU
Olaf
Die Welt ist ein Jammertal ohne Musik. Doch zum Glueck gab es Bach, Beethoven, Haendel und Goethe (Helge Schneider)
bei Antwort benachrichtigen
www.bsi.de GuFu
Hmm ... Twista
Teletom Olaf19 „IT-Sicherheit: Die Grundlagen... ein Weg zum Minimalkonsens?“
Optionen

Hi,

Computer-Sicherheit ist fließend (panta rei), was heute noch inn ist, kann schon morgen überaltet sein, es kommen ständig neue Angriffs-Möglichkeiten hinzu.

Folgende allgemeingültige Grundsätze gelten immer:

1. Die Computer-Ausfallsicherheit kommt stets vor andere Sicherheitsmaßnahmen. Wenn der Computer nicht mehr funktioniert, können andere Maßnahmen logischerweise nicht mehr durchgeführt werden. Daraus folgt, dass zusätzliche Sicherheits -Programme oder besser -Dienste das System so wenig wie möglich belasten. Andererseits muss genau abgewogen werden, ob man Dienste deaktiviert oder nicht, falls diese zum Funktionieren benötigt werden.

2. Es zeugt nicht von Weisheit, wenn man davon ausgeht, dass der Eingang von Pings und anderen Paketen am Internetadapter in jedem Fall prinzipiell nichts Gefährliches ist.

3. Die Lösungen sollten für jeden insbesondere für Anfänger nachvollziehbar sein.

Wenden wir uns dem konkreten Sachverhalt zu, folgendes Firewallsicherheitskonzept läßt sich hier anwenden:

Win XP sollte, das folgt aus dem ersten Grundsatz, auf das neueste ServicePack gepatcht werden. Danach ist zwar z.B. die Spyware "Alexa" wieder aktiviert, das Entfernen der "Alexa"-Verknüpfung wird jedoch weiter unten behandelt.

Das gleiche gilt für die Windows-Updates, die sollten möglichst immer aktuell sein, über Autoupdate und QoS ist das kein Problem und die Systemressourcen werden kaum belastet.

IE sollte ebenfalls das neueste ServicePack und die aktuellen Updates haben.
Sicherheits- und Datenschutzstufe des IE auf Mittel stellen. Darüber hinaus ist das wenig Systemressourcen verwendende PlugIn Adshield empfehlenswert, weil dadurch keine Browser-PopUps angezeigt werden und die Geschwindigkeit und somit die Performance verbessert wird.
Adshield: http://www.internettechs.net/utilities/AdShield.exe

Ob zusätzliche Browser installiert werden, kann der Anwender selber entscheiden, der IE muss mindestens für die Windows-Updates vorhanden sein.

Outlook Express kann unter der Bedingung, dass das System möglichst aktuell ist und ein Virenschutz (s.u.) installiert ist, weiter verwendet werden. Häuft sich E-Mail-Spam, kann man den Einsatz eines pflegeleichten Spamfilters empfehlen.
Z.B. Spampal: http://www.spampal.de

Die Netbios-Bindung des Intenetadapters sollte aufgehoben werden, in dem man die Datei- und Druckerfreigabe am Internetadapter deaktiviert.

Werbeblocker kann man mit Hilfe von Hosts-Datei-Einträgen (im Verzeichnis \WINDOWS\system32\drivers\etc) wie:
127.0.0.1 as1.falkag.de
(thx an Christoph Maus)
oder mit Adshield realisieren.

Ein effektiver Virenschutz ist unvermeidbar. Der Virenschutz AVG6 FreeEdition von Grisoft verwirklicht vor allem den ersten Grundsatz der minimalen Systemressourcenverwendung und dass auch die E-Mail bei einem Client wie Outlook Express geschützt ist.
http://www.grisoft.com

Erfolgt die Einwahl über ISDN oder analog, ist die Installation von 0190Alarm oder 01920Warner notwendig.

Die Malware-Entfernungsprogramme Spybot S&D sowie Ad-Aware sollten unbedingt installiert werden. Installieren, starten, Gefundenes entfernen und den Einsatz regelmäßig planen. Damit wird u.a. die "Alexa" - Verknüpfung entfernt.

Die Installation eines Firewalldienstes ist unumgänglich, wenn man direkte Netzwerkangriffe wirklich fern halten will, das folgt unmittelbar aus dem zweiten Grundsatz (s.o.).
Bei XP:
Netzwerkeigenschaften für die Internet-DFÜ-Verbindung bzw. -Breitband > Erweitert >Haken im oberen Abschnitt bei Firewall setzen.

Selbstverständlich können auch andere Firewalls besonders von Fortgeschrittenen eingerichtet werden, unter XP sollte man die Firewall immer als Dienst einrichten. Besonders die ICMP-Einstellungen sollten, wie folgt, vorgenommen werden:
# 8 Echo Request eingehend nicht zulassen
# 13 Timestamprequest eingehend nicht zulassen
# 17 Mask Request eingehend nicht zulassen RFC 950
# Routeranforderung eingehend nicht zulassen RFC 1256
# 3 Destination unreachable ausgehend nicht zulassen
# 4 Source Quench ausgehend nicht zulassen
# 12 Parameter Problem ausgehend nicht zulassen
# 11 Zeitüberschreitung ausgehend nicht zulassen
# 5 Redirect (Umleiten) nicht zulassen
Alle anderen ICMP-Typen zulassen.
Wichtig ist, dass die Firewall in der Netzwerkschicht arbeitet. Die angegebenen ICMP-Einstellungen bewirken, dass beim Ping-Sender "Zeitüberschreitung der Anforderung" genauso erscheint, als wenn die IP nicht online wäre und hält somit Direktangriffe über das Netzwerk fern. Diese ICMP-Einstellingen sind beim XP-Firewalldienst Standard und brauchen nicht extra eingestellt werden, das ist für Anfänger besonders interessant.

Für mehrere Computer im Intranet gekoppelt mit dem Internet ist eine externe Router/Firewall-Lösung in Bezug auf Internet-Angriffe günstiger, hat jedoch den Nachteil, dass Webfunktionen wie Webserver, FTP-Server, Netmeeting, Messenger u.v.a.m. durch Port-Forwarding erst aufwändig freigeschaltet werden müssen.

Eine Backup-Strategie ist ebenso notwendig wie auch wichtig. Mindestens EruNT mit EruTask installieren, damit wird täglich die Registry gesichert.

Der menschliche Faktor ist das wichtigste Sicherheitskriterium im Umgang mit Computern. Grundsatz ist hier: Nicht auf jedes "Klickmich" klicken und sich äußerst umsichtig im Internet verhalten. Ohne diese menschliche Grundeinstellung nutzen die oben beschriebenen Sicherheits-Maßnahmen auch nicht viel. Man sollte stets beachten, dass es eine 100%ige Sicherheit nie gibt.

Gruß
Teletom




bei Antwort benachrichtigen
Erstes Fazit Olaf19
Erstes Fazit Grossadministrator
Erstes Fazit Tyrfing
Erstes Fazit Grossadministrator
@Plazebo, Teletom u.a. Olaf19
End of Part I... Fazit Olaf19
End of Part I... Fazit Teletom
Nachrichten-Spam Olaf19
Nachrichten-Spam Tyrfing
@Mister NACHRICHTENDIENST Brezel
@Mister NACHRICHTENDIENST Brezel
@Mister NACHRICHTENDIENST Brezel
Mein Fazit Tyrfing
Mein Fazit GarfTermy
na dann....:- glorias