Viren, Spyware, Datenschutz 11.241 Themen, 94.650 Beiträge

IT-Sicherheit: Die Grundlagen... ein Weg zum Minimalkonsens?

Olaf19 / 77 Antworten / Flachansicht Nickles
Hallo zusammen.

Da die Diskussionen zum Thema Sicherheitskonzepte auf diesem Board sich mit schöner Regelmäßigkeit im Kreise drehen, nicht wirklich vorankommen und in jedem Thread wieder bei Null beginnen, möchte ich jetzt einmal in die Runde fragen, ob es nicht eine Möglichkeit gibt, sich auf einen Minimalkonsens zu einigen, dem alle zustimmen können, egal welches Sicherheitskonzept sie für sich bevorzugen.

Bildlich gesprochen, hatten bislang alle Diskussionen hier eine V-Form: Einigkeit gab es nur auf dem alleruntersten Level. Jeder ist gegen Malware und für mehr Sicherheit - aber danach driften die Argumentationen schon munter auseinander. Mein Ziel ist es, von diesem V-förmigen Diskussions-Verlauf zu einer Y-Form zu kommen: Ein Stück weit gehen alle zusammen, und erst dann gabelt sich der Weg - je nachdem, wie die Vorlieben in Sachen Sicherheit sind.

Ob das mit Hilfe dieses Thread gelingt, kann ich nicht im voraus sagen - aber einen Versuch ist es mir wert. Wer weiß, vielleicht kann dieser Thread sogar die Grundlage für eine FAQ speziell für dieses Board bilden.

Um überhaupt in die Lage zu kommen, ein Sicherheitskonzept zu entwickeln, muss man sich die Frage stellen: Wer oder was bedroht überhaupt meine Sicherheit, wie, womit, auf welche Weise geschieht das? Dazu das folgende fiktive, aber nicht unwahrscheinliche Fallbeispiel von "Herrn X".

Herr X hat folgende Voraussetzungen:

- ein flottes AMD-System als Einzelplatzrechner, also kein Heimnetzwerk
- Betriebssystem: Windows XP ohne SP 1 und ungepatched
- Browser: Internet Explorer 6 ohne SP 1 und ungepatched
- Mailclient: Outlook Express 6, ebenfalls im "Urzustand"
- Werbeblocker: keine
- Virenscanner: keinen
- Firewall: keine
- sonstige Sicherheitsmaßnahmen: keine

Um es einmal salopp auszudrücken: Herr X kümmert sich einen Dreck um seine Sicherheit. Um das Maß vollzumachen: Er hat noch nicht einmal einen Gastaccount eingerichtet - er geht immer mit vollen Administratorrechten ins Internet... und doch, es gibt auch Positives zu berichten:

Herr X gibt seine eMail-Adresse nicht wahllos heraus. Als Resultat bekommt er kaum Spammails. EMails unbekannter Absender wandern ungelesen in den Müll. Mit Attachments und HTML-Mails ist Herr X äußerst vorsichtig - im Zweifel ebenfalls: Weg damit.

Gelegentlich lädt sich Herr X Software aus dem Internet herunter, Open Office z.B. oder Utilities wie den Acrobat Reader oder Total Commander. Immer vom Hersteller oder von renommierten PC-Zeitschriften. Dubiose Quellen oder Tauschbörsen meidet Herr X wie der Teufel das Weihwasser.

Auch Sex-, Porno-, Hacker- und WareZseiten sind Herrn X fremd. Dafür surft er umso häufiger Nachrichtenseiten, Firmenhomepages, politische, wissenschaftliche und literarische Seiten an.

Was den humanen Sicherheitsfaktor, also das Surfverhalten angeht, ist Herr X demnach geradezu ein Musterschüler des Internets. Vorbildlich ist auch seine Angewohnheit, seine Daten regelmäßig zu sichern. Nur seine Systemkonfiguration enthält keinerlei Merkmale eines sicheren Systems...

Frage an Euch: Was genau kann diesem Herrn X im Internet passieren? Wo lauern die Gefahren? Mit welchen mehr oder gravierenden Sicherheitsproblemen muss er rechnen, wenn er derart ungeschützt im Web auf die Reise geht? An welchen Stellen müsste er konkret den Hebel ansetzen, um Sicherheitslücken zu schließen?

Bitte an dieser Stelle noch keine Ratschläge posten. Zunächst geht es nur um mögliche Probleme - noch nicht um die Lösungen dazu.

Ich freue mich wie immer - aber diesmal ganz besonders! - auf Eure Anregungen.

CU
Olaf
Die Welt ist ein Jammertal ohne Musik. Doch zum Glueck gab es Bach, Beethoven, Haendel und Goethe (Helge Schneider)
bei Antwort benachrichtigen
www.bsi.de GuFu
Hmm ... Twista
Erstes Fazit Olaf19
Erstes Fazit Grossadministrator
Erstes Fazit Tyrfing
Erstes Fazit Grossadministrator
Teletom Olaf19 „IT-Sicherheit: Die Grundlagen... ein Weg zum Minimalkonsens?“
Optionen

Hallo Olaf19 und all die anderen,

die sich sehr ausführlich beteiligt haben.

Trotz überwiedend sehr guter Darstellungen kann man Einiges nicht so stehen lassen.

Folgende Maßnahmen des Firewallsicherheitskonzepts wurden positiv festgestellt:

- der menschliche Faktor als wichtigstes Sicherheitskriterium
- stets beachten, dass es eine 100%ige Sicherheit nie gibt
- Aufhebung der Netbios-Bindung und der Datei- und Druckerfreigabe am Internetadapter
- das System immer auf den neuesten Update-Stand bringen
- ein effektiver Virenschutz, der auch E-Mail-Clients einbezieht (z.B. AVG6 FE Grisoft)
- Malware-Entfernungsprogramme z.B. Spybot S&D, Ad-Aware
- eine Backup-Strategie (z.B. EruNT, EruTask)
- Werbeblocker verwenden (sehr effektiv: 127.0.0.1 <URL> HOSTS-Dateieintrag; z.B. Adshield beim IE, andere Browser haben häufig eigene Werbeblocker)
- 0190Alarm- oder 0190Warner-Einsatz bei ISDN oder analoger Einwahl
- bei Notwendigkeit einen Spam-E-Mail-Filter einbauen (z.B. Spampal)

Der Firewalldienst hat eine vorrangige Bedeutung.
Wie schwer will man sich es mit diesem Firewalldienst überhaupt noch machen?
Das grenzt ja schon an das Unfassbare. Die Begründung warum man den Firewalldienst unbedingt einsetzen sollte, wurde wiedermal von fast jedem überlesen bzw. ignoriert.
Stattdessen werden leider wieder Port-Visionen auf die Tagesordnung gebracht.

Man ist leider in sofern visionär, weil man sich mit den Ports aufhält und nicht weiter denkt. Um das etwas pragmatischer zu machen, hab ich mir mal das niedliche Programm Angry-Ip-Scanner gezogen. Niedlich ist das Programm aus dem Grunde, da ein nettes Hello-PlugIn dazu existiert, das passt wunderbar zu dem Nachrichtendiest-Thema.

Also lass ich mal einen Portscan auf meine Internet-IP von Port 1 bis Port 500 (es gibt 65535 Ports!) laufen. Ca. 3 Sekunden pro Port das muss ich mir nicht antun ---> Abbruch
3 mal 500 ergibt 1500 Sekunden oder 25 Minuten. Bei einem Portscan auf eine IP im Internet wäre bei einer durchschnittlichen Onlinezeit von 30 Minuten am Stück das Ziel mit Sicherheit down.

Scriptkiddies z.B. erfinden nicht die EDV neu, sie können auch bloß Portscans anwenden.
ODER sie benutzen IP-Scanner wie den Angry-Ip-Scanner. Starte ich mal den Ip-Scanner. 511 Ip-Nummern in 77 Sekunden (0,151 Sek. pro Ip-Nummer). Machmerma eine XXXXXXXXXX (ausgeixt von der gnadenlosen Zensur) - Attacke auf eine gefundene IP-Nummer.
Der IP-Scanner an sich ist kein Hacker-Tool, nur der Missbrauch des Programmes kann zu einem Schaden führen.

Kommen wir zum Knackpunkt:
IP-Scan bedeutet, Pings auf der Grundlagwe des ICMP-Protokolls werden gesendet und eine evtl. Antwort wird ausgewertet.
Dumistvieh hat dazu eine sehr interessante Aussage über Scriptkiddy-Angriffe formuliert (thx):
>beim zweiten icmp-ping landen sie endgültig im paketfilter und können nach hause gehen
Warum erst den zweiten ICMP-Ping nicht zu lassen, würde es nicht besser sein den ersten Ping auch entsprechend nicht zu verarbeiten? In der Regel gibt es keinen Grund dieses beim ersten Ping auch so zu machen.

Die Lösung:
Einen Firewalldienst unumgänglich so einzurichten, dass die genannten ICMP-Einstellungen für den Internetadapter vorgenommen werden und zwar so, dass für den Ping-Sender "Zeitüberschreitung der Anforderung" erscheint UND nix is mit Angriffen.

(Nicht über ungelegte Port-"Eier" nachdenken, bei ICMP gibt es keine Ports!!!)

Da der Nachrichtendienst zum wiederholten Mal leider wieder nur visionär angesprochen wurde, hier auch dazu ein paar pragmatische Bemerkungen:

Der Nachrichtendienst ist viel zu klein, um darüber überhaupt zu sprechen.

Den Nachrichtendienst zu deaktivieren, lohnt sich überhaupt nicht. Darüber hinaus kann man sogenannte Winpopup-Spam-Pakete nicht durch das Deaktivieren des Nachrichtendiensts fern halten.
Vergleiche Protokollauszüge:
http://www.nickles.de/thread_cache/537447162.html
http://www.nickles.de/thread_cache/537442029.html
Die Protokolle wurden unter Windows 98 angefertigt, da läuft kein Nachrichtendienst und trotzdem gelangte der erwähnte Winpopup-Spam ohne Firewall in das System.

Lösung die Firewall-Lösung siehe oben.
Wie die Protokolle belegen, erfolgt vor jeder Nachricht ein ICMP-Ping. Die Firewall-Lösung hält letztlich auch den Winpopup-Spam fern.

Da Winpopup-Spam auch ohne Nachrichtendienst in das System gelangt, ist es völlig Worscht, ob der Nachrichtendienst aktiviert ist oder nicht, nur der Firewalldienst hält diesen Winpopup-Spam wirklich fern.

Ich hoffe, dass man nicht weiterhin Wichtiges ignoriert.

Gruß
Teletom

bei Antwort benachrichtigen
@Plazebo, Teletom u.a. Olaf19
End of Part I... Fazit Olaf19
End of Part I... Fazit Teletom
Nachrichten-Spam Olaf19
Nachrichten-Spam Tyrfing
@Mister NACHRICHTENDIENST Brezel
@Mister NACHRICHTENDIENST Brezel
@Mister NACHRICHTENDIENST Brezel
Mein Fazit Tyrfing
Mein Fazit GarfTermy
na dann....:- glorias