Viren, Spyware, Datenschutz 11.241 Themen, 94.650 Beiträge

IT-Sicherheit: Die Grundlagen... ein Weg zum Minimalkonsens?

Olaf19 / 77 Antworten / Flachansicht Nickles
Hallo zusammen.

Da die Diskussionen zum Thema Sicherheitskonzepte auf diesem Board sich mit schöner Regelmäßigkeit im Kreise drehen, nicht wirklich vorankommen und in jedem Thread wieder bei Null beginnen, möchte ich jetzt einmal in die Runde fragen, ob es nicht eine Möglichkeit gibt, sich auf einen Minimalkonsens zu einigen, dem alle zustimmen können, egal welches Sicherheitskonzept sie für sich bevorzugen.

Bildlich gesprochen, hatten bislang alle Diskussionen hier eine V-Form: Einigkeit gab es nur auf dem alleruntersten Level. Jeder ist gegen Malware und für mehr Sicherheit - aber danach driften die Argumentationen schon munter auseinander. Mein Ziel ist es, von diesem V-förmigen Diskussions-Verlauf zu einer Y-Form zu kommen: Ein Stück weit gehen alle zusammen, und erst dann gabelt sich der Weg - je nachdem, wie die Vorlieben in Sachen Sicherheit sind.

Ob das mit Hilfe dieses Thread gelingt, kann ich nicht im voraus sagen - aber einen Versuch ist es mir wert. Wer weiß, vielleicht kann dieser Thread sogar die Grundlage für eine FAQ speziell für dieses Board bilden.

Um überhaupt in die Lage zu kommen, ein Sicherheitskonzept zu entwickeln, muss man sich die Frage stellen: Wer oder was bedroht überhaupt meine Sicherheit, wie, womit, auf welche Weise geschieht das? Dazu das folgende fiktive, aber nicht unwahrscheinliche Fallbeispiel von "Herrn X".

Herr X hat folgende Voraussetzungen:

- ein flottes AMD-System als Einzelplatzrechner, also kein Heimnetzwerk
- Betriebssystem: Windows XP ohne SP 1 und ungepatched
- Browser: Internet Explorer 6 ohne SP 1 und ungepatched
- Mailclient: Outlook Express 6, ebenfalls im "Urzustand"
- Werbeblocker: keine
- Virenscanner: keinen
- Firewall: keine
- sonstige Sicherheitsmaßnahmen: keine

Um es einmal salopp auszudrücken: Herr X kümmert sich einen Dreck um seine Sicherheit. Um das Maß vollzumachen: Er hat noch nicht einmal einen Gastaccount eingerichtet - er geht immer mit vollen Administratorrechten ins Internet... und doch, es gibt auch Positives zu berichten:

Herr X gibt seine eMail-Adresse nicht wahllos heraus. Als Resultat bekommt er kaum Spammails. EMails unbekannter Absender wandern ungelesen in den Müll. Mit Attachments und HTML-Mails ist Herr X äußerst vorsichtig - im Zweifel ebenfalls: Weg damit.

Gelegentlich lädt sich Herr X Software aus dem Internet herunter, Open Office z.B. oder Utilities wie den Acrobat Reader oder Total Commander. Immer vom Hersteller oder von renommierten PC-Zeitschriften. Dubiose Quellen oder Tauschbörsen meidet Herr X wie der Teufel das Weihwasser.

Auch Sex-, Porno-, Hacker- und WareZseiten sind Herrn X fremd. Dafür surft er umso häufiger Nachrichtenseiten, Firmenhomepages, politische, wissenschaftliche und literarische Seiten an.

Was den humanen Sicherheitsfaktor, also das Surfverhalten angeht, ist Herr X demnach geradezu ein Musterschüler des Internets. Vorbildlich ist auch seine Angewohnheit, seine Daten regelmäßig zu sichern. Nur seine Systemkonfiguration enthält keinerlei Merkmale eines sicheren Systems...

Frage an Euch: Was genau kann diesem Herrn X im Internet passieren? Wo lauern die Gefahren? Mit welchen mehr oder gravierenden Sicherheitsproblemen muss er rechnen, wenn er derart ungeschützt im Web auf die Reise geht? An welchen Stellen müsste er konkret den Hebel ansetzen, um Sicherheitslücken zu schließen?

Bitte an dieser Stelle noch keine Ratschläge posten. Zunächst geht es nur um mögliche Probleme - noch nicht um die Lösungen dazu.

Ich freue mich wie immer - aber diesmal ganz besonders! - auf Eure Anregungen.

CU
Olaf
Die Welt ist ein Jammertal ohne Musik. Doch zum Glueck gab es Bach, Beethoven, Haendel und Goethe (Helge Schneider)
bei Antwort benachrichtigen
www.bsi.de GuFu
Hmm ... Twista
Erstes Fazit Olaf19
Erstes Fazit Grossadministrator
Erstes Fazit Tyrfing
Erstes Fazit Grossadministrator
@Plazebo, Teletom u.a. Olaf19
End of Part I... Fazit Olaf19
End of Part I... Fazit Teletom
Nachrichten-Spam Olaf19
Nachrichten-Spam Tyrfing
@Mister NACHRICHTENDIENST Brezel
@Mister NACHRICHTENDIENST Brezel
@Mister NACHRICHTENDIENST Brezel
Tyrfing Olaf19 „IT-Sicherheit: Die Grundlagen... ein Weg zum Minimalkonsens?“
Optionen

Also, fangen wir mal mit dem altbewährten ND an:
- laut Teletom ist der Resourcenverbrauch dieses Dienstes vernachlässigbar klein
- laut ihm sind aber auch die knapp 400-500 Byte (zum Vergleich: ein T-DSL-Anschluss schafft bis zu 98 304 Byte/s) so groß, dass durch den Bandbreitenverbrauch dieser Pakete die Ausfallsicherheit des System gefährdet ist

Um dieses Problem zu lösen, installiert man laut Teletom einen Paketfilter, der
- mehr Resourcen verbraucht als alle für den Normalverbraucher überflüssigen Dienste zusammen
- durch das Blockieren der Statusmeldungen dafür sorgt, dass "falsch verbundene" Programme (was bei dynamischen IPs leicht vorkommt, am häufigsten bei Filesharingclients) nicht beim ersten Verbindungsversuch eine abschlägige Antwort erhalten und deshalb weitere Versuche einstellen, sondern noch drei weitere versuche starten, bis sie "aufgeben" --> die Bandbreitennutzung dieser Vorgänge vervierfacht sich.

Anmerkung: Ich konnte übrigens bisher exakt einmal Teletoms Beobachtungen nachvollziehen, sonst kommen ND-Nachrichten bei mir persönlich immer ohne vorherigen Ping an


Die Ports:
-Eine PF kann wie andere Paketfilter auch den Zugriff auf bestimmte Ports blockieren
Aber:
-Die Ports sind am System nicht geschlossen, sondern nur durch die PF blockiert (um beim Türbeispiel zu bleiben: Es gibt zwar eine abgeschlossene Tür, aber die ist nicht so sicher wie eine Wand)
-Die Ports wären auch zu, wenn man die ensprechenden Programme beenden (NetBIOS am Internetadapter etc.) bzz. gar nicht erst installieren (Backdoors etc.) würde.


Die Unsichtbarkeit:
- Die PF kann den Rechner für manche Methoden (normaler Ping) "unsichtbar" machen
aber:
- Für viele andere Methoden tritt der "schwarzes-Loch-Effekt" (eben dadurch, dass nicht zurückkommt zeigt sich, dass da etwas sein muss) in Kraft. Ein Besispiel ist ein einfaches UDP-Paket, auf das weder ein "Host unreachable" vom letzen Router vor dem Ziel noch ein "Port unreachable" vom Rechner selbst kommt: Dann wurde das Paket sehr wahrscheinlich angenommen oder die Antwort wurde geblockt
- Ein Programm, dass nur die Anwesenheit eines Rechners feststellen will (und deshalb darauf ausgelegt ist, mit PFs "umzugehen"), wird bei einer fehlenden Rückmeldung nicht vom (vergleichsweise unwahrscheinlichen) Fall ausgehen, dass das Paket verlorenging, wie es ein legitimes Programm (das ja nicht darauf ausgelegt ist, von PFs geblockt zu werden) tun würde.


Der Schutz vor Angriffen auf nicht abschaltbare Lücken:
- Eine PF kann vor manchen Ausnutzungen solcher Lücken schützen
Aber:
- dafür gibt es aber ähnliche Probleme mit der PF selbst
- es kann aber auch vorkommen, dass die PF gegen solche Angriffe nicht schützt, dann hat man die Lücken im Betriebssystem und in der PF, oder die PF hat dieselben Lücken wie das Betriebssystem. (angenommen man würde mal wieder eine Angriffsmöglichkeit mit ungültigen Paketen finden: daran kann sich die PF genau so "verschlucken" wie das Betriebssystem, oder auch nur eines von Beiden)
--> man muss entweder auf den Patch fürs Betriebssystem oder die PF warten, wenn man Pech hat sogar auf beide


Zugriffe "von innen":
-Eine PF kann bestimmte Programme daran hindern, Verbindungen aufzubauen
aber:
- die technische Komponente: Solange das blockende und das zu blockende Programm auf einem System sind, gibt es immer einen Weg "vorbei" oder "mittendurch" (ein simples Beispiel, nicht einmal von einem Wurm oder sonstiger Malware)
- die menschliche Komponente: Wenn ein User im Glauben, ein Windows-Update zu installieren, einen Trojaner installiert, wird er sich auch nicht über die von der PF gemeldeten Änderungen an manchen Programmen wundern


PS: "Fakten Baby, Fakten"

PPS: @ Garf: Ich schrieb:
>>[...]Portscans werden per TCP oder UDP durchgeführt[...] Du schriebst:
>>[..]das du für dich den schluß ziehst, das nur eine variante benutzt wird[...] Wer lesen kann...;-)

bei Antwort benachrichtigen
Mein Fazit GarfTermy
na dann....:- glorias