Internet Firewall zugriff Netzwerk Rechner Partition netzwerkverbindung

System sicher machen (Ideen)

Von: , Frage gestellt am Mo, 31. Jan 2005

Morgen,

also der ganze Zirkus bisher ging mir ja schon auf den Wecker, aber als ich in der c't las, was wir dieses Jahr wohl noch an Viren, Würmern & Co erwarten dürfen, reicht's mir nun eigentlich!

Ich hab nun folgende Idee:

Komplettes Abkoppeln meines Arbeitsrechners vom Internet. Dazu richte ich mir einen hier rumstehenden Zweitrechner (Celeron 800) so ein, dass dort eigentlich nur eine kleine Platte werkelt, ein Browser und ein eMail-Client und ich selbst richte mir als User nur noch die absolut nötigsten Rechte ein (Zugriff auf nur noch eine einzige Partition).

Im Falle eines Angriffs oder einer Verseuchung wäre also nur ein Minisystem - nicht mein Arbeitsrechner - betroffen, ich könnte in wenigen Minuten mein Image zurückspielen und gut is.

Soweit richtig? Hoffentlich... Aber dieses Szenario gilt ja jetzt nur für zwei völlig unverbundene Rechner. Natürlich erhalte ich auch Daten aus dem Netz, die ich auf meinen Arbeitsrechner schaufeln muss und umgekehrt. Supersicher aber wohl kaum praktikabel wäre nun wohl das Aufspielen der Daten von einem Rechner auf ein USB-Laufwerk, Umstöpseln desselben und dann wiederum Aufspielen der Daten vom USB-Laufwerk auf den Zielrechner...

Wie sieht's nun aber mir einer Netzwerkverbindung aus, also wenn ich Arbeits- und Internetrechner miteinander verbinde? Das würde ich so machen, dass der Internetrechner eben - wie eingangs beschrieben - nur Zugriff auf eine kleine Partition und NICHT auf das Netzwerk bekommt. Diese kleine Partition würde ich nun aber freigeben, damit ich Daten einseitig vom Arbeitrechner runterladen und wieder aufspielen kann.

Wenn ich also vom Internetrechner NUR Zugriff auf eine Partition, aber NICHT auf das Netzwerk habe, können dann Angreifer trotzdem einen Zugang zu meinem Arbeitsrechner finden und diesen nutzen (zum Beispiel über die Freigabe oder die Netzwerkverbindungen)?

Und noch ne Idee: wenn ich mir zum Beispiel einen Minimac kaufe und diesen als Internetrechner verwende... Ist das dann NOCH sicherer?

Vielleicht werde ich langsam paranoid, aber es nervt echt, dass ich zwischenzeitlich gut ein Fünftel meiner Arbeitszeit damit verbringe, meine Systeme zu sicher...

Grüße + merci
JS

10 Antworten zu dieser Frage

1. Antwort von nach 28 Minuten 0 hilfreich

   Re: System sicher machen (Ideen)

   Nimm' so einen Minirechner (obwohl ein Celeron 800 eigentlich überdimensioniert wäre), um darauf eine ordentliche Firewall zu installieren. fli4l (aber weniger auf Firewallfunktionen bedacht), IPCop, Sm00thwall...
   Wenn du das hast, immer schön Patches für's Windows lädst und wenn du magst, einen alternativen Browser wie Firefox verwendest, ist die Chance sehr gering, dass dir was passiert. Ich bin seit 6 Jahren mit IE und OE unterwegs und bisher konnte sich noch kein Vagabund auf mein System einschleichen und das wird auch so bleiben.
   Denn das beste AntiViren-Programm ist immer noch die eigene Vorsicht und ein gesundes Misstrauen.
   

2. Antwort von nach 31 Minuten 0 hilfreich

   Re: System sicher machen (Ideen)

   Hallo, Im Falle eines Angriffs oder einer Verseuchung wäre also nur
   ein Minisystem - nicht mein Arbeitsrechner - betroffen, ich
   könnte in wenigen Minuten mein Image zurückspielen und gut is.
   In diesem Falle wäre dein Arbeitsrechner sicher :-)
   Von wo willst Du
   das Image zurückspielen ? Woran merkst Du, dass Dein Minirechner befallen ist ?
   Der Sicherheitszugewinn für Deinen Arbeitsplatzrechner ist sicherlich da, aber ob es deinen Arbeitsaufwand senkt, wage ich zu bezweifeln. Du willst ja auch nicht, daß andere Leute Deinen Minirechner als DDOS-Sklaven benutzen. Eine gute
   Idee ist es aber insofern, daß Du die Zahl der laufenden Dienste/Programme
   auf dem Minirechner gering halten kannst, und so die Zahl der Schwachstellen
   verringerst...und Du kannst Das Image natuerlich im Stundentakt einspielen :-) Soweit richtig? Hoffentlich... Aber dieses Szenario gilt ja
   jetzt nur für zwei völlig unverbundene Rechner. Natürlich
   erhalte ich auch Daten aus dem Netz, die ich auf meinen
   Arbeitsrechner schaufeln muss und umgekehrt. Supersicher aber
   wohl kaum praktikabel wäre nun wohl das Aufspielen der Daten
   von einem Rechner auf ein USB-Laufwerk, Umstöpseln desselben
   und dann wiederum Aufspielen der Daten vom USB-Laufwerk auf
   den Zielrechner...
   Das waere nicht wesentlich sicherer, als von dem Minirechner aus eine
   Platte zu exportieren (s.u.) auf die der Arbeitsplatzrechner dann zugreifen darf (und sonst muss er jede Verbindung ablehnen). Das Problem liegt an einer ganz anderen Stelle: Die Viren faengst Du
   Dir dann trotzdem ein, da Sie erst auf dem Rechner aktiv werden, auf dem Du die
   entprechenden Programme ausführst. Die USB-Stick Variante muesste also so aussehen, dass Du den USB-Stick erst 14 Tage in den Schrank legst, bis die
   Antivirenhersteller mit den Signaturen auf dem Stand von vor 14 Tagen sind,
   und dann den Stick auf einem dritten Rechner virencheckst.
   Wie sieht's nun aber mir einer Netzwerkverbindung aus, also
   wenn ich Arbeits- und Internetrechner miteinander verbinde?
   Das würde ich so machen, dass der Internetrechner eben - wie
   eingangs beschrieben - nur Zugriff auf eine kleine Partition
   und NICHT auf das Netzwerk bekommt. Diese kleine Partition
   würde ich nun aber freigeben, damit ich Daten einseitig vom
   Arbeitrechner runterladen und wieder aufspielen kann.
   
   Wenn ich also vom Internetrechner NUR Zugriff auf eine
   Partition, aber NICHT auf das Netzwerk habe, können dann
   Angreifer trotzdem einen Zugang zu meinem Arbeitsrechner
   finden und diesen nutzen (zum Beispiel über die Freigabe oder
   die Netzwerkverbindungen)?
   Klar. Der Virus befaellt Deinen Minirechner, wird da Admin und installiert einen
   Proxy. Dann ersetzt er auf deiner Mini-Partition ein File durch sich selbst.
   Du fuehrst es auf Deinem Arbeitsrechner aus, der Virus schnappt sich auch diesen
   und benutzt den Proxy fuer eine Aussenverbindung.
   Du kannst keine absolute Sicherheit bekommen. Du kannst es dem Angreifer immer
   nur schwer machen.
   
   
   
   Und noch ne Idee: wenn ich mir zum Beispiel einen Minimac
   kaufe und diesen als Internetrechner verwende... Ist das dann
   NOCH sicherer?
   Im Prinzip ja, da der Minimac einen Mix aus Net/FreeBSD einsetzt, die doch etwas
   sicherheitsorientierter konstruiert sind als Windows. Aber aucb wenn
   ich selbst Apple-Fan bin, muss ich Dir sagen, dass es ein alter Pentium mit
   einem echten Net/Free/OpenBSD, NSA Linux etc. genauso tut. das wird aber natuerlich mehr Arbeit.
   
   
   ML
   

3. Antwort von nach 39 Minuten 0 hilfreich

   Re: System sicher machen (Ideen)

   Und noch ne Idee: wenn ich mir zum Beispiel einen Minimac
   kaufe und diesen als Internetrechner verwende... Ist das dann
   NOCH sicherer?
   Ja. Vielleicht werde ich langsam paranoid, aber es nervt echt,
   dass ich zwischenzeitlich gut ein Fünftel meiner Arbeitszeit
   damit verbringe, meine Systeme zu sicher...
   Ich bin ebenfalls hoch paranoid, was Computersicherheit angeht, aber ich wende für meinen Mac maximal 1% meiner Zeit für Sicherheit auf. Ich benutze keine Firewall und keinen Virenscanner noch irgendwelche Spybot-Destroyer oder andere merkwürdige Programme.
   
   Stefan
   

4. Antwort von nach 2 Stunden 0 hilfreich

   Re: System sicher machen (Ideen)

   Hallo John Wie sieht's nun aber mir einer Netzwerkverbindung aus, also
   wenn ich Arbeits- und Internetrechner miteinander verbinde?
   Vielleicht wäre folgendes möglich: Die beiden Rechner via Hub oder Switch vernetzen. Und dieses Gerät nur einschalten, wenn Du effektiv Daten vom einen auf den anderen Rechner schaufeln musst. Danach wieder abschalten, so dass sie keine Verbindung mehr untereinander haben. Alternativ halt beim Arbeitsrechner das Netzwerkkabel nach Bedarf ein- bzw. ausstecken.
   
   Ausserdem würde ich mir etwas überlegen, wie ich die Daten auf dem Internet-Rechner nach dem Download prüfen kann, um die Gefahr, etwas virenverseuchtes auf den Arbeits-PC zu beamen zu vermindern. Beispielsweise könntest Du jede Datei nach dem Download bei http://www.virustotal.com/flash/index_en.html prüfen lassen. Denn da wird jede Datei mit ca. 13 Antivirentools gleichzeitig gescannt.
   
   Und dann die Verbindung nur dann herstellen, wenn die Datei mit grösstmöglicher Sicherheit als sauber gilt. Dieses Vorgehen würde ich auch bei Verwendung eines USB-Sticks o.ä. anwenden. Und noch ne Idee: wenn ich mir zum Beispiel einen Minimac
   kaufe und diesen als Internetrechner verwende... Ist das dann
   NOCH sicherer?
   Was Du mit dem Mac herunterlädst, kann zumindest dem Mac in der Regel nichts anhaben. Und Virus Total (o.g. Link) funktioniert auch mit dem Mac.
   
   CU
   Peter
   

   • Antwort von nach 2 Stunden 0 hilfreich

     So mach ichs auch; bin zufrieden (owt)

     .
     

5. Antwort von nach 3 Stunden 0 hilfreich

   Re: System sicher machen (Ideen)

   Wie sieht's nun aber mir einer Netzwerkverbindung aus, also
   wenn ich Arbeits- und Internetrechner miteinander verbinde?
   Das würde ich so machen, dass der Internetrechner eben - wie
   eingangs beschrieben - nur Zugriff auf eine kleine Partition
   und NICHT auf das Netzwerk bekommt. Diese kleine Partition
   würde ich nun aber freigeben, damit ich Daten einseitig vom
   Arbeitrechner runterladen und wieder aufspielen kann.
   Du könntest die Netzwerkverbindung zw. Client und Server (Internetrechner) über eine Ein-Weg-Verbindung realisieren. Du hättest keinen gemeinsamen Share, müsstest also auf den Server geladene Daten explizit vom Client her anfordern, hättest aber einen hochgradig abgeschotteten Client.
   
   Du schreibst nicht, welche BS du verwendest, ich gehe der Einfachheit halber von Windows aus. Laufen beide Rechner unter Windows und sind mittels der Windows-Netzwerkdienste miteinander verbunden, bedeutete eine Infektion des Servers fast sicher auch eine anschliessende Clientinfektion.
   
   Läuft der Server unter Linux, hast du eine gewaltige Menge an Optionen, bleiben wir aber bei Windows: Wenn du auf beiden Rechnern die Windows-Dienste wie unter http://www.ntsvcfg.de/ beschrieben deaktivierst, sind beide Rechner hinreichend voneinander abgeschottet. So weit gehend, dass du auf dem üblichen Wege (Freigaben) leider auch keine Dateien mehr tauschen kannst.
   
   Hier kommt OpenSSH http://sshwindows.sourceforge.net/ oder Kombination OpenSSH/Cygwin http://openssh.org/portable.html ins Spiel. Du installierst auf dem Server den SSH-Dienst und kannst jetzt, z. B. mittels WinSCP http://winscp.sourceforge.net/eng/index.php bequem und sicher vom Client auf die Serverplatten zugreifen. Dieser Zugriff aber ist einseitig, d. h. es ist kein entspr. Durchgriff vom Server auf den Client möglich. Ist der Server also gehackt, so ist dein Client nach wie vor weitgehend sicher.
   
   Diese Methode hat einen Nachteil: Ein auf dem Server installierter Dienst ist zunächst nicht nur gegenüber dem Client offen, sondern auch gegenüber dem Internet. Ich weiss, ohne die Dokumentation zu lesen, nicht, ob es unter Windows möglich ist, den SSH-Dienst explizit an eine Netzwerkkarte zu binden. Wenn dies geht, bräuchtest du auf dem Server zwei Netzwerkkarten, und könntest so sicherstellen, dass dein Server Dienste intern, aber nicht ins Internet anbietet.
   
   Wenn deine Paranoia aber tatsächlich so weit geht, dass du eine derartige Lösung in Betracht ziehst, solltest du dringend überlegen, ob du auf dem Server nicht gleich ein sicher konfigurierbares BS einsetzt.
   
   Gruss
   Schorsch
   

6. Antwort von nach 9 Stunden 0 hilfreich

   Re: System sicher machen (Ideen)

   Hallo,
   
   wenn du wriklich paranoid sein willst, dann nimm für den Zweitrechner OpenBSD oder FreeBSD. Damit kannst du relativ unbedenklich im Internet surfen. Und für deinen Arbeitsrechner kannst du dann auf dem Zweitrechner eine Firewall und einen filternden Proxy (hab grad das Fachwort vergessen *sg*) installieren...
   
   Grüße,
   Moritz
   

7. Antwort von nach einem Tag 1 hilfreich

   Re: System sicher machen (Ideen)

   Hallo,
   
   auch wenn es vieleicht nicht ganz Deinen Erwartungen entspricht hab ich noch eine ganz andere Idee. Nimm einen Apple Mac.
   Der ist einfach zu bedienen, sicher (VB Viren, Exe Dateianhänge, Outlook und SQL Viren, etc. kennt der nicht, d.h. man kann selbst auf einen virenverseuchten Dialer klicken, aber .dll Dateien oder klickmich.bat Dateien kennt der halt nicht), integrierte Firewall im OS (BSD basierend), schick, etc.
   Ist halt eine All-in-One Lösung, funktioniert und gut is. Auch wenn die ein oder anderen Neider nun wieder Ihre Lobeslieder singen wollen, aber wenn einer ruft "ich hab die Sch*** voll von der M$ Geisel.." ist das IMHO der beste Ansatz (unabhängig von der Hardwareneuanschaffung *g*).
   
   
   Gruß
   h.
   

8. Antwort von nach einem Tag 0 hilfreich

   Re: System sicher machen (Ideen)

   Morgen,
   Cooler Name John Smith!
   
   Ja, entweder Du bist Paranoid oder extrem wichtig!
   
   Gruß Grüne
   

• « Zurück
• 1
• 2
• Vorwärts »

Keine passende Antwort gefunden? Jetzt eigene Frage stellen!