Hallo!
Mit einer Standleitung ins Internet, wobei alle Workstations ins Internet gehen können,
möchte ich ein Sicherheitskonzept erstellen.
Wo kann ich mir Info´s im Internet anschauen??? Wer hat schon erfahrung damit gemacht?? Welche Möglichkeiten von Angriffen gibt es ??? Wie kann ich es selbst
testen und meinem Chef Beweise für die Schwachstellen geben??
Vielen Dank für Eure Antworten im voraus.
Gruß,pet
Hi Pet,
Da Du eine Standleitung verwendest, gehe ich davon aus, dass Du einen Hardware-Router (Cisco, Bianca o.ä.)einsetzt.
Ist dies der Fall, so ist zunächst folgende Frage zu betrachten: Sollen nur die Mitarbeiter die Möglichkeit haben im Internet zu surfen, oder sollen Mitarbeiter oder dritte über diese Leitung auch von aussen auf Daten in eurem Unternehmensnetz zugreifen können?
Den zweiten Fall zu betrachten wäre hier zu aufwändig, bei Bedarf -> Mail.
Im ersten Fall gelten folgende einfache Regeln:
1 Das Default-Passwort des Routers ändern
2 Alle nicht benötigten Dienste und Protokolle auf dem Router deaktivieren
3 Notwendige Protokolle (z.B. Telnet) auf Zugriff aus dem Intranet beschränken
4 Network Address Translation (NAT) disablen
5 Nur Klasse C Adressen (z. B. 192.168.xxx.xxx) für Intranets verwenden. Diese Adressen sind aus dem Internet heraus nie sichtbar
6 Access-Lists kritisch bearbeiten
Leider wird jeder Router anders konfiguriert, und die Handbücher sind meist ziemlich kryptisch aufgebaut. Hier heisst es, sich durchzubeissen.
Wenn Du aber die obigen Regeln einhältst und der Router sauber konfiguriert ist, sind Angriffen von aussen dicke fette Riegel vorgebaut.
Hi,
ich find den Ansatz schon ganz gut. Wenn Du Cisco einsetzt kannst Du Dir bei www.cisco.com sogar die Konfig aus dem Web ziehen. Mann kann die Vorschläge noch ein wenig ausbauen:
1 Das Default-Passwort des Routers ändern
-> ich würde gar keinen Telnet-Zugang -> zulassen. Nur Console.
2 Alle nicht benötigten Dienste und
Protokolle auf dem Router deaktivieren
-> Also no service finger, no udp small -> servers usw.
3 Notwendige Protokolle (z.B. Telnet) auf
Zugriff aus dem Intranet beschränken
->Durch den Einsatz von Access-Listen (auch ->wenn sie nichts verbieten) kann man das ->alles auch protokollieren.
->Auf den Interfaces Access-Listen ->aktivieren
4 Network Address Translation (NAT)
disablen
->Das kapier ich jetzt nicht. Ich würde sie ->eher einschalten !
5 Nur Klasse C Adressen (z. B.
192.168.xxx.xxx) für Intranets verwenden.
Diese Adressen sind aus dem Internet
heraus nie sichtbar
->Na ja, das ist eigentlich Quark.
->Es gibt in jeder Klasse (A,B,C) einen ->reservierten Adressraum nach RFC. Dieser ->kann privat benutzt werden und wird im WWW ->nicht geroutet. Wenn man die aber im
->Intranet vergibt kann man ergo die Antwort ->nicht zurückrouten.
->So also nicht. Es müssen schon offizielle ->Adressen sein wenn man ins Web will. ->Inwieweit man sie dann durch NAT verändert ->ist eine andere Sache.
->By the way, die meisten Adressen im WWW ->sind Class C Adressen…
6 Access-Lists kritisch bearbeiten
->Stimmt. Da hat Cisco auch ein Beispiel im ->Web. Such mal nach Tips&Tricks.
Leider wird jeder Router anders
konfiguriert, und die Handbücher sind
meist ziemlich kryptisch aufgebaut. Hier
heisst es, sich durchzubeissen.
->Falls Du einen Cisco dein eigen nennst ->kannst du 98% aller Fragen im Cisco-Web ->nachschlagen. Wenn Du gar nicht weiter
->kommst, melde dich.
->Ich hab da noch ein paar Dokumente…
Wenn Du aber die obigen Regeln einhältst
und der Router sauber konfiguriert ist,
sind Angriffen von aussen dicke fette
Riegel vorgebaut.
-> AUf jeden Fall hast Du einen guten ->:stuck_out_tongue_winking_eye:aketfilter und der macht schon 75% einer ->Firewall aus.
->Allerdings. Das ist immer nur so gut wie
->es konfiguriert wurde !!
->Viel Spass, Frank