System sicher machen (Ideen)

Morgen,

also der ganze Zirkus bisher ging mir ja schon auf den Wecker, aber als ich in der c’t las, was wir dieses Jahr wohl noch an Viren, Würmern & Co erwarten dürfen, reicht’s mir nun eigentlich!

Ich hab nun folgende Idee:

Komplettes Abkoppeln meines Arbeitsrechners vom Internet. Dazu richte ich mir einen hier rumstehenden Zweitrechner (Celeron 800) so ein, dass dort eigentlich nur eine kleine Platte werkelt, ein Browser und ein eMail-Client und ich selbst richte mir als User nur noch die absolut nötigsten Rechte ein (Zugriff auf nur noch eine einzige Partition).

Im Falle eines Angriffs oder einer Verseuchung wäre also nur ein Minisystem - nicht mein Arbeitsrechner - betroffen, ich könnte in wenigen Minuten mein Image zurückspielen und gut is.

Soweit richtig? Hoffentlich… Aber dieses Szenario gilt ja jetzt nur für zwei völlig unverbundene Rechner. Natürlich erhalte ich auch Daten aus dem Netz, die ich auf meinen Arbeitsrechner schaufeln muss und umgekehrt. Supersicher aber wohl kaum praktikabel wäre nun wohl das Aufspielen der Daten von einem Rechner auf ein USB-Laufwerk, Umstöpseln desselben und dann wiederum Aufspielen der Daten vom USB-Laufwerk auf den Zielrechner…

Wie sieht’s nun aber mir einer Netzwerkverbindung aus, also wenn ich Arbeits- und Internetrechner miteinander verbinde? Das würde ich so machen, dass der Internetrechner eben - wie eingangs beschrieben - nur Zugriff auf eine kleine Partition und NICHT auf das Netzwerk bekommt. Diese kleine Partition würde ich nun aber freigeben, damit ich Daten einseitig vom Arbeitrechner runterladen und wieder aufspielen kann.

Wenn ich also vom Internetrechner NUR Zugriff auf eine Partition, aber NICHT auf das Netzwerk habe, können dann Angreifer trotzdem einen Zugang zu meinem Arbeitsrechner finden und diesen nutzen (zum Beispiel über die Freigabe oder die Netzwerkverbindungen)?

Und noch ne Idee: wenn ich mir zum Beispiel einen Minimac kaufe und diesen als Internetrechner verwende… Ist das dann NOCH sicherer?

Vielleicht werde ich langsam paranoid, aber es nervt echt, dass ich zwischenzeitlich gut ein Fünftel meiner Arbeitszeit damit verbringe, meine Systeme zu sicher…

Grüße + merci
JS

Hallo,

Im Falle eines Angriffs oder einer Verseuchung wäre also nur
ein Minisystem - nicht mein Arbeitsrechner - betroffen, ich
könnte in wenigen Minuten mein Image zurückspielen und gut is.

In diesem Falle wäre dein Arbeitsrechner sicher
Von wo willst Du
das Image zurückspielen ? Woran merkst Du, dass Dein Minirechner befallen ist ?
Der Sicherheitszugewinn für Deinen Arbeitsplatzrechner ist sicherlich da, aber ob es deinen Arbeitsaufwand senkt, wage ich zu bezweifeln. Du willst ja auch nicht, daß andere Leute Deinen Minirechner als DDOS-Sklaven benutzen. Eine gute
Idee ist es aber insofern, daß Du die Zahl der laufenden Dienste/Programme
auf dem Minirechner gering halten kannst, und so die Zahl der Schwachstellen
verringerst…und Du kannst Das Image natuerlich im Stundentakt einspielen

Soweit richtig? Hoffentlich… Aber dieses Szenario gilt ja
jetzt nur für zwei völlig unverbundene Rechner. Natürlich
erhalte ich auch Daten aus dem Netz, die ich auf meinen
Arbeitsrechner schaufeln muss und umgekehrt. Supersicher aber
wohl kaum praktikabel wäre nun wohl das Aufspielen der Daten
von einem Rechner auf ein USB-Laufwerk, Umstöpseln desselben
und dann wiederum Aufspielen der Daten vom USB-Laufwerk auf
den Zielrechner…

Das waere nicht wesentlich sicherer, als von dem Minirechner aus eine
Platte zu exportieren (s.u.) auf die der Arbeitsplatzrechner dann zugreifen darf (und sonst muss er jede Verbindung ablehnen). Das Problem liegt an einer ganz anderen Stelle: Die Viren faengst Du
Dir dann trotzdem ein, da Sie erst auf dem Rechner aktiv werden, auf dem Du die
entprechenden Programme ausführst. Die USB-Stick Variante muesste also so aussehen, dass Du den USB-Stick erst 14 Tage in den Schrank legst, bis die
Antivirenhersteller mit den Signaturen auf dem Stand von vor 14 Tagen sind,
und dann den Stick auf einem dritten Rechner virencheckst.

Wie sieht’s nun aber mir einer Netzwerkverbindung aus, also
wenn ich Arbeits- und Internetrechner miteinander verbinde?
Das würde ich so machen, dass der Internetrechner eben - wie
eingangs beschrieben - nur Zugriff auf eine kleine Partition
und NICHT auf das Netzwerk bekommt. Diese kleine Partition
würde ich nun aber freigeben, damit ich Daten einseitig vom
Arbeitrechner runterladen und wieder aufspielen kann.

Wenn ich also vom Internetrechner NUR Zugriff auf eine
Partition, aber NICHT auf das Netzwerk habe, können dann
Angreifer trotzdem einen Zugang zu meinem Arbeitsrechner
finden und diesen nutzen (zum Beispiel über die Freigabe oder
die Netzwerkverbindungen)?

Klar. Der Virus befaellt Deinen Minirechner, wird da Admin und installiert einen
Proxy. Dann ersetzt er auf deiner Mini-Partition ein File durch sich selbst.
Du fuehrst es auf Deinem Arbeitsrechner aus, der Virus schnappt sich auch diesen
und benutzt den Proxy fuer eine Aussenverbindung.
Du kannst keine absolute Sicherheit bekommen. Du kannst es dem Angreifer immer
nur schwer machen.

Und noch ne Idee: wenn ich mir zum Beispiel einen Minimac
kaufe und diesen als Internetrechner verwende… Ist das dann
NOCH sicherer?

Im Prinzip ja, da der Minimac einen Mix aus Net/FreeBSD einsetzt, die doch etwas
sicherheitsorientierter konstruiert sind als Windows. Aber aucb wenn
ich selbst Apple-Fan bin, muss ich Dir sagen, dass es ein alter Pentium mit
einem echten Net/Free/OpenBSD, NSA Linux etc. genauso tut. das wird aber natuerlich mehr Arbeit.

ML

Nimm’ so einen Minirechner (obwohl ein Celeron 800 eigentlich überdimensioniert wäre), um darauf eine ordentliche Firewall zu installieren. fli4l (aber weniger auf Firewallfunktionen bedacht), IPCop, Sm00thwall…
Wenn du das hast, immer schön Patches für’s Windows lädst und wenn du magst, einen alternativen Browser wie Firefox verwendest, ist die Chance sehr gering, dass dir was passiert. Ich bin seit 6 Jahren mit IE und OE unterwegs und bisher konnte sich noch kein Vagabund auf mein System einschleichen und das wird auch so bleiben.
Denn das beste AntiViren-Programm ist immer noch die eigene Vorsicht und ein gesundes Misstrauen.

Und noch ne Idee: wenn ich mir zum Beispiel einen Minimac
kaufe und diesen als Internetrechner verwende… Ist das dann
NOCH sicherer?

Ja.

Vielleicht werde ich langsam paranoid, aber es nervt echt,
dass ich zwischenzeitlich gut ein Fünftel meiner Arbeitszeit
damit verbringe, meine Systeme zu sicher…

Ich bin ebenfalls hoch paranoid, was Computersicherheit angeht, aber ich wende für meinen Mac maximal 1% meiner Zeit für Sicherheit auf. Ich benutze keine Firewall und keinen Virenscanner noch irgendwelche Spybot-Destroyer oder andere merkwürdige Programme.

Stefan

Hallo John

Wie sieht’s nun aber mir einer Netzwerkverbindung aus, also
wenn ich Arbeits- und Internetrechner miteinander verbinde?

Vielleicht wäre folgendes möglich: Die beiden Rechner via Hub oder Switch vernetzen. Und dieses Gerät nur einschalten, wenn Du effektiv Daten vom einen auf den anderen Rechner schaufeln musst. Danach wieder abschalten, so dass sie keine Verbindung mehr untereinander haben. Alternativ halt beim Arbeitsrechner das Netzwerkkabel nach Bedarf ein- bzw. ausstecken.

Ausserdem würde ich mir etwas überlegen, wie ich die Daten auf dem Internet-Rechner nach dem Download prüfen kann, um die Gefahr, etwas virenverseuchtes auf den Arbeits-PC zu beamen zu vermindern. Beispielsweise könntest Du jede Datei nach dem Download bei http://www.virustotal.com/flash/index_en.html prüfen lassen. Denn da wird jede Datei mit ca. 13 Antivirentools gleichzeitig gescannt.

Und dann die Verbindung nur dann herstellen, wenn die Datei mit grösstmöglicher Sicherheit als sauber gilt. Dieses Vorgehen würde ich auch bei Verwendung eines USB-Sticks o.ä. anwenden.

Und noch ne Idee: wenn ich mir zum Beispiel einen Minimac
kaufe und diesen als Internetrechner verwende… Ist das dann
NOCH sicherer?

Was Du mit dem Mac herunterlädst, kann zumindest dem Mac in der Regel nichts anhaben. Und Virus Total (o.g. Link) funktioniert auch mit dem Mac.

CU
Peter

So mach ichs auch; bin zufrieden (owt)
.

Wie sieht’s nun aber mir einer Netzwerkverbindung aus, also
wenn ich Arbeits- und Internetrechner miteinander verbinde?
Das würde ich so machen, dass der Internetrechner eben - wie
eingangs beschrieben - nur Zugriff auf eine kleine Partition
und NICHT auf das Netzwerk bekommt. Diese kleine Partition
würde ich nun aber freigeben, damit ich Daten einseitig vom
Arbeitrechner runterladen und wieder aufspielen kann.

Du könntest die Netzwerkverbindung zw. Client und Server (Internetrechner) über eine Ein-Weg-Verbindung realisieren. Du hättest keinen gemeinsamen Share, müsstest also auf den Server geladene Daten explizit vom Client her anfordern, hättest aber einen hochgradig abgeschotteten Client.

Du schreibst nicht, welche BS du verwendest, ich gehe der Einfachheit halber von Windows aus. Laufen beide Rechner unter Windows und sind mittels der Windows-Netzwerkdienste miteinander verbunden, bedeutete eine Infektion des Servers fast sicher auch eine anschliessende Clientinfektion.

Läuft der Server unter Linux, hast du eine gewaltige Menge an Optionen, bleiben wir aber bei Windows: Wenn du auf beiden Rechnern die Windows-Dienste wie unter http://www.ntsvcfg.de/ beschrieben deaktivierst, sind beide Rechner hinreichend voneinander abgeschottet. So weit gehend, dass du auf dem üblichen Wege (Freigaben) leider auch keine Dateien mehr tauschen kannst.

Hier kommt OpenSSH http://sshwindows.sourceforge.net/ oder Kombination OpenSSH/Cygwin http://openssh.org/portable.html ins Spiel. Du installierst auf dem Server den SSH-Dienst und kannst jetzt, z. B. mittels WinSCP http://winscp.sourceforge.net/eng/index.php bequem und sicher vom Client auf die Serverplatten zugreifen. Dieser Zugriff aber ist einseitig, d. h. es ist kein entspr. Durchgriff vom Server auf den Client möglich. Ist der Server also gehackt, so ist dein Client nach wie vor weitgehend sicher.

Diese Methode hat einen Nachteil: Ein auf dem Server installierter Dienst ist zunächst nicht nur gegenüber dem Client offen, sondern auch gegenüber dem Internet. Ich weiss, ohne die Dokumentation zu lesen, nicht, ob es unter Windows möglich ist, den SSH-Dienst explizit an eine Netzwerkkarte zu binden. Wenn dies geht, bräuchtest du auf dem Server zwei Netzwerkkarten, und könntest so sicherstellen, dass dein Server Dienste intern, aber nicht ins Internet anbietet.

Wenn deine Paranoia aber tatsächlich so weit geht, dass du eine derartige Lösung in Betracht ziehst, solltest du dringend überlegen, ob du auf dem Server nicht gleich ein sicher konfigurierbares BS einsetzt.

Gruss
Schorsch

Hallo,

wenn du wriklich paranoid sein willst, dann nimm für den Zweitrechner OpenBSD oder FreeBSD. Damit kannst du relativ unbedenklich im Internet surfen. Und für deinen Arbeitsrechner kannst du dann auf dem Zweitrechner eine Firewall und einen filternden Proxy (hab grad das Fachwort vergessen *sg*) installieren…

Grüße,
Moritz

Hallo,

auch wenn es vieleicht nicht ganz Deinen Erwartungen entspricht hab ich noch eine ganz andere Idee. Nimm einen Apple Mac.
Der ist einfach zu bedienen, sicher (VB Viren, Exe Dateianhänge, Outlook und SQL Viren, etc. kennt der nicht, d.h. man kann selbst auf einen virenverseuchten Dialer klicken, aber .dll Dateien oder klickmich.bat Dateien kennt der halt nicht), integrierte Firewall im OS (BSD basierend), schick, etc.
Ist halt eine All-in-One Lösung, funktioniert und gut is. Auch wenn die ein oder anderen Neider nun wieder Ihre Lobeslieder singen wollen, aber wenn einer ruft „ich hab die Sch*** voll von der M$ Geisel…“ ist das IMHO der beste Ansatz (unabhängig von der Hardwareneuanschaffung *g*).

Gruß
h.

Morgen,

Cooler Name John Smith!

Ja, entweder Du bist Paranoid oder extrem wichtig!

Gruß Grüne

Hallo John,

ich glaube ziemlich, daß meine eigentlich alles enthält, was Du als Antwort benötigst; dennoch fürchte ich, daß sie schwer verständlich ist.

also der ganze Zirkus bisher ging mir ja schon auf den Wecker,

weller zirkus?

aber als ich in der c’t las, was wir dieses Jahr wohl noch an
Viren, Würmern & Co erwarten dürfen, reicht’s mir nun
eigentlich!

d.h. dir gehts um viren, würmer und co? was findest du so schlimm dran? die graben mal ordentlich deine festplatte um.

Ich hab nun folgende Idee:

ideen sind immer gut.

Komplettes Abkoppeln meines Arbeitsrechners vom Internet. Dazu
richte ich mir einen hier rumstehenden Zweitrechner (Celeron
800) so ein, dass dort eigentlich nur eine kleine Platte
werkelt, ein Browser und ein eMail-Client und ich selbst
richte mir als User nur noch die absolut nötigsten Rechte ein
(Zugriff auf nur noch eine einzige Partition).

ja und wozu bitte browser und email, wenn der rechner durch dein „Komplettes Abkoppeln“ ging? das ist ein widerspruch.

Im Falle eines Angriffs oder einer Verseuchung wäre also nur
ein Minisystem - nicht mein Arbeitsrechner - betroffen, ich
könnte in wenigen Minuten mein Image zurückspielen und gut is.

ja schon, nur: welches image?
und auch: glaubst du, du bemerkst den moment, wo eine verseuchung stattfindet?
und dabei überhaupt: wenn es nur ganz minimal ist, dann auch ohne firewall, ohne service packs (nach deinem wortlaut gehe ich von aus, daß du windows im auge hast), ohne virenscanner?

Soweit richtig?

was kann daran richtig sein: was du hier vorstellst, sind deine handlungen ohne zielangabe, daher kann von richtig nicht geredet werden.
aber gut ist: du hast eine idee, das ist viel besser als sich irgendwie überraschen zu lassen.

Hoffentlich… Aber dieses Szenario gilt ja
jetzt nur für zwei völlig unverbundene Rechner.

siehe auch obigen widerspruch

Natürlich
erhalte ich auch Daten aus dem Netz, die ich auf meinen
Arbeitsrechner schaufeln muss und umgekehrt.

ja wie? ja was?

Supersicher aber
wohl kaum praktikabel wäre nun wohl das Aufspielen der Daten
von einem Rechner auf ein USB-Laufwerk, Umstöpseln desselben
und dann wiederum Aufspielen der Daten vom USB-Laufwerk auf
den Zielrechner…

nicht einmal abschreiben von bildschirm zu bildschirm wäre sicher. vor allem nicht so lange das ziel nicht definiert ist.

Wie sieht’s nun aber mir einer Netzwerkverbindung aus, also
wenn ich Arbeits- und Internetrechner miteinander verbinde?

ja, geht alles: z.b. über parallelpotkabel, nullmodemkabel, wlan, internet, ethernet, ppp über büroklammer (nicht lachen, mit letzterem bin ich jahrelang ins internet, denn ein student spart wo er nur kann)

Das würde ich so machen, dass der Internetrechner eben - wie
eingangs beschrieben - nur Zugriff auf eine kleine Partition
und NICHT auf das Netzwerk bekommt.

diese sprechweise macht ganz ganz deutlich, daß du xp verwendest. mal grob gesprochen: „das Netzwerk“ von dem Du sprichst in ein Dschungel dessen Karten uns allen - abgesehen von Microsoft und wenigsten Regierungen dieser Welt - vorenthalten werden.

Diese kleine Partition
würde ich nun aber freigeben, damit ich Daten einseitig vom
Arbeitrechner runterladen und wieder aufspielen kann.

ob die partition klein ist oder nicht. damit sind beide rechner erstmal so offen wie ein scheunentor mir buntem reklameschild und sonderangebotswerbeaktion im näheren umkreis.

Wenn ich also vom Internetrechner NUR Zugriff auf eine
Partition, aber NICHT auf das Netzwerk habe, können dann
Angreifer trotzdem einen Zugang zu meinem Arbeitsrechner
finden und diesen nutzen (zum Beispiel über die Freigabe oder
die Netzwerkverbindungen)?

nochmals: was du „Netzwerk“ und „Zugriff auf eine Partition“ nennst, sind eigentlich, von dem, was eigentlich ein NEtzwerk ist, das selbe Netz

Und noch ne Idee: wenn ich mir zum Beispiel einen Minimac
kaufe und diesen als Internetrechner verwende… Ist das dann
NOCH sicherer?

kommt drauf an, um welches ziel es dir geht. (Mac OS X soll eines der sichersten OSes sein.)

Vielleicht werde ich langsam paranoid, aber es nervt echt,
dass ich zwischenzeitlich gut ein Fünftel meiner Arbeitszeit
damit verbringe, meine Systeme zu sicher…

nunja, paranoid hieße, daß du glaubst, verfolgt zu werden. aber wenn manche mit wattebäuschen um sich werfen und andere dadurch umfallen, müssen die andere ja nicht gleich als paranoid ausgegeben werden. es würde vielleicht genügen richtig laufen zu lernen.

Grüssle
Markus