hanslux Logo 

Kostensenkung durch Linux und OpenSource-Software

Dienstleistungen für Computer, Netzwerke und IT-Sicherheit

Beratung, Sicherheitskonzepte und Training

_Startseite ] _Dienstleistungen ] _Training ] _OpenSource ] _Bekannte OpenSource Projekte ] _Sicherheitsziele ] _Sicherheitskonzepte ] _Dokumente ] _AGB ] _Impressum ]
Startseite
Dienstleistungen
Training
OpenSource
Bekannte OpenSource Projekte
Sicherheitsziele
Sicherheitskonzepte
Firewall
Masquerading
Proxyserver
Virenschutz
Entmilitarisierte Zone
Dokumente
AGB
Impressum
These pages in english language

Technische Realisierung von Sicherheitskonzepten

Die im folgenden aufgeführten Techniken stellen nur eine kleine Auswahl dessen dar, was möglich und angebracht ist, um die Sicherheit eines Intranet gegenüber dem öffentlichen Internet zu erhöhen.

 

Firewall

Der Begriff Firewall bezeichnet zweierlei: Oft ist die ganze Sicherheitsinfrastruktur gemeint, wie wir sie unter entmilitarisierte Zone beschreiben, im Prinzip bezeichnet Firewall nur einen Paketfilter, wie er mit iptables realisiert wird. iptables ist in der Lage, die Datenpakete des Internet Protokolls (IP) nach den Eigenschaften des Kopfes zu untersuchen und bestimmten Regeln zu unterwerfen. Diese Regeln ermöglichen es, ein eintreffendes oder auszusendendes Datenpaket durchzulassen (ACCEPT), zu verwerfen (DROP) oder zurückzuweisen (REJECT), weiter kann ein Paket in einer Logdatei vermerkt werden (LOG).
Diese Firewall arbeitet also als Paketfilter zwischen zwei Netzen, vornehmlich dem öffentlichen Internet und einem zu schützenden privaten Netzwerk.
Eine weitere wichtige Fähigkeit von iptables ist die Anwendung modifizierter Filterregeln abhängig vom Zustand einer IP-Verbindung, stateful inspection genannt. Diese Fähigkeit kommt bei Protokollen zum Einsatz, die ausgehend von einer Verbindung weitere Verbindungen öffnen, deren Pakete anderen Filterregeln zu unterwerfen sind.

 

Masquerading

Masquerading ist ebenfalls eine Funktion des Paketfilters iptables, das Ersetzen der Internet Protokoll Adressen in den Datenpaketen. Steht ein Firewallrechner zwischen einem privaten Netz und dem Internet, so ersetzt er bei ins Internet gerichteten Paketen die private Herkunftsadresse durch seine eigene öffentliche IP-Adresse und merkt sich, an welche Adresse dieses Paket ging. Antwortpaketen von dieser Adresse gehen zwar and den Firewallrechner, der nun die private Adresse in die Pakete einträgt und diese ins Intranet weiterleitet. Diese Funktion wird auch Network Address Translation (NAT) genannt.
Vom öffentlichen Internet aus gesehen ist der Firewallrechner allein, alle Datenpakete, die von ihm ausgehen, tragen seine Adresse, auch wenn sie von einem Rechner im privaten Netz initiiert worden sind. Die Rechner hinter der Firewall sind vom Firewall wie hinter einer Maske verborgen.

 

Proxyserver

Der Begriff Proxy bedeutet soviel wie Stellvertreter und das ist auch seine Aufgabe zwischen Intranet und Internet.
Möchte ein Rechner im Intranet eine Webseite im Internet sehen, so richtet er seine Anfrage an den Proxyserver. Dieser leitet die Anfrage an den echten Server im Internet weiter und gibt die Antworten aus dem Internet an den anfordernden Rechner im Intranet zurück. Der Webserver im Internet kommuniziert nur mit dem Proxyserver, der Client kommuniziert nur mit dem Proxyserver im Intranet. Für den Mitarbeiter am Clientcomputer aber sieht es so aus als wäre er direkt mit dem Webserver im Internet verbunden.
Vorteile sind hier, dass Client und Server keine direkte Verbindung haben und dass die Inhalte, die transportiert werden, auf dem Proxy untersucht werden können. So kann leicht herausgefunden werden ob sich Viren im Datenstrom befinden. Nachteile bestehen darin, dass die Clientcomputer entsprechend konfiguriert werden müssen und nicht alle Dienste im Internet proxy-fähig sind. Diese benötigen dann eine andere Behandlung.

 

Virenschutz

Der beste Schutz gegen Computerviren besteht darin, die ganze Kommunikation mit anderen Computern zu unterbinden. Nur dann können keine Viren eindringen, vorausgesetzt, dass Floppylaufwerk, CDROM- und DVD-Laufwerk sind auch abgeklemmt. Jetzt ist der Computer jedoch für die normalen Aufgaben äußerst unbrauchbar. Nur durch die Informationen aus dem Internet, durch die Kommunikation per Email wird die Arbeit am Computer erst nützlich.
Viren sind ursprünglich der Versuch, die Natur auf Computern zu simulieren. Wie simuliert man Leben auf Computern? Wie eine Krankheit? Hier haben wir es also mit Infektionen, Krankheiten und Impfstoffen zu tun.
Wie in der Natur will sich ein Virus verbreiten. Auf Computern geschieht dies durch Programme. Diese Programme können andere Programme befallen, ihren Code an den Code anderer Programme anfügen oder per Email, sie versenden sich an alle im Adressbuch befindlichen Empfänger und infizieren deren Computer, wenn die Email, bzw. der Anhang ausgeführt wird.
Das Format ausführbaren Codes ist je nach Betriebssystem verschieden. Daher werden die meisten Viren für die Betriebssysteme des Marktführers geschrieben, um möglichst weite Verbreitung zu erzielen. Viren nutzen oft Mängel von Betriebssystemen aus um sich zu verbreiten. An dieser Stelle haben OpenSource-Betriebssysteme den Vorteil, dass sie durch stärkere Tests unter den Augen vieler Interessierter der Gemeinde, weniger Sicherheitsmängel aufweisen.
Viren kann man an der Art ihres Codes erkennen und möglichst vor dem Ausführen vernichten. Dazu dienen Virenschutzprogramme, die eine Vielzahl von sogenannten Virensignaturen kennen. Ist einmal ein Virus erkannt, kann man die befallene Datei löschen oder das böse Code-Stück abschneiden. Ein Virenschutzprogramm ist jedoch nur so gut wie die Virensignaturen und ihre Aktualität. Denn jeden Tag werden neue Viren in die freie Wildbahn entlassen. Ernstgemeinter Virenschutz sollte täglich aktualisiert werden.

 

Entmilitarisierte Zone

Der Begriff entmilitarisierte Zone trifft das gemeinte nicht sehr gut, Niemandsland wäre passender.
Es handelt sich dabei um einen Bereich zwischen zwei Computernetzen, der dazu errichtet wird, um Schutz und Kontrolle auf den Verkehr zwischen den beiden Computernetzen auszuüben. Im Normalfall handelt es sich um Sicherheitseinrichtungen zwischen dem öffentlichen Internet und dem privaten Intranet einer Firma oder dem privaten Heim.
Oft wird die entmilitarisierte Zone auf beiden Seiten von je einem Firewall-Paketfilter eingeschlossen, im Netzwerk dazwischen befinden sich nun die Computer, die Dienste im Internet anbieten und weitere, die als Proxy für die Mitarbeiter im Intranet dienen. Hier befindet sich der Mail-Server und hier wird die zentrale Virensuche durchgeführt. Die Filterregeln der Firwalls sorgen dafür, dass kein Rechner aus dem Intranet ins Internet zugreifen kann und umgekehrt. Dadurch sind vielerlei Einbruchsversuche von aussen vereitelt.

Sicherheitsziele Seitenanfang Dokumente
_Startseite ] _Dienstleistungen ] _Training ] _OpenSource ] _Bekannte OpenSource Projekte ] _Sicherheitsziele ] _Sicherheitskonzepte ] _Dokumente ] _AGB ] _Impressum ]
deko