Securitylösung implementieren

[nimo 11]

Hi,

 

da ich bei uns im Unternehmen(SMB 10-15 Arbeitsstationen, 1 Server keinerlei VPN Zugänge von aus.) derzeit eine neue Securitylösung implementieren muss würde ich gerne von euch einige Tipps erfragen:

 

- Hardware oder Software (ISA) basiert?

- Hat der ISA-Server Vorteile gegenüber der Hardwarelösungen?

- Wenn welches Modell?

- Unterscheidet die Technik der einzelnen Hersteller sich?

- Macht denn eine Firewall ohne Applikationfirewall heute noch Sinn?

- Sollte man immer eine DMZ haben, mit zwei Firewalls die auf unterschiedlichen - Technologien beruhen?

 

Meine Meinung ist immer, egal wie groß ein Unternehmen ist, und egal wie viele Arbeitsstationen oder Server im Netz hängen, es muss immer das gleiche Maß an Sicherheit vorhanden sein. Denn für jedes Unternehmen ob groß oder klein bedeutet Ausfall immer Ausfall an Arbeitszeit oder schlimmeres.

 

Bin dankbar über jede Antwort?

[Wildi 10]

Hallo,

 

den hab ich jetzt mal in LAN&WAN geschoben und Deinen Doppelpost im Backoffice geschlossen.

[Greg 10]

Meine Meinung ist immer, egal wie groß ein Unternehmen

ist, und egal wie viele Arbeitsstationen oder Server im Netz hängen, es muss immer das gleiche Maß an Sicherheit vorhanden sein

 

Grundsätzlich gebe ich Dir recht, aber nicht ganz. Und zwar weil

Sicherheit immer teuer ist. Es muss eine genaue Analyse gemacht

werden, was genau wie und gegen was abgesichert werden

muss. Risiko=Ausfallkosten*Eintrittswahrscheinlichkeit.

 

In dieser Analyse muss auch definiert werden, was genau als

akzeptables und inakzeptables Risiko angesehen wird. Dies sollte

auch in Zusammenarbeit mit der Geschäftsleitung erörtert

werden.

 

Hier noch ein paar links zum Thema Sicherheit:

http://www.mcseboard.de/showthread.php?s=&threadid=35046&highlight=security

 

http://www.microsoft.com/smallbusiness/gtm/securityguidance/hub.mspx

 

Gruss Greg

[sepp 10]

Hi,

 

rück doch noch mit ein paar mehr Infos raus, z.B. kann dir so kein Mensch sagen ob du eine DMZ brauchst. Da du scheinbar ja nur einen Server hast, ja eher nicht, aber geb uns doch noch ein paar Details ...

[nimo 11]

Einige Info zu dem Lokalem Netz:

 

 

In dem Netz werden keinerlei Dienste für das Internet angeboten.

Der Server bietet nur lokale Dienste wie ADS, DNS, DHCP und einen kleinen Mailserver an, der über pop3 extern gehostet Konten bedient wird.

Die User sollen nur mit dem IE einen zugriff auf das Internet haben.

Natürlich währe mir in diesem Zusammenhang eine Proxy-Authentication noch ganz lieb, allerdings ließe sich das ja nur mit dem ISA-Server durchführen, wenn ich mir nicht noch einen Squid hinstellen möchte. Oder gibt es noch eine weitere Windows basierende Lösung?

Den Begriff DMZ habe ich nur mit ins Spiel gebracht auf Grund der zwei hinter einander geschalteten Firewalls.

[phoenixcp 10]

Nur so aus Interesse gefragt:

Warum dürfen deine User mit dem IE Zugriff auf das INet erlangen?

 

Hat das besondere Hintergründe oder duldest du keine anderen Browser?

 

Ausschlaggebend für das eigentliche Problem was du hast, kann man verallgemeinert sagen, das es zu großen Teilen von den Finanzen abhängt, was du zur Sicherung einsetzen kannst.

 

Grundsätzlich kann man sagen: Je mehr Mittel man hat, um sich mit Sicherheit einzudecken, umso sicherer hat man zumindest das Gefühl sicher zu sein.

 

Ne wichtige Grundlage für die Sicherheit ist immer der Aufbau und das Management des Netzes selber, sprich Virenscanner, Security-Updates, sinnvolle Rechtevergabe, etc.

 

Auch in nem kleinen Unternehmen sollte man das Thema Sicherheit durchaus nicht unterschätzen.

 

Wenn keine Zugänge von aussen extistieren ist eine DMZ nicht unbedingt notwenig (zumindest nach meinem VErständnis), dann allerdings sollte ein vernünftiges IDS am Start sein um Eindringlingen von aussen Herr zu werden.

 

Firewall sollte trotzdem sein, aber eigentlich müsste dann in Verbindung mit dem IDS eine völlig ausreichen.

[nimo 11]

Ich lege mich nicht fest auf den IE.

 

Bezüglich Virenscanner habe ich schon eine Lösung von Symantec die die updates automatisch verteilt.

Auch Basic-Security wie Passwort Vergabe o.ä. habe ich bedacht.

 

Nur welche Firewall würdet Ihr mir raten. Symantec, Cisco, ...

 

Was setzt Ihr bei euch ein, und welche Erfahrungen habt Ihr mit dem Produkt?

[Blacky_24 10]

Man könnte über Security unheimlich dicke Bücher schreiben - zusätzlich zu den vielen dicken Büchern die es schon gibt, zusätzlich könnten wir auch noch einen philosophischen Gesprächskreis "Security" einrichten.

 

"Die" Securitylösung schlechthin gibt es nicht.

 

Entweder nimmt man eine Lösung "out the box" und passt sich und seine Infrastruktur an diese Lösung an oder man baut sich eine eigene Lösung aus verschiedenen (meist standardisierten) Komponenten.

 

Aber es gibt "die" Securityfrage - und die kann mir leider kaum ein Kunde der eine "Securitylösung" haben will beantworten: Was wollen Sie wovor schützen?

 

Wer ist der potentielle Gegner und worauf hat es der abgesehen? Und was passiert, wenn derjenige durch die Security durchkommt und Zugriff auf irgendwelche Systeme oder Daten bekommt?

 

Leider gibt es immer wieder Kunden die der Meinung sind, dass sie für fünf Euro eine ausgeschlafene Sicherheitslösung mit Back-to-Back-Firewalls, Host- und Netzwerkbasierendem IDS, Honeypot, Single-sign-on und was es sonst noch für tolle Sachen gibt, kriegen.

 

Auf der anderen Seite gibt es etliche Firmen die horrende Beträge für Securitylösungen ausgeben mit denen sie nicht umgehen können weil sie sie nicht verstehen.

 

Auch wenn es ein ausgelutschter Begriff ist: Security ist ein ganzheitliches System bei dem das zu schützende System, die Fähigkeiten der User, die Fähigkeiten der Administratoren, die Fähigkeiten der Angreifer und die Kosten gleichermassen berücksichtigt werden sollten.

 

Zwei Storys aus meinem Kuriositätenbuch:

- Eine Anwaltskanzlei in Frankfurt. Die Sekretärin am Empfang hat einen Aufkleber am Display auf dem der Benutzername und das Passwort stehen - jeder der am Empfangstresen steht kann das ablesen;

- Ein mittelständischer Fertiger mit einem netzwerkbasierenden IDS. Auf der Konsole vom IDS stehen hunderte unbestätigter Alarme, der älteste ist fast zwei jahre alt. Der Admin hat den Screen einfach ausgeschaltet weil er keine Zeit hat sich drum zu kümmern (muss ja Papierstau im Drucker beheben) und weil er auch überhaupt nicht versteht was dieses dumme IDS (Listenpreis über 60KEURO) von ihm will. Natürlich wurde seit Inbetriebnahme des IDS vor zwei Jahren keine neue Signatur mehr eingespielt.

 

Die Firma die das IDS geliefert hat hat sicher einen guten Verkäufer - nur war der dann doch wieder nicht gut genug um eine Wartung zu verkaufen.

 

Bevor man ein System extern konnektiert sollte man erstmal zusehen dass man intern den Laden einigermassen dicht kriegt. Dafür bieten moderne Betriebssysteme ja auch eine Menge Features - man muss sie nur kennen und nutzen: Komplexe Passwörter, regelmässiger Passwortwechsel (das ist in vielen Unternehmen schon eine riesige Hürde), Freigaben / Shares mit Berechtigungen, Überwachung z.B. von An- und Abmeldung, sicherstellen dass man sich mit einem gegebenen Login nur einmal am Netz anmelden kann, klare Betriebsanweisungen dass z.B. Passwörter nie und unter keinen Umständen weitergegeben oder nirgendwo notiert werden dürfen u.s.w. und ganz wichtig: die Schulung der User. Weiterhin dichtmachen der PC-Installationen und -Einstellungen, Patchmanagement, Virenscanner, Backup, Desaster Recovery, Dokumentation(!!!) u.s.w.

 

Wenn man diesbezüglich seine Hausaufgaben gemacht hat kann man im nächsten Schritt darüber nachdenken, sein System z.B.mit dem Internet zu verbinden.

 

Dafür ist der MS-ISA-Server möglicherweise ein geeignetes Produkt in dem Sinn dass er möglicherweise die Anforderungen eines gegebenen Unternehmens erfüllt und sich in die (meistens vorhandene) Microsoft-Welt integrieren lässt. Zudem bietet der ISA über Plugins (z.B. TrendMicro Interscan Viruswall, Internet Access-Management i.S.v. URL-Filter) einige recht interessante Features.

 

Allerdings ist es absolut sinnlos, zu hoffen, dass man zur Erhöhung der "Sicherheit" ein komplexes System von dem man keine Ahnung hat (z.B. ISA-Server) durch ein weiteres komplexes System von dem man auch keine Ahnung hat (z.B. Cisco PIX, Netscreen, Checkpoint ...) decken kann.

 

Ich sehe Security immer noch als eine der "Kürdisziplinen" des Netzwerkens - und wer die Pflicht nicht drauf hat sollte zur Kür garnicht erst antreten sondern sich einen Trainer suchen der einen dahin bringen kann.

 

Security sollte immer "angemessen" sein, dann ist sie nämlich auch nicht zu teuer. Nur sollte man immer im Hinterkopf haben dass man die Dummheit der User (die oftmals mit erheblicher Intelligenz gepaart ist wenn es darum geht, "unbequeme" Sicherheitsvorkehrungen auszuhebeln) und die Unwissenheit vieler "Administratoren" nicht mit Geld kompensieren kann.

 

Security bedarf immer einer ganzheitlichen (schon wieder dieses ätzende Wort) und verständigen Sicht auf das zu schützende System, ansonsten ist es nur eine geldvernichtendes Gemurkse das keine Sicherheit schafft (auch wenn man das glauben mag).

 

Wer sich mit dem Thema beschäftigen will sollte eine Menge Zeit und Lernbereitschaft mitbringen - und sich als "Testsystem" nicht gerade das Produktivsystem seines Arbeitgebers aussuchen. Und erst wenn man einigermassen verstanden hat, worum es bei "Security" überhaupt geht ist es sinnvoll, über irgendwelche konkreten Produkte nachzudenken.

 

Ein guter Administrator kennt seine Grenzen - und kann seinem Arbeitgeber mit der Beauftragung eines echten Spezialisten möglicherweise eine Menge Geld und Kummer sparen.

 

Gruss

Markus

[phoenixcp 10]

Will mich meinem Vorredner voll anschliessen bis auf ein einziges Detail:

Die Möglichkeit sich mit einem Login nur einmal im Netz sollte sehr genau bedacht werden, ist abhängig davon was das für ne Firma is und wie dort gearbeitet wird.

 

Bei uns würde das nichtmal gehen, bei uns hat jeder ein Notebook und ne Entwicklerworkstation, unter Umständen auch mehrere. Und alle laufen über denselben Login.

 

Wenn du ne Herstellerempfehlung von mir haben willst: Nimm den Mehrpreis in Kauf und nimm Cisco. Die sind einfach am besten wenn du mich fragst.

[fröschchen 10]

Original geschrieben von nimo

Ich lege mich nicht fest auf den IE.

 

Bezüglich Virenscanner habe ich schon eine Lösung von Symantec die die updates automatisch verteilt.

Auch Basic-Security wie Passwort Vergabe o.ä. habe ich bedacht.

 

Nur welche Firewall würdet Ihr mir raten. Symantec, Cisco, ...

 

Was setzt Ihr bei euch ein, und welche Erfahrungen habt Ihr mit dem Produkt?

Sicherer ist es ohne IE, z. B. Firefox oder Mozilla (hatten in der Vergangenheit die wenigsten Sicherheits-Lecks).

 

Von Symantec-Produkten würde ich abraten. Such mal nach Threads hier, es gibt genug Leute, deren Symantec Virenscanner oder Firewall (obwohl aktuell) versagt haben. Es gibt ausreichend andere Anbieter.