Montag, 1. M�rz 2010


Topthema

Donnerstag, 18. Mai 2006 | Topthema

About Security #56: Security Policy — Ein Beispiel, 3

(Link zum Artikel: http://www.entwickler.de/php/kolumnen/028688)

Mit dem Schutz des restlichen lokalen Netzes wird die Entwicklung der Beispielsicherheitsrichtlinie in dieser Folge abgeschlossen. F�r die Risikoanalyse wird das restliche lokale Netz in Gruppen mit gleicher Bedeutung f�r das Unternehmen und damit gleichem Schutzbedarf aufgeteilt. Die Teile entsprechen in diesem Fall den verschiedenen Teilnetzen. Nach dieser Aufteilung sind f�r die einzelnen Teile die Risiken und m�gliche Schutzma�nahmen zu ermitteln. Dies erfolgt analog zur Entwicklung der Sicherheitsrichtlinie f�r Web-, Application- und Datenbankserver (About Security #54 und #55) oder internen Server (About Security #55).

N E U ! Security aktuell
T�glich aktuelle Security-Infos!

Zus�tzlich muss das gesamte Netz betrachtet werden, da einige der Teilnetze miteinander kommunizieren m�ssen, um das Unternehmensziel zu erreichen. Diese notwendige Kommunikation muss ebenfalls sichergestellt werden. Es w�re sehr ung�nstig, wenn zwar alle Teile separat wunderbar funktionieren, eine Zusammenarbeit aber aufgrund eines gest�rten Netzwerks nicht m�glich ist. Daf�r kann man wieder einmal die Frage "Wer darf was wo?" stellen: Welche Verbindungen sind notwendig? Und was passiert, wenn die entsprechende Kommunikation fehlschl�gt?

Zwei Beispiele:

  • Die EDV-Abteilung soll zur Fernwartung auf alle Teilnetze zugreifen. Funktioniert dies nicht, m�ssen sich die Mitarbeiter zu Fu� auf den Weg machen. Das ist zwar l�stig, beeintr�chtigt aber das Erreichen des Unternehmensziels nicht.
  • Die Maschinen in der Produktion erhalten ihre Steuerdaten vom zentralen Server und fordern ben�tigte Rohstoffe zum Teil automatisch aus den Lagern an. Kommt es hier zu St�rungen, ist eine reibungslose Produktion gef�hrdet. Eine manuelle Umprogrammierung der Maschinen ist aufw�ndig und st�ranf�llig, teilweise ist sie vielleicht sogar unm�glich. Daher ist eine ungest�rte Kommunikation unerl�sslich, entsprechend m�ssen Risiken m�glichst ausgeschlossen werden.

Da eine st�ndige Verbindung der Teilnetze untereinander notwendig ist, betrifft ein m�glicher Angriff u.U. alle Systeme. Entsprechend m�ssen Schutzma�nahmen ergriffen werden, um die Auswirkungen eines Angriffs oder einer St�rung zu begrenzen.

Bevor Schutzma�nahmen ausgew�hlt werden k�nnen, sind m�gliche Risiken zu ermitteln. Ein externer Angreifer sollte schon von Firewall und IPS gestoppt worden sein, sodass nur noch Angriffe von innen betrachtet werden m�ssen. Sollte ein externer Angreifer einen Weg durch Firewall und IPS finden und die Kontrolle �ber einen Rechner im lokalen Netz �bernehmen, kann er danach wie ein interner Angreifer betrachtet werden.

About Security: Die komplette Serie

Interne Angreifer verraten sich z.B. durch anomales Verhalten: Sie versuchen z.B., unbefugt auf Daten und Ger�te zuzugreifen oder f�hren andere Aktionen durch, die im normalen Betrieb nicht vorkommen. Um solche Aktionen zu erkennen, bietet sich der Einsatz eines Intrusion-Detection- oder -Prevention-Systems an, das mit einer Anomalie-Erkennung arbeitet. Dies kann auch Schadprogramme erkennen, da diese ebenfalls ein ungew�hnliches Verhalten zeigen. Egal ob es sich um einen absichtlich eingeschleusten, speziell f�r den Angriff auf das Unternehmen entwickelten Trojaner oder einen unabsichtlich eingeschleppten "Standard"wurm oder -virus handelt, alle verraten sich fr�her oder sp�ter durch ungew�hnliches Verhalten. Schleppt z.B. ein Mitarbeiter unwissentlich �ber ein mobiles Ger�t einen Wurm ein, k�nnte der sich ohne Schutzma�nahmen im gesamten lokalen Netz ausbreiten. Ein IPS vor bzw. in allen Teilnetzen kann diese Ausbreitung verhindern oder verlangsamen und einen Alarm ausl�sen.

Netzwerk der Bratkartoffel-KG mit IPS vor den Teilnetzen

Zus�tzlich zu den IPS k�nnen die einzelnen Teilnetze je nach Schutzbedarf durch Firewallkomponenten, weitere IPS und IDS, Virenfilter usw. gesch�tzt werden.

Neben diesen direkt das Netzwerk betreffenden Ma�nahmen sind weitere Punkte zu beachten. Diese betreffen zum Beispiel die bereits erw�hnten mobilen Ger�te, insbesondere Massenspeicher: Ihr Einsatz kann sowohl organisatorisch als auch technisch verhindert werden. W�hrend eine Betriebsvereinbarung den Einsatz betriebsfremder Massenspeicher verbietet und bei einem Versto� dagegen der entsprechende Mitarbeiter abgemahnt oder sogar entlassen werden kann, erm�glichen Schutzprogramme die technische Durchsetzung dieses Verbots. Wie in "About Security: Ein Bericht von der CeBIT" beschrieben, erlauben solche Programme eine sehr feine Einteilung in erlaubte und verbotene Ger�te bis hin zur Zulassung eines einzelnen, spezifischen USB-Sticks bei gleichzeitigem Verbot aller anderen. Ein weiterer Punkt ist der Datenaustausch mit der Versuchsk�che. Um die Daten sicher zu transportieren, stehen verschiedene M�glichkeiten zur Verf�gung. Vom USB-Stick, den ein Mitarbeiter in die Zentrale bringt, �ber einen Versand als verschl�sselte E-Mail bis zur �bertragung �ber eine gesicherte Verbindung �ber das Internet. Daf�r k�nnen z.B. die Secure Shell (kurz SSH) oder ein Virtual Private Network (VPN, Virtuelles Privates Netz) verwendet werden.

F�r die sichere Kommunikation �ber das Internet werden z.B. Virtuelle Private Netze verwendet, die ab About Security #88 beschrieben werden. Ab der n�chsten Folge geht es um das Netzwerkprotokoll TCP/IP und m�gliche Angriffe darauf.

Wenn Sie Fragen oder Themenvorschl�ge haben, k�nnen Sie diese gerne an die angegebene E-Mail-Adresse senden oder im Security-Forum einbringen!

Carsten Eilers

About Security � �bersicht zum aktuellen Thema "Entwicklung einer Security Policy"

Kommentare

Folgende Links könnten Sie auch interessieren