Spätestens seit in Frankreich TV5 angegriffen wurde, steht im BIT Umfeld zunehmend die Frage der IT Sicherheit im Raum. Eigentlich ist es relativ einfach die Infrastruktur zumindest grundsätzlich gegen die gröbsten Lücken abzusichern. Völlige Sicherheit kann es andererseits nie geben; ist die Motivation und das Know-How des Angreifers groß genug, wird sich früher oder später immer eine Lücke zeigen. Zumal ein Angriff nicht zwingend von außen und schon gar nicht gegen die Zentrale erfolgen muss. Man möchte also mit vertretbarem Aufwand erstmal dafür sorgen, dass:
- ein Angreifer länger braucht bis er Zugriff auf das System erhält (und man dadurch auch länger die Chance hat, den Angriff zu bemerken und abzuwehren).
- ein Angreifer mehr Know-How braucht, als sich Metasploit o.ä. runterzuladen und ein paar Foren querzulesen.
OS / Betriebssystem
- Für root oder Administrator sehr komplexes Passwort vergeben, dieses in einen Umschlag packen und in den Safe legen. Niemals direkt mit root oder Admin arbeiten.
- Personalisierte Admin Accounts anlegen und mit den nötigen Rechten ausstatten.
- Login als Benutzer mit administrativen Rechten ausschliesslich über verschlüsselte Protokolle, wenn möglich ist Public Key Auth einer Challenge (User/Passwd) vorzuziehen.
- Hat man physischen Zugriff auf ein Unix-System und fällt eine kurze Downtime des Systems nicht auf, ist das System gefallen (in SingleUser Mode booten und schon ist man root).
- Monitoring des Systems, bspw. Checksum/Hash Prüfung der wichtigsten Systemdateien, um Änderungen durch einen Angreifer zu bemerken.
- Direkte Kommunikation von Clients und Servern mit dem Internet unterbinden. Besser Proxy Server zwischenschalten, um die Datenströme in einer eigens dafür vorgesehenen Netzwerk/Firewall Zone zu terminieren (DMZ).
- Sicherheits-Updates so häufig und regelmäßig wie möglich einspielen.
Daemons / Dienste / Services
- Wenn möglich alle unnötigen Dienste abschalten.
- Wenn möglich Dienste an ein bestimmtes Interface (bspw. wenn mehrere Netzwerkkarten vorhanden sind) und einen bestimmten Port binden.
- Dienste immer unter einem eigenen dafür vorgesehenen Benutzeraccount laufen lassen, NIEMALS als root oder Administrator.
- Keine Dienste nutzen, die Authentifizierung erfordern, aber Klartext kommunizieren (bspw. FTP), da Kommunikation mit einfachen Mitteln abgehört werden kann.
- Wenn möglich keine direkte Kommunikation zwischen den Diensten und einer nicht vertrauenswürdigen Destination. Besser Proxy Server zwischenschalten um die Datenströme in einer eigens dafür vorgesehenen Netzwerk/Firewall Zone zu terminieren (DMZ)
Firewalls
- Firewallkonfig immer defensiv durchführen, d.h. erstmal alles zu machen und dann öffnen, was notwendig ist. Nie umgekehrt, da zu leicht etwas übersehen wird.
- Lokale Firewalls / Personal Firewalls sind natürlich nicht der Weisheit letzter Schluss, aber stellen auch eine Hürde dar, die erstmal überwunden werden muss. Daher sollten diese auch eingesetzt werden, wenn im Netzwerk bereits eine FW vorhanden ist (Auch lokale Firewalls lassen sich sehr einfach mit ein paar Scripts bspw. auf Basis von CSV Dateien verwalten, hat man ein AD kann man sobald alles fertig eingerichtet und getestet ist auch entsprechende Policies erzeugen).
- Firewalls immer mehrstufig aufbauen, idealerweise mit Firewalls verschiedener Hersteller
Antivirus
- Auf Servern und Clients Antivirensoftware installieren und auf regelmäßige Updates achten
- Auf Proxy Servern oder UTM Firewalls Antiviren Software eines anderen Herstellers einsetzen