Zum Inhalt springen
LAM Academy

AB 10 — Netzwerk-Komponenten und Serverräume

Mein Fortschritt0/1 (0 %)

Was ist eine Netzwerkkomponente

Abschnitt betitelt „Was ist eine Netzwerkkomponente“

Als Netzwerkkomponenten gelten alle Bestandteile eines Rechnernetzes. Dabei wird unterschieden nach passiven und aktiven Komponenten.

Als passive Netzwerkkomponenten wird das Material bezeichnet, das ohne jegliche Stromversorgung auskommt. Dazu zählen insbesondere:

  • Leitungen, Kabel

  • Patchkabel

  • Patchpanel

  • Netzwerkdosen

  • Stromstecker

  • Buchsen

Aktive Netzwerkkomponenten sind alle Geräte, die aktiv Signale verarbeiten bzw. verstärken können, bzw. die einen Netzwerkanschluss haben (NIC, Wifi). Sie benötigen dazu eine Stromversorgung. Zu dieser Gruppe gehören

  • Hubs

  • Switches

  • Router

  • Bridges

  • Firewalls

  • Access-Points

  • Server

  • Computer (Desktop, Mobil, Tablet, Smartphone, …)

  • Ein Bestandteil eines Computers kann ebenfalls eine Netzwerkkomponente sein, z. B. Netzwerkkarte und ISDN-Karte

  • Rack

  • Serverraum

Was versteht man unter „Absichern“?

Abschnitt betitelt „Was versteht man unter „Absichern“?“

Absichern bedeutet, dass man das ganze Informations-System schützen will vor Gefahren. Diese Gefahren sind allgemein zu sehen: Hackerattacke, Terrorismus, Erdbeben, Anwender-Fehlverhalten, Materialdefekt, physischer Einbruch, …

Sicherheit beinhaltet folgende Aspekte

Abschnitt betitelt „Sicherheit beinhaltet folgende Aspekte“

  • Risikomanagement

  • Aufdecken, Erkennen von

  • Bedrohungen

  • Schwachstellen

  • Angriffen

  • Abschätzen von

  • Angriffswahrscheinlichkeiten

  • Kosten

  • Entwicklung von vorbeugenden Schutzmaßnahmen

  • Entwicklung von Gegenmaßnahmen

  • Installation von adäquaten Gegenmaßnahmen

Bedrohungen für die Sicherheit und ihre Folgen

Abschnitt betitelt „Bedrohungen für die Sicherheit und ihre Folgen“

  • höhere Gewalt → technischer Systemausfall

  • Computerviren, Trojaner und Würmer → Sabotage/Datenmissbrauch

  • Spoofing, Phishing oder Pharming → Spionage

  • Denial of Service-Angriff, Man-in-the-middle-Angriffe, Snarfing → Betrug und Diebstahl

Schutzziele

Abschnitt betitelt „Schutzziele“

Globaler kann gesagt werden, dass Absichern eines IT-Systems 3 Hauptziele verfolgt:

Vertraulichkeit (engl.: confidentiality) Daten dürfen lediglich von autorisierten Benutzern gelesen bzw. modifiziert werden, dies gilt sowohl beim Zugriff auf gespeicherte Daten wie auch während der Datenübertragung. Vertraulichkeit wird durch Rechtsnormen geschützt, sie kann auch durch technische Mittel (Verschlüsselung, digitale Rechteverwaltung DRM, …) gefördert oder erzwungen werden.

  • Berufsgeheimnis

  • Amtsgeheimnis

Verfügbarkeit (engl.: availability): Verhinderung von Systemausfällen; der Zugriff auf Daten muss innerhalb eines vereinbarten Zeitrahmens gewährleistet sein. Redundanz wird benutzt, um die Verfügbarkeit zu erhöhen.

  • Ausfallsicherheit

  • Zuverlässigkeit

  • Überlebensfähigkeit

  • Beständigkeit

  • Robustheit

Integrität (engl.: integrety): Daten dürfen nicht unbemerkt verändert werden. Alle Änderungen müssen nachvollziehbar sein. Integrität kann mittels Prüfsummen erreicht werden. Unter Integrität versteht man die Aufgabe, die Unveränderbarkeit von Daten zu gewährleisten.

  • Unversehrtheit

  • Authentizität

  • Identität

  • Urheberschaft

Weitere Schutzziele

Abschnitt betitelt „Weitere Schutzziele“

Authentizität (engl.: authenticity): bezeichnet die Eigenschaften der Echtheit, Überprüfbarkeit, Glaubwürdigkeit und Vertrauenswürdigkeit eines Objekts. Mit Authentizität bezeichnet man die Aufgabe, festzustellen, ob empfangene Daten wirklich vom angegebenen Absender stammen.

Beispiele:

  • Vertragsabschluss per Internet

  • Geschäftliche Anweisungen per E-Mail

Verbindlichkeit/Nichtabstreitbarkeit (engl.: non repudiation): Sie erfordert, dass „kein unzulässiges Abstreiten durchgeführter Handlungen“ möglich ist. Sie ist unter anderem wichtig beim elektronischen Abschluss von Verträgen. Erreichbar ist sie beispielsweise durch elektronische Signaturen.

  • Rechtssicherheit

  • Beweissicherheit

  • Verantwortlichkeit

  • Nachweisbarkeit

  • Unbestreitbarkeit

Abrechenbarkeit (engl.: accountability): „Eine durchgeführte Handlung kann einem Kommunikationspartner eindeutig zugeordnet werden.“

Anonymität (engl.: anonymity): nur in bestimmten Kontexten wie zum Beispiel dem Internet.

  • Privatheit

  • Anonymität

  • Beobachtbarkeit

Die Sicherheit aus 3 Blickwinkeln

Abschnitt betitelt „Die Sicherheit aus 3 Blickwinkeln“

Sicherheit betrifft in erster Linie nicht nur technische Aspekte, sondern vor allem auch rechtliche sowie organisatorische Aspekte.

Die Strategie der technischen Sicherheit ergibt sich zumeist aus den rechtlichen und politischen Anforderungen und den organisatorischen Definitionen.

Ein Sicherheitskonzept besteht also im Allgemeinen aus einer Kombination aus den 3 komplementären Ansätzen:

rechtlich / politisch

Abschnitt betitelt „rechtlich / politisch“

  • Gesellschaftspolitische Forderungen

  • Gesetzliche Rahmenbedingungen, Datenschutzgesetze → Bsp. CNPD

  • betriebliche Rahmenbedingungen

organisatorisch

Abschnitt betitelt „organisatorisch“

  • Richtlinien („Policy“)

  • Entscheidung über Sicherheitsniveau.

  • Abwägen von Schutz- und Leistungsanforderungen, Prinzip der Verhältnismäßigkeit. [Absolute Sicherheit ist nur bei Stillstand des Systems zu erreichen.]

  • Benutzergruppen, Definition von Zugriffsrechten, Passwort- oder Zertifikatsrichtlinien.

  • Einbindung der Datensicherheit in das allgemeine IT-Konzept.

  • Katastrophenplanung, Checklisten, Sicherheitsnormen.

  • Personalpolitik, Betriebsklima, Überwachungssysteme.

  • Dienstvorschriften, Zuständigkeiten.

  • Dokumentation, Datenschutzbericht.

  • Sicherheitsprobleme bei Zentralisierung oder Dezentralisierung

technisch

Abschnitt betitelt „technisch“

Umsetzung der rechtlichen und politischen Anforderungen und der organisatorischen Definitionen in konkrete Maßnahmen:

  • Physische Schutzmaßnahmen und Baumaßnahmen:

  • Zugang zu Geräten und Übertragungsleitungen

  • Abhörsicherheit

  • Schutzmaßnahmen im Betriebssystem:

  • Erlaubnisse zur Benutzung eines Rechners oder zur Kommunikation über Netze

  • Identifikationskontrolle

  • Aufzeichnung von Ereignissen zur Beweissicherung, Fehlerüberbrückung

  • Kryptographische Schutzmaßnahmen:

  • Verschlüsselung von Dateien

  • Protokolle zur sicheren Datenübertragung

  • Authentisierung

  • digitale Signatur

  • Anonymität (gewährleisten oder verhindern)

IT-Sicherheit: 2 Aspekte

Abschnitt betitelt „IT-Sicherheit: 2 Aspekte“

Safety: Keine unerwünschten Auswirkungen.

Abschnitt betitelt „Safety: Keine unerwünschten Auswirkungen.“

  • Die Umgebung des IT-Systems wird durch das System nicht gefährdet.

  • Beispiel: Operationsroboter schadet dem Patienten nicht.

Security: Keine unerwünschten Einwirkungen.

Abschnitt betitelt „Security: Keine unerwünschten Einwirkungen.“

  • Das IT-System (mit den in ihm vorhandenen Informationen) wird durch seine Umgebung nicht gefährdet.

  • Beispiel: Die Netzgruppe im Krankenhaus kann nicht Patientendaten einsehen.

Wie kann man ein System „absichern“?

Abschnitt betitelt „Wie kann man ein System „absichern“?“

Man unterscheidet zwischen physischer und logischer Absicherung.

Physische Absicherung: ist die Absicherung des personenbezogenen Zugangs zu den einzelnen Komponenten.

Beispiele:

  • Videoüberwachung des Serverraumes

  • Fingerprint zum Benutzen eines Rechners

  • Absperren des Racks

Logische Absicherung: ist die Informatisch-technische Absicherung der Komponenten.

  • Standard-Passwörter ändern

  • Telnet Zugriff verweigern

  • Firewall vor das interne Netzwerk setzen

Globale Sicherheits-Richtlinien

Abschnitt betitelt „Globale Sicherheits-Richtlinien“

Dies sind so genannte “best practices” die eigentlich immer eingehalten werden sollten und meistens auch auf andere Situationen angewandt werden können. Diese Richtlinien sind auf die meisten Netzwerk-Komponenten anzuwenden.

  • Physischen Zugang zu den Komponenten absichern und überwachen

  • Passwörter (Komplexität Regeln siehe unten, Lebensdauer, automatisches Blockieren eines Benutzers, Standardpasswörter ändern)

  • Standardbenutzernamen und Passwörter immer ändern, wenn es möglich

  • Zeit und Datumseinstellungen korrekt vornehmen oder besser noch über NTP-Server einstellen lassen

  • Logging aktivieren und korrekt einstellen und überwachen (backup der logging, Zusammenfassung der Loggings (oder wichtige Logs) pro Tag/Woche mailen, Zugriffsrechte auf Logdateien einstellen)

  • Keine unkontrollierten Zugänge zum Netzwerk zulassen (Gastzugriffe vermeiden, nur identifizierte Zugriffe, MAC-Filter, statische DHCP, NW-Dosen nicht immer durchpatchen, Management-Netzwerk).

  • Prozedur bei Einstellung/Entlassung/Suspendierung/Ferien eines Benutzers

  • Gesichertes web und Terminal Management durch HTTPS, und HTTP deaktiviert (WiFi Geräte nur Zugang mittels Kabel), nur SSH kein Telnet

  • SNMP absichern (Benutzerdefinierte Community-Strings festlegen und Standard Strings deaktivieren) und absichern

  • Konfiguration sichern (backup) zwecks schneller Wiederherstellung

  • Sicherheitspatches installieren

Richtlinien Passwort

Abschnitt betitelt „Richtlinien Passwort“

Passwortwahl

  • Kein richtiges Wort

  • Groß- und Klein-Schreibung abwechseln

  • Zahlen verwenden

  • Symbole verwenden

  • Passwort länge

  • Regelmäßiger Passwortwechsel

  • Geschichte von alten Passwörtern mit Passwortwechsel-Einschränkung letzte 10 nicht erlaubt

  • Login versuche einschränken

  • Automatisches ausloggen oder blockieren nach Inaktivität am Rechner

Passwort Verhaltensweisen

  • Passwort nicht bei dem Zugang hinterlegen (bzw. unter Tastatur)

  • Darauf achten, dass andere nicht zusehen, wenn Passwörter eingeben werden, und selbst wegsehen wenn andere Passwörter eingeben

  • Password-remembering Funktionen mit Vorsicht benutzen, nicht bei Rechnern wo unterschiedliche Personen den gleichen Login benutzen

  • Passwort Manager benutzen, um Passwörter nicht zu vergessen

  • Achten auf unterschiedliche Tastaturen bei der Passworteingabe

  • Caps-Lock und Num-Lock beachten

  • Am besten eine Eselsbrücke benutzen, um das Passwort zu behalten

  • Rechner blockieren beim Verlassen der Arbeitsstation

  • Unterschiedliche Konten haben unterschiedliche Passwörter

  • Passwörter nicht an Dritte weitergeben

  • Weiterleiten des ersten Passwortes an die Netzwerkbenutzer durch mündliche Übergabe oder verschlüsselte E-Mail oder in 2 Briefen (einmal Benutzername und einmal Passwort). Lebensdauern der Passwörter sehr kurzhalten, obligatorischer Passwortwechsel beim ersten Login.

Richtlinien Netzwerk

Abschnitt betitelt „Richtlinien Netzwerk“

  • Strukturierter und detaillierter beschrifteter Netzwerkplan

  • Namen und Adressen von allen Komponenten definieren und notieren

  • Port Security definieren: gewisse MAC-Adressen zulassen für ein Port

  • Redundante Komponenten einsetzen

  • Netzwerke voneinander abtrennen, eventuell durch VLAN

  • Netzwerküberwachungstools nutzen (Traffic Monitoring und IDS, IPS)

  • Eventuell Honey-Pots einrichten, um die Angreifer zu studieren

  • DMZ einrichten, wenn einige Dienste im Internet angeboten werden sollen

  • Firewall installieren und einsetzen.

Richtlinien für die HUB, Switch & Router Konfiguration

Abschnitt betitelt „Richtlinien für die HUB, Switch & Router Konfiguration“

  • Router: Default Gateway festlegen, respektive Default route festlegen

  • Router: NAT einsetzen

  • Ports aus dem Default VLAN herausnehmen

  • Aktivieren der Protokolle zur Nachbarerkennung (LLDP, CDP)

  • Management VLAN erstellen

  • Festlegen wer (sowohl Person als auch Rechner identifizieren) das Gerät administrieren darf/kann (bzw. IP-Filter, Mac-Filter)

Richtlinien für einen WLAN-Access-Point

Abschnitt betitelt „Richtlinien für einen WLAN-Access-Point“

  • Standardpasswort ändern und Standardbenutzernamen ändern

  • Default IP-Adresse ändern

  • Kanal der Übertragung ändern/anpassen ändern

  • Zugang nur über Kabelverbindung zulassen.

  • Zugang zum Administrativen Interface nur über gesicherte Verbindung HTTPS oder SSH. Auf keinen Fall HTTP oder TELNET.

  • SSID verstecken

  • WPA2 einsetzen, am besten mit Radius Server zur Authentifizierung (auf keinen Fall WEP)

  • Wenn ein DHCP-Server eingesetzt wird die Lease-Time nicht auf unendlich einstellen, Anzahl an zugelassenen Geräten, statischer DHCP

  • Wenn die Möglichkeit besteht MAC-Adressen zu registrieren im DHCP sollte dies getan werden,

  • MAC-Filter für WLAN-Clients einsetzen

  • Logging einschalten und überwachen

  • AP-Isolation (Jeder Client bekommt sein eigenes virtuelles Netzwerk) für öffentliche Netzwerke

  • Konfiguration sichern (backup)

Richtlinien Server & Computer

Abschnitt betitelt „Richtlinien Server & Computer“

  • BIOS-Passwort und BIOS Boot Password

  • Zugang zum Rechner nur mit Credentials erlauben

  • Absichern der Arbeitsrechner und der Zugriffsberechtigungen der normalen Benutzer

  • Remote Zugriffe sehr selektiv vergeben und nur über gesicherte Verbindungen zulassen

  • Mobile Rechner gegen Diebstahl schützen (Schloss, Software-Diebstahl-Schutz, Hardware-Diebstahl-Schutz)

  • Antiviren Software installieren und immer aktualisieren

  • Firewall installieren und konfigurieren

  • I/O Ports sperren, Bootable Devices abschalten

  • Festplatte verschlüsseln

  • Sicherheitspolitik der Firma bekannt machen und für dessen Einhalten sorgen

Richtlinien Serverraum

Abschnitt betitelt „Richtlinien Serverraum“

Zu behandelnde Themen in einem späteren Kurs (Datacenter):

  • Zugangsschutz

  • Brandschutz

  • Wasserschutz

  • Stromausfall

  • Erdbeben

  • Terrorismus

  • Disaster Recovery Center (DRC)

  • Datenbackup

Schlussfolgerung

Abschnitt betitelt „Schlussfolgerung“

Der Schutz ist der Sicherheitsstufe der zu schützenden Information und den Auflagen anzupassen!

Referenzen

Abschnitt betitelt „Referenzen“

Abbildung

Abbildung

Abbildung