SUCHE MIT Google
Web virtualuniversity.ch
HOME DIDAKTIK ECDL ELEKTRONIK GUIDES HR MANAGEMENT MATHEMATIK SOFTWARE TELEKOM
DIENSTE
Anmeldung
Newsletter abonnieren
Sag's einem Freund!
VirtualUniversity als Startseite
Zu den Favoriten hinzufügen
Feedback Formular
e-Learning für Lehrer
Spenden
Autoren login
KURSE SUCHEN
Kurse veröffentlichen

Suche nach Datum:

Suche mit Schlüsselwort:

Suche nach Land:

Suche nach Kategorie:
PARTNER
ausbildung24.ch - Ausbildungsportal, Seminare, Kursen... 

 
HTMLopen.de - Alles was ein Webmaster braucht

 
PCopen.de - PC LAN Netze und Netzwerke - alles was ein IT Profi und Systemtechnicker braucht

TELEKOM

Sichern des Rechners

Keinen Zugang zum Server zulassen

Ein Server, der frei zugänglich ist, kann nicht sicher sein. Der Server ist der Kern eines jeden lokalen Netzes, es ist deshalb erforderlich, daß besonders viele Ressourcen zu dessen Schutz bereitgestellt werden. Der Schutz des Servers sollte Maßnahmen gegen unerwünschten physischen Zugang, Feuer, unregelmäßige Stromversorgung, Komponentenausfall (typischerweise in Speichermedien) und mangelhafte Kühlung umfassen. Für jedes Betriebssystem gibt es Tricks, wie man sich bei physikalischem Zugriff auf den Rechner unautorisiert Zugang verschaffen kann. Es ist außerdem auch schon vorgekommen, daß Rechner regelrecht ausgeschlachtet wurden und nur noch das Gehäuse mit Netzteil zurückblieb. Der Server wird in einen abgesperrten Raum gestellt, zu dem der Zugang sehr begrenzt ist. Nur der Systemverwalter und eventuelle Superuser und der Hardwareservice haben Zugang hierzu.
Es ist weiterhin zu empfehlen, für das Supervisor-Login nur einen bestimmten Arbeitsplätze zuzulassen. Sollte das Passwort des Systemverwalters kompromittiert werden, so ist es weiterhin nur möglich, das Login von dieser Maschine vorzunehmen.

Bei der Installation des lokalen Netzes und auch bei dessen laufendem Ausbau sollte bedacht werden, ob im Anschluß an den Serverraum ausreichende Ventilations- und Kühlungskapazität vorhanden ist, um ein vernünftige Arbeitsbedingungen für die zentralen Komponenten des lokalen Netzes zu sichern.Vorbeugende Maßnahmen bestehen in der Verwendung von feuerhemmendem oder feuerfestem Baumaterial. Der Serverraum sollte keine brennbaren Dinge enthalten, z. B. Druckerpapier, Handbücher, Verpackungen, Holzregale und -tische. Weiterhin wichtig sind Rauch- und Feuermelder, griffbereite Feuerlöscher und Training der Mitarbeiter für den Brandfall. Entscheidend für eine effektive Vorbeugung und Begrenzung von Wasserschäden ist, daß der Serverraum nicht unterhalb der Erdoberfläche eingerichtet wird. Der Serverraum darf auch nicht unter überführten Rohrleitungen, Abflüssen, Küchenbereichen und Badebereichen plaziert werden. Die Sicherung der Stromversorgung umfaßt Maßnahmen gegen Störungen und totalen Stromausfall. Ein Stromausfall kann durch unterbrochene Versorgungsleitungen, aber auch durch Ansprechen von Überlastsicherungen hervorgerufen werden. Um sich gegen Störungen oder Ausfall der Stromversorgung zu schützen, empfiehlt sich nachdrücklich die Anschaffung und Installation einer USV (unterbrechungsfreie Stromversorgung), die gerade mit diesen Verhältnissen fertig wird. Die USV muß eine Notstromversorgung (akkumulatorbasiert) in dem Umfang bieten können, wie es zur Durchführung eines kontrollierten Herunterfahrens des Servers erforderlich ist. Generelle Maßnahmen bezüglich Stromversorgung und lokales Netz

Nicht benötigte Dienste und Ports sperren

Windows NT
Bei Windows NT-Servern wählt man in der Systemsteuerung das Icon "Dienste" an.

Hier kann dann jeder nicht benötigte Dienst gesperrt (deaktiviert) werden.

Unix
Bei UNIX und Linux bearbeitet man mit einem Editor die Datei /etc/inetd.conf. Dienste werden deaktiviert, indem man die entsprechenden Zeilen mit einem # am Anfang auskommentiert. Hier ein Ausschnitt der Datei: 

                                       # <service_name> <sock_type> <proto> <flags> <user> <server_path> <args>
                                       #
                                       ftp     stream  tcp  nowait   root   /usr/sbin/tcpd  wu.ftpd -a
                                       # ftp	stream  tcp  nowait   root   /usr/sbin/tcpd  in.ftpd
                                       telnet  stream  tcp  nowait   root   /usr/sbin/tcpd  in.telnetd
                                       # nntp  stream  tcp  nowait   news   /usr/sbin/tcpd  /usr/sbin/leafnode
                                       shell   stream  tcp  nowait   root   /usr/sbin/tcpd  in.rshd -L
                                       # shell stream  tcp  nowait   root   /usr/sbin/tcpd  in.rshd -aL
                                       #
                                       # login  stream  tcp  nowait  root  /usr/sbin/tcpd   in.rlogind
                                       # login  stream  tcp  nowait  root  /usr/sbin/tcpd   in.rlogind -a
                                       # exec   stream  tcp  nowait  root  /usr/sbin/tcpd   in.rexecd
                                       # talk   dgram   udp  wait    root  /usr/sbin/tcpd   in.talkd
                                       # ntalk  dgram   udp  wait    root  /usr/sbin/tcpd   in.talkd
                                       #
                                       pop3    stream  tcp     nowait  root    /usr/sbin/tcpd  /usr/sbin/popper -s
Das Aktivieren der neuen Konfiguration erfolgt mit dem Kommando:
kill -HUP Prozess-ID von inetd. z. B.: (Eingaben fett gedruckt) 
                                       root@lx2-lbs# ps -aux | grep inetd
                                       root       121  0.0  0.3   912   420  ?  S    13:07   0:00 /usr/sbin/inetd
                                       root      1098  0.0  0.3   884   400  p2 S    16:36   0:00 grep inetd
                                       root@lx2-lbs# kill -HUP 121

Beschränkung des Zugriffs auf alle Dienste

Unter UNIX gibt es zwei Möglichkeiten der Einschränkung:
  • Alles ist erlaubt, bestimmte Dinge sind verboten.
  • Alles ist verboten, bestimmte Dinge sind erlaubt.
Die zweite Variante ist sicherer! Gesteuert wird der Zugriff von außen durch zwei Dateien, /etc/hosts.deny und /etc/hosts.allow. Am einfachsten läßt sich die Steuerung des Zugriffs an einem Beispiel zeigen. Die Syntax lautet generell bei allen Einträgen: Dienst: Benutzerkreis.

/etc/hosts.deny/etc/hosts.allow
                                       ALL:	    ALL
 
                                       shd:        ALL 
                                       in.telnetd: .xyz.mydomain.de 
                                       wu.ftpd:    .xyz.mydomain.de

In obigem Beispiel ist also alles verboten, bis auf ssh von überall her, telnet und FTP nur innerhalb der Domain xyz.mydomain.de.

Unsichere Zugänge zum System entfernen

  • Anmeldung als Superuser sollte nur von der Systemkonsole aus zulässig sein
  • unnötige Software aus dem System entfernen
  • Software regelmäßig warten und updaten
  • sichere(re) Software und Serverprogramme verwenden
  • Zugriffsrechte aus Systemdateien prüfen und ggfs. Zugriffsrechte so weit wie möglich beschränken
  • unsichere Software sperren (Sniffer etc.)
  • SUID-Programme prüfen, ob das SUID- oder SGID-Bit gesetzt sein muß

Systemsicherheit überprüfen

Die Aktivitäten auf dem Rechner und im Netz sollten regelmäig überprüft werden, um Probleme und Angriffe zu entdecken. Dazu ist es notwendig, daß die Administratoren ihre Systeme sehr gut kennenlernen:
  • Wo ist was konfiguriert? (/etc/inetd.conf)
  • Wo ist was protokolliert? (/var/log/messages)
  • Welche unterstützenden Systemkommandos gibt es? (ps, last)
  • Wie sind die Informationen zu finden und zu filtern? (find, grep)

Installation von Alarmmechanismen

Datensammlung
  • Erzeugung zusätzlicher LOG-Dateien
  • Erkennung von Hacks durch Suche nach bestimmten Einträgen in LOG-Dateien
  • Oft automatisches Benachrichtigen des Administrators
Beispiele:
  • Watcher: Protokoll-Tool, Plattform Unix.
  • Win-Log: Einfaches Rechnerüberwachungstool für Windows-NT. Hält unter anderem alle Login- und Logout-Vorgänge fest.

  • scanlogd: Bestandteil vieler Linux-Distributionen. Hält Portscans in der messages-Datei fest.
  • Courtney: Checkt den Rechner auf Satan-Scans. Plattform: Unix

Analyse bestehender Log-Dateien

  • Logsurfer: Checkt die messages-Datei von Unix-Rechnern auf bestimmte Einträge und führt daraufhin bestimmte Aktionen durch.
  • Logcheck: Einfaches Unix-Programm zum Überwachen der Logdateien.

Allgemeine Sicherhungsmaßnahmen

Die Kabelführung in der Nähe von größeren Elektromotoren, Neonbeleuchtungen und anderen Quellen elektrischer Störungen muß vermieden werden. Vermeiden Sie auch, daß kritische Komponenten (Server, Hubs, Bridges, Router, etc.) an den gleichen Versorgungsstrang angeschlossen sind wie mögliche Störungsquellen (Kopiergeräte, Kühlschränke, Laserdrucker, usw). Am besten werden solche Komponenten separat abgesichert oder sie erhalten eine eigene USV - was kein Problem ist, wenn mehrere Komponenten zusammen mit der USV in einen Schaltschrank eingebaut werden. Wählen Sie eine Kabelführung und eine Netztopologie, die eine starke Trennung und einen großen Schutz der Netzkomponenten bietet. Lassen Sie die elektrischen Installationen von einem Fachmann mit Kenntnissen auf den Gebieten Stromversorgung und lokale Netze überprüfen.

Sicherung von Netzdruckern: Berichte, Projekte und andere Dokumente, die im Unternehmen ausgearbeitet werden, liegen früher oder später über die Netzdrucker in schriftlicher Form vor. Die meisten Mitarbeiter haben wahrscheinlich schon vertrauliches Material im Druckerraum gesehen, wenn sie dort gewesen sind, um ihre eigenen Ausdrucke abzuholen. Die Möglichkeit, daß ausgedrucktes Material in die falschen Hände gerät, ist deshalb offensichtlich. Das Risiko eines unsachgemäßen Zugangs zu vertraulicher Information wird durch eine oder mehrere der folgenden Maßnahmen verringert: Schaffen Sie lokale oder persönliche Drucker für Mitarbeiter oder Arbeitsgruppen an, die sich mit vertraulichen Informationen beschäftigen. Ein oder mehrere Drucker können auch in einen Raum verlegt werden, wo ein Sicherheitsmitarbeiter für die Verteilung ausgedruckten Materials sorgt.

Bei der Industriespionage existiert der Begriff "trashing". Das läuft ganz einfach darauf hinaus, weggeworfenes schriftliches und elektronisches Material als Quelle zu Paßwörtern, Benutzer-IDs oder anderen wertvollen Informationen über das Unternehmens zu benutzen. Schriftliches Material können Ausdrucke, Handbücher, interne Memos, Berichte und anderes sein. Weggeworfene Disketten, CD-ROMS, Festplatten und Bänder können ebenfalls Daten enthalten, die nicht in die falschen Hände fallen sollten. Maßnahmen gegen trashing sind abgeschlossene Abfallbehälter und der Reißwolf sowie Zerstörung oder Überschreiben von ausgemusterten Datenträgern. Dazu gehören übrigens auch die Carbon-Farbbänder von Schreibmaschinen und die Transferfolien von Normalpapier-Faxgeräten und bestimmten Typen von Farbdruckern.

DIPLOMARBEITEN UND BÜCHER

Diplomarbeiten zum Runterladen:

Suche im Katalog:
 Architektur / Raumplanung
Betriebswirtschaft - Funktional
Erziehungswissenschaften
Geowissenschaften
Geschichtswissenschaften
Informatik
Kulturwissenschaften 		Medien- und Kommunikationswissenschaften
Medizin
Psychologie
Physik
Rechtswissenschaft
Soziale Arbeit
Sozialwissenschaften
JOBS
HOME | E-LEARNING | SITEMAP | LOGIN AUTOREN | SUPPORT | FAQ | KONTAKT | IMPRESSUM
Virtual University in: Italiano - Français - English - Español
VirtualUniversity, WEB-SET Interactive GmbH, www.web-set.com, 6301 Zug

Partner:   Seminare7.de - PCopen.de - HTMLopen.de - WEB-SET.com - YesMMS.com - Ausbildung24.ch - Manager24.ch - Job und Karriere