Safety first !


Es sind wahrlich nicht nur angenehme Zeitgenossen im Internet unterwegs.

von Bill Machrone, Sean Carroll, Oliver Kaven und Franz Grieser


Sensationsgeschichten über Denial-of-Service-Angriffe und Schäden durch Viren sind aus den Abendnachrichten schon gar nicht mehr wegzudenken. Das zeigt deutlich, dass das ständige Hin und Her zwischen Angriffen und Gegenmaßnahmen ein Spiel mit hohem Einsatz geworden ist. Internet Professionell stellt die wichtigsten Schutzmaßnahmen gegen verschiedenste Arten von Angriffen vor. Sicherheit ist allerdings nicht nur eine Frage der Technik. Das beste Schloss hilft wenig, wenn die Tür, an der es angebracht wurde, offen steht. Deshalb: Überprüfen Sie Ihre Server sorgfältig auf mögliche Sicherheitslücken. Unverändert übernommene Standardkennwörter beispielsweise für den Gast-Account, die nicht gelöschten Benutzerkonten ehemaliger Mitarbeiter sowie alte Programm- und Betriebssystemversionen mit bekannten Bugs sind eine Einladung für jeden Hacker, der sein Handwerk versteht. Überwachen Sie Ihre Systeme ständig auf verdächtige Aktivitäten, beispielsweise auf Versuche, Kennwörter zu knacken, und stellen Sie sicher, dass der physische Zugang zu den Servern auf autorisierte User beschränkt ist. Wenn Sie alle Ports geschützt haben, machen Sie es "bösartigen" Paketen schwer, in Ihr System einzudringen.


Den Status der Ports können Sie durch den kostenlosen Dienst Shieldsup! von Gibson Research (www.grc.com) überprüfen lassen. Server allerdings sollten von Natur aus offen sein. Vergewissern Sie sich, dass Ihre Server rundum von einer Firewall geschützt werden und dass auf den Servern nur die Services laufen, die auch wirklich notwendig sind. Informieren Sie sich über Sicherheits-Bulletins und installieren Sie regelmäßig die aktuellen Fixes und Patches für das Betriebssystem. Es ist auch dringend anzuraten, regelmäßig die Sicherheitseinstellungen und die Software auf den Servern darauf zu überprüfen, ob sie nicht inzwischen von einem Eindringling verändert wurden. Darüber hinaus empfiehlt es sich, das System von einem auf Sicherheit spezialisierten Dienstleister auf mögliche Schwachstellen hin untersuchen zu lassen.


Leichte Beute


Webserver sind eine attraktives Ziel für Hacker, die ihren Ehrgeiz damit befriedigen, Websites zu verunstalten oder den Betrieb zu stören oder eine Site ganz vom Netz zu nehmen. Je mehr Business-Transaktionen über die Server laufen, desto wichtiger ist die Uptime, also der störungsfreie Betrieb. Denial-of-Service-Angriffe sind zwar schwierig zu kontern, inzwischen gibt es allerdings eine neue Generation von Tools, die Eindringlinge entdecken und hohe Verfügbarkeit auch bei Angriffen versprechen. Neue Produkte wie Manhunt und Mantrap von Recourse Technology (www.recourse.com) nehmen für sich in Anspruch, Denial-of-Service-Attacken zum Angreifer zurückverfolgen und auf Dummy-Maschinen umlenken zu können.


Geht es um höchste Sicherheit, empfiehlt es sich, die Server so weit wie möglich voneinander zu trennen. In Fällen, in denen sich interne und externe Server nicht voneinander abschotten lassen, richten Sie ein Unter-LAN mit nicht-routebaren Adressen ein, das einzig und allein für die Kommunikation zwischen den Servern dient. Und bestehen Sie darauf, dass Ihre E-Mail-Partner zumindest für kritische Nachrichten und Dateien ein leistungsfähiges Verschlüsselungs-Tool einsetzen.


Wer meint, sich hinter einer Firewall zu verstecken sei Schutz genug, sollte nicht vergessen, dass es zum Wesen einer Präsenz im Web gehört, das Web und die sich darin tummelnden User sozusagen durchs Fenster hereinschauen zu lassen. Daher stellt sich die Frage, wie viel Einblick man Schnüfflern aus dem Internet gewähren will.


Im Visier


Verletzungen der Privatsphäre kommen häufiger vor, als man meinen möchte. Cookies, eigentlich Tools, die darauf abzielen, die Navigation im Web zu vereinfachen, lassen sich – häufig von Ad-Server-Firmen – dazu missbrauchen, die Vorlieben und Online-Aktivitäten der Websurfer in Profilen zu speichern. Dagegen helfen eigene Cookie-Manager oder aber entsprechende Funktionen in Sicherheitspaketen. Einige dieser Tools enthalten Werbeblocker, die – indem sie sämtliche Werbung ausblenden – auch verhindern, dass Ad-Server Cookies auf der lokalen Festplatte der Besucher speichern. Cookies sind zwar nur eine vergleichsweise geringe Bedrohung, stellen aber bei weitem nicht die einzige Möglichkeit dar, Einzelanwender oder Firmennetze auszuspionieren. Clevere Programmierer können Schwächen im System ausnutzen, indem sie in Java, Javascript oder ActiveX geschriebenen "bösartigen" Code auf einer Webseite einbauen. Spektakuläre Fälle dieser Art sind zwar bislang nicht bekannt geworden, gefährlich werden können derartige Exploits aber dennoch. Javascript zum Beispiel kann auf die Protokolldatei des Browsers zugreifen, und ActiveX-Controls haben sogar ungehinderten Zugriff auf das Dateisystem der lokalen Platte. Dagegen helfen Anwendungen wie Esafe (www.ealaddin.com), die es erlauben, vorübergehend den Internet-Zugang abzuschalten, damit Sie in der Zwischenzeit verdächtige Seiten oder Applets überprüfen können.


Mit wenigen Zeilen Javascript-Code kann man einen Browser auch dazu bringen, andere per E-Mail darüber zu informieren, dass er eine bestimmte Site besucht hat. Gegen derartigen Referrer-Code helfen in der Regel schon einfache Werbeblocker. Weitaus gefährlicher sind Trojanische Pferde wie Back Orifice und Netbus: Sie geben Hackern über eine Remote-Verbindung vollständige Kontrolle über ein System. Die Eindringlinge sind dann nicht nur in der Lage, Kennwörter zu entwenden, sondern können den Rechner sogar neu starten. Antiviren-Programme spüren zumindest die bekannten Trojanischen Pferde zuverlässig auf und entfernen sie.


Auch eine Hardware-Firewall, die nur Traffic aus explizit ausgewählten Anwendungen durchlässt (sowohl aus dem als auch ins Internet) schützt vor Trojanischen Pferden und stellt eine hervorragende Ergänzung der Antiviren-Software dar. Die beste Schutzmaßnahme lautet allerdings immer noch: die Quelle der verwendeten Software genau kennen und alle Dateianhänge mit Vorsicht behandeln.


Kryptisch


Haben Sie schon jemals einen Brief mit Wasserdampf geöffnet? Das Abfangen von E-Mail ist für diejenigen, die wissen, wie es geht, genauso einfach. Und Gelegenheit dazu gibt es reichlich, schließlich passieren E-Mails auf dem Weg zum Empfänger jede Menge Server. Hinzu kommt, dass Kopien einer E-Mail an verschiedenen Stellen zu finden sind: Auf der Maschine des Absenders, beim Empfänger, auf den E-Mail-Servern an beiden Enden und natürlich in den Backups, die zumindest von all den Servern gemacht werden. Ein solcher Einbruch ist allerdings dann zwecklos, wenn Sender und Empfänger mit einem sicheren Verschlüsselungs-Tool wie PGP oder einem E-Mail-Programm, das S/Mime unterstützt, arbeiten – und es auch einsetzen. Vor allem aber müssen die User genau wissen, was sie tun: Verschlüsseln bringt nur dann etwas, wenn man die Originaldatei oder -nachricht nicht zusätzlich im Klartext auf dem Rechner speichert oder gar ausdruckt und archiviert.


Tools, die die Tastatureingabe mitprotokollieren, tun das auch, während man offline ist. Die aufgezeichneten Daten versenden sie dann entweder, wenn der User nicht an seinem Platz ist, oder wenn er online geht. Einige Trojanische Pferde sind in der Lage, die Tastatureingaben mitzulesen; spezielle Monitoring-Tools wie Win What Where Investigator (W3I) können sogar sämtliche Aktivitäten heimlich aufzeichnen. Das wirkungsvollste Werkzeug gegen diese Monitoring-Programme sind Paketanalyse-Tools. Diese sind allerdings relativ teuer und komplex.


Angriff

Quelle

Wirkt sich aus auf

Gefahr

Lösung

Attacken auf Webserver und Firmennetze

Hacker aus dem Internet

alle Server

hoch
Die Angriffe verursachen Datenverlust, Service- unterbrechungen und "Diebstahl" von Dienstleistungen.

Firewall, Kennwortschutz und Bugfixes implementieren, Software auf Server überprüfen und gefährdete Punkte überwachen.

Nichtauto- risierte Zugriffe

Hacker im LAN und im Internet

alle User, insbesondere aber solche mit Standleitung

hoch
Hacker übernehmen die Kontrolle über den/die Rechner. Systeme im Unternehmen sind von anderen Maschinen im Netz aus zugänglich

Ports und Lücken in der Firewall schließen, Datei- und Drucker-Sharing ausschalten, keine leicht zu erratenden Passwörter verwenden.

Viren, Würmer, Trojanische Pferde

E-Mail, Software- Downloads

alle User

mittel bis hoch Sie überwachen User- Aktivitäten, verursachen Datenverluste und schaffen Sicherheitslücken.

Antiviren-Software und Firewalls einsetzen und die Zugänge zum und aus dem Internet überwachen.

"Malicious Code"

"bösartige" Websites

alle User

gering
Sie fangen Kennwörter und vertrauliche Informationen ab und beschädigen Daten.

Im Browser die SkriptUnterstützung abschalten und Sicherheitssoftware einsetzen.

Aus- spionieren von E-Mail

Hacker im LAN und im Internet

alle User

mittel bis hoch Hacker fangen E-Mails oder einzelne Datenpakete auf dem Weg zum Empfänger (im Internet) ab oder verschaffen sich physischen Zugang zum PC.

Nachrichten verschlüsseln, keine leicht zu erratenden Kennwörter verwenden und den physischen Zugang zum PC sperren.

Aufzeichnen der Tasten- eingaben

Trojanische Pferde, User mit direktem Zugang zum PC

alle User

hoch
Das Monitoring-Tool zeichnet jede Taste auf, die am PC gedrückt wird – das passiert, bevor die Daten verschlüsselt oder das Kennwort bei der Eingabe "maskiert" wird.

Antiviren-Software einsetzen, um Trojanische Pferde abzublocken, den Internet-Zugang kontrollieren, um den Versand der aufgezeichneten Daten zu verhindern, und einen Systemmonitor und Schutz gegen physischen Zugriff implementieren.

Referrer

besuchte Websites

einzelne User

gering
Sie melden die Internet-Aktivitäten des überwachten Users weiter.

Werbe-Blocker und Sicherheitssoftware einsetzen.

Spam

E-Mail

alle User, Unternehmen

gering
Spam verstopft den E-Mail-Eingang und die E-Mail-Server mit unerwünschten Werbenachrichten. Spam in HTML-Form lässt sich zur Profilerstellung und zur Identifikation von Usern nutzen.

Spamfilter installieren und E-Mails von bekannten Spam-Adressen ausfiltern; keine HTML-E-Mails zulassen.

Cookies

besuchte Websites

einzelne User

gering bis mittel Cookies zeichnen Aktivitäten auf der Website auf und erlauben das Erstellen von Verhaltens- und Interessenprofilen.

Über Cookie-Manager das Verhalten von Cookies überwachen, Cookies entweder löschen oder editieren; Werbe-Blocker installieren


Quelle: http://www.zdnet.de/netzwerk/artikel/sicherheit/200010/safetyfirst_00-wc.html [29.11.2001]