Absichern von Unternehmensnetzwerken Teil 1

in den letzten 3 Jahren durfte ich bereits mehrere Vorträge über die Absicherung von Unternehmensnetzwerken halten. Im speziellen versuche ich dabei auf die Möglichkeiten einzugehen die das Betriebssystem bereits bietet. Das sind nämlich seit Windows 2000 schon relativ viele, die leider, das zeigen meine Rückfragen bei den Teilnehmern fast niemals genutzt werden. ich persönlich finde das schade, auch deswegen weil z.B. oft wichtige Patche nicht eingespielt werden aus Angst das danach etwas nicht mehr funktioniert. Leider bietet dieses Verhalten unangenehmen Zeiterscheinungen wie Conficker, Sasser oder ähnlichen Schädlingen einen geradezu idealen Nährboden. Bei der Firma für die ich momentan arbeite wäre ein Problem wie in einem Krankenhaus in Österreich nie aufgetreten (ich kann das hier schreiben ohne rot anzulaufen, da die selbst gesetzten Standards bei uns eingehalten werden).

Zwar erfordert das Einhalten von Sicherheitsstandards mehr Arbeit, aber bei einem schlecht gesicherten Netzwerk können dann oft alle Mitarbeiter nicht mehr auf die für Ihre Arbeit notwendigen technischen Ressourcen zugreifen. Selbst wenn in einem Unternehmen “nur” 100 Mitarbeiter arbeiten, bei einem durchschnittlichen Stundenlohn von 30 EUR und einem 2 tägigen Ausfall (meist dauert es länger um alle befallenen Daten aus einem Backup wieder herzustellen!) sind bereits 48.000 EUR Ausfall zu kompensieren (Und 2 Tage Ablage werden die Mitarbeiter ja nicht machen, oder?). Dieser Betrag übersteigt meines Wissens das Jahresbrutto der meisten IT-Admins mit weniger als 6 Jahren Berufserfahrung.

Mit dem Wissen wie viel Schaden ein auftretendes Problem verursachen kann (obiges ist natürlich nur ein Beispiel, wie es bei jedem in der Firma aussieht muß man natürlich selbst eruieren) ist man schon für die nächste Budgetrunde besser gewappnet wenn es in der IT um Projekte und Ausstattung mit Mitarbeitern geht. Die meisten Ideen die ich in den nächsten Blogeinträgen geben werde kosten Zeit. Und meistens nützt es nichts auf die EDA-Kosten (der Mitarbeiter ist ja eh da) zu verweisen. Die meisten Mitarbeiter außerhalb der IT interessieren sich meiner Erfahrung nach “nicht die Bohne” für Sicherheit in der IT-Infrastruktur. Da wird dann schnell das Genörgle größer wenn der neue HTC nicht in 5 Minuten eingerichtet ist weil der Admin erst die Gruppenrichtlinien für mehr Sicherheit anpassen möchte. Ohne Rückhalt des Management ist man hier schnell auf verlorenem Posten (an dieser Stelle möchte ich meinen Kollegen in der Firma mal ein großes Lob aussprechen! Dringende bzw. verpflichtende Reboots werden “ohne mullen und knullen” 😉 hingenommen. Das habe ich selten so erlebt.)

Um ein wenig praktischer und technischer zu werden fangen wir mit einem Tipp an der nicht so arg weh tut und wenig kostet (der Einfachheit halber geht ich jetzt mal von reinen Windows-Netzwerken aus)

Tipp1 : Reduzierung der Angriffsfläche bei Clients

Um einen Angriff eines Schädlings erfolgreich abwehren zu können muß man 2 Dinge kennen: die Vorgehensweise des Schädlings (nicht die genaue, aber die ungefähre) und die eigenen Schwachstellen. Schädlinge nutzen meistens bekannte Schwachstellen aus. Im Fall von “Conficker” ist das eine Lücke im Protokoll des Remoteprozeduraufrufes (RPC, Remote Procedure Call) die Microsoft bereits seit mehreren Wochen geschlossen hat. Wir können als Scenario aber auch gerne annehmen, das es noch keinen Patch, aber eine bekannte Sicherheitslücke gibt. Wenn die Lücke gerade heute bekannt geworden ist und bereits Schadcode existiert wäre das dann ein sog. Zero-Day-Exploit. Leider kommt sowas immer häufiger vor, dazu aber in einem späteren Tipp mehr.

Im Fall von Conficker, Sasser, Blaster und noch etlichen anderen Kandidaten haben wir es mit selbstverbreitenden Kandidaten zu tun, die wenn erst einmal ein Rechner betroffen ist versuchen sich weiter auf andere Rechner zu kopieren oder Schadcode nachzuladen. Häufig werden die Schädlinge über Notebooks vom Außendienst oder tragbare Datenaustauschgeräte eingeschleppt. Das kopieren des Schadcodes von Client zu Client kann man relativ leicht unterbinden: Durch Verwendung der in seit Windows XP vorhandenen Firewall. Damit man das nicht “zu Fuß” an jedem Client machen muß  können die Einstellung per Gruppenrichtlinie verteilt werden. Wer noch nie etwas mit Gruppenrichtlinien konfiguriert hat sollte sich die Seite von Mark Heitbrink genauer anschauen. Was sich realtiv banal und einfach liest hat natürlich einige (aus meiner Sicht leicht verschmerzbare) Tücken. Beim bloßen Einschalten der Firewall hat man (auch als Administrator!) erst einmal einen Remotezugriff auf die Rechner. Das ist, wenn dort etwas installiert werden muß oder ein Blick auf das Eventlog notwendig ist erst einmal ein Problem. Wenn man die Zugriffe auf die Clients auf einen bestimmten (ADmin/Verwaltungs-)Rechner einschränkt kann das aber konfiguriert werden. Ich gehe mal davon aus das folgende Ausnahmen für die Firewall der Clients für den Administrativen Zugriff benötigt werden:

  • Remote Desktop
  • Remote Verwaltung

Möglicherweise spielt noch der Virenscanner eine Rolle oder ein Installationsagent. Da das etwas schwieriger zu konfigurieren ist werde ich in einem der nächsten Blogeinträge darauf eingehen.

Bitte immer im Hinterkopf behalten das es sich um eine Eingehende! Firewall handelt. Ich hoffe das in keinem Unternehmen ein Anwenderrechner als Druckserver herhalten muß. Verbindungen wie zum Automatischen Updatedienst werden ja vom Client aus initiert.

Die Gruppenrichtlinien zur Firewallkonfiguration finden sich unter “Computerkonfiguration, Administrative Templates, Netzwerk, Netzwerkverbindungen.

fwprofile

An dieser Stelle stoßen wir bereits auf das erste Hindernis: Wann gilt das Domänenprofil und wann das Standardprofil. Ich werde auf diese Frage in einem der folgenden Blogeinträge eingehen. Vorerst widmen wir uns dem Domänenprofil. 

Folgende Einstellungen wären zu treffen (siehe Screenshot)

firewallsettings

Damit wären die Clients bis auf Remotedesktop und Remoteverwaltung abgesichert. Da z.B. Conficker u.a. den Port für die Remoteverwaltung benutzt um sich selbst zu verbreiten wäre eine weiter Absicherung natürlich gut. Anstatt den Zugriff von überall aus zu gestatten geben Sie den Adminrechner vor von dem aus Sie administrieren. Das kann ein Administrator-Terminalserver sein oder ein Admin-Subnetz. Die Ausnahme wird sowohl bei RDP als auch bei der Remoteverwaltung gleich eingetragen (siehe Screenshot):

admints

Meiner Erfahrung nach werden viele Viren per Surfen im Internet, Email oder USB eingeschleppt. Bitte vermeiden Sie den Administrator-Rechner damit in Berührung zu bringen. Durch den Tipp 1, Reduzierung der Angriffsfläche bei den Clients haben Sie schon einmal ein großes Schadpotential ausgeschaltet. Conficker hätte auf den Clients auch wenn diese noch keinen Patch installiert haben keine Chance zur Verbreitung mehr. Ein wichtiger Beitrag zum Arbeitsplatzerhalt und besserem Schlaf für jeden Admin!

Im nächsten  Teil zu “Absichern von Unternehmensnetzwerken, Teil 2” werde ich auf einen wichtigen Teil der Sicherheitsstrategie eingehen: Die Mitarbeiter.

 

Viele Grüße

 

Walter Steinsdorfer

Leave a Reply

Your email address will not be published. Required fields are marked *