Suchen

Gefahrenquelle Internet Web-Verbindung von Arbeitsplatz-PCs sinnvoll kontrollieren

| Autor / Redakteur: J.P. Vossen / Dipl.-Ing. (FH) Andreas Donner

Aus Gründen der Sicherheit wäre es in vielen Fällen das Beste, Arbeitsplatzrechnern wo immer möglich das Recht auf End-to-End-IP-Verbindungen im Internet zu nehmen. Da dies jedoch meist nicht umsetzbar ist, müssen die Web-Verbindungen so sicher wie möglich ablaufen.

Firma zum Thema

( Archiv: Vogel Business Media )

Die meisten Benutzer benötigen lediglich E-Mail- und HTTP-Zugang zum Internet, manche sogar keines von beiden. Warum sollte ihnen der Netzwerkadministrator also den vollen Zugang zum Internet gewähren? Ohne End-to-End-IP-Konnektivität wird es für die Benutzer deutlich schwieriger, unerwünschte Verbindungen nach außen herzustellen. Selbst wenn ein schlauer (oder böswilliger) Benutzer einen Weg findet, dies zu umgehen, in vielen Fällen wird das Netzwerk durch das Trennen der Verbindung Desktop/Internet sicherer.

Firewall konfigurieren

Wichtig ist, dass die Firewall-Ausgangsregeln genauso streng sind wie die Eingangsregeln. Das Anpassen der Firewall-Regeln kann jedoch einige Zeit in Anspruch nehmen.

Sind die Regeln angemessen eingestellt, braucht es für die Grundkonfiguration lediglich den internen E-Mail-Server, den internen DNS-Server und einen Internet-Proxy-Server. Alle Rechner sollten so konfiguriert sein, dass E-Mails ausschließlich über den internen E-Mail-Server empfangen und gesendet werden, der mit dem Mail-Relay, dem Internet oder dergleichen kommunizieren darf.

Clients einrichten

Auch die Clients, die den internen DNS-Server nutzen sollen, müssen angepasst werden. Diesen Schritt darf der Administrator nicht überspringen, selbst wenn kein interner DNS-Server zur Verfügung steht (z.B. beim Einsatz von WINS). Es existieren böswillige Programme, die gezielt versuchen, über den Ausgangsport 53/UDP zu kommunizieren. Wenn es sich nicht vermeiden lässt, sollte den Clients 53/UDP nur für die Upstream-DNS-Server erlaubt werden.

Port 53/TCP wird nur für Zone-Transfers und umfangreiche DNS-Anfragen verwendet, was in den meisten Umgebungen bei Endbenutzergeräten nicht erforderlich ist. Falls in diesem Bereich ein Problem auftritt, müssen die Firewall-Protokolle überprüft werden. Aber das ist eher unwahrscheinlich.

Internet über Proxy-Server

Es werden zahlreiche kostenlose Proxy-Server für alle Plattformen und Betriebssysteme angeboten (z.B. Privoxy). Zuerst müssen die Webbrowser der Benutzer für die Verwendung des Proxy-Servers konfiguriert, anschließend die Firewall-Regeln so eingestellt werden, dass ausschließlich über den Proxy-Server im Internet gesurft werden kann.

Eine unflexible Proxy-Server-Konfiguration verursacht jedoch wahrscheinlich Probleme, z.B. wenn der Benutzer mit dem Notebook zu Hause oder beim Kunden arbeitet. Die meisten Browser verfügen daher über eine Autokonfigurationsfunktion, mit der sich dieses Problem beheben lässt. Genauere Informationen liefert die jeweilige Browser-Dokumentation.

Wer den Internetzugang für Desktops sperrt, stößt unweigerlich auf Widerstand der Endnutzer. Manche werden behaupten, ohne Internet nicht arbeiten zu können, andere benötigen womöglich eine andere DFÜ-Verbindung, beispielsweise SSH, FTP oder Telnet. Berater, die mit ihren Büros über einen bestimmten Port in Verbindung bleiben müssen (z.B. für eine Terminal-Server-Anwendung), sind hier nur eines von zahlreichen Beispielen. Aber auch für den Administrator wird die Fehlersuche im Netzwerk ohne Ping- oder Traceroute-Tools schwierig.

Authentifizierung und statische IP-Adressen

Es gibt keine einzelne, universalgültige Lösung, um allen Anforderungen gerecht zu werden und gleichzeitig maximale Sicherheit zu erzielen. Die individuelle optimale Vorgehensweise hängt zudem immer auch von der Leistungsfähigkeit der IT-Architektur und Peripheriegeräte ab. Einige Firewalls und Proxy-Server bieten jedoch die Möglichkeit einer Benutzer-Authentifizierung für Peripheriegeräte, wodurch sich auf Basis der Benutzer-ID festlegen lässt, wer welchen Zugang zu welchem Systemteil hat.

Sollte diese Methode nicht umsetzbar sein, müssen bestimmten Benutzern für den erforderlichen Zugang womöglich statische IP-Adressen zugewiesen werden. Findige User könnten ihre Arbeitsplatzrechner allerdings mit einer statischen IP neu konfigurieren, wenn entsprechenden Informationen „durchsickern“. Auch diese Methode ist demnach nicht absolut sicher. Zusätzliche Vorsicht ist bei der Verkabelung, beim Routing und bei VLANs geboten. Außerdem sollten immer auch Portsicherungen eingesetzt werden, um trotz aller „Unzulänglichkeiten“ ein möglichst hohes Sicherheitsniveau zu erzielen.

(ID:2000818)