Prüfungsprojekt "Sicherheitskonzept"

#1 Hallo
ich hab das Vergnügen mich demnächst an meine Prüfungsarbeit ranmachen zu dürfen und suche hierzu noch ein paar Anregungen und Tips. Vielleicht hat der eine oder andere von euch sowas schon mal gemacht und kann mir seine "Ergebnisse" per Mail schicken oder mir hier im Board ein paar Tips posten. Das wär echt spitze!
Gruss
dj
__________
Computer sind dazu da, Probleme zu lösen, die wir ohne sie nicht hätten.

#2 Die drei IT-Grundwerte wären ein Beginn, denn man sicher weitläufig ausführen könnte. Hierzu zählen: Vertraulichkeit,Verfügbarkeit, und Integrität
Hast Du schon etwas Genaueres im Sinn ?, dann lass es uns wissen
__________
Durchsuchen --> Aussuchen --> Untersuchen

#3 Ja so in etwa
Es geht um ein Kundenauftrag:
Einrichten eines kleines Firmennetzwerkes mit Internet Sharing, Mailserver und Intranet auf HTML Basis. Den Teil hab ich auch schon gelöst. (Jana Server - da is alles drin)
NUr die Sache mit dem Sicherheitskonzept hab ich noch nicht zu Ende gedacht. Ich dachte an einen Linux Router mit NAT und Filter.
Zwischen dem Proxy (Jana) und dem Router befinden sich der Web und FTP Server fürs Intranet. Der Web soll auch übers Internet erreichbar sein, diese Zugriffe könnte man sicherlich auf einem Port "durchschleusen".
Soviel bis jetzt mal.
Gruss
dj
__________
Computer sind dazu da, Probleme zu lösen, die wir ohne sie nicht hätten.

#4 @djmugge

Isn bissl komisch wie wärs wenn der Jana Proxy hinter dem Linux Router kommt oder wieso nicht gleich noch ein zweiter Linux/*BSD Rechner? Eigentlich könnte auch ein Rechner das erledigen.
__________
E-Mail: therion at ninth-art dot de
IRC: megatherion @ Freenode

#5 Das mit dem Jana als zusätzlichen Proxy ist bewusst so gewählt. Dort sind der Mail- und Webserver fürs Intranet. Der Router davor dient als "eigentliche" Firewall mit Filtern und so.
Ich dachte auch schon daran, eine DMZ einzurichten, also ein mit dem Web und FTP sowohl für Inter- als auch Intranet, zwischen zwei Routern, und im eigenen LAN ein weiterer Jana mit dem Mail fürs Intranet und der Benutzerverwaltung für den Web-Zugriff. Aber so richtig zu Ende gedacht hab ich die Möglichkeiten noch net.
Gruss
DJ
__________
Computer sind dazu da, Probleme zu lösen, die wir ohne sie nicht hätten.

#6 Mail und Webserver kann UNIX schon viel länger als windows hand haben. Und wieso einen Linux Rechner "nur" für die Firewall benutzen? Wieso nicht gleich zwei Linux Rechner das wer viel einfacher als der komische Jana Server. Und ja, ich kenne Jana und ich finde es sehr viel komplizierter. Sogar unsinnig kompliziert.
__________
E-Mail: therion at ninth-art dot de
IRC: megatherion @ Freenode

#7

Zitat

Xeper postete
ich kenne Jana und ich finde es sehr viel komplizierter. Sogar unsinnig kompliziert.

Da muss ich dir doch etwas widersprechen. Bei mir läuft seit nem knappen Jahr der Jana als Mailserver, Webserver, FTP Server, Newsserver und Proxy und ich hatte noch kein Problem damit. Man muss nur die Philosophie verstehen. Aber in Ordnung sowas ist Geschmackssache. Ich hab bislang mit Linux noch nichts oder nur sehr wenig zu tun gehabt.
Meine Idee geht in Richtung LinuxRouter, dahinter DMZ mit einem Jana für den öffentlichen WWW, danach nochmal nen Router und dahinter der Jana als Proxy mit Mailserver und Intranet WWW Server. Könnte mir jemand von euch ein paar "Anstösse" für den Linux Router geben?
Wär super.
__________
Computer sind dazu da, Probleme zu lösen, die wir ohne sie nicht hätten.

#8 @djmugge

Hab ich je behauptet das du mit 'Jana' ein problem hättest?
Da steht 'ich finde es' und diese Meinung kannst du nicht bestreiten solang du noch nichts oder wenig mit Linux zu tun gehabt hast.

Nun ja Anstösse was für Anstösse okay es sollte schon nen 233MHz sein also nicht sonne ganz lahme kiste das bringt nur frust. Und dann machste halt deine lieblings distribution darauf und richtest das dingen ein. Ich würde debian nehmen oder wenn es nen 500MHz wär oder natürlich darüber dann vielleicht doch lieber gentoo.
__________
E-Mail: therion at ninth-art dot de
IRC: megatherion @ Freenode

#9

Zitat

Könnte mir jemand von euch ein paar "Anstösse" für den Linux Router geben?
Wär super.[/i]

www.fli4l.de

#10 @-Tom-

Sowas sollte man nicht in einem effektiven Netzwerk verwenden man sollte überhaupt keinen fli4l oder sonstiges benutzen wenn man absolut und ich meine wirklich absolut keine Möglichkeit hat ein vernünftiges OS installieren.
__________
E-Mail: therion at ninth-art dot de
IRC: megatherion @ Freenode

#11 hi dj...

ich hab das Ziel deiner Arbeit noch nicht richtig verstanden, bzw. was dein Ansatz mit einem Sicherheitskonzept zu tun hat. Für mich sieht es im Moment noch so aus, als ob du eine Struktur entwickeln möchtest und als Basis ein "sicheres" Netzwerk nimmst?! Damit sattelst du den gaul von hinten auf... bzw. versucht einen Sattel aufzuschmeißen, obwohl noch kein Gaul da ist.

Das, was du da versuchst mit Proxy, Linux und Co. zusammen zu prömmeln ist bestenfalls ein kleiner Bestandteil, aber weit entfernt von einem tatsächlichen Konzept.

Mal als kleiner Denkanstoß für die Struktur deiner Arbeit... Komponenten, die im Rahmen eines Sicherheitskonzeptes irgendwie besprochen werden sollten:

Basiskomponenten
Hier sollten u.a. alle Fragen geklärt werden, die die Mitarbeiter betreffen... Umgang mit Passwörtern, Zuweisung von IT-Verantwortlichkeiten (Administration), Ausfallregelung, neue Mitarbeiter, ggf. Sicherheitsschulungen auch in Bezug auf gesetzliche Bestimmungen, Bekanntmachung klarer Sicherheitsrichtlinien, Informationskette beim Bekanntwerden von Sicherheitsverstößen, Notfallmaßnahmen (Brand, Stromausfälle...), Datensicherungsregeln (persönlich, autom. übergeordnet...), Viren-/Mailwareschutz, ggf. Verschlüsselung... weiter ohne Ende

Infrastruktur
Sicherung der IT-Räume, Serverschränke, Datenträgerarchive, Verkabelung, sind event. Heimarbeitsplätze zu berücksichtigen...

Netzwerk serverseitig
Wie gehe ich mit folgenden Dingen um: fahrlässige Zerstörung von Hardware und Daten, ggf. Fremdpersonal (Reinigungskräfte), Manipulation von Daten, Missbrauch von Benutzer-/ Adminrechten, mutwilliges Einspielen von Viren/Trojanern... nichautorisierte Software generell.
Weiter: Verhinderung nichtautorisierte Netzwerkzugänge und Informationsbeschaffung über Sicherheitslücken, Dokumentation der Rechteverwaltung, ...

alles was mit Datenübertragung zu tun hat
Datenträgeraustauch, Internetzugänge, Mail- und Webbenutzung, Firewall/ Securegateways, ...

Das größte Problem an einem Sicherheitskonzept ist nicht die Technik, sondern der Mensch... darum sollte ihm der größte Teil des Konzeptes gewidmet werden.

Für den Einstieg in deine Arbeit solltest du vielleicht überlegen, ob du die Anforderungen der Musterfirma etwas genauer definierst bzw. genau abgrenzt, wenn sich das aus der Aufgabenstellung nicht ohnehin schon ergibt. Darauf aufbauend stetzt du für deine Arbeit ein klares Zeil, das als Basis eine genaue Einschätzung des Sicherheits- und Schutzbedürfnisses der Musterfirma hat. Ansonsten verzettelst du dich irgendwann völlig... ist das Schutzbedürfnis eher niedrig, kannst du viele von den Punkten oben zwar erwähnen, brauchst sie aber nicht näher ausführen.

Wie gesagt... so würd ich da vielleicht rangehen

Grüße, dicon
__________
Knie nieder NICHTS und danke der Welt, dass sie dir ein Zuhause gibt und dich am Leben hält.

#12 @dicon

Ich hab es absichtlich etwas "unpräzise" formuliert, damit ich mir nicht einen Bären aufbinde, indem ich dann im Fachgespräch spätestens drüberstolper

Was das Sicherheitskonzept angeht habe ich mir folgendes Gedacht:

- Zugriffsrechte ins Internet entsprechend einschränken, zum einen über Benutzerzeiten, IP Adressen bezogen und über Useraccounts, zum anderen nur die Dienste erlauben die benötigt werden.
- Zugriffsrechte von aussen ins LAN blocken, Ausnahme sind Remote Administrationsmöglichkeiten wie der Terminaldiensteclient von M$ oder andere Remote Admin-Progis. Gleichzeitig sollen für authentifizierte User Zugriffe auf den Intranet Webserver und auf den Intranet Mailserver möglich sein.

Das Sicherheitskonzepte viel umfangreicher und detaillierter sein müssen, um ihren Zweck zu erfüllen ist mir bewusst. Nur würde das meinen 35 Stunden Rahmen für die Projektarbeit um ein Vielfaches sprengen.

Gruss
dj
__________
Computer sind dazu da, Probleme zu lösen, die wir ohne sie nicht hätten.