HTMLWorld - HTML, CSS, JavaScript, PHP, Java, Flash und vieles mehrHTMLWorld:   Home | Impressum |
 

 
 

Anzeige 
 
               Forum
 
 
HTMLWorld » IT-Sicherheit » Sicherheit im Netzwerk

IT-Sicherheit: Sicherheit im Netzwerk

von Michael Stöckel/Jan Winkler

Viele Heimnutzer von Computer haben sich ein kleines Netzwerk aufgebaut, um alle Familienrechner zu verbinden. In diesem Fall spielt die Sicherheit - falls man nichts zu verbergen hat - keine große Rolle. Sofern man aber in Firmennetzwerken arbeitet, in denen viele tausend Computer untereinander erreichbar sind, muss auf die Sicherheit im Netzwerk geachtet werden. Persönliche oder teaminterne Dateien sollen schließlich nicht für jedermann interessant sein.

Anzeige

Sichere Nutzung von Laufwerksfreigaben  nach oben

Wenn nur bestimmte Dateien im Netzwerk für andere Nutzer zugänglich gemacht werden sollen, muss nicht das komplette dazugehörige Laufwerk freigeben. Es reicht vollkommen aus, wenn der Ordner, in dem die Dateien gespeichert sind, freigegeben wird.

Laufwerks und Orderfreigaben einrichten

Laufwerks- oder Ordnerfreigaben funktionieren nach dem folgenden Schema:
1. Klick mit der rechten Maustaste auf das Laufwerks- oder Ordnersymbol.
2. Auswahl des Eintrages "Freigabe und Sicherheit" aus dem Menü bzw. "Freigabe ..." bei Windows 2000
3. In Windows XP muss man dann, sofern man nicht als Administrator angemeldet ist, in der grafischen Oberfläche auf "Klicken Sie hier, wenn Sie das Laufwerk dennoch freigeben möchten" bzw. auf "Diesen Ordner freigeben" klicken um die Freigabe zu aktivieren. Bzw.
Im Bereich "Netzwerkfreigabe und -sicherheit" setzen Sie einen Haken bei "Diesen Ordner im Netzwerk freigeben". Dadurch werden die Eingabezeile und das Optionsfeld darunter aktiviert. In der Eingabezeile direkt darunter muss ein individueller Freigabename eingegeben werden. Danach wird festgelegt, ob die Nutzer, die auf dieses Laufwerk zugreifen, die Dateien verändern dürfen oder nicht.
Ein einfacher Mausklick auf "Übernehmen" richtet die Freigabe wird automatisch ein.

Netzlaufwerke einrichten

Damit der externe Nutzer auf das Laufwerk zugreifen kann, muss dieser in seinem Computer ein "Netzlaufwerk" einrichten. Dies funktioniert nach folgendem Schema:
1. Klick mit der rechten Maustaste auf das Symbol "Netzwerkumgebung" auf dem Desktop
2. Auswahl des Eintrages "Netzlaufwerk verbinden".
3. Anschließend wählen Sie einen Laufwerksbuchstaben aus.
4. In der Eingabezeile zu "Ordner" muss der folgende Ausdruck eingegeben werden:

\\[Name des Rechners]\[Freigabename]

Weiter kann festgelegt werden, ob die Verbindung zum Laufwerk bei der Anmeldung (= Hochfahren des PC's) automatisch hergestellt werden soll. Ein Einfacher Mausklick auf "Fertigstellen" und die Verbindung zum Laufwerk wird automatisch eingerichtet.

Eingerichtete Netzlaufwerke werden im Arbeitsplatz dann unter der Rubrik "Netzlaufwerke" angezeigt. Dort ist es auch möglich, die Verbindung zum Laufwerk wieder zu trennen.

Bei solchen allgemeinen Freigaben sollte unbedingt beachtet werden, dass jeder Nutzer Zugriff auf das freigegebene Laufwerk hat. Es sollte also gut überlegt sein, ob die Nutzer, die Zugriff auf das Laufwerk haben, Dateien auch verändern (u.a. löschen) können.

Rechtefreigabe in Windows XP
Darstellung: Rechtefreigabe in Windows XP

Steuerung der Laufwerksfreigaben

Um die so erstellten Laufwerks- und Ordnerfreigaben zu beschränken und eben nicht jedem Nutzer sondern nur ausgewählten Nutzern den Zugriff zu ermöglichen wählt man im Freigabe-Dialog den Button "Berechtigungen" (bei Windows XP Home muss man dazu der Administrator eingeloggt sein). Hier kann dann mittels Hinzufügen und Entfernen die zugriffsberechtigten Nutzer eingestellt und mit den jeweiligen Rechten bestückt werden.

Einsatz einer Firewall/eines Routers im Netzwerk  nach oben

Durch eine Firewall kann ein Computer im Netzwerk und auch im Internet abgesichert werden. Eine Firewall überwacht den Datenverkehr abgehend und ankommend vom Computer des Nutzers bzw. vom Übergang vom Netzwerk zum Internet. Ein Router stellt sicher, dass alle Computer - auch mit unterschiedlichen IP-Adressen - jederzeit im Netzwerk erreichbar sind. Ein "Verschleiern" der IP-Adresse und eine Beeinflussung des Datenverkehrs ist über einen Router ebenfalls möglich. Moderne Router haben außerdem eine integrierte Firewall, so dass nur eine Einmalanschaffung notwendig wäre, wenn man den Schritt gehen will.

Hardware-Firewall von Cisco
Darstellung: Hardware-Firewall von Cisco

Folgende Techniken gibt es, mit denen ein Router bzw. eine Firewall den heimischen Computer bzw. das Netzwerk schützen kann:

SPI (Stateful Packet Inspection)

Bei dieser Technik des Paketfilterns werden die ankommenden Datenpakete miteinander verglichen. Aufgrund dieses Vergleiches werden sog. "Zustandstabellen" angelegt, in denen bestimmte Kriterien für die Prüfung der Datenpakete geschaffen werden.
Sollten die Datenpakete keiner dieser Kriterien angehören, wird angenommen, dass das Datenpaket schädlich ist und es wird verworfen. Pakete, welche die Kriterien erfüllen, werden durchgelassen.

IDS (Intrusion Detection System)

Dieses System ist ein Programm, welches versucht, Angriffe aus dem Netzwerk - in diesem Fall speziell aus dem Internet - zu erkennen und abzuwehren. Ein IDS kann entweder innerhalb einer Firewall oder als eigenständiges Programm eingesetzt werden. Generell gibt es drei unterschiedliche IDS-Typen: Einmal kann ein solches Programm auf jedem Computer im Netzwerk einzeln installiert werden (Host-basiertes IDS). Zum anderen kann eine solche Software auf einem separaten Computer laufen, welches mit einem "Fühler" den Netzwerkverkehr überwacht und ggf. Gegenmaßnahmen einleitet (netzwerkbasiertes IDS). Der dritte IDS-Typ verbindet das netzwerk-basierte und das host-basierte Konzept.

NAT (Network Address Translation)

Hinter NAT verbirgt sich eine Technik welche die Umwandlung von internen und externen IP-Adressen ermöglicht. Da IP-Adressen begrenzt sind, gibt es bestimmte IP-Bereiche (etwa 192.168.0.*) die nicht öffentlich sondern nur in geschlossenen Netzwerken verwendet werden sollen. Um nun die Computer innerhalb des Netzwerks eindeutig zu identifizieren und gleichzeitig aber auch mit den Rechnern außerhalb des Netzwerks zu kommunizieren wandelt NAT diese Adressen entsprechend um. Hierzu merkt sich der Router alle Verbindungen die von innerhalb des Netzwerks nach Außen gehen und leitet eingehende Pakete entsprechend wieder an den PC weiter der die Verbindung aufgebaut hat.
Neben der Einsparung von IP-Adressen kommt NAT noch ein kleiner Sicherheitsfaktor hinzu: Da IP-Adressen die innerhalb des Netzwerks liegen von außen nicht direkt angesprochen werden können (da von innen keine Verbindung zu dieser IP aufgebaut wurde), ist es Angreifern nicht ohne weiteres möglich PCs die hinter einem Router mit NAT liegen direkt anzusprechen und damit anzugreifen.

Nutzung nur bestimmter IP-Ports

Über sog. IP-Ports wird der Datenverkehr eindeutig bestimmten Anwendungen und Protokollen zugeordnet. Die Nummer des IP-Ports ist im Header eines Datenpaketes enthalten.
Oftmals geschieht es, dass eine Sicherheitslücke dadurch entsteht, dass manipulierter Datenverkehr über den einen bestimmten Port geschickt wird von dem allgemein bekannt ist, dass es hier oftmals Sicherheitslücken gibt. Was liegt also näher, als nur diejenigen Ports zu verwenden, die für den Netzwerkverkehr im Einzelfall wirklich benötigt werden? Die folgende Tabelle zeigt die Protokolle und die dazugehörigen Portnummern, die für das Surfen im Internet notwendig sind - alle anderen Ports werden ggf. nur wenig oder kaum benutzt und sollten daher bei Ihrer Firewall bzw. Ihrem Router geschlossen werden.

Protokoll Anwendung Portnummer
DNS Domain Name Service 53
HTTP Aufruf von Webseiten 80
HTTPS Nutzung von HTTPSecure 443
SMTP Versand von E-Mail 25 oder 587 (selten)
POP3 Empfang von E-Mail 110
IMAP Empfang von E-Mail 143


« zurück weiter »
Bewerten

 

IT-Sicherheit

.Autor:Jan Winkler.
. Bewertung:
IT-Sicherheit: Sicherheit im Netzwerk HTMLWorld
(5/5 bei 1 Votes)
.
. Community: 23 Beiträge im IT-Sicherheit Forum .

Navigation


 
     
 

Anzeige