Es geht um ein kleines Firmennetzwerk, dass ich verwalte. Wie erkenne ich die Angriffe von außen rechtzeitig und wie kann ich mich dagegen wehren? Ein Firewall ist vorhanden. Hinterlassen Hacker beim Angriff bestimmte spuren, nutzen Sie bestimmten Ports?
Grundsätzlich möchte ich das Netzwerk möglichst gut schützen und wenn jemand doch schafft rein zu kommen, möchte ich früh genug es erfahren.
Muss ich dafür bestimmte Tools, Software etc. haben? Muss ich ständig Netzwerk überwachen, wenn ja, was und wie soll die Überwachung sein?
Die Frage lässt sich nicht
Die Frage lässt sich nicht leicht beantworten.
In der Regel ist Unternehmensnetzwerk auf das Unternehmen abgeschnitten und sehr individuell eingerichtet. Es gibt nicht einen bestimmten Muster bei den Angriffen, sie variieren sehr stark.
Ein Firewall wird nicht ausreichen, um Hackern aus dem Netzwerk fernzuhalten.
Die Fragen, die man stellen sollte sind unter anderem folgendes:
Externe Angriffe:
- Ist der Firewall wirklich Sicher den ich verwende? Kann es sein, dass der Firewall selbst Sicherheitslücken hat?
- Sind die Server und die Clients im Netzwerk aus dem Internet erreichbar? Falls ja, ist dies auch erwünscht?
- Sind die Clients und Server auch auf dem neusten Stand? Werden die auch regelmäßig aktualisiert?
- Gibt es ein Antivirus Lösung, welche ankommende und ausgehende Pakete zusammenfügt und scannt?
- Gibt es einen Webserver im dem Netzwerk? Wenn ja, wie sicher ist der Webserver?
- Wird WLAN benutzt, wenn ja ist der Router, Access Point auch sicher?
Interne Angriffe:
- Kann jeder seinen eigenen Notebook, Netbook, Touchpad mitbringen? Wenn ja, wie wird gewährleistet, dass die nicht infiziert sind und so das Unternehmensnetzwerk infizieren?
- Wird ein MAC-Filter benutzt oder darf jeder Rechner einfach ins Netz?
- Wie behandelt man Wechselmedien wie CDs, DVDs, USB Sticks usw.
- Werden die Client gut geschützt? Nur Avira AntiVir wird vermutlich nicht ausreichen.
- Wie geht man mit Flash Player, Java Virtual Maschine, Acrobat Reader um? Meistens sorgen sie dafür, dass ein Rechner infiziert wird, weil die Sicherheitslücken haben.
- Können die Client untereinander kommunizieren? Und ist dies auch erwünscht? Oder sollte man lieber zwischen den Client einen Firewall einschalten und gewisse Regeln definieren?
- Was ist mit internen Angriffen wie ARP-Poisoning bzw. ARP-Spoofing? Kann ein Angreifer mit dieser Methode das Pakete anfangen oder modifizieren?
Es gibt sicherlich noch weitere Fragen, die man sich stellen sollte. Aber für den Anfang müsste das genügen.
- Was die Überwachung angeht, gibt es viele Firewall die Monitorring Features haben.
- Du könntest gelegentlich Penetration Tests durchführen bzw. durchführen lassen.
- Benutzer, Clients so viel Rechte geben, wie nötig.
- Auf Honeypots setzen. Honeypots sind Systeme,die Verwundbarkeit simulieren und haben keine besondere Funktion. Sie warten nur darauf angegriffen zu werden. Sobald sie angegriffen werden schlagen sie Alarm.
- Auf Intrusion Detection/Prevention Systeme setzen.
Neuen Kommentar schreiben