zum Bauser-Enterprises IT Online Helpdesk
PHP Scripts: Formular-Generator, Glossar-Wörterbuch Gästebuch-KOMPLETT, Professionelles Newslettersystem, Tellafriend, Formmailer, Counter
zur Startseite
Diese Webseite an Freunde, Bekannte...weiterempfehlen

Seite weiterempfehlen
zum Gästebuch von Bauser-Enterprises IT

Zusammenfassung

Unser Netzwerk wäre nun fertig. Ein potentieller Eindringling hätte es nun wirklich schwer:

  • bei einem Angriff aus dem Internet müßte zuerst NAT, danach die Internet-Firewall auf dem Router, dann die MAC-Adressen der Clients, anschließend die Firewall auf den Clients, die Windows-Authentifizierung und zuletzt der Virenscanner überwunden werden !
  • bei einem wireless (kabellosen) Angriff müßte zuerst die geblockte SSID herausgefunden werden, dann die WPA-Verschlüsselung geknackt, dann die MAC-Authentifizierung des AP, anschließend die Wireless-Firewall (2 Subnetze) auf dem Router, dann die Firewall auf den Clients mit MAC-Adressen, die Windows-Authentifizierung und zuletzt der Virenscanner überwunden werden !
  • unser “Filesharingprojekt” (siehe rote Anmerkung) wäre auch ziemlich sicher, so müßte - ausser o.g. Punkten -  noch  Linux mit seinen betriebssystemeigenen Sicherheitseinstellungen überwunden werden
  • auch würden dank der Desktop-Firewalls alle Verbindungen von innen nach aussen kontrolliert werden (Application Hijack, Trojaner, Dialer (ISDN), Spyware etc.)
  • Benutzerfehler bzw. leichtsinniges Surfen im Internet mit aufgeweichten Browser-Einstellungen (evtl. Einfallstor für Viren & Co.) werden dadurch aufgefangen, daß wir nicht als Administrator (Windows) oder Root (Linux) arbeiten, sondern als eingeschränkter Benutzer (Hintergründe). In erster Instanz wirkt in diesem Fall der installierte Virenscanner. In zweiter Instanz das Betriebssystem, indem sich z.B. ein Wurm, wegen fehlender geerbter Berechtigungen des angemeldeten Benutzers, nicht installieren kann.
  • Das Notebook ist mit den “Extra”-Regeln seiner Firewall auch für den Betrieb ausser Haus gerüstet (z.B. über direkten Anschluss oder über öffentlichen Hotspot).

Eine wahrlich schwere Aufgabe, auch für einen versierten Hacker. Standardisierte bzw. automatisierte Internet-Angriffe (Würmer und Co.) scheitern bereits an der ersten Hürde NAT, so daß im isolierten LAN/WLAN auch gefahrlos ungepachte Systeme betrieben werden können. Z.B. haben Sie die letzten Updates Ihres Systems noch nicht durchgeführt und es ist bereits ein entsprechender Wurm im Internet “unterwegs” und versucht über bestimmte Ports einzudringen.

Für den Benutzer sind diese Sicherheitseinstellungen in keiner Form bemerkbar oder schränken diesen in seinen Möglichkeiten ein. Im Hinblick auf die derzeitige und zukünftige Situation der Sicherheitsproblematik im IT-Bereich, ist ein solcher Aufbau eines Netzwerkes im Heim- oder kleineren Firmenbereich unseres Erachtens unbedingt notwendig.

Grössere Firmenvernetzungen, welche ein öffentliches Netzwerk (z.B. das Internet) zur Verbindung Ihrer Filialen verwenden, bedürfen einer zusätzlichen sicheren VPN (Virtual Private Network)- Tunnelung, die eine weitere Verschlüsselung und strenge Authentication-Methoden sowie Mechanismen, um Informationen über die Topologie des Netzwerkes vor potentiellen Hackern zu verstecken (maskieren), beinhalten !

Laut einer Statistik der Universität Rostock, sind ( Stand Sept. 2004) rund 25 % der Privathaushalte und 15 % der Firmen im WLAN-Bereich völlig ungesichert. Auch erfolgen automatisierte Angriffe aus dem Internet durchschnittlich alle 10 Minuten und ringen ein ungepachtes System, ohne entsprechende vorgeschaltete Sicherheitsmechanismen, innerhalb kürzester Zeit nieder oder missbrauchen dieses. Ganz zu schweigen von einem individuellen Angriff, dem auch ein gepachtes System, ohne entsprechende Sicherheitsmassnahmen, nicht standhält. Wir empfehlen deshalb auch bei einem Standalone-PC die Vernetzung mit einem Router (siehe Hintergründe).

Bei einem Nachbau dieses Netzwerks, verwenden Sie bitte nicht die gleiche SSID (System Shared ID) und nicht den gleichen PSK (Netzwerkschlüssel) für das WLAN, sondern generieren bitte eigene Schlüssel mit eigener Zeichenfolge, da dieses Beispiel mit der Veröffentlichung “verbrannt” ist. Auch empfehlen wir einen anderen Namen für die Arbeitsgruppe zu wählen. Die IP-Adressen und Firewall-Einstellungen können Sie 1zu1 übernehmen und gfs. erweitern/anpassen. Die MAC-Adressen (12-stellige Gerätenummern) entnehmen Sie bitte Ihren Netzwerkkarten bzw. vergeben eine sog. “locally administered MAC Address”, sofern dies unterstützt wird.

Auch empfehlen wir von Zeit zu Zeit den Gegenspieler zu simulieren, um das eigene Netzwerk auf Sicherheitslücken hin zu überprüfen. Dies kann mit diversen Tools (Portscanner aller Art, “NetworkStumbler”, “UnSecure”, “Brutus”, “Cain”, “Crack”, “John the Ripper”...) und Portscans (z.B. bei ShieldsUp oder scan.sygate.com) aus dem Netz erreicht werden.

Sie befinden sich auf der Seite 8.

Weitere Einstellungen:

Allgemeines (Seite 1)

zum Router (Seite 2)

zum Access-Point (Seite 3)

zu den Clients Desktop-PC 1 und 2 (Seite 4)

zu den Clients Notebook und PDA (Seite 5)

zur Firewall auf den Clients (Seite 6)

Client-Zugriff auf das Internet und lokale Netzwerk (Seite 7)

Helfen Sie bitte mit, ein solches Projekt zu ermöglichen und aufrecht zu erhalten. 

 zum Empehlungs-Formular Diese Seite weiterempfehlen   zum Gästebuch ins Gästebuch eintragen

 
© Copyright Bauser-Enterprises-IT Thomas Murr: Secured with Digital Watermarking and Patent Protection 

zum Seitenanfang  

Home | Angebot | IT-Forensik | IT-Risiken | WWW | Sicherheit | Tipps | Aktuelles | Kontakt | Links | Newsletter | AGB | Impressum | Sitemap |