Tipps & Tricks
28.03.2001, 08:30 Uhr
Software- oder Hardware-Firewall?
In unserer Firma betreiben wir ein Peer-to-Peer Netzwerk unter Windows NT 4.0 mit fünf Arbeitsplätzen. Alle Mitarbeiter haben Zugriff aufs Internet via Zyxel Router. Der Router wählt sich bei Bedarf über eine ISDN Leitung ein (keine Standleitung). In einem Ihrer letzten Artikel zum Thema Sicherheit nannten Sie Norton Internet Security als gutes Mittel gegen Hacker-Attacken. Gleichzeitig waren Sie aber skeptisch, was den Einsatz auf Netzwerken betrifft. Was würden Sie für unseren Fall eher raten, den Kauf einer Hardware Firewall (z.B. Zyxel) oder den Kauf einer 5er Lizenz von Norton Internet Security?
Die Frage zur Absicherung eines Firmen-Netzes ist beim PCtip-Kummerkasten eigentlich nicht am richtigen Ort. Hier kann nur ein Sicherheits-Experte zuverlässig helfen, der Ihr Netz und Ihre Workstations vor Ort genau unter die Lupe nimmt. Trotzdem ein paar Hinweise, die Ihnen möglicherweise helfen, auf die Schnelle ein paar mögliche Löcher zu stopfen.
Ein richtig konfigurierter ISDN-Router bietet im Normalfall schon ein paar gute Firewall-Eigenschaften. Manche Router bieten NAT (Network Address Translation), was eine direkte Verbindung (zwecks Hacking) von aussen erschwert. Hier kann Ihnen im Detail nur das Router-Handbuch weiterhelfen.
Zudem sollten Sie in Ihrem Netz auf folgende Dinge achten bzw. die BenutzerInnen entsprechend schulen:
1. Keine Freigabe ohne Passwortschutz. Wenn alles NT-Maschinen sind, können Sie auf jedem PC die anderen Benutzer entsprechend berechtigen. Verzichten Sie unbedingt auf Freigaben an "alle". Ermuntern Sie Ihre Leute zu möglichst kreativen Passwörtern (Buchstaben/Zahlen-Kombinationen) und lassen Sie sie die Passwörter öfter mal ändern.
2. Achten Sie darauf, dass alle Service-Packs und Sicherheits-Patches (für WinNT, Office und Browser) auf allen Workstations installiert sind.
3. Besonders gut angreifbar wird ein System, wenn sich darauf ein Virus oder ein Trojanisches Pferd installiert hat, welches allfällige TCP/IP-Ports gegen aussen öffnet. Setzen Sie deshalb auf allen Workstations einen guten Virenscanner ein, den Sie regelmässig (am besten täglich, mindestens aber wöchentlich) aktualisieren.
4a. Da Viren/Trojaner oft via Mail eintreffen, stellen Sie sicher, dass die Mail-Einstellungen der höchstmöglichen Sicherheitsstufe entsprechen. Falls also z.B. Outlook oder Outlook Express eingesetzt wird, schauen Sie bei Extras/Optionen/Sicherheit nach und wählen Sie bei Mail die "Zone für eingeschränkte Sites".
4b. Im Internet Explorer deaktivieren Sie nun bei den Einstellungen für "Eingeschränkte Sites" alles, was nach Java, Scripting oder ActiveX klingt.
5. Schärfen Sie den BenutzerInnen ein, dass auch ein aktueller Virenscanner nicht alles sehen kann. Alle Mailbeilagen sind solange verdächtig, bis sich das Gegenteil herausstellt!
6. Benutzen Sie Viewer (Anzeige-Programme) für Word und Excel-Dateien, die Sie von aussen erhalten. Diese Viewer können keine Makros ausführen.
Testen Sie die Konfiguration mal mit den Mitteln, die Ihnen vom Zürcher Datenschutzbeauftragten [1] oder von der Gibson Research Corporation [2] zur Verfügung gestellt werden. Bei fünf Computern ist dies gerade noch überblickbar.
Unsere Skepsis betreffend Personal Firewalls in lokalen Netzwerken? Jede Software, die sich zwecks Überwachung auf den Datenverkehr setzt, bremst die Übertragung etwas, während sie die Datenpakete prüft. Zudem sind Symantecs Produkte nicht gerade für besondere Genügsamkeit in Sachen Systemressourcen bekannt. Es wäre schade, wenn Sie die Performance jedes PCs in Ihrem lokalen Netz (und den internen Netzverkehr) durch eine überall installierte Software-Firewall beschneiden würden.
Im Prinzip müssen Sie es umgekehrt betrachten: Zuerst wurden zentrale Firewalls für Netzwerke entwickelt. Da war es nur logisch, eine Firewall als einzelnes Gerät genau dorthin zu stellen, wo sie nötig war: An die Schnittstelle zwischen dem internen Netz und dem Rest der Welt. Desktop oder Personal Firewalls kamen erst auf, als mehr und mehr Einzel-Benutzer von einer Standleitung profitieren konnten. Die Hacker-Bedrohung blieb, aber die wenigsten dieser privaten Dauersurfer wollten oder konnten sich eine teure separate Firewall leisten. Hier können Desktop-Firewalls Abhilfe schaffen. Es wäre unserer Meinung nach aber falsch, die Geschichte nun umzudrehen und die Verwendung von Desktop Firewalls (erschaffen für Einzel-PCs) auf immer grössere lokale Netze auszudehnen.
Bei professionellen Netzwerken steht deshalb besser eine separate Firewall zwischen dem WWW und dem internen Netz. Das hat den Vorteil, dass sich im Netz nur ein Gerät um potentielle Angriffe kümmern muss und nicht alle PCs im Netz (auch untereinander) ausgebremst werden. Ein weiterer Vorteil ist, dass Sie bei der Anschaffung eines zusätzlichen Arbeitsplatzes nicht auch noch eine zusätzliche Norton Lizenz kaufen müssen.
Die Kurzfassung: Wenn sowohl Ihr Router als auch Ihre User zuverlässig mitspielen, dann geht's in diesem Fall vielleicht ohne Firewall. Ansonsten - für eine Firma - eher auf eine Hardware-Firewall setzen.
Kommentare
Es sind keine Kommentare vorhanden.