Endpoint-Security, Teil 1
Gestern war ich auf einem Workshop zum Thema Endpoint-Security. Es ging also um die Sicherheit der Client, ob nun PC, PDA, sonstige mobile Endgeräte etc. und deren Einfluß auf das LAN. Nun kann man dieses Thema auf verschiedenste Art und Weise angehen:
1.) ignorieren (Prinzip Hoffnung – § 3 kölsches Grundgesetz)
2.) halbherzig an die Sache herangehen, offensichtliche Lücken schließen, aber viele offen lassen
3.) gründlich arbeiten, sich aber damit vielleicht auch die eine oder andere blutige Nase holen.
Die dritte Variante ist mir aus Security-Sicht am sympatischsten. Aus Anwendersicht ist natürlich Modell 1 besonders interessant. Ich möchte mit diesem Beitrag auf eine Möglichkeit eingehen, Endpoint-Security im Unternehmen mit wenigen (kostenpflichtigen) Mitteln zu realisieren.
Ich beziehe mich zunächst darauf, stationäre Clients (Workstations) abzusichern.
Clientabsicherung
Schließen Sie zunächst alle Lücken, die Ihnen Clients bieten. Das heißt:
- (physikalisches) Entfernen aller Laufwerke
- Sperren des USB-Ports (unter Windows möglich durch Änderung im Regkey HKLM\SYSTEM\CurrentControlSet\Services\USBSTOR (von 3 auf 4 setzen) und dann die Schreibberechtigung nur für den Administrator auf diesem Schlüssel einrichten
- User arbeiten nur noch unter “Benutzer-Berechtigungen”
Wenn Sie die USB-Berechtigung wie oben beschrieben einstellen, können sich keine Mass-Storage-Devices mehr ins Windows-System einklinken, ihre Drucker, Scanner und sonstigen USB-Geräte funktionieren aber weiterhin.
FTP-Server
Richten Sie einen FTP-Server ein. Der Hersteller spielt dabei keine Rolle. Der FTP-Server steht in ihrem LAN und ist für die Benutzer über Network-Shares erreichbar.
Transport-Clients
Bauen Sie “dumme” Clients auf, auf denen nichts weiter installiert ist, als Windows. Schreiben Sie ein Skript, mittels dessen Sie über den Kommandozeilenbefehl FTP Zugriff auf den o. g. FTP-Server erhalten.
Ihr dummer Client muss in einem VLAN stehen, das zumindest logisch vom übrigen LAN abgegrenzt ist. Der Benutzer darf das Netz nicht wechseln können, sie müssen also auch hier den Zugriff auf “Benutzer”-Rechte einschränken.
Der Router
Als Vermittler zwischen den beiden Netzen bauen Sie einen Router auf, der den Datenstrom nach Ihren Policy-Vorgaben scannt. Ein brauchbares Produkt ist hier etwa Aladdin ESafe, das übrigens nicht nur FTP, sondern auch HTTP und SMTP scannt. Hiermit können Sie außerdem eine tiefe Content-Inspection realisieren, z. B. Blockieren von Office-Dokumenten mit Makros, erkennen von Filetypes aufgrund des Inhalts – auch in Archiven etc. ESafe findet außerdem Dokumente, die versuchen, bekannte Exploits in Anwendungssoftware auszunutzen.
Kostenfaktoren bei diesem Modell sind neben den Windows-Lizenzen die Lizenzen für den Scanner auf dem Router.
2 Responses to Endpoint-Security, Teil 1
Leave a Reply
- Twitter folgt "Do-Not-Track"-Initiative - und testet selbst Tracking
- ITU will globales Abkommen für Cybersecurity vorantreiben
- Avira-Update legt Verhaltenserkennung auf Eis
- Domain unter .secure nur mit Sicherheitsvorgaben
- Sicherheitsupdate für Windows-Version von QuickTime
- Avira-Update beseitigt Service-Pack-Fehler
- Chrome 19 synchronisiert Tabs
- Safari deaktiviert nur uralte Flash-Version
- Weiterhin Virenalarm auf Wetter.com
- Avira-Update legt Rechner lahm
Kannst du mir bitte einmal Verraten, wo der Workshop war und ob es noch weitere dieser Art gibt. Muß mich zur Zeit auch mit Client-Security beschäfftigen und bin auch auf Endpoint-Security gestoßen. Würde mich über Infos freuen. Danke
Hallo Andreas,
der Workshop war in Sprockhövel (bei Wuppertal) und wurde von der Firma r-tec organisiert. Diese Workshops sind in der Regel kostenlos. Infos über weitere Workshops solltest Du unter http://www.r-tec.net/ finden.