Sicherheit

Sophos: Zehn Sicherheitstipps für Netzwerkverwalter

27. September 2007, 9:51 Uhr | Bernd Reder

Die Sicherheitsfirma Sophos hat in zehn Ratschlägen zusammengefasst, wie IT-Manager ihr Netz gegen Angriffe und Schadsoftware verteidigen können.

Zugegeben: Das Thema Netzwerksicherheit lässt sich nicht auf wenige Tipps »eindampfen«. Dennoch gegeben die Ratschläge von Sophos Hinweise, wie IT-Verantwortliche die gröbsten Sicherheitslücken schließen können.

Tipp 1: Jedem Nutzer nur diejenigen Rechte zuweisen, die er für seinen Job benötigt.

Speziell bei Rechnern unter Windows XP arbeiten die meisten User mit Administrator-Rechten. Das macht es Angreifern einfacher, eigene Software zu installieren und Systemeinstellungen zu ändern.

Außer erhöht dies die Gefahr, dass User versehentlich Schäden am System verursachen oder Anwendungen und Daten »versenken«.

Tipp 2: Das Herunterladen von Dateien einschränken

Anwender sollten nur von vertrauenswürdigen Web-Sites Dateien herunterladen können. File-Sharing oder der Zugriff auf dubiose Seiten, etwa solchen mit gecrackten Software-Programmen oder MP3-Dateien zweifelhafter Herkunft, birgt Gefahren.

Ein generelles Download-Verbot ist jedoch nicht praktikabel. Wichtiger ist es, die Nutzer über Gefahren aufzuklären, etwa über Trojaner und Viren, die Angreifer in Dateien oder auf Web-Sites verstecken.

Tipp 3: Netzlaufwerke regelmäßig überprüfen

Laut Sophos verbreitet sich Malware häufig über gemeinsam genutzte Shares im Netzwerk. Es empfiehlt sich, die Zahl solcher Laufwerke auf das notwendige Maß einzuschränken und diese regelmäßig auf Schadsoftware zu überprüfen.

Tipp 4: Netzwerkverbindungen kontrollieren

Um Risiken zu minimieren, sollten Anwender nicht die Möglichkeit haben, ihr System ohne Wissen des IT-Verwalters an anderen Netzen oder Domains anzumelden. In der Regel reicht es aus, wenn eine Verbindung zum Corporate Network besteht.

Tipp 5: Den IP-Adressbereich des Netzes ändern

Häufig verwenden Unternehmensnetze Standard-IP-Adressbereiche wie 10.1.x.x oder 192.168.x.x. Dies erleichtert es Angreifern, die IP-Adresse eines Systems herauszufinden. Der Systemverwalter sollte daher den Adressbereich ändern.

Tipp 6: Offen Ports regelmäßig überprüfen

Das sollte eigentlich zum Standardrepertoire eines Netzwerkverwalters gehören. Offene Ports sind ein bevorzugtes Einfallstor für Viren, Malware und Würmer. Außerdem dienen sie als Kanal für die nicht autorisierte Kommunikation mit anderen Systemen, etwa innerhalb eines Bot-Net.

Ungenutzte Ports sollten daher blockiert werden; die anderen müssen regelmäßig überwacht werden.

Tipp 7: Die Tore zum Netz überwachen

Ein Firmennetz ist ein Gebilde, das sich ständig verändert: Filialen und Mitarbeiter in Home-Offices kommen hinzu, Manager wollen von ihrem Blackberry aus E-Mails und Anwendungen zugreifen und so weiter.

Der Netzwerkmanager sollte daher regelmäßig überprüfen, welche »Einfallstore« ins Unternehmensnetz es gibt und diese überwachen.

Tipp 8: Geschäftskritische System in ein anderes Netz auslagern

Systeme, die für ein Unternehmen unverzichtbar sind, wie etwa die Server- und Speichersysteme der Entwicklungsabteilung, können in ein separates Netzwerk ausgelagert werden. Das verringert die Gefahr von Angriffen.

Tipp 9: Neue Software auf virtualisierten Systemen testen

Eigentlich eine Selbstverständlichkeit, aber dennoch häufig nicht praktiziert: Software-Tests dürfen nicht im Produktivnetz durchgeführt werden. Dafür besser ein Test-LAN einrichten.

Außerdem lassen sich Programme in Virtual Machines installieren und prüfen. Firmen wie Apple, Microsoft, SW Soft, Vmware und Xensource und haben entsprechende Virtualisierungsprogramme entwickelt.

Tipp 10: Ungenutzte USB-Ports deaktivieren

USB-Anschlüsse können als Einfallstor für Schadsoftware dienen, oder als Kanal, um interne Informationen nach draußen zu schaffen. Sophos empfiehlt daher, alle ungenutzten USB-Ports zu deaktivieren.

Allerdings ist dies nach unserer Auffassung nur keine befriedigende Lösung. Besser ist, USB-Geräte in das Netzwerkmanagement mit einzubinden und Sicherheitsrichtlinien auf solche Systeme auszudehnen.

Weitere Tipps zum Thema Sicherheit finden Sie übrigens in White-Papers von Sophos auf dem White-Paper-Portal von Network Computing.

www.sophos.com


Matchmaker+