Re: Sicherheitskonzept fuer DAU

Al Bogner wrote:
Ich muss einen Windows 98 und XP Home-Rechner so aufsetzen, dass ein völlig
unerfahrener User (DAU) möglichst wenig Blödsinn machen kann.

Ist das 98 unbedingt zwingend? Der Support dafür ist nicht mehr
berauschend, und die systemimmanenten Schwächen (jeder ist Admin) auch.

Meine Vorstellungen sind:
Ich verwende jeweils 2 Rechner, einen Linux-Gateway-Rechner und den
Windows-Rechner. Das Linux-Gateway ist Firewall, Proxy-Server,
Virenscanner, Mailserver, Newsserver, usw.

Urks. Nur weil da ein Linuxeimer davorsteht, wird die Windowsmaschine
nicht plötzlich sicher.

Von obigem Dienstezoo ist einzig der Paketfilter und ggf. ein restriktiv
konfigurierter Proxy etwas, das wirklich besser auf dem Gateway
aufgehoben ist.

Der Rest kann aus administrativen Gründen praktisch sein, hat aber mit
"Sicherheit" wenig zu tun.

Besonders einen Virenscanner auf dem Gateway zu fahren kann allenfalls
zur Grobfilterung dienen - bei nur einem Client ist auch kein Vorteil
einer zentralisierung zu erkennen.

Evtl. Vorteil: Exploits gegen die Scanangine fallen ggf. auf den
Schnabel, weil für Massenwürmer die Plattform etwas ungewohnt ist.

Was brauche ich noch an Schutz am Windows-Rechner für Windows 98 bzw. XP
Home?

Dienste ausmachen. Das ersetzt das Gateway nicht wirklich.

Auf dem Gateway möglichst keine NAT-Helper laden, wenn es sich vermeiden
läßt.

Auf XP normale Useraccounts nehmen.

In beiden Fallen stabile Applikationen einsetzen.

Installation von unbekanntem Kram durch den Benutzer unterbinden.

Virenscanner möchte ich _keinen_ verwenden,

Ich denke Du willst einen auf das Gateway knallen?


bis ich nicht von dessen Sinnhaftigkeit überzeugt werde.

Bei Volldau ist er evtl. hilfreich, wenn andere Maßnahmen nicht
machbar erscheinen: http://www.bedatec.de/security/virscan.html
Kannst ja mal durchgehen, was Dir im Szenario durchsetzbar erscheint,
und ob entsprechend ein Scanner zusätzliche Schmerzverringerung bedeuten
könnte.

Mailviren werden beim ISP gescannt und ein 2. Mal am Linux-Gateway.
Was dann noch durchkommt, kann IMHO nur mehr der User durch
entsprechendes _Verhalten_ bekämpfen, ein weiterer Virenscanner
unter Windows wird vermutlich eher weniger aktuell sein.

Ja. Wenn schon Filterstufen da sind, ist es in der Regel sinnlos,
weitere einzubauen. Außer ggf. um mehrere Scanengines zu befragen.

Allerdings ist die Frage, ob alle Einfallstore überwacht werden.

Daher ist es ggf. sinnvoll, den Scanner auf dem Endsystem anzuordnen -
außer eben man kann sicherstellen, daß der Nutzer nicht via irgendeinem
Messengerprotokoll, das nicht überwacht wird, doch irgendwas runterlädt
und ausführt. In Firmenumgebungen kann man sowas oft sicherstellen, bei
Privatanwendern eher weniger.

http://www.ntsvcfg.de/ kenne ich, ich frage mich aber, ob es Sinn macht, da
der Windows-Rechner ja nur per Proxy eine Internetverbindung hat.

Jein. Wenn wirklich nur Proxy geht und der Proxy bei Trost ist, ist es
nicht unbdeingt nötig.

Wenn man auch am Proxy vorbei kann, und irgendwelche NAT-Module da sind,
kann das wieder die bekannten Probleme machen.

Was zu ist, ist zu.

Ich denke auch ich brauche am Windows-Rechner keine aktive Firewall,
da ja der Linux-Rechner die FW ist.

Ja, es ist sinnvoll, am Border-Gateway zu filtern. Muß man aber genau
gucken, was man tut. Eine Menge typischer Linux-Gateway haben
ftp-nat-helper geladen und da geht man mit einer halbaktiven Attacke per
Java oder Flash problemlos drüber weg.

Der User meldet sich natürlich mit eingeschränkten Rechten an und nicht als
Admin.

Was bei 98 nicht geht.

Bleiben also speziell die Gefahren beim Surfen und beim Lesen von
Newsgroups.

Stabile Clients, die auch Attachments sinnvoll behandeln und dem User
klar anzeigen, was da passiert.

Viren in Newsgroups werden zwar meist schnell gelöscht,

Meistens ist kein Sichreheitskonzept.

bei Verwendung eines regelmäßig sich aktualisierenden lokalen Newsservers
hat man aber gute Chancen, dass das Virus lokal runtergeladen wurde. Ist
es also besser die News direkt vom ISP zu holen?

Das ist Wurst. Selbst wenn irgendwo ein Virusattachment in einem
Newsartikel rumgeistert, hat das Endsystem damit klarzukommen.

Du kannst evtl. ein bisschen an den Wahrscheinlichkeiten drehen, aber
nichtmal das signifikant.


Als großes Problem sehe ich Webseiten, die schädigende Programme ausführen.
Durch Konfiguration des Browsers kann man hier zwar einiges absichern, aber
ich weiß nicht, ob das reicht. Für IE, denke ich, erlaube ich ActiveX, Java
und Javascipt nur auf Nachfrage

Das ist unbedienbar. Ich hab das auf meiner alten W98 Testgurke, und es
_nervt_. Da ich den IE fast nur dazu nutze, eigene Seiten auf
IE-Kompatibilität zu testen und Windowsupdate zu fahren, kann ich damit
leben. Aber jeder User wird Dich steinigen.

Mach's aus, wenn da wirklich jemand mit werkeln soll.

Ggf. für die trusted-Zone auf Anfrage. Dann muß der Nutzer die Site halt
aufnehmen.

Gut - das Zonenkonzept ist alle Nase lang kaputt, aber viel mehr kann
man für diesen Unfug von Browser nicht tun.

und als Standardbrowser stelle ich Firefox oder SeaMonkey ein.

Leg den IE lieber gleich ziemlich tot.


Opera soll auch noch installiert werden.

Was ist das für ein User? Kriegt er das auf die Reihe, mit n
verschiedenen Tools? Sonst entscheide Dich für eines.

Javascript wird überall deaktiviert bzw. nur auf Nachfrage erlaubt.

Je nach Nutzerprofil kann das enorm nerven.

Ich lasse es normalerweise an, beschneide aber die Rechte, die
üblicherweise für Unfug mißbraucht werden (Fenster umherschieben etc.).

Es wird vereinbart, dass der User nichts selber installiert bzw. auch das
Admin-PW nicht erhält.

In diesem Fall kannst Du gut SRP einsetzen (auf XP), um das zu
forcieren.

Damit kannst Du eine Menge Malware an der Ausführung hindern.

Programme wird der User nicht installieren, ebenso keine fremden CDs oder
Disketten verwenden.

Das müßte ein ziemlich disziplinierter Mensch sein.

Eventuell richte ich für diesen Fall am Gateway eine Möglichkeit ein
fremde Medien auf Malware zu prüfen.

Wenn er (dank SRP) nix ausführen kann, ist das halb so wild.


Woran muss ich noch denken?

Userschulung und ganz wichtig: Backupkonzept.

Schiefgehen kann immer mal was. Dann soll man zumindest leicht wieder in
nen brauchbaren Zustand kommen.

CU, Andy
.

Relevant Pages

  • SECURITY.NNOV: multiple vulnerabilities in JanaServer
    ... Janaserver is Internet gateway software for Windows platform can act as ... proxy, ... HTTP server buffer overflow. ... Same overflow in HTTP proxy server running on TCP/3128. ...
    (Bugtraq)
  • Re: Default Gateway and Proxy server
    ... The gateway will be set as fixed ip address on the NIC or via DHCP. ... And the proxy settings you find under the User configuration, WIndows settings, internet explorer maintenance, connection settings, proxy settings. ...
    (microsoft.public.windows.server.active_directory)
  • Re: Default Gateway and Proxy server
    ... cannot find where in the GPO the requisite settings are. ... I think that the Proxy seems to be able to be set on,but not explicitly off ... If you need different settings for the tracking software create a new OU ... Gateway 1 is the main gateway and has port 80 blocked except for the ...
    (microsoft.public.windows.server.active_directory)
  • RE: 502 Bad Gateway on Windows 2003 Server
    ... The server, while acting as a gateway or proxy, received an invalid response from the upstream server it accessed in attempting to fulfill the request. ... proxy server for making our webservice requests. ...
    (microsoft.public.dotnet.framework.aspnet.webservices)
Loading