Mit den Tipps und Workshops im ADMIN-Magazin 03/2013 sichern Administratoren ihre Webserver und Netze gegen Angriffe ab: gegen Abhören sensibler Informationen, ... (mehr)

Aufrüsten am Gateway

Der Kampf gegen per Drive-by-Download verbreitete Malware erinnert stark an das bekannte Hase-und-Igel-Spiel, bei dem der Igel (Angreifer) dem Hasen (Admin) immer eine Nasenlänge voraus ist. Deshalb ist es sinnvoll, sich nicht alleine auf Mechanismen zu verlassen, die am Client ansetzen. Denn auch am Internet-Übergang lassen sich durchaus noch einige Mechanismen zur Verteidigung in Stellung bringen.

Als erste und gleichzeitig wichtigste Maßnahme sollte auf dem Internet-Gateway ein Webfilter aktiviert oder – wenn der eingesetzte Firewall-Typ das nicht hergibt – ein zusätzlicher Web-Proxy mit entsprechendem URL-Filter installiert werden. Sofern Squid zum Einsatz kommt, steht mit Squidguard ein guter URL-Redirector zur Verfügung, für den es auch kostenlos nutzbare Blacklists gibt [27]. Allerdings werden die kostenfreien Blacklists häufig nur als Hobby-Projekt gepflegt; aktuelle Malware-Domains sind auf diesen Listen daher eher nicht zu finden. Kommerzielle Anbieter haben in diesem Bereich klar die Nase vorn.

Grafische Firewalls

Unter dem Begriff "grafische Firewall" wird gemeinhin die Konzeption eines Sicherheitssystems bestehend aus UTM-Firewall und Terminalserver verstanden. Dabei wird der Terminalserver an ein separates Netzwerk-Interface der Firewall angeschlossen und so in einer sogenannten Demilitarisierten Zone (DMZ) vom LAN isoliert. Für die Benutzer im LAN werden nun sämtliche Netzwerkverbindungen in Richtung Internet auf der Firewall blockiert, lediglich der Zugriff über ein grafisches Protokoll (daher der Name) auf den Terminalserver in der DMZ wird gestattet. Für den Terminalserverzugriff kommen – abhängig von der auf dem Terminalserver verwendeten Plattform – verschiedene Protokolle, wie VNC, RDP, PCoverIP, SPICE, NX und ICA aber auch X11-Tunneling in Frage.

Der Benutzer startet dann den Browser und gegebenenfalls andere Internet-Software auf dem Terminalserver, für die der Internet-Zugriff in der Firewall freigeschaltet ist. Idealerweise läuft als weitere Schutzmaßnahme auf der Firewall zusätzlich ein Web-Proxy mit aktiviertem URL-Filter und Virenscanner. Die Benutzer auf dem Terminalserver sollten nach dem Prinzip der geringsten Berechtigung angelegt werden. Wird nun der Browser oder eines der Plugins per Drive-by-Download angegriffen, bleibt der Schaden auf die Session im Terminalserver begrenzt – der Angreifer müsste also erst den Terminalserver und die Firewall überwinden, um Zugang zum eigentlichen Client im LAN zu erhalten.

Eine Empfehlung zum Aufbau einer grafischen Firewall findet sich zum Beispiel im Maßnahmenkatalog M 4.365 beim BSI unter [28]. Für das Prinzip, den Browser über eine grafische Firewall auf einen Terminalserver auszulagern, hat das BSI vor einigen Jahren den Begriff ReCoBs eingeführt, der für "Remote Controlled Browser System" steht [29].

Ähnliche Artikel

comments powered by Disqus

Artikel der Woche

Eigene Registry für Docker-Images

Wer selber Docker-Images herstellt, braucht auch eine eigene Registry. Diese gibt es ebenfalls als Docker-Image, aber nur mit eingeschränkter Funktionalität. Mit einem Auth-Server wird daraus ein brauchbares Repository für Images. (mehr)
Einmal pro Woche aktuelle News, kostenlose Artikel und nützliche ADMIN-Tipps.
Ich habe die Datenschutzerklärung gelesen und bin einverstanden.

Konfigurationsmanagement

Ich konfiguriere meine Server

  • von Hand
  • mit eigenen Skripts
  • mit Puppet
  • mit Ansible
  • mit Saltstack
  • mit Chef
  • mit CFengine
  • mit dem Nix-System
  • mit Containern
  • mit anderer Konfigurationsmanagement-Software

Google+

Ausgabe /2019