Degressive Restriktion

Degressive Restriktion

Wer sich Gedanken darüber macht, wie er sein Unternehmen vor Angriffen auf seine IT-Infrastruktur schützen kann, dem sei folgender Ansatz empfohlen.

Den jüngeren Autofahrern mindestens bekannt, ist die Art zu Bremsen. Wir lernten die progressive und die degressive Bremstechnik. Entweder man erhöht den Druck auf das Entschleunigungspedal, oder geht voll in die Eisen und lässt allmählich nach. Ähnlich der letzteren Methode, gilt es auch beim Thema Schutz der internen EDV gegen Angriffe aus dem Internet, einen möglicherweise interessanten Ansatz zu verfolgen.

Viele Administratoren, die etwa eine Firewall einrichten, nehmen Hinweise der Sicherheitssoftware und damit vorgeschlagene Einschränkungen in Bezug auf den möglichen Verkehr mit dem Internet dankend an.

Der Traffic: inbound und outbound, also jegliche Informationen die das eigene Unternehmen erreichen und auch verlassen, können sowohl schaden, als auch nutzen. Der Ansatz der degressiven Restriktion, verfolgt das einfache Prinzip, nichts zu zulassen, es sei denn es wird für die Aufrechterhaltung des DV-gestützten Betriebs des Unternehmens benötigt.

Beispielsweise würde man die Kategorie Port-Nummern, also für bestimmte Netzwerkprotokolle obligatorische Pforten zum Internet, im ersten Zuge vollständig sperren. Nun überlegt man sich, vom Anwender her angefangen: Was muss ich meinem Mitarbeiter an seinem Arbeitsplatz erlauben, damit er seine Aufgabe erfüllen kann.

Schreibt er E-Mails? Wenn ja, gibt es einen hauseigenen Mail-Server, eine Cloud-Lösung mit klassischem Client, wie Outlook? Oder läuft ohnehin die gesamte Arbeit im Browser ab?

In den genannten Fällen, wird sich der Administrator jetzt bereits um verschiedene Ports Gedanken machen müssen: 443 / SSL/HTTPS, 80 / HTTP, 25 / SMTP, 465 / SMTP(SSL).

Die genannten Ports sind absoluter Standard-Gebrauch. Jeder Arbeitsplatz, beispielsweise im Dienstleistungssektor ist darauf angewiesen, dass ihm diese Ports zur Verfügung stehen. Maschinen-Terminals hingegen, brauchen unter Umständen wieder andere Schnittstellen.

Werden die Daten zur Auslagerung meiner Ware per FTP geliefert? Wenn ja, ist die Verbindung verschlüsselt? Und schon ergeben sich weitere, wenn auch bisher rudimentäre Ports, die Berücksichtigung finden müssen.

Ein weiterer Interessanter Aspekt, ist die Kontrolle über Fernzugriffe, wie etwa durch die Software Teamviewer, um nur ein Beispiel zu nennen. Der klassische Teamviewer Port 5938, ließe sich z. B. verwenden, um in Kombination mit einer generellen Computer-seitigen Einschränkung, kombiniert mit einer Active-Directory Nutzer-Gruppe, also einem Personenkreis innerhalb des Microsoft Verzeichnisdienstes, ein entsprechendes Kontrollinstrument zu schaffen. Etwa, dass niemand Zugriff auf einen Client-Computer erhalten kann, solange nicht ein Nutzer aus dem definierten Kreis sich dort anmeldet. Stichwort: Buchhaltung.

Selbst Drucker, die inzwischen, sofern netzwerkfähig, alle einen Webservice, also eine über IP-Adresse erreichbare Konfigurationsseite beheimaten, können zur Gefahr werden. In diesem Fall lohnte es sich, per eigenem Netz-Bereich, einerseits eine Trennung etwa per VLAN zu schaffen, dann jedoch innerhalb der NAT-Regeln, nur diese Ports zu zulassen, die nötig sind, um einen Druckjob, von einem, in anderem Netzwerk befindlichen Client, erfolgreich an den Drucker zu senden. Z. B. Port 9100.

Anstatt viele weitere Beispiele zu nennen, wird der Kern der Sache inzwischen immer deutlicher. Die Degressive Restriktion kann einem die administrative Arbeit am Anfang aufwändig erscheinen lassen. Die Vorteile liegen jedoch auf der Hand. Man behält die Übersicht, über die zugelassenen Dienste. Denn man hat sie selbst von Grund auf definiert.

Voraussetzungen sind allerdings: Eindeutige Beurteilung der Aufgabe der jeweiligen Arbeitsplätze, sowohl auf Hardware-, als auch Anwender-Ebene. Zur einfachen Verwaltung: Die klare Abbildung einer Struktur von Computer- und Benutzergruppen. Sowie: Eine saubere Dokumentation, nachvollziehbarer Rechtevergaben, bzw. argumentativer Änderungen an der Firewall.