<<< firewalling - tücken und herausforderungen - übersicht - wie geht dem - installation von asterisk mit zaphfc >>>
rechner-sicherheits-checkliste
Welche Schritt für ein sicheres Setup zu beachten sind.
Die aktuelle Version dieser Seite liegt unter http://verfaction.de/security.
Alle Copyrightrechte verbleiben beim Autor.
Vor der Installation
 
 speziell für Laptops: BIOS-Passwort setzen und an sicherer Stelle dokumentieren.
Windows
 
 Aktuelles und vertrauenswürdiges Installationsmedium besorgen. Bei Windows-CDs notfalls mit aktuellem Servicepack und Hotfixes slipstreamen.
Linux
 
 aktuelle Netinstaller-CD bzw. Bootfloppy besorgen.
Während der Installation
 
 Ungenutzte Dienste und Programme erst gar nicht installieren.
 
 Benutzerprogramme installieren und für Betrieb ohne Administratorrechte konfigurieren.
 
 Sicheres Administratorpasswort wählen und alle evtl. als Administrator angelegten Benutzer ggf. aus der Administrator-Gruppe entfernen.
 
 Bei Anbindung in eine Domänenstruktur: Aufnahme des Netwerkadministrators in die lokale Administratorengruppe.
Linux
 
 sudo installieren und konfigurieren. (timeout=1 sollte genügen)
 
 shadow und md5 Passwörter aktivieren (PAM)
 
 login.defs auf md5-Passwörter anpassen (PASS_MAX_LEN)
 
 Falls automounter installiert wurde: gemäß Sicherheitspolicy einstellen - z.B. USB-Stick, BLuetooth-Dongle, Floppy, CD-Brenner, DVD-Rom deaktivieren
 
 sysctl: net.ipv6.conf.default.forwarding=0
 
 sysctl: net.ipv4.conf.default.log_martians=1
 
 sysctl: net.ipv4.conf.default.accept_source_route=0
 
 sysctl: net.ipv4.conf.default.forwarding=0
 
 sysctl: net.ipv4.conf.default.accept_redirects=0
 
 sysctl: net.ipv4.icmp_echo_ignore_broadcasts=1
 
 sysctl: net.ipv4.icmp_echo_ignore_all=1
 
 sysctl: net.ipv4.tcp_timestamps=0
Windows
 
 Bei Windows-CDs eventuell über Unattended Installation "entschlacken". In Verbindung mit XPAntiSpy und NTSVCFG besonders erfolgreich.
 
 Antivirus, Firewall auf automatische Aktualisierung stellen und Funktion überprüfen.
 
 Bei Windows2000: Deaktivieren des dynamischen DNS Update, ausser dieses wird aktiv genutzt.
 
 Je nach Sicherheitsplan: Installation & Einrichtung eines USB-Stick, Bluetooth-Dongle, CD-Brenner, DVD-Rom, Floppy-Laufwerk und anschliessende Deaktivierung über Registry (um späterer automatischer Installation vorzubeugen)
 
 Für roadwarrior (Laptops) lokale Absicherung mittels IPsec als Paketfilter konfigurieren, falls nicht alle Dienste abgeschaltet werden können (Windows-ADS-Betrieb). VPN-Anbindung an Firmennetz konfigurieren und testen.
 
 Alle Programme auf SSL/TLS-Defaults umstellen. Wo möglich bereits korrektes Server-Profil vorinstallieren.
 
 Für roadwarrior: Crypto-Partition erstellen und für den Benutzer zugänglich einrichten.
Nach der Installation
 
 Ungenutzte Dienste und Programme, die sich nicht abwählen ließen entfernen erst gar nicht installieren.
 
 Backup mit Imaging-Software erstellen und auf sicheres Medium speichern.
 
 Falls zutreffend: In den firmenweiten/abteilungsweiten Sicherheitsplan den neuen Rechner eintragen mit Hardware, Diensten, installierter Software incl. Version und eingerichteten lokalen Benutzerpasswörtern sowie lokalem Administratorpasswort.
 
 Speziell bei unbekannter Software: Erreichbarkeit vom Netz aus prüfen und ggf. einschränken. Für Firewall-Konfiguration dokumentieren. (z.B. nessus, nmap)
 
 BIOS umstellen auf Festplatte als primäres Bootmedium
 
 Zeitzone einstellen und Zeit aktualisieren (NTP oder SMB - bei Dualboot Linux/Windows darauf achten, dass Linux nicht als Systemzeit UTC verwendet)
firewall-sicherheits-checkliste
Schritte zum sicheren Netz
Die aktuelle Version dieser Seite liegt unter http://verfaction.de/security.
Alle Copyrightrechte verbleiben beim Autor.
Voraussetzungen
 
 Installationsübersichtsplan existiert und ist aktuell
 
 Zuordnungen von installierten Diensten/Programmen zu Firewall-Regeln ist vorhanden und aktuell
 
 Firewall-Regeln für Standardbetrieb sind bereits aktiv und erlauben nur benötigte Zugriffe.
 
 Systemzeit synchron auf allen Routern und PCs
Hinzufügen eines Rechners
 
 Vergeben einer statischen IP-Adresse sofern spezielle Dienste genutzt werden, bzw. besondere Programme verwendet, die abweichende Firewall-Regeln erfordern.
 
 Bei Verwendung von WLAN MAC-ACLs: Eintragen des neuen Gerätes
 
 MAC Adresse aller Netwerkgeräte erfassen und dokumentieren. (Ethernet und WLAN)
Ersetzen eines Rechners
 
 Aktualisieren der MAC-Adressen in der Dokumentation.
 
 Überprüfung der Aktualität der installierten Software (Updates und Version in der Dokumentation)
 
 Sorgfältige und gewissenhafte Entsorgung des Altgerätes
Entsorgung von Altgeräten
 
 Überschreiben von allen Datenträgern mit Zufallsdaten (1-3 fach)