| <<< firewalling - tücken und herausforderungen - übersicht - wie geht dem - installation von asterisk mit zaphfc >>> |
| rechner-sicherheits-checkliste |
| Welche Schritt für ein sicheres Setup zu beachten sind. |
| Vor der Installation |
| speziell für Laptops: BIOS-Passwort setzen und an sicherer Stelle dokumentieren. |
| Windows |
| Aktuelles und vertrauenswürdiges Installationsmedium besorgen. Bei Windows-CDs notfalls mit aktuellem Servicepack und Hotfixes slipstreamen. |
| Linux |
| aktuelle Netinstaller-CD bzw. Bootfloppy besorgen. |
| Während der Installation |
| Ungenutzte Dienste und Programme erst gar nicht installieren. |
| Benutzerprogramme installieren und für Betrieb ohne Administratorrechte konfigurieren. |
| Sicheres Administratorpasswort wählen und alle evtl. als Administrator angelegten Benutzer ggf. aus der Administrator-Gruppe entfernen. |
| Bei Anbindung in eine Domänenstruktur: Aufnahme des Netwerkadministrators in die lokale Administratorengruppe. |
| Linux |
| sudo installieren und konfigurieren. (timeout=1 sollte genügen) |
| shadow und md5 Passwörter aktivieren (PAM) |
| login.defs auf md5-Passwörter anpassen (PASS_MAX_LEN) |
| Falls automounter installiert wurde: gemäß Sicherheitspolicy einstellen - z.B. USB-Stick, BLuetooth-Dongle, Floppy, CD-Brenner, DVD-Rom deaktivieren |
| sysctl: net.ipv6.conf.default.forwarding=0 |
| sysctl: net.ipv4.conf.default.log_martians=1 |
| sysctl: net.ipv4.conf.default.accept_source_route=0 |
| sysctl: net.ipv4.conf.default.forwarding=0 |
| sysctl: net.ipv4.conf.default.accept_redirects=0 |
| sysctl: net.ipv4.icmp_echo_ignore_broadcasts=1 |
| sysctl: net.ipv4.icmp_echo_ignore_all=1 |
| sysctl: net.ipv4.tcp_timestamps=0 |
| Windows |
| Bei Windows-CDs eventuell über Unattended Installation "entschlacken". In Verbindung mit XPAntiSpy und NTSVCFG besonders erfolgreich. |
| Antivirus, Firewall auf automatische Aktualisierung stellen und Funktion überprüfen. |
| Bei Windows2000: Deaktivieren des dynamischen DNS Update, ausser dieses wird aktiv genutzt. |
| Je nach Sicherheitsplan: Installation & Einrichtung eines USB-Stick, Bluetooth-Dongle, CD-Brenner, DVD-Rom, Floppy-Laufwerk und anschliessende Deaktivierung über Registry (um späterer automatischer Installation vorzubeugen) |
| Für roadwarrior (Laptops) lokale Absicherung mittels IPsec als Paketfilter konfigurieren, falls nicht alle Dienste abgeschaltet werden können (Windows-ADS-Betrieb). VPN-Anbindung an Firmennetz konfigurieren und testen. |
| Alle Programme auf SSL/TLS-Defaults umstellen. Wo möglich bereits korrektes Server-Profil vorinstallieren. |
| Für roadwarrior: Crypto-Partition erstellen und für den Benutzer zugänglich einrichten. |
| Nach der Installation |
| Ungenutzte Dienste und Programme, die sich nicht abwählen ließen entfernen erst gar nicht installieren. |
| Backup mit Imaging-Software erstellen und auf sicheres Medium speichern. |
| Falls zutreffend: In den firmenweiten/abteilungsweiten Sicherheitsplan den neuen Rechner eintragen mit Hardware, Diensten, installierter Software incl. Version und eingerichteten lokalen Benutzerpasswörtern sowie lokalem Administratorpasswort. |
| Speziell bei unbekannter Software: Erreichbarkeit vom Netz aus prüfen und ggf. einschränken. Für Firewall-Konfiguration dokumentieren. (z.B. nessus, nmap) |
| BIOS umstellen auf Festplatte als primäres Bootmedium |
| Zeitzone einstellen und Zeit aktualisieren (NTP oder SMB - bei Dualboot Linux/Windows darauf achten, dass Linux nicht als Systemzeit UTC verwendet) |
| firewall-sicherheits-checkliste |
| Schritte zum sicheren Netz |
| Voraussetzungen |
| Installationsübersichtsplan existiert und ist aktuell |
| Zuordnungen von installierten Diensten/Programmen zu Firewall-Regeln ist vorhanden und aktuell |
| Firewall-Regeln für Standardbetrieb sind bereits aktiv und erlauben nur benötigte Zugriffe. |
| Systemzeit synchron auf allen Routern und PCs |
| Hinzufügen eines Rechners |
| Vergeben einer statischen IP-Adresse sofern spezielle Dienste genutzt werden, bzw. besondere Programme verwendet, die abweichende Firewall-Regeln erfordern. |
| Bei Verwendung von WLAN MAC-ACLs: Eintragen des neuen Gerätes |
| MAC Adresse aller Netwerkgeräte erfassen und dokumentieren. (Ethernet und WLAN) |
| Ersetzen eines Rechners |
| Aktualisieren der MAC-Adressen in der Dokumentation. |
| Überprüfung der Aktualität der installierten Software (Updates und Version in der Dokumentation) |
| Sorgfältige und gewissenhafte Entsorgung des Altgerätes |
| Entsorgung von Altgeräten |
| Überschreiben von allen Datenträgern mit Zufallsdaten (1-3 fach) |
|
kontakt 13.05.2005 viii |
<<< firewalling - tücken und herausforderungen - übersicht - wie geht dem - installation von asterisk mit zaphfc >>>
© 1997-2018 |