Prioritäten bei Absicherung eines Netzwerkes

Hallo,
ich bin gerade dabei eine Weiterbildung im Bereich IT-Sicherheit zu machen und beschäftige mich gerade damit die Prioritäten der unten stehenden Maßnahmen zur Absicherung eines Netzwerkes nach außen (WAN-Verbindung) einzustufen. Was Netzwerke angeht verfüge ich zwar über Grundlagen, aber habe leider noch wenig Erfahrung. Über eure Einschätzung/Meinung/Begründung würde ich mich sehr interessieren und freuen.

Einsatz von Intrusion-Detection-Systemen zur Erkennung von RST/SYN-Flooding
Halte ich für das wichtigste, da ich trotz aller Sicherheitsvorkehrungen über Angriffe informiert werden und diese einschätzen bzw Gegenmaßnahmen einleiten muss.

BGP-Verkehr sollte nur von bekannten Routern akzeptiert werden. Halte ich mal für wichtig also 2, da ja sonst ein Angreifer mich überall hinleiten kann.

Einsatz von NAT (Masquerading), um die Netzwerk-Geräte nach Außen hin zu verbergen.
Würde ich auf 3 setzen, da ich denke was man nicht sieht (bzw worüber man wenig Informationen hat) ist schwer(er) anzugreifen.

DNS-Spoofing Angriffe können durch die Verwendung der „DNS Security Extensions“ (DNSSEC) wirksam unterbunden werden. Hierbei stellt der DNS-Server mittels einer digitalen Unterschrift die Echtheit der erhaltenen Informationen sicher.
Für mich die 4, Begründung habe ich da leider keine, ist einfach mal so ein Bauchgefühl.

Überprüfung von TCP/IP-Paketen aufgrund von Signaturen (z. B. md5; s. RFC 2385)
Für mich die 5, Begründung habe ich da ebenfalls keine, ist ebenfalls mal so ein Bauchgefühl.

Router sollte so konfiguriert werden, dass nur der Datenverkehr akzeptiert und weitergeleitet wird, der von IP-Adressen kommt, für den die jeweilige Schnittstelle des Routers zuständig ist. Wäre für mich die 6 da IP-Spoofing wohl inzwischen eher seltener ist.

Viele Grüße
Iccy
 
Hi,

IDS Systeme sind auf jeden Fall eine gute Anschaffung, die allerdings auch einiges an Zeit verschlingen kann. Hierbei geht es aber nicht nur um die Erkennung von Flooding oder DDoS-Angriffe, sondern auch um Logging oder Packetanalyse. Ein prominenter Vertreter wäre beispielsweise Snort.

BGP ist sehr wichtig und wird oft unterschätzt. Hier habe ich leider keinerlei Erfahrung, kann dir daher nur folgenden Artikel empfehlen: ISP Column - July 2011.

Ob NAT als Sicherheitstechnologie gezählt werden kann wird fleissig diskutiert. Prinzipiell musst du hier aufpassen, dass du dir damit nicht ins eigene Bein schiesst, beispielsweise beim Einsatz von IPSec, was nur bei bestimmten Konfigurationen zusammen mit NAT funktioniert.

Das Hauptproblem bei DNSSEC stellt derzeit noch die zu geringe Verbreitung und die Anfälligkeit gegen Angriffe dar. Allerdings kann man DNSSEC einen gewissen Wert zusprechen, da die Integrität von DNS Informationen meist überlebenswichtig ist (was wäre, wenn amazon.com nicht erreichbar wäre? ;)). DNSSEC würde ich als dritten Punkt noch vor NAT setzen.

Überprüfung von TCP Paketen - keine Ahnung, was das hier in der Liste zu suchen hat. Innerhalb des Protokolls wird zwar fleissig gehasht, aber dabei gehts eher um Fehlererkennung, als um Erkennung von Angriffen, da ein Angreifer ja auch den Hash ändern könnte. Schutz kann hierbei nur eine Digitale Signatur (sha1rsa, .. nicht md5!) bieten.

Deinen letzten Punkt verstehe ich ebenfalls nicht. Bei einem Router geht es doch gerade darum, mehrere Netze miteinander zu verbinden, auch über mehrere Router und Netze hinweg. Nach deiner Beschreibung sind lediglich Pakete aus angrenzenden Netzen erlaubt, nicht aber Pakete, die von "dritten" Netzen in andere Netze geroutet werden sollen. Das könnte man mit etwas Phantasie als Access Control Mechanismus interpretieren, wobei man aber in so einem Fall dann bei einem Angriff einfach über andere Wege routen würde. Auch sehe ich jetzt hier keinen Zusammenhang zu IP Spoofing.

Je nach Usecase und Business Process könnte man die Reihenfolge auch unterschiedlich einstufen. Amazon, deren Geschätfskonzept auf dem Anbieten einer Internetplattform basiert, würde beispielsweise die Maßnahmen anders priorisieren, als EADS, die eher darauf bedacht sind, dass ihre Produktion nicht still steht.
 
Ich würde mir ja erstmal die Frage stellen was für ein Netzwerk es abzusichern gilt, bevor ich mir Gedanken um Prioritäten mache. Ein IDS wird dir in einem reinen Office-Netzwerk nur bedingt helfen. In einem Server-Netzwerk hingegen sollte man Dinge wie VLAN-Trennung, Schutz der Infrastruktur (Switches, Router etc.) u.ä. und nicht zuletzt das Monitoring (um Abweichungen vom Normal-Level zu erkennen) höher priorisieren.

Daher... gut und schön deine Liste. Aber wofür soll die gut sein?
 
hi, danke erstmal für euer Feedback.

@SchwarzeBeere
Danke schon mal, das hilft mir schon ein Stück weiter.

@bitmuncher
Ich würde mir ja erstmal die Frage stellen was für ein Netzwerk es abzusichern gilt, bevor ich mir Gedanken um Prioritäten mache.

Würde ich auch, leider ist das ganze in der Übung nicht angegeben, es heißt da einfach nur welche der genannten Möglichkeiten man bei der Absicherung eines Netzwerkes nach außen priorisieren würde und warum.

Da die Weiterbildung noch am Anfang steht, gehe ich davon aus, dass das ganze sehr allgemein gehalten wird, ein wirkliches richtig oder falsch wird/kann es wohl nicht geben und es geht wohl mehr darum sich mit den bisher gelernten Möglichkeiten auseinander zu setzen.
 
Würde ich auch, leider ist das ganze in der Übung nicht angegeben, es heißt da einfach nur welche der genannten Möglichkeiten man bei der Absicherung eines Netzwerkes nach außen priorisieren würde und warum.

Ich habe diese Art von Fragen schon in vielen Zertifizierungen und Prüfungen gesehen, deswegen mein Tipp, auch wenn es viele Menschen jetzt ärgern wird: Auswendig lernen von Lösungen zu diesen Fragen hilft ungemein zum Bestehen der Prüfung. In der Praxis sind solche Fragestellungen, wie bitmuncher angemerkt hat, nicht anwendbar - was letzten Endes auch die Zertifizierungen in Frage stellt. In der Realität sollte man daher deutlich differenzierter an die Sache herangehen und konkret auf den Business Case eingehen und dahingehend bewerten.
 
Zurück
Oben