Manfred Tremmel hat einige gute Tipps gegeben,
wie man den Rechner absichern kann ....
Aber damit erreicht man nicht zuviel. Ich würde z.B. den Rechner ganz
ohne CD-ROM und Diskettenlaufwerk ausstatten. Gehäuse absichern, so
dass da auch niemand mehr dran kann.
Wobei dies auch nur alles erschwert. Wer noch viel sicherer sein will,
der sollte einfach der Anleitung folgen, wie man den IIS richtig sicher
hinbekommt. Die Kurzform (evtl. leicht abgewandelt):
- Rechner gut (luftdicht) verpacken
- Gut verschliessen
- Zusammen mit radioaktiven Müll 8Radioaktivität muss so stark sein,
dass eine Annäherung nicht für Lebewesen möglich ist!) an der tiefsten
Stelle des Ozeans versenken.
Dieser Rechne wird so schnell nicht mehr gehackt - allerdings erfüllt
er auch keinen bestimmten Zweck mehr, so dass man nicht mehr hat, als
wenn man auf alles ganu verzichten würde.
Was will ich damit sagen:
- Es lohnt sich, zu überlegen, was ich überhaupt will!
- Was für Schritte kann ich ohne Probleme vollziehen?
Wenn ich z.B. einen Rechner in einem Öffentlichen Bereich unterstellen
will, dann nehme ich keinen 08/15 PC. (Obwohl: Mach ruhig - ich hole
ihn mir dann Nachts, wenn er gut ausgestattet ist!). Es gibt sehr nette
Gehäuse, die recht sicher sind. Und da hast Du dann auch kaum
Anschlussmöglichkeiten!
Die Frage ist wirklich, was Du genau willst!
Für ein Firmennetzwerk würde ich den Arbeitsplatz nicht ganz so sehr
absichern. Der ist sch... egal (Zur Not schliesst jemand seinen Laptop
an oder so!). Hier würde sich auf andere Punkte setzen. IPsec ist ein
Stichwort oder es reicht vielleicht auch schon, wenn Autentisierungen
sowie kritische Daten verschlüsselt ablaufen. Hier sind dann aber die
Anwendungen zu kontrollieren. IPsec wäre aber ein guter Ansatz.
Und wenn dann jemand eine Knoppix CD einlegt und davon bootet: Ist doch
egal. Damit kann er vielleicht auch gewisse Dinge machen, aber vieles
geht einfach nicht. Das Gleiche gilt für Notebooks.
Dies ist ein anderer Ansatzpunkt.
Das gilt für alle Betriebssysteme! Für NT/W2K7XP gibt es auch nette
Boot-Disketten (DOS) + NTFS Treiber + Tool zum ändern des Passwortes.
Das kostet paar Euro (Löhnware), aber es funktioniert total einfach!
Daher ist ein solches Konzept extrem wichtig! Die Absicherung haut da
nicht hin. BIOS-Passwörter. Entweder keiner oder alle kennen die
Passwörter. Oder wie will man hier ein ordentliches Passwort-Management
aufbauen? (In Firmen!)
Was bekommt der "Angreifer" durch eine solche Attacke? Lokale Admin-
Rechte. Nur was kann er damit anfangen? Vielleicht ist dies gar nicht
so schlimm?
Bei Servern sollte so oder so eine Überwachung inkl.
Zugangsbeschränkung üblich sein.
Und auch bei Firmen sollte es üblich sein, dass nicht jeder überall
rein kann (Ein zentraler Zugang, Türe muss geöffnet werden, ...).
Der normale Menschenverstand ist hier wichtig! Zuhause lasse ich ja
auch nicht die Türe immer offen.
Es mag Firmen geben, die einen starken Kundenzulauf haben.
Einkaufsmärkte sind hier ein gutes Beispiel. Aber auch hier ist es
einfach, die Kunden von "sensiblen" Bereichen fern zu halten.
Auch wenn ich jetzt wieder viel geschrieben habe: Man muss sich
wirklich immer hinsetzen und erst einmal nachdenken, was man überhaupt
an Sicherheit braucht! Es gibt viele Ansätze, die man gut verfolgen
kann! Und viele Absicherungen sind in meinen Augen wenig erfolgreich!
(z.B. BIOS Passwörter!)
Mit den besten Grüßen,
Konrad Neitzel
--
SoftMediaTec GmbH
Tel: 0172 / 689 31 45
Fax: 069 / 90 50 99 53