29    Sicherheit

Zusätzlich zu den bereits vorgestellten Maßnahmen zur Steigerung der Sicherheit Ihrer IT-Infrastruktur erfahren Sie in diesem Kapitel, wie Sie Ihre Server und Ihre Infrastruktur weiter absichern können – inklusive chroot, AppArmor, IDS/IPS und OpenVPN.

In Zeiten von Viren, Würmern, Trojanern und Datenpannen im großen Stil bekommt die Sicherheit von IT-Landschaften eine immer größere Bedeutung. In diesem Buch haben Sie bereits einige Aspekte der Sicherheit kennengelernt, wie Sie zum Beispiel Ihre Netzwerksicherheit erhöhen können (siehe Abschnitt 22.6, »Firewalls mit ›netfilter‹ und ›iptables‹«).

[+]  Die oft zitierte Grundlage von Sicherheit in modernen Umgebungen darf trotzdem nicht außer Acht gelassen werden:

Sicherheit ist ein Konzept, das vor dem Bildschirm beginnt!

Egal welche Anstrengungen Sie unternehmen – wenn Ihre Mitarbeiter keinen verantwortungsvollen Umgang mit der Technik beherrschen, ist der GAU nicht weit entfernt. Das soll jedoch nicht heißen, dass Sie Ihre Umgebung ungeschützt lassen sollen. Ganz im Gegenteil: Mit ein paar kleinen Mitteln können Sie die Sicherheit deutlich verbessern und gegebenenfalls auch ungeübten Nutzern peinliche Fehler und Erklärungen ersparen.

Sicherheitstechnik in der EDV war, ist und bleibt ein Hase-und-Igel-Spiel. Dies liegt in der Natur der Sache, da immer zuerst der Virus, die Spam-Mail oder der Exploit analysiert werden muss, um geeignete Gegenmaßnahmen finden zu können. Immer?

Nein, dies ist so nicht korrekt, da durch den Einsatz von IDS/IPS[ 43 ] auch Angriffe erkannt und unterbunden werden können, die noch nicht über die gängigen Methoden analysiert wurden.

Ursächlich für alle Gefahren sind drei Elemente, die sich gegenseitig bedingen oder voraussetzen. In Abbildung 29.1 wird dies verdeutlicht. Auch wenn Sie Ihre Anwender intensiv schulen, ist die Gefahr dennoch nicht gebannt. Andersherum können Sie mit unzähligen Firewallkaskaden ebenso wenig eine vollständige Sicherheit Ihres Umfelds generieren. Es kommt, wie so oft, auf das goldene Mittelmaß an und darauf, dass Sie die Ihnen zur Verfügung stehenden Mittel auch ausschöpfen. Denken Sie aber stets daran, alle Gefahrenfelder im Auge zu behalten, sodass kein Ungleichgewicht entsteht. Was nutzen sechs kaskadierte Firewalls und ein IDS/IPS-Cluster, wenn Ihre Anwender mit Administratorrechten arbeiten und sich so Schadsoftware leicht einnisten und verbreiten kann.

Dreifaltigkeit der Gefahren

Abbildung 29.1    Dreifaltigkeit der Gefahren

29.1    Weniger ist mehr

Serverseitig beginnt die Sicherheit bereits bei der Planung. Selbstverständlich sind moderne Systeme in der Lage, Mail-, Spamfilter-, Proxy-, Antiviren-, News-, DNS- und Webserver auf einer Hardware zu betreiben, allerdings erhöht das die Sicherheit nicht. Durch die Vielzahl von Programmen werden große Angriffsflächen geboten, die mögliche Angreifer in die Lage versetzen, nicht nur einen Dienst Ihres Hauses auszuschalten, sondern direkt die gesamte Struktur. Daher empfiehlt es sich, so wenige Dienste wie möglich auf einem System zu betreiben, wobei diese natürlich auf dem neuesten Stand gehalten werden müssen.

Dem geübten Windows-Nutzer und dem an Technik interessierten Zeitungsleser ist natürlich bekannt, dass ein System mit ungepatchten Sicherheitslücken heutzutage nicht mehr lange seinen Dienst verrichtet.

Darüber hinaus müssen Sie beachten, dass ein komplexes Umfeld nicht nur fehleranfälliger wird, sondern dass auch leicht Komponenten übersehen werden können, die dann wiederum schnell kompromittiert werden können. Daher sollten Sie sich an den Grundsatz »Keep it simple!« halten.