Firewalls für KMU!
Transcription
Firewalls für KMU!
Internet-Stammtisch Firewalls für KMU! Übersicht & Hintergründe Uwe Stache http://www.ecomm-berlin.de/ eCOMM-Partner Zur Person • Geschäftsführer BB-ONE.net Internet-Dienstleister, eigene Serverfarm, seit 1996 www.berlin-one.net • Vorstand BCIX e.V. Internetknoten Berlin-Brandenburg www.bcix.de • Partner eCOMM Kompetenzzentrum für elektronischen Geschäftsverkehr www.ecomm-online.de • Gründungsmitglied We-Make-IT BerlinBrandenburger IT-Standortinitiative www.we-make-it.de eCOMM-Partner Agenda • • • • Problemstellung / Definitionen Aufbau eines Firmennetzes Netzwerkbereiche Lösungsansätze eCOMM-Partner Standards heute • • • • • DSL- bzw. ISDN-Anbindung, meist dauerhaft Verbindung über DFÜ-Netzwerk oder „Router“ Virenscanner Häufig „Personal Firewall“ Software IE/Outlook (Express) eCOMM-Partner Gefühlte Bedrohungen • • • • Sie ärgern sich über SPAM Ihr PC führt Eigenleben Ihr Netzwerk wird langsamer Sie werden verunsichert durch Publikationen über Würmer/Pishings/Trojaner/Datenverlust eCOMM-Partner Gegenmassnahmen [ I ] • Abkehr von Sensations- bzw. unqualifizierter Information • Akzeptanz der Realität • Einsatz von sinnvollen Werkzeugen • Verhaltensänderungen eCOMM-Partner Reale Bedrohung [ I ] • PC und Server entwickeln Eigenleben • Rechner öffnen sich gegenüber anderen • Rechner sind möglicherweise kompromittiert eCOMM-Partner Reale Bedrohung [ II ] • Bestehender Zugriff auf Firmendaten – Löschen – Verändern – Einsichtnahme • Verwendung der Rechner für Zwecke Dritter – Sie werden SPAM-Versender! – Ihr Zugang wird per DDOS blockiert oder: – Ihr Rechner wird Teil eines BOT-Netzes • Ist betriebswirtschaftlich und juristisch relevant! eCOMM-Partner Netzwerk eCOMM-Partner Definitionen [ LAN ] • Lokales Netzwerk • KEIN Zugriff aus WAN • Definierte Zugriffe aus DMZ und WLAN ( idealer Weise keine ) • Definierte Zugriffs-Rechte in WAN eCOMM-Partner Definitionen [ DMZ ] • • • • Demilitarisierte Zone Ist Teil von WAN UND von LAN Ist aus WAN definiert erreichbar [ VPN ] Hat „Schlupflöcher“ zum LAN eCOMM-Partner Definitionen [ WLAN ] • Wireless LAN • Wie LAN, jedoch: • ACL in Firewall via MAC-Adresse [ Access Control List ] • Authentifizierung via WPA-PSK [ minimal ] • Datenverschlüsselung • Aus WLAN kein Zugriff auf LAN eCOMM-Partner Definitionen [ Firewall ] • • • • • Hardware- und regelbasierte Netztrennung Drei oder vier Zonen Regeln frei definierbar Logging Zusatzfunktionen: – Proxy – SPAM-/Virenfilter – Routerfunktion eCOMM-Partner LAN Regeln Datenverkehr initiiert von PC: Ports 80,443,110,25,139,143 Datenverkehr initiiert von Server: ??? Datenverkehr initiiert von ausserhalb LAN: ??? eCOMM-Partner WLAN Regeln Datenverkehr initiiert von Laptop: 25,110,80,143,443 Datenverkehr initiiert von ausserhalb WLAN: ??? eCOMM-Partner WAN eCOMM-Partner DMZ Regeln Datenverkehr initiiert von Servern: 25,110,143,53 Datenverkehr initiiert von Aussen: 25,110,143 eCOMM-Partner Werkzeugeinsatz • • • • • Echte Firewall für Gesamtnetz Personal Firewall für „PC gegen PC“ Sinnvolle Regelwerke (alles ist verboten ...) Auswertung von Logfiles Aktualisierung des Regelwerkes eCOMM-Partner Firewall: Beispiele / Software http://personal-firewallsoftwarereview.toptenreviews.com http://www.outpost-firewall.com/ eCOMM-Partner Firewall: Beispiele / Hardware http://www.genua.de Appliance-Box Proprietäre Hard und -Software BB-ONE.net angepasste Standard-Hardware Software basierend auf Industriestandards eCOMM-Partner Beispiele Lösungen • • • • Smoothwall IPCop Corporate Server MonoWall • • • • Securepoint Security Appliance Sonicwall Pro 5060 Symantec Gateway Security Watchguard Firebox eCOMM-Partner Workshop • • • • • 17. Oktober 2006 Aufbau einer Firewall für KMU Definition des Regelwerkes Zehn Teilnehmer 70,00 € eCOMM-Partner Vielen Dank für Ihr Interesse!