36566
Oct 10, 2006, updated at 18:27:46 (UTC)
6141
3
0
Namensgebung von Servern
Benamung von Servern ein Sicherheitsproblem ?
Hallo Zusammen
mit einem Kollegen ist eine interassente Diskussion entbrannt darüber, ob eine funktionsgebundene Benamung von Servern (z. B. SRV-SQL1 für einen Datenbankserver) ein Sicherheitsrisiko ist oder nicht ?
Das Problem: wenn ein Fremder (kann auch ein wohlmeinender Kollge sein) sich einem leeren Raum ans Netz anschliesst, und dieses Scannt, kann er anhand der Namensgebung schnell auf die Funktion der Rechner schliessen. Gegenargument: er kann anhand der offenen Ports sowieso die Funktion der Rechner erkennen, eine kryptische Benamung ist somit also überflüssig und bei zwanzig Servern kann sich das eh keiner merken.
Ich habe im BSi-Grundschutzhandbuch auf die schnelle nichts gefunden, kennt jemand eine Empfehlung für die Namensgebebung, die auf Sicherheitsüberlegungen beruht ?
Danke und Gruß
Rolinckritter
mit einem Kollegen ist eine interassente Diskussion entbrannt darüber, ob eine funktionsgebundene Benamung von Servern (z. B. SRV-SQL1 für einen Datenbankserver) ein Sicherheitsrisiko ist oder nicht ?
Das Problem: wenn ein Fremder (kann auch ein wohlmeinender Kollge sein) sich einem leeren Raum ans Netz anschliesst, und dieses Scannt, kann er anhand der Namensgebung schnell auf die Funktion der Rechner schliessen. Gegenargument: er kann anhand der offenen Ports sowieso die Funktion der Rechner erkennen, eine kryptische Benamung ist somit also überflüssig und bei zwanzig Servern kann sich das eh keiner merken.
Ich habe im BSi-Grundschutzhandbuch auf die schnelle nichts gefunden, kennt jemand eine Empfehlung für die Namensgebebung, die auf Sicherheitsüberlegungen beruht ?
Danke und Gruß
Rolinckritter
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 41820
Url: https://administrator.de/contentid/41820
Printed on: April 19, 2024 at 18:04 o'clock
3 Comments
Latest comment
Hallo,
meiner Meinung nach ist es nicht sinnvoll den Server den Namen zu geben der Seine Funktion gleich angibt.
Ein Server mit SQL im Namen dürfte mit SQL Angriffen Konfrontiert werden.
Ob ein Server der "Brauner Bär" heißt von diesen Angriffen verschont bleibt weiß ich allerdings nicht.
Es ist mit Sicherheit aber eine Risikominimierung.
Ports kann man auch ändern und das auf den server laufende Programm kann auch mit anderen Ports umgehen.
Somit ist aus Sicherheitsgründen eine Benennung mit nicht erklärenden Namen Sinnvoller.
Ist der Angreifer allerding erstmal im Netz ist es eigentlich egal, deswegen muss die Abwehr schon vorher passieren.
Das Angriffe von Aussen geblockt werden müssen ist ja landläfig bekannt.
Da aber eine Vielzahl, (Mehrzahl?) der Angriffe von Innen kommt sollten hier sicherheitsmaßnahmen greifen die Solche Angriffe schon am Ansatz verhindern und dann wiederum ist die Namensgebung egal und der unwichtigste Sicherheitsaspekt.
meiner Meinung nach ist es nicht sinnvoll den Server den Namen zu geben der Seine Funktion gleich angibt.
Ein Server mit SQL im Namen dürfte mit SQL Angriffen Konfrontiert werden.
Ob ein Server der "Brauner Bär" heißt von diesen Angriffen verschont bleibt weiß ich allerdings nicht.
Es ist mit Sicherheit aber eine Risikominimierung.
Ports kann man auch ändern und das auf den server laufende Programm kann auch mit anderen Ports umgehen.
Somit ist aus Sicherheitsgründen eine Benennung mit nicht erklärenden Namen Sinnvoller.
Ist der Angreifer allerding erstmal im Netz ist es eigentlich egal, deswegen muss die Abwehr schon vorher passieren.
Das Angriffe von Aussen geblockt werden müssen ist ja landläfig bekannt.
Da aber eine Vielzahl, (Mehrzahl?) der Angriffe von Innen kommt sollten hier sicherheitsmaßnahmen greifen die Solche Angriffe schon am Ansatz verhindern und dann wiederum ist die Namensgebung egal und der unwichtigste Sicherheitsaspekt.
Also ganz ehrlich ich kann Dir nur sagen, das in fast allen Firmen wo ich arbeite die Funktion aus dem Namen hervorgehen. Sogar der Standort.
Als Beispiel bei der Firma XY:
In München steht ein Exchangeserver der heißt: XYMUCEX04
oder Frankfurt steht der FileServer: XYFFMFS02
Ich finde es sogar gut, aus einem Grunde, ich brauche nicht eine Liste mit Servernamen und deren Funktionen um zu wissen auf welchen ich muß.
Der Sicherheitsaspekt ist einfach: Die Server auf den neusten stand bringen die Firewalls von den Servern aktivieren und konfigurieren. Eventuell noch in eine DMZ um den Mißbrauch von innen zu minimieren.
Zu willkürliche Namensgebung sage ich nur, mit einem Postscann kann man dieses auch herrausfinden. Und ab eine gewisse Zahl von Servern hat man ein Problem und muß mit einer Liste rumrennen. Die DANN natürlich auch der "KOLLEGE" hätte...
Gruß pastor
Als Beispiel bei der Firma XY:
In München steht ein Exchangeserver der heißt: XYMUCEX04
oder Frankfurt steht der FileServer: XYFFMFS02
Ich finde es sogar gut, aus einem Grunde, ich brauche nicht eine Liste mit Servernamen und deren Funktionen um zu wissen auf welchen ich muß.
Der Sicherheitsaspekt ist einfach: Die Server auf den neusten stand bringen die Firewalls von den Servern aktivieren und konfigurieren. Eventuell noch in eine DMZ um den Mißbrauch von innen zu minimieren.
Zu willkürliche Namensgebung sage ich nur, mit einem Postscann kann man dieses auch herrausfinden. Und ab eine gewisse Zahl von Servern hat man ein Problem und muß mit einer Liste rumrennen. Die DANN natürlich auch der "KOLLEGE" hätte...
Gruß pastor
Hi,
ich schliesse mich der Meinung an, dass es (wenn ohnehin schon jemand mit dem Portscanner in der Firma unterwegs ist und Ihr das nicht merkt) es egal ist, wie der Rechner heisst. Wenn er ihn "penetrieren" will, dass verlässt er sich wohl nicht auf den Rechnernamen, den der DNS ausspuckt.
cu,
Alex
ich schliesse mich der Meinung an, dass es (wenn ohnehin schon jemand mit dem Portscanner in der Firma unterwegs ist und Ihr das nicht merkt) es egal ist, wie der Rechner heisst. Wenn er ihn "penetrieren" will, dass verlässt er sich wohl nicht auf den Rechnernamen, den der DNS ausspuckt.
cu,
Alex
