bossjoe
Goto Top

Umfrage Netzsicherheit, bester Kompromiss zwischen Nutzerfreundlichkeit und Sicherheit

Hallo,

ich beschäftige mich jetzt schon ein paar Wochen mit den verschieden Themen rund um die IT-Sicherheit. Speziell interessiert mich hier die Sicherheit privater Netzwerke. Mit ein paar Kollegen hatte ich hier bereits schon eine sehr spannende Diskussion, weshalb ich mir dachte ich könnte die Frage mal an eine etwas breitere Masse stellen.

Da dies ja ein relativ breites Themengebiet ist und jeder den Begriff Sicherheit ein wenig anders definiert vielleicht mal ein paar Begriffsdefinitionen:

-Sicherheit: Soll bedeuten das meine persönlichen Daten vor unbefugten Zugriffen geschützt sind und alle Daten möglichst auch als Backup vorhanden sind um Naturkatastrophen oder ähnlichen unvorhersehbaren Ereignissen vorzubeugen. Außerdem verstehe ich unter Sicherheit, das alle Daten die mein "sicheres" Netzwerk verlassen (Zugangsdaten, Passwörter, Bankdaten, Persönliche Daten), nicht durch Dritte ausgespäht werden können.

- Was verstehe ich unter Nutzerfreundlichkeit? Ich denke das ein System das einen gewissen Grad an Komfort bietet, grundsätzlich damit auch immer etwas unsicherer wird. Allerdings wird der Durchschnittsuser nur schwer darauf verzichten wollen. Also gilt es einen Kompromiss zu finden. Also Nutzerfreundlichkeit bedeutet, die heute alltäglich gewordenen Funktionen nutzen zu können. Zum Beispiel:

-WLAN für alle Netzwerkfähigen Geräte
-Zentraler Zugriff auf meine Daten (im eigenen Netz und aus dem Internet)
-Zugriff auf meine Email und Kontakt Daten (im eigenen Netz und aus dem Internet)
-eigener Webserver
-Steuerung diverser lokaler Dienste über das Internet (Programmierung von Filmaufnahmen, Steuerung Smarthome, etc.)
-Internetzugang von jedem Rechner

Wenn wir jetzt die oben genannten Parameter nehmen und uns den normalen User vorstellen, wie er denke ich derzeit am häufigsten vorkommt (Oder vorkommen sollte), würde ich diesen Zustand als Standart und somit zum Soll erklären.

Da wären zum Beispiel ein Internetzugang mit einem Router und eingebauter Firewall (Fritzbox), vielleicht ein eigenes NAS oder Server mit Datenfreigabe, Netzwerkdrucker, sowie die einzelnen Clients mit Virenscanner (für Windows) oder Laptops halt über WLAN. Sämtliche Einrichtungen sind den heutigen Standarts entsprechend, also WLAN mit WPA2 verschlüsselt, Passwörter die regelmässig gewechselt werden und entsprechend komplex sind, abgestufte Userrechte, immer die neusten Updates und Virenpattern, vielleicht noch einen verschlüsselten Container für die ganz sensiblen Daten.

Wenn wir jetzt einmal den Faktor Mensch aussen vorlassen ist dies ja bereits ein relativ sicheres Netzwerk, wenn wir davon ausgehen das ein potenzieller Datendieb nicht unbeschränkte Ressourcen und Zeit hat.

Was aber wenn man ein etwas gesteigertes Sicherheitsbedürfnis hat? Wo seht ihr den idealen Kompromiss zwischen Sicherheit und Komfort wenn einem der oben beschriebene Standart nicht reicht (Die Gründe hierfür will ich erst einmal außer Acht lassen)? Speziell interessiert mich hier der Aufbau des Netzwerks und welche Sicherheitsmechanismen ihr verwenden würdet. Vielleicht kann man hier ja noch einmal unterscheiden zwischen "erweiterter Sicherheit" und "höchster Sicherheit".

Noch einmal, es geht um Privatanwender, welche gerne den vollen Komfort heutiger Netze nutzen wollen und trotzdem sicher unterwegs sein wollen. Wo ist der ideale Kompromiss für diese drei Sicherheitsbedürfnisse:

- Standart Sicherheit
- Erweiterte Sicherheit
- Höchste Sicherheit

Mir ist durchaus bewusst das es absolute Sicherheit nicht gibt und man mit entsprechendem Aufwand alles irgendwie umgehen kann, aber darum soll es erst einmal nicht gehen.

Würde mich über sachliche Kommentare und eure ehrlichen Meinungen freuen.

Gruß

Joe

Content-ID: 188757

Url: https://administrator.de/forum/umfrage-netzsicherheit-bester-kompromiss-zwischen-nutzerfreundlichkeit-und-sicherheit-188757.html

Ausgedruckt am: 24.12.2024 um 14:12 Uhr

aqui
aqui 28.07.2012 um 20:57:21 Uhr
Goto Top
Rubrik verfehlt... bzw. fragt sich jetzt nur noch was dies in der Rubrik "Linux&Unix" zu suchen hat ???
Wenn du so auch beim Thema Sicherheit vorgehst kann die Diskussion ja nicht so spannend gewesen sein face-sad
BOSSJoe
BOSSJoe 28.07.2012 um 21:18:08 Uhr
Goto Top
Hast recht, hab leider die falsche Rubrik erwischt. Bitte um Entschuldigung...

Wie du daraus aber etwas über die Qualität meiner Diskussion ableiten willst entzieht sich meiner Kenntnis und empfinde ich auch als etwas fehl am Platz. Immerhin kann jeder mal einen Fehler machen, nicht wahr?

Aber noch einmal Danke für den Hinweis.

Joe
aqui
aqui 28.07.2012 aktualisiert um 21:36:52 Uhr
Goto Top
Wenn du nur mal die FAQs gelesen hättest hättest du auch gesehen das du es SELBER mit ein paar Mausklicks in die richtige Rubrik schieben kannst, damit es auch die richtigen Leute lesen hier !!
Auf deinen Usernamen klicken oben, dann Fragen, Thread auswählen, auf "Bearbeiten" klicken und dann unten rechts die neue und "richtige" Rubrik auswählen.... Fertisch !
Manchmal hilft lesen und sich informieren wirklich !!
BOSSJoe
BOSSJoe 28.07.2012 um 23:07:28 Uhr
Goto Top
Falls es dir nicht aufgefallen ist, ich habe das bereits getan! Und das ganze habe ich, oh Wunder, auch ohne das lesen der FAQ hinbekommen.

Sorry, ich bewundere dein Engagement hier im Forum sehr und wenn ich mich recht erinnere hast du mir auch schon einmal bei einem Problem geholfen. Aber wenn du hier nur an mir herumkritisieren möchtest würde ich dich bitten dies zu unterlassen.

Ich habe einen Fehler gemacht und als du mich darauf aufmerksam gemacht hast habe ich ihn korrigiert. Somit sollte das erledigt sein und damit zurück zum Thema.

Und bitte unterlasse es in Zukunft vielleicht einfach irgendwelche Mutmaßungen über die User hier anzustellen, nur aufgrund eines Beitrags hier. Das schadet der Objektivität und steht dem Forum nicht gut zu Gesicht, vor allem in deiner Funktion als Admin des Forums. Ich hoffe das ist nun geklärt, also zurück zum eigentlichen Thema!

Vielen Dank

Joe
wiesi200
wiesi200 29.07.2012 um 10:21:59 Uhr
Goto Top
Hallo,

bei Privatanwender glaub ich kann man hier keine Abstufung machen.
Jeder wird sich das Netzt so komfortabel machen wie er's brauch bzw. will. Auch die anzubinden Komponenten fallen sehr unterschiedlich aus.

Was mir persönlich aber noch nie eingeleuchtet hat, warum hat man als Privatperson ein "erweitertes Sicherheitsbedürfniss". Gut das man eine vernünftige Virenlösung, eine Firewall für externe Zugriffe braucht und das W-Lan sicher muss ist klar. Nicht das jemand aus Spaß das netzt killt. Aber bis auf die vielleicht eigenen Kinder, denen man nicht genug Aufmerksamkeit gibt, hat man doch z.b. keine Man in the Middle Attacken.
Gut, wenn man noch externen Zugriff will, kommt noch VPN hinzu.
Ob ich z.b. ein NAS haben will muss ich doch für mich selbst entscheiden brauch/will ich ein's oder nicht?
Will ich einen Webserver (warum auch immer) Zuhause stehen haben.

Zweck's deinen "Bankdaten" z.b. die das Hausnetz verlassen. Wenn du sowas per E-Mail verschickst kann man dir nicht helfen. Aber Homebanking wird ja eh schon von der Bank aus verschlüsselt da kannst du nicht mal stark eingreifen.

Wenn's um Firmen gehen würde, dann Sie die Sache dann vielleicht kpl. anders aus. Denn hier muss meiner Meinung nach wirklich ein Spagat zwischen Komfort und Sicherheit gemacht werden. Denn was hilft's wenn alles absolut sicher ist aber man alles so sperrt das jeder User vom Arbeiten gehindert wird.
aqui
aqui 29.07.2012 aktualisiert um 10:37:40 Uhr
Goto Top
Die größten Sicherheitslücken sind wie immer das WLAN und ggf. LAN Ports wobei letztere ja noch in der eigenen Hoheit sind, nicht aber das WLAN, da man da ja Funkwellen bekanntermaßen nicht einsperren kann.
WPA2 mit einem statischen Key ist hier dann bei gesteigerten Anforderungen de facto nicht ausreichend sondern es sollten mindestens Zertifikate mit 802.1x zum Einsatz kommen.
Das gleiche gilt für VPN Verbindungen von Extern.
Genauso wie im LAN Bereich mit Zertifikats basierender .1x Port Security. Das verhindert dann wasserdicht unbefugten Zugriff. Verschlüsselung der lokalen Daten usw. ist dann so oder so Standard.
Das sind aber alles uralte und bekannte Binsenweisheiten die auch jeder IT Laie schon seit Jahren kennt...
Bei erhöhten Sicherheitsanforderungen gibt es keinerlei "Spagat" oder sowas sondern einen knallharte Sicherheitspolicy der sich jeder und jeder Anforderung zu unterwerfen hat ohne wenn und aber. Alles andere höhlt diese Vorgaben aus und der TO fragt ja ganz genau danach und nicht das jeder Couch Surfer zuhause macht (..oder auch nicht).
wiesi200
wiesi200 29.07.2012 um 10:57:16 Uhr
Goto Top
Das jeglicher Komfort die Sicherheit beeinträchtigt ist klar, aber er will doch eigentlich den Spagat und in wie Weit sich der Aufwand vor allem für Privatpersonen rechtfertigt ist dann auch noch ein Thema.
spacyfreak
spacyfreak 29.07.2012 aktualisiert um 11:26:23 Uhr
Goto Top
Im Privatbereich soll es prinzipiell billig und einfach sein.

  • Backup der Daten:
Alles was einem wichtig ist, auf eine 2te Platte regelmässig (von Hand oder automatisch) kopieren.
Am einfachste / geeignetsten scheint mir da eine USB Platte zu sein.
USB rein, kopieren, fertig. Braucht man die Daten auf einem anderen Rechner, USB Platte abstöpseln, an den andren Rechner dran- läuft. NAS etc geht natürlich auch, ist aber meines Erachtens in den meisten Fällen schon oversized, vor allem wenn das Teil ständig läuft und Strom frisst.
Praktikabel ist auch das Versenden von Daten z. B. zu seinem privaten e-mail Postfach im Internet bei web.de oder yahoo-mail, google mail usw.
Sich selber eine Mail schicken mit den Daten im Anhang (geeignet bei kleineren Datenmengen).
Ansonsten gilt - sehr sensible Daten stets daheim lassen und nicht google, dropbox oder dem gratis-mail-anbieter zuspielen, man weiss nie was das Gegenüber dann mit den DAten macht. Ich gehe davon aus dass alle Mail-Anbieter systematisch und automatisiert die Postfächer durchforsten und Profile ihrer Clienten erstellen. Besser Daten daheim auf 2tes Medium kopieren, ggfs. Verschlüsseln des Mediums. Man muss ja nicht ohne Not bei der Migration von Demokratie zu Überwachungsstaat mithelfen wenn man es auch einfach umgehen kann. Nur die Daten können (ggfs. gegen dich) verwendet werden, die du hochlädtst..


  • Cientsicherheit:
Antivirus-Software, Microsoft Security Essentials finde ich ausreichend.
Automatische Windows Updates aktivieren.
Acronis oder Drivesnapshot vom System machen vor/nach Installation neuer Software.
Kann man immer wieder auf einen "sauberen" Ausgangsstand binnen Sekunden springen ohne Neuinstallation.

  • Netzwerksicherheit:
Internet Router mit NAT / Firewall ist ja mittlerweile Standard.
WLAN WPA2 mit langem komplexen PSK reicht völlig aus daheim.
PSK "aof!sp"§FFAS564645SUOPpSSsd234ljAJF2z6!!"231364154FASDGUIfao"§!!sasd!" zu knacken dürfte schon paar Jährchen dauern..

Wenn man mag kann man auch mit MAC-Adress Filter den Zugang nochmal erschweren und auch die SSID Broadcast abschalten um das WLAN für gängige Endgeräte "unsichtbar" zu machen. Das ist jedoch eher als "kleine Schmankerl" zu werten, zusätzliche Hürden und nicht verlässliche Sicherheitsmaßnahmen.
Die Sicherheit kommt hauptsächlich vom komplexen langen PSK bei WPA2.
Wenn einem langweilig ist kann man das PSK jährlich ändern.
BOSSJoe
BOSSJoe 29.07.2012, aktualisiert am 31.07.2012 um 18:34:41 Uhr
Goto Top
Wiesi200 hat das schon richtig erkannt. Es geht hier genau um den Spagat zwischen Komfort und Sicherheit. Und natürlich muss das jeder letztendlich selbst entscheiden.

Wie spacyfreak schon richtig schreibt gehören manche Dinge einfach heute zur Grundausstattung und "sollten" somit Standart sein. Wobei bei einigen der Ausführungen hier schon wieder die soziale Komponente Mensch mitschwingt, welche ich absichtlich aussen vor lassen wollte. Wenn jemand seine vertraulichen (Bank)Daten über unsichere Wege wie Email oder gar eine Phising Website mitteilt hilft einem die ganze Technik nichts mehr.

@ wiesi200
Ich glaube auch bei Privatanwendern sollte man Abstufungen machen. Gerade weil Menschen in Ihrem Sicherheitsbedürfnis (also der subjektiven Wahrnehmung) sehr unterschiedlich sind. Zum Beispiel gibt es ja offensichtlich Menschen die einem über Facebook oder andere Soziale Netze mitteilen mussen das Sie gerade auf der Toilette waren. Andere wiederum scheuen sich überhaupt auf Facebook und Co. zu gehen.
Desweiteren sollte man auch bedenken das es auch Privatleute gibt, die eine größere Öffentliche Aufmerksamkeit geniessen. Entweder durch Ihren Beruf oder ähnliches. Diese Leute könnten sehr viel leichter zum Opfer diverser Lauschangriffe werden weil Sie ganz einfach viel mehr im Mittelpunkt stehen.
Deswegen hatte ich ja einen sozusagen Standart definiert, wie in spacyfreak ja auch nahezu bestätigt hat. Dieser ist sicher für einen großen Teil der Privatuser sinnvoll und ausreichend, was aber wenn ich eben ein etwas höheres Sicherheitsbedürfnis habe? Daher dann auch noch einmal die Unterteilung in "Erweitert" und "Höchste".

Noch einmal zum Verständnis. Mir geht es hier nicht darum das Non plus Ultra zu finden, sondern den idealen Kompromiss aus den beiden Bedürfnissen Sicherheit und Komfort. Ideal wäre es dann halt hier ein paar Abstufungen zu machen, weil wie schon gesagt, jeder da ganz individuelle Ansprüche hat. Auch geht es hier nicht um die Soziale Komponente sondern nur um rein technische Massnahmen.

Vielleicht ist ja auch der ein oder andere bereit sein Sicherheitskonzept hier zu erläutern. Sozusagen als Grundlage für die Diskussion hier. Zum Beispiel hier mal mein Netzwerkaufbau:
                WAN                     WAN
                 :                       :
                 : CableProvider         : DSL-Provider
                 :                       :
             .---+---.                .--+--.
         WAN | Cable |     Modems     | DSL | WAN2
             '---+---'                '--+--'
                 |                       |
        Ethernet |                       | PPPoE 
                 |                       |
                 |                       | 
                 |      .---------.      |  priv. DMZ  .------------.                       
                 +------| pfSense |------+-------------+ DMZ-Server |
                        '----+----'                    '------------'
                             |
                         LAN | 
                       .-----+-----.
                       |Squid Proxy|
                       '-----+-----'
                             |
                         LAN |
                             |
                       .-----+-----.
                       |HAVP AntiV.|
                       '-----+-----'
                             |
                         LAN | 
                             |
                       .-----+------.
                       |Squid Proxy |
                       '-----+------'
                             |
                         LAN |
                       .-----+-----.       LAN          .------------.
                       |  pfSense  |--------------------+   WLAN AP  |
                       '-----+-----'                    '------------'
                             |
                         LAN | 
                       .-----+------.
                       | LAN-Switch |
                       '-----+------'
Zur Erklärung. Ich nutze zur Ausfallsicherheit 2 WAN Zugänge und als Firewall pfSense. Das Squid, HAVP Sandwich nutze ich aus Gründen der Geschwindigkeit. WLAN wird als potenziell unsicher eingestuft und wird deshalb noch einmal vom Netz separiert. Man bekommt nur per VPN Zugriff. Alle Zugänge wie WLAN, VPN, etc sind über Zertifikate mit 802.1x geregelt.
Das ist momentan ein experimenteller Aufbau und funktioniert auch noch nicht richtig. Ich wollte damit nur austesten was privat alles möglich ist, wenn man auf höchste Sicherheit Wert legt. Außerdem wollte ich wissen wieviel Komfort ich hierdurch verlieren würde.
BTW. Die beiden WAN Anschlüsse benötige ich für meine Arbeit, welche ich von zuhause aus erledige. Daher war das auch ein Knackpunkt bei der Planung.

Ich würde mich freuen wenn der ein oder andere eine konstruktive Kritik abgeben würde. Mir ist bewusst das das für Privat absoluter Overkill ist, aber ich wollte ja ein Maximum erreichen. Also bitte in dieser Richtung keine Flames...

Vielen Dank

Joe

Edit: Ich sehe gerade meine schöne ASCII Grafik ist ein wenig verrutscht. Ich hoffe man kann trotzdem erkennen was gemeint ist... face-sad
aqui
aqui 30.07.2012 aktualisiert um 13:21:41 Uhr
Goto Top
...nicht wirklich, aber du kannst versuchen sie in "code" "/code" Parameter zu setzen, dann kann man es besser erkennen:
Formatierungen in den Beiträgen --> Quellcode
Ansonsten kannst du über die schöne Bilder Hochlad Funktion hier im Forum auch ein Viso o.ä Bild einbinden face-wink
Generell kann der kundige Netzwerker sich das Design aber schon zusammenreimen...
Ansonsten gibts da wenig auszusetzen. Für ein Privatnetzwerk hast du schon das Maximum herausgekitzelt.
wiesi200
wiesi200 30.07.2012 um 13:34:03 Uhr
Goto Top
Und ich braeuchte, alleine Örtlich bedingt eigentlich nicht mal einen W-Lan Schlüssel.
BOSSJoe
BOSSJoe 30.07.2012 um 18:52:29 Uhr
Goto Top
Vielen Dank für eure Kommentare.

@ aqui Ich hatte das gleiche Diagramm damals mal im pfSense Forum gepostet und einfach hierher kopiert. Werd aber glaub ich wirklich mal ein Bild mit Visio bzw. Dia erstellen.

@ wiesi200 Könntest du das bitte etwas näher erläutern? Klingt irgendwie so als hättest du eine Schwachstelle bei mir entdeckt.

Vielen Dank

Joe
wiesi200
wiesi200 30.07.2012 aktualisiert um 19:11:32 Uhr
Goto Top
Nö, war schon so gemeint wie geschrieben.
Bei mir zu Hause braucht man eigentlich nicht mal ein W-Lan Passwort.
Der nächste Nachbar 1km entfernt. Auf der einen Seite des Hauses ein Hügel und auf der anderen einige eigene Gebäude, damit's sogar mit Richtfunkantenen schwer würde alles schön einsehbar und einen großen Hund damit keiner unbemerkt in die Nähe kommt.

Bis auf auf den zweiten Squid und das die erste FW eine CISCO ASA ist sieht's eigentlich recht ähnlich aus.
Was mich auch auf die Idee bringt. Du setzt Firewall's vom gleichen Typ ein, wenn eine einen Sicherheitslücke in der Software hat dann die andere auch.
BOSSJoe
BOSSJoe 30.07.2012 um 21:06:16 Uhr
Goto Top
Ah ok, dann hatte ich etwas unterschweliges vermutet wo nichts war, bitte entschuldige.

Das mit der zweiten Firewall hatte ich mir auch schon überlegt, hättest du einen Tip für mich? IPCop, Monowall, Smoothwall,... Ich würde ja gerne Opensource bleiben. Einmal aus Kostengründen und dann denke ich werden hier eventuelle Lücken in der Software am schnellsten geschlossen.

Zwei Fragen noch. Welche Virenscanner nutzt du mit HAVP und hast du das alles auf Physikalische Maschienen laufen, oder auch zum Teil Virtuell?

Vielleicht hätte ja noch einer einen Tip was man hier noch weiter optimieren könnte. Beispielsweise bin ich mir gerade am überlegen wie ich es schaffe möglichst wenige Ports auf den Firewalls zu öffnen und trotzdem auf Webinterfaces wie zum Beispiel von Groupware oder VDR oder ähnlichem zugreifen zu können. Einer eine Idee?

Vielen Dank

Joe
wiesi200
wiesi200 30.07.2012 um 21:24:45 Uhr
Goto Top
Bei den Fierewall's kann ich dir jetzt keinen Tipp geben.

Als HAVP läuft bei mir was von Trendmicro. Hier am besten auch von nem andern Hersteller als die lokalen Scanner.

Externen Zugriff auf Webinterfaces könntest du wenn nicht ueber VPN mit einen Reverse Proxy absichern hier vielleicht auch mit einer Radius Anmeldung (nie getestet).

Bei mir laeuft sowas auf getrennten Rechnern. Es könnte ja auch wenn sowas glaub ich noch nie passiert ist jemand den Hypervisor kapern.
spacyfreak
spacyfreak 31.07.2012 um 07:29:53 Uhr
Goto Top
2te Firewall? Daheim? Wie wäre es mit der Aktivierung der Client-Firewall als "zweite" Firewall?
Kost nix. Ich halte das daheim ja für übertrieben, doch wenns euch glücklich macht...
Die Probleme holt man vor allem durch Surfen etc rein, und nicht weil Hacker deine Fritzbox Firewall überwinden.
BOSSJoe
BOSSJoe 31.07.2012 um 10:29:33 Uhr
Goto Top
Du hast sicherlich recht das das für Privatnutzer ein wenig übertrieben scheint, aber ich hatte ja geschrieben das ich das maximum ausreizen wollte.

Die zweite Firewall trennt noch einmal das "unsichere" WLAN Netz vom restlichen Netz, daher würde hier eine Clientsseitige Firewall nichts bewirken. Hiermit kann ich dann wesentlich präziser den Zugang zu meinem WLAN Netzsteuern als nur per WLAN Schlüssel oder Zertifikat.

Im übrigen kostet mich die zweite Firewall auch nichts. Virtualisiert auf einem sowieso vorhandenen Rechner, zusammen mit einem der genannten Open Source Produkte machte es nur ein bisschen Arbeitszeit zur konfuguration.

Ansonsten gebe ich dir vollkommen recht, das Problem sitzt meist vor dem Rechner. Aber immerhin kann ich durch die beiden Proxys bestimmte Inhalte filtern und auch der zwischengeschaltete Virenscanner tut einen guten Job. Sollte sich trotzdem etwas auf meinen Rechner verirren gibt es ja immer noch Linux mit seiner Viren gegenüber etwas resistenteren Struktur und wesentlich besseren Benutzerrechten. Zusätzlichen schutz würde hier noch einmal ein Virenscanner auf dem Client bedeuten. Am besten ein anderes Produkt als auf dem HAVP.

Joe