Sicherheit eines Computersystems möglichst objektiv darstellen

Jimini

Jimini

PCGH-Community-Veteran(in)
Sicherheit eines Computersystems möglichst objektiv darstellen

Aloha,

vorab: sorry für das sperrige Topic, aber ich hatte keine Ahnung, wie ich mein Anliegen kurzfassen soll. Konkret geht es darum, die Sicherheit eines von mir betreuten Servers "nachzuweisen" - also Dritten darzulegen, dass das System angemessen sicher konfiguriert ist. "Ich kenne mich damit aus" reicht verständlicherweise den wenigsten als Begründung aus ;)

Der Grund hierfür ist, dass die Kiste eine Reihe persönlicher Daten beherbergt, welche natürlich entsprechend geschützt sein sollen.

Ich habe mir überlegt, das System nochmal anhand der BSI-Richtlinien zu prüfen. Fällt jemandem eine andere / bessere Möglichkeit ein?

Für Ideen und / oder Vorschläge wäre ich dankbar :)

MfG Jimini
 
AW: Sicherheit eines Computersystems möglichst objektiv darstellen

Antivirenprogramm_ohne verbesserte Firewall nutzlos gegen Hacker ;).png Ich kann dir nur einen guten Tipp geben, ein Antivirenprogramm ohne verbesserte Firewall ist gegen Hacker nutzlos. Programm sollte Pdf's und Email überprüfen. Ich konnte erst am Freitag wieder einen Hackerangriff live ansehen: Firmenlaptop mit Avira Free (Komplett versagt, war klar). G Data konnte das einfach abwehren siehe Bild ;).

Ps. ich konnte den Laptop per Selbsterstellter g data bootmedium wieder Hackerfrei machen (da ich g data total protection besitze) :).
 
Zuletzt bearbeitet:
AW: Sicherheit eines Computersystems möglichst objektiv darstellen

Naja einerseits ginge es per Richtlinien, anderseits ganz Pauschel anfangen:

-Virenschutz, Firewall (OS), Router mit Firewall?, Passwortkomplexität, Zugriffsberechtigungen, Benutzergruppen sind da nur einige Themen, die man dabei ansprechen sollte.
 
AW: Sicherheit eines Computersystems möglichst objektiv darstellen

Imperat0r schrieb:
Linux oder Windows Server?
Zum Vergrößern anklicken....
Linux (Debian)
rtxus schrieb:
Für jede Branche gibt's spezifische Richtlinien, daher wäre es sinnvoll zu wissen in welcher Branche du arbeitest bzw. welche Regulatorischen Richtlinien deinem Server entsprechen
Zum Vergrößern anklicken....
Ich bin an der Uni beschäftigt, auf dem System läuft ein E-Learning-Modul, auf welches Beschäftigte aus Unternehmen Zugriff haben sollen. Genauer lässt sich das gegenwärtig leider nicht beschreiben.
DOKTOR_IGNORANT schrieb:
Ich kann dir nur einen guten Tipp geben, ein Antivirenprogramm ohne verbesserte Firewall ist gegen Hacker nutzlos. Programm sollte Pdf's und Email überprüfen. Ich konnte erst am Freitag wieder einen Hackerangriff live ansehen: Firmenlaptop mit Avira Free (Komplett versagt, war klar). G Data konnte das einfach abwehren siehe Bild ;).

Ps. ich konnte den Laptop per Selbsterstellter g data bootmedium wieder Hackerfrei machen (da ich g data total protection besitze) :).
Zum Vergrößern anklicken....
Es geht hier um einen Server, welcher bei einem deutschen Hoster steht. Ein Virenscanner ist installiert, aber auch nur, um eingehende Mails zu scannen. Als Firewall habe ich ein iptables-Script laufen. Von Tools, wie du es im Screenshot zeigst, halte ich ansonsten nicht soooo viel, da die sich meistens nur wichtig machen. Die vermeintlichen "Hackerangriffe" sind in der Regel nur Portscans, welche man mittlerweile leider zum "Grundrauschen" zählen muss, wenn man sich im Internet befindet.
norse schrieb:
Naja einerseits ginge es per Richtlinien, anderseits ganz Pauschel anfangen:
-Virenschutz, Firewall (OS), Router mit Firewall?, Passwortkomplexität, Zugriffsberechtigungen, Benutzergruppen sind da nur einige Themen, die man dabei ansprechen sollte.
Zum Vergrößern anklicken....
Auf der Kiste läuft ein gepatchtes Debian. Ein Zugriff direkt aufs System ist nur via SSH möglich, dies kann aber nur von zwei IP-Adressen aus erfolgen. Zugriffsberechtigungen habe nur ich. Die Authentifizierung läuft über Public Keys, ein Login nur mittels Username & Passwort ist nicht möglich.
Von außen erreichbare Daemons sind neben dem SSHd (welcher nicht auf dem Standardport lauscht) Apache, Postfix, Bind und ein XMPP-Server.
Das System hängt in einem Zabbix-Setup, wodurch Downtimes etc. binnen Minuten auffallen. Die Logs werden auf einem Logserver gespeichert und laufend analysiert. Bei wichtigen Ereignissen (fehlgeschlagene Logins etc., wobei das kaum möglich sein sollte) werde ich sofort informiert. Fällt eine IP-Adresse durch zu viele fehlgeschlagene Logins (sei es via SSH oder HTTP oder SMTP etc.) auf, wird sie für einen Tag gesperrt.
Wichtige Datenbanken werden glaube ich alle zehn Minuten gesichert auf meinem Homeserver gesichert - ich bin nicht ganz sicher, es könnte auch viertelstündlich sein.

Grundsätzlich halte ich das System für ziemlich gut abgesichert, aber für einen Betriebsrat sind leider eher Sachen wie "der Server steht im Unirechenzentrum" o.ä. als tolles Argument zu werten. Da ich mich mit der Materie zwar gut auskenne, aber auf dem Papier keine Kompetenzen in puncto Serveradministration nachweisen kann, suche ich momentan halt nach Möglichkeiten, die Sicherheit dieses Systems "belegen" zu können.

Ich habe gerade mal die offenen Ports gescannt: 22 (nur von 2 IP-Adressen aus erreichbar), 25, 80, 443, 465, 993, 5222, 5269, 5280.

MfG Jimini
 
Zuletzt bearbeitet:
AW: Sicherheit eines Computersystems möglichst objektiv darstellen

Das ist zwar eine andere Branche, aber schau Dir das mal an https://de.wikipedia.org/wiki/Payment_Card_Industry_Data_Security_Standard

Du solltest da noch Argumente rausziehen können. Ich habe mal bei einem der größten europäischen Kreditkartendienstleister gearbeitet, die PCI-Anforderungen gehen über verschiedene Ebenen von physischer Absicherung, Absicherung der Anbindung, Absicherung des Zugangs usw.
 
AW: Sicherheit eines Computersystems möglichst objektiv darstellen

rabe08 schrieb:
Das ist zwar eine andere Branche, aber schau Dir das mal an https://de.wikipedia.org/wiki/Payment_Card_Industry_Data_Security_Standard
Du solltest da noch Argumente rausziehen können. Ich habe mal bei einem der größten europäischen Kreditkartendienstleister gearbeitet, die PCI-Anforderungen gehen über verschiedene Ebenen von physischer Absicherung, Absicherung der Anbindung, Absicherung des Zugangs usw.
Zum Vergrößern anklicken....
Ich denke, das hilft mir schonmal weiter, danke dir! Wahrscheinlich werde ich es dann so machen, dass ich das System mal nach ein paar Standards / Richtlinien durchteste und das dann ordentlich dokumentiere. Hinsichtlich der physischen Absicherung kann ich selber natürlich nichts machen, aber ich frage mal bei Host Europe nach.

MfG Jimini
 
AW: Sicherheit eines Computersystems möglichst objektiv darstellen

Jimini schrieb:
Ich denke, das hilft mir schonmal weiter, danke dir! Wahrscheinlich werde ich es dann so machen, dass ich das System mal nach ein paar Standards / Richtlinien durchteste und das dann ordentlich dokumentiere. Hinsichtlich der physischen Absicherung kann ich selber natürlich nichts machen, aber ich frage mal bei Host Europe nach.

MfG Jimini
Zum Vergrößern anklicken....
Also laut eigenen Angaben ist Host Europe ISO/IEC 27001 zertifiziert, hier kannst du sicherlich auch ein paar Textpassagen "entleihen"
 
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

ric84
[Lesertest] LG UltraGear GP9 - Wie schlägt sich der neue Gaming Lautsprecher?
Antworten
0
Aufrufe
2K
ric84
ric84
Falcony6886
[Review] be quiet! Pure Base 500DX im PCGH-X Test
Antworten
5
Aufrufe
12K
GamingX
GamingX
M
Mehr Frames für FPS -lohnt sich ein Aufrüsten von diesem System noch?
Antworten
6
Aufrufe
850
TrueRomance
TrueRomance
Sinusspass
  • Angepinnt
Guide Das Wakü-Megatutorial
2
Antworten
27
Aufrufe
12K
steamrick
S
Falcony6886
[Review] be quiet! Silent Loop 2 - 360mm AiO-Wasserkühlung im PCGH-X Test
Antworten
9
Aufrufe
21K
RaptorTP
RaptorTP
Oben Unten
Zurück