 |
SicherheitAllgemeinesJeder, der seinen Rechner an dasInternet anschließt, sich eine Internet-Adresse sowie dieTCP/IP-Software besorgt und installiert, muß sich darüberim klaren sein, daß er damit seinen Rechner potentiell miteinigen Millionen anderer Rechner in Verbindung bringt. So wie manselbst alle möglichen fremden Rechner erreichen kann, istman auch für jedermann kontaktierbar. Mit zunehmender Vernetzungwächst aber auch der Bedarf am Schutz der Privatsphäre.Während für die Briefpost und für die Telekom einPostgeheimnis gilt, gibt es bei Mailboxen und Weitverkehrsnetzennichts Vergleichbares. Bei einer Ansammlung von weltweit miteinandervernetzten Computern ist ein Briefgeheimnis auch nicht möglich.Nachrichten, die Sie beispielsweise über das Internetverschicken, laufen über viele Rechner (meist sind es aber nurRouter). Theoretisch ist es an jeder Stelle im Netz möglich,Ihre Daten abzuhören und zu speichern. Zudem könnte jemandDokumente unter Ihrem Namen übers Netz verschicken oderabgefangene Dokumente verfälschen (letzteres gab es natürlichseit der Antike auch schon beim Versand von Papierdokumenten undin neuerer Zeit bei Fernschreiben oder Telefax). Das Internet istoffen und um den Individualismus auf dem Netz so wenig wiemöglich einzuschränken, müssenSicherheitsvorkehrungen an den Endgeräten vorgenommenwerden.Für Nutzer von Unix- oder
Windows-NT-Maschinen, bei denen in der Regel Server-Prozesse
automatisch im Hintergrund laufen, heißt dies, daß
sie ihre Maschinen gegen unberechtigten Gebrauch zu schützen
haben. Sicherheitsempfindliche Netze können durch
sogenannte Firewall-Systeme nach außen geschützt werden.
Ein Firewall ist ein Rechner mit zwei Netzwerk-Schnittstellen. Auf
der einen Seite wird die Verbindung zur großen, weiten Welt
hergestellt, auf der anderen Seite werden die internen Rechner
angeschlossen. Von außerhalb ist nur der Firewall-Rechner zu
sehen; die interne Netzstruktur bleibt verborgen. Weiterer Vorteil:
Es gibt nur eine einzige Schnittstellen nach außen, die sich
gut überwachen läßt. Weiterhin werden alle
Datenpakete zwischen den beiden Netzwerk-Schnittstellen vom Firewall
weitergereicht. Man kann nun beispielsweise bestimmte Daten sperren.
Es gibt dabei grundsätzlich zwei Strategien. Die erste
Strategie verbietet gezielt bestimmte Dienste, z. B. Telnet-Logins,
erlaubt aber alles andere - ein relativ offener Ansatz. Bei der
zweiten Strategie wird alles verboten, was nicht explizit erlaubt
ist.
Für bestimmte Dienste wurden oder
werden Sicherheitsmaßnahmen getroffen. So wird auf Unix-Servern
für WWW oder FTP für den Abfragenden das Datenverzeichnis
zum Wurzelverzeichnis. Auf diese Weise ist auch bei
Sicherheitsmängeln im Serverprogramm niemals ein Zugriff auf
Dateien außerhalb des reservierten Plattenbereichs möglich.
Diese Methode kann man auch für den Betrieb einer Mailbox oder
einen Gast-Login ohne Paßwort verwenden.
|
|
|
DIENSTE
