Symantec Deutschland
Symantec weltweit
Produkte & Services
Bezugsquellen
Unterstützung
Händlerzentrum
Security Response
Downloads
Über Symantec
Suche
Kontakt


© 1995-2008 Symantec Corporation.
All rights reserved.
Rechtliche Hinweise
Aktualisierte Datenschutzrichtlinien
Impressum
zurückDefaultSmall Business - Banner Artikel des Monats
 


Sicherheit in Umgebungen mit mehreren Betriebssystemen

Nicht selten werden mehrere unterschiedliche Betriebssysteme im selben Netzwerk ausgeführt: MacOS, Windows und Linux nutzen dieselbe IT-Infrastruktur und können von denselben Sicherheitsproblemen betroffen sein! Im Folgenden geben wir einige Richtlinien, die IT-Managern das Leben leichter machen können.

Es ist selbst bei kleinsten Unternehmen nicht ungewöhnlich, dass mehrere verschiedene Betriebssysteme nebeneinander betrieben werden. Office-Software läuft in der Regel unter Windows, während MacOS meist für Grafikdesign und DTP verwendet wird, wobei auf Servern häufig ein Unix-basiertes Betriebssystem wie Linux, FreeBSD, MacOS X etc. läuft. Leider stellt jedes dieser höchst verschiedenen Systeme besondere Anforderungen in punkto Sicherheit. Jedes neue Betriebssystem bedeutet eine neue Aufgabe für den IT-Manager. Er muss andere Sicherheitsrichtlinien entwickeln und den Schwerpunkt mehr auf das Netzwerk (IP) statt auf die einzelnen Arbeitsstationen legen. Denn das Netzwerk ist der Ort, an dem die verschiedenen Systeme agieren und interagieren, und in den meisten Fällen bietet es den Kanal, über den Unbefugte oder bösartiger Code in die Systeme eindringen können.

Bevor wir uns jedoch den technischen Lösungen widmen, müssen wir zunächst einen Blick auf den allgemeinen Aufbau der IT-Organisation eines Unternehmens werfen. Die Architektur des Netzwerks muss so geändert werden, dass der direkte Computer-zu-Computer-Zugriff nicht mehr möglich ist (unabhängig davon, ob der Zugriff über das Internet oder über andere Netzwerkbereiche erfolgt), und es müssen eindeutige Zugangspunkte eingerichtet werden, die leichter zu kontrollieren sind. Es dürfte nur einen einzigen Zugangspunkt zum Internet geben, unabhängig davon, welcher Computer Zugang anfordert. Darüber hinaus sollte das Netzwerk nach funktionalen Anforderungen (Office-Software, Entwicklung, Grafikdesign etc.) aufgeteilt werden und nicht nach Betriebssystemen. Der Grund hierfür ist, dass für jede Funktion unterschiedliche Berechtigungen und Einschränkungen erforderlich sind. Es ist daher einfacher, den einzelnen Segmenten des Netzwerks eigene Sicherheitsrichtlinien zuzuteilen, als verschiedenen Betriebssystemen.

Darüber hinaus verlangsamt die Implementierung von nach Funktionen getrennten Bereichen die Verbreitung von Virusinfektionen. Wenn beispielsweise die Windows-PCs, die zur Office-Infrastruktur gehören, von einem Wurm infiziert werden (der über eine Sicherheitslücke in das System gelangt ist), können sie nicht die PCs der Entwickler oder Geschäftsführer infizieren, wenn sich diese in einem anderen Netzwerksegment befinden, zu dem es keinen direkten Zugriff vom Office-Segment aus gibt. Die Funktionen, die von allen Segmenten und allen Betriebssystemen gemeinsam genutzt werden (E-Mail, Intranet, Datei-Server etc.), können als DMZ (Demilitarised Zone, Entmilitarisierte Zone) konfiguriert werden.

Sobald diese Architektur eingerichtet ist, muss der Sicherheits-Manager ein Produkt auswählen, das die Filteranforderungen des Unternehmens erfüllt. Ergänzend zu den Firewalls und anderen Filter-Routern, die sich in jedem Netzwerkknoten befinden, um die Netzwerksegmente voneinander zu isolieren, sollte ein Virenschutz-Gateway am einzigen Internet-Zugangspunkt installiert werden. Das Virenschutzprogramm sollte in der Lage sein, nicht nur gängige Windows-Viren zu finden, sondern auch Viren, die andere Plattformen wie Linux/Unix und MacOS befallen können. Auch plattformübergreifenden bösartigen Java-Code sollte das Programm erkennen. Dieselben Maßnahmen müssen zudem zum Schutz des E-Mail-Systems getroffen werden. Diese beiden Schutzeinrichtungen sollten unabhängig vom Betriebssystem auch den Inhalt kontrollieren, der an die Systeme gesendet wird (keine ausführbaren Dateien an das Office-Segment, keine Einschränkungen bei der Dateigröße für die Grafikdesign-Abteilung etc.).

Sobald diese Lösungen implementiert sind, müssen zum Schutz der Umgebung mit mehreren Betriebssystemen nur noch die einzelnen Arbeitsstationen geschützt werden. Die logische Zugriffskontrolle kann separat, durch Verwendung einer plattformübergreifenden Single Sign-on-Lösung (SSO) oder durch eine Zugriffsinfrastruktur in den Hauptsegmenten des Netzwerks verwaltet werden.

Jérôme Saiz - Indexel

zurück zum Seitenanfang

 nach oben