MAGAZIN

Weitere Magazine

Empfehlungen

Info

Technik & Integration Sicherheitsrisiken ausschalten Die Top Ten der Sicherheit Ein Hacker muss über keine besonderen Techniken verfügen, um in ein System einzudringen – er muss nur die vorhandenen Schwachstellen ausnutzen. Systemadministratoren der iSeries und AS/400 sollten sich mit solchen Gefahren auseinander setzen. Wenn es ihnen gelingt, die häufigsten Sicherheitsrisiken zu eliminieren, sind Einbrüche ins System kaum mehr möglich. Im Folgenden sind Empfehlungen zusammengestellt, wie sich die Systeme effizient gegen Angreifer schützen lassen. 1. Security Policy definieren Viele Unternehmen verfügen über keine eigene Security Policy, keine klar definierte Sicherheitsstrategie. Wie für den Bau eines Gebäudes immer ein Plan notwendig ist, bedarf es zur Sicherung der Computersysteme einer sinnvollen Strategie, die den menschlichen Faktor genügend berücksichtigt. Mitarbeiter müssen für Sicherheitsfragen sensibilisiert werden: Wenn sie beispielsweise fahrlässig mit ihrem Passwort oder anderen wichtigen Informationen umgehen, haben es Hacker leicht. Die Entwicklung einer Security Policy ist ein langwieriger, komplexer Prozess. Weil es aufwändig ist, die Policy ständig zu aktualisieren und im Unternehmen bekannt zu machen, wird diese Aufgabe häufig vernachlässigt. Hier schaffen Softwarelösungen Abhilfe, die auf vorhandenes Wissen und Erfahrungen zurückgreifen, beispielsweise das VigilEnt Policy Center (VPC) von PentaSafe, das solche Policies automatisch erstellt und verwaltet. Es befähigt den Security Officer, innerhalb von 15 Minuten einen individuell auf das Unternehmen abgestimmten Policy-Entwurf zu entwickeln. Zahlreiche Funktionen gewährleisten, dass die Policy im Unternehmen beachtet wird. 2. Durch PCs verursachte Sicherheitslücken schließen Immer mehr Fixed-Function-Desktops werden durch PCs ersetzt. Da der PC- Benutzer in viel höherem Maß mit dem System interagieren kann, entstehen neue Sicherheitslücken. So können sich erfahrene User beispielsweise Zugang zur Kommandozeile und zu sensiblen iSeriesund AS/400-Dateien verschaffen. Spezielle Exit-Programme überwachen alle Informationen, die auf die iSeries und AS/400 übertragen und von ihnen exportiert werden. Da es jedoch schwierig ist, solche Programme zu schreiben, empfiehlt es sich, ein „Remote Request Management“-Programm zu installieren. Die Systemadministratoren können damit festlegen, welche User-Abfragen zu akzeptieren und welche abzulehnen sind. Jederzeit besteht die Möglichkeit, die Kriterien zu ändern. 3. Hacker-resistente Passwörter Wenn ein neues Benutzerprofil angelegt wird, ist das Passwort automatisch identisch mit dem Benutzerprofil. Häufig bleibt dieses Passwort zunächst gültig, in manchen Fällen sogar über die Frist von 60 oder 90 Tagen hinaus. Leichter kann Hackern das Eindringen in die iSeries und AS/400 nicht gemacht werden. Oft sind Passwörter leicht zu knacken. Deshalb ist es wichtig, dass Unternehmen Kriterien für Passwörter erstellen: 28 www.midrangemagazin.de Januar 2002 Sie sollten beispielsweise aus sechs oder mehr Zeichen bestehen, mindestens eine Zahl enthalten und spätestens alle 60 Tage verfallen. Mit Hilfe automatischer Security Audits können Unternehmen die Passwörter ihrer Mitarbeiter nach den aufgestellten Kriterien überprüfen und sie auffordern, einen neuen Code zu wählen. So wird verhindert, dass Hacker aufgrund von „schwachen“ Passwörtern in das System eindringen können. 4. Zugangsrechte und -beschränkungen für die Kommandozeile Der Großteil der Benutzer braucht keinen Zugang zur Kommandozeile. Deshalb ist es wichtig, Beschränkungen zu definieren und exakt festzulegen, wer über besondere Rechte verfügen soll. In Security Audits werden Reports erstellt, die alle User mit Zugang zur Kommandozeile auflisten. Diese Rechte lassen sich zeitlich eingrenzen. Durch die Reports behält der Security Officer stets den Überblick und kann bei Veränderungen angemessen reagieren. 5. Zugangsbeschränkungen für den Operations Navigator Der Operations Navigator ist die von IBM bereitgestellte Benutzeroberfläche für OS/400-Funktionen. Wenn der Benutzer Zugang zum Operations Navigator bekommt, wird er in die Lage versetzt, sensible Produktionsdaten weiterzugeben oder zu löschen. Häufig wird der Operations Navigator nicht ausreichend geschützt. Ein erfahrener User kann sich Zugang verschaffen, zumal sich die integrierten Kontrollen des OS/400 leicht umgehen lassen. Mit dem Applications Administration Control von IBM verfügt der Security Officer über ein Werkzeug, um Optionen für
alle User generell freizugeben oder zu beschränken. Viel differenzierter agieren jedoch Exit-Programme: Sie regeln abgestufte Zugangsrechte und Übertragungsmöglichkeiten für einzelne Dateien. Durch ein modernes Sicherheitssystem lassen sich solche Exit-Programme kontrollieren. 6. Den Sicherheitslevel auf 40 erhöhen Der Systemwert QSECURITY sollte mindestens 40 betragen. Auf tieferen Sicherheitslevels besteht die Gefahr, dass wertvolle User-Profile bekannt werden. Mit Hilfe von Security Audits kann das verhindert werden. Zunächst ist jedoch zu prüfen, ob es Anwendungen gibt, die auf einem Sicherheitslevel von 40 versagen würden. Auch solche Anwendungen lassen sich durch Audits identifizieren. 7. Inaktive Accounts beseitigen Wenn ein Mitarbeiter das Unternehmen verlässt, sollte sein Systemzugang gelöscht werden. Wenn das nicht geschieht, kann der „Ehemalige“ ungehindert in das System eindringen und dort großen Schaden anrichten. Auch Hacker können solche Profile für ihre Zwecke nutzen. Durch Security Audits können alle Accounts aufgespürt werden, die seit einem beliebig bestimmbaren Zeitraum nicht aktiv waren. Die betreffenden Benutzerprofile können automatisch deaktiviert oder gelöscht werden. Anzeige Midrange <strong>MAGAZIN</strong> Januar 2002 8. Umgang mit sensiblen Daten kontrollieren In den iSeries- und AS/400-Umgebungen stehen zwar standardmäßig Tools zur Verfügung, die den Zugang zu unternehmenskritischen Daten beschränken, doch in den meisten Fällen reichen diese nicht aus. OS/400 lässt den Usern die Möglichkeit, unbemerkt auf solche Daten zuzugreifen und Änderungen vorzunehmen, ohne Spuren zu hinterlassen. Durch Security Audits lassen sich dagegen alle Aktivitäten, die ein einzelnes Objekt, eine Gruppe von Objekten oder ein ganzes Verzeichnis betreffen, bis auf die unterste Ebene nachverfolgen. 9. Object Ownerships regeln Zu den schwierigeren Aufgaben des Security Officers gehört der Umgang mit Object Ownerships und mit Zugangsberechtigungen zu diesen Objekten. Oft sind die Programmierer, die eine Anwendung entwickelt haben, auch die Owner. Wenn deren Benutzerprofile gelöscht werden, funktionieren die entsprechenden Anwendungen nicht mehr richtig. Deshalb sollten einzelne Benutzer nie Object Owner sein; stattdessen empfiehlt es sich, eigene Benutzerprofile für Object Ownerships zu erstellen. Da die manuelle Eingabe einer größeren Zahl von Objekten sehr aufwändig ist, bietet es sich an, ein automatisches „Object Authority Management“ zu ver- Technik & Integration wenden. Dazu definiert der Security Officer Templates für Object Ownerships oder Zugangsberechtigungen. Das Programm vergleicht diese Vorgaben automatisch mit den tatsächlichen Gegebenheiten und erstellt einen Report über die Ausnahmen, die dann je nach Bedarf modifiziert werden können. 10. Systeme miteinander synchronisieren Weil sich Logical Partitioning (LPAR) immer mehr durchsetzt, müssen Security Officer häufig mehrere iSeries- und AS/400-Systeme betreuen. Das ist sehr zeitintensiv, zumal das Betriebssystem keine Methode zur Verwaltung von Mehrfachsystemen anbietet. Damit mehrere Systeme aufeinander abgestimmt bleiben, empfiehlt es sich, ein Programm einzusetzen, das die Verwaltung von Profilen und Passwörtern synchronisiert. Kommt es in einem System zur Veränderung von Profilen, so werden sie sofort auf die anderen Systeme übertragen. Die Funktionen können individuell auf die jeweiligen Umgebungen abgestimmt werden. Wayne O. Evans PentaSafe Security Technologies GmbH D-63263 Neu-Isenburg � (+49) 06102/247600 � www.pentasafe.com 29
Seite 1 und 2: JANUAR 2002 AUSGABE 132 3 10,70 ATS
Seite 3 und 4: Lotus Domino, Einsatzmöglichkeiten
Seite 5 und 6: Domino. Hinzu kommt die preisgekrö
Seite 7 und 8: Titelthema Der Info-Welle folgt die
Seite 9 und 10: Titelthema Wissensmanagement als Ba
Seite 11 und 12: Titelthema Web Services automatisie
Seite 13 und 14: Aktuelles Die Frage: Orbit/Comdex u
Seite 15 und 16: Aktuelles Konsolidierungsprozess an
Seite 17 und 18: Märkte & Macher Laut einer Studie
Seite 19 und 20: Märkte & Macher Software & Systeme
Seite 21 und 22: Technik & Integration also zumindes
Seite 23: Technik & Integration Überwachungs
Seite 27 und 28: Software fürs Web Managementwerkze
Seite 29 und 30: Strategie von Lotus Bei der Nutzung
Seite 31 und 32: Die sollen möglichst schnell und u
Seite 33 und 34: Produkte (Hardware) Produktname (An
Seite 35 und 36: Marktübersicht Nicht nur zur Weihn
Seite 37 und 38: Holzindustrie bestand die Notwendig

MAGAZIN

Erfolgreiche ePaper selbst erstellen

Template löschen?

Als Template speichern?