Internet-Sicherheit...ein kleiner Leitfaden

Mensch Meier

treuer Stammgast
Ich habe kürzlich einen Vortrag zum Thema "Selbstschutz im Internet" gehalten
und da Sicherheit im Netz ja oft ein ziemlich vernachlässigtes Thema ist und ich meine
Notizen noch auf Festplatte liegen hatte,
wollte ich euch das nicht vorenthalten (etwas lang, ich weiß, dafür aber auch informativ :)):

1. Sichere Browser-Konfiguration/Sicheres Surfen
-Man sollte Cookies ausschalten bzw. nur diejenigen, die man benötigt
zulassen (z.B. für Logins auf Boards)
-ActiveX sollte man ausschalten, da es einige gravierende Sicherheits-
lücken aufweist. Man braucht ActiveX eigentlich kaum, und wenn eine
Seite doch ActiveX voraussetzt kann man es ja einschalten (wobei ich
Seiten, die das voraussetzen meistens meide...)
-Für Extra-Paranoide: Java/Javascript aus. Javascript kann zwar nicht viel
Schaden anrichten, es kann aber verdammt nervig sein und kann einen Rechner
ziemlich effektiv Schachmatt setzen (denkt mal an 1000 Alertboxen mit
OK-Button, die den ganzen Bildschirm vollpflastern...)
Mit Java sieht es da schon anders aus...Ein findiger
Programmierer hat in Java einen http-Server implementiert, der die
gesamte lokale Festplatte (Dank Java-Sandbox nur schreibgeschützt) für
jeden zugänglich freigibt. Dieser Server kann durch einfaches Besuchen
einer Seite ausgeführt werden. Allerdings kann man sich durch eine
entsprechende Firewallrule schützen (Port 80 eingehend blocken)
-Anonyme Proxies benutzen, wobei ich Java Anon Proxy von der TU Dresden
empfehle. Multiproxy finde ich nicht so toll, da die Server in der Liste
nach Lust und Laune mitloggen könnten ohne dass man es mitkriegt,
während sich JAP verpflichtet, nicht mitzuloggen.
Zum Thema anonyme Proxies ist auch Supis Topic lesenswert:
-WebWasher, JunkBuster & Co. benutzen um sich vor Werbung,
Webtracking, Cookies, etc. zu schützen, wobei ich Junkbuster favorisiere
WebWasher ist zwar einfacher zu konfigurieren, aber bei manchen Seiten
tut WebWasher etwas zuviel des guten und zerwürfelt den HTML-Code völlig...
-Alternative Browser (Opera, Netscape, Mozilla) benutzen, da dadurch,
dass sie kein ActiveX beherrschen viele Sicherheitslücken wegfallen.
Außerdem freuen sich Anwender von alternativen Browsern (so wie ich ;))
, dass nicht alle Seiten immer völlig IE-optimiert sind ;)

2. E-Mail Sicherheit
-Nicht blauäugig jedes Attachment ausführen. Wenn man z.B. von einem
deutschen Freund eine Englische Mail bekommt, die einen auffordert ein
Attachment zu öffnen oder wenn ungefragt eine Mail mit Attachment kommt
sollte man mißtrauisch werden...
-Verschlüsselung benutzen, nicht PGP sondern GnuPG, da von PGP im
Gegensatz zu GnuPG nicht mehr der komplette Quellcode Verfügbar ist
=> mögliche Geheimdienst-Backdoors (z.B. NSA...)
-Man sollte vielleicht auch in Erwägung ziehen einen anderen
Mailclient als Outlook zu verwenden, z.B. TheBat!, da Outlook eine
sicherheitsmäßige Katastrophe ist...

3. Virenschutz
-Virenscanner installieren und aktuell halten
-Mißtrauen bei unbekannten/unverlangt zugesandten Dateien aller Art
-Dateinamenerweiterungen einblenden (Windows-Defaulteinstellung ist
ausblenden) Zum Erkennen von Loveletter und co. (z.B. bei .txt.vbs-Dateien
steht mit der Windows-Standardeinstellung nur .txt .vbs wird ausgeblendet)
-Multiuser-System (Win2k, WinNT, Unix-Systeme wie z.B. Linux) benutzen und für die
tägliche Anwendung (Surfen, Mail etc.) einen Useraccount mit
eingeschränkten Privilegien verwenden, so dass ein Virus nur in
einem begrenzten Umfeld Schaden anrichten kann.
-bei Verwendung von Filesharing-Systemen sollte man auch
etwas aufpassen, kürzlich hab ich den Rechner einer Bekannten gesäubert,
die sich über Morpheus Loveletter eingefangen hatte...

4. Firewalls etc.
-Personal Firewall (Atguard, Tiny Pers. FW, Outpost etc.)
installieren und konfigurieren. Man sollte Grundwissen über die
Konfiguration aneignen(Protokolle, welche Ports sollte man blocken etc.)
Eine alte Binsenweisheit sagt, dass Firewalls nur so gut sind wie
derjenige, der sie konfiguriert, man sollte sich also nicht auf die
Defaulteinstellungen von Firewalls verlassen...
In Sachen Ruleset kann man als grobe Richtlinie sagen, dass man alle Ports
unter 1024 generell blocken sollte, sofern man nicht auf einem dieser Ports
einen Server betreiben will. Auch die gängigen Trojanerports (findet man
auf http://www.trojaner-info.de ) sollte man selbstverständlich blocken.
Ich rate in Sachen Firewall übrigens von BlackICE ab, das suggeriert zwar
Sicherheit, ist aber IMHO relativ nutzlos...
-evtl. mit "vorgeschaltetem" Rechner arbeiten, der als Gateway
zwischen lokalem Netz und Internet fungiert. Man kann da sowohl Linux- als
auch Windows- basiert arbeiten. Bei der Linux-Variante empfiehlt sich für
Anfänger Floppy ISDN 4 Linux (http://www.fli4l.de ) oder Mandrake
Single Network Firewall (http://www.mandrake.com) Wenn man mit Windows
arbeiten will, empfiehlt es sich nicht Internet Connection Sharing zu
verwenden, sondern Drittsoftware wie z.B. Winroute
(http://www.tinysoftware.de )

5. Was sonst noch wichtig ist....
-Sensible Daten (Passwörter, Onlinebanking, Logins für Webspace)
nach Möglichkeit verschlüsselt übertragen (ssh statt telnet, sftp
statt ftp, SSL, https, etc.) Damit sichert man sich gegen jemand ab,
der irgendwo zwischen einem Server und einem selbst sitzt und mit
einem Netzwerksniffer den Datenverkehr mitschneidet)
-Persönliche Daten (z.B. Mails) mit Programmen wie Strongdisk,
Bestcrypt, Scramdisk, etc. verschlüsselt auf der Festplatte
ablegen. Ggf. auch EFS (Encrypted File System) verwenden, sofern
das vom Betriebssystem unterstützt wird. Siehe auch das Tutorial von
Eintracht (https://www.supernature-forum.de/showthread.php?s=&threadid=43)
-Man sollte regelmäßig mit netstat kontrollieren, ob irgendwelche Programme
auf eine Verbindung von außen warten (Wenn dann z.B. der UDP-Port 31337
offen ist, heisst das mit ziemlicher Sicherheit, dass man mit BackOrifice
infiziert ist und tunlichst die Internetverbindung kappen und den Trojaner entfernen sollte.
-Man sollte die Bindung der Datei- und Druckerfreigabe an die
Internet-Verbindung entfernen, damit nicht vom Internet auf etwaige
Netzwerkfreigaben für das lokale Netzwerk zugegriffen werden kann.
-Bei Serverbetrieb, sollte man dem Serverprogramm nur Zugriff auf die Dinge
gewähren, die es braucht (Diese Maßnahme verringert das Risiko, wenn jemand
irgendwelche Sicherheitslücken des Servers ausnutzt
-Passwörter sollten eine gewisse Komplexität aufweisen, d.h. der Name eines
Haustieres oder Freundes/Partners etc. oder gar der Username
sind schlechte Passwörter. Am besten ist ein Alphanumerisches Passwort mit
Sonderzeichen, wie z.B. "3%DjW#43=vlX$"
Das Passwort sollte mindestens eine Länge von 8 Zeichen haben. Wer sich
ein solches Passwort nicht merken kann, könnte sich z.B. mit folgender
Eselsbrücke behelfen: Man nimmt ein normales Wort wie z.B. "Flugzeug"
und ändert es ab, so dass man es sich zwar merken kann, es aber nicht
einfach so geknackt werden kann, das könnte dann z.B. so aussehen:
"*fL00gZ3Ug537$" einen kleinen Text zum Thema Passwörter gibt es übrigens
hier: http://www.snafu.de/content/snafunews/knowhow/b_153295_artikel.shtml

Soweit so gut...wenn man dieses Tutorial befolgt sollte man ziemlich sicher
unterwegs sein. Falls ich noch irgendwas vergessen haben sollte, oder so...
Verbesserungsvorschläge (konstruktive) Kritik etc. sind ausdrücklich erwünscht :)
 
Oben