?
 
Sie befinden sich hier: start » tightgate-pro » einfuehrung

Handbücher

TightGate-Firewall

TightGate-Pro

TightGate-Pro Benutzer

TightGate-Mailserver

TightGate-Webserver

TightGate-Printserver

FAQ

PseudoDat

back_to_menu.jpg

Einführung und Netzwerkplanung

Herzlichen Glückwunsch zum Einsatz des innovativen IT-Sicherheitssystems TightGate™-Pro, mit dem Sie in Zukunft Hackern, Crackern, Maleware und Viren den Zugriff auf Ihr Netz nahezu unmöglich machen.

Im Folgenden geben wir einen kurzen Überblick über die Einsatzmöglichkeiten von TightGate™-Pro sowie einen Überblick über das TightGate™ Administrationskonzept.

Netzwerkplanung

TightGate™-Pro lässt sich als beigestellter “Arbeitsplatz-Proxy” im DMZ-Bereich einsetzen. Arbeitsplatz-PCs aus dem internen Netz können die sicheren Dienste des Servers nutzen.

Hierfür ist sicher zu stellen, dass direkte Verbindungsaufbauten zum Internet (Ports 80, 443) nicht mehr direkt vom Arbeitsplatz-PC möglich sind. Dies kann durch einen Paketfilter oder eine Firewall gewährleistet werden. Die Verbindung zum Internet erfolgt nur noch über TightGate™-Pro.

Davon unberührt bleiben direkte Verbindung zu vertrauenswürdigen Gegenstellen (Online-Banking, VPN etc.), da über diese Verbindungen keine Angriffe auf das interne Netz vermutet werden.

Das Administrationskonzept von TightGate™-Pro

TightGate™-Pro hat speziell vordefinierte Benutzerrollen, die den herkömmlichen Administrator (root) ersetzen. Die großen Vorteile dieses dezentralen Administrationskonzeptes ist einerseits der Schutz des Administrationsaccount vor einer funktional unangemessen Allmacht1). Anderseits wird durch die funktionale Aufteilung der einzelnen Administrationsaufgaben eine Delegation der Aufgaben möglich. Zu den speziellen Rechten der einzelnen Administrationsrollen vergleichen Sie bitte den Anhang. Grundsätzlich lässt sich eine Unterteilung der Administrationsrollen in folgende Bereiche vornehmen:

1.Der Netzwerk-Bereich Für die System- und Sicherheitsadministration von TightGate™-Pro wurden die Rollen config und security geschaffen. Sie sind zuständig für die Netzwerkeinstellungen und das Ändern der RSBAC-Zugriffsrechte. Keinen Zugriff hingegen haben diese Administrationsrollen auf Benutzerverzeichnisse und Benutzereinstellungen. Damit ist ein Outsourcing der Wartungsaufgaben für das Netzwerk datenschutzrechtlich unbedenklich.

2.Der personenbezogene Bereich Für diesen Administrationsbereich ist die Rolle maint vorgesehen. Diesem Administrationsaccount obliegt es, die Benutzerverwaltung des TightGate™-Pro zu pflegen. Es können Benutzer angelegt, Zugangsberechtigungen und -einschränkungen vorgenommen und Passwörter geändert werden. Dieser Administrator hat ebenfalls die Möglichkeit einzelnen Dienste neu zu starten. Jedoch hat die Rolle keine Möglichkeit einer inhaltlichen Kontrolle von Benutzerverzeichnissen und -daten.

3.Der Wartungs-Bereich Für Wartungsaufgaben von TightGate™-Pro wurden die Rollen backuser und update vorgesehen. Sie haben nur einen sehr begrenzten Funktionsumfang und speziell definierte Rechte. Dabei ist der backuser ausschließlich für das Erstellen und Rücksichern von Backups und die dafür notwendigen Einstellungen verantwortlich. Gleiches gilt für die Rolle update bei der Pflege des Systems. Beide Rollen haben weder Zugriff auf die Netzwerkeinstellung noch dürfen sie Benutzerverzeichnisse einsehen.

4.Der Sicherheits-Bereich Die zentrale Sicherheit von TightGate™-Pro wird über den Zugriffsrechteschutz RSBAC gewährleistet. Die RSBAC-Konfiguration ist bei Auslieferung komplett konfiguriert und darf nicht von Benutzern verändert werden. Zur Bearbeitung der RSBAC-Sicherheitseinstellungen gibt es die Rollen security und root.

back_to_menu.jpg

1) Die herkömmliche Konzentration aller Administrationsaufgaben und Systemrechte in einem zentralen Account macht diesen besonders gefährlich; gelingt es Hackern an dieser Stelle einzudringen, haben sie Zugriff auf das gesamte System.
 
tightgate-pro/einfuehrung.txt · Zuletzt geändert: 2010/01/14 14:52 von ronny.nikielewski
 
m-privacy GmbH. Alle Rechte vorbehalten. Datenschutzerklärung | Impressum | Sitemap