Beiträge

PDF/A – sichere Langzeitarchivierung digitaler Dokumente

,
Die digitale Archivierung ist weiter auf dem Vormarsch

Wie bei einem Schreiner die Säge nicht wegzudenken ist, so darf auf keinem Computer die Adobe-Software zur Erstellung von PDF-Dateien fehlen. Ein digitaler Dokumentenaustausch ist heutzutage ohne PDF nicht mehr denkbar. PDF-Dateien sind zum weltweiten Standard geworden. Doch was hat es mit dem PDF/A Format auf sich?

Das im Jahr 1993 von Adobe entwickelte Dateiformat wird mittlerweile von verschiedenen Spezialformaten ergänzt und deckt damit die Anforderungen von unterschiedlichen Branchen an digitales Arbeiten, Abspeichern und Archivieren ab. PDF/A ist eines dieser Spezialformate und dient der Langzeitarchivierung von denjenigen Dokumenten, die originalgetreu und unveränderbar gesichert werden sollen.

Umstieg von der analogen Welt in die digitale Welt mit PDF/A

PDF/A Formate eignen sich zur Langzeitarchivierung

Analoge Achive gibt es immer weniger

Weltweit machen seit Jahren Unternehmen und Behörden den Schritt weg von Papierakten und hin zum sogenannten „papierlosen Büro“. In diesem arbeiten die Mitarbeiter nur noch mit digitalen Akten bzw. wandeln Papierdokumente in digitale Dokumente um. Analoge Schriftstücke werden (aufgrund der großen Mengen an Papier häufig von externen Firmen) eingescannt und in einem Dokumenten-Management-System (DMSrevisionssicher abgelegt. Wichtig hierbei ist, dass das Unternehmen dabei die rechtlichen Rahmenbedingungen aus dem Handelsrecht und die jeweiligen Datenschutzrichtliniendes Landes einhält. Ein nicht zu unterschätzendes Unterfangen, wenn man bedenkt, dass digitale Dokumente manipuliert werden könnten und somit – im Gegensatz zu Papierdokumenten – nicht mehr revisionssicher wären.

Anforderungen an die digitale Arbeitswelt

Vor diesem Hintergrund entstand die Anforderung, digitale Dokumente so zu archivieren, dass der Inhalt auch nach langer Zeit noch in derselben Qualität und ohne Abweichungen vom Original dargestellt werden kann. Auch sollte das Dateiformat so gestaltet sein, dass eine Manipulation des Dateiinhaltes nicht mehr möglich war.
Im Jahr 2005 hat daraufhin Adobe das PDF-Format um die Norm PDF/A ergänzt (das „A“ steht für Archivierung) und die ISO-Zertifizierung für das digitale Langzeitarchivieren erhalten.
Doch was ist der Unterschied zum allseits bekannten „normalen“ PDF-Format?

Der Unterschied zwischen PDF und PDF/A

Eine PDF-Datei (PDF steht für „Portable Document Format“) kennt fast jeder, der mit Computern zu tun hat. Sie scannen ein Papierdokument ein und erhalten eine PDF-Datei, oder Sie wandeln eine bereits vorhandene digitale Datei mittels eines Programmes in ein PDF um. Was hat es aber nun mit einer PDF/A-Datei auf sich?
Eine PDF/A-Datei ist eine reduzierte Version einer PDF-Datei. Alle Funktionen, die nichts mit einer Archivierung zu tun haben, wurden gestrichen. Dabei gehen keine Daten verloren, nur das Format ändert sich.

ISO-Standard für Langzeitarchivierung

Den rechtlichen Vorgaben muss entsprochen werden

Eine Langzeitarchivierung von digitalen Schriftstücken stellt bei Unternehmen oder Behörden aus handelsrechtlichen Gründen bestimmte Anforderungen an die Aufbewahrung. Es ist problemlos möglich, eine PDF-Datei mit einem PDF-Writer zu verändern. Vertrags- oder steuerrelevanten Schriftstücke, wie zum Beispiel Rechnungen oder Handelsbriefe, müssen aber mehrere Jahre lang in der Originalabbildung vorhanden bleiben. Adobe hat aus diesem Grund das Format PDF/A für eine rechtlich einwandfreie Langzeitarchivierung entwickelt und im Jahr 2005 die erste Version auf den Markt gebracht (PDF/A-1). Es folgten die Versionen A-2 (2011) und A-3 (2012). PDF/A ist seit 2005 der ISO-Standard für die Langzeitarchivierung digitaler Dokumente.

Unterscheidung zwischen PDF/A1a und A-1b

Man unterscheidet bei der Version PDF/A-1 zwischen zwei Abstufungen:
Der Level 1-b steht für „basic, übersetzt grundsätzlich/grundlegend. Er erfüllt die Mindestanforderungen der ISO-Norm und stellt eine eindeutige visuelle Reproduzierbarkeit sicher. Alle eingefügten Bilder sind fest im Dokument eingebunden. Die Textbausteine sind in Unicode-Darstellung, damit sie für die Ewigkeit oder zumindest für die vom Handelsrecht vorgeschriebene Dauer reproduzierbar bleiben.

Der Level 1-a steht für „accessible, übersetzt zugänglich und ist eine Steigerung zum Level 1-b: Dieses Format setzen Sie dann ein, wenn die Dateien auch auf mobilen Endgeräten verfügbar sein sollen und Sie die sogenannte „Barrierefreiheit“ gewährleisten wollen. Das bedeutet eine identische Darstellung ohne Einschränkungen bei Menschen mit Behinderung, zum Beispiel bei blinden Menschen.

Somit sollten Sie bei der Archivierung immer das Format A-1a benutzen, um alle Anforderungen abzudecken.

Besonderheiten von PDF/A-Dateien:

– PDF/A-Dateien benötigen weniger Speicherplatz als normale PDF-Dateien.
– Eine Verschlüsselung oder ein Sperren (zum Beispiel durch einen Passwortschutz) ist nicht möglich.
– Es gibt eine exakte Hinterlegung und Definition der Farbprofile.
Links auf Webseiten oder externen Inhalt sind nicht gestattet, da diese dynamisch sind und sich verändern können.
– Es gibt keine dynamischen Funktionen wie zum Beispiel Audio- oder Videodateien.
– Es sind digitale Signaturen hinterlegt.
– Transparente Objekte oder Layer (Ebenen) sind nicht erlaubt.
– Eine PDF/A1a-Datei hat eine Kennzeichnung in Form von Metadaten nach XMP-Standard.
– PDF/A1a-Dateien dürfen keine eingebetteten Daten enthalten.

Das PDF-Symbol

Fazit

Für eine Langzeitarchivierung von digitalen Dokumenten ist die Nutzung von PDF/A unumgänglich. Welche Norm Sie nehmen (1a1b, 2 oder 3) hängt davon ab, für welchen Zweck Sie die Daten sichern wollen.
Da letztendlich beim Speichern nicht klar ist, wer zukünftig die Dokumente lesen soll oder will, sollten Sie immer die höchste Normstufe wählen.

Der Sicherheitsbeauftragte – eine wichtige Aufgabe in Unternehmen

,

Arbeitsschutz spielt in allen Bereichen des Arbeitslebens eine wichtige Rolle. Unternehmen haben die Pflicht, ihre Mitarbeiterinnen und Mitarbeiter vor arbeitsspezifischen gesundheitlichen Belastungen sowie vor möglichen Gefahren zu schützen. Da diese Aufgabe in einem mittleren bis großen Unternehmen nicht alleine von der Unternehmensleitung wahrgenommen werden kann, werden sogenannte Sicherheitsbeauftragte bestellt.

Die rechtlichen Vorschriften für Sicherheitsbeauftragte

Die von den Berufsgenossenschaften erlassenen Unfallverhütungsvorschriften wurden 2014 in den DGUV-Vorschriften zusammengefasstDGUV steht für Deutsche gesetzliche Unfallversicherung. Diese DGUV stellt die Grundlage für die Bestellung von Sicherheitsbeauftragten dar. Sie präzisiert die Anforderungen des Arbeitsschutzgesetzes (ASchG) und schreibt Unternehmen ab einer Mitarbeiterzahl von 20 die Bestellung von Sicherheitsbeauftragten vor.

Die Aufgaben der Sicherheitsbeauftragten

Der Sicherheitsbeauftragte beobachtet, berät, unterstützt und ist Vorbild

Sicherheitsbeauftragte haben mehrere Funktionen: Sie sollen zum Beispiel die Kollegen beraten und ihnen helfen, die Sicherheitsrichtlinien einzuhalten. Außerdem machen sie ihre Vorgesetzten darauf aufmerksam, wenn ihnen sicherheitsgefährdende Dinge im Betrieb auffallen. Sie unterstützen die Fachsicherheitskraft (FaSi) und den Betriebsarzt (BA) beispielsweise beim Erstellen von Gefährdungsbeurteilungen, um Mängel zu erkennen und zu beseitigen. Des Weiteren beteiligen sie sich an Betriebsbegehungen. Sie führen neue Mitarbeiter und Azubis in die Sicherheitsrichtlinien des Unternehmens ein. Nicht zuletzt sind sie Ansprechpartner für alle Kollegen, was den Arbeitsschutz angeht und machen Verbesserungsvorschläge, um die Mitarbeiter vor Gefahren zu schützen.

Dabei haben sie eine Vorbildfunktion gegenüber allen Kollegen und Vorgesetzten, allerdings ohne irgendeine Weisungsbefugnis. Daher können sie auch keine Haftung für Betriebsunfälle übernehmen – die rechtliche Verantwortung bleibt immer bei der Unternehmensführung.

Voraussetzungen, um Sicherheitsbeauftragter zu werden

Der Sicherheitsbeauftragte sollte ein Mitarbeiter sein, der umsichtig und auf Augenhöhe der Kollegen agiert. Ein Mitarbeiter, der das Vertrauen seiner Kollegen und Vorgesetzten bereits genießt, ist eine gute Wahl für diese Aufgabe. Eigenschaften wie Umsicht, Loyalität, soziale Kompetenz und ein sicheres Auftreten sind ideal.

Eine Schulung zu Beginn der Übernahme hilft dem Sicherheitsbeauftragten, seine Aufgabe zu meistern, für das Unternehmen einen echten Mehrwert darzustellen und Betriebsunfälle zu vermeiden. Das trägt zu einem guten Betriebsklima als auch zu weniger krankheitsbedingten Ausfällen im Betrieb bei.

Wie wird der Sicherheitsbeauftragte ernannt?

Die Unternehmensführung kann jede Mitarbeiterin und jeden Mitarbeiter zum Sicherheitsbeauftragten ernennen. In Zusammenarbeit mit dem Betriebs- und Personalrat wird das Unternehmen im Idealfall einen Mitarbeiter oder eine Mitarbeiterin auswählen, die die oben genannten Eigenschaften besitzt.
Die Aufgabe ist keine Ernennung auf Lebenszeitder/die Sicherheitsbeauftragte kann das Amt ggf. niederlegen oder die Unternehmensführung überträgt sie auf eine andere Person.

Sicherheitsbeauftragte

Der IT-Sicherheitsbeauftragte ist ein Sonderfall

Sonderfall IT-Sicherheitsbeauftragter

Ein Sonderfall stellt der IT-Sicherheitsbeauftragte dar: Es gibt keine Vorschrift, die einen solchen Sicherheitsbeauftragten vorschreibt. Ist er doch für die Sicherheit des IT-Netzes im Unternehmen zuständig und nicht für die Arbeitssicherheit der Kollegen und des Betriebs. Die einzige Gemeinsamkeit mit dem Sicherheitsbeauftragten für Arbeitsschutz ist die Funktion als Bindeglied zwischen Unternehmensführung und Mitarbeitern. Ansonsten nimmt der IT-Sicherheitsbeauftragte komplett andere Aufgaben wahr.

Die Aufgaben des IT-Sicherheitsbeauftragten

Ein Unternehmen tut gut daran, nicht nur seine Mitarbeiter vor Arbeitsunfällen zu schützen, sondern auch die eigenen digitalen Daten, die heutzutage nach den Mitarbeitern das wichtigste Gut eines Unternehmens sind. Stellen Sie sich vor, die Datenbanken Ihres Unternehmens werden gehackt und das komplette System muss runtergefahren werden, um die Daten zu schützen. Ein Verlust von Millionen kann die Folge sein, Vertrauensverlust bei den Kunden, womöglich eine Strafe wegen des fehlenden Datenschutzes und und und…wollen Sie so etwas? Ein IT-Sicherheitsbeauftragter ist die Lösung.

Für die IT-Sicherheit ist der IT-Sicherheitsbeauftragte zuständig

Der IT-Sicherheitsbeauftragte berät und unterstützt das Unternehmen in IT-sicherheitsrelevanten Fragen und setzt die Datenschutzrichtlinien um. Seit der neuen DSGVO, die im Mai 2018 wirksam wurde, sind IT-Sicherheitsbeauftragte gefragter denn je.

Die Arbeit des IT-Sicherheitsbeauftragten sollte unabhängig von der eigenen IT-Abteilung ausgeführt werden – der Job sollte daher extern bestellt werden. Auch aus haftungsrechtlichen Gründen ist eine externe Vergabe dieser wichtigen Aufgabe sinnvoll.

Der IT-Sicherheitsbeauftragte erstellt außerdem Konzepte, um die Daten des Unternehmens vor einem externen Zugriff zu schützen, erstellt eine Richtlinie, die die IT-Abteilung umsetzt und erarbeitet Dienstanweisungen für alle Mitarbeiter, die die Unternehmensführung abgesegnet und in Kraft setzt. Er muss jederzeit auf dem neuesten Stand der Technik als auch der relevanten Vorschriften sein. Ein verantwortungsvoller Posten, der das Unternehmen vor bösen Überraschungen schützt und Verluste durch Datenklau verhindert. Es lohnt sich, hierfür zu investieren und eine erfahrene, gut aufgestellte Beraterfirma zu engagieren.

Fazit

Mit den passenden Sicherheitsbeauftragten ist ein Unternehmen gut aufgestellt. Denn Sicherheit in allen Bereichen schafft Vertrauen bei der Belegschaft, den Kunden und nicht zuletzt bei der Unternehmensführung selber. Das A und O einer erfolgreichen Firma.

Was ist eigentlich…SSL?

, ,
Was ist SSL

Im Internet einkaufen, Bankgeschäfte tätigen, Reisen buchen und vieles mehr wird immer beliebter. Privatpersonen können sogar ihre Steuererklärungen in der digitalen Form einreichen. Meist werden bei all diesen Aktionen jedoch sensible Daten weiter gegeben. Es ist wichtig, dass dies verschlüsselt geschieht. Das SSL-Zertifikat schafft hierbei Abhilfe, denn es verschlüsselt die gesendeten Daten.

Was bedeutet eigentlich SSL?

Das SSL-Zertifikat (Secure Socket Layer) sichert die Online-Kommunikation zwischen beiden Rechnern ab. Die Daten werden also verschlüsselt übertragen. Das Verfahren kann damit verglichen werden, dass ein Brief vor dem Versenden versiegelt wird. Layer bezeichnet dabei die Transportschichten, mit welchen der Datenaustausch zwischen den Rechnern bildhaft dargestellt wird. Es gibt viele Bereiche, in denen die Vertraulichkeit das oberste Gebot ist.

Auf SSL im Internet achten

SSL im Browser- Beispiel

Das Schloss neben der Adresszeile des Browsers zeigt an, dass es sich hier um eine sichere Verbindung handelt.

Dass eine Webseite SSL nutzt, lässt sich leicht erkennen. Es zeigt sich daran, dass die Internetseite am Anfang mit „https://“ beginnt. Dies zeigt, dass hier verschlüsselt mit dem Webserver kommuniziert wird. Folgende Zeichen weisen ebenfalls auf ein SSL-Zertifikat hin: Ein Schloss-Symbol, das im Browser oben oder unten angezeigt wird oder das Trustlogo auf der Seite, denn auch dies dürfen lediglich Inhaber eines SSL-Zertifikats nutzen. Eine grüne Adressleiste verdeutlicht, dass die höchste Sicherheitsstufe vorliegt. Die Besucher der Webseiten können in diesen Fällen sicher sein, dass die Daten durch Dritte nicht mitgelesen oder abgehört werden.

SSL ist bei den Suchmaschinen und Nutzern beliebt

Sichere Webseiten werden aus SEO-Sicht von Google und anderen Suchmaschinen mittlerweile bevorzugt. Webseiten und Onlineshops ohne SSL-Zertifikat werden demzufolge schlechter gereiht als Seiten, bei denen die Daten verschlüsselt übertragen werden. Dies hat natürlich Vorteile für den Kunden, der den Ergebnissen auf den ersten Seiten eher vertrauen kann als Webseiten, die weiter hinten gelistet werden. Das SSL-Zertifikat ist auf verschiedenen Wegen erhältlich, beispielsweise direkt beim Anbieter, also der Zertifizierungsstelle. Einfacher ist die Bestellung meist über den Webhosting-Anbieter.

Verschiedenen Arten von SSL

Verschlüsselung für EmailsSSL-Verbindungen gibt es auf Webseiten, aber ebenso beim E-Mail-Versand. Wer sensible Daten versendet, beispielsweise Ärzte oder Menschen, die im Finanzbereich arbeiten, sollten darauf achten, dass sie einen E-Mail-Server mit einer sicheren Verbindung wählen. Dem POP3 und SMTP werden in diesem Fall ein S hinzugefügt. Bei einer POP3S- oder SMTPS-Verbindung können Nutzer dementsprechend sicher sein, dass sie mit einem Sicherheitszertifikat ausgestattet sind.

Aus Sicherheitsgründen sollten zumindest alle Shops SSL nutzen. Hier werden zahlreiche persönliche Daten übertragen, bei denen es sich oftmals auch um sensible Bankdaten handelt. Diese dürfen nicht in falsche „Hände“ geraten. Es ist sogar empfehlenswert, dass generell für alle Webseiten SSL genutzt wird. Wenn sich Kunden auf einer gewöhnlichen Seite ohne Sicherheitszertifikat in ihr Kundenkonto einloggen, werden die Daten unverschlüsselt gesendet und damit ebenso das Passwort. Letztendlich muss aber auch erwähnt werden, dass es leider keine 100%-ige Sicherheit gibt, denn Seiten können gehackt werden.

Netzwerksicherheit für Ihr Unternehmen

, ,
Netzwerksicherheit für Ihr Unternehmen

Netzwerksicherheit bzw. Netzsicherheit gilt in der IT-Branche als kein fest definierter Begriff. Er beschreibt vielmehr alle notwendigen Maßnahmen zu Planung von Netzwerken, deren Überwachung sowie Sicherheit. Da sich ein Großteil der hierbei anfallenden Tätigkeiten nicht auf technische Gegebenheiten, sondern auf die jeweilige Organisation selbst stützt, wird der modernen Netzwerksicherheit einschließlich all ihrer Facetten eine hohe Komplexität zugeschrieben.

Netzwerksicherheit: Potentielle Gefahrenquellen für ein Unternehmen

„Der Feind im eigenen Netzwerk“ ist eine durchaus gängige Aussage unter Spezialisten für Netzwerksicherheit. Besonders beliebte Angriffsziele sind in diesem Zusammenhang Netzwerkprotokolle. Diese dienen dem Austausch von Daten jedweder Art.

Darüber hinaus verständigen sich eine Vielzahl unterschiedlicher Prozesse über derartige Kommunikationsströme. Populäre Netzwerkprotokolle, wie zum Beispiel TCP/IP sind sowohl nicht geschützt als auch eines der ersten Angriffspunkte potentieller Netzwerkattacken.

Gefahrenquellen für die NetzwerksicherheitEine beliebte Methode ist hierbei die so genannte „Man-in-the-Middle“-Attacke, welche dem Hacker erlaubt, unbemerkt die Kommunikation zweier oder mehrerer Kommunikationspartner zu verfolgen.

Ein großer Unsicherheitsfaktor entsteht derzeit außerdem durch Malware, welche meist ihren Weg über gut formulierte und zugleich unscheinbar wirkende E-Mails findet. Öffnet der betroffene Mitarbeiter in gutem Glauben den Anhang, kann die Netzwerksicherheit erheblich kompromittiert sein. Fatale Auswirkungen hat es, wenn sich der Angestellt aus Angst oder Unwissenheit nicht sofort mit der EDV-Abteilung in Verbindung setzt.

Gleichzeitig genießen Denial-of-Service-Attacken unter kriminellen Hackern eine große Beliebtheit. Diese Angriffe haben das Ziel, einen Server so auszulasten, dass dieser im Internet für andere Anwender nicht mehr zur Verfügung steht. Um das zu erreichen, werden massenhaft große Datenpakete an den jeweiligen Server geschickt, der letztendlich mit diesen vielen Anfragen vollkommen überfordert ist.

Das Unternehmens-Netzwerk richtig schützen

Das Unternehmensnetzwerk richtig schützenBereits der bewusste Umgang mit IT-Technologien reduziert das Schadrisiko laut einer Bitkom-Studie um bis zu 80 Prozent. Hierzu zählt beispielsweise die Schulung bzw. Sensiblisierung der Mitarbeiter sowie das Verschlüsseln von vertrauenswürdigen Daten. Daneben sollten Sie unbedingt ihr Netzwerk permanent und lückenlos überwachen.

Außerdem ist es wichtig, dass sowohl für den Empfang und Versand von E-Mails als auch für die Nutzung sozialer Netzwerke klare Sicherheitsrichtlinien bestehen, welche von allen Mitarbeitern des Unternehmens eingehalten werden müssen.

Die EDV-Abteilung einer Firma ist daher dazu angehalten, alle Maßnahmen einzuleiten, welche eine möglichst hohe Netzwerksicherheit gewährleisten. Diese müssen sich natürlich im Alltag umsetzen lassen und von allen Organisationen gelebt werden.

Der richtige Zeitpunkt für spezialisierte Dienstleister

Insbesondere kleine sowie mittelständische Unternehmen können oftmals nicht die notwendigen Personal-Ressourcen aufbringen, um ihr Netzwerk in vollem Umfang vor Attacken auf dasselbe zu schützen. Handelt es sich darüber hinaus um ein sensibles Arbeitsumfeld mit anspruchsvollen Kunden, sollte die Wahl schnell für einen spezialisierten Dienstleister getroffen sein.

Große Unternehmen mit einer gut bestückten EDV-Abteilung haben oftmals das Problem, dass die Mitarbeiter in derart viele Projekte eingespannt sind, dass keine Zeit mehr für Fort- und Weiterbildungen bleibt. Ein externer Dienstleister kann hierbei eine nützliche Unterstützung sein, um das fehlende Wissen in Form von Workshops zu ergänzen oder der Übernahme bestimmter Aufgaben vorübergehend Personal zu ersetzen.

Absender Amazon, Paypal, Paylife? Die bekanntesten Spam-Mails mit Viren-Gefahr

Bild von vielen @-Icons

Spam-Mails gibt es nicht erst seit gestern, jedoch werden die Versender immer kreativer. Spam bedeutet nicht zwangsläufig, dass es sich um einen mit E-Mail verschickten Virus handelt, sondern es handelt sich dabei um Nachrichten, die dem Empfänger unaufgefordert zugesendet werden. Es gibt sogenannte „Spammer“, also Spam-Versender, die arglos ihre Produkte verkaufen möchten und dies mit dem blinden Versand von E-Mails versuchen. Diese sind jedoch eine Minderheit. Die meisten Spam-Mails sind entweder mit einem Spam-Virus infiziert oder fordern dazu auf, persönliche Daten  rauszurücken oder dubiose Links anzuklicken. Sie als User können sich davor schützen, indem Sie sich regelmäßig informieren und Spam-Filter installieren.

Die bekanntesten Spam-Mails

Es gibt Spammer, die immer wieder mit dem gleichen Vorgehen versuchen, dem Nutzer persönliche Daten abzugreifen. Ein Vorteil für den User, weil dieser in vielen Fällen schon alarmiert ist und ahnt, dass es sich um eine Spam-E-Mail handelt. Die bekanntesten Spam-Mails hier im Überblick:

  • Häufig sind (angebliche) Mails von PayLife im Umlauf, die behaupten, die Kreditkarte sei gesperrt. Der Inhaber soll sich per Onlineformular melden und persönliche Daten angeben. Dies ist ein sehr eindeutiger Versuch von Phishing, um an die Kreditkartendaten heranzukommen.
  • Ähnliches passiert bei Spam-Mails von den angeblichen Absendern Paypal und Amazon. E-Mails mit so bekannten Absenderadressen täuschen gelegentlich im ersten Moment – auch erfahrene Nutzer, die in der Regel vorsichtig agieren. Vor allem weckt eine solche E-Mail Aufmerksamkeit, wenn es um eine angeblich offene Rechnung geht. Falls es sich um den angeblichen Absender Amazon handelt, wissen Sie in der Regel, ob Sie eine Bestellung bereits bezahlt haben oder nicht. Falls dies nicht der Fall ist, kontrollieren Sie am besten die letzte Rechnung direkt auf der originalen Amazon-Webseite. Aber Achtung: Klicken Sie auf keinen Fall auf den Link in der E-Mail. Es handelt sich meist um nachgebaute Seiten, die den originalen sehr ähneln. Das gleiche gilt für Paylife, Paypal und Co. Bei Unklarheiten nehmen Sie am besten direkt mit der Firma Kontakt auf.
  • Billig aufgemachte Werbe-E-Mails versenden gelegentlich Viren als Anhang! Meist handelt es sich bei den Mails um Werbung für Abnehmeprodukte, Glücksspiele, Potenzmittel und Versicherungsprodukte.
  • Ein anderes Thema von potenziell virenverseuchten Spam-Mails sind oft angebliche Flirt- oder Kontaktbörsen. Solche Emails sollten Sie unbedingt löschen.
  • Andere Absender von Spam-E-Mails behaupten, Sie wohnten im Ausland und müssen Geld nach Deutschland schicken und bräuchten hierfür Hilfe.
  • Eine heimtückische Spam-Masche sind gefälschte Bewerbungen, die per E-Mail an Unternehmen gesendet werden. Im ersten Moment fällt nicht auf, dass es sich um eine Spam-E-Mail handelt, außer, das Bewerbungsschreiben strotzt nur so vor Fehlern und wirkt bereits eigenartig. Firmenmitarbeitern sei hier geraten, jede einzelne E-Mail durch einen Virenscanner zu schicken, da Bewerbungen ja häufig Anlagen in Form von Word-Dokumenten oder PDF-Dateien haben. Sind diese jedoch mit Viren infiziert hat man diese schnell ins Firmennetzwerk eingeschleust wo sie sich weiterverbreiten können. Es macht ferner Sinn, die Mails auf einem Computer zu öffnen, der keine sensiblen Daten beinhaltet, um sich vor Spyware zu schützen.

So schützen Sie sich vor einem Spam-Virus

Bild von Lupe, die Dokument vergrößert

2015 wurden alleine in Deutschland rund 50.000 Spam-Mails am Tag geöffnet. Viele davon gelangten sicherlich direkt ins reguläre Postfach. Pro Tag schaffen es bei Web.de und GMX in etwa 0,05 Prozent Spam-Virus E-Mails durch den Filter.

Vorsicht beim Umgang mit E-Mails ist der allerbeste Schutz! Bevor Sie E-Mails unbekannter Absender öffnen oder eine Datei womöglich samt Spam-Virus herunterladen, versichern Sie sich, dass es sich um eine seriöse E-Mail handelt. Alles anderen kann getrost in den SPAM-Ordner im E-Mail-Programm verschoben und/oder gelöscht werden. Ferner gibt es die Möglichkeit, einen Spamfilter zu installieren. Dieser agiert wie ein Virenscanner, der all Ihre eingehenden E-Mails nach einem Spam-Virus durchstöbert. Viele Mailanbieter sind bereits mit einem Spam Blocker ausgestattet, sodass der eine oder andere Spam-Virus nicht zu Ihnen durchdringt. Dennoch schaffen es gerade die neuen Spam-E-Mails immer wieder im Posteingang zu landen.

Ein regulärer Virenschutz durch eine Antiviren-Software ist natürlich für jeden Computer oder jeden Laptop wichtig. Dabei kann es sich um ein kostenloses Virenschutz-Programm oder (gerade bei Unternehmen zu empfehlen) um ein kostenpflichtiges, aber immer aktuelles und ohne Werbeanzeigen ausgestattetes Programm handeln. Zum Teil beinhalten diese Virenscanner auch eine Schutzfunktion fürs Email-Postfach und können per E-Mail gelieferte Viren wieder vom System entfernen. Informieren Sie sich dazu auch auf den Homepages der jeweiligen Antivirensoftware.

Ein Tipp zum Schluss: vermeiden Sie es unbedingt, Ihre reguläre E-Mail Adresse bei Gewinnspielen oder bei Internet-Apps anzugeben. Sie können nie sicher sein, ob diese Daten nicht an Spammer verkauft werden. Legen Sie sich für solche Zwecke eine kostenlose Email-Adresse bei einem der zahlreichen Anbieter an und verwenden Sie für seriöse, private und/oder geschäftliche Angelegenheiten eine andere Email-Adresse. Geben Sie letztere nur vertrauten Menschen oder Geschäftspartnern heraus. So lässt sich die Flut an Spam enorm eingrenzen.

Unser Fazit zum Thema Spam-Virus

Vertrauen ist gut, Kontrolle ist besser! Sind Sie unsicher beim Inhalt einer E-Mail eines vermeintlich bekannten Absenders wie Amazon, wenden Sie sich direkt an diesen Absender, in dem Sie die „originale Emailadresse“ verwenden oder auf der richtigen Webseite nach den Kontaktdaten sehen. Auch das Überprüfen der E-Mail-Adresse des Absenders kann manchmal schon Aufschluss darüber geben, ob die E-Mail von einer nicht vertrauenswürdigen Adresse kommt.

Der Datenschutztag der Biteno GmbH – ein voller Erfolg!

Datenschutztag

Am 25. Februar 2016 hat die Biteno GmbH zu ihrem Datenschutztag unter dem Motto „Unternehmensdaten schützen – aber richtig!“ eingeladen. Anwesend waren interessierte Unternehmer aus Stuttgart und der umliegenden Region.

Eingeleitet wurde die Veranstaltung vom Geschäftsführer Hr. Böhmichen, der die eingeladenen Redner und das Programm vorstellte.

Anschließend trat der TÜV und ISO zertifizierte Datenschutzbeauftragte Dr. Ralf Schadowski mit einem mitreißenden Impulsvortrag zum Thema Datenschutz auf. Er sensibilisierte das Publikum für die Themen Datenschutz, Sicherheitslücken und Schwachstellen im eigenen Unternehmen. Auch oft vernachlässigte Aspekte wie finanzielle Risiken durch Schwachstellen und praktische Lösungsmethoden für die sichere Übertragung von Daten hat der kompetente Redner vorgestellt.

Zum praktischen Teil der Veranstaltung ging es anschließend mit Marc Frank, dem Geschäftsführer der in Ulm ansässigen Netkom. In seinem Live-Hack-Vortrag demonstrierte er, wie leicht Daten von Rechnern abgefangen werden können, die der Nutzer für sicher hält. Auch die Themen Passwortsicherheit und die Sicherheit von HTTPS-Verschlüsselungen thematisierte er in seinem spannenden Vortrag. Anschließend stellte er Sicherungsmaßnahmen vor, mit denen sich Nutzer vor der Ausnutzung von gängigen Schwachstellen schützen können.

Den Vortrag können Sie sich hier ansehen:

Bei einem lockeren Get-Together bei Getränken und leckeren Snacks haben die Teilnehmer und Redner anschließend den Abend gemeinsam ausklingen lassen. Die angeregte Diskussionsrunde führte zum Austausch von vielen Erfahrungswerten und damit zu einem gelungenen Ausklang des Abends.

Die Biteno GmbH dankt für das rege Interesse an der Veranstaltung! Wegen der hohen Nachfrage stehen wir bereits in den Startlöchern für die Planung des nächsten Datenschutztages.

 

Tutorial

Wie Sie firewalld unter Centos 7 nutzen

, ,
Passwort-Manager

firewalld ist eine komplette Firewall-Lösung, die standardmäßig auf CentOS 7 Servern verfügbar ist. Während unter Centos 6 noch iptables zum Einsatz kam, wird unter Centos 7 mit dem Dienst-Programm firewalld gearbeitet. In diesem Tutorial erklären wir, wie Sie als Linux-Administrator eine Firewall für Ihren Centos 7 Server mit firewalld einrichten und Ihnen die Grundlagen der Verwaltung der Firewall mit der firewall-cmd-Befehlszeile erklären.

Grundkonzepte in firewalld

Bevor wir anfangen, wie man das Firewall-cmd-Dienstprogramm zur Verwaltung Ihrer Firewall-Konfiguration verwendet, sollten wir uns mit einigen grundlegenden Konzepten von firewalld vertraut machen.

Zonen in firewalld

Der firewalld Dienst schützt ihren Centos 7 Server

Der firewalld Dienst schützt ihren Centos 7 Server

Der firewalld-Daemon verwaltet Gruppen von Regeln mit Elementen (bzw. Entitäten), die „Zonen“ genannt werden. Zonen sind im Wesentlichen Mengen von Regeln, die definieren, welchen Verkehr je nach dem Vertrauensniveau erlaubt werden soll, das Sie in den Netzwerken haben, mit denen Ihr Computer gerade verbunden ist. Netzwerkschnittstellen werden einer Zone zugeordnet, um das Verhalten zu bestimmen, das die Firewall zulassen soll.

Für Computer, die sich häufig zwischen Netzwerken (WLAN, Arbeit, Zuhause, …) bewegen können (wie Laptops), bietet diese Art von Flexibilität eine gute Methode, um Ihre Regeln abhängig von Ihrer aktuellen Netzwerk-Umgebung zu ändern. Sie können strenge Regeln an Orten verbieten die meisten Verkehr beim Betrieb auf einem öffentlichen WiFi-Netzwerk, während ermöglicht mehr entspannte Einschränkungen, wenn mit Ihrem Heimnetzwerk verbunden. Für einen Server sind diese Zonen nicht so wichtig, da sich die Netzwerkumgebung nur selten ändert.

Unabhängig davon, wie dynamisch Ihre Netzwerkumgebung sein mag, ist es immer noch sinnvoll, mit der allgemeinen Idee hinter jeder der vordefinierten Zonen für firewalld vertraut zu sein. Nachfolgend finden Sie die Zonen die standardmässig in firewalld vorhanden sind, In der Reihenfolge von den wenigsten vertrauenswürdigen zu den meisten vertrauenswürdigen:

  • drop: das niedrigste Vertrauensniveau. Alle eingehenden Verbindungen werden ohne Antwort abgelegt und nur ausgehende Verbindungen (vom Laptop oder Server) sind möglich.
  • block: Ähnlich wie „drop“, aber anstatt einfach nur Verbindungen zu verschieben, werden eingehende Anfragen mit einer icmp-host-deny oder icmp6-adm-deny Nachricht abgelehnt. Im Gegensatz zu oben erhält der Absender also wenigstens eine Antwort
  • public: Repräsentiert öffentliche, nicht vertrauenswürdige Netzwerke. Sie vertrauen anderen Computern nicht, sondern können ausgewählte eingehende Verbindungen von Fall zu Fall zulassen.
  • external: Externe Netzwerke für den Fall, dass Sie die Firewall als Gateway verwenden. Hier ist firewalld für NAT-Masquerading konfiguriert, so dass etwa Ihr internes Netzwerk privat aber erreichbar ist.
  • internal: Die andere Seite der externen Zone, die für den internen Teil eines Gateways verwendet wird. Die Computer sind ziemlich vertrauenswürdig und einige zusätzliche Dienste sind verfügbar.
  • dmz: Wird für Computer verwendet, die sich in einer DMZ befinden (DMZ = demilitarisierte Zone, in der Regel innerhalb eines Rechenzentrums und zwischen zwei Firewalls). Es sind nur bestimmte eingehende Verbindungen erlaubt.
  • work: Wird für PCs & Workstation verwendet. Vertraut den meisten Computer im Netzwerk. Ein paar weitere Dienste sind erlaubt.
  • home: Eine häusliche Umgebung. Es bedeutet im Allgemeinen, dass Sie die meisten anderen Computer vertrauen und dass weitere Dienste akzeptiert werden.
  • trusted: Vertraut allen Maschinen im Netzwerk. Diese offenste der verfügbaren Optionen von firewalld sollte sparsam verwendet werden.

Um die Firewall nutzen zu können, können wir Regeln erstellen und die Eigenschaften der verwendeten Zonen verändern und anschließend unsere Netzwerkschnittstellen den Zonen zuordnen.

Regelbeständigkeit von firewalld

In firewalld können Regeln als permanent oder „immediate“ (im Sinne von „sofort“) bezeichnet werden. Wenn eine Regel hinzugefügt oder geändert wird, wird standardmäßig das Verhalten der aktuell laufenden Firewall geändert und der –immediate Zusatz verwendet. Beim nächsten Stiefel werden die alten Regeln zurückgesetzt – d.h. Änderungen mit „—immediate“ sind nach einem Neustart des firewalld-Dienstes verloren

Bei den meisten Firewall-cmd-Operationen können Sie den –permanent-Zusatz nutzen, um anzugeben, dass nicht die aktuell kaufende Konfiguration gemeint ist, sondern die langfristig gespeicherte. Dies wirkt sich auf den Regelsatz aus, der beim Start von firewalld neu geladen wird. Diese Trennung bedeutet, dass Sie Regeln in Ihrer aktiven Firewall-Instanz testen und dann neu laden können, wenn es Probleme gibt. Sie können auch die –permanent-Flagge verwenden, um einen ganzen Satz von Regeln über die Zeit aufzubauen, die alle sofort angewendet werden, wenn der Reload-Befehl ausgegeben wird.

Starten von firewalld

Bevor Sie anfangen können, Firewall-Regeln mit firewalld zu erstellen, müssen wir den eigentlichen Dienst unter Centos 7 starten. Die Systemdatendatei dazu heißt firewalld.service. Wir können den Dämon für diese Sitzung starten, indem wir folgendes eingeben:

sudo systemctl start firewalld.service

 

Sie können überprüfen, ob der Service läuft und erreichbar ist:

firewall-cmd – State

Sie sehen nun, daß ihr Firewall unter Centos 7 mit der Standardkonfiguration läuft und läuft.

An diesem Punkt werden wir den Service (noch) nicht aktivieren. Die Aktivierung des Dienstes würde dazu führen, dass die Firewall beim Booten gestartet wird. Sie sollten warten, bis Sie ihre Firewall-Regeln fertig erstellt haben und außerdem Gelegenheit hatten, sie zu testen, bevor wir den Dienst beim Starten konfigurieren. So vermeiden Sie , vom Host geblockt zu werden, für den Fall dass etwas schief geht.

firewalld – Basics

Die meisten Kommandos für den firewall-Dienst werden auf der Kommando-Zeile eingegeben

Die meisten Kommandos für den firewall-Dienst werden auf der Kommando-Zeile eingegeben

Bevor wir anfangen, Änderungen vorzunehmen, sollten wir uns mit der Standardumgebung und den Regeln des Dämons vertraut machen.

Standard-Einstellungen von firewalld

Wir können sehen, welche Zone derzeit als Voreinstellung ausgewählt ist, indem Sie Folgendes eingeben:

firewall-cmd –get-default-zone

Ausgabe

public

Da wir Firewall bisher keine konkreten Befehle gegeben haben, die von der Standardzone abzuweichen, und keine unserer Schnittstellen konfiguriert ist, um Sie etwa an eine andere Zone zu binden, ist diese Zone auch die einzige „aktive“ Zone (die Zone, die den Verkehr für unsere kontrolliert Schnittstellen). Sie können das überprüfen, in den Sie folgendes eingeben:

firewall-cmd –get-active-zone

 

Ausgabe:

Public

Interfaces: eth0 eth1

Hier sehen wir, dass wir zwei Netzwerkschnittstellen (eth0 und eth1) haben, die von der Firewall  gesteuert werden. Sie werden beide derzeit nach den für die öffentliche Zone festgelegten Regeln verwaltet.

Wie können Sie nun heraus finden, welche Regeln mit der öffentlichen Zone verbunden sind? Wir können die Konfiguration der Standardzone anzeigen lassen, indem wir Folgendes eingeben:

firewall-cmd –list-all

Ausgabe

Public (Standard, aktiv)

Interfaces: eth0 eth1

sources:

services: dhcpv6-client ssh

ports:

Wir können aus der Ausgabe ableiten, dass diese Zone sowohl die Vorgabe als auch die aktive ist und dass die eth0- und eth1-Schnittstellen mit dieser Zone verbunden sind. Allerdings können wir auch sehen, dass diese Zone die normalen Operationen mit einem DHCP-Client (für IP-Adresszuweisung) und SSH (für Remote-Administration) ermöglicht.

Erforschung alternativer Zonen

Jetzt haben wir eine gute Vorstellung von der Konfiguration für die Standard- und Aktivzone. Wir können auch Informationen über andere Zonen herausfinden.

Um eine Liste der verfügbaren Zonen zu erhalten, geben Sie Folgendes ein:

firewall-cmd -get-zonen

Ausgabe

block dmz drop external home internal public trusted work

Sie können sich die spezifische Konfiguration, die mit einer Zone verbunden ist, anschauen, indem sie den Parameter –zone = in den –list-all-Befehl einfügen:

firewall-cmd – zone = home –list-all

 

Ausgabe

home

Schnittstellen:

sources:

services: dhcpv6-client ipp-client mdns samba-client ssh

ports:

Sie können alle Zonendefinitionen mit der Option –list-all-zones ausgeben. Zur besseren Lesbarkeit sollten Sie den Befehl dann mit „|less“ oder „|more“ kombinieren

firewall-cmd –list-all-zonen | less

 

Auswählen von Zonen für Ihre Netzwerk-Schnittstellen

Sofern Sie nicht Ihre Netzwerkschnittstellen anders konfiguriert haben, wird jedes Interface (also die  Schnittstelle) in die Standardzone gesetzt, wenn die Firewall gebootet wird.

Ändern der Zone einer Schnittstelle für die aktuelle Sitzung

Sie können eine Schnittstelle zwischen den Zonen während einer Sitzung übergeben, indem Sie den Parameter –zone = in Verbindung mit dem Parameter –change-interface = verwenden. Wie bei allen Befehlen, die die Firewall ändern, müssen Sie sudo verwenden.

Zum Beispiel können wir unsere eth0-Schnittstelle in die „home“ -Zone übergehen, indem wir folgendes eingeben:

sudo firewall-cmd – zone = home – change-interface = eth0

Immer wenn Sie eine Schnittstelle zu einer neuen Zone übergeben, sollten Sie sich darüber bewusst sein, dass Sie wahrscheinlich die Dienste ändern, die in Betrieb sein werden. Zum Beispiel bewegen wir uns hier in die „home“ Zone, die SSH zur Verfügung stellt. Das bedeutet, dass unsere Verbindung nicht unterbrochen werden sollten. Einige andere Zonen sind standardmäßig nicht SSH aktiviert und wenn Ihre Verbindung unter Verwendung einer dieser Zonen gekappt wird, können Sie sich nicht wieder anmelden.

Sie überprüfen, dass dies erfolgreich war, indem wir wieder nach den aktiven Zonen fragen:

firewall-cmd –get-active-zonen

 

Wenn die Firewall komplett neu gestartet wird, wechselt die Schnittstelle zur Standardzone:

sudo systemctl restart firewalld.service

firewall-cmd –get-active-zonen

Ausgabe

public

interfaces: eth0 eth1

Zone Ihrer Schnittstelle dauerhaft ändern

Mehr Sicherheit mit der richten Firewalld-Konfiguration unter Centos 7

Mehr Sicherheit mit der richten Firewalld-Konfiguration unter Centos 7

Schnittstellen werden immer auf die Standardzone zurückgesetzt, wenn sie keine alternative Zone haben, die in ihrer Centos  Konfiguration abgespeichert ist. Bei CentOS 7 sind diese Konfigurationen im Verzeichnis /etc/sysconfig/network-scripts mit Dateien des Formats ifcfg-<interface-name> definiert.

Um eine Zone für das Interface zu ändern, öffnen Sie die Datei, die mit der Schnittstelle verknüpft ist, die Sie ändern möchten. Bsp mit eth0 (erste Netzwerkkarte):

vi /etc/sysconfig/network-scripts/ifcfg-eth0

Am unteren Rand der Datei setzen Sie die ZONE = Variable auf die Zone, die Sie mit der Schnittstelle verknüpfen möchten. In unserem Fall wäre das die „home“ -Schnittstelle:

/ etc/sysconfig/network-scripts/ifcfg-eth0

ZONE = home

Speichern und schließen Sie die Datei. (:wq in vi)

Um Ihre Änderungen zu übernehmen, müssen Sie den Netzwerkdienst neu starten – anschließend das Gleiche mit dem firewalld -Dienst:

sudo systemctl restart network.service

sudo systemctl restart firewalld.service

Nachdem Ihre Firewall neu gestartet wurde, können Sie sehen, dass Ihre eth0-Schnittstelle automatisch in die „home“ gesetzt wird:

firewall-cmd –get-active-zones

Ausgabe

home

interfaces: eth0

public

interfaces: eth1

Falls dies nicht die tatsächliche Zone ist, die Sie für diese Schnittstelle verwenden möchten, so machen Sie diese Einstellung einfach wieder rückgängig und starten die beiden Dienste erneut

Einstellen der Standardzone

Wenn Sie alle Ihre Schnittstellen  in einer einzigen Zone verwalten können, ist es wahrscheinlich einfacher, die für Ihren Einsatzzweck passendste Standardzone auszuwählen und diese dann diese für Ihre Konfiguration zu verwenden.

Sie können die Standardzone mit dem Parameter –set-default-zone = jederzeit ändern. Dadurch wird sofort eine beliebige Schnittstelle geändert, die auf die Voreinstellung der neuen Zone zurückgefallen ist:

sudo firewall-cmd –set-default-zone = home

Ausgabe

home

interfaces: eth0 eth1

Festlegung von Regeln für Ihre Dienste & Anwendungen

Die grundsätzlich Art und Weise, Firewall-Ausnahmen für die Dienste zu definieren, die Sie zur Verfügung stellen möchten, ist einfach

Hinzufügen eines Dienstes zu Ihren Zonen

Die einfachste Methode ist es, die Dienste oder Ports, die Sie benötigen, den Zonen zuzuweisen, die Sie hauptsächlich verwenden. Auch hier können Sie mit der Option –get-services eine Liste der verfügbaren Dienste abrufen:

firewall-cmd -get-services

output

dhcp dhcpv6 dhcpv6-client dns ftp … (gekürzt) samba-client smtp ssh telnet tftp tftp-client vnc-server

Hinweis

Sie können weitere Einzelheiten zu jedem dieser Dienste erhalten, indem Sie ihre zugehörige XML-Datei im Verzeichnis/usr/lib/firewalld/services betrachten. Zum Beispiel ist der SSH-Service wie folgt definiert:

/usr/lib/firewalld/services/ssh.xml

<? Xml version = „1.0“ encoding = „utf-8“?>

<Service>

<Short> SSH </ short>

<Description> Secure Shell (SSH) ist ein Protokoll für die Anmeldung und Ausführung von Befehlen auf entfernten Rechnern. Es bietet sichere verschlüsselte Kommunikation. Wenn Sie planen, auf Ihre Maschine remote über SSH über eine Firewall-Schnittstelle zuzugreifen, aktivieren Sie diese Option. Sie benötigen das für diese Option installierte openssh-Serverpaket. </ Description>

<Port protocol = „tcp“ port = „22“ />

</ Service>

Sie können einen Dienst einer Zone mit dem Parameter –add-service = hinzufügen. Die Operation wirkt sich auf die Standardzone oder die Zone, die durch den Parameter –zone = angegeben wird aus. Standardmäßig wird nur die aktuelle Firewall-Sitzung angepasst. Sie können die permanente Firewall-Konfiguration anpassen, indem Sie das –permanent-Flag hinzu fügen..

Wenn wir zum Beispiel einen Webserver mit konventionellem HTTP-Verkehr betreiben, können wir diesen Datenverkehr für Schnittstellen in unserer „öffentlichen“ Zone für diese Sitzung zulassen, indem Sie Folgendes eingeben:

sudo firewall-cmd –zone = public –add-service = http

Sie können den Zusatz „–zone =“ weglassen, wenn Sie die Standardzone ändern möchten. Sie können überprüfen, ob die Operation erfolgreich war, indem Sie die –list-all- oder –list-services-Operationen verwenden:

firewall-cmd – zone = public –list-services

Ausgabe

dhcpv6-client http ssh

Sobald Sie getestet haben, dass alles so funktioniert, wie es sollte, werden Sie wahrscheinlich die permanenten Firewall-Regeln ändern, damit Ihr Service nach einem Neustart weiterhin verfügbar ist. Wir können Zonenänderung der „public“-Zone durch Eingabe durchführen:

sudo firewall-cmd –zone = public –permanent –add-service = http

Sie können überprüfen, ob dies erfolgreich war, indem Sie das –permanent-Flag zum –list-services-Vorgang hinzufügen. Sie müssen sudo für – permanent Abfragen verwenden:

sudo firewall-cmd –zone = public –permanent –list-services

Ihre „public“ Zone erlaubt nun den HTTP-Webverkehr auf Port 80. Wenn Ihr Webserver für die Verwendung von SSL/TLS konfiguriert ist, möchten Sie auch den https-Dienst hinzufügen. Wir können das in der aktuellen Session hinzufügen und die permanente Regel aktivieren bzw. speichern durch Eingabe von:

sudo firewall-cmd – zone = public –add-service = https

sudo firewall-cmd –zone = public –permanent –add-service = https

Wenn kein entsprechender Service vorhanden ist?

Die Firewall-Services, die in der firewalld-Installation enthalten sind, stellen viele der häufigsten Anforderungen für Anwendungen dar, auf die Sie Zugriff haben können. Allerdings kann es Anwendungsfälle geben, in denen diese Dienste nicht Ihren Anforderungen entsprechen.

In dieser Situation haben Sie zwei Möglichkeiten.

Öffnen eines Ports für ihre Zonen

Der einfachste Weg, um Unterstützung für Ihre spezifische Anwendung hinzuzufügen, ist, die Ports zu öffnen, die es in der entsprechenden Zone (n) verwendet. Dies ist so einfach wie die Angabe der Port- oder Port-Bereich und das zugehörige Protokoll für die Ports, die Sie öffnen müssen.

Zum Beispiel, wenn unsere Anwendung auf Port 5000 läuft und TCP verwendet, könnten wir dies in der „public“ Zone für diese Sitzung mit dem Parameter –add-port = hinzufügen. Protokolle können dabei entweder tcp oder udp sein:

sudo firewall-cmd – zone = public –add-port = 5000/tcp

Sie können überprüfen, dass dies mit der Anwendung –list-ports erfolgreich war:

firewall-cmd –list-Ports

Ausgabe

5000/tcp

Es ist auch möglich, einen sequentiellen Bereich von Ports zu spezifizieren, indem der Anfangs- und End-Port im Bereich mit einem Bindestrich getrennt wird. Zum Beispiel, wenn unsere Anwendung UDP-Ports 4990 bis 4999 verwendet, könnten wir diese auf „public“ durch die folgende Eingabe einstellen:

sudo firewall-cmd – zone = public –add-port = 4990-4999/udp

Nach dem Testen würden wir diese wahrscheinlich der permanenten Firewall hinzufügen wollen. Sie können das tun, indem Sie folgendes eingeben:

sudo firewall-cmd – zone = public –permanent –add-port = 5000/tcp

sudo firewall-cmd – zone = public –permanent –add-port = 4990-4999/udp

sudo firewall-cmd –zone = public –permanent –list-ports

Ausgabe:

4990-4999/udp 5000/tcp

 

Einen Dienst definieren

Blog kein Loch in die Centos Firewall "bohren" ...

Blog kein Loch in die Centos Firewall „bohren“ …

Bestimmte Ports für eine Zone zu öffnen ist einfach. Es kann auf Dauer aber schwierig sein, den Überblick zu behalten, welcher Port-Wert zu welchem Dienst gehört. Wenn Sie jemals einen „Service“ auf Ihrem Server ausschalten, können Sie sich vielleicht nur schwer daran erinnern, welche Ports, die geöffnet wurden, noch erforderlich sind. Um diese Situation zu entschärfen, ist es möglich, eigene Services zu definieren.

Services sind einfach Sammlungen von Ports mit einem zugehörigen Namen und einer Beschreibung. Die Verwendung von Diensten ist einfacher zu verwalten als Ports, erfordert aber etwas Vorarbeit in der Konfiguration von Centos 7. Der einfachste Weg ist das Kopieren eines vorhandenen Skripts (zu finden in/usr/lib/firewalld/services) in das Verzeichnis/etc/firewalld/services, in dem die Firewall nach Nicht-Standarddefinitionen für firewalld sucht.

Zum Beispiel könnten wir die SSH-Service-Definition kopieren, um für unsere „Beispiel“ Service-Definition wie diese zu verwenden. Der Dateiname abzüglich des .xml-Suffixes bestimmt den Namen des Dienstes in der Liste der Firewall-Dienste:

cp /usr/lib/firewalld/services/service.xml /etc/firewalld/services/beispiel.xml

Nun können Sie die Definition in der Datei, die Sie kopiert haben, anpassen:

Sudo nano /etc/firewalld/services/beispiel.xml

Zum Starten enthält die Datei die SSH-Definition, die Sie kopiert haben:

/etc/firewalld/services/beispiel.xml

<? Xml version = „1.0“ encoding = „utf-8“?>

<Service>

<Short> SSH </ short>

<Description> Secure Shell (SSH) ist ein Protokoll für die Anmeldung und Ausführung von Befehlen auf entfernten Rechnern. Es bietet sichere verschlüsselte Kommunikation. Wenn Sie planen, auf Ihre Maschine remote über SSH über eine Firewall-Schnittstelle zuzugreifen, aktivieren Sie diese Option. Sie benötigen das für diese Option installierte openssh-Serverpaket. </ Description>

<Port protocol = „tcp“ port = „22“ />

</ Service>

Der Großteil dieser Definition sind eigentlich Metadaten. Sie werden vermutlich am besten den Kurznamen für den Dienst innerhalb der <short> -Tags ändern. Dies ist ein besser lesbarer Name für Ihren Service. Sie sollten ebenfalls eine Beschreibung hinzufügen, so dass Sie mehr Informationen haben, wenn Sie den Service prüfen (und vorher nicht mehr wissen, wofür er gedacht ist).

Die einzige Ändreug, die Sie machen müssen, die tatsächlich die Funktionalität des Dienstes beeinflusst, wird wahrscheinlich die Port-Definition sein, wo Sie die Portnummer und das Protokoll identifizieren, die Sie öffnen möchten. Dies kann mehrfach angegeben werden.

Für unseren „Beispiel“ -Dienst stellen Sie sich vor, dass wir Port 7777 für TCP und 8888 für UDP öffnen müssen. Wir könnten die bestehende Definition etwas folgendermaßen  ändern:

/etc/firewalld/services/beispiel.xml

<? Xml version = „1.0“ encoding = „utf-8“?>

<Service>

<Short> Beispiel Service </ short>

<Description> Dies ist nur ein Beispiel Service. Es sollte wohl nicht auf einem realen System verwendet werden. </ Description>

<Port protocol = „tcp“ port = „7777“ />

<Portprotokoll = „udp“ Port = „8888“ />

</ Service>

Speichern und schließen Sie die Datei. Laden Sie Ihre Firewall neu, um Zugang zu Ihrem neuen Service zu erhalten:

sudo firewall-cmd – reload

Sie können sehen, dass es jetzt unter der Liste der verfügbaren Dienste ist:

firewall-cmd -get-services

Ausgabe

RH-Satellite-6 amanda-client bacula bacula-client dhcp dhcpv6 dhcpv6-client dns Beispiel ftp hochverfügbarkeit http https imaps ipp ipp-client ipsec kerberos kpasswd ldap ldaps libvirt libvirt-tls mdns mountd ms-wbt mysql nfs ntp openvpn pmcd pmproxy Pmwebapi pmwebapis pop3s postgresql proxy-dhcp radius rpc-bind samba samba-client smtp ssh telnet tftp tftp-client übertragung-client vnc-server wbem-https

Sie können diesen Service jetzt in all Ihren Zonen verwenden.

Eigene Zonen in firewalld erstellen

Während die vordefinierten Zonen für die meisten Benutzer wahrscheinlich mehr als ausreichend sind, kann es hilfreich sein, eigene Zonen zu definieren, die etwa eine andere Benennung oder Beschreibung haben.

Zum Beispiel möchten Sie vielleicht eine Zone für Ihren Webserver mit dem Namen „publicweb“ erstellen. Allerdings möchten Sie vielleicht eine andere Zone für den DNS-Dienst konfigurieren, den Sie in Ihrem privaten Netzwerk bereitstellen. Vielleicht möchten Sie eine Zone namens „privateDNS“ dafür.

Beim Hinzufügen einer Zone müssen Sie diese der permanenten Firewall-Konfiguration hinzufügen. Sie können die Definition dann erneut laden, um die Konfiguration in Ihrer laufenden Sitzung zu verwenden. Zum Beispiel könnten wir die beiden Zonen, die wir oben besprochen haben, wie folgt erzeugen:

sudo firewall-cmd –permanent –new-zone = publicweb

udo firewall-cmd –permanent –new-zone = privateDNS

Sie können überprüfen, ob diese in Ihrer permanenten Konfiguration vorhanden sind, indem Sie Folgendes eingeben:

sudo firewall-cmd –permanent –get-zonen

Ausgabe

block dmz drop external home internal privateDNS public publicweb trusted work

Wie bereits erwähnt, sind diese in der aktuellen Instanz der Firewall noch nicht verfügbar:

firewall-cmd -get-zonen

Ausgabe

block dmz drop external home internal public trusted work

Laden Sie die Firewall neu, um diese neuen Zonen zu aktivieren:

sudo firewall-cmd – reload

firewall-cmd -get-zonen

Ausgabe

block dmz drop external home internal privateDNS public publicweb trusted work

Jetzt können Sie anfangen, die entsprechenden Dienste und Ports zu Ihren Zonen zuzuordnen. Es ist normalerweise eine gute Idee, die aktive Instanz anzupassen und diese Änderungen nach dem Testen in die permanente Konfiguration zu übertragen. Zum Beispiel können Sie für die „publicweb“ -Zone die SSH-, HTTP- und HTTPS-Dienste hinzufügen:

sudo firewall-cmd – zone = publicweb –add-service = ssh

sudo firewall-cmd –zone = publicweb –add-service = http

sudo firewall-cmd –zone = publicweb –add-service = https

firewall-cmd –zone = publicweb –list-all

Ausgabe

Publicweb

(…)

Ebenso können wir den DNS-Service in unsere Zone „privateDNS“ hinzufügen:

sudo firewall-cmd – zone = privateDNS –add-service = dns

firewall-cmd –zone = privateDNS –list-all

Ausgabe

PrivateDNS

Wir könnten dann unsere Interfaces (z.B. eth0) zu diesen neuen Zonen ändern, um sie auszuprobieren:

sudo firewall-cmd – zone = publicweb – change-interface = eth0

sudo firewall-cmd – zone = privateDNS – change-interface = eth1

An dieser Stelle haben Sie die Möglichkeit, Ihre Konfiguration zu testen. Wenn diese Werte für Sie zufriedenstellen funktionieren, wollen Sie die gleichen Regeln der permanenten Konfiguration hinzufügen. Sie können das tun, indem Sie die Regeln mit dem –permanent-Flag erneut anwenden:

sudo firewall-cmd –zone = publicweb –permanent –add-service = ssh

sudo firewall-cmd –zone = publicweb –permanent –add-service = http

sudo firewall-cmd –zone = publicweb –permanent –add-service = https

sudo firewall-cmd –zone = privateDNS –permanent –add-service = dns

Sie können anschließend Ihre Netzwerkschnittstellen ändern, um automatisch die richtigen Zonen auszuwählen. Wir können etwa die eth0-Schnittstelle mit der „publicweb“ -Zone verbinden:

vi /etc/sysconfig/network-scripts/ifcfg-eth0

/etc/sysconfig/network-scripts/ifcfg-eth0

ZONE =publicWeb

Und Sie können die eth1-Schnittstelle mit „privateDNS“ verknüpfen:

vi/etc/sysconfig/network-scripts/ifcfg-eth1

/etc/sysconfig/network-scripts/ifcfg-eth1

ZONE = privateDNS

Anschließend können Sie Ihre Netzwerk- und Firewall-Services neu starten:

sudo systemctl restart Netzwerk

sudo systemctl restart firewalld

 

Überprüfen der korrekten Zuweisung  der Zone(n)

firewall-cmd –get-active-zonen

Ausgabe

PrivateDNS

interfaces: eth1

Publicweb

interfaces: eth0

So prüfen Sie, dass die entsprechenden Dienste für beide Zonen zur Verfügung stehen:

firewall-cmd –zone = publicweb –list-services

Ausgabe

Http htpps ssh

firewall-cmd –zone = privateDNS –list-services

Ausgabe

Dns

Sie haben Ihre eigenen Zonen erfolgreich eingerichtet. Wenn Sie eine dieser Zonen als Standard für andere Schnittstellen machen möchten, denken Sie daran, dieses Verhalten mit dem Parameter –set-default-zone = <ZONE> zu konfigurieren:

Sudo firewall-cmd –set-default-zone = publicweb

Aktivieren des firewalld Dienstes beim Booten

Am Anfang des Tutorials haben wir unseren Firewall-Service gestartet, aber ihn (noch) nicht aktiviert. Wenn Sie jetzt mit Ihrer aktuellen Konfiguration für den firewalld-Dienst zufrieden sind und ihn getestet haben, können Sie den Service aktivieren damit er beim nächsten Reboot des Centos 7 Servers startet.

Das erledigen Sie mit dem Kommando:

sudo systemctl enable firewalld

Wenn der Server neu gestartet wird, sollte ihre Firewall gestartet werden, deine Netzwerkschnittstellen sollten in den  von Ihnen konfigurierten Zonen gelegt werden (oder auf die konfigurierte Standardzone zurückgreifen), und die Regeln, die mit der Zone (n) verknüpft sind, werden auf die zugehörigen Schnittstellen angewendet.

Fazit zu firewalld unter Centos 7

Sie sollten nun ein gutes Verständnis dafür haben, wie Sie den firewalld-Service auf Ihrem CentOS-7-System für den täglichen Gebrauch verwalten können.

Mit dem firewalld-Dienst können Sie Wartungsregeln und Regelsätze konfigurieren, die Ihre konkrete Netzwerkumgebung berücksichtigen. Es ermöglicht Ihnen, nahtlos zwischen verschiedenen Firewall-Richtlinien durch die Verwendung von Zonen zu wechseln und gibt Ihnen bzw. Administratoren die Möglichkeit, das Port-Management in „freundlichere“ Service-Definitionen zu abstrahieren.

Sollten Sie konkrete Fragen zum Einsatz von Centos 7 oder firewalld in der Praxis haben, so stehen Ihnen die IT-Experten vom IT-Dienstleister Biteno GmbH gerne zur Verfügung.

 

Hinweis: Dieser Artikel ist eine sinngemäße Übersetzung von https://www.digitalocean.com/community/tutorials/how-to-set-up-a-firewall-using-firewalld-on-centos-7