Home

Planung und Integration - FTP Directory Listing

Contents

1. Trusted User Abbildung 3 Typisches virtuelles privates Netz DMZ Demilitarized Zone In der DMZ Demilitarized Zone befinden sich die Ressourcen auf die externe Benutzer zugreifen k nnen Mit IBM Firewall MIMEsweeper und anderen FirstSecure Produkten wird sichergestellt da nur befugte Benutzer auf die DMZ und auch nur auf bestimmte Ressourcen zugreifen k nnen Der Datenverkehr in die und aus der DMZ mu entsprechend berwacht werden Beispielsweise k nnen Sie Ihren Unternehmenskatalog in die DMZ stellen damit potentielle Kunden darauf zugreifen k nnen oder Sie k nnen Bro sch ren mit Informationen ber Ihr Unternehmen in die DMZ stellen Die FirstSecure Komponenten gew hrleisten da nur Trusted User authen tifizierte Benutzer auf die Informationen hinter der DMZ zugreifen k nnen In Abb 4 auf Seite 23 wird eine typische DMZ gezeigt FirstSecure Planung und Integration IBM Firewall Router Norton wahlfrei AntiVirus Server SurfinGate Policy Server Director Authority Abbildung 4 Typische DMZ mit Systemressourcen Beim Entwickeln Ihrer gesicherten Anwendungen k nnen Sie die DMZ als Basis f r einen Intranet Test verwenden bevor Sie ffentliche Zugriffsberech tigung f r diese Anwendungen erteilen Nachfolgend wird gezeigt f r welche Arten von Informationen Internet und Intranet benutzt werden Kapitel 3 bersicht ber ein e business Netz 23 Typisches Int
2. Microsoft Windows AIX Solaris SecureWay Boundary Server Plattformen Komponente Client Server Server Server SurfinGate 4 05 Server Nicht ver Windows Nicht ver Nicht ver f gbar NT 4 02 f gbar f gbar Console Windows Nicht ver Nicht ver Nicht ver NT 4 0 f gbar f gbar f gbar oder h her Windows 95 Windows 98 MIMEsweeper f r IBM SecureWay Release 2 MAILsweeper Nicht ver Windows Nicht ver Nicht ver f gbar NT 4 03 f gbar f gbar WEBsweeper Windows Windows Nicht ver Nicht ver NT NT 4 04 f gbar f gbar Workstation 4 0 Service Pack 3 oder h her Anmerkungen 1 Stellen Sie in der mit IBM Firewall f r Windows NT gelieferten Dokumentation fest welche Korrekturen Fixes erforderlich sind 2 Zudem mu folgendes ber cksichtigt werden e Der Windows Netz Client f r Microsoft Windows ist erforderlich e Windows NT Workstation wird nicht unterst tzt 3 Zudem mu folgendes ber cksichtigt werden e NT 3 5 1 und Windows NT Workstation werden nicht unterst tzt e Es ist eine der folgenden Umgebungen erforderlich Microsoft Exchange SMTP cec Mail Groupwise Lotus Notes berlegungen zu MIMEsweeper auf Seite 70 enth lt Empfehlungen f r MIMEsweeper Kapitel 12 SecureWay Boundary Server Voraussetzungen und berlegungen zur Installation 65 berlegungen zu den SecureWay Boundary Server Komponenten In den folgenden Abschnitten sind die berlegunge
3. Tabelle 11 Seite 2 von 2 Beispielkonfiguration f r eine Windows NT Maschine Maschi Prozes Plattenspeicherplatz Haupt nentyp soren speicher Mittlere Produktionsumgebung Netfinity 1 500 4 Laufwerke 18 2 GB 768 MB 3000 MHz Pentium II Netfinity 2 500 4 Laufwerke 9 1 GB 1 GB 5000 MHz Pentium II Gro e Produktionsumgebung Netfinity 2 450 4 Laufwerke 9 1 GB Hochgeschwin 1 GB 5500 MHz digkeitslaufwerk Pentium II Netfinity 4 500 4 Laufwerke 9 1 GB Hochgeschwin 1 GB 5500 MHz digkeitslaufwerk Pentium III Xeon mit L2 Cache 1024 KB Netfinity 2 500 4 Laufwerke 9 1 GB Hochgeschwin 1 GB 7000 MHz digkeitslaufwerk Pentium III mit L2 Cache 512 KB Netfinity 4 500 4 Laufwerke 18 2 GB 2 GB 7000 MHz Pentium II Xeon mit L2 Cache 1024 KB FirstSecure Planung und Integration Wollen Sie TrustAuthority unter AIX benutzen m ssen Sie Trust Authority auf einer IBM RS 6000 Maschine installieren In der folgenden Tabelle sind Empfehlungen hinsichtlich der Systemgr e aufgef hrt die auf der Anzahl von Zertifikaten basieren die von einer Trust Authority Zertifizierungsstelle ausgegeben werden sollen Tabelle 12 Beispielhardwarekonfiguration f r eine AlX Maschine Maschi Prozes Plattenspeicherplatz Haupt nentyp soren speicher Kleine Produktionsumgebung F40 2 233 2 Laufwerke 512 MB MHz 9 1 GB Ultra 2 Fast Wide
4. Typisches Unternehmens Intranet mit Gesch ftsstellen Mitarbeiter in fernen Gesch ftsstellen m ssen auf dieselben Daten und andere Ressourcen zugreifen k nnen wie Mitarbeiter der Zentrale Telefonleitungen zum Senden und Empfangen von Informationen sind jedoch langsam und gegen b swillige St rungen nicht gesch tzt Sie wollen das Internet als kosteng nstiges Mittel und als Mittel f r einen zus tzlichen Schutz Ihrer Transaktionen einsetzen In Abb 6 wird eine typische Kommunikation zwi schen einer Gesch ftsstelle und der Zentrale ber das Internet gezeigt Intranet der Gesch ftsstelle Internet Intranet IBM Firewall Abbildung 6 ber ein virtuelles privates Netz mit der Zentrale verbundene Gesch ftsstelle Sie wollen Ihre bertragungen und Daten so sichern als ob sie sich innerhalb eines einzigen Standorts bef nden Das virtuelle private Netz VPN ist Ihr Tunnel durch das Internet Sie benutzen das Internet wie ein privates Intranet Netz Ein typischer Mitarbeiter mit Fernzugriff Wenn einige Ihrer Mitarbeiter zeitweise oder permanent au erhalb der Zen trale arbeiten k nnen sie ber eine W hl oder Standleitung ber das Internet auf Ihr Netz zugreifen Internet Intranet Client Fern zugriff im IBM Firewall Abbildung 7 Client der mit einer W hlleitung ber ein virtuelles privates Netz per Fernzugriff auf die Zentrale zugreift W hlverkehr IBM Firewall sch tzt die bertragu
5. Definition 112 Zugriffssteuerungsliste Defini tion 112 FirstSecure Planung und Integration Antwort IBM SecureWay First Secure Planung und Integration Version 2 IBM Teilenummer CT7EHDE Anregungen zur Verbesserung und Erg nzung dieser Ver ffentlichung nehmen wir gerne entgegen Bitte informieren Sie uns ber Fehler ungenaue Darstellungen oder andere M ngel Senden Sie Ihre Anregungen bitte an die angegebene Adresse IBM Deutschland Informationssysteme GmbH SW NLS Center 70548 Stuttgart Kommentare Zu Ihrer weiteren Information Zur Kl rung technischer Fragen sowie zu Lieferm glichkeiten und Preisen wenden Sie sich bitte ent weder an Ihre IBM Gesch ftsstelle Ihren IBM Gesch ftspartner oder Ihren H ndler Unsere Telefonauskunft Hallo IBM Telefonnr 01803 313233 steht Ihnen ebenfalls zur Kl rung allgemeiner Fragen zur Ver f gung 117 118 FirstSecure Planung und Integration Teilenummer CT7EHDE Printed in Denmark CT7EHDE
6. Interaktion von IBM KeyWorks Toolkit und IBM SecureWay Trust Authority 84 Installieren Sie IBM KeyWorks Toolkit nicht auf demselben Server wie IBM SecureWay Trust Authority FirstSecure Planung und Integration Kapitel 15 Toolbox Voraussetzungen und berlegungen zur Installation FirstSecure Toolbox ist eine Gruppe von APls die beim Entwickeln von gesi cherten e business Anwendungen hilfreich sind und folgendes bieten e Berechtigungsservices e Zertifizierungs und Verwaltungsservices e Verzeichnisservices e Secure Sockets Layer Protokollservices e KeyWorks Services f r Verschl sselungs und Authentifizierungsverwal tung IBM Key Recovery Service Provider 1 1 3 0 APIs Der IBM Key Recovery Service Provider erm glicht die Wiederherstellung verschliisselter Informationen IBM Key Recovery Server 1 1 3 0 IBM Key Recovery Server 1 1 3 0 ist eine Anwendung die nach einer berechtigten Anforderung ver schl sselte Informationen wiederherstellen kann wenn Schl ssel unverf gbar verlorengegangen oder besch digt sind Diese beiden Toolkits bieten Standardschnittstellen ber die Anwen dungen kritische Sicherheitsservices aufrufen und Anbieter von Sicherheitsprodukten ihre Produkte in das Toolkit integrieren k nnen Die Standardschnittstellen basieren auf der CDSA Architektur CDSA Common Data Security Architecture Diese Toolkits sind unter Windows NT Solaris und AIX verf gbar Toolbox Har
7. Hardware und Softwarevoraussetzungen IBM KeyWorks Toolkit 1 1 Interaktion von IBM KeyWorks Toolkit und IBM SecureWay Trust Authority IBM Key Recovery Service Provider Toolkit PS BA ee ne ee ed Kapitel 16 Mit FirstSecure gelieferte Dokumentationen Policy Director SecureWay Boundary Server IBM SecureWay Firewall MIMEsweeper SurfinGate Intrusion Immunity Tivoli Cross Site for Security Norton AntiVirus Trust Authority Toolbox Toolbox APIs IBM KeyWorks Toolkit IBM Key Recovery Service Provider Redbooks tiber die Sicherheit Dokumentationspakete FirstSecure Dokumentationspaket Policy Director Dokumentationspaket SecureWay Boundary Server Dokumentationspaket GIOSSAr os ur we A en Aes 107 Teil 4 Anh nge 101 Index 2 2 2 0 eins DE Are 113 Anhang A Bemerkungen 103 Marken acca Hedda are a en 105 RSE snaze toe 2A RO ee en 115 Inhaltsverzeichnis WV Vi FirstSecure Planung und Integration Abbildungsverzeichnis 1 g eN bersicht ber den Internet Datenverkehr bei ungeregelten Aktivit ten Gesicherte Internet Umgebung Typisches virtuelles privates Netz Typische DMZ mit Systemressourcen bersicht ber ein typisches Intranet eines Unternehmens ber ein virtuelles privates Netz mit der Zentrale verbundene Gesch ftsstelle Client der mit einer W hlleitung ber ein virtuelles privates Netz per Fernzugriff auf die Zentrale zugreift Typisches Intranet eines Gesch ftspartners
8. Firewall 66 Installation mit IBM Firewall SurfinGate 68 Installation mit Norton AntiVirus fiir Internet E Mail Gateways IBM Firewall 66 MAILsweeper Modul 41 Neuerungen 15 Nutzung planen 40 Produktdokumentationen 93 Schwerpunkte 6 Softwarevoraussetzungen 64 WEBsweeper 41 Minianwendung Definition 109 Mobiler Code Definition 109 Module FirstSecure 5 MPEG Definition 109 N Namensbereich Definition 109 Netz planen 17 Netzadressenfilterung Defini tion 109 Neuerungen in Release 2 11 Norton AntiVirus Beschreibung 49 Hardwarevoraussetzungen 72 Norton AntiVirus Forts Neuerungen 16 Nutzung planen 49 Produktdokumentationen 94 Produkte 49 Schwerpunkte 7 Norton AntiVirus f r Internet E Mail Gateways Installation mit MIMEsweeper IBM Firewall 66 O Object Request Broker Defini tion 110 OEM Definition 110 P Planung vollst ndiges FirstSecure System 31 Plug In Definition 110 Policy Director Dokumentationen zu Kompo nenten 91 Hardwarevoraussetzungen 61 Installation 62 Neuerungen 11 Nutzung planen 33 42 Schwerpunkte 5 Softwarevoraussetzungen 61 Principal Definition 110 Proxy Server Definition 110 Proxy HTTP 13 Pr fprotokoll Definition 110 Public Key Infrastructure Beschreibung 79 Neuerungen 16 Schwerpunkte 8 R Release 2 Neuerungen 11 RPC Definition 110 S Schl sselpaar aus allgemeinem und pers nlichen Schl ssel Definition 110 Schwerpunkte ACE Server 6 Firewall 6 IB
9. Komponente gelieferten Dokumentationen beschrieben Tivoli Cross Site for Security Zu Tivoli Cross Site for Security Version 1 1 geh ren die folgenden Dokumen tationen in PDF Format Tivoli Cross Site for Security Installation In diesem Dokument werden die Installationsvoraussetzungen aufge f hrt und die Installationsschritte beschrieben Tivoli Cross Site for Security User s Guide Dieses Dokument enth lt eine Produkt bersicht Anweisungen zur Benutzung der Konsole und zur Ausf hrung von Aufgaben Refe renzinformationen wie Befehlszeilenschnittstellen Informationen ber die Konfigurationsdateien und ein Glossar Auf dieses Dokument kann ber die CD ROM zugegriffen werden Norton AntiVirus Norton AntiVirus enth lt die folgenden Dokumentationen f r von FirstSecure unterst tzte Komponenten Alle Dokumente mit Ausnahme der Datei contents txt werden in PDF Format auf der Norton AntiVirus CD geliefert Die Datei contents txt ist eine ASCII Datei auf der Produkt CD Dokumentationen auf der Norton AntiVirus Solution Release 3 04 CD In der auf der Norton AntiVirus Solution Release 3 04 CD befindlichen Datei contents txt sind alle auf der CD vorhandenen Dokumentationen aufgef hrt Verwaltungsl sungen Norton AntiVirus Solution Implementation Guide Siehe docs admin navimp pdf auf der Produkt CD Norton AntiVirus Command Line Scanner Siehe docs navc navcugd pdf auf der Produkt CD Emergency Rescue Disk creation Sieh
10. World Wide Web benutzt wird und bei der der Pfad eines Web Objekts mit dem Servicenamen dem Namen des Unternehmens dem Pfad und dem Dateinamen beginnt beispielsweise http www ibm com software security firstsecure URL Universal Resource Locator V Vault Ein Vault benutzt die Verschl sselung zum Schutz von Informationen gegen unberech tigten Zugriff durch unbefugte Personen wie Systemadministratoren und Eigner anderer Vaults Vaults benutzen zudem digitale Unter schriften als Schutz gegen F lschungen und digitale Zertifizierung als Schutz gegen die Kom munikation mit unbekannten Parteien sowie die Verschl sselung digitale Unterschriften und Zertifizierung zur gesicherten bertragung von Informationen an andere Vaults Verschl sselung Informationen so chiffrieren da die Originalinformationen nur entschl sselt werden k nnen wenn der entsprechende Entschl sselungscode verf gbar ist Virtuelles privates Netz Ein privates Datennetz das zum Einrichten von Fernverbindungen das Glossar 111 Internet und keine Telefonleitungen verwendet Da der Benutzerzugriff auf Ressourcen im Unter nehmensnetz ber einen Internet Service Provider ISP und nicht ber eine Telefongesellschaft erfolgt k nnen die Kosten f r den Fernzugriff erheblich reduziert werden Mit einem virtuellen privaten Netz VPN wird zudem die Sicherheit des Datenaustauschs erh ht In der herk mm lichen Firewall Technologie kann zwar der In
11. kann die in diesem Abschnitt beschriebene Konfiguration benutzt werden 66 FirstSecure Planung und Integration Bei diesem Szenario werden IBM Firewall Norton AntiVirus f r Internet E Mail Gateways und MAILsweeper in einer Kette kombiniert um Post auf Viren und Inhalt zu berpr fen siehe Darstellung in dem folgenden Dia gramm IBM Norton MIMEsweeper Post Firewall Pl MAILsweeper Server f r Internet E Mail Gateways e Die Firewall zeigt auf Norton AntiVirus f r Internet E Mail Gateways als ihren gesicherten Post Server Dieser spezielle Datenverkehr ist nur m glich wenn die korrekten Firewall Regeln definiert werden e Norton AntiVirus f r Internet E Mail Gateways zeigt auf MAILsweeper als Weiterleitungsfunktion f r gesicherte Post und bei abgehender Post auf die Firewall e Wird Post an MAlLsweeper weitergeleitet berpr ft MAILsweeper diese weitergeleitete Post und leitet sie dann anhand der Leitwegtabellen oder MX Satzsuchfunktionen an den korrekten Server weiter Befinden sich MAILsweeper und Norton AntiVirus f r Internet E Mail Gateways auf derselben Maschine mu der empfangende Anschlu Port f r MAILsweeper ge ndert werden um Konflikte mit Norton AntiVirus f r Internet E Mail Gateways zu vermeiden IBM Firewall und WEBsweeper Beispielkonfiguration Wird sowohl IBM Firewall als auch MIMEsweeper installiert kann die in diesem Abschnitt beschriebene Konfiguration benutzt werden MIMEsweeper We
12. 2 ist eine f r Ihre Anfor derungen geeignete gesicherte Internet Umgebung dargestellt Intranet von Gesch fts partner Lieferant IBM Firewall SSL mit Trust Authority N Intranet von N Gesch fts IBM partner Firewall is Lieferant AA Intranet der Z Intranet IBM IBM des Unter nehmens Gesch fts stelle Abbildung 2 Gesicherte Internet Umgebung Zwar bietet das Internet eine umfangreiche Sammlung n tzlicher Informa tionen aber es sind auch Anwendungen Daten und Teilnehmer vorhanden gegen die Sie Ihr Netz abschirmen m ssen Sie m ssen sicherstellen daf e Mitarbeiter nicht von ihren eigentlichen Aufgaben abgehalten werden e Mitarbeiter gegen die Zustellung unerw nschter E Mail gesch tzt sind e sensible Gesch ftsinformationen nicht nach au en gelangen k nnen Kapitel 3 bersicht ber ein e business Netz 21 22 Das virtuelle private Netz Ein virtuelles privates Netz VPN ist das Konzept einer privaten Verbindung ber das Internet auf die unerw nschte Personen oder Anwendungen keinen Zugriff haben In Abb 3 wird ein typisches virtuelles privates Netz gezeigt Die Verbindung ist f r die Benutzer an beiden Enden gegen das Eindringen unerw nschter Benutzer oder Anwendungen gesichert FirstSecure Produkte wie IBM SecureWay Firewall sind beim Aufbau und bei der Unterst tzung virtueller privater Netze hilfreich Internet Intranet des Unternehmens
13. 3 3 und Sun Java Development Kit DK 1 1 7 e Erforderlich Im Trust Authority Datentr gerpaket enthalten e Vor der Installation von Trust Authority m ssen Sie die Web Server Software auf der Maschine installieren auf der auch die Trust Authority und Trust Authority Server Software installiert werden soll IBM DB2 Universal Database Enterprise Edition Version 5 2 mit Wartungs Patch Code 9 e Erforderlich Im Trust Authority Datentr gerpaket enthalten e F r jede Server Komponente ist ein eindeu tiges Datenbankexemplar vorhanden Vor der Installation von Trust Authority m ssen Sie DB2 auf allen Maschinen installieren die als Trust Authority Server benutzt werden sollen 80 FirstSecure Planung und Integration Tabelle 10 Seite 2 von 2 Voraussetzungen f r die Server Software und wahlfreie Hardware f r die Public Key Infrastructure Komponente Trust Authority Produkt Anmerkungen e IBM SecureWay 4758 PCI Cryptographic Coprocessor Modell 001 e IBM SecureWay 4758 CCA Support Program Version 1 3 0 0 mit Wartungs Patch Code 1 3 0 1 e Wahlfrei Nur fiir AIX Systeme verf gbar Sie mtissen dieses Produkt tiber die nor malen IBM Bestellkan le bestellen e Vor der Installation von Trust Authority m ssen Sie die 4758 Hardware und das 4758 Unterst tzungsprogramm auf dem Server installieren auf dem auch die Trust Authority Zertifizierungsstelle installiert werden soll e F r die
14. 4758 Verschltisselungskarte ist ein PCI Bus auf der RS 6000 Maschine erfor derlich In Tabelle 11 und Tabelle 12 auf Seite 83 sind die Server Hardwarevoraussetzungen f r Trust Authority aufgef hrt In Tabelle 11 und Tabelle 12 auf Seite 83 gilt folgendes e Eine kleine Produktionsumgebung gibt t glich Hunderte von Zertifikaten aus e Eine mittlere Produktionsumgebung gibt t glich mehrere Tausend Zertifi kate aus e Eine gro e Produktionsumgebung gibt t glich etliche Tausend Zertifikate aus Es kann sich zudem um ein System handeln das Zertifizierungs stellenservices f r andere Organisationen bernimmt Wollen Sie TrustAuthority unter Windows NT benutzen empfiehlt IBM Trust Authority auf einem IBM Netfinity Server zu installieren In der folgenden Tabelle sind Empfehlungen hinsichtlich der Systemgr e aufgef hrt die auf der Anzahl von Zertifikaten basieren die von einer Trust Authority Zertifizierungsstelle ausgegeben werden sollen Tabelle 11 Seite 1 von 2 Beispielkonfiguration f r eine Windows NT Maschine Maschi Prozes Plattenspeicherplatz Haupt nentyp soren speicher Kleine Produktionsumgebung Netfinity 1 450 2 Laufwerke 9 1 GB 256 MB 3000 MHz Pentium II Netfinity 2 450 2 Laufwerke 9 1 GB 512 MB 5000 MHz Pentium II Kapitel 14 Public Key Infrastructure Voraussetzungen und Uberlegungen zur Installation 81 82
15. Basis der Sicherheitsrichtlinien im Unternehmen indem die Kommunikation zwischen Netzen mit unterschied lichen Sicherheitsmerkmalen gesteuert wird SecureWay Boundary Server beinhaltet folgendes e IBM SecureWay Firewall einschlie lich ACE Server e MIMEsweeper f r IBM SecureWay Release 2 e SurfinGate 4 05 f r Windows NT e Verbesserte Richtlinienverwaltung Kapitel 6 SecureWay Boundary Server im Netz planen 37 38 Eine bersicht ber den Datenflu in einer vollst ndigen SecureWay Boundary Server Installation enth lt Abb 10 Network Dispatcher SurfinGate Network Dispatcher SurfinGate SurfinGate Abbildung 10 bersicht ber den Datenflu in SecureWay Boundary Server Produkten FirstSecure Planung und Integration Einsatz von IBM SecureWay Firewall IBM SecureWay Firewall auch als IBM Firewall bezeichnet steuert bertra gungen in das und aus dem Internet Diese Firewall Technologie sch tzt auch die IBM Ressourcen berlegungen hinsichtlich der Installation stehen in berlegungen zu den SecureWay Boundary Server Komponenten auf Seite 67 Hinsichtlich des Netzbetriebs k nnen folgende Bedenken auftreten e Unbefugter Zugriff auf das Netz die Anwendungen und die Daten des Unternehmens beim Anschlu an das Internet e Mi brauch der Netzressourcen des Unternehmens durch interne Benutzer e Hohe Kosten f r die Verwaltung der Konfiguration einer umfangreichen Extranet Infr
16. Berechtigungs Server installiert sein damit die gesicherte Dom ne eine Anwendung ausf hren kann In einer typischen Entwicklungs umgebung befindet sich der Berechtigungs Server auf demselben Betriebssystem wie das Berechtigungs ADK 36 FirstSecure Planung und Integration Kapitel 6 SecureWay Boundary Server im Netz planen FirstSecure bietet Sicherheit f r web gest tzte Anwendungen die die Vorteile der vorhandenen Sicherheitsstandards wie SSL Secure Sockets Layer SOCKS und IPSec nutzen Beinhaltet die Betriebsumgebung Verbindungen zwischen zwei Teilen des Netzes mit unterschiedlichen Sicherheitsmerkmalen k nnen mit der FirstSecure Komponente SecureWay Boundary Server die folgenden An forderungen erf llt werden e Sichere Verbindungen zum Internet und Minimierung der Gefahr eines unbefugten Zugriffs auf das private Netz e Umfangreiche Extranet Infrastrukturen f r die selektive gemeinsame Datennutzung mit Gesch ftspartnern und Lieferanten e Benutzung des Internet oder anderer relativ ungesicherter Netzsegmente als virtuelles privates Netz VPN bei dem die Vertraulichkeit der Nach richten auch beim Durchlaufen der Infrastruktur des ungesicherten Netzes erhalten bleibt Die FirstSecure Komponente SecureWay Boundary Server benutzt Netz adressenfilter Inhaltsfilter Proxies und Circuit Level Gateways Durch die Kombination dieser Technologien erm glicht SecureWay Boundary Server sichere e business Operationen auf der
17. Dokumentationen F r SecureWay FirstSecure SecureWay Policy Director und SecureWay Boundary Server ist jeweils ein Datentr gerpaket und ein Dokumentations paket verf gbar Datentr gerpakete enthalten Produkt CDs mit denen die zu dem Angebot geh renden Komponenten installiert werden Zudem befinden sich auf einigen dieser CDs Online Dokumentationen Dokumentationspakete enthalten gedruckte B cher Hardcopy B cher zu den Produkten In FirstSecure Dokumentationspaket auf Seite 100 ist der Inhalt der Dokumentationspakete aufgef hrt Policy Director Die folgenden Dokumentationen werden mit den Policy Director Komponenten geliefert IBM SecureWay Policy Director Installation und Konfiguration Diese Dokumentation enth lt Informationen ber die Installation und Konfiguration des IBM SecureWay Policy Director IBM SecureWay Policy Director Administration Guide Diese Dokumentation enth lt Informationen ber die Verwaltung des IBM SecureWay Policy Director Dieses Buch ist in PDF Format ver f gbar IBM SecureWay Policy Director Programming Guide and Reference Diese Dokumentation enth lt Informationen ber das Schreiben von Programmen f r den IBM SecureWay Policy Director Dieses Buch ist in PDF Format verf gbar Informationsdatei Diese Informationen stehen auf dem Web unter www ibm com software security policy zur Verf gung Kapitel 16 Mit FirstSecure gelieferte Dokumentationen 91 SecureWay Boundary Ser
18. Guide Siehe docs navwks nav nref pdf auf der Produkt CD Norton AntiVirus v4 0 User s Guide for Windows NT Siehe docs 351 navntugd pdf auf der Produkt CD Norton AntiVirus v4 0 Reference Guide for Windows NT Siehe docs 351 navntref pdf auf der Produkt CD Norton AntiVirus User s Guide for OS 2 Siehe docs navos2 navos2ug pdf auf der Produkt CD Norton AntiVirus Distribution Guide for OS 2 Siehe docs navos2 navos2dg pdf auf der Produkt CD Norton AntiVirus for Macintosh User s Guide Siehe docs navmac navmac pdf auf der Produkt CD Kapitel 16 Mit FirstSecure gelieferte Dokumentationen 95 White Papers auf der Norton AntiVirus Solution Release 3 04 CD Die CD ent h lt auch White Papers im Verzeichnis sarc Alle White Papers haben PDF Format Videos auf der Norton AntiVirus Solution Release 3 04 CD Auf der CD befinden sich auch Videos Zum Anzeigen eines Videos mu Media Player oder ein anderes Programm installiert sein das Dateien mit der Erweiterung AVI abspielen kann Die Videos befinden sich in den folgenden Dateien SARC sarc sarc avi About Viruses sarc aboutvir avi Norton AntiVirus the Guided Tour navtour guided demo32 exe How to Respond When Norton AntiVirus Alerts You navtour alert demo32 exe A Tour of Norton System Center nsctour setup exe Soll A Tour of Norton System Center direkt von der CD ausgef hrt werden nsctour demo32 exe Weitere Informationen ber A Tour of Norton System Ce
19. Infrastructure Komponente Trust Authority Beispielkonfiguration f r eine Windows NT Maschine Beispielhardwarekonfiguration f r eine AIX Maschine Hardwarevoraussetzungen f r die Toolbox Hardwarevoraussetzungen f r Toolbox Komponenten Softwarevoraussetzungen f r Toolbox Komponenten 73 73 80 81 83 85 86 87 Zu diesem Handbuch IBM SecureWay FirstSecure auch FirstSecure genannt ist ein benutzerfreund liches Ger st mit dem ein Unternehmen e alle Aspekte des Netzbetriebs ber das Web und andere Netze sichern kann e auf den bereits vorhandenen Investitionen in e business aufbauen kann Durch die modulare Struktur der Angebote kann der Ausbau der Sicher heit je nach Bedarf vorgenommen werden e die Gesamtkosten f r ein gesichertes e business reduzieren kann In diesem Buch werden FirstSecure und die Produkte beschrieben aus denen FirstSecure besteht Zudem enth lt es erste Informationen ber die Planung der Benutzung dieser Produkte Die in diesem Buch beschriebenen Produkte sind Teil einer stufenweisen Frei gabe M glicherweise sind nicht alle Produkte gleichzeitig oder in allen L ndern verf gbar Nehmen Sie Kontakt mit dem IBM Vertriebsbeauftragten auf wenn Sie Informationen ber die Verf gbarkeit der einzelnen Produkte ben tigen Abbildungen in diesem Buch Die Abbildungen in diesem Buch dienen nur zu Planungszwecken In den einzelnen Abbildungen ist jeweils nur eine der vielen An
20. Mittlere Produktionsumgebung F40 2 233 3 Laufwerke 1GB MHz 9 1 GB Ultra 2 Fast Wide Gro e Produktionsumgebung F50 4 332 5 Laufwerke ein 2GB MHz 9 1 GB Ultra 2 Fast Wide Laufwerk plus vier 9 1 GB SSA Laufwerke H50 4 332 5 Laufwerke ein 2GB MHz 9 1 GB Ultra 2 Fast Wide Laufwerk plus vier 9 1 GB SSA Laufwerke R50 6 200 2 Laufwerke 1 GB MHz 9 1 GB Ultra 2 Fast Wide R50 8 200 5 Laufwerke ein 2 GB MHz 9 1 GB Ultra 2 Fast Wide Laufwerk plus ein 7133 SSA Geh use mit vier 9 1 GB SSA Laufwerken Kapitel 14 Public Key Infrastructure Voraussetzungen und berlegungen zur Installation 83 Trust Authority Client Hardware und Softwarevoraussetzungen IBM empfiehlt die folgende Workstation Konfiguration f r die Benutzung der Browser Registrierungsformulare und zur Ausf hrung der Trust Authority Client Anwendung e Folgende Konfiguration der physischen Maschine Mindestens Intel 486 Prozessor mit 166 MHz und 32 MB Hauptspei cher Intel Pentium Prozessor mit 200 MHz und mindestens 64 MB Hauptspeicher wird empfohlen Grafikkarte Mindestens ein VGA Video Bildschirm Maus oder mauskompatible Zeigereinheit e Eines der folgenden Betriebssysteme Microsoft Windows 95 Microsoft Windows 98 Microsoft Windows NT Version 4 0 e Einen der folgenden Web Browser Netscape Navigator oder Netscape Communicator Version 3 0 oder h her Microsoft Internet Explorer Version 4 0 oder h her mit aktiviertem Java
21. auf Seite 71 50 FirstSecure Planung und Integration Kapitel 8 Public Key Infrastructure im Netz planen Die Public Key Infrastructure Komponente Trust Authority bietet Internet Anwendungen die Mittel zur Authentifizierung von Benutzern und zur Gew hrleistung einer sicheren Kommunikation Ein Trust Authority System baut auf den PKI Standards PKI Public Key Infrastructure f r die Ver schl sselung und Interoperabilit t auf und bietet die Infrastruktur die zum Ausgeben Ver ffentlichen und Verwalten von digitalen Zertifikaten erforder lich ist Trust Authority beinhaltet folgendes e Unterst tzung f r die Server Plattformen IBM AIX und Microsoft Windows NT e Eine Registrierungsstelle Registration Authority RA die die zur Benutzerregistrierung geh renden Verwaltungsaufgaben ausf hrt Diese Verwaltung die von automatisierten Prozessen oder von Personen vorge nommen werden kann beinhaltet die folgenden Arten von Aufgaben Best tigung der Identit t eines Benutzers Best tigung oder Zur ckweisung von Anforderungen zum Ausstellen Erneuern oder Widerrufen von Zertifikaten berpr fung ob der Benutzer ber den pers nlichen Schl ssel ver f gt der dem allgemeinen Schl ssel in einem Zertifikat zugeordnet ist Einhaltung der Regeln in einem bestimmten Gesch ftsproze oder Zertifikatprofil damit f r bestimmte Arten von Benutzern bestimmte Arten von Zertifikaten ausgegeben werden k nnen Die Registrie
22. da die Installation in einer Entwicklungsumgebung und nicht im Netz erfolgt Testen Sie die Anwendungen innerhalb der Entwicklungsumgebung bevor Sie sie externen Benutzern zur Verf gung stellen Berechtigungsservices ber Berechtigungsservices k nnen Sie berwachen wer die Berechtigung zum Zugriff auf Ihre Web Site hat Die Authentifizierung erfolgt auf der Basis von Kennw rtern oder allgemeinen Schl sseln Durch diese Ma nahmen wird die Integrit t und Vertraulichkeit der Daten auf Ihrer Site gesch tzt Berechti gungsservices erstellen Zugriffssteuerungslisten ACLs in denen definiert ist wer auf Objekte Ihrer Site zugreifen darf und wie dieser Zugriff erfolgen darf Berechtigungsservices erm glichen zudem das Definieren gesch tzter Objekte und das Erstellen von Kennw rtern f r die einstufige Anmeldung Zwecks Vereinfachung der Verwaltung von Sicherheitsrichtlinien werden diese Sicherheits Tools zentral verwaltet Berechtigungsservices werden von den Berechtigungs APIs des IBM SecureWay Policy Director unterst tzt Services f r Zertifizierungsstellen Services f r Zertifizierungsstellen werden von X 509 Public Key Infrastructure for Multiplatforms und dem IBM KeyWorks Toolkit unterst tzt Durch Services f r Zertifizierungsstellen k nnen Sie die Sicherheit durch die Verwaltung digitaler Zertifikate gew hrleisten Diese Services beinhalten APIs f r die gesamte Lebensdauer dieser Zertifikate von der Ausstellung ber
23. die Erneuerung bis zum Widerruf Zudem k nnen sie zum Ver ffentlichen von Listen mit widerrufenen Zertifikaten benutzt werden Die APIs benutzen die Verschl sselung ber allgemeine Schl ssel und Smart Cards als Mittel zur Authentifizierung der Benutzer von Zertifikaten X 509 Public Key Infrastructure for Multiplatforms auch als PKIX bezeichnet wird ber PKIX APIs geliefert Diese APIs erm glichen das Erstellen Ver walten Speichern Verteilen und Widerrufen von Zertifikaten ber die Anwendung f r End Definitionseinheiten End Entity EE die Zertifizie rungsstelle Certificate Authority CA und die Registrierungsstelle Registration Authority RA Die APIs verf gen ber eine Schnittstelle zu IBM SecureWay Trust Authority und basieren auf IBM KeyWorks Kapitel 9 SecureWay Toolbox im Unternehmen planen 53 Informationen ber die PKIX APls enth lt das Buch IBM SecureWay X 509 Public Key Infrastructure for Multiplatforms Programming Guide and Reference Weitere Informationen ber IBM KeyWorks enthalten die Ver ffentlichungen in der Liste der mit der Toolbox gelieferten Dokumentationen in Kapitel 16 Mit FirstSecure gelieferte Dokumentationen auf Seite 91 Verzeichnisservices Verzeichnisservices werden ber den IBM SecureWay Directory Client unter st tzt Verzeichnisservices benutzen das Lightweight Directory Access Protocol LDAP um Verzeichnisse zu verwalten und zu steuern und um auf Verzeichnisse zuzugrei
24. e In Kapitel 16 Mit FirstSecure gelieferte Dokumentationen auf Seite 91 sind alle f r FirstSecure verf gbaren Dokumentationen beschrieben e Im Glossar auf Seite 107 sind die die Sicherheit betreffenden Begriffe aufgef hrt die in diesem Buch benutzt werden Dieses Buch enth lt zudem ein Literaturverzeichnis in dem die Dokumenta tionen zu den einzelnen Produkten beschrieben sind FirstSecure Planung und Integration Jahr 2000 Nachfolgend wird die Jahr 2000 Konformit t von IBM SecureWay FirstSecure beschrieben IBM Produkte in IBM SecureWay FirstSecure Diese Produkte sind Jahr 2000 konform d h sie sind bei Benutzung gem der dazugeh rigen IBM Dokumentation in der Lage Datumsdaten innerhalb und zwischen dem 20 und dem 21 Jahrhundert korrekt zu verarbeiten bereitzustellen und oder zu empfangen vorausgesetzt da alle anderen Pro dukte z B Hardware Software Firmware die zusammen mit ihnen benutzt werden pr zise Datumsdaten ordnungsgem mit ihnen austauschen Produkte anderer Lieferanten F r andere Produkte wurde gegen ber IBM best tigt da diese Produkte Jahr 2000 konform sind IBM trifft diesbez glich keine Aussagen und ber nimmt keine Gew hrleistung f r die Jahr 2000 Konformit t dieser Produkte Bei Fragen bez glich der Jahr 2000 Konformit t dieser Produkte wenden Sie sich bitte direkt an den Hersteller Die Informationen ber Produkte und Ser vices anderer Hersteller als
25. erforderlich sind Installieren Sie den Policy Director so da diese Anforderungen erf llt werden Erstellen und testen Sie die Kunden Server Anwendung zun chst inner halb Ihres Intranets stellen Sie sie noch nicht im Internet zur Verf gung Installieren Sie IBM Firewall zum Schutz der Kunden Server Anwendung F gen Sie der DMZ das Produkt SurfinGate hinzu F gen Sie der DMZ die Produkte MIMEsweeper und Norton AntiVirus hinzu um die Anwendungen zu sch tzen wenn Sie sie im Internet zur Verf gung stellen Wenn Sie die Anwendungen f r den externen Daten verkehr zur Verf gung stellen konfigurieren Sie die Anwendungen so da sie auf Ihre Server zeigen Installieren Sie das Produkt Tivoli Cross Site for Security als Schutz gegen Attacken auf das System und zum Erkennen solcher Attacken F gen Sie innerhalb der DMZ folgendes hinzu Web Server Web Katalog Server Web Inventar Server Kunden Client Anwendungen Gesicherte Kunden Client Anwendungen Mindestens einen Cross Site for Security Agent Testen Sie alle Anwendungen innerhalb der Firewall bevor Sie sie f r den Datenverkehr ffnen Benutzen Sie das SecureWay Boundary Server Tool Network Security Auditor NSA um die festgelegten Regeln zu testen Installieren Sie ein IBM SecureWay Firewall Exemplar um die Software innerhalb der DMZ zu sch tzen Die Standardkonfiguration darf keinen Datenverkehr zulassen damit Sie die Installation testen k nnen bevor Sie si
26. f r AIX Referenzhandbuch Diese Dokumentation enth lt Referenzmaterial ber die Benutzung von IBM Firewall f r AIX IBM SecureWay Firewall Problem Determination Guide for Windows NT and AIX Diese Dokumentation enth lt Anweisungen f r die Fehlerbestim mung IBM SecureWay Firewall VPN Client User s Guide Diese Dokumentation enth lt Informationen ber die Konfiguration und Benutzung eines virtuellen privaten Netzes 92 FirstSecure Planung und Integration MIMEsweeper Zu MIMEsweeper geh ren die folgenden Dokumentationen MIMEsweeper Administrator s Guide Dieses Buch enth lt einen Abschnitt Release Notes gefolgt von Informationen f r den Administrator zu denen auch Informationen f r die Planung und Installation geh ren Dieses Buch ist auf der Produkt CD in HTML Format verf gbar Es kann online mit einem Web Browser durch Aufrufen der Datei DOC MANUAL HTM angezeigt werden MIMEsweeper Release Notes Diese Dokumentation enth lt aktualisierte Informationen einschlie lich der Informationen ber die Installation und Anweisungen zum Anzeigen der Online Dokumentation Diese Dokumentation ist auf der Produkt CD in HTML Format ver f gbar und kann online mit einem Web Browser durch Aufrufen der Datei DOC RELNOTES HTM angezeigt werden MIMEsweeper Configuration Editor Help Dieses Dokument enth lt Informationen ber das Bearbeiten der MIMEsweeper Konfigurationsdateien Dieses Dokument ist auf der Produkt CD in HT
27. gt und die Verwaltung und Steue rung kann zentraler erfolgen Policy Director Der Policy Director bietet die folgenden Erweiterungen Unterst tzung f r das IBM SecureWay Directory zum Speichern von Informationen ber die Berechtigung von Benutzern und Gruppen Neueste Aktualisierungen an der Spezifikation der Authorization API der Open Group F higkeit zum Definieren und Bearbeiten der Berechtigungen von IBM Firewall Proxy Benutzern ber die Policy Director Verwaltungskonsole Management Console Policy Director Credentials Acquisition Service CAS der die Benutzung externer Authentifizierungsservices unterst tzt Unterst tzung der zertifikatgest tzten Authentifizierung auf Client Seite ber den neuen Policy Director Credentials Acquisition Service CAS F higkeit zum Schreiben eigener angepa ter CAS Funktionen ber die IDL Schnittstelle IDL Interface Definition Language zwischen WebSEAL und dem Policy Director CAS Der Policy Director bietet zudem das allgemeine Server Ger st das die Policy Director CAS Server Funktionen verarbeitet beispielsweise das Starten die Server Re gistrierung und die Signalverarbeitung M glichkeit zur Benutzung eines SSL Tunnelmechanismus SSL Secure Sockets Layer zus tzlich zu dem GSS Tunnelmechanismus GSS Generic Security Services Benutzung der Policy Director Verwaltungskonsole Management Console oder Befehlszeilenschnittstelle zur Verwaltung der Richtlinien
28. ist Teil des Konzepts der Verschl sselung ber Schl ssel paare 1976 von Diffie und Hellman eingef hrt um das Problem der Schl sselverwaltung zu l sen In ihrem Konzept erh lt jede Person ein Schl sselpaar aus allgemeinem Schl ssel und per s nlichem Schl ssel Der allgemeine Schl ssel der einzelnen Personen wird ver ffentlicht w hrend der pers nliche Schl ssel geheim bleibt Absender und Empf nger m ssen geheime Informationen nicht gemeinsam benutzen F r die gesamte Kom munikation sind nur allgemeine Schl ssel erfor derlich und die pers nlichen Schl ssel werden nie bertragen oder gemeinsam benutzt Bestimmte DFV Kan le m ssen nicht mehr gesi chert werden um sie gegen unbefugte Zugriffe und Manipulation zu sch tzen Die allgemeinen Schl ssel m ssen ihren Benutzern lediglich in einer gesicherten authentifizierbaren Weise zugeordnet werden beispielsweise in einem Authentifizierungsverzeichnis Trusted Directory Jeder kann anhand der allgemeinen Informa tionen eine vertrauliche Nachricht senden Die Nachricht kann jedoch nur mit einem pers n lichen Schl ssel entschl sselt werden der im Besitz des vorgesehenen Empf ngers ist Zudem kann die Verschl sselung ber Schl sselpaare nicht nur zur Sicherung der Vertraulichkeit der Daten sondern auch f r die Authentifizierung digitale Unterschriften benutzt werden Secure Sockets Layer SSL 1 Ein IETF DFV Standardprotokoll mit integrierten Sic
29. lt das Buch IBM SecureWay Policy Director Installa tion und Konfiguration Konfigurationsbeispiel Installierte Komponenten Ein Server mit dem einzigen Exemplar des Nur Verwaltungs Server Verwaltungs Servers f r die gesicherte Dom ne In diesem Szenario befindet sich der Verwaltungs Server auf seinem eigenen System Der Verwaltungs Server pflegt die Berechti gungsstammdatenbank f r die gesicherte Dom ne vervielf ltigt diese Datenbank in der gesicherten Dom ne und pflegt Positionsinfor mationen ber andere Policy Director Server Maschinen in der gesicherten Dom ne WebSEAL Server Security Manager mit WebSEAL Dieses Szenario stellt die L sung zum Schutz eines Web Speicherbereichs dar WebSEAL unterst tzt Backend Server damit eine hohe Verf gbarkeit und Fehlertoleranz gegeben ist NetSEAL Server Security Manager mit NetSEAL Dieses Szenario stellt die L sung zum Sichern eines virtuellen privaten Netzes dar und bietet Zugriffssteuerung f r vorhandene Netzservices und Netzservices anderer Anbieter Ein kombinierter WebSEAL und Security Manager mit NetSEAL Server WebSEAL und NetSEAL Ein Server durch den Anwendungen anderer Berechtigungs Server Anbieter auf den Policy Director Berechtigungsservice Authorization Service zugreifen k nnen Ein Server der eine Entwicklungsumgebung f r Berechtigungs Server und Entwickler bietet die Anwendungen anderer ADK Anbieter aufbauen wollen die d
30. spielsweise f r die Weiterbildung das Gesch ft oder auch nur zum Ver gn gen werden im Internet auch Daten bertragen die absichtlich oder unabsichtlich Schaden anrichten k nnen Abb 1 auf Seite 20 enth lt eine bersicht ber das Internet und zeigt wie Ihr Datenverkehr das Internet zusammen mit dem Datenverkehr der anderen Internet Teilnehmer durch l uft Mit FirstSecure k nnen Sie Ihre bertragungen sichern indem Sie sie von dem gesamten anderen Datenverkehr trennen Kapitel 3 bersicht ber ein e business Netz 19 Ferner Benutzer Heimt ckischer Benutzer Intranet von Gesch fts partner Lieferant Intranet des Unter eet BS IR IR Abbildung 1 bersicht ber den Internet Datenverkehr bei ungeregelten Aktivit ten Intranet der Gesch fts stelle Sie wollen Ihren Internet Datenverkehr nat rlich nicht in einer solchen Intern et Umgebung abwickeln sondern in der durch FirstSecure gesch tzten und in Abb 2 auf Seite 21 dargestellten Umgebung FirstSecure Planung und Integration Die ideale durch FirstSecure gesch tzte Internet Umgebung Client Fernzugriff Internet im W hlverkehr Ein gro er Teil ihres e business Datenverkehrs durchl uft das Internet Sie wollen Ihre Transaktionen jedoch nicht in einer typischen Internet Umgebung als eine umfangreiche Sammlung von beliebigen Daten abwickeln die f r fast alle Teilnehmer mit einem PC sichtbar sind In Abb
31. stungsf higen Authentifizierungsfunktionen wurde dieses Protokoll von vielen Anbietern von Produkten f r virtuelle private Netze als Proto koll f r gesicherte Punkt zu Punkt Verbindungen ber das Internet bernommen ISV Independent Software Vendor unabh n giger Softwarelieferant J Java Eine Gruppe von netzgest tzten plattform unabh ngigen Computertechnologien die von der Sun Microsystems Incorporated entwickelt wurden Die Java Umgebung besteht aus dem Java Betriebssystem den virtuellen Maschinen f r verschiedene Plattformen der objektorientierten Programmiersprache Java und mehreren Klassen bibliotheken JavaScript Eine prozedurbasierte Sprache die Java hnlich ist und von Netscape f r den Netscape Browser entwickelt wurde K Kanal Ein Pfad ber den Signale gesendet werden k nnen Kerberos Eine gesicherte Methode zur Authen tifizierung eines Services der einen Computer anfordert Kerberos wurde in dem Athena Project am Massachusetts Institute of Technology MIT entwickelt In der griechischen Mythologie ist Kerberos ein Hund mit drei K pfen der das Tor zum Hades bewacht Mit Kerberos kann ein Benutzer eine verschl sselte Zugriffsberechtigung von einem Authentifizierungsproze anfordern mit der dann ein bestimmter Service von einem Server angefordert werden kann Das Kennwort des Benutzers mu nicht ber das Netz ber geben werden L LDAP Lightweight Directory Access Protoc
32. t geboten wird ACE Server Der ACE Server von Security Dynamic enth lt SecurID Token 2 Benutzerli zenzen und 2 Token Der ACE Server fiigt IBM SecureWay Firewall eine Administrator Anmeldung und eine Verbindung fiir ein virtuelles privates Netz VPN hinzu MIMEsweeper f r IBM SecureWay Release 2 MIMEsweeper von Content Technology enth lt Komponenten f r die Sicher heit im Internet MAILsweeper berpr ft E Mail um sicherzustellen da keine vertraulichen Informationen Ihr Netz verlassen k nnen und keine uner laubte E Mail in Ihr Netz gelangt WEBsweeper verhindert da unerw nschtes Web Material in Ihr Netz gelangt WEBsweeper durchsucht Daten und akzeptiert nur Daten von zu l ssigen Java Minianwendungen ausf hrbaren Codes oder Web Sites SurfinGate SurfinGate von Finjan Software Ltd ist eine Sicherheitsl sung zur berwa chung von mobilem Code f r das e business Da mobiler Code oft auto matisch und routinem ig von au en in Ihr e business Netz gelangt reicht der Schutz durch Firewalls nicht aus SurfinGate sch tzt Ihr Netz gegen Attacken durch Java ActiveX und JavaScript Code SurfinGate erkennt m g liche feindliche Attacken bevor sie in das Netz gelangen k nnen und h lt sie dadurch von Ihren kritischen Ressourcen fern SurfinGate isoliert verd chtige Daten damit sie berpr ft werden k nnen bevor sie akzeptiert werden FirstSecure Planung und Integration Intrusion Immunity Intrusion Im
33. 26 FirstSecure Planung und Integration Dieser Gesch ftspartner benutzt statt eines virtuellen privaten Netzes das Pro tokoll SSL Secure Sockets Layer da die bertragungen von einem Ende zum anderen Ende verschl sselt werden Der Benutzer kann als zus tzliche Sicherheit auch noch ein virtuelles privates Netz verwenden Sie m ssen diese Benutzer voreinander und gegen b swillige St rungen und Eindringlinge sch tzen Sie m ssen ihre Daten bertragungen gegen unbefugte Empf nger und Absender sch tzen Zudem m ssen Sie sicherstellen da diese Benutzer nur auf die Daten zugreifen k nnen auf die sie zugreifen d rfen Auch m ssen Sie sicherstellen da die Identit t dieser Benutzer ber pr ft werden kann Daten und Datenbanken Daten geh ren zu den wertvollsten Ressourcen von Unternehmen Bestimmte e business Daten sollen f r alle Internet Benutzer zug nglich sein Beispiels weise kann ein Hardware Verteiler Bestands und Preislisten f r den Online Einkauf bereitstellen Ein Bekleidungsgesch ft kann einen illustrierten Online Katalog mit Formen Farben und Gr en f r den Online Einkauf bereitstellen Bevor Sie Zugriff auf Daten erteilen m ssen Sie wissen wer die Daten anfor dert und warum die Daten angefordert werden Benutzen Sie Trust Authority zum Ausgeben von Zertifikaten an Trusted User authentifizierte Benutzer Kapitel 3 bersicht ber ein e business Netz 27 Weitere zu sch tzende Bereiche
34. 28 In diesem Buch wird nicht auf Gegenma nahmen f r andere Sicherheitsbe reiche eingegangen Sie m ssen auch folgendes planen e Standortsicherheit Erteilung und Entzug des Zugriffs auf den Standort Aufsplitterung des Standorts e Physische Sicherheit von Laptop Computern Personal Computern und Workstations und anderen Containern e berpr fung des pers nlichen Hintergrunds auf eventuelle Sicherheitsri siken e Ablehnungserkl rungen f r Haftung Vertr ge usw e Betriebspraktiken wie Schl sselverwaltung Informationssteuerung und Informationen und Schulungen bez glich der Sicherheit Betriebssystem Die meisten Betriebssysteme sind so konfiguriert da sie eine hohe Verf g barkeit und umfangreiche Funktionen bieten Ein effektives Sicherheitskonzept beinhaltet beispielsweise da f r eine bestimmte Aufgabe nur das Minimum an erforderlichen Funktionen zur Verf gung steht Sie sollten in Erw gung ziehen alle Betriebssystemfunktionen zu deinstallieren oder zu inaktivieren auf die Eindringlinge keinen Zugriff haben d rfen Typische Benutzer Im Internet gibt es verschiedene Arten von Benutzern teils mit guten teils mit schlechten Absichten Im e business sollen Benutzer Kunden sein und online einkaufen und nach Informationen suchen k nnen Im e business sollen Gesch ftspartner auf bestimmte Daten zugreifen k nnen um beispielsweise den Bestand zu berpr fen Entscheidungen zur Fertigung zu treffen oder K
35. CPU 24 MB Minimum CD ROM Lauf 16 MB werk Empfohlen 32 MB Norton AntiVirus f r Internet Pentium 6 MB 32 MB CD ROM Lauf E Mail Gateways 133 oder werk h her 500 MB 5 GB f r effizienten Postbetrieb Tabelle 9 Softwarevoraussetzungen f r Norton AntiVirus Microsoft Windows OS 2 Intrusion Immunity Komponente Plattformen Client Server Client Norton AntiVirus Windows NT Windows NT OS 2 2 11 4 0 4 0 oder h her Windows 95 Windows 98 Anmerkungen erforderlich Norton AntiVirus ist auf AIX und Solaris nicht verf gbar 1 Zudem ist eine TCP IP Internet Verbindung f r Norton AntiVirus f r Internet E Mail Gateways Kapitel 13 Intrusion Immunity Voraussetzungen und berlegungen zur Installation 73 74 Tivoli Cross Site for Security Installationsvoraussetzungen In den folgenden Abbildungen werden typische Anordnungen von Cross Site for Security Agents und Cross Site for Security Verwaltungs Server in einem e business Netz gezeigt Server mit Agent Unix Server mit Sicher heits Agent SMTP DNS Server Server Abbildung 11 Installation des Cross Site for Security Verwaltungs Servers in der DMZ Standort FirstSecure Planung und Integration Server mit Server mit Server mit Sicherheits Sicherheits Sicherheits Agent Agent Agent Standort bergreifender Server Firewall Web Server mit Sicher heits Agent SMTP Server DNS Server mit Sicher mit Siche
36. Das Ergebnis dieser Integration ist eine Gruppe von Laufzeitanwendungen und Middleware f r Server und Clients die innerhalb der Betriebsumgebung en verteilt werden Die anderen FirstSecure Elemente h ngen in der Zwischenzeit bei allen Verschl sselungsservices und Opera tionen die die Sicherheitsrichtlinien betreffen von IBM KeyWorks Toolkit ab Wird bei der Integration IBM KeyWorks Toolkit benutzt m ssen Systembe rater und Systemprogrammierer verf gbar sein die gro e Erfahrung mit dem Entwurf und der Programmierung von Verschl sselungsfunktionen sowie mit Middleware und Ger sten haben oder es mu auf Vertragsfirmen oder OEMs zur ckgegriffen werden die eine solche Erfahrung aufweisen F r Service Provider liefert das Ger st die Standard SPI Service Provider Interface CDSA der Open Group IBM hat die SPI durch Funktionen zur Schl sselwiederherstellung erweitert IBM KeyWorks Toolkit SDK enth lt Service Provider Plug In Module die offene Standards und private Zertifikate f r allgemeine Schl ssel unterst tzen Diese Module enthalten PKCS 11 die BSAFE Verschl sselungsfunktionen der RSA Data Security X 509V3 Zertifikate die Authentifizierungsrichtlinien von Entrust und Verisign sowie das LDAP Protokoll Lightweight Directory Access Protocol Das Ger st erm glicht eine nahtlose Integration der Ver schl sselungs Authentifizierungs und Sicherheitsfunktionen die ber die Module unabh ngiger Service Provider zur Ve
37. IBM SecureWay FirstSecure Planung und Integration Version 2 IBM SecureWay FirstSecure Planung und Integration Version 2 m Anmerkung Vor Verwendung dieser Informationen und des darin beschriebenen Produkts sollten die allgemeinen Informa tionen unter Anhang A Bemerkungen auf Seite 103 gelesen werden Diese Ver ffentlichung ist eine bersetzung des IBM SecureWay FirstSecure Planning and Integration IBM Form CT7EHNA herausgegeben von International Business Machines Corporation USA Copyright International Business Machines Corporation 1999 Copyright IBM Deutschland Informationssysteme GmbH 1999 Informationen die nur f r bestimmte L nder G ltigkeit haben und f r Deutschland sterreich und die Schweiz nicht zutreffen wurden in dieser Ver ffentlichung im Originaltext bernommen M glicherweise sind nicht alle in dieser bersetzung aufgef hrten Produkte in Deutschland angek ndigt und ver f gbar vor Entscheidungen empfiehlt sich der Kontakt mit der zust ndigen IBM Gesch ftsstelle nderung des Textes bleibt vorbehalten Herausgegeben von SW NLS Center Kst 2877 November 1999 Inhaltsverzeichnis Zu diesem Handbuch ix Abbildungen in diesem Buch ix Zielgruppe ah he ea x Aufbau des Handbuchs x Palin 20007 an Paice ds on eee Ae ke A xi Service und Unterst tzung xi Konventionen xii Web Inform
38. IBM wurden von den Herstellern dieser Produkte zur Verf gung gestellt bzw aus von ihnen ver ffentlichten Ank ndigungen oder anderen ffentlich zug nglichen Quellen entnommen IBM hat den Inhalt dieser Ver ffentlichungen nicht gesondert berpr ft und bernimmt keine Verantwortung f r die Richtigkeit und Vollst ndigkeit der Informationen in diesen Ver ffentlichungen Service und Unterst tzung Nehmen Sie Kontakt mit IBM auf wenn Sie f r ein Produkt des SecureWay FirstSecure Angebots Service und Unterst tzung ben tigen In den Dokumen tationen f r einige dieser Produkte wird auf die Kontaktaufnahme mit anderen Unternehmen hingewiesen wenn Service und Unterst tzung ben tigt werden Werden diese Produkte als Bestandteil des SecureWay FirstSecure Angebots geliefert nehmen Sie Kontakt mit IBM auf wenn Sie Service und Unterst tzung ben tigen Zu diesem Handbuch Xi Konventionen In diesem Buch werden die folgenden Konventionen benutzt e Fettdruck Namen von auszuw hlenden Elementen Namen von Befehlen Text den ein Benutzer eingibt oder Beispiele im Flie text sind fett darge stellt e Monospace Schrift Beispiele wie fiktive Pfad oder Dateinamen sowie Texte die in Anzeigen erscheinen sind in Monospace Schrift dargestellt Web Informationen Information ber die neuesten Aktualisierungen an FirstSecure sind im Internet unter www ibm com software security an folgenden Stellen zu finden IBM Secur
39. M Firewall 6 Intrusion Immunity 7 MIMEsweeper 6 Norton AntiVirus 7 Policy Director 5 Public Key Infrastructure 8 SecureWay Boundary Server 5 SurfinGate 6 Tivoli Cross Site for Security 7 Toolbox 8 Trust Authority 8 Secure Sockets Layer Definition 110 SecureWay Boundary Server Dokumentationen zu Kompo nenten 92 Hardwarevoraussetzungen 63 Komponenten 37 Neuerungen 12 Nutzung planen 37 Schwerpunkte 5 Softwarevoraussetzungen 64 Uberlegungen zur Installation 66 Voraussetzungen 63 Server Definition 111 Socks Server Definition 111 SOCKS Definition 111 Softwarevoraussetzungen IBM Firewall 64 IBM Key Recovery Service Provider 87 IBM KeyWorks Toolkit 87 Intrusion Immunity 71 MIMEsweeper 64 Policy Director 61 SecureWay Boundary Server 64 Softwarevoraussetzungen Forts SurfinGate 64 Tivoli Cross Site for Security 71 Toolbox 87 Trust Authority 80 Spam Definition 111 SurfinConsole 42 SurfinGate Hardwarevoraussetzungen 63 Installation mit IBM Firewall 68 Installation mit IBM Firewall MIMEsweeper 68 Neuerungen 15 Produktdokumentationen 93 Schwerpunkte 6 Softwarevoraussetzungen 64 SurfinConsole Komponente 42 SurfinGate Datenbank Kom ponente 43 SurfinGate Server Kompo nente 42 SurfinGate Datenbank 43 SurfinGate Server 42 T TCP IP Definition 111 Telnet Definition 111 Tivoli Cross Site for Security Datenverkehr berwachen 48 in Ihrem Netz 48 Neuerungen 15 Nutzung planen 45 Sc
40. ML Format verf gbar SurfinGate Zu SurfinGate geh ren die folgenden Softcopy Dokumentationen SurfinGate Installation Guide Diese Dokumentation enth lt Informationen ber die Installation und Konfiguration der SurfinGate 4 05 Komponenten unter Windows NT Es steht eine PDF Version des Buchs SurfinGate Installation Guide zur Verf gung Sie befindet sich auf der Produkt CD in der folgenden Datei docs install pdf SurfinGate User Guide Diese Dokumentation enth lt Informationen ber die Planung und Benutzung von SurfinGate Es steht eine PDF Version des Buchs SurfinGate User Guide zur Verf gung Sie befindet sich auf der Produkt CD in der folgenden Datei docs manual pdf SurfinGate 4 05 for Windows NT Release Notes Diese Dokumentation enth lt Informationen ber SurfinGate 4 05 ein schlie lich der Systemvoraussetzungen und der Einschr nkungen f r das Produkt Es steht eine PDF Version der SurfinGate 4 05 for Windows NT Release Notes zur Verf gung Sie befindet sich auf der Produkt CD in der folgenden Datei docs relnotes pdf Kapitel 16 Mit FirstSecure gelieferte Dokumentationen 93 SurfinGate for Windows NT UNIX Solaris Release Notes Appendix A Diese Dokumentation ist ein Online Dokument in dem die nde rungen an SurfinGate erkl rt sind Dieses Dokument befindet sich auf der Produkt CD in der folgenden Datei docs rnappen pdf Intrusion Immunity In den folgenden Abschnitten sind die mit der Intrusion Immunity
41. Produkte anderer Hersteller als IBM wurden von den Herstellern dieser Produkte zur Verf gung gestellt bzw aus von ihnen ver f fentlichten Ank ndigungen oder anderen ffentlich zug nglichen Quellen ent nommen IBM hat diese Produkte nicht getestet und bernimmt im Hinblick auf Produkte anderer Hersteller keine Verantwortung f r einwandfreie Funk tion Kompatibilit t oder andere Anspr che Fragen hinsichtlich des Lei stungsspektrums von Produkten anderer Hersteller als IBM sind an den jeweiligen Hersteller des Produkts zu richten Die oben genannten Erkl rungen bez glich der Produktstrategien und Absichtserkl rungen von IBM stellen die gegenw rtige Absicht der IBM dar unterliegen nderungen oder k nnen zur ckgenommen werden und repr sentieren nur die Ziele der IBM Alle von IBM angegebenen Preise sind empfohlene Richtpreise und k nnen jederzeit ohne weitere Mitteilung ge ndert werden H ndlerpreise k nnen u U von den hier genannten Preisen abweichen FirstSecure Planung und Integration Marken Diese Informationen dienen nur zu Planungszwecken Die in dieser Ver ffent lichung enthaltenen Informationen k nnen ge ndert werden bevor die beschriebenen Produkte verf gbar sind Folgende Namen sind in gewissen L ndern Marken der International Business Machines Corporation AIX AIX 6000 DB2 DB2 Universal Database eNetwork Global Sign On GSO IBM Netfinity OS 2 RS 6000 SecureWay Websphere Inte
42. Server L sungen Norton AntiVirus 4 08 fiir Windows NT 3 51 Norton AntiVirus 5 02 fur Windows NT 4 0 Norton AntiVirus 4 04 f r NetWare Norton AntiVirus 2 0 f r Lotus Notes und OS 2 Norton AntiVirus 1 52 fiir Microsoft Exchange e Gateway L sungen Norton AntiVirus 1 02A fiir Internet E Mail Gateways fiir NT Norton AntiVirus 1 04 fiir Firewalls e Verwaltung Norton System Center 3 1 Norton AntiVirus 5 03 fiir Macintosh Administrator Norton AntiVirus Plus 5 0 fiir Tivoli Enterprise Norton AntiVirus Plus 5 0 f r Tivoli IT Director Weitere Verwaltungs Tools wie Norton AntiVirus Network Manager NAV32 NAVNETW v3 01 Weitere Informationen ber Norton AntiVirus stehen in der Datei contents txt die sich im Stammverzeichnis der Norton AntiVirus CD befindet Anmerkung M glicherweise enth lt die Norton AntiVirus Dokumentation Informationen ber die Kontaktaufnahme mit Symantec wenn Service und Unterst tzung ben tigt werden Wird Norton AntiVirus Solution Release 3 04 jedoch als Teil des Angebots SecureWay FirstSecure geliefert mu Kontakt mit IBM aufge nommen werden wenn Service und Unterst tzung ben tigt werden Die genauen Installationsschritte stehen in den mit den einzelnen Produkten gelieferten Dokumentationen Informationen ber die Hardware und Soft warevoraussetzungen enth lt Kapitel 13 Intrusion Immunity Vorausset zungen und berlegungen zur Installation
43. Site for Security Verwaltungs Server so konfigurieren da ein Alert an die Konsole oder eine E Mail an einen Administrator gesendet oder der Administrator im Bereitschaftsdienst informiert wird FirstSecure Planung und Integration Tivoli Cross Site for Security Lizenzberechtigung erhalten Zum Aktivieren Ihres Tivoli Cross Site for Security Produkts ben tigen Sie eine angepa te Lizenzberechtigung Diese Lizenzberechtigung k nnen Sie ber die Tivoli Cross Site Web Site abrufen indem Sie die folgenden Schritte ausf hren 1 Legen Sie den Berechtigungsnachweis das Dokument Passport Advantage Proof of Entitlement der mit allen FirstSecure Produkten geliefert wird die Tivoli Cross Site for Security CD ROM und das Buch Tivoli Cross Site for Security Installation bereit Suchen Sie die Bestellnummer eine achtstellige Zahl die mit einer 5 beginnt und die Kundennummer eine siebenstellige Zahl die mit einer 7 beginnt auf dem Berechtigungsnachweis Passport Advantage Proof of Entitlement Sie benutzen diese Nummern f r den ersten Zugriff auf die Tivoli Cross Site Web Site Melden Sie sich an einem Computer mit Internet Zugang mit einem Web Browser an der Tivoli Cross Site Web Site an Die Adresse URL der Web Site ist www cross site com support licensing Geben Sie die Bestellnummer die Kundennummer und Kontaktin formationen ein Sie m ssen auch den Dom nennamen des Servers angeben auf dem Tivoli Cross Site for Securit
44. Widerrufen von Zertifikaten best tigen oder zur ckweisen kann Ein Protokollierungssubsystem das Nachrichtenauthentifizierungscodes Message Authentication Codes MACs benutzt um sicherzustellen da von der Trust Authority Registrierungsstelle oder Zertifizierungsstelle zugestellte Ereignisse authentifiziert werden k nnen ber eine konfi gurierbare Option kann zudem die Integrit t von Protokolleintr gen bei der Protokollierung gesch tzt werden Mehrere Verwaltungsschnittstellen f r das Konfigurieren des Systems das ndern von Kennw rtern bergreifende Zertifizierungsstellen Pr fprotokolle zur Integrit tspr fung und das gesicherte Starten und Stoppen von Systemkomponenten Eine Anwendungsprogrammierschnittstelle mit der Anwendungsent wickler angepa te PKI Anwendungen schreiben k nnen Integrierte Laufzeitunterst tzung f r die IBM DB2 Universal Database F r das IBM SecureWay Directory und die Registrierungsstelle die Zerti fizierungsstelle und die Protokollierungskomponente sind separate Daten banken vorhanden Einsatz von Trust Authority 52 Das Buch IBM SecureWay Trust Authority Einf hrung enth lt genaue Informa tionen ber die Planung und Installation Dieses Buch enth lt Szenarien und Schritte f r die Installation unter Windows NT Servern und AIX FirstSecure Planung und Integration Kapitel 9 SecureWay Toolbox im Unternehmen planen Planen Sie die Installation von FirstSecure Toolbox so
45. Zudem sollten Sie den Raum berwachen damit Sie feststellen k nnen wann und von wem der Raum betreten wurde Installieren Sie zur Optimierung der Sicherheit Bewegungsdetektoren sowohl innerhalb als auch au erhalb der T r DFV Steuerung Auf dem Trust Authority Server sollten keine offenen Ersatzan schl sse vorhanden sein Sie sollten das System so konfigurieren da nur Anforderungen auf den Anschl ssen akzeptiert werden die den aktiven Trust Authority Anwendungen explizit zugeordnet sind Gehen Sie anhand Ihrer im Unternehmen blichen Prozeduren und Anforde rungen vor um die im e business benutzte Hardware zu sichern 30 FirstSecure Planung und Integration Kapitel 4 FirstSecure im e business Netz planen In den folgenden Kapiteln wird gezeigt wie die FirstSecure Produkte in das e business eingebunden werden k nnen Die Kapitel bauen auf den Abbil dungen in Kapitel 3 bersicht ber ein e business Netz auf Seite 19 auf Jedes Produkt wird n her beschrieben Vollst ndige Informationen ber ein Produkt enth lt die mit dem Produkt gelieferte Dokumentation Die Szenarien f r die Nutzung sind lediglich Vorschl ge In allen Szenarien f r die Nutzung f hren Sie dieselben grundlegenden Schritte aus 1 Sorgen Sie daf r da alle Teile des Netzes dieselbe Zeitreferenz ver wenden damit die Pr fprotokolle vereinfacht werden und genauer sind 2 Installieren und testen Sie Komponenten zun chst in Ihrem Intra
46. apitel 1 Beschreibung von FirstSecure 3 Vorteile von FirstSecure 4 Ihre Daten und Ressourcen sind wichtig f r Ihr e business Gemeinsam bieten die FirstSecure Produkte folgendes Schutz durch Vergabe von Berechtigungen Jeder mu die Regeln befolgen Durch die Vergabe von Berechti gungen k nnen nur zugelassene Benutzer auf die Systeme Daten Anwendungen und Netze zugreifen Schutz durch berpr fbarkeit Sie k nnen ermitteln wer wann welche Aktion vorgenommen hat Durch die berpr fbarkeit k nnen Sie ermitteln wer eine Aktion vor genommen hat und welche Aktionen innerhalb eines bestimmten Zeitintervalls vorgenommen wurden Schutz durch Zuverl ssigkeit Sie k nnen sicher sein da das System die versprochene Sicherheit bietet und die geforderte Stufe der Sicherheit erzwungen wird Schutz durch Verf gbarkeit Das System ist verf gbar wann immer es ben tigt wird Durch diesen Schutz bleiben Systeme Daten Netze und Anwendungen f r Mitar beiter Lieferanten Gesch ftspartner und Kunden verf gbar Schutz durch Verwaltbarkeit Sie k nnen die Regeln definieren Durch diesen Schutz k nnen Sie Richtlinieninformationen definieren verwalten berwachen und ndern Sie k nnen diesen Schutz auf der Basis unternehmensweiter Richtlinien imple mentieren damit das gesamte Geflecht aus Netzen Systemen und Anwen dungen in Ihrem Unternehmen gesch tzt ist da eine einzige Schwachstelle zwischen Produkten in diesem Ge
47. astruktur f r Gesch ftspartner und Lieferanten e Hohe Kosten f r Standleitungen zwischen Gesch ftsstellen e Geringe Produktivit t durch ineffektive verz gerte oder mi verst ndliche Kommunikation mit Gesch ftspartnern und Lieferanten e Hohe Kosten f r die Verwaltung von Software in anderen Landes sprachen IBM Firewall kann diese Bedenken zerstreuen Da nur explizit zugelassener Datenverkehr die Firewall passieren kann sch tzt IBM Firewall das Netz gegen unbefugtes Eindringen Zudem verf gt IBM Firewall ber Software zum Aufdecken von Schwachstellen durch die die Sicherheit des Servers auf dem IBM Firewall l uft gegen unbefugtes Eindringen erh ht wird Die IP Adressen und die Konfiguration des internen Netzes sind vom ungesi cherten Netz aus nicht erkennbar Der gesamte Datenverkehr ber die Firewall wird protokolliert und kann zum Generieren von Berichten ber Benutzeraktivit ten verwendet werden IBM Firewall und die IBM Firewall VPN Konfigurationsanwendung erm gli chen die Nutzung und kosteng nstige Verwaltung umfangreicher VPN Infrastrukturen Netzstudien haben ergeben da die Nutzung virtueller pri vater Netze im Vergleich zu Standleitungen erheblich kosteng nstiger ist Mit IBM Firewall k nnen Gesch ftsstellen ber das Internet miteinander ver bunden werden indem in allen Gesch ftsstellen Firewalls eingesetzt werden und ein IPSec gest tzter Tunnel verwendet wird Kapitel 6 SecureWay Boundary Se
48. ationen xii Teil 1 bersicht ber FirstSecure 1 Kapitel 1 Beschreibung von FirstSecure 3 Vorteile von FirstSecure 4 FirstSecure Module 5 Policy Director 0 5 SecureWay Boundary Server 5 Intrusion Immunity 7 Public Key Infrastructure 8 Toolbox ur 5 hee eS 8 Implementierungsservices 9 Kapitel 2 Neuerungen in Release 2 11 Policy Director 00 11 SecureWay Boundary Server 12 Neuerungen in IBM SecureWay Firewall f r AIX und NT 12 Neuerungen in MIMEsweeper f r IBM SecureWay Release 2 15 Neuerungen in SurfinGate 15 Intrusion Immunity 15 Neuerungen in Tivoli Cross Site for Security u Sg ove eee a aah ker 15 Neuerungen in Norton AntiVirus Solution SUMMER an aoe ae Sheet Rh Woe Gat a 16 Public Key Infrastructure 16 IBM SecureWay Toolbox 16 Teil 2 Gesichertes e business Netz planen 17 Kapitel 3 bersicht ber ein e business Netz 19 Die ideale durch FirstSecure gesch tzte Internet Umgebung Das virtuelle private Netz DMZ Demilitarized Zone Typisches Intranet eines Unternehmens Typisches Unternehmens Intranet mit Gesch ftsstellen Ein typischer Mitarbeiter mit Fernzugriff Typisches Intranet eines Gesch ftspartners oder Lieferanten Daten und Datenbanken Weitere zu sch tzende Bereiche Betriebssystem Typische Be
49. b WEBsweeper Client e WEBsweeper ist der Teil von MIMEsweeper der den Web Datenverkehr berpr ft WEBsweeper verf gt ber eine Funktion zur Aktivierung von Antiviruspr fungen IBM Firewall e WEBsweeper arbeitet als Zwischen Proxy Clients zeigen auf WEBsweeper als ihren Proxy WEBsweeper wird dann so konfiguriert dafs der Daten verkehr an den Firewall Proxy weitergeleitet wird e Auf der Firewall m ssen Regeln definiert werden damit der Proxy Datenverkehr m glich wird Kapitel 12 SecureWay Boundary Server Voraussetzungen und berlegungen zur Installation 67 68 e Proxy Anforderungen sind nur aus dem gesicherten Netz hinter der Firewall m glich e WEBsweeper bearbeitet HTTPS nicht Soll HTTPS benutzt werden mu WEBsweeper umgangen werden um Probleme mit der Firewall zu ver meiden und die berpr fung des gesamten Web Datenverkehrs zu gew hrleisten Es mu direkt auf den Firewall Proxy gezeigt werden Der Web Datenverkehr ist zwar immer noch gesichert aber er wird von WEBsweeper nicht berpr ft IBM Firewall und SurfinGate Beispielkonfiguration Werden IBM Firewall und SurfinGate installiert kann die in diesem Abschnitt beschriebene Konfigura tion benutzt werden IBM Web e SurfinGate berpr ft den Web Datenverkehr auf ActiveX Steuerungen und andere Elemente e SurfinGate agiert als Web Zwischen Proxy Clients zeigen auf SurfinGate als ihren Proxy f r HTTP FTP und HTTPS SurfinGat
50. chung der Sicherheitsplanung reduzieren kann e Sicherheitsrichtlinien leichter implementieren kann e eine effektivere e business Umgebung erstellen kann Die FirstSecure Komponenten bietet Virenschutz das Erkennen von Attacken auf das System Zugriffssteuerung Steuerung des Datenverkehrsinhalts Verschl sselung digitale Zertifikate Firewall Technologie und Anwendungs entwicklungs Toolkits Diese Funktionen werden ber die IBM SecureWay Produktfamilie sowie ber Angebote anderer Lieferanten zur Verf gung ge stellt Durch die Kombination der jeweils besten Komponenten verschiedener Anbieter von Sicherheitsprodukten wird eine optimale Sicherheitsl sung erreicht Zudem stehen f r ausgew hlte FirstSecure Komponenten Imple mentierungsservices zur Verf gung FirstSecure besteht aus folgenden Modulen e SecureWay Policy Director e SecureWay Boundary Server e Intrusion Immunity e Public Key Infrastructure verf gbar ber IBM SecureWay Trust Authority e IBM SecureWay Toolbox Da FirstSecure aus einer Gruppe von Produkten besteht die unabh ngig von einander installiert werden k nnen kann der bergang auf eine gesicherte Umgebung den Anforderungen entsprechend erfolgen Sie k nnen in einem bestimmten Bereich beginnen die Verbesserungen testen und dann die Sicher heit kontinuierlich verbessern Auf diese Weise werden Komplexit t und Kosten verringert und Web Anwendungen und Ressourcen k nnen schneller genutzt werden K
51. d zum Ausf hren von Datenintegrit tspr fungen IBM SecureWay Trust Authority Konfiguration Dieses Buch enth lt Informationen ber die Benutzung des Konfigu rationsassistenten Setup Wizard zum Konfigurieren eines Trust Authority Systems Auf die HTML Version dieses Buchs kann zuge griffen werden wenn die Online Hilfefunktion f r den Konfigura tionsassistenten Setup Wizard aufgerufen wird IBM SecureWay Trust Authority Registration Authority Desktop Guide Dieses Buch enth lt Informationen ber die Benutzung des RA Desktop zur Verwaltung von Zertifikaten w hrend der gesamten Lebensdauer von Zertifikaten Auf die HTML Version dieses Buchs kann zugegriffen werden wenn die Online Hilfefunktion f r den Desktop aufgerufen wird IBM SecureWay Trust Authority Benutzerhandbuch Dieses Buch enth lt Informationen ber den Erhalt von Zertifikaten Es enth lt Prozeduren zur Benutzung der Trust Authority Regi strierungsformulare zum Anfordern von Zertifikaten f r Browser Server und Einheiten Zudem wird beschrieben wie Benutzer sich vorab f r ein PKIX Zertifikat registrieren lassen k nnen und wie mit dem Trust Authority Client PKIX Zertifikate gespeichert und ver waltet werden k nnen Auf die HTML Version dieses Buchs kann zugegriffen werden wenn die Online Hilfefunktion f r den Client aufgerufen wird Toolbox In den folgenden Abschnitten sind die mit den Toolbox Komponenten gelie ferten Dokumentationen beschrieben Too
52. dest Release Stand des Mindest Release Stand des Servers Clients Windows NT Version 4 0 Service Pack 5 Version 4 0 Service Pack 5 IBM AIX Version 4 3 1 Version 4 3 1 Sun Solaris Version 2 6 Version 2 6 Windows 95 Alle Versionen werden unter st tzt Windows 98 Alle Versionen werden unter st tzt Windows 3 1 nur Norton Alle Versionen werden unter AntiVirus st tzt IBM OS 2 nur Norton Version 4 0 FixPak 6 oder AntiVirus h her Einzelheiten und Voraussetzungen f r Komponenten In den folgenden Kapiteln sind die Hardware und Softwarevoraussetzungen f r die FirstSecure Komponenten aufgef hrt In den folgenden Kapiteln werden die Module genau beschrieben und die Hardware und Software voraussetzungen f r die einzelnen Module aufgef hrt Die Kapitel enthalten zudem eine bersicht ber die Installation und Konfiguration der einzelnen Produkte einschlie lich der berlegungen hinsichtlich der Integration mit anderen Komponenten e Kapitel 11 Policy Director Voraussetzungen und berlegungen zur Installation auf Seite 61 e Kapitel 12 SecureWay Boundary Server Voraussetzungen und Uberle gungen zur Installation auf Seite 63 e Kapitel 13 Intrusion Immunity Voraussetzungen und berlegungen zur Installation auf Seite 71 e Kapitel 14 Public Key Infrastructure Voraussetzungen und berle gungen zur Installation auf Seite 79 e Kapitel 15 T
53. die folgenden Biicher e Policy Director Lizenzinformationen e IBM SecureWay Policy Director Installation und Konfiguration SecureWay Boundary Server Dokumentationspaket Das SecureWay Boundary Server Dokumentationspaket enth lt die folgenden B cher e SecureWay Boundary Server Lizenzinformationen e IBM SecureWay Boundary Server f r Windows NT und AIX Installation und Konfiguration 100 FirstSecure Planung und Integration Teil 4 Anh nge Teil 4 Anh nge 101 102 FirstSecure Planung und Integration Anhang A Bemerkungen Die vorliegenden Informationen wurden f r Produkte und Services ent wickelt die auf dem deutschen Markt angeboten werden M glicherweise bietet IBM die in dieser Dokumentation beschriebenen Produkte Services oder Funktionen in anderen L ndern nicht an Informationen ber die gegenw rtig im jeweiligen Land verf gbaren Produkte und Services sind beim IBM Ansprechpartner erh ltlich Hinweise auf IBM Lizenzprogramme oder andere IBM Produkte bedeuten nicht da nur Programme Produkte oder Dienstlei stungen von IBM verwendet werden k nnen Anstelle der IBM Produkte Pro gramme oder Dienstleistungen k nnen auch andere ihnen quivalente Produkte Programme oder Dienstleistungen verwendet werden solange diese keine gewerblichen Schutzrechte der IBM verletzen Die Verantwortung f r den Betrieb von Fremdprodukten Fremdprogrammen und Fremdservices liegt beim Kunden F r in diesem Handbuch beschrieb
54. dware und Softwarevoraussetzungen Die Hardwarevoraussetzungen f r die Toolbox werden in Tabelle 13 gezeigt Tabelle 13 Hardwarevoraussetzungen f r die Toolbox Plattform Plattenspeicherplatz Hauptspeicher Version 4 0 Service Pack 5 2 4GB 64 MB AIX 4 3 2 9 1 GB 1 GB Sun Solaris Version 2 6 mit 4 2 GB 128 MB Fix Pak vom Mai 1999 Kapitel 15 Toolbox Voraussetzungen und Uberlegungen zur Installation 85 Tabelle 14 Hardwarevoraussetzungen f r Toolbox Komponenten Toolkit Maschinentyp Plattenspeicher platz Hauptspeicher IBM KeyWorks Toolkit IBM Key Recovery Service Provider Hardware f r Produkte die unter folgenden Betriebssystemen laufen Windows NT Version 4 0 Service Pack 5 oder h her Windows 95 AIX 4 2 oder h her Sun Solaris Hardware f r Produkte die unter folgenden Betriebssystemen laufen Windows NT Version 4 0 Service Pack 5 oder h her Windows 95 AIX 4 2 oder h her Sun Solaris 50 MB 50 MB 32 MB 32 MB 86 FirstSecure Planung und Integration In der folgenden Tabelle sind die Softwarevoraussetzungen f r die Toolbox Komponenten aufgef hrt Tabelle 15 Softwarevoraussetzungen f r Toolbox Komponenten Microsoft Windows AIX Solaris Toolbox Komponente Plattformen Client Server Server Server IBM KeyWorks Toolkit Windows Windows AIX 42 Sun Solaris NT Version NT Version oder 4 0 Servic
55. e navc readme txt auf der Produkt CD 94 FirstSecure Planung und Integration Server L sungen Norton AntiVirus for Windows NT Server Administrator s Guide Siehe docs admin navnts50 pdf auf der Produkt CD Norton AntiVirus for NetWare User s Guide Siehe docs NAVNLM NVN4 pdf auf der Produkt CD Norton AntiVirus for Lotus Notes Installation Guide Siehe docs NAVNOTES NAVNOTES pdf auf der Produkt CD Norton AntiVirus for OS 2 Lotus Notes Installation Guide Siehe docs NOTESOS2 NOTESOS2 pdf auf der Produkt CD Norton AntiVirus for Microsoft Exchange Installation Guide Siehe docs NAVXCHNG NAVXCHNG pdf auf der Produkt CD Gateway L sungen Norton AntiVirus for Internet Email Gateway User s Guide Siehe docs navieg navieg pdf auf der Produkt CD Norton AntiVirus for Firewalls Administrator s Guide Siehe docs navfw navfw pdf auf der Produkt CD Desktop L sungen Norton AntiVirus User s Guide for Windows 3 1 DOS Siehe docs navwks nav4dusr pdf auf der Produkt CD Norton AntiVirus Reference Guide for Windows 3 1 DOS Siehe docs navwks nav4dref pdf auf der Produkt CD Norton AntiVirus for Windows 95 98 User s Guide Siehe docs navwks nav98usr pdf auf der Produkt CD Norton AntiVirus for Windows 95 98 Reference Guide Siehe docs navwks nav98ref pdf auf der Produkt CD Norton AntiVirus for Windows NT User s Guide Siehe docs navwks navonusr pdf auf der Produkt CD Norton AntiVirus for Windows NT Reference
56. e 4 0 Service h her Pack 5 Pack 5 oder h her oder h her Windows 95 IBM Key Recovery Service Provider Windows Windows AIX 42 Sun Solaris NT Version NT Version oder h her 4 0 Service 4 0 Service Pack 5 Pack 5 oder oder h her h her Windows 95 Anmerkungen 1 Der AIX Client wird ebenfalls unterst tzt 2 Zudem ist IBM KeyWorks Toolkit erforderlich Kapitel 15 Toolbox Voraussetzungen und berlegungen zur Installation 87 IBM KeyWorks Toolkit 1 1 88 IBM KeyWorks Toolkit 1 1 bietet Anwendungsentwicklern ein offenes erweiterbares und standardisiertes Instrument zum Zugriff auf Verschl s selungsfunktionen und andere Sicherheitsfunktionen zwischen unterschied lichen Betriebsumgebungen IBM KeyWorks Toolkit bietet Standardschnittstellen APIs die Anwendungen zum Aufrufen wichtiger Verschl sselungs Authentifizierungs und Sicher heitsservices und Service Provider Add In Module als Schnittstelle zu dem Toolkit benutzen k nnen Diese Standardschnittstellen basieren auf der CDSA Architektur Common Data Security Architecture einem Standard der Open Group der zun chst von der Intel Corporation entwickelt und dann von IBM im KeyWorks Toolkit erweitert wurde Werden diese Standard schnittstellen benutzt e kann die Verschl sselungs und Authentifizierungsimplementierung aus gew hlt werden die am besten f r das Unternehmen geeignet ist ohne da nderungen an Anwendungen erforder
57. e f r die Allgemeinheit zug nglich machen Installieren Sie Trust Authority und geben Sie Zertifikate an Trusted User authentifizierte Benutzer aus Stellen Sie die Anwendung im Internet zur Verf gung nachdem alle Tests abgeschlossen sind F hren Sie den Network Security Auditor au erhalb Ihres Systems aus damit Sie die Regeln testen k nnen bevor Sie der Allgemeinheit den Zugang ank ndigen berpr fen Sie die von den FirstSecure Komponenten erstellten Pr f protokolle um festzustellen ob unerw nschte Ereignisse aufgetreten sind Setzen Sie die berpr fung der Pr fprotokolle fort und f gen Sie Cross Site for Security Agents hinzu wenn Sie dem Netz Anwendungen hinzu f gen FirstSecure Planung und Integration Kapitel 5 Policy Director im Netz planen FirstSecure liefert einen konsolidierten Steuerungspunkt f r heterogene Web Umgebungen auf der Basis der Sicherheitsrichtlinien im Unternehmen In Umgebungen in denen Benutzer ber Browser auf mehrere Backend Web Server zugreifen bietet der Policy Director folgendes e Eine einstufige Anmeldung f r jeden Web Benutzer e Identifikationspr fung e Berechtigungspriifung von Benutzern die Zugriff auf gesch tzte Web Seiten anfordern Mit dieser Unterst tzung k nnen Sie den Zugriff auf folgendes steuern e TCP IP Austausch beispielsweise HTML Telnet und POP3 e Anwendungen anderer Anbieter z B Datenbanksysteme e Netzverwaltungs Tools e Unterne
58. e leitet die Anforde rung dann an den IBM Firewall Proxy weiter e Auf der Firewall m ssen Regeln definiert werden damit der Proxy Datenverkehr m glich wird e Proxy Anforderungen sind nur aus dem gesicherten Netz hinter der Firewall m glich IBM Firewall MIMEsweeper und SurfinGate Beispielkonfiguration Werden IBM Firewall MIMEsweeper und SurfinGate installiert kann die in diesem Abschnitt beschriebene Konfiguration benutzt werden IBM MIMEsweeper Post Firewall WEBsweeper eurier Server e SurfinGate berpr ft den Web Datenverkehr auf ActiveX Steuerungen und andere Elemente und benutzt andere berpr fungen als die MIMEsweeper Komponente WEBsweeper e SurfinGate und WEBsweeper agieren als Web Zwischen Proxies Clients zeigen auf SurfinGate als ihren Proxy f r HTTP und FTP SurfinGate leitet die Anforderung dann an WEBsweeper weiter WEBsweeper leitet die Anforderung dann an den IBM Firewall Proxy weiter FirstSecure Planung und Integration Auf der Firewall m ssen Regeln definiert werden damit der Proxy Datenverkehr m glich wird Diese Regeln sind im IBM eNetwork Firewall Version 3 3 f r Windows NT Benutzerhandbuch definiert Proxy Anforderungen sind nur aus dem gesicherten Netz hinter der Firewall m glich WEBsweeper bearbeitet HTTPS nicht Soll HTTPS benutzt werden mu WEBsweeper umgangen werden um Probleme mit der Firewall zu ver meiden und die berpr fung des gesamten Web Datenverkehrs zu ge w hrl
59. eWay FirstSecure www ibm com software security firstsecure Die Dokumentationen sind verf gbar unter www ibm com software security firstsecure library IBM SecureWay Policy Director www ibm com software security policy Die Dokumentationen sind verf gbar unter www ibm com software security policy library IBM SecureWay Boundary Server www ibm com software boundary Die Dokumentationen sind verf gbar unter www ibm com software boundary library IBM SecureWay Trust Authority www ibm com software security trust Die Dokumentationen sind verf gbar unter www ibm com software securitytrust library Das ITSO Redbook Understanding the IBM SecureWay FirstSecure Framework IBM Form SG24 5498 00 ist im Internet unter www ibm com redbooks ver f gbar xii FirstSecure Planung und Integration Teil 1 bersicht ber FirstSecure Dieser Teil enth lt eine bersicht ber FirstSecure und die FirstSecure Komponenten Zudem werden die einzelnen Produkte kurz beschrieben In diesem Teil werden auch die IBM Implementierungsservices beschrieben Teil 1 bersicht ber FirstSecure 1 2 FirstSecure Planung und Integration Kapitel 1 Beschreibung von FirstSecure IBM SecureWay FirstSecure ist Teil der integrierten IBM Sicherheitsl sungen FirstSecure ist eine benutzerfreundliche Gruppe von Modulen mit denen ein Unternehmen e eine gesicherte e business Umgebung einrichten kann e die Gesamtkosten f r ein gesichertes Netz durch Vereinfa
60. efinition 108 Filtern des Inhalts Definition 108 Firewall Schwerpunkte 6 Firewall Definition 108 FirstSecure Beschreibung 5 Datentr gerpakete 91 FirstSecure Forts Dokumentationen f r Kom ponenten 91 Dokumentationspakete 91 Implementierungsservices 9 bersicht 3 bersicht ber die Nutzung 31 Web Site 59 FirstSecure im e business Netz planen 31 FTP Definition 108 G Gateway Definition 108 H Hacker Definition 108 Hardwarevoraussetzungen IBM Firewall 63 IBM Key Recovery Service Provider 85 IBM KeyWorks Toolkit 85 Intrusion Immunity 71 MIMEsweeper 63 Norton AntiVirus 72 Policy Director 61 SecureWay Boundary Server 63 SurfinGate 63 Toolbox 85 Trust Authority 81 HTTP Proxy 13 IBM Firewall Hardwarevoraussetzungen 63 Installation mit MIMEsweeper 66 Index 113 IBM Firewall Forts Installation mit MIMEsweeper SurfinGate 68 Installation mit Norton AntiVirus fiir Internet E Mail Gateways MIMEsweeper 66 Installation mit SurfinGate 68 Installation mit WEBsweeper 67 Neuerungen 12 Nutzung planen 39 Produktdokumentationen 92 Schwerpunkte 6 Softwarevoraussetzungen 64 IBM Key Recovery Service Provider Beschreibung 90 Hardwarevoraussetzungen 85 Produktdokumentationen 99 Softwarevoraussetzungen 87 IBM KeyWorks Toolkit Beschreibung 88 Hardwarevoraussetzungen 85 Produktdokumentationen 98 Softwarevoraussetzungen 87 IBM SecureWay FirstSecure Beschreibung 5 Datentr gerpakete 91 Dokumentati
61. eibungen der PKIX APIs IBM KeyWorks Toolkit Alle mit IBM KeyWorks Toolkit gelieferten Dokumentationen sind Online Dokumentationen und in PDF Format auf der Produkt CD verfiigbar Die folgenden Dokumentationen sind verf gbar IBM KeyWorks Toolkit Developer s Guide Dieses Buch enth lt eine bersicht ber das Toolkit Es enth lt zudem Erkl rungen zur Integration des Toolkits in Anwendungen und eine Beispielanwendung IBM KeyWorks Toolkit Application Programming Interface API Specification Diese Spezifikation enth lt die Definition der Schnittstelle die Anwen dungsentwickler f r den Zugriff auf Sicherheitsservices benutzen die ber das Ger st und Service Provider Module zur Verf gung stehen IBM KeyWorks Toolkit Service Provider Module Structure amp Administration In diesem Buch werden die Einrichtungen beschrieben die bei allen Toolkit Service Provider Modulen gleich sind Dieses Dokument mu zusammen mit den einzelnen Service Provider Interface Speci fications benutzt werden damit ein Service Provider Modul aufgebaut werden kann 98 FirstSecure Planung und Integration IBM KeyWorks Toolkit Cryptographic Service Provider Interface Specification Diese Spezifikation enth lt die Definition der Schnittstelle der Service Provider Module f r die Verschl sselung entsprechen m ssen damit ber das Toolkit auf die Service Provider Module zugegriffen werden kann IBM Key Recovery Service Provider Interface KRSPI S
62. eisten Es mu direkt auf den Firewall Proxy gezeigt werden Der Web Datenverkehr ist zwar immer noch gesichert aber er wird von WEBsweeper nicht berpr ft berlegungen zu MIMEsweeper Ein typisches WEBsweeper System sieht wie folgt aus Intel Pentium mit 400 MHz oder h her 1 GB Plattenspeicherplatz und 128 MB Arbeitsspeicher Windows NT Server oder Workstation Version 4 0 Server mit Service Pack 3 oder h her TCP IP Protokoll einschlie lich einem Host Namen und Dom nennamen Antivirus Tools Eine typische WEBsweeper Umgebung mit hoher Auslastung und bis zu 500 gleichzeitig angemeldeten Benutzern sieht wie folgt aus Zwei Prozessoren Intel Pentium II mit 450 MHz oder h her 3 GB Plattenspeicherplatz und 256 MB Arbeitsspeicher Windows NT Server oder Workstation Version 4 0 Server mit Service Pack 3 oder h her TCP IP Protokoll einschlie lich einem Host Namen und Dom nennamen Antivirus Tools Unterst tzt Ihre Umgebung mehr als 500 gleichzeitig angemeldete Benutzer werden mehrere WEBsweeper Server empfohlen Kapitel 12 SecureWay Boundary Server Voraussetzungen und berlegungen zur Installation 69 70 FirstSecure Planung und Integration Kapitel 13 Intrusion Immunity Voraussetzungen und berlegungen zur Installation In diesem Kapitel werden die Hardware und Softwarevoraussetzungen f r die Intrusion Immunity Komponenten Tivoli Cross Site for Security und Norton AntiVirus aufgef hrt Intrus
63. ellt wird Er erm glicht es eine Transaktion an den Eigner des Schl ssels zu bertragen oder eine digitale Unterschrift zu berpr fen Mit einem allgemeinen Schl ssel verschl sselte Daten k nnen nur mit dem entsprechenden pers n lichen Schl ssel entschl sselt werden Siehe auch Schl sselpaar aus allgemeinem und pers nlichen Schl ssel Anwendungsprogrammierschnittstelle Eine Funktionsschnittstelle durch die ein in einer h heren Programmiersprache geschriebenes Anwendungsprogramm bestimmte Funktionen benutzen kann Apache Server Eine Gruppe von frei verf g barer Web Server Software API Application Programming Interface Anwendungsprogrammierschnittstelle Assistent Ein Dialog innerhalb einer Anwen dung der Benutzer anhand von Schrittfolgen durch eine bestimmte Aufgabe f hrt Authentifizierung Der Proze zur zuverl ssigen Ermittlung der Identit t einer an der Kommu nikation beteiligten Partei Berechtigung Der Proze zur Festlegung der Arten von Aktivit ten die ein Benutzer ausf hren darf Die Berechtigung erfolgt nach der Authen tifizierung Bloodhound In Norton AntiVirus Produkten die Komponente zum Aufsp ren von Viren C Circiut Level Gateway In einer Firewall ein Proxy Server der eine Client Anforderung durch die Firewall an den vorgesehenen Server umleitet Client 1 Eine Funktionseinheit die gemeinsam benutzte Services von einem Server empf ngt 2 Ein Computer oder Pro
64. elte Informationen wiederherstellen kann wenn Schl ssel un verf gbar verlorengegangen oder besch digt sind Diese beiden Toolkits bieten Standardschnittstellen ber die Anwen dungen kritische Sicherheitsservices aufrufen und Anbieter von Sicherheitsprodukten ihre Produkte in das Toolkit integrieren k nnen Die Standardschnittstellen basieren auf der CDSA Architektur CDSA Common Data Security Architecture Diese Toolkits sind unter Windows NT Solaris und AIX verf gbar Implementierungsservices Mit den FirstSecure Implementierungsservices ist FirstSecure schnell f r Ihr e business einsatzbereit Diese kostenpflichtigen separaten Services werden von IBM zur Verf gung gestellt und von einem erfahrenen Team von Bera tern ausgef hrt Die FirstSecure Implementierungsservices beinhalten einen FirstSecure Implementierungs Workshop und Installationsservices f r einen schnellen Start QuickStart auf Produktebene IBM bietet auch FirstSecure Systemintegrationsservices an die an die jeweiligen Umgebungen angepa t sind Nehmen Sie Kontakt mit dem IBM Ansprechpartner auf wenn Sie Informa tionen ber Produkte und Preise ben tigen Kapitel 1 Beschreibung von FirstSecure 9 10 FirstSecure Planung und Integration Kapitel 2 Neuerungen in Release 2 Release 2 vereinfacht die Planung und Installation der IBM SecureWay FirstSecure Produkte Die einzelnen Produkte k nnen besser integriert werden es wurden Produkte hinzugef
65. en Antivirusdefinitionen automatisch von Symantec abrufen Durch die Norton AntiVirus Funktion zum Isolieren von infizierten oder verd chtigen Dateien wird eine solche Datei an einer sicheren Stelle des Computers von anderen Dateien isoliert um die Verbreitung des Virus zu verhindern w hrend die Datei korrigiert wird ber den Scan and Deliver Assistenten k nnen verd chtige Dateien zwecks Auswertung an Symantec gesendet werden Das Symantec AntiVirus Research Center SARC hilft bei der L sung des Problems Das Norton AntiVirus Suchprogramm Bloodhound l uft im Hintergrund und berwacht das Verhalten von Anwendungen bei denen die Gefahr einer Infektion durch neue Viren besteht und teilt diese Anwendungen in Katego rien ein Verh lt sich eine Anwendung wie ein Virus und versucht andere Programme zu infizieren kann Bloodhound das Programm stoppen und so eine Infektion anderer Dateien verhindern bis die neuesten Aktualisierungen der Virusdefinitionen heruntergeladen wurden Zu den Norton AntiVirus Solution Release 3 04 Produkten in FirstSecure geh ren e Desktop L sungen Norton AntiVirus 4 08 f r DOS Norton AntiVirus 4 08 f r Windows 3 51 Norton AntiVirus 5 02 f r Windows 95 98 Norton AntiVirus 4 08 f r Windows NT 3 51 Norton AntiVirus 5 02 f r Windows NT 4 0 Norton AntiVirus 5 03 f r Macintosh Norton AntiVirus 5 02 f r OS 2 Kapitel 7 Intrusion Immunity im Netz planen 49 e
66. en Sicherheitsrisiken aus dem Internet sein Anmerkung M glicherweise enth lt die MIMEsweeper Dokumentation Informationen ber die Kontaktaufnahme mit Content Techno logies wenn Service und Unterst tzung ben tigt werden Wird MIMEsweeper f r IBM SecureWay Release 2 jedoch als Teil des Angebots SecureWay FirstSecure oder SecureWay Boundary Server geliefert mu Kontakt mit IBM aufgenommen werden wenn Service und Unterst tzung ben tigt werden Kapitel 6 SecureWay Boundary Server im Netz planen 41 Einsatz von SurfinGate 42 SurfinGate ein Produkt der Finjan Software Ltd untersucht mobilen Code z B JavaScript Code Java Minianwendungen und ActiveX Steuerungen um das Netz gegen Sch den wie Datenmodifizierung L schen von Informationen oder illegales Sammeln von Informationen zu sch tzen SurfinGate untersucht mobilen Code auf Gateway Ebene und erkennt Code der eine Gefahrenquelle darstellt bevor dieser Code in das Netz eindringt Mobiler Code kann selektiv f r bestimmte Benutzer oder Abteilungen blockiert oder zugelassen werden Je nach beabsichtigter Funktion kann der Zugang des Codes zum Unterneh mensnetz zugelassen oder abgewiesen werden Mit SurfinGate k nnen Administratoren mobilen Code aktivieren und unternehmensweite Sicherheits richtlinien f r ActiveX Code Java Code JavaScript Code Visual Basic Script Plug Ins und Cookies verwalten steuern und erzwingen SurfinGate beinhaltet die folgenden Komponente
67. en nach Sicherheitsl cken und das ber schwemmen mit E Mail erkennen e P Datenverkehr berwachen e Anschlu services berwachen e DNS Mount Service und Netzdateisystemanforderungen erkennen und beantworten e Speicherausztige von Port Mapper Serviceanforderungen und antworten erkennen e RStatd Aufrufe erkennen e Anforderungen f r bestimmte Maskennamen und Dateinamen erkennen e SMB gestiitzte Attacken auf PC Datei Server erkennen e Internet Control Message Protocol erkennen Mit Cross Site for Security k nnen Sie den Netzdatenverkehr berwachen und Attacken auf das System erkennen Cross Site for Security berwacht den Datenverkehr sowohl in der DMZ die Ihr Intranet vom Internet isoliert als auch auf Ihrem internen Netz Cross Site for Security kann beispielsweise folgende Arten von Attacken auf das System erkennen e Verd chtige Kennungen oder Muster e Uberschwemmen mit E Mail e Attacken ber das Netz e Windows Netzattacken e Attacken ber ferne Prozeduren e Unbefugte Nutzung von Services e Unbefugter Datenaustausch auf dem Netz e Verd chtige Aktivit ten Cross Site for Security sch tzt Ihr Netz durch den Cross Site for Security Agent und den Cross Site for Security Verwaltungs Server Wenn ein Agent eine kritische Attacke erkennt sendet er ein verschl sseltes Ereignis an den Cross Site for Security Verwaltungs Server der die Informationen sofort pro tokolliert und antwortet Sie k nnen den Cross
68. ene Erzeugnisse und Verfahren kann es IBM Patente oder Patentanmeldungen geben Mit der Auslieferung dieses Handbuchs ist keine Lizenzierung dieser Patente verbunden Lizenzanforde rungen sind schriftlich an IBM Europe Director of Licensing F 92066 Paris La Defense Cedex France zu richten Anfragen an obige Adresse m ssen auf englisch formuliert werden Trotz sorgf ltiger Bearbeitung k nnen technische Ungenauigkeiten oder Druckfehler in dieser Ver ffentlichung nicht ausgeschlossen werden Die Angaben in diesem Handbuch werden in regelm igen Zeitabst nden aktuali siert Die nderungen werden in berarbeitungen oder in Technical News Letters TNLs bekanntgegeben nderung des Textes bleibt vorbehalten Verweise in diesen Informationen auf Web Sites anderer Anbieter dienen lediglich als Benutzerinformationen und stellen keinerlei Billigung des Inhalts dieser Web Sites dar Das ber diese Web Sites verf gbare Material ist nicht Bestandteil des Materials f r dieses IBM Produkt Die Verwendung dieser Web Sites geschieht auf eigene Verantwortung Werden an IBM Informationen eingesandt k nnen diese beliebig verwendet werden ohne da eine Verpflichtung gegen ber dem Einsender entsteht Lizenznehmer des Programms die Informationen zu diesem Produkt w n schen mit der Zielsetzung i den Austausch von Informationen zwischen Anhang A Bemerkungen 103 104 unabh ngigen erstellten Programmen und anderen Programmen einsc
69. ervice Provider in PDF Format auf der Produkt CD geliefert IBM Key Recovery Service Provider Key Recovery Server Installation and Usage Guide Dieses Buch enth lt Informationen ber Konzepte zur Schl sselwie derherstellung Anleitungen zum Aufbau einer L sung f r die Schl s selwiederherstellung in einem Unternehmen und Prozeduren f r die Installation die Konfiguration und den Betrieb des IBM Key Recovery Server Kapitel 16 Mit FirstSecure gelieferte Dokumentationen 99 Redbooks ber die Sicherheit Die folgenden Reedbooks der IBM International Technical Support Orga nization ITSO enthalten Informationen zum Produkten und Prozessen f r die Sicherheit Sie sind unter www us ibm com redbooks verf gbar e Understanding the IBM SecureWay FirstSecure Framework e High Availability IBM eNetwork Firewall Dokumentationspakete Die folgenden Dokumentationspakete sind fiir IBM SecureWay FirstSecure verf gbar FirstSecure Dokumentationspaket Das FirstSecure Dokumentationspaket enth lt die folgenden B cher e FirstSecure Lizenzinformationen e IBM SecureWay FirstSecure Planung und Integration e IBM SecureWay Policy Director Installation und Konfiguration e IBM SecureWay Boundary Server f r Windows NT und AIX Installation und Konfiguration e IBM SecureWay Trust Authority Einf hrung e Tivoli Cross Site for Security Installation Policy Director Dokumentationspaket Das Policy Director Dokumentationspaket enthalt
70. esserte Richtlinienverwaltung Unterst tzung f r die Protokolle FTP und HTTPS Plug In Integration mit Firewall HTTP Proxy Die F higkeit das Herunterladen bestimmter ausf hrbarer Dateien auf den Computer eines Benutzers zu blockieren Intrusion Immunity Die Intrusion Immunity Produkte enthalten jetzt Tivoli Cross Site for Security Neuerungen in Tivoli Cross Site for Security Tivoli Cross Site for Security erkennt Attacken auf die Systemsicherheit Mit Tivoli Cross Site for Security k nnen Sie das Netz auf Attacken berwachen und die Integrit t Ihres e business sicherstellen Kapitel 2 Neuerungen in Release2 15 Neuerungen in Norton AntiVirus Solution Suite Norton AntiVirus Solution Suite Release 3 0 4 beinhaltet die folgenden aktuali sierten Versionen Norton AntiVirus 5 02 f r Windows 95 98 und Windows NT Workstation Norton AntiVirus 5 02 f r Windows NT Server Norton AntiVirus f r IBM Operating System 2 OS 2 5 02 Norton AntiVirus OS 2 f r Lotus Notes 2 0 Norton AntiVirus f r Lotus Notes 2 0 Norton AntiVirus f r Microsoft Exchange 1 5 2 Public Key Infrastructure Die Public Key Infrastructure Komponente enth lt jetzt Trust Authority Trust Authority beinhaltet einen Installationsassistenten der durch eine einfache Installation auf Windows NT f hrt eine voreingestellte Konfiguration f r den IBM 4758 Cryptographic Coprocessor Sie k nnen diese Konfiguration ndern einen Konfigurationsassi
71. f r Anmeldung und Kennwort Benutzung der Policy Director Verwaltungskonsole Management Console oder Befehlszeilenschnittstelle zur Verwaltung von Benutzern Gruppen und Ressourcen Ziele mit einstufiger Anmeldung Web gest tztes Tool zur Verwaltung der Kennw rter von Zielen Benut zern Gruppen und Ressourcen mit einstufiger Anmeldung Integrierter Installationsproze Kapitel 2 Neuerungen in Release2 11 SecureWay Boundary Server 12 Der SecureWay Boundary Server bietet die folgenden Erweiterungen e Eine grafische Benutzerschnittstelle f r die Konfiguration die bestimmte Funktionen von SecureWay Boundary Server und Policy Director zusam menfa t e Ein neuer TaskGuide f r die Konfiguration der bestimmte Funktionen von SecureWay Boundary Server und Policy Director zusammenfa t Neuerungen in IBM SecureWay Firewall f r AIX und NT IBM SecureWay Firewall auch IBM Firewall genannt bietet die folgenden Erweiterungen Erweiterungen am Proxy f r gesicherte Post Der IBM Firewall Proxy f r gesicherte Post wurde erweitert und enth lt die folgenden neuen Funktionen e Anti SPAM Algorithmen mit denen Nachrichten bekannter Spammer ber Ausschlu listen abgewehrt und Nachrichten auf G ltigkeit und Wiederholbarkeit berpr ft werden k nnen bekannte Wege zum Abwehren unerw nschter Nachrichten und die Anzahl von Empf ngern pro Nachricht und die maximale Gr e einer Nachricht begrenzt werden kann e Ant
72. fahrenquellen in das private Netz eindringen k nnen zu verringern FirstSecure beinhaltet MAILsweeper 4 0 und WEBsweeper 3 2_5 Diese Pro dukte k nnen separat installiert konfiguriert und benutzt werden FirstSecure Planung und Integration MAILsweeper kann folgendes e Mit ausgew hlten Virenpr fprogrammen arbeiten um die zerlegten Dateien auf Viren zu untersuchen e Makrobomben erkennen und abwehren e Nach Schl sselw rtern suchen um folgendes zu verhindern Die bertragung von E Mail deren Inhalt gegen die Netiquette ver st t Die bertragung von Unternehmensdaten an unbefugte Stellen e Spam E Mail abwehren um das Netz zu entlasten und einen Produktivi t tsverlust der Mitarbeiter zu verhindern e Das Senden oder Empfangen bestimmter Arten von Dateien z B AVI Dateien oder MPEG Dateien durch bestimmte Benutzer oder Gruppen blockieren e Dateien auf der Basis der Dateigr e blockieren oder verz gern bis das Netz den Datenverkehr besser bearbeiten kann WEBsweeper kann folgendes e Die Kommunikation der Mitarbeiter mit bestimmten Sites blockieren die nicht arbeitsbezogen sind e Vertrauliche und sensible Dokumente gegen versehentlichen Verlust sch tzen Zudem enth lt MIMEsweeper eine Anwendungsprogrammierschnittstelle APT die zur Integration von URL Blockern anderer Anbieter benutzt werden kann MIMEsweeper kann ein wichtiges Element zum Schutz des Unternehmens und der Benutzer geg
73. fen Diese Services basieren auf einem Client Ser ver Modell das den Client Zugriff auf einen LDAP Server erm glicht Ver zeichnisservices bieten eine M glichkeit zum Verwalten von Verzeichnis informationen an einem zentralen Standort Speichern Aktualisieren Abrufen und Datenaustausch Verzeichnisservices benutzen Secure Sockets Layer SSL zum Verschl sseln von Informationen Weitere Informationen ber Verzeichnisservices enthalten die Ver ffentli chungen in der Liste der mit der Toolbox gelieferten IBM SecureWay Directory Client Dokumentationen in Kapitel 16 Mit FirstSecure gelieferte Dokumentationen auf Seite 91 KeyWorks Services f r Verschl sselungs und Authentifizierungsverwaltung 54 Services f r Verschl sselungs und Authentifizierungsverwaltung werden von IBM KeyWorks Toolkit auch als KeyWorks bezeichnet unterst tzt Die KeyWorks Services f r Verschl sselungs und Authentifizierungsverwal tung verschl sseln und entschl sseln Informationen zur Steuerung des Zugriffs auf die Informationen Diese Services erstellen und berpr fen digi tale Unterschriften um die Identit t von Personen und Computern im Netz zu authentifizieren In IBM Key Recovery Service Provider ist ein Schl ssel wiederherstellungssystem integriert das die Wiederherstellung von ver schl sselten Informationen erm glicht ohne da der Schl ssel verteilt wird KeyWorks ist ein Toolkit f r Verschl sselungs und Authentifizie
74. flecht die restliche Infrastruktur nutzlos machen k nnte In diesem Buch wird gezeigt wie die SecureWay Module zum Schutz des Geflechts eingebunden werden k nnen FirstSecure Planung und Integration FirstSecure Module FirstSecure enth lt Produkte die Sie als gesamte Gruppe oder als separate Produkte bestellen k nnen Die einzelnen Produkte k nnen wiederum Kom ponenten enthalten Sie k nnen mit einem beliebigen Produkt beginnen und nach und nach eine vollst ndige Sicherheitsl sung aufbauen Policy Director Der Policy Director steht im Mittelpunkt der Sicherheitsplanung Der Policy Director bietet Berechtigungs und Verwaltungsfunktionen die die Endpunkt zu Endpunkt Sicherheit von Web Ressourcen ber geografisch weit verstreute Intranets und Extranets erm glichen Der Policy Director bietet Services zur Authentifizierungs Berechtigungs Datensicherheits und Ressourcenver waltung Der Policy Director wird zusammen mit Internet gest tzten Stan dardanwendungen benutzt um gesicherte und gut verwaltete Intranets aufzu bauen Der Policy Director beinhaltet folgendes e Sicherheitsservices e Verwaltungskonsole Management Console e Verwaltungs Server e Security Manager NetSEAL und WebSEAL e NetSEAT Client e Directory Services Broker e Berechtigungs Server Anwendungsunterstiitzung eines anderen Anbieters Der Policy Director lauft unter Windows NT AIX und Solaris In Kapitel 5 Policy Director im Ne
75. fugte Clients und Verhinderung von Daten f lschungen Sie k nnen steuern wem Sie Zertifikate ausstellen daher k nnen Sie die Sicherheit beim Zugriff auf Ihre Daten selbst steuern Die SSL Technologie ist in mehrere weitere APIs zum Verschl sseln von Daten und Erstellen von Kennw rtern integriert Kapitel 9 SecureWay Toolbox im Unternehmen planen 55 56 FirstSecure Planung und Integration Teil 3 Voraussetzungen f r die Installation und Integration Dieser Teil enth lt Informationen ber die Voraussetzungen f r die Installa tion und Integration der einzelnen Komponenten Es werden die Hardware und Softwarevoraussetzungen f r die einzelnen Produkte und alle erforder lichen Anwendungen oder Datenbankprodukte aufgef hrt Teil 3 Voraussetzungen f r die Installation und Integration 57 58 FirstSecure Planung und Integration Kapitel 10 Installation von FirstSecure planen Vor der Installation der FirstSecure Komponenten m ssen die folgenden Abschnitte gelesen werden damit die Verf gbarkeit der erforderlichen Hardware und Software gew hrleistet ist Informationen ber die neuesten Aktualisierungen an FirstSecure sind im Internet unter www ibm com software security firstsecure verf gbar Rufen Sie vor der Installation der Produkte die Web Site auf um zu berpr fen ob neueste Aktualisierungen vorliegen Genaue Anweisungen zur Installation und Konfiguration der FirstSecure Komponenten enth lt die mit den e
76. gramm der das einen Service eines anderen Computers oder Pro gramms anfordert D D mon In AIX ein Programm das resident bleibt und darauf wartet eine Serviceanforderung zu bedienen DCE Distributed Computing Environment Umgebung f r verteilte Datenverarbeitung Digitales Zertifikat Eine elektronische Berechti gung die von einer Zertifizierungsstelle an eine Person oder Definitionseinheit ausgegeben wird Ein Zertifikat enth lt Informationen ber die Defi nitionseinheit die zertifiziert wird Glossar 107 E e business Das Durchf hren von Gesch fts transaktionen ber Netze und mit Computern beispielsweise das Einkaufen und Verkaufen von Waren und Dienstleistungen und das berweisen von Geldsummen durch digitale Kommunikation e commerce Das Durchf hren von Gesch fts transaktionen beispielsweise das Einkaufen und Verkaufen von Waren und Dienstleistungen im Internet e commerce ist das prim re Element des e business Ereignis In Tivoli Cross Site for Security eine verd chtige Aktivit t die m glicherweise eine Attacke auf das System darstellt Extranet Das Derivat des Internet das eine hn liche Technologie benutzt Firmen nutzen zuneh mend Web Ver ffentlichungen e commerce das Senden von Nachrichten und Groupware f r mehrere Benutzergemeinschaften von Kunden Gesch ftspartnern und Mitarbeitern F Fernprozeduraufruf 1 Eine Einrichtung mit der ein Client die Ausf hrung eine
77. halt einer Nachricht verschl sselt werden nicht aber die Quellen und Zieladresse In der VPN Technologie k nnen Benutzer eine Tunnelverbindung einrichten in der das gesamte Informationspaket Inhalt und Kopfzeilenbereich verschl sselt und eingekapselt wird Virus Ein Programm das in der Lage ist sich ber ein Computernetz selbst zu kopieren und Sch den anzurichten VPN Virtuelles privates Netz W Web Anwendung Eine Anwendung fiir den Zugriff tiber das World Wide Web Web Browser Client Software die auf einem Desktop PC l uft und mit der World Wide Web Seiten und lokale Seiten angezeigt werden k nnen Sie erm glicht den weltweiten Zugriff auf gro e Sammlungen von Hypermedia Material im Web und Internet Netscape Navigator und Microsoft Internet Explorer sind beispielsweise Web Browser Siehe auch Server Web Objekt Daten die ber einen Web Browser verf gbar sind Ein Web Objekt kann eine Web Seite ein Teil einer Web Seite eine Datei ein Abbild Image ein Verzeichnis ein CGI Programm oder eine Java Minianwendung sein Web Server Ein Server Programm das Anfor derungen f r Informationsressourcen durch Browser Programme beantwortet 112 FirstSecure Planung und Integration X X 509 Ein weitverbreiteter Zertifikatstandard der die gesicherte Verwaltung und Verteilung von PKI Zertifikaten mit digitalen Unterschriften in gesicherten Internet Netzen unterst tzt Das X 509 Zertifikat definier
78. herheitsservices die f r den Endbenutzer so transparent wie m glich sind Dieses Protokoll bietet gesicherte Kan le f r digitale bertragung 2 Ein SSL f higer Server akzeptiert normaler weise SSL Verbindungsanforderungen auf einem anderen Anschlu als die Standard HTTP Anforderungen SSL erstellt eine Sitzung bei der der Handshake nur ein einziges Mal erfolgen mu Ist der Handshake abgeschlossen wird die bertragung verschl sselt Bis zum Ende der SSL Sitzung wird die Nachrichtenintegrit t ber pr ft SecurID Token Die ACE Server Authentifizierungsmethode der Security Dynamics beinhaltet eine Benutzer ID und ein SecurID Token Bei einer Fernanmeldung erh lt der Benutzer das Kennwort von dem SecurID Token Das Kennwort ndert sich alle 60 Sekunden und kann nur ein einziges Mal benutzt werden Selbst wenn das Kennwort ber das offene Netz abgefangen wird kann es nicht zus tzlich verwendet werden Server 1 In einem Netz eine Workstation die anderen Workstations Einrichtungen zur Verf gung stellt beispielsweise ein Datei Server 2 In TCP IP ein System in einem Netz das die Anfor derungen eines Systems an einem anderen Standort bearbeitet Client Server SOCKS Protokoll Ein Protokoll mit dem eine Anwendung in einem gesicherten Netz ber eine Firewall ber einen Socks Server kommunizieren kann Socks Server Ein Circiut Level Gateway der ber eine Firewall eine gesicherte einseitige Ver bind
79. hlie lich des vorliegenden Programms sowie ii die gemeinsame Nutzung der ausgetauschten Informationen zu erm glichen wenden sich an folgende Adresse Anfragen an diese Adresse m ssen auf englisch formuliert werden IBM Corporation Department LZKS 11400 Burnet Road Austin TX 78758 U S A Die Bereitstellung dieser Informationen kann unter Umst nden von bestimmten Bedingungen in einigen F llen auch von der Zahlung einer Geb hr abh ngig sein Die Lieferung des im Handbuch aufgef hrten Lizenzprogramms sowie des zugeh rigen Lizenzmaterials erfolgt im Rahmen der IBM Kundenvereinba rung Internationale Nutzungsbedingungen der IBM f r Programmpakete oder einer quivalenten Vereinbarung Alle in diesem Dokument enthaltenen Leistungsdaten stammen aus einer gesteuerten Umgebung Die Ergebnisse die in anderen Betriebsumgebungen erzielt werden k nnen daher erheblich von den hier erzielten Ergebnissen abweichen Einige Daten stammen m glicherweise von Systemen deren Ent wicklung noch nicht abgeschlossen ist Eine Garantie da diese Daten auch in allgemein verf gbaren Systemen erzielt werden kann nicht gegeben werden Dar ber hinaus wurden einige Daten unter Umst nden durch Extrapolation berechnet Die tats chlichen Ergebnisse k nnen abweichen Benutzer dieses Dokuments sollten die entsprechenden Daten in ihrer spezifischen Umgebung pr fen Diese Daten stellen deshalb keine Leistungsgarantie dar Informationen ber
80. hmensinterne Anwendungen Mit FirstSecure erfolgt die Authentifizierung von Benutzern f r den Policy Director ber die folgenden Mechanismen e Basisauthentifizierung ber SSL Secure Sockets Layer e Formulargestiitzte Anmeldung ber SSL e SSL mit Client Zertifikaten e Kerberos Anmeldung FirstSecure steuert dann den Zugriff von authentifizierten Benutzern auf ein zelne Web Objekte und Netzservices F r nicht authentifizierte Benutzer kann der Zugriff auf eine Untergruppe dieser Ressourcen begrenzt werden Einsatz von Policy Director Policy Director verwaltet die Zuordnung zwischen Benutzern und Gruppen einerseits und Ressourcen andererseits Uber die Policy Director Verwaltungskonsole Management Console k nnen Sie folgendes e Benutzer und Gruppen definieren die Ihre Ressourcen verwenden e Zu sch tzende Objekte definieren Zu diesen Objekten k nnen das Web TCP Anschl sse Methoden und Schnittstellen geh ren e Die Art des Zugriffs von Benutzern auf Ressourcen definieren und fest legen ber welche Regeln die Ressourcen gesch tzt werden sollen bei spielsweise Lesen ndern Verwalten Ausf hren oder L schen Kapitel 5 Policy Director im Netz planen 33 In der folgenden Tabelle werden die allgemeinen Konfigurationen von Policy Director Komponenten beschrieben Ermitteln Sie die f r Ihr Netz geeignete Konfiguration W hlen Sie diese Komponenten w hrend der Installation aus Weitere Informationen enth
81. hwerpunkte 7 Softwarevoraussetzungen 71 Toolbox Beschreibung 85 Dokumentationen zu Kompo nenten 97 Hardwarevoraussetzungen 85 Neuerungen 16 Nutzung planen 53 Schwerpunkte 8 115 Index Toolbox Forts Softwarevoraussetzungen 87 Voraussetzungen 85 Trust Authority Beschreibung 79 Dokumentationen zu Kompo nenten 96 Hardwarevoraussetzungen 81 Neuerungen 16 Nutzung planen 51 Schwerpunkte 8 Softwarevoraussetzungen 80 U bersicht FirstSecure 3 bersicht ber die Nutzung vollst ndiges FirstSecure System 31 bersicht ber ein Netz 19 berwachungssignal Definition 111 Umgebung f r verteilte Daten verarbeitung DCE Definition 111 Unbestreitbarkeit der Unter schrift Definition 111 Universal Resource Locator URL Definition 111 URL Definition 111 V Vault Definition 111 Verschl sselung Definition 111 Virenschutz 45 Virtuelles privates Netz 22 Virtuelles privates Netz Defini tion 111 Virus Definition 112 Voraussetzungen allgemeine Voraussetzungen 59 Betriebssystem 60 Policy Director 61 SecureWay Boundary Server 63 116 VPN 22 VPN Definition 112 W Web Anwendung Definition 112 Web Browser Definition 112 Web Objekt Definition 112 Web Server Definition 112 WEBsweeper Beschreibung 41 Installation mit IBM Firewall 67 X X 509 Definition 112 Z Zelle Definition 112 Zellenverzeichnisservice Defini tion 112 Zertifizierungsstelle Definition 112 Zugriffssteuerung
82. i Spoofing Unterst tzung einschlie lich der Integration lei stungsf higer Authentifizierungsmechanismen e Unterst tzung f r SNMP Alarmnachrichten und die MADMAN MIB e Nachrichteniiberwachung einschlie lich der F higkeit zum naht losen Verfolgen von Nachrichten zwischen Firewall und Backend Post Server Domino FirstSecure Planung und Integration Erweiterungen am Socks Protokoll Version 5 Das Socks Protokoll Version 5 wurde durch eine Authentifizierung mit Benutzername und Kennwort eine Authentifizierung von Anfor derung und Antwort und Authentifizierungs Plug Ins erweitert Die Protokollierung wurde erweitert damit Benutzer bessere Steue rungsm glichkeiten bei der Klassifizierung von Protokollnachrichten und bei der Angabe von Protokollstufen haben HTTP Proxy IBM SecureWay Firewall bietet eine HTTP Proxy Implementierung mit allen Funktionen die auf dem Produkt IBM Web Traffic Express WTE basiert Der HTTP Proxy bearbeitet Browser Anforderungen effizient ber IBM Firewall ein Socks Server ist f r die Suche im Internet daher nicht erforderlich Benutzer k nnen auf n tzliche Infor mationen im Internet zugreifen ohne da die Sicherheit ihrer internen Netze gef hrdet ist und ihre Client Umgebung zur Implementierung des HTTP Proxy ge ndert werden mu RAS Dienst Der Windows NT RAS Dienst Remote Access Service bietet Netz anschl sse ber W hlverbindungen ISDN Verbindungen oder X 25 Verbindungen mit dem Pr
83. icherheit benutzt werden Sicherheit der Hardware mit Trust Authority Zwar bezieht sich dieser Abschnitt speziell auf die Komponente Trust Authority die berlegungen gelten jedoch f r alle FirstSecure Komponenten Isolierung des Bereichs Installieren Sie den Server in einem separaten Raum der ausschlie lich f r die Zertifizierungsstelle reserviert ist Falls m glich sollte der Raum verst rkte W nde eine solide Holz oder Stahlt r und einen soliden Fu boden haben Zudem sollte der Raum als Schutz gegen Entladung bei einem Feuer ber einen Doppelboden verf gen Pflege des Bereichs Die im Raum befindlichen Computer sollten ber eine unterbre chungsfreie Stromversorgung verf gen Zudem sollte der Raum ber fest angebrachte Lichtquellen Bewegungsdetektoren und W rme und K hlsystem verf gen Zudem mu auf eine ordnungsgem e Bel f tung des Raumes geachtet werden damit die durch die Ger te entste hende W rme abziehen kann Steuerung der Zugangsberechtigung f r den Bereich Die Zugangsberechtigung f r den physischen Bereich kann auf mehrere Arten erteilt werden beispielsweise durch Ausweisleser oder die Eingabe von Codes Um zu verhindern da sich eine unbefugte Person durch Manipulation Zugang verschafft sollten Sie Kontrollen installieren bei denen mindestens zwei authentifizierte Personen die entsprechenden Zugangsberechtigungen pr sentieren m ssen Kapitel 3 bersicht ber ein e business Netz 29
84. icht von der Anzahl der Einrichtungen ab In Kapitel 4 FirstSecure im e business Netz planen auf Seite 31 wird gezeigt wie die FirstSecure Produkte in das Netz eingebunden werden k nnen Kapitel 5 Policy Director im Netz planen auf Seite 33 Kapitel 6 SecureWay Boundary Server im Netz planen auf Seite 37 Kapitel 7 Intrusion Immunity im Netz planen auf Seite 45 Kapitel 8 Public Key Infrastructure im Netz planen auf Seite 51 Teil 2 Gesichertes e business Netz planen 17 18 FirstSecure Planung und Integration Kapitel 3 bersicht ber ein e business Netz Das e business Netz besteht aus Ressourcen beispielsweise aus Daten und Datenbanken Benutzern Kunden Lieferanten Programmierern Hardware Unternehmensinformationen usw Nachfolgend werden einige dieser Bereiche untersucht und es wird gezeigt wo Sicherheit erforderlich ist Das Internet ist ein komplexes Gebilde Der Datenverkehr durch das Internet flie t von Server zu Server und von Benutzer zu Benutzer in undefinierten Pfaden die sich von bertragung zu bertragung ndern Die bertragung Ihrer Gesch ftsdaten ber das Internet wird mit dem anderen Internet Datenverkehr gemischt Auf ihrem Weg k nnen f r Ihr Unternehmen wichtige Daten alle m glichen Server durchlaufen haben und alle m glichen Internet Benutzer k nnen versucht haben auf Ihre Ressourcen Mitarbeiter und Daten zuzugreifen Neben dem legitimen Datenverkehr bei
85. ie Berechtigungs API benutzen Ein Server der die kombinierten Services aller Alle Komponenten oben aufgef hrten Konfigurationen bietet 34 FirstSecure Planung und Integration Der Policy Director ist ein weit verbreitetes Sicherheitssystem dessen Kompo nenten in einer Vielzahl von Konfigurationen auf einer oder mehreren Maschinen eingesetzt werden k nnen Nachfolgend wird eine bersicht ber den Einsatz von Policy Director in Ihrem Netz gegeben Vollst ndige Installa tionsanweisungen befinden sich im Buch IBM SecureWay Policy Director Instal lation und Konfiguration 1 Installieren Sie den Policy Director Sicherheits Server Mindestens ein Computer in der gesicherten Dom ne mu den Policy Director Sicherheits Server enthalten damit eine gesicherte Policy Director Dom ne aufgebaut werden kann Weitere Informationen k nnen Sie den Installations und Verwaltungshandb chern f r die erforderlichen Plattformen entnehmen oder bitten Sie die entsprechende technische Unterst tzung um Hilfe F r die restlichen Server sind nur DCE Client Installationen erforderlich oder NetSEAT auf Windows NT Systemen Installieren Sie den LDAP Server Installieren Sie den Policy Director e Der Policy Director Sicherheits Server mu zuerst installiert werden siehe Schritt 1 e F r alle Policy Director Server Installationen ist das Policy Director Basisprodukt erforderlich e Handelt es sich um die erste oder ein
86. ie lich der Registrierung und ersten Zertifizierung der Aktualisierung von Schl sselpaaren der Erneuerung von Zertifikaten der Ver ffentlichung von Listen mit erteilten und widerrufenen Zertifikaten und der Widerrufung von Zertifikaten Weitere Informationen enth lt Kapitel 14 Public Key Infrastructure Voraussetzungen und berlegungen zur Installation auf Seite 79 Toolbox Die FirstSecure Toolbox ist eine Gruppe von Sicherheits und sicherheitsbezo genen Toolkits die Teil der wichtigen FirstSecure Komponenten sind oder Interoperabilit t mit den FirstSecure Komponenten aufweisen Die Toolkits sind f r folgendes hilfreich e Integration der Anwendungen mit FirstSecure e Anpassung von L sungen und Anwendungen mit FirstSecure e Erstellung von ISV und OEM Anwendungen die FirstSecure nutzen FirstSecure Planung und Integration Die FirstSecure Toolbox Toolkit APls unterst tzen die folgenden Sicherheitsfunktionen e Berechtigungsservices e Zertifizierungs und Verwaltungsservices e Verzeichnisservices e Secure Sockets Layer Protokollservices e KeyWorks Services f r Verschl sselungs und Authentifizierungsverwal tung IBM Key Recovery Service Provider 1 1 3 0 APIs Der IBM Key Recovery Service Provider erm glicht die Wiederherstellung verschliisselter Informationen IBM Key Recovery Server 1 1 3 0 IBM Key Recovery Server 1 1 3 0 ist eine Anwendung die nach einer berechtigten Anforderung ver schl ss
87. iese berlegungen sind neben der Gr e der Topologie und der Bandbreite des Netzes und dem Volumen des Datenverkehrs wichtige Punkte beim Ermitteln der Anzahl der Verwaltungs Server und Agents berlegungen hin sichtlich der Installation von Tivoli Cross Site for Security stehen in Intrusion Immunity Hardware und Softwarevoraussetzungen auf Seite 71 Anmerkung M glicherweise ist in der Tivoli Cross Site for Security Dokumentation beschrieben mit wem Kontakt aufgenommen werden mu wenn Service und Unterst tzung ben tigt werden Wird Tivoli Cross Site for Security als Teil des Ange bots SecureWay FirstSecure geliefert mu Kontakt mit IBM aufgenommen werden wenn Service und Unterst tzung ben tigt werden FirstSecure Planung und Integration Einsatz von Norton AntiVirus Norton AntiVirus ein Produkt der Symantec Corporation ist eines der welt weit f hrenden Antivirusprodukte Norton AntiVirus kann e infizierte Dateien isolieren e gegen Viren und heimt ckische ActiveX Steuerungen und Java Minianwendungen sch tzen e gegen Viren sch tzen die ber E Mail Anlagen heruntergeladene Internet Dateien Disketten Software CDs oder ein Netz eindringen k nnen Norton AntiVirus kann permanent im Hintergrund laufen und sch tzt so den Computer Das Symantec Labor erh ht die Anzahl der Viren die Norton AntiVirus erkennen kann permanent ber die LiveUpdate Funktion k nnen Sie einmal pro Woche die neuest
88. inzelnen Komponenten gelieferte Literatur Allgemeine Systemvoraussetzungen In diesem Abschnitt werden die allgemeinen Systemvoraussetzungen f r die FirstSecure Produkte beschrieben Spezielle Hardware und Software voraussetzungen f r die einzelnen Komponenten stehen in den entsprech enden Kapiteln Zur Installation der FirstSecure Komponenten ist Hardware erforderlich auf der eines der folgenden Server Betriebssysteme laufen kann e Microsoft Windows NT Version 4 mit Service Pack 5 e AIX Version 4 3 1 oder h her e Sun Solaris Version 2 6 oder h her Anmerkung F r die Toolbox ist unter Solaris Sun Solaris Version 2 6 mit dem Fix Pack vom Mai 1999 erforderlich Jede der FirstSecure Komponenten l uft auf mindestens einem der oben auf gef hrten Betriebssysteme In den Kapiteln ber die einzelnen Komponenten sind die unterst tzten Betriebssystemplattformen und andere Software voraussetzungen f r die einzelnen Komponenten aufgef hrt Innerhalb dieser Betriebssysteme werden Server Verwaltungskonsolen und Client Systeme ben tigt Die folgenden Abschnitte enthalten eine bersicht ber diese Voraussetzungen Kapitel 10 Installation von FirstSecure planen 59 Betriebssystemvoraussetzungen f r Server und Clients Informationen ber die Betriebssystemvoraussetzungen f r SecureWay Produkte enth lt Tabelle 1 Tabelle 1 Betriebssystemvoraussetzungen f r Server und Clients Betriebssystem Min
89. ion Immunity Hardware und Softwarevoraussetzungen In dem folgenden Abschnitt werden die Hardware und Softwarevoraus setzungen f r die Intrusion Immunity Komponenten aufgef hrt Die Hardware und Softwarevoraussetzungen f r Tivoli Cross Site for Security sind in Tabelle 5 Tabelle 6 auf Seite 72 und Tabelle 7 auf Seite 72 aufgef hrt Die Hardware und Softwarevoraussetzungen f r die Norton AntiVirus Komponenten sind in Tabelle 8 auf Seite 73 und Tabelle 9 auf Seite 73 aufgef hrt Tabelle 5 Hardware und Softwarevoraussetzungen f r Tivoli Cross Site for Security Server Server Voraussetzungen Betriebssystem e AIX 4 3 2 e Windows NT Version 4 0 Service Pack 5 e Solaris 2 5 1 oder 2 6 Java JDK 1 1 6 Revision 04 oder h her Web Server Netscape Enterprise Server 3 51 Datenbank e IBM DB2 Release 5 2 e Oracle 7 3 4 oder 8 0 4 empfohlen e Microsoft SQL Server Plattenspeicherplatz e Windows NT 290 MB e AIX 180 MB e Solaris 180 MB Hauptspeicher 256 MB Auslagerungsspeicher 300 MB 400 MB empfohlen Anmerkungen 1 Netscape Enterprise Server 3 51 und 3 6 werden nicht unterst tzt 2 Patch Code Voraussetzungen fiir Solaris stehen in der Installationsdokumentation fiir Tivoli Cross Site for Security Kapitel 13 Intrusion Immunity Voraussetzungen und Uberlegungen zur Installation 71 Tabelle 6 Hardware und Softwarevoraussetzungen f r die Tivoli Cross Site for Security Verwaltungsko
90. ist ein Service Provider Modul das die Standardfunktionen von IBM KeyWorks Toolkit benutzt IBM Key Recovery Service Provider erm glicht die Wieder herstellung gespeicherter oder bertragener verschl sselter Informationen ohne da pers nliche Schl ssel gesammelt und verteilt werden m ssen und daher einzelne Punkte zu einer Gefahr f r die Verschl sselung werden k nnen Da IBM Key Recovery Service Provider die Standardfunktionen von IBM KeyWorks Toolkit verwendet kann die Funktion zur Schl sselwiederherstel lung mit Verschl sselungsprodukten unterschiedlicher Anbieter Standardzer tifikaten von verschiedenen Zertifizierungsstellen den Authentifizierungs richtlinien von Verisign und Entrust und allen Verzeichnissen benutzt werden auf die mit LDAP Lightweight Directory Access Protocol zuge griffen werden kann IBM Key Recovery Service Provider erstellt Informa tionen zur Schl sselwiederherstellung anhand des Sitzungsschl ssels f r die Kommunikation Weitere Informationen ber IBM Key Recovery Service Provider enth lt das Buch Key Recovery Server Installation and Usage Guide das mit dem FirstSecure Dokumentationspaket geliefert wird FirstSecure Planung und Integration Kapitel 16 Mit FirstSecure gelieferte Dokumentationen Alle zu FirstSecure geh renden Komponenten werden mit eigenen Dokumen tationen geliefert Dieses Kapitel enth lt Informationen ber die mit den ein zelnen FirstSecure Komponenten gelieferten
91. kt Cross Site for Security wird beim Starten des Systems automatisch gestartet Es bleibt unabh ngig davon ob ein Benutzer angemeldet ist resident und l uft im Hintergrund Wenn eine potentielle Attacke festgestellt wird ermittelt der Agent den Grad der Bedrohung und legt fest ob der Verwaltungs Server sofort informiert oder der Alert in einer lokalen Datei protokolliert wird Protokolle werden regelm ig auf den Verwaltungs Server geladen Der Agent nimmt zudem regelm ig Kontakt mit dem Cross Site for Security Verwaltungs Server auf um ihm mitzuteilen da er noch aktiv ist Diese Art der Kommunikation wird berwachungssignal Heartbeat genannt Sie k nnen die Intervalle der berwachungssignale konfigurieren Wenn der Verwaltungs Server ein berwachungssignal vom Agent erh lt informiert der Verwaltungs Server den Agent ber alle aktualisierten Konfi gurationsinformationen neue Kennungen und Hochladepl ne Der Agent l dt diese Aktualisierungen automatisch herunter und installiert sie Tivoli Cross Site for Security in Ihrem Netz Sie k nnen Cross Site for Security so konfigurieren da Cross Site for Security an Ihre Gesch ftsanforderungen angepa t wird Es m ssen die fol genden wichtigen Entscheidungen getroffen werden e Wo wird der Cross Site for Security Verwaltungs Server installiert e Wie viele Cross Site for Security Agents werden ben tigt e Wo werden die Cross Site for Security Agents installiert D
92. l sseln implementiert wird e Verwaltung digitaler Zertifikate w hrend ihrer gesamten Lebensdauer durch die F higkeit zum Anfordern Erneuern und Widerrufen von Zertifi katen eine Registrierungsstelle zum Best tigen von Zertifikatanforderungen eine Zertifizierungsstelle zum Erstellen von digitalen Zertifikaten und Widerrufungslisten e Erweiterte Registrierungsf higkeiten damit Unternehmen ihre gesicherten e business Definitionseinheiten online registrieren k nnen Die Registrie rungsanwendung baut auf den folgenden Prinzipien auf Die ausgegebenen und verwalteten Zertifikate m ssen den Sicher heitsvoraussetzungen entsprechen die bei sensiblen e business Anwendungen erforderlich sind und die Registrierungsstelle mu denselben hohen Sicherheitsanforderungen entsprechen Die Anwendung mu bei Bedarf eine Vielzahl von Registrierungs richtlinien unterst tzen einschlie lich der manuellen oder automati sierten Genehmigungen eine flexible standortunabh ngige Authen tifizierung bereitstellen und die M glichkeit zum Isolieren von Regi strierungsrichtlinien in separaten gesicherten Dom nen bieten Das Authentifizierungsmodell ist bei der Gew hrleistung der Zugriffssteue rung Vertraulichkeit Integrit t und Nachpr fbarkeit der Quelle elektro nischer Transaktionen hilfreich Durch digitale Verschl sselung Zertifizierung und Unterschriften erm glicht Trust Authority ein gesichertes e busines
93. l und Pentium sind in gewissen L ndern Marken der Intel Corporation Java und alle auf Java basierenden Marken und Logos sind in gewissen L ndern Marken der Sun Microsystems Inc Lotus Lotus Notes Domino und cc Mail sind in gewissen L ndern Marken der Lotus Development Corporation Microsoft Windows Windows NT und das Logo von Windows sind in gewissen L ndern Marken der Microsoft Corporation Tivoli ist in gewissen L ndern eine Marke der Tivoli Systems Inc UNIX ist eine eingetragene Marke und wird ausschlie lich von der X Open Company Limited lizenziert Andere Namen von Unternehmen Produkten oder Dienstleistungen k nnen Marken anderer Unternehmen sein Anhang A Bemerkungen 105 106 FirstSecure Planung und Integration Glossar In diesem Glossar werden neue oder wichtige Begriffe und Abk rzungen erkl rt die in diesem Buch vorkommen A ACL Access Control List Zugriffssteuerungs liste ActiveX In der Microsoft Programmierung eine Gruppe von objektorientierten Technologien und Begriffen Agent In Tivoli Cross Site for Security ein intel ligentes berwachungsprogramm f r IP Pakete das Pakete aufgreift auf Abnormit ten auf unter schiedlichen Vermittlungsschichten berpr ft und den Status der eingerichteten Verbindungen sowie Statistiken verfolgt Allgemeiner Schl ssel Der Schl ssel eines Schl sselpaars aus allgemeinem und pers n lichem Schl ssel der anderen zur Verf gung gest
94. lbox APls Die gesamte Toolbox Dokumentation ist auf der folgenden Web Site verf gbar www ibm com software security firstsecure library Die fol genden Dokumentationen sind enthalten IBM SecureWay Secure Sockets Layer Toolkit Programming Guide and Reference Diese Dokumentation enth lt eine bersicht ber APIs und iKeyman sowie eine Definition der einzelnen APIs einschlie lich Syntax und Benutzung Kapitel 16 Mit FirstSecure gelieferte Dokumentationen 97 IBM SecureWay Directory Client SDK Programming Reference Diese Dokumentation enth lt verschiedene LDAP Beispiel Client Programme und eine LDAP Client Bibliothek f r den Anwendungszu griff auf die LDAP Server C und Java werden unterst tzt IBM SecureWay Policy Director Programming Guide and Reference Diese Dokumentation enth lt eine Definition der einzelnen APls ein schlie lich Syntax und Benutzung IBM SecureWay X 509 Public Key Infrastructure for Multiplatforms Installation Guide Diese Dokumentation enth lt Installationsanweisungen und voraus setzungen IBM SecureWay X 509 Public Key Infrastructure for Multiplatforms Programming Guide and Reference Diese Dokumentation enth lt Informationen f r Programmierer die Anwendungen mit der IBM SecureWay X 509 Public Key Infra structure for Multiplatforms auch als PKIX bezeichnet entwickeln Sie enth lt eine bersicht ber das Produkt Anweisungen zum Schreiben von Programmen f r separate PKIX Komponenten und Beschr
95. lich sind die die Sicherheits services benutzen e wird die Produktivit t der Anwendungsprogrammierer und Middleware Programmierer erh ht IBM KeyWorks Toolkit bietet eine Isolationsschicht zwischen Anwendungen und Middleware als Klasse und den Verschl sselungsfunktionen und Service Providern Das Toolkit enth lt ein Ger st und Service Provider Plug In Module F r Anwendungen liefert das Ger st die leistungsf hige CSSM API Common Secu rity Services Manager API der CDSA Architektur Common Data Security Architecture der Intel Corporation IBM hat die CSSM API erweitert und Funktionen zur Schl sselwiederherstellung hinzugef gt Wird IBM KeyWorks Toolkit benutzt kann die Anwendung e Informationen verschl sseln und entschl sseln e digitale Unterschriften f r verschiedene Zwecke berpr fen e Zertifikate und Zertifikatwiderrufungslisten aus Verzeichnissen abrufen e zwecks Schl sselwiederherstellung und Verschl sselungssicherung Felder zur Schl sselwiederherstellung erstellen e entscheiden ob ein Zertifikat anhand von Kriterien die von System designern und programmierern auf Anweisung von Benutzern einge richtet wurden als sicher eingestuft wird FirstSecure Planung und Integration Normalerweise integriert ein Unternehmen oder ein OEM die Produkte IBM KeyWorks Toolkit und IBM Key Recovery Service Provider Toolkit so in Anwendungen und Middleware da die CSSM APIs auf dem CSSM Ger st benutzt werden k nnen
96. me mit Finjan wenn Service und Unterst tzung ben tigt werden Wird SurfinGate f r Windows NT jedoch als Teil des Angebots SecureWay FirstSecure oder SecureWay Boundary Server geliefert mu Kontakt mit IBM aufgenommen werden wenn Service und Unterst tzung ben tigt werden Kapitel 6 SecureWay Boundary Server im Netz planen 43 44 FirstSecure Planung und Integration Kapitel 7 Intrusion Immunity im Netz planen Bei den bis jetzt beschriebenen Sicherheitstechnologien stand der Schutz gegen Sicherheitsrisiken im Vordergrund Ein ebenso wichtiger Sicherheitsaspekt ist jedoch das Erkennen von Gefahrenquellen Die Intrusion Immunity Produkte in FirstSecure bieten das Erkennen von Attacken auf das System und Anti virenschutz damit Gefahrenquellen f r die Systemsicherheit erkannt werden k nnen Antivirus Software bietet Schutz gegen alle Arten von heimt ckischem Code wie Trojanische Pferde Makroviren destruktive ActiveX Steuerungen und destruktive Java Minianwendungen Der Virenschutz ist ein wesentlicher Bestandteil aller Sicherheitsl sungen Die FirstSecure Antivirusprodukte erf llen die folgenden wichtigen Anforderungen die an Antivirusprodukte gestellt werden e Abdeckung einer Vielzahl von Clients damit eine benutzerfreundliche und konsistente Methode hinsichtlich des Virenschutzes sowohl bei statio n ren als auch bei mobilen Clients besteht e Teilnehmerberechtigungseintrag f r Viruskennungen Die regelm ige Akt
97. munity bietet zuverl ssige Sicherheit durch Produkte die feind liche Attacken erkennen und das System gegen solche Attacken sch tzen In Kapitel 13 Intrusion Immunity Voraussetzungen und berlegungen zur Installation auf Seite 71 sind die Voraussetzungen f r Intrusion Immunity aufgef hrt Intrusion Immunity beinhaltet Tivoli Cross Site for Security und Norton AntiVirus Tivoli Cross Site for Security Tivoli Cross Site for Security sch tzt Systeme die anf llig f r feindliche Attacken sind durch das Erkennen von Attacken Mit Tivoli Cross Site for Security ist folgendes m glich e Cross Site for Security Agents im Netz installieren um dem Cross Site for Security Verwaltungs Server verd chtige Ereignisse zu berichten e Daten die eine Attacke auf die Systemsicherheit darstellen in vordefi nierten und angepa ten Berichten berpr fen e Unbefugte oder verd chtige Aktivit ten in Echtzeit erkennen und protokollieren e Sicherheits Agents optimieren um die Anzahl falscher Alarme zu redu zieren Norton AntiVirus Norton AntiVirus ein Produkt der Symantec Corporation ist eines der welt weit f hrenden Antivirusprodukte Norton AntiVirus kann permanent im Hintergrund laufen und den Computer gegen Viren sch tzen die ber E Mail Anlagen ActiveX Steuerungen Java Minianwendungen heruntergela dene Internet Dateien Disketten Software CDs oder ber ein Netz gesendete Dateien eindringen k nnen Mit Norton An
98. n e SurfinGate Server e SurfinConsole e SurfinGate Datenbank e Plug In f r WTE Integration Der SurfinGate Server agiert als HTTP Proxy Server oder als Service f r die Firewall oder den Proxy Der SurfinGate Server kann hinter der Unterneh mens Firewall und beliebigen anderen vorhandenen Proxies plaziert werden und agiert auch als HTTP Server Durch diese Architektur ist es m glich Datenverkehr mit mobilem Code zu stoppen und zu berpr fen bevor er Schaden anrichten kann Ein Netzadministrator benutzt die SurfinConsole um im Unternehmen zen trale Sicherheitsrichtlinien f r mobilen Code zu verwalten und festzulegen Die SurfinConsole kann mehrere SurfinGate Server im Netz steuern und auf der Basis von Benutzern oder Gruppen oder ber angepa te Listen von akzeptablem oder nicht akzeptablem Code Regeln f r mobilen Code innerhalb des Unternehmens durchsetzen FirstSecure Planung und Integration Die SurfinGate Datenbank speichert Details von Sicherheitsprofilen f r Mini anwendungen Applet Security Profiles ASPs einschlie lich der Informa tionen ber Benutzer und Gruppen und der f r sie geltenden Sicherheits richtlinien Da SurfinGate den Inhalt des gesamten mobilen Codes dynamisch untersucht ist die Datenbank f r die Sicherheit nicht erforderlich sie verbes sert jedoch die Leistung bei umfangreichen Operationen Anmerkung M glicherweise enth lt die SurfinGate Dokumentation Informa tionen ber die Kontaktaufnah
99. n 2 6 Client F r den Policy Director ist weitere Software erforderlich die in dem Paket enthalten ist Gehen Sie zur Installation der fiir den Policy Director erforder lichen Software anhand der Anweisungen im Buch IBM SecureWay Policy Director Installation und Konfiguration vor Policy Director Installationsvoraussetzungen Unter www ibm com software security policy sind alle Aktualisierungen an den aktuellen Softwarevorbedingungen fiir den Policy Director aufgefiihrt Integration von Policy Director und Trust Authority 62 IBM SecureWay Trust Authority bietet Authentifizierung indem jeder Benutzer auf seine Identit t berpr ft wird Trust Authority gibt anhand der Informationen im IBM SecureWay Directory auch Lightweight Directory Access Protocol oder LDAP genannt Zertifikate an Benutzer aus Der Policy Director wiederum benutzt diese Zertifikate um den einzelnen Benutzern die Berechtigung ausschlie lich f r die erlaubten Ressourcen zu erteilen Der Policy Director speichert seine Informationen in demselben IBM SecureWay Directory Ihr e business kann eine einzelne Benutzerdefinition mit allen Policy Director Berechtigungen und allen Trust Authority Informationen haben Wenn Sie auch SecureWay Boundary Server Informationen im IBM SecureWay Directory speichern kann der Policy Director auch diese Verwaltung f r Sie bernehmen FirstSecure Planung und Integration Kapitel 12 SecureWay Boundary Server Vorau
100. n hinsichtlich der Installa tion und Konfiguration der SecureWay Boundary Server Komponenten aufge f hrt berlegungen zu IBM Firewall Die berlegungen zu IBM Firewall beinhalten haupts chlich wo IBM Firewall in bezug auf die anderen SecureWay Boundary Server Produkte im Datenver kehrsstrom installiert werden soll Beispielkonfigurationen IBM Firewall und MAILsweeper Beispielkonfiguration Wird sowohl IBM Firewall als auch MIMEsweeper installiert kann die in diesem Abschnitt beschriebene Konfiguration benutzt werden MIMEsweeper MAlLsweeper e MAILsweeper ist der Teil von MIMEsweeper der den Inhalt von Post tiberpriift MAILsweeper verfiigt tiber eine Funktion zur Aktivierung von IBM Firewall Post Server Antiviruspr fungen e MAILsweeper befindet sich zwischen IBM Firewall und den gesicherten SMTP Servern e IBM Firewall zeigt auf MAILsweeper als Post Host zum Weiterleiten von Post Damit der Postdatenverkehr flie en kann m ssen f r IBM Firewall vordefinierte Regeln f r den Postdatenverkehr konfiguriert werden e Auch die SMTP Server m ssen auf MAILsweeper als Post Host zum Weiterleiten von Post zeigen e MAlLsweeper berpr ft den Inhalt sowohl bei ankommender als auch bei abgehender Post IBM Firewall Norton AntiVirus f r Internet E Mail Gateways und MIMEsweeper Beispielkonfiguration Wird IBM Firewall Norton AntiVirus f r Internet E Mail Gateways und MIMEsweeper installiert
101. net 3 Wurden die Komponenten im Intranet installiert und getestet bauen Sie Anwendungen innerhalb der gesicherten DMZ Demilitarized Zone auf 4 Der Datenverkehr zwischen dem Intranet und der DMZ mu eine Firewall durchlaufen 5 Bauen Sie externe Anwendungen auf und testen Sie diese mit Testdaten 6 Installieren Sie eine Firewall um den Datenverkehr zwischen Internet und DMZ zu sch tzen 7 Gew hren Sie Benutzern den Zugriff auf das Netz Vollst ndiges FirstSecure System planen Nachfolgend wird vorgeschlagen in welcher Reihenfolge vorgegangen werden kann um die FirstSecure Produkte im Netz zu nutzen Diese Darstel lung ist stark vereinfacht In Teil 3 Voraussetzungen f r die Installation und Integration auf Seite 57 sind die Hardware und Softwarevoraussetzungen f r die einzelnen Produkte und berlegungen zur Integration aufgef hrt Lesen Sie zudem die Informationen ber Voraussetzungen und Anweisungen zur Installation die den einzelnen Produkten beiliegen F r viele Produkte sind zudem neueste Informationen im Internet verf gbar In Web Informationen auf Seite xii sind die Web Sites mit FirstSecure Informationen aufgef hrt Das Redbook Understanding the IBM SecureWay FirstSecure Framework IBM Form SG24 5498 enth lt mehrere ausf hrliche Szenarien Kapitel 4 FirstSecure im e business Netz planen 31 32 10 11 12 13 14 Stellen Sie fest welche Sicherheitsvoraussetzungen
102. ng von Netzen die die elektronische Kommunikation zwischen Computern erm glicht Die Kommunikation erfolgt ber Softwareservices wie E Mail oder Web Browser Bestimmte Universit ten sind bei spielsweise an ein Netz angeschlossen das wie derum mit anderen hnlichen Netzen verbunden ist Diese Netze bilden zusammen das Internet Intranet Ein Netz innerhalb eines Unterneh mens das sich normalerweise hinter Firewalls befindet Es ist ein Derivat des Internet das eine hnliche Technologie benutzt Technisch ist ein Intranet eine reine Erweiterung des Internet HTML eine Sprache f r die grafische Darstellung von Informationen und HTTP ein Protokoll das Hypertext Dateien im Internet transportiert sind einige der Gemeinsamkeiten IntraVerse Server In IntraVerse ein System auf den Netz das die IntraVerse Server Software enth lt und mit allen Host Systemen mit NetSEAT Client Software kommunizieren kann Der IntraVerse Server bezieht sich auf ein System oder eine Kombination von Systemen die die zu dem Produkt geh renden Programme ausf hren IPSec Ein von der IETF Internet Engineering Task Force entwickelter Standard f r die Sicher heit des Internet Protocol IPSec ist ein Protokoll der Vermittlungsschicht f r Sicherheitsservices zur Verschl sselung mit denen Kombinationen aus Authentifizierung Integrit tssicherung Zugriffssteuerung und Vertraulichkeitssicherung flexibel unterst tzt werden Aufgrund seiner lei
103. ngen dieses Mitarbeiters Kapitel 3 bersicht ber ein e business Netz 25 Typisches Intranet eines Gesch ftspartners oder Lieferanten Ihr Gesch ft ist effizienter wenn Ihre Gesch ftspartner und Lieferanten auf einige Ihrer Daten direkt zugreifen k nnen Beispielsweise kann ein Lieferant berechtigt werden Ihren Lagerbestand zu berpr fen damit er neue Ware sendet wenn ein bestimmter Bestand unterschritten wird Einem anderen Gesch ftspartner kann Zugriff auf andere ausgew hlte S tze erteilt werden Eine Abrechnungsfirma ben tigt m glicherweise Zugriff auf S tze mit Steuer daten nicht aber auf die S tze mit Informationen ber Gesch ftspartner In Abb 8 und Abb 9 wird ein typischer Lieferant oder Gesch ftspartner gezeigt Sie wollen da Gesch ftstransaktionen das Internet so durchlaufen als ob sie eine private Verbindung durchlaufen w rden Intranet von Gesch fts partner oder Lieferant Socks f higer Client Internet Intranet Host IBM On Demand Router Client Anderer f Gesch fts partner Abbildung 8 Typisches Intranet eines Gesch ftspartners oder Lieferanten der ein virtuelles privates Netz benutzt Intranet von Gesch fts partner oder Lieferant Socks f higer Internet Client Intranet Firewall Firewall Host On Demand Client Abbildung 9 Typisches Intranet eines Gesch ftspartners oder Lieferanten der ein SSL bertragungsprotokoll benutzt
104. nsole Voraussetzungen f r die Verwaltungskonsole Betriebssysteme Windows 95 Windows 98 Windows NT Version 4 0 Service Pack 5 Maschine mit 166 MHz oder h her wird empfohlen Solaris 2 5 1 oder 2 6 auf Sun SPARC Plattenspeicherplatz 25 MB auf allen Plattformen Hauptspeicher Windows NT 40 MB AIX 64 MB Solaris 40 MB Tabelle 7 Hardware und Softwarevoraussetzungen f r Tivoli Cross Site for Security Agents Agent Voraussetzungen Betriebssysteme Windows NT Version 4 0 Service Pack 5 oder h her AIX 4 3 2 Solaris 2 5 1 oder 2 6 auf Sun SPARC Java JDK 1 1 6 Revision 04 oder h her auf Solaris nur f r UNIX erforderlich Plattenspeicherplatz 15 MB unter Windows NT 10 MB unter AIX 10 MB unter Solaris Hauptspeicher 32 MB unter Windows NT 32 MB unter AIX 20 MB unter Solaris Anmerkungen Cross Site for Security 1 Netscape Enterprise Server 3 51 und 3 6 werden nicht unterst tzt 2 Patch Code Voraussetzungen f r Solaris stehen in der Installationsdokumentation f r Tivoli 72 FirstSecure Planung und Integration In Tabelle 8 sind die Hardwarevoraussetzungen f r Norton AntiVirus aufge f hrt Tabelle 8 Hardwarevoraussetzungen f r Norton AntiVirus Intrusion Immunity Maschi Plattenspei Hauptspei Weitere Komponente nentyp cherplatz cher Vorausset zungen Norton AntiVirus Intel
105. nt Ein Assistent ist bei der ersten Konfiguration von IBM Firewall hilf reich Durch diesen Konfigurationsassistenten steht einem Benutzer der keine umfangreichen Kenntnisse ber IBM Firewall besitzt schon bald nach der Installation eine Basiskonfiguration zur Verf gung Network Security Auditor Der Network Security Auditor NSA berpr ft die Netz Server und IBM Firewall auf L cken im Sicherheitssystem oder Konfigurations fehler Er ist schneller und zuverl ssiger FirstSecure Planung und Integration Neuerungen in MIMEsweeper f r IBM SecureWay Release 2 Zu den Erweiterungen an MAlLsweeper geh ren Nach Schl sselw rtern suchen um nicht der Netiquette entsprechende Post zu blockieren und wertvolle Daten gegen das Exportieren aus dem Unternehmen zu sch tzen Ankommende Junk E Mail abwehren Das Senden oder Empfangen bestimmter Arten von Dateien durch bestimmte Benutzer oder Gruppen blockieren Dateien auf der Basis der Dateigr e blockieren oder verz gern um eine berlastung des Netzes zu vermeiden Zu den Erweiterungen an WEBsweeper geh ren Mitarbeitern den Zugriff auf Sites verwehren die nicht arbeitsbezogen sind Schutz gegen Attacken durch Extrahieren von Dokumenten ber HTML oder E Mail Adressen und von Site Informationen ber Cookies Neuerungen in SurfinGate SurfinGate bietet die folgenden Erweiterungen Pr fung des Inhalts von JavaScript Code Aufgabenkritische Leistungs berwachung Verb
106. nter befinden sich in der Datei ncstour readme txt Trust Authority 96 Die IBM SecureWay Trust Authority Produktdokumentationen sind in PDF und HTML Format auf der CD ROM mit der Trust Authority Dokumentation verf gbar Einige Trust Authority Dokumentationen wurden in andere Sprachen bersetzt Anweisungen zum Zugriff auf eine Ver ffentlichung in einer anderen Sprache als Englisch enth lt die Informationsdatei Readme des Produkts Die neueste Version der Informationsdatei Readme ist immer auf der Seite Library der IBM SecureWay Trust Authority Web Site verf gbar http www ibm com software security trust library Zu der Trust Authority Bibliothek geh ren die folgenden Dokumentationen IBM SecureWay Trust Authority Einf hrung Dieses Buch enth lt eine bersicht ber das Produkt Es enth lt die Produktvoraussetzungen die Installationsprozeduren und Informa tionen ber den Zugriff auf die f r die einzelnen Komponenten ver f gbare Online Hilfefunktion Dieses Buch befindet sich auf der Dokumentations CD ROM und wird auch als gedruckte Version mit dem Produkt geliefert FirstSecure Planung und Integration IBM SecureWay Trust Authority Systemverwaltung Dieses Buch enth lt allgemeine Informationen ber die Verwaltung des Trust Authority Systems Es beinhaltet Prozeduren zum Starten und Stoppen der Server zum ndern von Kennw rtern zum Ver walten der Zertifizierungsstelle zum Ausf hren von Protokollie rungen un
107. nutzer Anwendungen und Anwendungserstellung Sicherheit der Hardware Kapitel 4 FirstSecure im e business Netz planen Vollst ndiges FirstSecure System planen Kapitel 5 Policy Director im Netz planen Einsatz von Policy Director Kapitel 6 SecureWay Boundary Server im Netz planen Einsatz von IBM SecureWay Firewall Einsatz von MIMEsweeper Einsatz von SurfinGate Kapitel 7 Intrusion Immunity im Netz planen Einsatz von Tivoli Cross Site for Security Tivoli Cross Site for Security Lizenzberechtigung erhalten Zugeh rige Tivoli Cross Site Produkte Datenverkehr mit Tivoli Cross Site for Security berwachen Tivoli Cross Site for Security in Ihrem Netz Einsatz von Norton AntiVirus Kapitel 8 Public Key Infrastructure im Netz planen Einsatz von Trust Authority Inhaltsverzeichnis 25 25 26 27 28 28 28 29 29 31 31 33 33 37 39 40 42 45 45 47 47 48 48 49 51 52 iii Kapitel 9 SecureWay Toolbox im Unternehmen planen 53 Berechtigungsservices 53 Services f r Zertifizierungsstellen 53 Verzeichnisservices 54 KeyWorks Services f r Verschl sselungs und Authentifizierungsverwaltung 54 SSL Protokollservices 55 Teil 3 Voraussetzungen f r die Installation und Integration 57 Kapitel 10 Installation von FirstSecure planen 2 2 204m 59 Allgemeine Systemvoraussetzungen 59 Betriebssystemvoraussetzungen f
108. oder Lieferanten der ein virtuelles privates Netz benutzt 21 22 23 24 26 10 11 12 13 Typisches Intranet eines Gesch ftspartners oder Lieferanten der ein SSL bertragungsprotokoll benutzt bersicht ber den Datenflu in SecureWay Boundary Server Produkten Installation des Cross Site for Security Verwaltungs Servers in der DMZ Installation des Cross Site for Security Verwaltungs Servers im Intranet Installation des Cross Site for Security Verwaltungs Servers in der DMZ mit Unterst tzung eines an das Internet angeschlossenen Servers Abbildungsverzeichnis 26 38 74 75 76 vii Tabellen Viii Betriebssystemvoraussetzungen fiir Server und Clients Hardwarevoraussetzungen fiir den Policy Director Hardwarevoraussetzungen fiir SecureWay Boundary Server Komponenten Softwarevoraussetzungen fiir SecureWay Boundary Server Komponenten Hardware und Softwarevoraussetzungen fiir Tivoli Cross Site for Security Server Hardware und Softwarevoraussetzungen fiir die Tivoli Cross Site for Security Verwaltungskonsole Hardware und Softwarevoraussetzungen fiir Tivoli Cross Site for Security Agents FirstSecure Planung und Integration 60 61 63 65 71 72 72 10 11 12 13 14 15 Hardwarevoraussetzungen fiir Norton AntiVirus Softwarevoraussetzungen fiir Norton AntiVirus Voraussetzungen fiir die Server Software und wahlfreie Hardware f r die Public Key
109. ol Lightweight Directory Access Protocol Im IBM SecureWay Directory bietet LDAP eine M glich keit zum Verwalten von Verzeichnisinforma tionen an einem zentralen Standort Speichern Aktualisieren Abrufen und Datenaustausch Makrobombe Eine gesicherte Befehlsfolge die an einen anderen Benutzer gesendet wird um bei diesem Benutzer unerw nschte Ergebnisse hervorzurufen Minianwendung Ein Computerprogramm das in Java geschrieben ist und innerhalb eines Java kompatiblen Browsers wie dem Netscape Navigator l uft Sie wird auch als Java Applet bezeichnet Mobiler Code Datenverarbeitung auf einem tragbaren Computer durch einen Benutzer der sich oft an verschiedenen Standorten befindet und unterschiedliche Arten von Netzverbindungen benutzt beispielsweise W hlleitungen LANs oder drahtlose Verbindungen MPEG Der in der Entwicklung befindliche Stan dard der Moving Pictures Experts Group zum Komprimieren und Speichern von Bewegt bildvideo und animation in digitaler Form N Namensbereich Hinsichtlich des SecureWay Directory die externe Struktur von Namen auf die von Benutzern zugegriffen werden kann Netzadressenfilterung Das berpr fen der Adresse ankommender oder abgehender E Mail um festzustellen ob der Empf nger oder Absender akzeptiert werden kann Glossar 109 O Object Request Broker In der objektorientierten Programmierung Software die als Vermittler dient indem Objekte transparent Anforde
110. ommentare zu Pl nen und Aktivit ten innerhalb des Gesch fts abzugeben Im e business sollen Mitarbeiter auf die Daten zugreifen k nnen die sie zur Ausf hrung ihrer Aufgaben ben tigen Im Internet tummeln sich jedoch auch Benutzer die kein e business will Hacker Spammer Benutzer die unerw nschte E Mail verschicken Benutzer die Viren verbreiten Benutzer die auf sensible Daten zugreifen wollen Diese Benutzer befinden sich m glicherweise sogar innerhalb Ihres e business Bevor Sie Zugriff auf eine Ressource erteilen m ssen Sie wissen welcher Benutzer die Ressource anfordert welchen Zugriff dieser Benutzer auf Daten und Anwendungen haben darf und welche Aufzeichnungen ber den Benut zerzugriff aufbewahrt werden sollen FirstSecure Planung und Integration Anwendungen und Anwendungserstellung Anwendungen k nnen so entworfen werden da die Sicherheit ber cksich tigt wird Sie k nnen die Verschl sselung der zu bertragenden Daten die Zertifizierung von Benutzern die Zugriff anfordern und Pr fprotokolle von Benutzern und Transaktionen nutzen Die Sicherheit kann ber die Toolbox APls in Ihre Anwendungen integriert werden Sicherheit der Hardware Server und Datenbanken sind Teil eines gesicherten Systems Die Sicherheit der Hardware wird in diesem Buch zwar nicht behandelt Sie m ssen jedoch einen Plan f r die physische Sicherheit von Servern und f r die Workstations erstellen die f r die Verwaltung der S
111. omponenten SecureWay Boundary Server Maschi Plattenspei Hauptspei Weitere Komponente nentyp cherplatz cher Vorausset zungen SurfinGate Server Pentium 20 MB Minimum mit 233 128 MB MHz oder Empfohlen h her 256 MB Console Pentium 15 MB Minimum 32 mit 233 MB MHz oder Empfohlen h her 64 MB MIMEsweeper f r IBM SecureWay Release 2 MAILsweeper Pentium 1 GB 64 MB 1 Netzschnitt mit 200 stellenkarte MHz oder h her WEBsweeper Pentium 1 GB 128 MB 1 1 Netzschnitt mit 400 MB pro stellenkarte MHz oder gleichzeitige h her Web Verbindung Anmerkungen 1 Weitere Informationen enth lt die mit IBM Firewall gelieferte Dokumentation 2 Zudem sind 138 MB Plattenspeicherplatz f r den Netscape Browser erforderlich Tabelle 4 Seite 1 von 2 Softwarevoraussetzungen f r SecureWay Boundary Server Komponenten Microsoft Windows AIX Solaris SecureWay Boundary Server Plattformen Komponente Client Server Server Server IBM SecureWay Firewall Windows Windows AIX 4 3 2 Nicht ver 95 NT Server f gbar IPSec Client Version 4 0 Service Pack 51 ACE Server Windows Windows AIX 42 Solaris NT NT Server 2 5 1 Workstation Version 4 0 4 0 Service Service Pack 2 Pack 5 oder h her oder h her 64 FirstSecure Planung und Integration Tabelle 4 Seite 1 von 2 Softwarevoraussetzungen f r SecureWay Boundary Server Komponenten
112. onen fiir Kom ponenten 91 Dokumentationspakete 91 Web Site 59 IDE Definition 108 Implementierungsservices Defi nition 108 Implementierungsservices FirstSecure 9 Installation Policy Director 62 Integration von Policy Director und Trust Authority 62 Integration von Trust Authority und Policy Director 62 114 Integrierte Entwicklungsumge bung Definition 108 Interaktion von IBM KeyWorks Toolkit und IBM SecureWay Trust Authority 84 90 Interaktion von IBM KeyWorks Toolkit und Trust Authority 84 90 Interaktion von IBM SecureWay Trust Authority und IBM KeyWorks Toolkit 84 90 Interaktion von Trust Authority und IBM KeyWorks Toolkit 84 90 Internet Risiken 21 Internet Definition 108 Intranet ferner Mitarbeiter 25 Gesch ftspartner 26 Gesch ftsstellen 25 typisches 24 Intranet Definition 108 IntraVerse Server Definition 108 Intrusion Immunity Beschreibung 45 Dokumentationen zu Kompo nenten 94 Hardwarevoraussetzungen 71 Neuerungen 15 Nutzung planen 45 Schwerpunkte 7 Softwarevoraussetzungen 71 IPSec Definition 109 ISV Definition 109 J Java Definition 109 JavaScript Definition 109 K Kanal Definition 109 Kerberos Definition 109 FirstSecure Planung und Integration L LDAP Definition 109 Lightweight Directory Access Protocol Definition 109 MAILsweeper Beschreibung 40 Installation mit IBM Firewall 66 Makrobombe Definition 109 MIMEsweeper Hardwarevoraussetzungen 63 Installation mit IBM
113. oolbox Voraussetzungen und berlegungen zur Installa tion auf Seite 85 60 FirstSecure Planung und Integration Kapitel 11 Policy Director Voraussetzungen und berlegungen zur Installation In diesem Kapitel werden die Hardware und Softwarevoraussetzungen f r den Policy Director aufgef hrt Es enth lt zudem die f r die Integration mit anderen FirstSecure Produkten erforderlichen Installationsvoraussetzungen Policy Director Hardware und Softwarevoraussetzungen In Tabelle 2 sind die Hardwarevoraussetzungen f r den Policy Director auf gef hrt Tabelle 2 Hardwarevoraussetzungen f r den Policy Director Plattform Mindestplattenspeicherplatz Mindesthauptspeicher Windows NT Server Intel 16 MB 64 MB oder Intel kompatibler 80486 mit 133 MHZ oder h her AIX Server Hardware mit 16 MB 64 MB AIX 4 3 1 Solaris Server Hardware mit 16 MB 64 MB Solaris 2 6 F r die Policy Director Komponenten bestehen folgende Softwarevoraussetzungen Policy Director Server e Windows NT Server Version 4 0 Service Pack 5 e AIX Version 4 3 1 e Sun Solaris Version 2 6 NetSEAT Clients e Windows NT Server Version 4 0 Service Pack 5 e Windows 95 e Windows 98 Kapitel 11 Policy Director Voraussetzungen und Uberlegungen zur Installation 61 Verwaltungskonsole Management Console e Windows NT Workstation e Windows NT Server Client e AIX Version 4 3 1 Client e Sun Solaris Versio
114. ordnungsm g lichkeiten von Servern Clients und Anwendungen dargestellt die f r Ihr Unternehmen bestehen k nnen Das Format der Abbildungen h ngt davon ab in welchem Format das Buch geliefert wird e Die meisten Abbildungen in der PDF Version des Buchs sind einfacher gestaltet damit Plattenspeicherplatz eingespart wird und die Abbildungen schneller gedruckt werden e Abbildungen in der gedruckten Version sind komplexer belegen mehr Speicherplatz und werden langsamer geruckt Die Abbildungen sind in beiden Versionen funktional vergleichbar und haben identische Bildunterschriften und alternativen Text Zu diesem Handbuch IX Zielgruppe Dieses Buch ist f r Systemadministratoren bestimmt die f r die Planung und Integration der Sicherheit von web gest tzten Systemen zust ndig sind Es sind Kenntnisse des Netzbetriebs und der e business Anwendungen erforder lich Aufbau des Handbuchs x Dieses Buch besteht aus den folgenden Teilen e Teil 1 bersicht ber FirstSecure auf Seite 1 enth lt eine bersicht ber FirstSecure die FirstSecure Komponenten und die verf gbaren Angebote e In Teil 2 Gesichertes e business Netz planen auf Seite 17 wird die Planung eines gesicherten e business Netzes beschrieben e In Teil 3 Voraussetzungen f r die Installation und Integration auf Seite 57 werden die Installationsvoraussetzungen und die Integrationsde tails der FirstSecure Produkte beschrieben
115. otokoll f r Punkt zu Punkt Verbindungen Point to Point Protocol PPP NDISWAN ist ein Treiber f r den Netzbetrieb der als Teil des RAS Dienstes geliefert wird und die untergelegten PPP Daten so umsetzt da sie Ethernet LAN Daten hnlich sind Kapitel 2 Neuerungen in Release2 13 14 IBM SecureWay Firewall Erweiterungen f r AIX IBM SecureWay Firewall f r AIX bietet zahlreiche Erweiterungen Erweiterte IPSec Unterst tzung Die erweiterte IPSec Unterst tzung beinhaltet Unterst tzung f r neue Kopfzeilenbereiche Zudem werden die Interoperabilit t mit mehreren IBM Servern und Routern sowie viele nicht von IBM stammende VPN Produkte unterst tzt die die neuen Kopfzeilenbereiche unter st tzen Mehrprozessorunterst tzung Firewall Benutzer k nnen die RS 6000 Mehrprozessoreinrichtungen zur Skalierungs und Leistungsverbesserung nutzen Filtererweiterungen Die Leistung und Flexibilit t bei der Konfiguration wird erh ht Sie k nnen die Leistung von IBM SecureWay Firewall optimieren indem Sie die Position unterschiedlicher Arten von Filterregeln ausw hlen k nnen Zudem wird protokolliert wie oft eine Verbindung benutzt wird Netzadressenumsetzung Die Viele zu Eins Adressenumsetzung wird unterst tzt Bei dieser Zuordnung werden mehrere interne unregistrierte oder private Adressen ber Anschlu nummern einer registrierten g ltigen Adresse zugeordnet um die eindeutigen Zuordnungen zu erstellen Konfigurationsassiste
116. pecification Diese Spezifikation enth lt die Definition der Schnittstelle der Service Provider Module f r die Schl sselwiederherstellung entsprechen m ssen damit ber das Toolkit auf die Service Provider Module zugegriffen werden kann IBM KeyWorks Toolkit Trust Policy Interface Specification Diese Spezifikation enth lt die Definition der Schnittstelle der Stellen f r die Realisierung von Sicherheitsrichtlinien z B Zertifizie rungsstellen Ausgeber von Zertifikaten und Anwendungsentwickler die f r die Realisierung von Sicherheitsrichtlinien zust ndig sind ent sprechen m ssen damit das Toolkit mit modell oder anwendungs spezifischen Richtlinien erweitert werden kann IBM KeyWorks Toolkit Certificate Library Interface CLI Specification Diese Spezifikation enth lt die Definition der Schnittstelle der Ent wickler f r Zertifizierungsbibliotheken entsprechen m ssen damit formatspezifische Services zur Bearbeitung von Zertifikaten f r die verschiedenen Toolkit Anwendungen und Module f r Authentifi zierungsrichtlinien verf gbar sind IBM KeyWorks Toolkit Data Storage Library Interface DLI Specification Diese Spezifikation enth lt die Definition der Schnittstelle der Ent wickler f r Bibliotheken entsprechen m ssen damit ein formatspezi fischer oder formatunabh ngiger permanenter Speicher f r Zertifikate verf gbar ist IBM Key Recovery Service Provider Die folgende Dokumentation wird mit IBM Key Recovery S
117. r heits Agent heits Agent Abbildung 12 Installation des Cross Site for Security Verwaltungs Servers im Intranet Kapitel 13 Intrusion Immunity Voraussetzungen und berlegungen zur Installation 75 ISP f r Server mit Ihren Server Sicherheits Server Agent Internet Web Server Standort mit Sicher bergreifender heits Agent Server DMZ SMTP Server DNS Server mit Sicher mit Sicher heits Agent heits Agent Firewall Intranet Server mit Server mit Server mit Server mit Sicherheits Sicherheits Sicherheits Sicherheits Agent Agent Agent Agent Abbildung 13 Installation des Cross Site for Security Verwaltungs Servers in der DMZ mit Unter st tzung eines an das Internet angeschlossenen Servers 76 FirstSecure Planung und Integration Norton AntiVirus Installationsvoraussetzungen Informationen ber die Installation von Norton AntiVirus stehen in der Datei contents txt die sich im Stammverzeichnis der Produkt CD befindet Kapitel 13 Intrusion Immunity Voraussetzungen und berlegungen zur Installation 77 78 FirstSecure Planung und Integration Kapitel 14 Public Key Infrastructure Voraussetzungen und berlegungen zur Installation Unternehmen ben tigen heute zum Schutz von e business Anwendungen eine Infrastruktur mit allgemeinen Schl sseln Public Key Infrastructure FirstSecure Trust Authority liefert zwei Funktionsebenen mit denen eine Infrastruktur mit allgemeinen Sch
118. r Basis der Ihnen erteilten Berechti gungen benutzt werden k nnen Zugriffssteuerungsliste Ein Mechanismus zur Begrenzung der Benutzung einer bestimmten Ressource f r berechtigte Benutzer Index A ACE Server Beschreibung 40 Schwerpunkte 6 ACL Definition 107 ActiveX Definition 107 Agent Definition 107 Allgemeiner Schl ssel Defini tion 107 Antivirus Software 45 Antivirusprodukte Anforde rungen 45 Anwendungsprogrammier schnittstelle Definition 107 Apache Server Definition 107 API Definition 107 Assistent Definition 107 Authentifizierung Definition 107 Berechtigung Definition 107 Beschreibung FirstSecure 5 Bloodhound Definition 107 C Circiut Level Gateway Defini tion 107 Client Definition 107 D D mon Definition 107 Datentr gerpakete 91 DCE Definition 107 Demilitarized Zone 22 Digitales Zertifikat Definition 107 DMZ 22 Dokumentationen fur IBM Firewall 92 fiir IBM Key Recovery Service Provider 99 fiir IBM KeyWorks Toolkit 98 fiir Intrusion Immunity Komponenten 94 fiir MIMEsweeper 93 f r Norton AntiVirus 94 fiir Policy Director Komponenten 91 fiir SecureWay Boundary Server Komponenten 92 f r SurfinGate 93 f r Toolbox Komponenten 97 Trust Authority 96 Dokumentationspakete 91 100 E e business Definition 108 e commerce Definition 108 Ereignis Definition 108 Extranet Definition 108 F Fernprozeduraufruf Definition 108 File Transfer Protocol FTP D
119. r Server und Clients 00 60 Einzelheiten und Voraussetzungen fiir Komponenten u eures Beye 60 Kapitel 11 Policy Director Voraussetzungen und Uberlegungen zur Installation 61 Policy Director Hardware und Softwarevoraussetzungen 61 Policy Director Installationsvoraussetzungen 62 Integration von Policy Director und Trust Authority a aa 4 ne eee aaa 62 Kapitel 12 SecureWay Boundary Server Voraussetzungen und Uberlegungen zur Installation 63 SecureWay Boundary Server Hardware und Softwarevoraussetzungen 63 Uberlegungen zu den SecureWay Boundary Server Komponenten 67 Uberlegungen zu IBM Firewall 67 berlegungen zu MIMEsweeper in 70 Kapitel 13 Intrusion Immunity Voraussetzungen und berlegungen zur Installation 71 Intrusion Immunity Hardware und Softwarevoraussetzungen 71 iv FirstSecure Planung und Integration Tivoli Cross Site for Security Installationsvoraussetzungen Norton AntiVirus Installationsvoraussetzungen Kapitel 14 Public Key Infrastructure Voraussetzungen und berlegungen zur Installation Trust Authority Server Hardware und Softwarevoraussetzungen Trust Authority Client Hardware und Softwarevoraussetzungen Interaktion von IBM KeyWorks Toolkit und IBM SecureWay Trust Authority Kapitel 15 Toolbox Voraussetzungen und berlegungen zur Installation Toolbox
120. ranet eines Unternehmens ber das Intranet des Unternehmens erfolgt die interne Kommunikation im Unternehmen Es enth lt Informationen und Ressourcen die im Internet nicht zur Verf gung stehen Ihre Mitarbeiter benutzen Daten gemeinsam senden gegenseitig E Mail und greifen auf Unternehmensressourcen wie Daten banken Drucker und Scanner zu In Abb 5 wird ein typisches Intranet eines Unternehmens gezeigt Intranet des Unternehmens Policy Director Trust Authority Administrator konsolen WebSEAL Browser IBM MIMEsweeper SurfinGate Abbildung 5 bersicht ber ein typisches Intranet eines Unternehmens Sie m ssen darauf achten da vertrauliche Unternehmensinformationen innerhalb Ihres Unternehmens bleiben und nur befugte Personen auf diese Daten zugreifen k nnen Es kann jedoch m glich sein da auf bestimmte Daten auch Kunden Zugriff haben sollen Bankmitarbeiter sollen beispiels weise Kontost nde nicht aber pers nliche Daten der Bankangestellten abfragen k nnen IBM Firewall sorgt daf r da pers nliche Daten vertraulich bleiben IBM FirstSecure Produkte helfen dabei da Ihr Intranet sicher ist Mit dem Policy Director k nnen Sie Zugriffsregeln festlegen IBM SecureWay Trust Authority stellt die korrekte Identit t der Benutzer sicher Tivoli Cross Site for Security informiert Sie ber unbefugte Zugriffsversuche auf Ihre Intranet Ressourcen 24 FirstSecure Planung und Integration
121. rf gung stehen IBM KeyWorks Toolkit kann wichtige Verwaltungsfunktionen liefern ein schlie lich e Schutzfunktionen mit denen das Umgehen wichtiger Schritte in einem von KeyWorks unterst tzten Proze verhindert wird e Uberpriifungsfunktionen mit denen festgestellt wird ob Service Provider Plug In Module vor der Verwendung ge ndert wurden e Benutzung der Service Provider Plug In Module nur ber das Ger st e Unterst tzung f r die landesspezifische und unternehmensspezifische Anwendung der Verschl sselungs und Sicherheitsrichtlinien Kapitel 15 Toolbox Voraussetzungen und berlegungen zur Installation 89 IBM KeyWorks Toolkit bietet die folgenden Vorteile e M glichkeit zum ndern oder Ersetzen von Service Provider Modulen ohne da Anwendungen und Middleware neu geschrieben werden m ssen e Nahtlose Unterst tzung f r Hardwareverschl sselung und digitale Unter schrift e Unterst tzung f r LDAP Verzeichnisse und den DSA Unter schriftenstandard e Es mu keine bestimmte Zertifizierungsstelle benutzt werden Weitere Informationen ber IBM KeyWorks Toolkit stehen im Buch IBM KeyWorks Toolkit Developer s Guide Interaktion von IBM KeyWorks Toolkit und IBM SecureWay Trust Authority Installieren Sie IBM KeyWorks Toolkit nicht auf demselben Server wie IBM SecureWay Trust Authority IBM Key Recovery Service Provider Toolkit 1 1 90 IBM Key Recovery Service Provider 1 1 3 0 hat Toolkit Format und
122. rungen und Antworten austauschen k nnen OEM Original Equipment Manufacturer P Plug In Ein Programm das als Teil des Web Browsers benutzt werden kann Principal In einer Umgebung f r verteilte Datenverarbeitung Distributed Computing Environment DCE eine Definitionseinheit die ber die DCE Sicherheitsfunktionen sicher mit einer anderen Definitionseinheit kommunizieren kann Principals k nnen Benutzer Server oder Computer sein Proxy Server Ein Vermittler zwischen dem Computer der Zugriff anfordert A und dem Computer auf den zugegriffen wird B Fordert ein Endbenutzer eine Ressource von Computer A an wird diese Anforderung an einen Proxy Server bergeben Der Proxy Server bernimmt die Anforderung erh lt eine Antwort von Computer B und leitet die Antwort dann an den Endbenutzer weiter Proxy Server sind beim Zugriff auf World Wide Web Ressourcen inner halb einer Firewall n tzlich Pr fprotokoll Daten in Form eines logischen Pfades der eine Folge von Ereignissen verbindet Ein Pr fprotokoll kann zum Verfolgen von Trans aktionen oder der Statistik einer bestimmten Akti vit t benutzt werden Beispielsweise k nnen die Aktivit ten eines Kundenkontos verfolgt werden R RPC Remote Procedure Call Fernprozedur aufruf 110 FirstSecure Planung und Integration S Schl sselpaar aus allgemeinem und pers n lichen Schl ssel Ein Schl sselpaar aus allge meinem und pers nlichen Schl ssel
123. rungsser vices KeyWorks besteht aus einer Gruppe von geschichteten Sicherheitsser vices und zugeordneten Programmierschnittstellen die eine integrierte Gruppe von Sicherheitsfunktionen f r Informationen und bertragungen liefern FirstSecure Planung und Integration Jede Schicht baut auf den eher grundlegenden Services der direkt unter ihr befindlichen Schicht auf Diese Schichten beginnen mit grundlegenden Ele menten wie Verschl sselungsalgorithmen Zufallszahlen und eindeutigen Ken nungen in den unteren Schichten und setzen sich bis zu digitalen Zertifikaten Mechanismen zur Verwaltung und Wiederherstellung von Schl sseln und Protokollen f r gesicherte Transaktionen in den h heren Schichten fort KeyWorks unterst tzt Landessprachen das Produkt ist daher nicht abh ngig von bestimmten Sprachen und Zeichens tzen Weitere Informationen ber die KeyWorks C APIs enthalten die Ver ffentli chungen in der Liste der mit der Toolbox gelieferten KeyWorks Doku mentationen in Kapitel 16 Mit FirstSecure gelieferte Dokumentationen auf Seite 91 SSL Protokollservices Secure Sockets Layer Protokollservices werden von dem IBM Secure Sockets Layer SSL Toolkit unterst tzt Mit den SSL Protokollservices k nnen Sie entscheiden wer Zugriff auf Ihre Daten hat Diese Services verschl sseln Daten ber allgemeine und pers n liche Schl ssel beispielsweise zwecks Benutzerauthentifizierung Verhinde rung des Zugriffs durch unbe
124. rungsstelle ver ffentlicht zudem Informationen ber Zertifi kate in einem integrierten Verzeichnis f r allgemeine Schl ssel dem IBM SecureWay Directory LDAP e Eine Zertifizierungsstelle Die Zertifizierungsstelle gibt digitale Zertifikate aus und generiert Paare von digitalen Schl s seln mit denen die Zertifikate authentifiziert werden k nnen unterst tzt die gesamte Lebensdauer von Zertifikaten von der Erstregistrierung ber die Erneuerung bis zum Widerruf Die Registrierungsstelle aktualisiert das Verzeichnis sofort wenn ein Zertifikat widerrufen wird kann Verschl sselungshardware beispielsweise den IBM SecureWay 4758 PCI Cryptographic Coprocessor und Smart Cards verwenden um die Schl ssel besser sch tzen zu k nnen Kapitel 8 Public Key Infrastructure im Netz planen 51 Credential Central eine web gest tzte Registrierungsschnittstelle die den Erhalt von Browser Zertifikaten Server Zertifikaten und Zertifikaten f r bestimmte Einheiten wie Smart Cards erleichtert Administratoren k nnen diese Registrierungsformulare zudem f r die Vorabregistrierung von End benutzern f r ein PKIX Zertifikat benutzen Trust Authority Client eine eigenst ndige Windows Schnittstelle mit der Benutzer PKIX Zertifikate ohne einen Web Browser erhalten erneuern oder widerrufen k nnen RA Desktop eine web gest tzte Verwaltungsschnittstelle ber die eine Person als Administrator Anforderungen zum Ausstellen Erneuern oder
125. rver im Netz planen 39 Mit IBM Firewall wird der ACE Server geliefert Der ACE Server ist ein Produkt der Security Dynamics Technologies Inc Er bietet leistungsf hige zentralisierte Authentifizierungsservices f r Unternehmensnetze damit nur befugte Benutzer auf Netzdateien Anwendungen und DFV Funktionen zugreifen k nnen In Kombination mit der patentierten SecurID Token Technologie von Security Dynamics Technologies Inc errichtet der ACE Server eine Barriere gegen unbefugten Zugriff Die Authentifizierung basiert auf zwei Faktoren Benutzer m ssen f r die Authentifizierung etwas haben eine SecurID Token Karte und etwas wissen eine PIN Nummer Einsatz von MIMEsweeper 40 MIMEsweeper ein Produkt der Content Technologies Ltd analysiert Internet und Intranet Daten auf der Basis ihres Inhalts um versteckte Gefahrenquellen aufzudecken und die Netzbenutzer gegen solche Gefahrenquellen zu schtitzen berlegungen hinsichtlich der Installation stehen in berlegungen zu den SecureWay Boundary Server Komponenten auf Seite 67 MIMEsweeper enth lt die beiden Basismodule MAILsweeper und WEBsweeper die die Benutzer auf unterschiedliche Arten schtitzen Wenn E Mail und andere Web Daten MIMEsweeper erreichen tiberpriift MIMEsweeper die Adresse des Absenders und des Empfangers und zerlegt die Dateien dann rekursiv in ihre Einzelteile MAILsweeper und WEBsweeper analysieren diese Teile dann um das Risiko da versteckte Ge
126. s ber das Internet ein Intranet oder ein virtuelles privates Netz Zur Verbesserung der Sicherheit des Unterschriftenschl ssels ist die Zertifizierungsstelle so kon zipiert da sie mit Verschl sselungshardware arbeiten kann Kapitel 14 Public Key Infrastructure Voraussetzungen und berlegungen zur Installation 79 Trust Authority Server Hardware und Softwarevoraussetzungen Die Server Softwarevoraussetzungen f r die Komponente Trust Authority sind in Tabelle 10 aufgef hrt Tabelle 10 Seite 1 von 2 Voraussetzungen f r die Server Software und wahlfreie Hardware f r die Public Key Infrastructure Komponente Trust Authority Produkt Eines der folgenden Betriebssysteme e IBM AIX 6000 AIX Version 4 3 2 e Microsoft Windows NT Version 4 0 mit Service Pack 5 Anmerkungen e Erforderlich e Alle Trust Authority Server Programme m ssen auf derselben Plattform installiert werden AIX und Windows NT Maschinen k nnen in derselben Systemkonfiguration nicht gemischt werden IBM SecureWay Directory Version 3 1 1 e Erforderlich Integration mit Trust Authority Code e Bei der Installation von Trust Authority k nnen Sie die Directory Software auf der Maschine installieren auf der auch Trust Authority installiert wird oder Sie k nnen die Directory Software auf einer fernen Maschine installieren IBM WebSphere Application Server Version 2 02 Standard Edition Beinhaltet IBM HTTP Server Version 1
127. s Prozedurauf rufs von einem Server anfordert Diese Einrich tung beinhaltet eine Bibliothek mit Prozeduren und eine externe Datendarstellung 2 Eine Client Anforderung f r einen Service Provider auf einem anderen Knoten File Transfer Protocol FTP Ein Client Server Internet Protokoll mit dem Dateien zwischen Computern bertragen werden k nnen Filtern des Inhalts Content Filtering Das Aus einandernehmen des Inhalts einer bertragung damit der Inhalt gelesen werden kann um festzu stellen ob eine bertragung bestimmten Stan dards hinsichtlich des Inhalts entspricht Firewall Ein System oder eine Kombination von Systemen zum Einrichten sicherer Grenzen zwi schen Netzen 108 FirstSecure Planung und Integration G Gateway Ein System das es inkompatiblen Netzen oder Anwendungen erm glicht mitein ander zu kommunizieren H Hacker Eine Person die ohne entsprechende Berechtigung versucht auf eine Maschine oder ein System zuzugreifen Hacker neigen dazu Ressourcen unerlaubt zu nutzen IDE Integrated Development Environment inte grierte Entwicklungsumgebung Implementierungsservices Die Installations unterst tzung durch IBM vor Ort Integrierte Entwicklungsumgebung Ein Pro gramm zur Anwendungsentwicklung mit dem Anwendungen codiert und mit Unterbrechungs punkten ausgef hrt werden k nnen und Diagnosehilfen f r Programmfehler zur Verf gung stehen Internet Eine weltweite Sammlu
128. ssetzungen und berlegungen zur Installation In diesem Kapitel werden die Hardware und Softwarevoraussetzungen f r den SecureWay Boundary Server aufgef hrt Es enth lt zudem die f r die Integration mit anderen SecureWay Boundary Server Produkten erforder lichen Installationsvoraussetzungen SecureWay Boundary Server Hardware und Softwarevoraussetzungen Die Hardwarevoraussetzungen f r die SecureWay Boundary Server Komponenten sind in Tabelle 3 und Tabelle 4 auf Seite 65 aufgef hrt Tabelle 3 Seite 1 von 2 Hardwarevoraussetzungen f r SecureWay Boundary Server Komponenten SecureWay Boundary Server Maschi Plattenspei Hauptspei Weitere Komponente nentyp cherplatz cher Vorausset zungen IBM SecureWay Firewall NT NT 24 MB NT 64 MB 2 Netzschnitt Pentium stellenkarten mit 133 AK AIX 64 MB MHz oder 307 MB h her AIX RS 6000 Maschine die AIX 4 3 2 unter st tzt ACE Server NT Software Minimum Der tats ch Pentium f r pri 32 MB liche Speicher mit 166 m ren bedarf h ngt MHz oder Server von der hGher nur 50 MB Anzahl der Einzelpro Ausweich Benutzer ab zessoren Server 22 MB AIX Maschine Benutzerda die AIX 4 2 tenbank unterst tzt anf nglich 4 MB Installation 240 MB Kapitel 12 SecureWay Boundary Server Voraussetzungen und berlegungen zur Installation 63 Tabelle 3 Seite 2 von 2 Hardwarevoraussetzungen f r SecureWay Boundary Server K
129. stenten der die G ltigkeit der Daten berpr ft bevor die Programme f r die Konfiguration im Hintergrund starten Fehlernachrichte und Berichte Online Dokumentation einschlie lich kontextbezogene Hilfe f r Konfi gurationsassistenten Registration Authority Desktop und eine Client Anwendung f r End Definitionseinheiten End Entity EE IBM SecureWay Toolbox 16 Die Toolbox bietet die folgenden Erweiterungen Policy Director APIs und Dokumentation Verzeichnisservice APIs Public Key Infrastructure APIs PKIX APIs und Dokumentation Der IBM Key Recovery Server 1 1 3 0 ist jetzt in der Toolbox enthalten Er ist nur in Englisch verf gbar FirstSecure Planung und Integration Teil 2 Gesichertes e business Netz planen In Teil 2 wird die Planung f r ein gesichertes e business Netz beschrieben In den folgenden Kapiteln wird typischer Internet Datenverkehr und die Bedeutung der Sicherheit im Internet Datenverkehr beschrieben Anschlie end wird gezeigt wie FirstSecure Produkte in einem e business Netz arbeiten Dieser Teil besteht aus den folgenden Kapiteln Kapitel 3 bersicht ber ein e business Netz auf Seite 19 enth lt eine Beschreibung eines typischen e business Netzes und der in einem Netz vorhandenen Arten von Benutzern Ressourcen und Interaktionen Ein Netz kann zwar aus mehr oder weniger vielen Einrichtungen bestehen die Bedeutung der Sicherheit und die Stufe des Sicherheitsschutzes h ngt jedoch n
130. t Datenstrukturen mit Pro zeduren die sich auf die Verteilung von allge meinen Schl sseln beziehen die von authen tifizierten Dritten unterschrieben wurden Z Zelle In einer Umgebung fiir verteilte Datenver arbeitung Distributed Computing Environment DCE eine Gruppe von Benutzern Systemen und Ressourcen die einem gemeinsamen Zweck dienen und gemeinsame Sicherheits Verwal tungs und Benennungsgrenzen aufweisen Die Zugriffsberechtigungen auf Elemente dieser Zelle sind fiir Benutzer Maschinen und Ressour cen einer solchen Zelle untereinander normaler weise h her als f r Benutzer Maschinen und Ressourcen die nicht Mitglied der Zelle sind Zellenverzeichnisservice Eine Komponente einer Umgebung f r verteilte Datenverarbeitung Distributed Computing Environment DCE die eine Datenbank mit Informationen ber Res sourcen innerhalb einer DCE Zelle verwaltet Zertifizierungsstelle Die Definitionseinheiten Softwareanwendungen oder Personen die f r die Einhaltung der Sicherheitsrichtlinien eines Unter nehmens und f r die Zuordnung gesicherter elek tronischer Identit ten in Form von Zertifikaten zust ndig sind Die Zertifizierungsstelle bearbeitet Anforderungen zum Ausgeben Erneuern und Widerrufen von Zertifikaten Zugriffssteuerung Hinsichtlich der Compu tersicherheit der Proze mit dem sichergestellt wird da die Ressourcen eines Datenverarbei tungssystems nur von berechtigten Benutzern und auf de
131. tiVirus k nnen infizierte Dateien isoliert werden Norton AntiVirus kann so konfiguriert werden da Sie auto matisch ber Aktualisierungen und neu festgestellte Viren informiert werden Kapitel 1 Beschreibung von FirstSecure 7 8 Public Key Infrastructure IBM FirstSecure unterst tzt PKI Standards PKI Public Key Infrastructure f r die Verschl sselung und die Interoperabilit t ber das Produkt IBM SecureWay Trust Authority SecureWay Trust Authority ist eine Sicherheitsl sung die das Ausgeben Erneuern und Widerrufen von digitalen Zertifikaten unterst tzt Diese Zertifi kate k nnen in einem weiten Bereich von Internet Anwendungen eingesetzt werden und bieten ein Mittel zur Authentifizierung von Benutzern und zur Gew hrleistung einer gesicherten Kommunikation Trust Authority basiert auf den Spezifikationen der Internet Engineering Task Force IETF Public Key Infrastructure PKI Working Group und beinhaltet folgendes e Unterst tzung f r IBM AIX und Microsoft Windows NT Server e Eine Registrierungsstelle RA e Eine Zertifizierungsstelle CA e Benutzerschnittstellen zum Anfordern von Zertifikaten und zum Ver walten ausgegebener Zertifikate e Eine integriertes IBM SecureWay Directory e Ein Protokollierungssubsystem e Unterst tzung f r den SecureWay PCI 4758 Cryptographic Coprocessor e Unterst tzung f r Smart Cards Diese Infrastruktur unterstiitzt die gesamte Lebensdauer von Zertifikaten ein schl
132. tz planen auf Seite 33 ist der Policy Director ausf hrlich beschrieben SecureWay Boundary Server Die SecureWay Boundary Server Produkte bieten Zuverl ssigkeit Verwaltbar keit und berpr fbarkeit f r web gest tzte e business Anwendungen Gesi cherte Grenzen werden berall ben tigt zwischen Abteilungen wie der technischen Abteilung und der Personalabteilung zwischen den Netzen der Zentrale und fernen Gesch ftsstellen zwischen dem Netz des Unternehmens und dem Internet zwischen den Web Anwendungen des Unternehmens und den Kunden und zwischen dem Netz des Unternehmens und den Gesch fts partnern Eine ordnungsgem e Sicherheit von Grenzen setzt voraus da gesteuert wird wer auf Ihr Netz zugreifen kann und welche Informationen in Ihr Netz gelangen und Ihr Netz verlassen k nnen Kapitel 1 Beschreibung von FirstSecure 5 6 In diesem Abschnitt werden die SecureWay Boundary Server Module beschrieben berlegungen zur Planung und Integration enth lt Kapitel 12 SecureWay Boundary Server Voraussetzungen und berlegungen zur Installation auf Seite 63 IBM SecureWay Firewall IBM SecureWay Firewall auch als IBM Firewall bezeichnet erm glicht sichere e business Operationen indem alle bertragungen in das und aus dem Internet gesteuert werden IBM Firewall beinhaltet die drei wichtigen Firewall Architekturen Filter Proxy und Circiut Level Gateway damit Kunden ein hohes Ma an Sicherheit und Flexibilit
133. ualisierung von Viruskennungen ist entscheidend f r die Aufrechter haltung eines wirksamen Schutzes gegen die neuesten Formen von Viren e Verteilung der Antivirus Aktualisierungen von Servern auf Clients auf der Basis der Sicherheitsrichtlinien im Unternehmen damit die Antivirus richtlinien wirksam umgesetzt werden k nnen Einsatz von Tivoli Cross Site for Security Tivoli Cross Site for Security sch tzt Systeme die anf llig f r feindliche Attacken sein k nnen durch das netzgest tzte Erkennen von Attacken Sie k nnen Tivoli Cross Site for Security Agents berall dort einsetzen wo eine Verwaltungsdom ne mit dem Internet verbunden wird Tivoli Cross Site for Security berwacht Netze um interne und externe Attacken zu erkennen und bietet folgende Vorteile e Erkennen von Attacken auf die Systemsicherheit in Echtzeit und Mittei lung ber m gliche Attacken an den Cross Site for Security Administrator e Konfigurierbare Richtlinien mit denen unterschiedliche Richtlinien f r Agents in der DMZ und Agents im Intranet festgelegt werden k nnen e Online Anderung von Sicherheits Agent Richtlinien damit schnell auf ge nderte Umgebungsbedingungen reagiert werden kann Kapitel 7 Intrusion Immunity im Netz planen 45 46 e Integration mit den Tivoli Enterprise Anwendungen damit das Tivoli Verwaltungssystem im Unternehmen verbessert werden kann Tivoli Cross Site for Security kann folgendes e Das Suchen von Eindringling
134. ung zu Server Anwendungen in einem unge sicherten Netz einrichten kann Spam Unerw nschte E Mail die oft an eine Vielzahl von Empf ngern gesendet wird T TCP IP Transmission Control Protocol Internet Protocol Telnet In der Internet Protokollgruppe ein Pro tokoll f r den Service ferner Terminal Verbin dungen Durch dieses Protokoll k nnen Benutzer eines Hosts sich an einem fernen Host anmel den und als direkt angeschlossene Terminal Benutzer dieses Hosts arbeiten Transmission Control Protocol Internet Protocol Eine Gruppe von bertragungsproto kollen die Peer zu Peer Konnektivit tsfunktionen f r lokale Netze und Weitverkehrsnetze unter st tzen U berwachungssignal Die bertragung von einem Programm zu einem Verwaltungspro gramm zwecks Best tigung der Aktivit t Das Programm teilt dem Verwaltungsprogramm mit da es noch aktiv ist und seine Aufgaben aus f hrt Umgebung f r verteilte Datenverarbeitung DCE Services und Tools die das Erstellen Benutzen und Verwalten von verteilten Anwen dungen in einer heterogenen Datenverarbeitungs umgebung unterst tzen Unbestreitbarkeit der Unterschrift Die Benut zung eines digitalen pers nlichen Schl ssels um zu verhindern da der Unterzeichner eines Dokuments bestreiten kann das Dokument unter zeichnet zu haben obwohl er es unterzeichnet hat Universal Resource Locator URL Die Namens konvention die f r die Kommunikation ber das
135. ver In dem folgenden Buch werden die SecureWay Boundary Server Kompo nenten ihre Voraussetzungen und Interaktionen beschrieben IBM SecureWay Boundary Server f r Windows NT und AIX Installation und Kon figuration Dieses Buch liegt in gedruckter Form vor und enth lt Beschreibungen der SecureWay Boundary Server Komponenten In den folgenden Abschnitten sind die mit den SecureWay Boundary Server Komponenten gelieferten Dokumentationen beschrieben IBM SecureWay Firewall Alle IBM Firewall Dokumentationen sind als Softcopy verf gbar Zu IBM Firewall geh ren die folgenden Dokumentationen IBM SecureWay Firewall f r AIX Konfiguration und Installation Diese Dokumentation enth lt Informationen ber die Installation und Konfiguration von IBM SecureWay Firewall f r AIX IBM SecureWay Firewall f r Windows NT Konfiguration und Installation Diese Dokumentation enth lt Informationen ber die Installation und Konfiguration von IBM SecureWay Firewall f r Windows NT IBM SecureWay Firewall f r AIX Benutzerhandbuch Diese Dokumentation enth lt Informationen ber die Benutzung von IBM Firewall f r AIX IBM SecureWay Firewall f r Windows NT Benutzerhandbuch Diese Dokumentation enth lt Informationen ber die Benutzung von IBM Firewall f r Windows NT IBM SecureWay Firewall f r Windows NT Referenzhandbuch Diese Dokumentation enth lt Referenzmaterial ber die Benutzung von IBM Firewall f r Windows NT IBM SecureWay Firewall
136. y installiert werden soll Folgen Sie den weiteren Anweisungen auf der Web Site Haben Sie Probleme beim Zugriff auf die Tivoli Cross Site Web Site f r die Lizenzberechtigung nehmen Sie telefonisch oder per E Mail unter licensing cross site com mit der Tivoli Cross Site Unterst tzung Kontakt auf Zugeh rige Tivoli Cross Site Produkte Die Tivoli Cross Site Produktfamilie enth lt weitere Komponenten die nicht Teil der FirstSecure Produktfamilie sind Tivoli Cross Site for Availability berwacht und berichtet in welchem Umfang Endbenutzer auf Ihre Web Site zugreifen k nnen Tivoli Cross Site for Deployment dehnt die Reichweite Ihres Unterneh mens aus und erm glicht das Verteilen und Verwalten kritischer Anwen dungen und Informationen ber das Internet Diese Produkte k nnen in der Tivoli Cross Site for Security Dokumentation aufgef hrt sein sie m ssen jedoch separat gekauft werden Kapitel 7 Intrusion Immunity im Netz planen 47 48 Datenverkehr mit Tivoli Cross Site for Security berwachen Der Cross Site for Security Agent ist ein intelligenter Schn ffler im Netz Er berwacht die Pakete im Netz permanent Der Cross Site for Security Agent filtert diese Pakete und sucht nach verschiedenen Kennungen die verd chtige Aktivit ten darstellen Diese Kennungen k nnen Anzeichen f r Attacken auf dem Netz sein Der Cross Site for Security Agent l uft als D mon unter UNIX und als NT Dienst unter Windows NT Das Produ
137. zige Maschine in der gesicherten Dom ne mu der Verwaltungs Server installiert werden Handelt es sich um eine zus tzliche Maschine in einer vorhandenen gesicherten Dom ne mit einem vorhandenen Verwaltungs Server installieren Sie keinen weiteren Verwaltungs Server In einer gesi cherten Dom ne darf nur ein einziges Exemplar des Verwaltungs Servers vorhanden sein e WebSEAL NetSEAL und Berechtigungs Server Komponenten anderer Anbieter sind wahlfrei e Der Security Manager wird mit WebSEAL kombiniert damit die WebSEAL HTTP Server Komponente und eine feingliedrige HTTP Zugriffssteuerung verf gbar ist Er wird zudem mit NetSEAL kom biniert damit die grobgliedrige NetSEAL TCP IP Zugriffssteuerungs komponente verf gbar ist Kapitel 5 Policy Director im Netz planen 35 4 Installieren Sie die Verwaltungskonsole Management Console F r die Verwaltungskonsole Management Console mu ein DCE Client oder NetSEAT f r Windows NT auf dem Betriebssystem installiert werden siehe Schritt 1 auf Seite 35 5 F r Anwendungen die mit dem Berechtigungs ADK entwickelt wurden gelten folgende Abh ngigkeiten e Das Policy Director Paket ist erforderlich e Installieren Sie IVAuthADK auf der Anwendungsmaschine e Auf dem Betriebssystem auf dem die Anwendungen laufen mu ein DCE Client installiert sein Bei einem Windows NT System mu NetSEAT installiert sein e Auf mindestens einem Computer in der gesicherten Dom ne mu ein

Download Pdf Manuals

Related Search

Related Contents

取扱説明書 - 日立工機  8. GV-GIS  netLINK NL 50-MPI und netTAP NT 50-MPI    TCA3388 Telephone Line Interface  Traduzione - Industrial Trading SpA  Thermaltake 7-Inch Touch Screen LCD Monitor    取扱説明書 OPERATION MANUAL - KYOCERA Connector Products  BT User Manual  

Copyright © All rights reserved. Failed to retrieve file