Die Flagge des Marasek

Dekostreifen

English

Aktuell Texte Der Comic Impressum Kalender Suche PHP-Klassen Container-Wizard main.s21

Kategorien

Buch
Computer
Computerspiele
Film
Geschichte
Gesellschaft
Idee
Kunst
Natur
Persönlich
Politik
Programmieren
Religion & Philosophie
Weblog
Weltpolitik
Weltsicht
{{login}}

Die Vier-Augen-Firewall

Permalink
Vorheriger: Web-HassbegriffeNächster: Winamp vs iTunes
Eingeordnet in: Computer, Idee

Firmen und andere Organisationen, die ihren Mitgliedern einen Internetanschluss zur Verfügung stellen, stehen vor der Problematik, dass dieser missbraucht werden kann. Es gibt verschiedene Grade des Missbrauchs:

  • Sachfremde Nutzung
    Der Internetanschluss wird verwendet, um beispielsweise private Emails abzurufen, News-Seiten zu besuchen oder private Einkäufe zu erledigen. Beliebt ist auch das Surfen auf Pornoseiten und in Kontaktbörsen. Sachfremde Nutzung kann in leichten Fällen geduldet werden, zumal sich oft Arbeit und privates nicht so leicht trennen lassen. Es ist eher als akzeptabel anzusehen, wenn ein Mitarbeiter eine News-Seite seines Fachgebiets besucht als eine Pornoseite.
  • Potentiell schädliche Nutzung
    Gerade private Emails bringen das Risiko mit sich, dass unbedarfte Nutzer Schadprogramme herunterladen und so in das interne Netz einschleusen. Dies kann durch den Download von Attachments geschehen, aber auch durch den Besuch von Seiten, die Sicherheitslücken in Browsern ausnutzen und Schadsoftware installieren.
  • Illegale Nutzung
    Gravierend ist die Nutzung des Internets zu kriminellen Handlungen. Weit verbreitet sind sicherlich Verstösse gegen das Urheberrecht, ansonsten aber auch der Konsum und Vertrieb von Kinderpornografie. Die kriminelle Nutzung ist insofern besonders schädlich, als dass nicht nur der Betreiber zunächst in Haftung genommen wird, sondern auch Arbeitsgeräte als Tatwerkzeuge von der Polizei beschlagnahmt werden können.

Gegen den Mißbrauch des Internetanschlusses können verschiedene Gegenmaßnahmen getroffen werden:

  1. Blacklist
    Es werden bestimmte Seiten gesperrt, von denen man weiss, dass sie für die Arbeit nicht relevant sind oder dass eine Gefahr von ihnen ausgeht. Allerdings ist dies eine Sisyphus-Arbeit, da die Zahl der Domains rapide wächst.
  2. Whitelist
    Der umgekehrte Ansatz ist die Whitelist, bei der alles gesperrt und nur das, was erlaubt ist, freigegeben wird. Dies hat den Nachteil, dass eine grösser werdende Liste an erlaubten Seiten gepflegt werden muss. Es ist aber gleichzeitig der sicherste Ansatz.
  3. Überwachung
    Der Internetgebrauch wird zwar nicht reguliert, dafür aber überwacht, entweder zentral oder auf den Rechnern der Mitarbeiter mit entsprechender Software. Derartige Maßnahmen führen aber zu einem Klima des Misstrauens. Ausserdem müssen Logfiles gespeichert und ausgewertet werden, was den administrativen Aufwand erhöht.

Eine mögliche Lösung sehe ich in 2. und 3.: die "Vier-Augen-Firewall". Grundidee ist es, eine Whitelist zu führen, die von den Mitarbeitern selber gepflegt wird. Greift ein Benutzer auf eine Seite zu, die noch nicht in der Whitelist erscheint, wird eine Anfrage eröffnet, die von einem zweiten Mitarbeiter bestätigt werden muss. Auf diese Weise können benötigte Seiten schnell und unbürokratisch freigeschaltet werden, wohingegen eindeutige Seiten gesperrt bleiben bzw. der Benutzer gar nicht erst versuchen wird, auf sie zuzugreifen. Zusätzlich hätte man noch den Nebeneffekt, dass Werbe- und Trackingseiten ebenfalls gesperrt bleiben, denn wer schaltet die freiwillig frei?

Konkret könnte die Freischaltung durch eine Weboberfläche, oder noch besser, eine Client-Applikation erfolgen, die einen Benutzer auf eine Anforderung hinweist. Requests würde ich nach einem Round-Robin-Prinzip auf verschiedene Nutzer verteilen, mit der Option, dass der Anfordernde direkt einen Kollegen bestimmt. Der weitere Zugriff erfolgt dann, ohne dass die Nutzer überwacht werden. Ein weiterer Vorteil ist, dass über Port 80 gehende Trojaner oder Weiterleitungen auf schädliche Seiten frühzeitiger entdeckt werden können, als wenn Port 80 offen ist und nicht geloggt wird.

Das Prinzip der Vier-Augen-Firewall könnte sich - wenngleich es den administrativen Aufwand etwas erhöht - gut zwischen den Optionen Whitelist/Überwachung etablieren. Es ist eher geeignet für eine überschaubare Nutzergruppe mit ähnlichen, wiederkehrenden Aufgaben als eine grosse Nutzergruppe mit vielen verschiedenen Bereichen. Je verschiedener die Arbeitsbereiche sind, desto mehr steigt die Anzahl der Zugriffsanforderungen.

Kommentieren

Bitte beachten: Kommentare sind nicht sofort sichtbar, sondern werden erst nach einer kurzen Prüfung freigegeben, sofern keine rechtliche Beanstandung vorliegt.
Rechtlich bedenkliche Inhalte werden entweder entschärft oder nicht veröffentlicht.

* Titel  
* Nickname  
* Kommentar