Online-Artikel 200604r Secure Computing
|
|
|
»manage
it«
als
|
Daten und Netzwerke schützen: Security-AppliancesEin Job für SisyphosDie Sicherung der Informations- und Kommunikationstechnologie ist mittlerweile Top-Thema. Immer ausgefeiltere Attacken von Viren, Trojanern, Spammern oder Phishern prägen den Alltag der Netzwerkverantwortlichen. Eine breite Fülle von Maßnahmen ist nötig, um Eindringlingen den Riegel vorzuschieben und eine Verseuchung der Netzwerke zu verhindern. Security-Appliances helfen aus dieser Komplexitätsfalle.
as gemeinsame Ziel aller Angreifer ist das Überwinden von Sicherheitsmaßnahmen, nur selten aber ist es das eigentliche Motiv. Angetrieben werden sie vielmehr durch den Effekt ihrer Handlung, sei es dass sie sich durch ihre Aktion bereichern, sich persönliche Vorteile verschaffen oder Rachegefühle ausleben. Ein weites Bedrohungspanorama Die meisten Angriffe beginnen mit dem Sammeln von Informationen über das Zielobjekt. Dies erfolgt einerseits auf technischem Wege. Man scannt Ports, schleust Spyware in das Unternehmensnetz ein, hört Verbindungen ab oder wirft Phishing-Mails als Angelhaken für vertrauliche Zugangsdaten aus. Nützliche Informationen werden aber auch durch »Social Engineering«, dem Aushorchen von Mitarbeitern in Erfahrung gebracht. Ebenso bieten auf Papier notierte oder allzu offensichtlich gewählte Passwörter den Spionen ein gefundenes Fressen. Der nächste Schritt ist das Eindringen in Rechnersysteme. Oftmals werden Verbindungen übernommen (Hijacking), um unter der Identität eines rechtmäßigen Nutzers auf lokale Server zugreifen zu können. Diese sind aus Bequemlichkeit aus dem internen Netz häufig völlig frei zugänglich. Für weitere Spionageaktivitäten oder Manipulation ist dadurch eine optimale Ausgangsposition gegeben. Hacker versuchen des Weiteren gerne, fremde Daten und Programme einzuspeisen, um so Sicherheitsvorkehrungen zu umgehen oder auszuschalten. Dazu bedient man sich mit Vorliebe der größten Schwachstelle jedes Sicherheitskonzeptes, des Anwenders. Über aktive Inhalte auf Webseiten, in E-Mail-Anlagen oder als Share- beziehungsweise Freeware-Programme werden Viren, Würmer, Spyware und Trojaner auf Rechner des LANs geschleust. Letztere manipulieren Daten und Software oder senden Daten in das unsichere Netz. Raffinierte Trojaner erlauben sogar das Fernsteuern eines Rechners durch bekannte Lücken in einigen Firewall-Systemen. Mafiöse Gruppierungen verbinden so Hunderte von ferngesteuerten Rechnern und bieten die enorme Speicherkapazität dubiösen Geschäftspartnern an.
Risikofaktor Mensch Fundament Sicherheitskonzept Um der enormen Vielfalt von Bedrohungsszenarien Herr zu werden, ist ein umfassendes Sicherheitskonzept unerlässlich. Dieses muss sowohl technische als auch organisatorische Vorgaben machen und sollte auf den Ergebnissen einer Bedrohungsanalyse basieren. Ein solcher Audit startet in der Regel mit der Evaluation des Schutzbedarfs von Anwendungen, Daten, Hardware und Datenträgern. Sicherheitskritisch sind aber auch Anwender, Besitzer von speziellen Rechten sowie leitende Angestellte. Für die Analyse werden mögliche Schadenswerte geschätzt und im Anschluss Schutzziele und entsprechende Maßnahmen definiert. Generell gilt die Devise: Alles was nicht explizit erlaubt ist, ist verboten. Schnüffler und Eindringlinge müssen draußen bleiben Um Spionage und das Eindringen Unautorisierter in die IT-Systeme zu verhindern, sollte in einem ersten Schritt der Datenzugriff der eigenen Mitarbeiter und Partner geregelt werden. Dazu legt der Administrator Benutzerprofile an, denen er zweckgesteuert individuelle Zugangsrechte gewährt. Das LAN wird dabei mit Hilfe so genannter VLANs (Virtual LANs) segmentiert. Autorisierungs- und Authentifizierungsprozesse können zudem sicherstellen, dass mit den digitalen Identitäten kein Schindluder getrieben wird. Die so genannte strenge Authentifizierung basiert auf zwei Komponenten: Besitz und Wissen. Weit verbreitet sind zum Beispiel Einmal-Passwort-Token oder Smartcards, die an entsprechenden Kartenterminals »gelesen« werden. Letztere arbeiten teilweise in Kombination mit biometrischen Daten. Auch bei mobilen Geräten muss die richtige Identität gewährleistet werden. Verschiedene PDA- und Mobiltelefonmodelle werden daher schon mit einer Software ausgeliefert, die Einmal-Passwörter generiert – zum Beispiel einige Ericsson-Handys mit SafeWord von Secure Computing. Eine weitere Möglichkeit der Identitätssicherung bieten PKI-Systeme mit digitalen Zertifikaten. Die User erhalten dabei ein Zertifikat und einen privaten Schlüssel, der zu einem öffentlichen Schlüssel gehört. Mit dem privaten Schlüssel können Daten signiert oder entschlüsselt werden, die Zertifikate dienen zum Überprüfen einer Signatur und zur Verschlüsselung von Daten. Verschlüsselung als solche ist generell eine wichtige Maßnahme, gerade wenn von außen auf das Netzwerk zugegriffen werden soll. Außendienstlern, Mitarbeitern im Home Office oder Partnern kann mit Hilfe eines Virtual Privat Networks (VPNs) und entsprechenden Verschlüsselungsprotokollen wie IPSec und SSL ein sicherer Zugang zum LAN gewährt werden. Spionen, die mit Phishing-Mails sensible Daten ans Ufer ziehen wollen, kann mit einer Handvoll wichtiger Verhaltensregeln der Riegel vorgeschoben werden. Dazu gehört, niemals Kontonummern, Passwörter oder andere geheime Daten nach einer E-Mail-Aufforderung zu bestätigen. Zudem sollten auffällige E-Mails von vertrauten Absendern verifiziert werden – zum Beispiel mit einem Telefonanruf. Um Spionage zu unterbinden ist es zudem wichtig, den Mitarbeitern einschlägige Handlungsanweisungen vorzugeben, zur Verschwiegenheit ebenso wie zum Umgang mit Passwörtern oder externen Speichermedien wie Laptops, Smartphones, Handhelds und USB-Sticks. Ein wichtiges »Don`t« ist zum Beispiel, dass Mitarbeiter, die von extern auf das LAN zugreifen, nicht gleichzeitig einen Internetbrowser geöffnet haben. Zudem sollten stark frequentierte Hotspots wie Flughafenlounges generell gemieden werden. Verseuchung ade Um gegen die Verseuchung der Netze mit Daten und Programmen böswilliger Absender anzukommen, muss auf mehrere Technologien zurückgegriffen werden. Basis aller technischen Blockaden ist die Firewall, ein in der Regel einfacher Paketfilter, der die Adressierung der eingehenden Datenpakete prüft und dann nach vorgegebenen Regeln entweder zulässt oder abblockt. Eine neuere Firewall-Technik, die Stateful Inspection, greift da weiter: Hier werden nicht nur alle ein- und ausgehenden Pakete, sondern auch Applikationen und Transportarten überprüft und verifiziert. Die gewonnen Informationen werden in einer Zustandstabelle festgehalten, so dass alle zukünftigen Übertragungen mit vergangenen verglichen werden können. Beide Technologien weisen jedoch Lücken auf. Sie können zum Beispiel keine Denial of Service-Attacken identifizieren oder Angriffe mit bösartigen, aktiven Webinhalten wie ActiveX oder Java Applets abwehren. Mit Paketfiltern untersucht man lediglich, ob zum Beispiel eine bestimmte IP-Adresse durchgelassen werden darf oder nicht. Die Stateful Inspection-Technologie vergleicht zwar den Zustand und den Kontext einer Verbindung mit früher gesammelten Verbindungsdaten, ist aber gegen bösartigen Inhalt wenig gefeit. Daher muss eine Firewall, selbst wenn sie Stateful Inspection mit einschließt, mit anderen Technologien wie zum Beispiel Anti-Viren-Filter, Anti-Spam-Produkten und Application Proxies ergänzt werden. Nach dem Passieren der Firewall werden die Datenpakete dann an die entsprechenden »Sicherheits-Spezialisten« geschickt. Diese vielschichtige Lösung bedeutet zwar eine umfassende Abwehr, sie ist gleichzeitig jedoch sehr teuer, da zusätzliche Ausgaben für Hardware und Administration einkalkuliert werden müssen. Darüber hinaus führen Techniken verschiedener Hersteller zu einem hohen Aufwand für Installation und Integration. Auch das Patch-Management von vier bis fünf weiteren Systemen belegt enorme Ressourcen und erfordert in der Regel Security-Spezialisten. Eine für vieles: Security AppliancesUm die Kosten niedrig zu halten und das Management zu vereinfachen, entscheiden sich immer mehr Unternehmen für Security Appliances – leicht zu installierende Boxen, die eine Vielzahl von Abwehrmechanismen auf einer Plattform vereinen. Die Geräte bieten in der Regel unterschiedliche Firewalltechnologien auf Netzwerkebene. Zum Teil integrieren sie auch Webfiltering und Verschlüsselungsverfahren für VPNs. Analysten schätzen, dass im Jahr 2007 etwa 80 Prozent aller Sicherheitsprobleme in Form einer Appliance gelöst werden. Als Grund werden vor allen Dingen die Bequemlichkeit der Installation und die verringerte Komplexität bei Verwaltung und Pflege angeführt. Security Appliances haben in den letzten Jahren eine enorme Entwicklung durchgemacht, sowohl was die Anzahl der integrierten Technologien betrifft, als auch hinsichtlich deren Qualität. IDC definierte Ende letzten Jahres eine neue Appliance-Kategorie namens Unified Threat Management (UTM). Die klassifizierten Geräte bestehen aus einer Hardware mit einem eigenen gehärteten Betriebssystem und bieten neben einer bis auf Anwendungsschicht filternden Firewall beziehungsweise einem Virusfilter auf Gateway-Ebene ein Network Intrusion Detection- und Prevention-System. Letzteres arbeitet wie eine Horde kleiner Spione, die im Netzwerk platziert sind. Sie schnüffeln überall herum, sammeln Informationen, analysieren diese und halten sie ständig auf dem Laufenden. Resümee.Die Sicherung von Daten und Netzwerke ist ein komplexer Vorgang, viele Faktoren müssen berücksichtig werden. Neben dem Sicherheitskonzept als Basis müssen verschiedene Technologien miteinander verzahnt werden. Der Trend geht dabei zu integrierten Security Appliances. Frank Kölmel |
Folgen Sie »manage it« auf Google+
|
