Netzwerksicherheit

Lesezeit
3 Minuten
Bis jetzt gelesen

Netzwerksicherheit

19.09.2011 - 10:23
Veröffentlicht in:
In unserer Grundlagen-Rubrik erklären wir wichtige Aufgaben und Technologien aus dem Arbeitsalltag eines Netzwerk- und Systemadministrators. Hier erfahren Sie anhand prägnanter Erklärungen zu den wichtigsten Begriffen des jeweiligen Themenfeldes Hintergründe und Zusammenhänge in kompakter, praxisnaher Form.

Das Thema Netzwerksicherheit lässt sich heute längst nicht mehr so klar definieren und abgrenzen wie noch vor einigen Jahren. Die Netzwerkgrenzen verschwimmen dank mobiler Arbeitsplätze und privater Devices im Unternehmen zusehends, was Administratoren neue Wege zur Absicherung ihrer Infrastruktur aufzwingt. In diesem Grundlagen-Beitrag zeigen wir Ihnen, mit welchen Technologien Sie auf alte und neue Herausforderungen reagieren.
Waren Unternehmensnetzwerke früher klar abgegrenzte, physikalische Bereiche, die der Administrator mit lokalen Mitteln absichern konnte, erstrecken sich heute so manche Unternehmensnetze quer über die ganze Welt. Mobile Endgeräte, Home Office-Arbeitsplätze und Virtualisierung lassen die bisherigen Netzwerkgrenzen verschwinden. So beginnt und endet das Netz nicht mehr am Gateway im Serverraum, sondern überall dort, wo die Mitarbeiter von unterwegs aus arbeiten.

Schutz im Unternehmen
Einem Element der Netzwerksicherheit kommt daher zusehends weniger Bedeutung zu: der Gateway-Firewall. Spielte diese früher eine zentrale Rolle in der Absicherung, stellt sie heute nur noch einen - wenn auch unverzichtbaren - Teilaspekt dar. Über die Gateway-Firewall sperrt der Administrator alle nicht verwendeten Ports sowohl für den eingehenden als auch ausgehenden Traffic. Bei Stateful Packet Inspection-Firewalls wird zudem überprüft, ob eingehende Datenpakete zu einer legitimen Verbindung gehören oder nicht. Damit stellen Firewalls einen nach wie vor benötigten Baustein der Netzwerksicherheit dar. Gateway-Firewall können in einer Appliance oder auf einem Server arbeiten.

Ebenfalls am Gateway kann der Schutz vor Viren, Würmern und Trojanern stattfinden. Hier scannt eine zentrale Antivirus-Engine in Echtzeit den ein- und eventuell auch ausgehenden Traffic auf Schadcode hin, sodass dieser die Rechner und Server gar nicht erst erreicht. Natürlich ersetzt ein Gateway-Antivirus keinesfalls den lokalen Antivirenschutz auf Endgeräten, da das Netzwerk nur eines von vielen Einfallstoren für Viren und Würmer im Unternehmen darstellt. Die Überprüfung des ausgehenden Datenverkehrs kann außerdem verhindern, dass infizierte Rechner aus dem lokalen Netz heraus keine Malware verbreiten oder andere Rechner angreifen können.

Da einige Rechner aus dem Internet zugänglich sein müssen und damit automatisch anfälliger für Angriffe sind als interne Rechner, bietet es sich an, diese in einer Demilitarisierte Zone (DMZ) zu betreiben. Hierbei wird das Netzwerk in einen unsicheren und einen sicheren Bereich unterteilt. Die DMZ, in der die von außen erreichbaren Server stehen, stellt den unsicheren Netzwerkbereich dar - Angriffe und mögliche Übernahmen der Server sind bereits einkalkuliert. Doch haben Hacker die Kontrolle über einen solchen Server übernommen, können sie dank der Segmentierung noch nicht in das eigentliche Netzwerk vordringen. Firewalls und Intrusion Detection und Prevention Systeme schützen den Übergang zwischen DMZ und internem Netzwerk.

Eine Möglichkeit, auch das interne Netzwerk zu segmentieren und so für mehr Sicherheit zu sorgen, bieten virtuelle LANs (vLAN). Auf Netzwerkswitches lässt sich dabei einstellen, welche Ports durch welche Rechner erreichbar sein dürfen. So kann ein Computer aus der Marketingabteilung beispielsweise Rechner in der Buchhaltung oder Forschungsabteilung nicht erreichen - ebenso wenig wie Malware, die diesen Rechner möglicherweise befallen hat. vLANs bilden in der Regel jedoch nur einen grundlegenden Schutz und lassen sich durch versiertere Angreifer umgehen.

Der Umgang mit Gastrechnern sollte in Unternehmen ebenfalls bedacht werden. Diesen einfach Zugang zum Internet über das eigene lokale Netzwerk zu geben, birgt große Risiken. Der Administrator sollte daher spezielle Gastzugänge bereitstellen, über die Besucher mit ihren Laptops zwar ins Internet kommen, nicht jedoch auf lokale Server oder andere Clients. Soll Fremdrechnern dennoch regelmäßig der Zugriff auf das lokale Netzwerk gestattet werden, bieten sich Network Access Protection-Lösungen (NAP) an. Diese kontrollieren auf den Rechnern, ob sie bestimmte Sicherheitskriterien erfüllen. Dazu zählt meist eine aktive und aktuelle Antiviren-Software, eine lokale Firewall sowie ein aktuelles und gepatchtes Betriebssystem. Hierfür muss der Gast jedoch akzeptieren, dass eine Software den Zustand seines PCs überprüft.

Hat es ein Angreifer trotz Firewall, DMZ und NAP ins Netzwerk geschafft, bleiben quasi als letzte Bastion Intrusion Detection und Prevention Systeme (IDS/IPS). Diese analysieren den Netzwerkverkehr auf typische Angriffsmuster hin und schlagen Alarm. IPS gehen noch einen Schritt weiter und blockieren den verdächtigen Datenverkehr. Aus diesem Grund muss der Traffic natürlich IDS/IPS-Systeme passieren und entsprechend durchgeleitet werden.

Bleibt noch die Frage nach der physikalischen Sicherheit. Nicht selten sind die einfachsten Mittel nämlich auch die effektivsten. So sollte der Administrator darauf achten, ungenutzte Netzwerkdosen in öffentlich zugänglichen Bereichen zu sperren. Auch muss der Serverraum inklusive aller Switches und Router vor unbefugten Zugriffen geschützt werden. Hinzu kommen einbruchhemmende Maßnahmen am Gebäude, wie vergitterte Fenster und Alarmsysteme.

Neue Herausforderungen
Soviel zum Schutz des Netzwerks in den räumlichen Grenzen des Unternehmens. Doch wie schon erwähnt verschwimmen die Perimeter zusehends. Mitarbeiter nutzen Unternehmensressourcen von unterwegs und bringen ihre eigenen Endgeräte wie Smartphones und Tablet-PCs in die Firma mit. Hier steht die IT-Administration vor neuen Herausforderungen. Um mobilen Mitarbeitern den sicheren Zugriff auf das Netz zu ermöglichen, bietet sich schon seit längerem ein VPN-Zugang an. Dieser stellt eine verschlüsselte Verbindung zwischen Remote-Rechner und Server her. Damit wird verhindert, dass Angreifer sensible Daten über die Verbindung abgreifen können. VPNs sind in den Varianten IPSec und SSL-VPN üblich. Während für eine IPSec-Verbindung eine Clientsoftware auf dem lokalen Rechner installiert sein muss, arbeiten SSL-VPNs Browser-basiert. Dafür ist der Komfort für die Anwender bei diesem Verfahren etwas eingeschränkt.

Virtuelle Desktops erlauben dem Administrator ferner sicherzustellen, dass die Remote-Nutzer keine Daten auf ihre eigenen Rechner laden. Sie arbeiten über eine VPN-Verbindung auf einem Remote-Desktop im Unternehmensnetz. Dort stehen alle nötigen Anwendungen zur Verfügung. Kommt nun ein mobiles Endgerät des Nutzers abhanden, befinden sich darauf keine verwertbaren Daten. Bedenken sollte der IT-Administrator jedoch auch, dass virtuelle Maschinen wiederum neue Angriffspunkte mitbringen und eine Segmentierung auch zwischen virtuellen Servern nötig sein kann.

Schließlich zählt zur Netzwerksicherheit im weiteren Sinne inzwischen auch die Absicherung der mobilen Geräte wie Smartphones und Tablets, welche die Nutzer von sich aus in das Unternehmen einbringen. Eine klare Policy zur Nutzung solcher Geräte sowie mit NAP vergleichbare Agents, die den sicheren Zustand der mobilen Geräte überwachen und bei Bedarf - etwa Diebstahl oder Verlust - via Remote Wipe löschen können sind hierbei eine Möglichkeit zur Absicherung.

Mehr zu diesem Thema finden Sie in der kommenden Oktober-Ausgabe 2011 des IT-Administrator.

dr

Tags

Ähnliche Beiträge

Pass-the-Hash-Angriffe

Mit einer erfolgreichen Pass-the-Hash-Attacke wird ein Angreifer leicht Administrator der Windows-Domäne. Doch weil es technisch sehr schwierig ist, Inhalte des Arbeitsspeichers zu verteidigen, gibt es für die seit mehr als zwei Jahrzehnten bekannte Sicherheitslücke keinen Patch, sondern nur Empfehlungen für eine bessere Organisation der IT. Der ursprünglich sehr aufwendige Pass-the-Hash-Attacke ist heute nur noch eine Sache weniger Klicks. Wir beleuchten die Grundlagen dieses Angriffsvektors.

Browser-Isolation mit Adaptive-Clientless-Rendering

Web-Browser gehören heute zu den wichtigsten Anwendungen in Unternehmen - damit allerdings auch zu den bedeutendsten Schwachstellen für Angriffe. Das simple Laden einer bösartigen Web-Site reicht aus, um das Endgerät des Nutzers zu kompromittieren und kann zur Installation von Malware, Datendiebstahl oder der Penetration von Firmennetzen führen. Neue Isolationstechniken versprechen Abhilfe. Dieser Grundlagen-Artikel erläutert, wie die Browser-Isolation mit Adaptive-Clientless-Rendering funktioniert.