Grundlagen

Netzwerksicherheit

In unserer Grundlagen-Rubrik erklären wir wichtige Aufgaben und Technologien aus dem Arbeitsalltag eines Netzwerk- und Systemadministrators. Hier erfahren Sie anhand prägnanter Erklärungen zu den wichtigsten Begriffen des jeweiligen Themenfeldes Hintergründe und Zusammenhänge in kompakter, praxisnaher Form.

Das Thema Netzwerksicherheit lässt sich heute längst nicht mehr so klar definieren und abgrenzen wie noch vor einigen Jahren. Die Netzwerkgrenzen verschwimmen dank mobiler Arbeitsplätze und privater Devices im Unternehmen zusehends, was Administratoren neue Wege zur Absicherung ihrer Infrastruktur aufzwingt. In diesem Grundlagen-Beitrag zeigen wir Ihnen, mit welchen Technologien Sie auf alte und neue Herausforderungen reagieren.
Waren Unternehmensnetzwerke früher klar abgegrenzte, physikalische Bereiche, die der Administrator mit lokalen Mitteln absichern konnte, erstrecken sich heute so manche Unternehmensnetze quer über die ganze Welt. Mobile Endgeräte, Home Office-Arbeitsplätze und Virtualisierung lassen die bisherigen Netzwerkgrenzen verschwinden. So beginnt und endet das Netz nicht mehr am Gateway im Serverraum, sondern überall dort, wo die Mitarbeiter von unterwegs aus arbeiten.

Schutz im Unternehmen
Einem Element der Netzwerksicherheit kommt daher zusehends weniger Bedeutung zu: der Gateway-Firewall. Spielte diese früher eine zentrale Rolle in der Absicherung, stellt sie heute nur noch einen - wenn auch unverzichtbaren - Teilaspekt dar. Über die Gateway-Firewall sperrt der Administrator alle nicht verwendeten Ports sowohl für den eingehenden als auch ausgehenden Traffic. Bei Stateful Packet Inspection-Firewalls wird zudem überprüft, ob eingehende Datenpakete zu einer legitimen Verbindung gehören oder nicht. Damit stellen Firewalls einen nach wie vor benötigten Baustein der Netzwerksicherheit dar. Gateway-Firewall können in einer Appliance oder auf einem Server arbeiten.

Ebenfalls am Gateway kann der Schutz vor Viren, Würmern und Trojanern stattfinden. Hier scannt eine zentrale Antivirus-Engine in Echtzeit den ein- und eventuell auch ausgehenden Traffic auf Schadcode hin, sodass dieser die Rechner und Server gar nicht erst erreicht. Natürlich ersetzt ein Gateway-Antivirus keinesfalls den lokalen Antivirenschutz auf Endgeräten, da das Netzwerk nur eines von vielen Einfallstoren für Viren und Würmer im Unternehmen darstellt. Die Überprüfung des ausgehenden Datenverkehrs kann außerdem verhindern, dass infizierte Rechner aus dem lokalen Netz heraus keine Malware verbreiten oder andere Rechner angreifen können.

Da einige Rechner aus dem Internet zugänglich sein müssen und damit automatisch anfälliger für Angriffe sind als interne Rechner, bietet es sich an, diese in einer Demilitarisierte Zone (DMZ) zu betreiben. Hierbei wird das Netzwerk in einen unsicheren und einen sicheren Bereich unterteilt. Die DMZ, in der die von außen erreichbaren Server stehen, stellt den unsicheren Netzwerkbereich dar - Angriffe und mögliche Übernahmen der Server sind bereits einkalkuliert. Doch haben Hacker die Kontrolle über einen solchen Server übernommen, können sie dank der Segmentierung noch nicht in das eigentliche Netzwerk vordringen. Firewalls und Intrusion Detection und Prevention Systeme schützen den Übergang zwischen DMZ und internem Netzwerk.

Eine Möglichkeit, auch das interne Netzwerk zu segmentieren und so für mehr Sicherheit zu sorgen, bieten virtuelle LANs (vLAN). Auf Netzwerkswitches lässt sich dabei einstellen, welche Ports durch welche Rechner erreichbar sein dürfen. So kann ein Computer aus der Marketingabteilung beispielsweise Rechner in der Buchhaltung oder Forschungsabteilung nicht erreichen - ebenso wenig wie Malware, die diesen Rechner möglicherweise befallen hat. vLANs bilden in der Regel jedoch nur einen grundlegenden Schutz und lassen sich durch versiertere Angreifer umgehen.

Der Umgang mit Gastrechnern sollte in Unternehmen ebenfalls bedacht werden. Diesen einfach Zugang zum Internet über das eigene lokale Netzwerk zu geben, birgt große Risiken. Der Administrator sollte daher spezielle Gastzugänge bereitstellen, über die Besucher mit ihren Laptops zwar ins Internet kommen, nicht jedoch auf lokale Server oder andere Clients. Soll Fremdrechnern dennoch regelmäßig der Zugriff auf das lokale Netzwerk gestattet werden, bieten sich Network Access Protection-Lösungen (NAP) an. Diese kontrollieren auf den Rechnern, ob sie bestimmte Sicherheitskriterien erfüllen. Dazu zählt meist eine aktive und aktuelle Antiviren-Software, eine lokale Firewall sowie ein aktuelles und gepatchtes Betriebssystem. Hierfür muss der Gast jedoch akzeptieren, dass eine Software den Zustand seines PCs überprüft.

Hat es ein Angreifer trotz Firewall, DMZ und NAP ins Netzwerk geschafft, bleiben quasi als letzte Bastion Intrusion Detection und Prevention Systeme (IDS/IPS). Diese analysieren den Netzwerkverkehr auf typische Angriffsmuster hin und schlagen Alarm. IPS gehen noch einen Schritt weiter und blockieren den verdächtigen Datenverkehr. Aus diesem Grund muss der Traffic natürlich IDS/IPS-Systeme passieren und entsprechend durchgeleitet werden.

Bleibt noch die Frage nach der physikalischen Sicherheit. Nicht selten sind die einfachsten Mittel nämlich auch die effektivsten. So sollte der Administrator darauf achten, ungenutzte Netzwerkdosen in öffentlich zugänglichen Bereichen zu sperren. Auch muss der Serverraum inklusive aller Switches und Router vor unbefugten Zugriffen geschützt werden. Hinzu kommen einbruchhemmende Maßnahmen am Gebäude, wie vergitterte Fenster und Alarmsysteme.

Neue Herausforderungen
Soviel zum Schutz des Netzwerks in den räumlichen Grenzen des Unternehmens. Doch wie schon erwähnt verschwimmen die Perimeter zusehends. Mitarbeiter nutzen Unternehmensressourcen von unterwegs und bringen ihre eigenen Endgeräte wie Smartphones und Tablet-PCs in die Firma mit. Hier steht die IT-Administration vor neuen Herausforderungen. Um mobilen Mitarbeitern den sicheren Zugriff auf das Netz zu ermöglichen, bietet sich schon seit längerem ein VPN-Zugang an. Dieser stellt eine verschlüsselte Verbindung zwischen Remote-Rechner und Server her. Damit wird verhindert, dass Angreifer sensible Daten über die Verbindung abgreifen können. VPNs sind in den Varianten IPSec und SSL-VPN üblich. Während für eine IPSec-Verbindung eine Clientsoftware auf dem lokalen Rechner installiert sein muss, arbeiten SSL-VPNs Browser-basiert. Dafür ist der Komfort für die Anwender bei diesem Verfahren etwas eingeschränkt.

Virtuelle Desktops erlauben dem Administrator ferner sicherzustellen, dass die Remote-Nutzer keine Daten auf ihre eigenen Rechner laden. Sie arbeiten über eine VPN-Verbindung auf einem Remote-Desktop im Unternehmensnetz. Dort stehen alle nötigen Anwendungen zur Verfügung. Kommt nun ein mobiles Endgerät des Nutzers abhanden, befinden sich darauf keine verwertbaren Daten. Bedenken sollte der IT-Administrator jedoch auch, dass virtuelle Maschinen wiederum neue Angriffspunkte mitbringen und eine Segmentierung auch zwischen virtuellen Servern nötig sein kann.

Schließlich zählt zur Netzwerksicherheit im weiteren Sinne inzwischen auch die Absicherung der mobilen Geräte wie Smartphones und Tablets, welche die Nutzer von sich aus in das Unternehmen einbringen. Eine klare Policy zur Nutzung solcher Geräte sowie mit NAP vergleichbare Agents, die den sicheren Zustand der mobilen Geräte überwachen und bei Bedarf - etwa Diebstahl oder Verlust - via Remote Wipe löschen können sind hierbei eine Möglichkeit zur Absicherung.

Mehr zu diesem Thema finden Sie in der kommenden Oktober-Ausgabe 2011 des IT-Administrator.
19.09.2011/dr

Nachrichten

Zugriffe zentral verwalten [12.08.2020]

Mit den erweiterten Funktionalitäten des Secret Server von Thycotic sollen Unternehmen von einer erhöhten Cloud-Transparenz und plattformübergreifenden Kontrollen sowie mehr Sicherheit für remote-arbeitende Teams profitieren. Laut Hersteller haben bereits über 75 Prozent der Unternehmen mehrere Cloudplattformen im Einsatz, weshalb plattformübergreifende Sicherheit vonnöten ist. Zusätzlich zu den bereits vorhandenen Erkennungsfunktionen für AWS ermöglicht die neueste Version des Secret Servers, auch Google Cloud und Azure mit konsistenten PAM-Richtlinien und -Verfahren zu managen und abzusichern. [mehr]

WLAN in Gefahr [10.08.2020]

ESET-Forscher haben Sicherheitslücken in Geräten mit WiFi-Chips der Hersteller Qualcomm und MediaTek entdeckt. Hacker können diese Schwachstellen (CVE-2020-3702) ausnutzen, um den eigentlich verschlüsselten WLAN-Verkehr mitzulesen oder eigene Datenpakete einzuschleusen. Nach aktuellen Erkenntnissen handelt es sich um Router der bekannten Firmen D-Link und Asus. Doch nicht nur Router sonder auch Microsoft Azure Sphere, eine spezielle IoT-Umgebung für Unternehmen, ist betroffen. Das Development Kit für Azure Sphere hat einen MediaTek-Chip verbaut, der auch diese Schwachstelle aufweist.  [mehr]

Tipps & Tools

SUSE übernimmt Rancher Labs [17.07.2020]

SUSE hat mit dem US-Open-Source-Unternehmen Rancher Labs den Anbieter einer marktführenden Kubernetes-Managementplattform akquiriert. Rancher Labs' Plattform ist für die Verwaltung sehr großer Kubernetes-Installationen ausgelegt und unterstützt dabei auch Multiclouds. [mehr]

vCenter-Zertifikat austauschen [7.06.2020]

Jede vCenter-Serverinstanz hat nach der Installation ein selbst ausgestelltes Zertifikat. Sobald die Website der vCSA aufgerufen wird, erscheint eine Warnung bezüglich der Sicherheit. Um dies zu verhindern, können Sie entweder das Root-Zertifikat herunterladen und in den vertrauenswürdigen Speicher installieren oder das Machine-Zertifikat gegen ein eigenes ersetzen. Unser Tipp zeigt, wie das funktioniert.  [mehr]

Buchbesprechung

Microsoft Office 365

von Markus Widl

Anzeigen