Grundlagen

Netzwerksicherheit

In unserer Grundlagen-Rubrik erklären wir wichtige Aufgaben und Technologien aus dem Arbeitsalltag eines Netzwerk- und Systemadministrators. Hier erfahren Sie anhand prägnanter Erklärungen zu den wichtigsten Begriffen des jeweiligen Themenfeldes Hintergründe und Zusammenhänge in kompakter, praxisnaher Form.

Das Thema Netzwerksicherheit lässt sich heute längst nicht mehr so klar definieren und abgrenzen wie noch vor einigen Jahren. Die Netzwerkgrenzen verschwimmen dank mobiler Arbeitsplätze und privater Devices im Unternehmen zusehends, was Administratoren neue Wege zur Absicherung ihrer Infrastruktur aufzwingt. In diesem Grundlagen-Beitrag zeigen wir Ihnen, mit welchen Technologien Sie auf alte und neue Herausforderungen reagieren.
Waren Unternehmensnetzwerke früher klar abgegrenzte, physikalische Bereiche, die der Administrator mit lokalen Mitteln absichern konnte, erstrecken sich heute so manche Unternehmensnetze quer über die ganze Welt. Mobile Endgeräte, Home Office-Arbeitsplätze und Virtualisierung lassen die bisherigen Netzwerkgrenzen verschwinden. So beginnt und endet das Netz nicht mehr am Gateway im Serverraum, sondern überall dort, wo die Mitarbeiter von unterwegs aus arbeiten.

Schutz im Unternehmen
Einem Element der Netzwerksicherheit kommt daher zusehends weniger Bedeutung zu: der Gateway-Firewall. Spielte diese früher eine zentrale Rolle in der Absicherung, stellt sie heute nur noch einen - wenn auch unverzichtbaren - Teilaspekt dar. Über die Gateway-Firewall sperrt der Administrator alle nicht verwendeten Ports sowohl für den eingehenden als auch ausgehenden Traffic. Bei Stateful Packet Inspection-Firewalls wird zudem überprüft, ob eingehende Datenpakete zu einer legitimen Verbindung gehören oder nicht. Damit stellen Firewalls einen nach wie vor benötigten Baustein der Netzwerksicherheit dar. Gateway-Firewall können in einer Appliance oder auf einem Server arbeiten.

Ebenfalls am Gateway kann der Schutz vor Viren, Würmern und Trojanern stattfinden. Hier scannt eine zentrale Antivirus-Engine in Echtzeit den ein- und eventuell auch ausgehenden Traffic auf Schadcode hin, sodass dieser die Rechner und Server gar nicht erst erreicht. Natürlich ersetzt ein Gateway-Antivirus keinesfalls den lokalen Antivirenschutz auf Endgeräten, da das Netzwerk nur eines von vielen Einfallstoren für Viren und Würmer im Unternehmen darstellt. Die Überprüfung des ausgehenden Datenverkehrs kann außerdem verhindern, dass infizierte Rechner aus dem lokalen Netz heraus keine Malware verbreiten oder andere Rechner angreifen können.

Da einige Rechner aus dem Internet zugänglich sein müssen und damit automatisch anfälliger für Angriffe sind als interne Rechner, bietet es sich an, diese in einer Demilitarisierte Zone (DMZ) zu betreiben. Hierbei wird das Netzwerk in einen unsicheren und einen sicheren Bereich unterteilt. Die DMZ, in der die von außen erreichbaren Server stehen, stellt den unsicheren Netzwerkbereich dar - Angriffe und mögliche Übernahmen der Server sind bereits einkalkuliert. Doch haben Hacker die Kontrolle über einen solchen Server übernommen, können sie dank der Segmentierung noch nicht in das eigentliche Netzwerk vordringen. Firewalls und Intrusion Detection und Prevention Systeme schützen den Übergang zwischen DMZ und internem Netzwerk.

Eine Möglichkeit, auch das interne Netzwerk zu segmentieren und so für mehr Sicherheit zu sorgen, bieten virtuelle LANs (vLAN). Auf Netzwerkswitches lässt sich dabei einstellen, welche Ports durch welche Rechner erreichbar sein dürfen. So kann ein Computer aus der Marketingabteilung beispielsweise Rechner in der Buchhaltung oder Forschungsabteilung nicht erreichen - ebenso wenig wie Malware, die diesen Rechner möglicherweise befallen hat. vLANs bilden in der Regel jedoch nur einen grundlegenden Schutz und lassen sich durch versiertere Angreifer umgehen.

Der Umgang mit Gastrechnern sollte in Unternehmen ebenfalls bedacht werden. Diesen einfach Zugang zum Internet über das eigene lokale Netzwerk zu geben, birgt große Risiken. Der Administrator sollte daher spezielle Gastzugänge bereitstellen, über die Besucher mit ihren Laptops zwar ins Internet kommen, nicht jedoch auf lokale Server oder andere Clients. Soll Fremdrechnern dennoch regelmäßig der Zugriff auf das lokale Netzwerk gestattet werden, bieten sich Network Access Protection-Lösungen (NAP) an. Diese kontrollieren auf den Rechnern, ob sie bestimmte Sicherheitskriterien erfüllen. Dazu zählt meist eine aktive und aktuelle Antiviren-Software, eine lokale Firewall sowie ein aktuelles und gepatchtes Betriebssystem. Hierfür muss der Gast jedoch akzeptieren, dass eine Software den Zustand seines PCs überprüft.

Hat es ein Angreifer trotz Firewall, DMZ und NAP ins Netzwerk geschafft, bleiben quasi als letzte Bastion Intrusion Detection und Prevention Systeme (IDS/IPS). Diese analysieren den Netzwerkverkehr auf typische Angriffsmuster hin und schlagen Alarm. IPS gehen noch einen Schritt weiter und blockieren den verdächtigen Datenverkehr. Aus diesem Grund muss der Traffic natürlich IDS/IPS-Systeme passieren und entsprechend durchgeleitet werden.

Bleibt noch die Frage nach der physikalischen Sicherheit. Nicht selten sind die einfachsten Mittel nämlich auch die effektivsten. So sollte der Administrator darauf achten, ungenutzte Netzwerkdosen in öffentlich zugänglichen Bereichen zu sperren. Auch muss der Serverraum inklusive aller Switches und Router vor unbefugten Zugriffen geschützt werden. Hinzu kommen einbruchhemmende Maßnahmen am Gebäude, wie vergitterte Fenster und Alarmsysteme.

Neue Herausforderungen
Soviel zum Schutz des Netzwerks in den räumlichen Grenzen des Unternehmens. Doch wie schon erwähnt verschwimmen die Perimeter zusehends. Mitarbeiter nutzen Unternehmensressourcen von unterwegs und bringen ihre eigenen Endgeräte wie Smartphones und Tablet-PCs in die Firma mit. Hier steht die IT-Administration vor neuen Herausforderungen. Um mobilen Mitarbeitern den sicheren Zugriff auf das Netz zu ermöglichen, bietet sich schon seit längerem ein VPN-Zugang an. Dieser stellt eine verschlüsselte Verbindung zwischen Remote-Rechner und Server her. Damit wird verhindert, dass Angreifer sensible Daten über die Verbindung abgreifen können. VPNs sind in den Varianten IPSec und SSL-VPN üblich. Während für eine IPSec-Verbindung eine Clientsoftware auf dem lokalen Rechner installiert sein muss, arbeiten SSL-VPNs Browser-basiert. Dafür ist der Komfort für die Anwender bei diesem Verfahren etwas eingeschränkt.

Virtuelle Desktops erlauben dem Administrator ferner sicherzustellen, dass die Remote-Nutzer keine Daten auf ihre eigenen Rechner laden. Sie arbeiten über eine VPN-Verbindung auf einem Remote-Desktop im Unternehmensnetz. Dort stehen alle nötigen Anwendungen zur Verfügung. Kommt nun ein mobiles Endgerät des Nutzers abhanden, befinden sich darauf keine verwertbaren Daten. Bedenken sollte der IT-Administrator jedoch auch, dass virtuelle Maschinen wiederum neue Angriffspunkte mitbringen und eine Segmentierung auch zwischen virtuellen Servern nötig sein kann.

Schließlich zählt zur Netzwerksicherheit im weiteren Sinne inzwischen auch die Absicherung der mobilen Geräte wie Smartphones und Tablets, welche die Nutzer von sich aus in das Unternehmen einbringen. Eine klare Policy zur Nutzung solcher Geräte sowie mit NAP vergleichbare Agents, die den sicheren Zustand der mobilen Geräte überwachen und bei Bedarf - etwa Diebstahl oder Verlust - via Remote Wipe löschen können sind hierbei eine Möglichkeit zur Absicherung.

Mehr zu diesem Thema finden Sie in der kommenden Oktober-Ausgabe 2011 des IT-Administrator.
19.09.2011/dr

Nachrichten

Unter Beschuss [11.08.2022]

VMware hat seinen achten jährlichen "Global Incident Response Threat Report" veröffentlicht. Der zeigt, dass sich IT-Verantwortliche in Zeiten von Pandemien, Burnout und geopolitisch motivierten Cyberangriffen auch mit neuen Bedrohungen wie Deepfake-Attacken konfrontiert sehen. [mehr]

Mobile Passwörter [10.08.2022]

In seiner neuen Version unterstützt der Passwortmanager 1Password nun auch iOS und Android. Damit bietet die nächste Generation der Anwendung mehr Funktionsgleichheit zwischen der Desktop- und der Mobil-App. Das Update will nahtlose Sicherheit für unterwegs mit sich bringen und es noch einfacher machen, persönliche Daten unabhängig vom Gerät zu schützen. Gleichzeitig verspricht der Hersteller eine verbesserte Benutzerfreundlichkeit. [mehr]

Wissen schützt [2.08.2022]

Tipps & Tools

Intensivseminar "Office 365 bereitstellen und absichern" in München oder online [8.08.2022]

Die Clouddienste von Office 365 vereinfachen die Bereitstellung der Office-Applikationen für die Anwender und können Lizenzgebühren sparen. Doch auf den Admin kommen ganz neue Aufgaben zu, die unser dreitägiges Intensivseminar "Office 365 bereitstellen und absichern" praxisnah adressiert. So widmen wir uns neben der Auswahl der geeigneten Lizenzform der Vorbereitung der Infrastruktur und zeigen die Verwaltung und Absicherung von Exchange, SharePoint Online und Teams. Die Veranstaltung findet Ende September in München statt – parallel dazu können Sie auch online teilnehmen. [mehr]

Studie: Unternehmen geben zu viel für Cloudservices aus [5.07.2022]

Couchbase hat die Kosten, die Unternehmen jährlich für ihre Cloudnutzung bezahlen, näher untersucht. Unter anderem aufgrund unflexibler Preisgestaltung und unzureichender Managementtools ermittelte die Studie unnötige Mehrkosten um etwa 35 Prozent. [mehr]

Buchbesprechung

Kerberos

von Mark Pröhl und Daniel Kobras

Anzeigen