Grundlagen

Netzwerksicherheit

In unserer Grundlagen-Rubrik erklären wir wichtige Aufgaben und Technologien aus dem Arbeitsalltag eines Netzwerk- und Systemadministrators. Hier erfahren Sie anhand prägnanter Erklärungen zu den wichtigsten Begriffen des jeweiligen Themenfeldes Hintergründe und Zusammenhänge in kompakter, praxisnaher Form.

Das Thema Netzwerksicherheit lässt sich heute längst nicht mehr so klar definieren und abgrenzen wie noch vor einigen Jahren. Die Netzwerkgrenzen verschwimmen dank mobiler Arbeitsplätze und privater Devices im Unternehmen zusehends, was Administratoren neue Wege zur Absicherung ihrer Infrastruktur aufzwingt. In diesem Grundlagen-Beitrag zeigen wir Ihnen, mit welchen Technologien Sie auf alte und neue Herausforderungen reagieren.
Waren Unternehmensnetzwerke früher klar abgegrenzte, physikalische Bereiche, die der Administrator mit lokalen Mitteln absichern konnte, erstrecken sich heute so manche Unternehmensnetze quer über die ganze Welt. Mobile Endgeräte, Home Office-Arbeitsplätze und Virtualisierung lassen die bisherigen Netzwerkgrenzen verschwinden. So beginnt und endet das Netz nicht mehr am Gateway im Serverraum, sondern überall dort, wo die Mitarbeiter von unterwegs aus arbeiten.

Schutz im Unternehmen
Einem Element der Netzwerksicherheit kommt daher zusehends weniger Bedeutung zu: der Gateway-Firewall. Spielte diese früher eine zentrale Rolle in der Absicherung, stellt sie heute nur noch einen - wenn auch unverzichtbaren - Teilaspekt dar. Über die Gateway-Firewall sperrt der Administrator alle nicht verwendeten Ports sowohl für den eingehenden als auch ausgehenden Traffic. Bei Stateful Packet Inspection-Firewalls wird zudem überprüft, ob eingehende Datenpakete zu einer legitimen Verbindung gehören oder nicht. Damit stellen Firewalls einen nach wie vor benötigten Baustein der Netzwerksicherheit dar. Gateway-Firewall können in einer Appliance oder auf einem Server arbeiten.

Ebenfalls am Gateway kann der Schutz vor Viren, Würmern und Trojanern stattfinden. Hier scannt eine zentrale Antivirus-Engine in Echtzeit den ein- und eventuell auch ausgehenden Traffic auf Schadcode hin, sodass dieser die Rechner und Server gar nicht erst erreicht. Natürlich ersetzt ein Gateway-Antivirus keinesfalls den lokalen Antivirenschutz auf Endgeräten, da das Netzwerk nur eines von vielen Einfallstoren für Viren und Würmer im Unternehmen darstellt. Die Überprüfung des ausgehenden Datenverkehrs kann außerdem verhindern, dass infizierte Rechner aus dem lokalen Netz heraus keine Malware verbreiten oder andere Rechner angreifen können.

Da einige Rechner aus dem Internet zugänglich sein müssen und damit automatisch anfälliger für Angriffe sind als interne Rechner, bietet es sich an, diese in einer Demilitarisierte Zone (DMZ) zu betreiben. Hierbei wird das Netzwerk in einen unsicheren und einen sicheren Bereich unterteilt. Die DMZ, in der die von außen erreichbaren Server stehen, stellt den unsicheren Netzwerkbereich dar - Angriffe und mögliche Übernahmen der Server sind bereits einkalkuliert. Doch haben Hacker die Kontrolle über einen solchen Server übernommen, können sie dank der Segmentierung noch nicht in das eigentliche Netzwerk vordringen. Firewalls und Intrusion Detection und Prevention Systeme schützen den Übergang zwischen DMZ und internem Netzwerk.

Eine Möglichkeit, auch das interne Netzwerk zu segmentieren und so für mehr Sicherheit zu sorgen, bieten virtuelle LANs (vLAN). Auf Netzwerkswitches lässt sich dabei einstellen, welche Ports durch welche Rechner erreichbar sein dürfen. So kann ein Computer aus der Marketingabteilung beispielsweise Rechner in der Buchhaltung oder Forschungsabteilung nicht erreichen - ebenso wenig wie Malware, die diesen Rechner möglicherweise befallen hat. vLANs bilden in der Regel jedoch nur einen grundlegenden Schutz und lassen sich durch versiertere Angreifer umgehen.

Der Umgang mit Gastrechnern sollte in Unternehmen ebenfalls bedacht werden. Diesen einfach Zugang zum Internet über das eigene lokale Netzwerk zu geben, birgt große Risiken. Der Administrator sollte daher spezielle Gastzugänge bereitstellen, über die Besucher mit ihren Laptops zwar ins Internet kommen, nicht jedoch auf lokale Server oder andere Clients. Soll Fremdrechnern dennoch regelmäßig der Zugriff auf das lokale Netzwerk gestattet werden, bieten sich Network Access Protection-Lösungen (NAP) an. Diese kontrollieren auf den Rechnern, ob sie bestimmte Sicherheitskriterien erfüllen. Dazu zählt meist eine aktive und aktuelle Antiviren-Software, eine lokale Firewall sowie ein aktuelles und gepatchtes Betriebssystem. Hierfür muss der Gast jedoch akzeptieren, dass eine Software den Zustand seines PCs überprüft.

Hat es ein Angreifer trotz Firewall, DMZ und NAP ins Netzwerk geschafft, bleiben quasi als letzte Bastion Intrusion Detection und Prevention Systeme (IDS/IPS). Diese analysieren den Netzwerkverkehr auf typische Angriffsmuster hin und schlagen Alarm. IPS gehen noch einen Schritt weiter und blockieren den verdächtigen Datenverkehr. Aus diesem Grund muss der Traffic natürlich IDS/IPS-Systeme passieren und entsprechend durchgeleitet werden.

Bleibt noch die Frage nach der physikalischen Sicherheit. Nicht selten sind die einfachsten Mittel nämlich auch die effektivsten. So sollte der Administrator darauf achten, ungenutzte Netzwerkdosen in öffentlich zugänglichen Bereichen zu sperren. Auch muss der Serverraum inklusive aller Switches und Router vor unbefugten Zugriffen geschützt werden. Hinzu kommen einbruchhemmende Maßnahmen am Gebäude, wie vergitterte Fenster und Alarmsysteme.

Neue Herausforderungen
Soviel zum Schutz des Netzwerks in den räumlichen Grenzen des Unternehmens. Doch wie schon erwähnt verschwimmen die Perimeter zusehends. Mitarbeiter nutzen Unternehmensressourcen von unterwegs und bringen ihre eigenen Endgeräte wie Smartphones und Tablet-PCs in die Firma mit. Hier steht die IT-Administration vor neuen Herausforderungen. Um mobilen Mitarbeitern den sicheren Zugriff auf das Netz zu ermöglichen, bietet sich schon seit längerem ein VPN-Zugang an. Dieser stellt eine verschlüsselte Verbindung zwischen Remote-Rechner und Server her. Damit wird verhindert, dass Angreifer sensible Daten über die Verbindung abgreifen können. VPNs sind in den Varianten IPSec und SSL-VPN üblich. Während für eine IPSec-Verbindung eine Clientsoftware auf dem lokalen Rechner installiert sein muss, arbeiten SSL-VPNs Browser-basiert. Dafür ist der Komfort für die Anwender bei diesem Verfahren etwas eingeschränkt.

Virtuelle Desktops erlauben dem Administrator ferner sicherzustellen, dass die Remote-Nutzer keine Daten auf ihre eigenen Rechner laden. Sie arbeiten über eine VPN-Verbindung auf einem Remote-Desktop im Unternehmensnetz. Dort stehen alle nötigen Anwendungen zur Verfügung. Kommt nun ein mobiles Endgerät des Nutzers abhanden, befinden sich darauf keine verwertbaren Daten. Bedenken sollte der IT-Administrator jedoch auch, dass virtuelle Maschinen wiederum neue Angriffspunkte mitbringen und eine Segmentierung auch zwischen virtuellen Servern nötig sein kann.

Schließlich zählt zur Netzwerksicherheit im weiteren Sinne inzwischen auch die Absicherung der mobilen Geräte wie Smartphones und Tablets, welche die Nutzer von sich aus in das Unternehmen einbringen. Eine klare Policy zur Nutzung solcher Geräte sowie mit NAP vergleichbare Agents, die den sicheren Zustand der mobilen Geräte überwachen und bei Bedarf - etwa Diebstahl oder Verlust - via Remote Wipe löschen können sind hierbei eine Möglichkeit zur Absicherung.

Mehr zu diesem Thema finden Sie in der kommenden Oktober-Ausgabe 2011 des IT-Administrator.
19.09.2011/dr

Nachrichten

Automatisierte Cybersicherheit [23.09.2021]

LogPoint hat die angekündigte Übernahme des Unternehmens SecBI mit Sitz in Tel Aviv abgeschlossen. Die SOAR- und XDR-Plattform von SecBI soll nun nativ in LogPoint integriert werden, um so eine integrierte, grundlegende Security--Operations-Plattform zu schaffen. LogPoint SOAR soll zusammen mit LogPoint 7.0 im Dezember 2021 veröffentlicht werden, XDR folge Mitte 2022. [mehr]

E-Mail-Sicherheit aus der Cloud [21.09.2021]

Zyxel Networks präsentiert das SaaS-basierte Angebot "Cloud Email Security". Der Dienst umfasst Anti-Malware, Anti-Phishing, Anti-Spam und TLS-Verschlüsselung. Netzwerkadministratoren in KMUs sollen so eine umfassende, cloudbasierte E-Mail-Sicherheitslösung erhalten, die sich für den Schutz einer verteilten Belegschaft vor wachsenden Bedrohungen eignet. [mehr]

Sicher aus der Ferne [20.09.2021]

Tipps & Tools

Studie: Über drei Viertel weltweiter Unternehmen nutzen Multicloud [17.08.2021]

Laut einer Umfrage von US-Anbieter Hashicorp setzen 76 Prozent der befragten, weltweit verteilten Unternehmen auf die Multicloud. Nähmen die Firmen nicht auch Hindernisse auf ihrem Weg in die Wolke wahr wie Kostenüberlegungen, Sicherheitsbedenken und Know-how-Mangel, wäre der Cloudanteil noch größer. [mehr]

Im Test: Red Hat OpenShift 4.7 [1.07.2021]

Leicht, effizient und komfortabel sollen IT-Verantwortliche dank OpenShift 4.7 von Red Hat in den Genuss von Container-Orchestrierung mit Kubernetes kommen. Ob dies gelingt, entscheidet sich in der Praxis an Punkten wie Betrieb, Wartung und Sicherheit sowie den vorhandenen Kubernetes-Funktionen. Im Test bewährte sich OpenShift 4.7 zwar sehr gut, gleichzeitig brachten Abweichungen von Red Hats Vorgaben jedoch Probleme mit sich. [mehr]

Buchbesprechung

Windows 10 Power-Tipps

von Günter Born

Anzeigen