Grundlagen

Netzwerksicherheit

In unserer Grundlagen-Rubrik erklären wir wichtige Aufgaben und Technologien aus dem Arbeitsalltag eines Netzwerk- und Systemadministrators. Hier erfahren Sie anhand prägnanter Erklärungen zu den wichtigsten Begriffen des jeweiligen Themenfeldes Hintergründe und Zusammenhänge in kompakter, praxisnaher Form.

Das Thema Netzwerksicherheit lässt sich heute längst nicht mehr so klar definieren und abgrenzen wie noch vor einigen Jahren. Die Netzwerkgrenzen verschwimmen dank mobiler Arbeitsplätze und privater Devices im Unternehmen zusehends, was Administratoren neue Wege zur Absicherung ihrer Infrastruktur aufzwingt. In diesem Grundlagen-Beitrag zeigen wir Ihnen, mit welchen Technologien Sie auf alte und neue Herausforderungen reagieren.
Waren Unternehmensnetzwerke früher klar abgegrenzte, physikalische Bereiche, die der Administrator mit lokalen Mitteln absichern konnte, erstrecken sich heute so manche Unternehmensnetze quer über die ganze Welt. Mobile Endgeräte, Home Office-Arbeitsplätze und Virtualisierung lassen die bisherigen Netzwerkgrenzen verschwinden. So beginnt und endet das Netz nicht mehr am Gateway im Serverraum, sondern überall dort, wo die Mitarbeiter von unterwegs aus arbeiten.

Schutz im Unternehmen
Einem Element der Netzwerksicherheit kommt daher zusehends weniger Bedeutung zu: der Gateway-Firewall. Spielte diese früher eine zentrale Rolle in der Absicherung, stellt sie heute nur noch einen - wenn auch unverzichtbaren - Teilaspekt dar. Über die Gateway-Firewall sperrt der Administrator alle nicht verwendeten Ports sowohl für den eingehenden als auch ausgehenden Traffic. Bei Stateful Packet Inspection-Firewalls wird zudem überprüft, ob eingehende Datenpakete zu einer legitimen Verbindung gehören oder nicht. Damit stellen Firewalls einen nach wie vor benötigten Baustein der Netzwerksicherheit dar. Gateway-Firewall können in einer Appliance oder auf einem Server arbeiten.

Ebenfalls am Gateway kann der Schutz vor Viren, Würmern und Trojanern stattfinden. Hier scannt eine zentrale Antivirus-Engine in Echtzeit den ein- und eventuell auch ausgehenden Traffic auf Schadcode hin, sodass dieser die Rechner und Server gar nicht erst erreicht. Natürlich ersetzt ein Gateway-Antivirus keinesfalls den lokalen Antivirenschutz auf Endgeräten, da das Netzwerk nur eines von vielen Einfallstoren für Viren und Würmer im Unternehmen darstellt. Die Überprüfung des ausgehenden Datenverkehrs kann außerdem verhindern, dass infizierte Rechner aus dem lokalen Netz heraus keine Malware verbreiten oder andere Rechner angreifen können.

Da einige Rechner aus dem Internet zugänglich sein müssen und damit automatisch anfälliger für Angriffe sind als interne Rechner, bietet es sich an, diese in einer Demilitarisierte Zone (DMZ) zu betreiben. Hierbei wird das Netzwerk in einen unsicheren und einen sicheren Bereich unterteilt. Die DMZ, in der die von außen erreichbaren Server stehen, stellt den unsicheren Netzwerkbereich dar - Angriffe und mögliche Übernahmen der Server sind bereits einkalkuliert. Doch haben Hacker die Kontrolle über einen solchen Server übernommen, können sie dank der Segmentierung noch nicht in das eigentliche Netzwerk vordringen. Firewalls und Intrusion Detection und Prevention Systeme schützen den Übergang zwischen DMZ und internem Netzwerk.

Eine Möglichkeit, auch das interne Netzwerk zu segmentieren und so für mehr Sicherheit zu sorgen, bieten virtuelle LANs (vLAN). Auf Netzwerkswitches lässt sich dabei einstellen, welche Ports durch welche Rechner erreichbar sein dürfen. So kann ein Computer aus der Marketingabteilung beispielsweise Rechner in der Buchhaltung oder Forschungsabteilung nicht erreichen - ebenso wenig wie Malware, die diesen Rechner möglicherweise befallen hat. vLANs bilden in der Regel jedoch nur einen grundlegenden Schutz und lassen sich durch versiertere Angreifer umgehen.

Der Umgang mit Gastrechnern sollte in Unternehmen ebenfalls bedacht werden. Diesen einfach Zugang zum Internet über das eigene lokale Netzwerk zu geben, birgt große Risiken. Der Administrator sollte daher spezielle Gastzugänge bereitstellen, über die Besucher mit ihren Laptops zwar ins Internet kommen, nicht jedoch auf lokale Server oder andere Clients. Soll Fremdrechnern dennoch regelmäßig der Zugriff auf das lokale Netzwerk gestattet werden, bieten sich Network Access Protection-Lösungen (NAP) an. Diese kontrollieren auf den Rechnern, ob sie bestimmte Sicherheitskriterien erfüllen. Dazu zählt meist eine aktive und aktuelle Antiviren-Software, eine lokale Firewall sowie ein aktuelles und gepatchtes Betriebssystem. Hierfür muss der Gast jedoch akzeptieren, dass eine Software den Zustand seines PCs überprüft.

Hat es ein Angreifer trotz Firewall, DMZ und NAP ins Netzwerk geschafft, bleiben quasi als letzte Bastion Intrusion Detection und Prevention Systeme (IDS/IPS). Diese analysieren den Netzwerkverkehr auf typische Angriffsmuster hin und schlagen Alarm. IPS gehen noch einen Schritt weiter und blockieren den verdächtigen Datenverkehr. Aus diesem Grund muss der Traffic natürlich IDS/IPS-Systeme passieren und entsprechend durchgeleitet werden.

Bleibt noch die Frage nach der physikalischen Sicherheit. Nicht selten sind die einfachsten Mittel nämlich auch die effektivsten. So sollte der Administrator darauf achten, ungenutzte Netzwerkdosen in öffentlich zugänglichen Bereichen zu sperren. Auch muss der Serverraum inklusive aller Switches und Router vor unbefugten Zugriffen geschützt werden. Hinzu kommen einbruchhemmende Maßnahmen am Gebäude, wie vergitterte Fenster und Alarmsysteme.

Neue Herausforderungen
Soviel zum Schutz des Netzwerks in den räumlichen Grenzen des Unternehmens. Doch wie schon erwähnt verschwimmen die Perimeter zusehends. Mitarbeiter nutzen Unternehmensressourcen von unterwegs und bringen ihre eigenen Endgeräte wie Smartphones und Tablet-PCs in die Firma mit. Hier steht die IT-Administration vor neuen Herausforderungen. Um mobilen Mitarbeitern den sicheren Zugriff auf das Netz zu ermöglichen, bietet sich schon seit längerem ein VPN-Zugang an. Dieser stellt eine verschlüsselte Verbindung zwischen Remote-Rechner und Server her. Damit wird verhindert, dass Angreifer sensible Daten über die Verbindung abgreifen können. VPNs sind in den Varianten IPSec und SSL-VPN üblich. Während für eine IPSec-Verbindung eine Clientsoftware auf dem lokalen Rechner installiert sein muss, arbeiten SSL-VPNs Browser-basiert. Dafür ist der Komfort für die Anwender bei diesem Verfahren etwas eingeschränkt.

Virtuelle Desktops erlauben dem Administrator ferner sicherzustellen, dass die Remote-Nutzer keine Daten auf ihre eigenen Rechner laden. Sie arbeiten über eine VPN-Verbindung auf einem Remote-Desktop im Unternehmensnetz. Dort stehen alle nötigen Anwendungen zur Verfügung. Kommt nun ein mobiles Endgerät des Nutzers abhanden, befinden sich darauf keine verwertbaren Daten. Bedenken sollte der IT-Administrator jedoch auch, dass virtuelle Maschinen wiederum neue Angriffspunkte mitbringen und eine Segmentierung auch zwischen virtuellen Servern nötig sein kann.

Schließlich zählt zur Netzwerksicherheit im weiteren Sinne inzwischen auch die Absicherung der mobilen Geräte wie Smartphones und Tablets, welche die Nutzer von sich aus in das Unternehmen einbringen. Eine klare Policy zur Nutzung solcher Geräte sowie mit NAP vergleichbare Agents, die den sicheren Zustand der mobilen Geräte überwachen und bei Bedarf - etwa Diebstahl oder Verlust - via Remote Wipe löschen können sind hierbei eine Möglichkeit zur Absicherung.

Mehr zu diesem Thema finden Sie in der kommenden Oktober-Ausgabe 2011 des IT-Administrator.
19.09.2011/dr

Nachrichten

Blick in alle Richtungen [5.05.2021]

D-Link stellt mit der DCS-6500LH eine Überwachungskamera vor, die sich per App steuern lässt. Das Gerät verfügt über eine Schwenk- und Neigefunktion für ein Blickfeld von 340 Grad horizontal sowie 90 Grad vertikal. Durch die automatische Bewegungs- und Geräuscherkennung erhalten Nutzer eine Push-Nachricht aufs Mobilgerät und sehen live, was vor der Kamera passiert. [mehr]

TeamViewer integriert Malwarebytes-Virenschutz [4.05.2021]

TeamViewer-Kunden können ihre Rechner künftig mit Malwarebytes vor Schadsoftware schützen. Hierfür ist das Unternehmen aus Göppingen eine Partnerschaft mit dem US-amerikanischen Anbieter für Echtzeit-Cybersicherheit eingegangen. "Malwarebytes Endpoint Protection" sowie "Endpoint Detection and Response" sollen dabei in "TeamViewer Remote Management" integriert werden. [mehr]

Tipps & Tools

Kubernetes-Backup erstellen [23.04.2021]

Das Containermanagement-Tool Kubernetes hat sich in den letzten Jahren zum De-Facto-Standard beim Deployment von Applikationen entwickelt – lokal und in der Cloud. Im Betrieb speichert Kubernetes alle Clusterdaten inklusive der Ressourcenspezifikationen in "etcd", einem verteilten Key-Value-Store. Daraus ergibt sich logischerweise, dass etcd als Schlüsselkomponente unter allen Umständen Teil des Backups sein muss. Das freie Werkzeug "KubeDR" will dies erledigen. [mehr]

Vorschau Mai 2021: Hybrid Cloud [19.04.2021]

Nahezu alle Unternehmen stehen inzwischen mit einem Bein in der Cloud, ohne gleich die lokale Infrastruktur aus dem Fenster zu werfen. In der Mai-Ausgabe widmet sich IT-Administrator dem Thema "Hybrid Cloud" und zeigt, wie sich beide Welten sinnvoll zusammenführen lassen. So lesen Sie beispielsweise, wie Sie Azure-Ressourcen lokal einbinden und Workloads in hybriden Umgebungen ausrollen. Außerdem zeigen wir im Mai-Heft, wie Sie mit vSphere Trust Authority Ihre VMware-Umgebung absichern und Applikations-Rollouts auf verschiedenen Clouds mit Ansible automatisieren. [mehr]

Buchbesprechung

Computernetze und Internet of Things

von Patrick-Benjamin Bök, Andreas Noack, Marcel Müller

Anzeigen