gigahertz IT Solutions

Netzwerk-Sicherheit

"In der Auswahl seiner Feinde kann man nicht sorgfältig genug sein."
- Oscar Wilde, ir. Schriftsteller (1854 - 1900)

Das Aufgabengebiet der Netzwerk-Sicherheit ist über die Jahre stark gewachsen. Zur klassischen Abwehr von Bedrohungen sind die Steuerung und Kontrolle des Netzwerk-Zugriffs sowie die proaktive Netzwerküberwachung hinzugekommen.

Der Themenbereich "Netzwerk-Sicherheit" wird bei uns daher in die folgenden vier Bereiche gegliedert:

Unified Threat Management (UTM)

Die Zeiten, in denen Viren die einzige Bedrohung für ein Firmennetzwerk darstellten, sind lange vorbei. Adware, Spyware, Viren, Trojaner, Würmer, Junkmail/Spam, Phishing. Die Bedrohungen sind sehr vielfältig und um einiges gefährlicher geworden.

Der Grundsatz des UTM-Gedanken ist es, all diese Bedrohungen möglichst zentral und koordiniert zu eliminieren oder einzuschränken. Um dies zu ermöglichen werden alle aktiven Netzwerkkomponenten in den Prozess der Bedrohungserkennung eingebunden. Somit ist ein gestaffeltes Schutzsystem möglich um Probleme frühestmöglich zu erkennen.

Dies ist keine leichte Aufgabe. Die Zeiten, in denen ein Firmennetzwerk nur von Mitarbeitern genutzt werden, sind längst vorbei. Partner und Kunden sowie Gäste des Unternehmens sollen auf einzelne Bereiche des Firmennetzwerkes zugreifen können oder sollen zumindest über die Infrastruktur in das Internet gelangen können. Dies soll im Idealfall über ein WLAN möglich sein und einfach zu bedienen sein. Letzteres ist nun der größte Feind der Netzwerk-Sicherheit.

IDS / IPS Systeme

Es kann durchaus vorkommen, dass in einem Netzwerk über lange Zeit hinweg Hacker oder Datenspione ein- und ausgehen - und keiner merkt etwas davon. Hier setzen die so genannten "Intrusion Detection Systeme (IDS)" an. Ein IDS schützt das Netzwerk nicht unbedingt gegen Angriffe sondern vermittelt primär ersteinmal das Wissen darüber, dass in das Netzwerk eingedrungen wird oder zumindest Versuche dahingehend unternommen werden.

So genannte "Intrusion Prevention Systeme (IPS)" versuchen, auch wenn es sich hier eher um einen unglücklichen Marketing-Begriff handelt, einen aktiveren Ansatz zu fahren und Angriffe direkt abzuwehren.

Man unterscheidet grundsätzlich zwischen Netzwerk-IDS und Host-IDS. Solche Lösungen müssen vollständig in das Sicherheitskonzept eines Netzwerks integriert werden. Die unterschiedlichen Verteidigungsstufen müssen wohl überlegt werden.

Network Access Control (NAC)

In den letzten Jahren ist das Thema Zugriffskontrolle in Netzwerken immer wichtiger geworden. Gerade mit dem Einzug von Wireless LAN in die Firmennetzwerke ist die Sensibilisierung für notwendige Maßnahmen stark gewachsen.

Eine Network Access Control Lösung steuert und kontrolliert detailliert den Zugriff auf das Netzwerk und überwacht dabei die Einhaltung von Richtlinien und Berechtigungen. Bei modernen Systemen ist die Zugriffsberechtigung nicht mehr statisch am Switch vergeben sondern an den User gebunden. Zieht beispielsweise ein Mitarbeiter um in ein anderes Gebäude, nimmt er seine Sicherheitseinstellungen, Berechtigungen und seine VLAN-Zuordnung automatisch mit und kann sich an einem neuen Switch mit seinen gewohnten Berechtigungen anmelden.

Endpoint Integrity

Die klassische Zugriffskontrolle in einem Firmennetzwerk verhindert, dass ein unberechtigter Benutzer Zugang zum System bekommt.

Was bisher nicht geprüft wird, ist die Einhaltung von Richtlinien und die Überprüfung der Unbedenklichkeit eines Endgeräts, beispielsweise das Notebook eines Außendienstmitarbeiters. Beispielsweise kann ein Benutzer auf seinem Notebook Filesharing-Programme installieren oder den Virenscanner deaktivieren. Da er nicht mit dem Firmennetzwerk verbunden ist kann dies nur schwer verhindert werden.

Kommt dieser Mitarbeiter nun zurück in die Firma, kann er unter Umständen ohne jegliche Kontrolle ein virenverseuchtes Notebook an das Netzwerk anschließen und so beträchtlichen Schaden anrichten. Mit einem installierten File-Sharing Tool, welches er über die Firmenstandleitung dann auch verwendet, kann das Unternehmen sehr schnell in rechtliche Schwierigkeiten bringen.

Hier setzt nun das Konzept des "Endpoint Integrity Checks" an. Sämtliche Endgeräte werden nach der Kontrolle der Berechtigung auf die Einhaltung der IT-Richtlinien überprüft. Ist beispielsweise der Virenscanner deaktiviert oder nicht aktuell oder sind gewisse Programme installiert, welche im Unternehmen auf einer Blacklist stehen, erhält der Rechner keinen Zugriff auf das Netzwerk. Auch dann nicht, wenn der Benutzer eigentlich die Berechtigung dafür hätte.

Mit einem solchen System kann auch überprüft werden, ob ein beispielsweise ein Außendienstler, der nur alle 3 Monate im Unternehmen ist, über die aktuellen Patchstände des Betriebssystems verfügt. Ist dies nicht der Fall, bleibt das Notebook in einem Quarantäne-VLAN, kann dort sein Betriebssystem auf den aktuellen Stand bringen und erhält erst danach Zugriff auf das Firmennetzwerk. So können IT-Richtlinien effektiv und in letzter Konsequenz durchgesetzt und kontrolliert werden.