Netzwerk-Monitoring als Security-Baustein
Attacken frühzeitig erkennen
Unternehmen glauben ihre IT-Infrastruktur in Sicherheit, wenn die Firewall aufgebaut ist und der Virenscanner installiert. Ein Trugschluss, denn häufig lassen sich Ausfälle der Sicherheitssysteme oder Angriffe durch Viren, Trojaner und Co. erst erkennen, wenn es zu spät ist. Wer sich auf der sicheren Seite befinden will, benötigt ein umfassendes Sicherheitskonzept. Bestandteil dieses Konzepts sollte auch eine Network-Monitoring-Lösung sein. Denn bei entsprechend konfigurierten Schwellenwerten fungiert eine gute Netzwerküberwachungssoftware wie ein Frühwarnsystem.Aktuelle Studien zur IT-Sicherheit in Deutschland warnen, dass die Bedrohungslage für Unternehmen weiterhin ernst ist. Cyber-Kriminelle arbeiten immer professioneller, entwickeln effektivere und vor allem intelligentere digitale Schädlinge. Beispielsweise nahm die Zahl an "Drive-by Downloads" sowie an Denial-of-Service-(DoS-)Angriffen in den vergangenen Jahren kontinuierlich zu. Kritische Zero-Day-Attacken auf beliebte Software wie beispielsweise den Microsoft Internet Explorer oder den Adobe Reader gehörten im Jahr 2010 zu den Hauptbedrohungen für Unternehmen weltweit. Einige der Internet Explorer Exploits kamen sogar zum Einsatz, um große Unternehmen wie Google und Rackspace anzugreifen. Dass im Zuge einer ganzheitlichen Netzwerküberwachung der Sicherheitsaspekt für Unternehmen zunehmend an Bedeutung gewinnt, bestätigt beispielsweise auch eine aktuelle Umfrage des Netzwerk-Management-Spezialisten Paessler. Der Hersteller befragte 1.200 Anwender seiner Software Prtg Network Monitor zu deren Einsatz. Das Resultat zeigt: Zirka 75 Prozent sehen das Tool als wichtige Komponente, um ihr Netzwerk sicherer zu machen. Da eine Netzwerküberwachungslösung, so der Hersteller, sowohl den Ausfall wichtiger Sicherheitssysteme als auch Hinweise auf Malware-Attacken registriert, fungiere die Software als effektives Frühwarnsystem. Ohne eine Netzwerk-Monitoring-Lösung müssten Administratoren dagegen sehr viel Zeit aufwenden, um Ursachen für Störungen im Netzwerk zu ermitteln und zu beseitigen.
Frühwarnsystem bei Malware-Attacken
Die Infektion durch Schadsoftware gehört zu den Hauptursachen für Datenmanipulation oder gar -verlust in Unternehmen. Die digitalen Schädlinge kompromittieren Rechner und damit auch das gesamte Netzwerk. Bei 28 Prozent der IT-Unternehmen in Deutschland führten im vergangenen Jahr Angriffe durch Malware oder nicht autorisierte Zugriffe zur Zerstörung wichtiger Daten. Netzwerksicherheit in Unternehmen erfordert demnach die Planung und Umsetzung eines ganzheitlichen Konzepts. Neben Tools wie Virenscannern, Firewalls, Verschlüsselungssoftware, Datensicherheitssoftware, Content-Filtern oder Port-Scannern dient eine umfassende Netzwerküberwachungslösung somit als sinnvolle und ergänzende Methode, um den Sicherheitsgrad der unternehmenseigenen IT-Umgebung zu erhöhen. Eine hohe, abrupt auftretende CPU-Last oder starker Traffic sowie Netzwerkausfälle können auch Anzeichen für Aktivitäten von Viren und Trojanern etc. sein, die leicht zu übersehen sind.
Moderne Lösungen alarmieren den Administrator umgehend über Störfälle im Netzwerk und senden Benachrichtigungen über Ausfälle via E?Mail, Pager oder SMS. Smartphone-Besitzer sollten die Möglichkeit haben, über entsprechende Web-Interfaces oder Apps auch von unterwegs den Status des Netzwerks abzurufen, um - wenn nötig - zeitnah auf Vorfälle zu reagieren.
Direkte Überwachung von Security-Komponenten
Netzwerk-Monitoring lässt sich in den verschiedensten Security-Bereichen einsetzen - beispielsweise um die Firewall rund um die Uhr auf ihre Verfügbarkeit zu überwachen. Eine gute Software liefert zudem Daten zu Leistung und Zustand der Firewall.
Über die standardmäßigen, SNMP-basierenden Monitoring-Features hinaus erlaubt eine solche Lösung den Administratoren, die aktuelle Bandbreitennutzung auf der Basis verschiedener Parameter wie IP-Adressen, Port-Nummern, Protokollen etc. mittels Packet Sniffing oder Flow-Sensoren zu monitoren. So wird beispielsweise das Netflow-Protokoll von den meisten Cisco-Routern und einigen Cisco-Switches zur Messung von Bandbreitennutzung unterstützt. Netflow-Sensoren sammeln die gesendeten Daten und schicken sie zur Auswertung an die jeweilige Monitoring-Software. Diese Methode eignet sich besonders für Netzwerke mit einem sehr hohen Datenverkehr.
Praxisszenario: Cisco-Firewall
Im Speziellen ermöglicht eine Netzwerküberwachungslösung also auch die Überwachung bestimmter Sicherheitskomponenten, wie zum Beispiel der zentrale Firewall. Dies lässt sich im Folgenden am Beispiel der Software Prtg beim Monitoring einer Cisco ASA-Firewall unter Verwendung unterschiedlicher Messmethoden erläutern. Bild 1 zeigt dabei die Messergebnisse (unterschiedliche Graphen) unter Verwendung dreier verschiedener Techniken:
"via SNMP" misst den Traffic direkt am WAN-Port der ASA (grün),
"Netflow 9 form ASA" bietet eine Traffic-Analyse von Netflow-9-Paketen an der ASA-Firewall selbst (blau) und
"Netflow 9 form IP-Router" zeigt die Messung von Netflow-9-Paketen am Cisco-Router (gelb).
Dabei ist beim Netflow-Monitoring das Folgende zu beachten:
In der Anzeige sind nie hundertprozentige Livedaten zu sehen. Dies liegt daran, dass das Cisco-NSEL-Monitoring (Network Secure Event Logging) erst dann ein Netflow-Datenpaket sendet, wenn keine Verbindung mehr besteht. Ist eine Verbindung über Minuten oder Stunden aktiv, sendet die ASA ein einziges Netflow-Paket, das die Daten der einzelnen Verbindung über den gesamten Zeitraum widerspiegelt. Im Graphen sind diese Messungen als starke Ausschläge der Linie zu sehen.
Traffic-Strömungen der ASA sind bidirektional, die entsprechende Linie schlägt jedoch stets nur nach oben aus.
Bild 1 zeigt zudem, dass der wahre gemessene Netflow-Traffic am Router (gelbe Linie) und der mittels SNMP gemessene (grüne Linie) sehr nahe beieinander liegen. Die blaue Linie für den ASA-Netflow liegt meist unter den anderen und zeigt ab und zu hohe Ausschläge. Dies geschieht aufgrund der beschriebenen Unterbrechungen langanhaltender Verbindungen.
Insgesamt liegen die Linien jedoch sehr nah beieinander, was zeigt, dass die Messmethoden nur gering in ihrem Ergebnis differieren. Die Methoden bieten aber unterschiedliche Vorteile: Mit den über SNMP gesammelten Daten fallen Spitzen im Traffic detaillierter und früher auf, wodurch sich mögliche Sicherheitslücken leichter erkennen lassen.
Netflow-Daten wiederum kann der Administrator zusätzlich mithilfe von "Toplists" analysieren - zum Beispiel mit entsprechenden Filtern nach Protokoll, Port, Quell- und Ziel-IP ?, was ihn beim schnellen Auffinden möglicher Störquellen unterstützt.
Fazit
Eine professionelle Netzwerküberwachungslösung ermöglicht es Administratoren, ihr Netzwerk direkt und indirekt sicherer zu machen. Ein großer Teil der Gefahren durch Malware-Angriffe für das Unternehmensnetzwerk kann bereits frühzeitig erkannt werden, und einzelne Sicherheitskomponenten lassen sich permanent auf ihre Aktualität und Verfügbarkeit überwachen. Network Monitoring stellt damit einen strategisch wichtigen Baustein im IT-Sicherheitskonzept von Unternehmen dar.
Lesen Sie mehr zum Thema
