Client- und Netzwerkmanagement
Kooperation für mehr Sicherheit
Angriffe durch Viren oder Würmer nehmen kontinuierlich zu. Die IT-Industrie arbeitet daher daran, Sicherheitsprobleme bereits auf der Ebene vor den Servern abzufangen und so eine sicherere Infrastruktur aufzubauen. Das Ziel ist somit die möglichst enge Verzahnung von Security-, Netzwerk- und IT-Lifecycle-Management.
Sicherheit ist heute für Unternehmen ein ständiger Wettlauf mit der Zeit. Ein Berg von Aufgaben
ist abzutragen, um das Netzwerk vor Hackern, Spionen und anderen Sicherheitsbedrohungen zu
schützen. Insbesondere Viren und Würmer stellen eine ständige Bedrohung für Unternehmen aller
Größenordnungen dar. Neben den Desktops greifen sie Server, Netzwerkinfrastruktur und auch mobile
Endgeräte an. Die Schäden durch Produktivitätsverlust und Präventionskosten gehen in die Millionen.
Die wachsende Intelligenz der Schädlinge und ihre Eigenschaft, sich selbst weiterzuverbreiten,
machen Angriffe immer gefährlicher. Der Einsatz von Antivirenprogrammen allein reicht nicht aus:
Antivirenlösungen stoßen seit langem an ihre Grenzen, da sie Signaturen verwenden, um Viren und
Würmer zu identifizieren. Sie erkennen nur bekannte Bedrohungen und bieten daher keinen Schutz vor
den so genannten "Day-Zero-"Angriffen und den dadurch verursachten Denial-of-Service-Effekten.
In großen Unternehmen kommen ständig neue Endgeräte und Mitarbeiter hinzu. Den Überblick zu
behalten fällt vielen IT-Verantwortlichen schwer und ist häufig geradezu unmöglich. Daher taucht
immer öfter ein weiteres Problem auf: Server, Desktops und Laptops entsprechen nicht dem
geforderten Sicherheitsniveau des Unternehmens. Insbesondere bei mobilen Mitarbeitern, die
außerhalb der Unternehmensnetzwerke surfen, können sich deshalb Schädlinge einschleichen. Unterwegs
schützen meist ausschließlich signaturbasierte Verfahren den Laptop. Taucht nun ein unbekannter
Schädling auf – ein so genannter "Day-Zero Exploit" – kann das Sicherheitssystem des Laptops nicht
entsprechend reagieren, da es den Schädling nicht kennt. Sobald sich der mobile Anwender erneut im
Unternehmensnetzwerk anmeldet, breitet sich der Virus beziehungsweise Wurm ungehindert aus.
Quarantäne erhöht Sicherheit
Security sollte sich nicht auf eine Ebene im Netzwerk beschränken. Sinnvoll ist vielmehr eine
mehrstufige Strategie. Dabei kommt den Systemen direkt vor den Servern eine besondere Bedeutung zu.
Sozusagen als "Abfangjäger" bilden Router und Switches die letzte Verteidigungslinie gegen
Angriffe. In einem hochgradig sicheren System sollten Rechner erst dann Zugriff auf das Netzwerk
erhalten, wenn Security-Tools sie auf Übereinstimmung mit den Sicherheitsrichtlinien eines
Unternehmens geprüft haben. Auf diese Weise könnte ein Administrator zum Beispiel festlegen, dass
nur PCs mit aktuellen Virendefinitionen, laufender Firewall und einem Betriebssystem mit neuesten
Patches vollständigen Zugang zum Netz erhalten. Rechner, die bei einer solchen Prüfung durchfallen,
weist die Security-Komponente ab oder leitet sie in ein Quarantäne-VLAN um. Erst wenn die Anwender
die Endgeräte auf den neuesten Stand gebracht beziehungsweise "gereinigt" haben, dürfen die Rechner
wieder ins Unternehmensnetzwerk. Ansätze dieser Art finden immer stärkere Akzeptanz. Unterstützung
finden sie zum Beispiel durch die Trusted Computing Group mit ihrer Spezifikation zur
Netzsicherheit "Trusted Network Connect".
Einer der interessantesten Ansätze kommt von Cisco, die mit "Network Admission Control" (NAC)
eine Initiative ins Leben gerufen haben, um Netze besser vor internen wie auch externen Bedrohungen
zu schützen. NAC ist Teil der "Self-Defending-Network"-Initiative, mit der Netzwerke einen
automatischen Schutz vor Bedrohungen erhalten sollen: Das Netzwerk selbst reguliert den Zugang für
Endgeräte wie PCs, Server oder PDAs, die nicht den Sicherheitsstandards einer Organisation
entsprechen, und steigert so die Sicherheit.
Dazu bietet die Lösung einen Mechanismus, um den Netzwerkzugang auf Basis von
Sicherheitsrichtlinien zu blockieren. Dabei ist es allerdings dem Administrator und den
eingesetzten Werkzeugen überlassen, welche Gerätezustände als regelkonform (im amerikanischen
Sprachgebrauch mitunter "healthy", also "gesund" genannt) oder nicht-regelkonform ("unhealthy", "
ungesund") gelten.
Systeme, die nicht konform mit den Sicherheitsrichtlinien gehen, sind schwierig zu
identifizieren, zu isolieren und wiederherzustellen. Die dazu notwendigen Vorgänge sind zeit- und
kostenaufwändig. Ihr Ausbleiben gefährdet aber die Unternehmenssicherheit. Bisher sind infizierte
Systeme beispielsweise erst bei der Anmeldung an einer Windows-Domäne auf Sicherheit überprüfbar.
Dieser Zeitpunkt ist jedoch viel zu spät, da die Geräte bereits Kontakt zum Netzwerk haben (Layer
3) und so Infizierungen einschleppen können. Genau dieses Problem adressiert NAC. Zudem bietet es
eingebaute Mechanismen, um Probleme selbstständig zu beheben, sodass es ein Gerät wieder auf die
vollständige Netzwerkverbindung zurücksetzen kann. Das Zusammenspiel mit Client-Managementlösungen
eröffnet eine einfache Möglichkeit, NAC einzuführen und gleichzeitig die Gesamtkosten für die IT im
Unternehmen unter Kontrolle zu halten.
Funktionsweise von NAC
NAC ist aus einer Reihe von Komponenten zusammengesetzt, mit denen der Administator
Zugangsrichtlinien erstellt und verwaltet. Zunächst zählt hierzu mit dem Cisco Trust Agent (CTA)
eine von Cisco entwickelte Schnittstelle (API), um Informationen über das aktuelle
Sicherheitsniveau des Endgeräts abzufragen. Diese Informationen erreichen über eine gesicherte
Verbindung das nächste Netzwerkzugangsgerät. Dieses regelt dann die Zugangskontrolle. Cisco hat die
CTA-Technik an die führenden Antivirus-Softwarehersteller – Symantec, Trend Micro und Network
Associates – sowie an seinen Partner IBM lizenziert. Der CTA erlangt so Informationen über die auf
dem Endgerät installierte Antivirensoftware und die verwendeten Signaturdateien. Die Integration
des CTAs in den Cisco Security Agent (CSA) erweitert die Abfragemöglichkeiten auf
Versionsinformationen des Betriebssystems sowie Patch- und Hotfix-Level. Ziel ist es, diejenigen
Endgeräte, die den notwendigen Patch-Level nicht aufweisen, zu identifizieren und zu isolieren.
Eine Schlüsselrolle nehmen in diesem Konzept Netzzugangsgeräte ein – also Router, Switches,
Wireless Access Points oder dedizierte Sicherheits-Appliances, die für die Umsetzung der
Sicherheitsrichtlinien sorgen. Diese Geräte fordern von jedem am Netzwerk teilnehmenden Endgerät
Informationen über das aktuelle Sicherheitsniveau und leiten dieses zur Überprüfung an
Richtlinienserver weiter. Anhand der dort hinterlegten Unternehmenssicherheitsrichtlinie
entscheidet der Server, ob er dem Endgerät den Zugang gestattet (permit), ihn verweigert (deny),
das Gerät unter Quarantäne stellt (quarantine) oder seinen Zugang stark einschränkt (restrict). Für
die Umsetzung dieser Entscheidung sorgt dann wieder das Netzzugangsgerät. Als dritte Komponente
werten Richtlinienserver die Informationen über das Sicherheitsniveau der Endgeräte aus und wählen
die jeweils notwendige Zugangsberechtigung. Der Cisco Secure Access Control Server (ACS), ein
AAA-Server (Authentisierung, Autorisierung und Accounting), bildet die Basis des
Richtlinienserversystems. Er arbeitet direkt mit den Antivirus-Richtlinienservern der NAC-Partner
zusammen, die weitere produktspezifische Auswertungen ermöglichen. Als letztes Element kommt das
Managementsystem mit der Ciscoworks VPN/Security Management Solution (VMS) für die Einrichtung und
Verwaltung der NAC-Infrastruktur zum Einsatz. Die Ciscoworks Security Information Management
Solution (SIMS) dient der Auditierung und dem Reporting. Die NAC-Partner bieten zusätzliche
Verwaltungs- und Audit-Tools.
Integration in die Managementlösung
Für die effiziente Umsetzung von NAC und ähnlichen Ansätzen ist es unabdingbar, dass IT-Manager
ihr Netzwerk gründlich kennen und über einen schnellen Zugriff auf alle Systeme verfügen. Gleichsam
auf Knopfdruck müssen sie in der Lage sein, den Status jedes einzelnen angeschlossenen Geräts zu
überprüfen. Im Idealfall sind Unternehmen in der Lage, den CTA in ihre Infrastruktur zu integrieren
und so Softwareanwendungen, Updates, Patches und Konfigurationsänderungen mittels einer
einheitlichen Managementlösung zentral zu überwachen und zu steuern. Dies erfordert zunächst eine
Lösung, um sämtliche Komponenten einer Installation aufzufinden und zu registrieren. Eine möglichst
tief gehende Analysefunktion informiert den Administrator über den Status eines Geräts und hilft
bei der Vorbereitung eventuell notwendiger Aktionen. Um diese im Vorfeld zu definieren, sollte eine
beliebige Kombination von Elementen aus der Datenbank für das Konfigurationsmanagement
(Configuration Management Database, CMDB) sowie aus dem Patch-Repository möglich sein. Ein
umfassendes Konfigurationsmanagement bildet eine solide Ausgangsbasis für einen reibungslosen
Betrieb der angeschlossenen Komponenten. Dazu sollte sich eine integrierte Lösung für das
Patch-Lifecycle-Management gesellen.
Eine integrierte Managementlösung passt sämtliche Komponenten eines Netzwerks, die von den
Sicherheitsrichtlinien eines Unternehmens abweichen, automatisch an die Richtlinien an. Dieser
Ansatz begegnet den Herausforderungen des IT-Lifecyles in vier Schritten und ermöglicht den Aufbau
einer kompletten Quarantäneumgebung für ein Netzwerk.
Der erste Schritt ist die Vorbereitung: Werkzeuge erleichtern die Planung und Umsetzung von NAC.
Sie ermöglichen die Identifizierung und Abwehr bekannter Sicherheitsbedrohungen, erfassen die
aktuelle Netzwerkkonfiguration für die Planung notwendiger Änderungen, automatisieren die
Quarantäne bei VLAN-Rollouts und sorgen für die CTA-Installation und -Konfiguration. Zudem erzeugen
sie eine ACS-Ausnahmeliste, indem sie bereits im Vorfeld Geräte identifizieren, die nicht CTA-fähig
sind. Dazu zählen beispielsweise Drucker. Sie schätzen die Auswirkungen der Quarantänerichtlinien
ab und ermitteln, welche Computer vor der NAC-Implementierung aufzurüsten sind.
Als zweiter Schritt folgt das Prüfen: Hier entscheidet sich, welche Geräte (verwaltet, nicht
verwaltet oder nicht verwaltbar) Netzwerkzugang erhalten. Dazu dient die Erstellung von Richtlinien
zum Sollzustand (der "Gesundheit"). Diese Richtlinien greifen auf die CMDB und das Patch-Repository
zurück.
Drittens folgt das Blockieren: Hier vereinfacht die Managementlösung die Verwaltung von NAC.
Eine abgestufte Upgrade-Strategie dient dazu, Randumgebungen so lange mit NAC-ähnlicher
Funktionalität abzusichern, bis das Unternehmen Legacy- oder nicht von Cisco stammende
Netzwerkgeräte aufgerüstet hat. Bei einer auffällig hohen Zahl von geblockten Rechnern kann die
Lösung automatisch einen Alarm auslösen. Webbasierte Berichte helfen, die NAC-Leistung über die
Zeit zu verfolgen und zu verbessern.
Den vierten und letzten Schritt bilden Abhilfemaßnahmen: Der Zugriff auf derlei
Systemmanagementlösungen ermöglicht es, Geräte aus der Ferne und auf Basis von Richtlinien
aufzurüsten. Dies vereinfacht den Prozess, einen Computer so schnell wie möglich an das Netzwerk
anzubinden.
Fazit
Insbesondere wenn ein Unternehmen global aufgestellt ist und mit Kunden, Partnern,
Outsourcing-Partnern oder Application-Service-Providern verbunden ist, darf es die
Unternehmenssicherheit nicht als isolierte Komponente betrachten. Die Zeit der
Vogel-Strauß-Unternehmenspolitik ist unwiederbringlich vorbei: Neue gesetzliche Regelungen wie
Basel II oder die derzeit diskutierten Gesetzesentwürfe zur Managerhaftung machen das Ignorieren
des Problems zu einer hoch brisanten Angelegenheit. Wer künftig als Geschäftsführer nicht
nachweisen kann, alles Notwendige getan zu haben, kann schnell neben seinem Job auch noch Haus und
Hof verlieren.
Computersicherheit ist ein wesentlicher Aspekt im Rahmen des IT-Lifecycle-Managements.
Integrierte Lösungen für das Aufspüren möglicher Sicherheitslöcher, ein ausgefeiltes
Patch-Management und Module für die Überwachung von Vorgängen im Sicherheitsbereich sowie
automatisierte, regelbasierte Anwendungen für notwendige Reparaturen sind unerlässlich. Das Ziel
solcher Initiativen wie eines quarantänefähigen Netzwerks ist es dabei, einerseits Verwaltungs- und
Betriebskosten zu senken, andererseits aber gleichzeitig die Sicherheit von IT-Ressourcen zu
erhöhen.
Lesen Sie mehr zum Thema
