Ohne Netzwerkwächter geht es nicht
Applikationssicherheit und UTM
Das Thema Applikationssicherheit hat sich in den vergangenen Monaten einen gewissen Hype-Status erkämpft. Geht die IT-Welt zu abgeschotteten Anwendungen bei völlig geöffneten Netzen über? Ganz wird dies nie der Fall sein können. Bei den zugehörigen Sicherheitskonzepten spielen UTM-Appliances (Unified Threat Management) und Applikationssicherheit eine wichtige Rolle.
Perimetersicherheit ist Schnee von gestern – mit Thesen wie dieser begann schon vor Jahren ein
Paradigmenwechsel in der IT, der die Bedeutung der klassischen Barrieren zwischen öffentlichem
Internet und internen Netzen der Unternehmen schwinden ließ. Dieser Trend hat zweifellos seine
Berechtigung. Moderne Unternehmensnetze sind nur noch selten wirklich geschlossen, da sie mobile
Anwender ebenso integrieren wie Mitarbeiter im Home Office und freie Vertragspartner. Es ist
deshalb schwer, genau zu sagen, wo ein modernes Unternehmensnetz seine Grenzen hat.
Auf den ersten Blick legt diese Situation nahe, an eine Zukunft ganz ohne Perimeter- und
Netzwerksicherheit zu denken und damit eine ganze Reihe typischer Gateway-Schutzfunktionen zu
aussterbenden Gattungen zu erklären.
Auf Konferenzen und in Fachartikeln stößt man bereits auf entsprechende Planspiele für
Sicherheitskonzepte, bei denen der Fokus dann auf der reinen Applikationssicherheit liegt:
Reduktion aller inhärenten Sicherheitslücken von Applikationen durch
sicherheitsorientiertes Programmieren, fortwährende Tests und schnellstmögliches Patchen jeder
dennoch aufgefundenen Schwachstelle,
Beschränkung der Zugänge auf verschlüsselte Verbindungen und
starke Authentifizierung des Anwenders an der Applikation selbst,
Unterstützung durch hoch spezialisierte Applikationsfirewalls, die gutwillige
und wohlgeformte Kommunikation zwischen den Anwendungen und ihren Benutzern von böswilligen
Hacking-Versuchen unterscheiden können, korrumpierten Content erkennen und sowohl den Missbrauch
einer Applikation als auch das Einschleusen von auszuführendem Code über die Anwendung auf die
Betriebssystemebene verhindern. Die am weitesten verbreiteten Typen von Applikationsfirewalls
dienen der Analyse vom XML- und HTML-gestützter Kommunikation oder schützen viel genutzte
Anwendungen wie etwa den Exchange-Server.
Die Zukunft, so will es dieses Konzept in letzter Konsequenz, kann auf die Abschottung
firmeninterner Netzwerkbereiche verzichten, wenn die genannten Ansätze optimal umgesetzt sind. Auch
in der direkten Unternehmensumgebung baut eben der berechtigte Mitarbeiter zu jedem
Kommunikationspartner und jeder Ressource eine verschlüsselte Verbindung auf und wird
authentifiziert.
Ein Rest von "LAN" bleibt immer
So bestechend nun diese Idee auch erscheinen mag: Gegen sie als alleiniges Sicherheitsmodell
spricht nicht nur der Faktor Zeit, der klassische LANs mit ihren für sich genommen schwach
gesicherten Fileservern und anderen alt hergebrachten internen Ressourcen noch geraume Zeit am
Leben halten wird. Beachtet man, welche Angriffsformen sich derzeit im Aufwind befinden und häufig
Erfolg haben, stößt man auf einen ganz anderen triftigen Grund für den Erhalt klassischer Netzwerk-
oder Gateway-Sicherheitssysteme und Content-Filter.
Angriff beim Anwender selbst
Moderne Angreifer nämlich versuchen, beim Anwender selbst anzusetzen, um so auf gesicherte
Applikationen zuzugreifen. Dabei ist hier noch nicht einmal von "weichen" Attacken auf die
Mitarbeiter selbst die Rede, bei denen direkt angewandtes Social Engineering zum Einsatz kommt.
Gedacht ist an Techniken, bei denen der Angreifer die Arbeitsstation des berechtigen Anwenders
übernimmt oder bei denen er die digitalen Identitäten der Mitarbeiter stiehlt und dann in der Rolle
eines berechtigten Angreifers gegen die Unternehmensapplikationen vorgeht. "Spyware, Rootkits und
Keylogger sind hier die Stichworte, an die man im Fall der übernommenen Clients zu denken hat, und
Phishing- und Man-in-the-Middle-Attacken sind die vielleicht prominentesten Beispiele für Techniken
des Identitätsdiebsstahls", meint etwa Helge Scherff, Vetriebsleiter Deutschland beim
spezialisierten Sicherheitsdistributor Wick Hill. "Je mehr Unternehmensanwendungen wie etwa SAP
oder Datenbanken mit Webfrontends ausgestattet werden, desto besser lassen sich auf diese
Applikationen auch jene Angriffsmethoden anwenden, die heute vorrangig im Bereich des
Onlinebankings zum Einsatz kommen." Die entsprechende Malware in Form von Trojanern wird über
E-Mail- und Messaging-Dienste, bei Webbesuchen oder über immer wieder brandneue Kommunikationswege
auf die Clients geschleust, wobei die Zugänge durch die wechselnden Verbindungswege der Clients zum
Web ohne Umleitung über einen definierten Kontrollpunkt nur schwer zu schützen sind. Darüber hinaus
spricht alle Wahrscheinlichkeit dafür, dass auch die größte Sorgfalt bei der Produktion von
Software Sicherheitslücken und Schwachstellen nie ausschließen wird. Dazu ist die Codemenge der
gängigen Applikationen einfach zu unüberschaubar.
Filter ergänzen Authentifizierung
In ein realistisches Szenario der zukünftigen IT-Sicherheit im Unternehmen gehören also neben
den bereits im Zusammenhang mit der Applikationssicherheit genannten Faktoren und
Client-Sicherheitspakete nach wie vor die folgenden Security-Mechanismen:
Content Security an einem Gateway, das als kontrollierter Übergabepunkt für
Unternehmens-E-Mails und Internetzugriffe fungiert,
damit auch Protokollüberwachung für SMTP, FTP, diverse Messaging-Systeme und
andere Kommunikationsprotokolle neben HTTP,
eine anpassungsfähige Korrelationsebene, die sich unter Einschluss aller
Filter, Sensoren und Protokollüberwachungssysteme auf bisher unbekannte Blendet-Threat-Angriffe
schnell einstellen und darüber hinaus den Schutz für neue Applikationen übernehmen kann, zu denen
noch keine spezialisierten Sicherheitsprodukte existieren oder deren Sicherheitslücken und
Risikopotenzial noch kaum bekannt sind,
Anomalieerkennung im gesamten Netzwerkverkehr und
Abwehr von DDoS-Angriffen durch Ausfiltern der dazu benutzten Datenpakete.
Der erste hier aufgeführte Punkt verdient besondere Beachtung: Eine Grenze zwischen Internet und
einem zumindest virtuell existierenden Unternehmensnetz, das die zentralen Ressourcen und die übers
Internet per IPSec- und SSL-VPN angeschlossenen Clients umfasst, wird es allein deshalb immer
geben, weil jede Organisation aus Compliance-Gründen ihre Sicherheits- und Nutzungsregeln bei ihren
Angehörigen durchsetzen will. Eine Möglichkeit dazu ist die Fernsteuerung der
Sicherheitseinrichtungen auf allen Clients, eine andere wird die nach wie vor zentralisierte
Anordnung von Ressourcen wie E-Mail- und Messaging-Server, Internet-Gateway mit Filtern und
Repositories für vertrauliche Informationen sein, für die besondere Zugriffsbeschränkungen
gelten.
Die Kombination der benötigten Sicherheitsfunktionen für diese Ressourcen und einige mehr bieten
heute bereits UTM-Appliances der jüngsten Generation mit Application-Layer-Proxies,
Content-Filtering, Intrusion Detection und Intrusion Prevention sowie Firewall- und
VPN-Funktionalität, wie sie etwa von Watchguard, Netasq, Fortinet, Secure Computing, Sonicwall und
einer schnell wachsenden Reihe weiterer Anbieter angeboten werden, oft auf der Basis traditioneller
Firewall-Systeme. "UTM-Systeme schützen bereits viele Standard-Applikationen, etwa auf HTML-Basis,
und kommen gleichzeitig dem berechtigten Wunsch entgegen, IT-Sicherheit zu konsolidieren und von
einem vereinfachten Management der diversen Sicherheitsanwendungen zu profitieren", ergänzt
Scherff. "Neben Client-Schutz und Applikationssicherheit dürfte die UTM-Technik eine der
zukunftssichersten im Bereich der IT-Sicherheit für Unternehmen sein."
Lesen Sie mehr zum Thema
