Netzwerke entwickeln sich von der Datentransport-Infrastruktur hin zu immer intelligenteren Systemen. Nicht zuletzt die Selbstverteidigung gegen vielfältige und komplexe Gefahren zählt zu ihren neuen Aufgaben.

Ein System solcher Switches verteilt die Enforcement-Points und kann so die Sicherheit des Intranet wesentlich verbessern.

Netzwerke sind heute in jedem Unternehmen die Grundlage aller Geschäftsaktivitäten. Da fast der gesamte Geschäftsbetrieb über die IT-Infrastruktur abgewickelt wird, sind auch alle damit zusammenhängenden Informationen in diesem IT-System gespeichert. Zudem sind alle Benutzer, unabhängig von ihrer Funktion im Unternehmen, in dieses Netzwerk eingebunden und stellen eine große Herausforderung im Hinblick auf den Informationszugriff und die Informationsbereitstellung dar. Auch zentralisierte Hochleistungsserver, un-ternehmensweite Intranets, Extranets und bandbreitenintensive Anwendungen wie E-Learning oder Sprach-Datenintegration stellen Unternehmensnetzwerke vor neue Herausforderungen. Zudem nimmt das Bedrohungspotential durch Viren und Würmer immer stärker zu. Das Netzwerk ist daher mehr als zuvor als das Herz jeglicher Kommunikation anzusehen, das es zu schützen gilt. Dabei muss das Netzwerk als System betrachtet werden, und nicht wie heute meist nur als Transportplattform für Bits und Bytes.

Intelligentes Netzwerk

Intelligente Netze sind heute in der Lage, Benutzer zu klassifizieren, deren Zugang zum Netzwerk zu kontrollieren und mit Hilfe von Regelmanagement auch zu steuern. Durch das Zusammenspiel mit den Endgeräten ist sogar ein proaktiver Schutz möglich. Und schlussendlich müssen Netzwerke heute in der Lage sein, dynamisch und automatisiert Angriffe zu erkennen und auf diese selbstständig reagieren zu können.

Zugangskontrolle

Lange Zeit war es dem Netzwerk egal, wer es nutzt. Der Fokus lag auf der Tatsache, wie schnell und zuverlässig die Daten transportiert werden konnten. In den vergangenen Jahren nahm die Anzahl der Endanwender rasant zu. Ein Netzwerkanschluss ist mittlerweile genauso selbstverständig, wie ein Telefon am Arbeitsplatz. Es werden zudem auch die gleichen Ansprüche an die Verfügbarkeit des Netzes wie an das Telefonsystem gestellt.

Im Zeitalter der Viren und Würmer ist dies aber keine Selbstverständigkeit. Die letzen Attacken haben gezeigt, welchen Schaden diese Vorfälle anrichten können. Daher ist es unerlässlich, das angeblich einfache Transport-Medium Netzwerk zu schützen, damit die Geschäftsabläufe nicht unterbrochen werden.

Ein elementarer Bestandteil dafür ist die Kontrolle über den Zugang zum Netzwerk. Alle Endgeräte, die über eine IP-Adresse verfügen, müssen betrachtet werden, damit ein ganzheitlicher Ansatz gewährt bleibt. Klassischerweise wird der Zugang heute über IEEE 802.1X geschützt. Dazu ist es notwendig, dass sich der Benutzer in irgend einer Form anmeldet. Typischerweise wird hierzu die Benutzername/ Passwort-Kombination genutzt, die für den Anwender vollkommen transparent im Hintergrund zum Authentisierungsserver übermittelt wird. Dieser ermittelt, ob die Kombination gültig ist, und gibt dem Switch das Feedback, dass der entsprechende Port freigeschaltet werden soll. Modernere Lösungen nutzen bereits Smartcards, Token oder biometrische Verfahren zur Benutzerauthentisierung.

In diese Betrachtung fallen aber auch Endgeräte, die sich nicht selbstständig authentifizieren können oder bedingt durch das Betriebssystem über keinen 802.1X Client verfügen. Hier ist eine Authentisierung auf Basis der MAC-Adresse eine mögliche Alternative. Nur im Authentication-Server eingetragenen MAC-Adressen wird der Zugang gewährt. Somit wird sichergestellt, dass Drucker beispielsweise auch einer Zugangskontrolle unterzogen werden.

Das Wachstum der Netzwerke wird nicht durch neue Benutzer bestimmt. Zukünftig wird es eine Vielzahl von neuen Endgeräten geben, die von einem Anwender genutzt und an das IP-Netz angeschlossen werden sollen. IP-Telefone, IP-fähige Kopierer und Videokameras, PDAs, Blackberrys und Produktionssteueranlagen müssen daher im gleichen Atemzug genannt werden. Nur wenn alle Endgeräte einer Zugangskontrolle unterzogen werden, ist ein Basisschutz für das Netzwerk möglich.

Regelmanagement

Bisher wurde wenig oder gar nichts gegen die internen Gefährdungen unternommen. Der oben beschriebene IEEE-802.1X-Standard definiert einen Mechanismus für die Authentifizierung, bevor der Nutzer in das Intranet hereingelassen wird. Zusammen mit intelligenten Switches kann IEEE 802.1X die Berechtigungsprüfung (Authorization) unterstützen und festlegen, was der berechtigte Nutzer darf und was nicht.

Diese Funktionen werden an dem Switch-Port durchgeführt, über den sich der Nutzer eingewählt hat. So wird der Port selbst zum Punkt (Enforcement-Point), der die Sicherheits-Policy der Organisation durchsetzt. Ist ein Switch leistungsfähig genug, kann er zur Firewall werden, die Berechtigungsprüfungen vornimmt und Datenpakete filtert.

Ein System solcher Switches verteilt die Enforcement-Points im gesamten Netz und kann so die Sicherheit des Intranet wesentlich verbessern, indem

• es nicht berechtigte Nutzer sofort abweist,

• es verhindert, dass unerwünschte Datenpakete in das Netzwerk gelangen und

• es für bestimmte Arten von Datenströmen den Zugang zum Netz einschränkt.

Mit entsprechenden Komponenten können die Zugriffsrechte am Netzwerkrand dynamisch an den Nutzertyp angepasst werden, so dass jeder berechtigte Nutzer nur Zugriff auf diejenigen Protokolle und Ressourcen erhält, die für die spezifische Aufgabenstellung absolut notwendig sind.

Ein Beispiel: Ein Vertriebsmitarbeiter sollte keinen Zugriff auf das SNMP bekommen, um auf den Netzwerkkomponenten Konfigurationen zu ändern. Hierzu wird bei der Berechtigungsprüfung dynamisch ein im Switch enthaltener Filter aktiviert, der die SNMP-Datenpakete blockt. Sollte sich ein Netzwerk-Administrator anmelden, wird für ihn dieser Dienst wieder freigeschaltet. Ein wesentliches Attribut der dynamischen Regelzuweisung im Switch ist die Mobilität dieser Regel oder Policy. Jedes Mal, wenn sich der Nutzer von einem anderen Standort aus einwählt und den Authentifizierungs-Vorgang einleitet, folgt die definierte Regel dem Nutzer: Die Regel wird dynamisch im Switch generiert und nicht statisch im Netz. So wird der Nutzer immer gleich behandelt, unabhängig davon, von wo aus er sich tatsächlich eingewählt hat. Das senkt enorm die Betriebskosten bei Umzügen und erhöht die Flexibilität eines jeden Mitarbeiters.

Weiterhin kann man eine Regel einrichten, die den Einsatz von MP3-Tauschsoftware oder das Spielen bandbreitenintensiver Spiele untersagt. Die offene Netzwerk-Infrastruktur hat es bisher nicht gerade erleichtert, im Intranet von Unternehmen solchen Missbrauch zu unterbinden. Liegt der Enforcement-Point aber am Netzwerkrand, können Filter verwendet werden, die vom Rand aus unerwünschte Datenströme sofort unterbinden oder einschränken.

Proaktiver Schutz

Um ein höheres Sicherheitslevel zu erreichen, ist es zudem wichtig, nicht nur zu wissen wer auf das Unternehmensnetz zugreift, sondern auch, welches Sicherheitsniveau die verwendete Hardware des Anwenders hat. Denn nichts ist schlimmer, als dass sich trotz Zugangskontrolle ein Wurm oder Virus ausbreiten kann.

Daher ist es sinnvoll, neben dem Benutzer auch das Endgerät zu überprüfen, um entsprechende Zugriffs- oder Quarantäne-Eigenschaften daraus abzuleiten. Dabei sind folgende typische Sicherheitslücken heute oft zu finden:

• Das korrekte Service-Pack oder die aktuellen Patches sind nicht installiert.

• Der Virenscanner ist nicht aktiv oder die aktuellen Signaturdateien sind veraltet oder nicht installiert.

• Routing ist nicht deaktiviert. Ein VPN- oder RAS-Client mit aktiviertem Routing kann ein Sicherheitsrisiko darstellen.

• Für die Internet- und/oder Wireless-Schnittstelle ist keine Firewall installiert oder diese ist nicht aktiv.

• Es ist kein Bildschirmschoner mit Passwortschutz und einer entsprechenden Aktivierungszeit vorhanden.

Mit einer entsprechenden Netzwerk-Quarantäne-Technologie können unter anderem diese Lücken geprüft und ein Zugriff auf das Unternehmensnetz unterbunden beziehungsweise eingeschränkt werden. Dabei ist es wichtig, wiederum den Enforcement-Point an den Zugangspunkt zur Infrastruktur auszurichten. Maßnahmen, die bereits heute an Serversystemen, VPN-Gateways oder Firewalls implementiert sind, reichen hier nur bedingt und können das Ausbreiten der Viren und Würmer nur teilweise verhindern. Besteht jedoch die Möglichkeit, den nicht den Regeln entsprechenden Client so lange den Netzwerkzugang zu verwehren, bis er entsprechend überprüft und auf den neuesten Stand gebracht wird, kann das Netzwerk im Vorfeld sicherer gemacht werden. Der Betrieb läuft ohne Probleme weiter und der Administrator bekommt wichtige Zeit, den Rechner zu überprüfen und zu warten. Eine Alternative zu dieser agentenbasierten Lösung »Trusted End System (TES)« stellt die netzwerkbasierte Überprüfung dar. Diese Lösung geht davon aus, dass kein Agent auf dem Endsystem installiert ist. Dies kann der Fall sein, wenn entweder aus administrativen Gründen keiner installiert werden kann oder schlicht und ergreifend noch kein Agent verfügbar ist.

Die Tiefe der Kontrollmöglichkeiten hängt dann von der Kombination der Assessment-Tools ab. Die Sicherheitsüberprüfungen werden mit den gängigen Tools wie Nessus, NMAP oder Bindview unterzogen und können zudem auch mit der Abfrage eines Desktop/Patch-Management-Systems gekoppelt werden. Danach wird je nach Sicherheitsniveau ein Zugriff – auch beschränkt – mit Hilfe der oben beschriebenen Regelvergabe ermöglicht oder komplett verboten. Da diese Lösung ohne Agent auf dem Endsystem arbeitet, besitzt sie Vorteile in Bezug auf Betriebskosten und Investitionskosten.

Dynamische Reaktion

Der vierte elementare Bestandteil einer sicheren, intelligenten Netzwerk-Infrastruktur ist die dynamische Reaktion auf Attacken und Anomalien innerhalb des Netzwerkes. Sollte es zu auffälligen Attacken in der Infrastruktur kommen, kann über ein Intrusion-Defense-System wie dem Enterasys-Dragon diese erkannt werden. Informationen über Sender-IP und Art der Attacke werden sofort vom IDS bereitgestellt. Um zeitnah auf diese Attacke zu reagieren, werden die relevanten Informationen über SNMPv3 an das entsprechende Management-Tool weitergeleitet. Dieser kann unmittelbar die Lokation der auffälligen IP-Adresse erkennen und lokalisieren. Damit kann sofort die Regel auf dem entsprechenden Switch-Port geändert werden. Es können entweder nur noch bestimmte Dienste frei geschaltet werden oder der Port wird komplett gesperrt. Zudem kann das System auch mit einer zeitlichen Komponente verbunden werden. Je nach Art des Angriffes kann individuell die Regel geändert werden. Damit kann überprüft werden, ob beispielsweise nach zwei Minuten die Auffälligkeit wieder auftritt und danach erst der Port gesperrt werden.

Als Resultat wird die IP-Adresse und der damit verbundene Rechner vom Netz genommen. Die anderen Systeme können ohne Behinderung weiter arbeiten. Es kommt nicht zu einer Unterbrechung der Geschäftsabläufe. Zudem wird wiederum Zeit gewonnen, um den befallenen Rechner zu überprüfen und gegebenenfalls zu warten. Die entsprechende Aktion kann jederzeit über eine entsprechende »Undo Action« manuell wieder zurückgenommen werden. Durch einen Security-Manager können erstmals in der Industrie dynamische Reaktionen auf kritische Events erfolgen. Es ist nicht mehr notwendig, einen Mitarbeiter abzustellen, der ständig vor einer IDS-Console sitzt, um im Angriffsfall zeitnah reagieren zu können. Das Secure-Network nimmt den IT-Verantwortlichen diese Aufgabe ab.

Fazit

Die Sicherung der Geschäftsabläufe, verbunden mit der Senkung der Betriebskosten mit Hilfe einer leistungsfähigen, hochverfügbaren und sicheren IT-Infrastruktur ist der Schlüssel zum Erfolg für heutige Unternehmen. Mit Lösungen wie den »Netsight Atlas«-Applikationen von Enterasys stellt die Industrie leistungsfähige Tools bereit, die in Kombination mit Switches und den entsprechenden Security-Funktionen eine erweiterte Kontrolle und eine erhöhte Verfügbarkeit des Netzwerks gewährleisten.

Andreas Seum, Director of Technology, Office of the CTO, Enterasys