Strategische Endpunkt-Sicherheit – Umfangreiche Signaturenbibliotheken gewährleisten alleine keine Netzwerksicherheit. Es kommt auch auf die richtige Organisation des Abwehrverhaltens an.

Zwei Faktoren sind entscheidend für die Durchsetzung der Richtlinienkompetenz bis an den Netzrand: Eine angemessene Priorisierung, die bestimmt, dass als erstes die Gefahren abgewehrt werden, die die größte Bedrohung für den Geschäftsbetrieb darstellen. Und eine Koordination und Verwaltung der Sicherheitsrichtlinien. Letzteres wird durch die heterogeneren Strukturen am Netzrand immer aufwändiger. Die Verwaltung der eigenen Abwehr wird zu einer strategischen Aufgabe.

Zerklüfteter Netzwerkrand

Die zunehmende Zusammenarbeit von Unternehmen sowie Partnern und die Interaktion mit Kunden über Internet-Provider bindet unterschiedliche Netzzugänge an das Unternehmensnetz. Gleichzeitig werden Mitarbeiter eines Unternehmens mobiler. An ihrem Arbeitsplatz schließen sie eine größere Vielfalt von Peripherie-Geräten an. So gibt es nun eine Fülle von Systemen – vom PC über Notebook, Handy und USB-Stick bis hin zu iPod und Digitalkamera – mit Zugriff auf zentrale Fileserver, die gleichzeitig Träger von Malware sein können.

Wenn Angestellte Firmennotebooks für private Zwecke nutzen oder private Gadgets anschließen, lässt sich schnell und unbeabsichtigt die Netzwerksicherheit aushebeln. Eine Studie von McAfee von 2005 belegt Verhaltensweisen, die das Thema Endpunktsicherheit immer wichtiger machen. Demnach nutzt fast ein Viertel der Befragten Firmen-Notebooks zu Hause für den Zugang ins Internet. Einer von fünf Beschäftigten überlässt der Familie oder Freunden die Nutzung des Firmen-Notebooks oder -PCs zum Internet-Surfen. Und mehr als die Hälfte schließen ihre eigenen Peripherie-Geräte an den Firmen-PC an.

Daher müssen Administratoren einen möglichst freien Zugang auf das Firmennetz mit einem geringen Risiko für Daten und Geschäftsprozesse vereinbaren. Der einzige gangbare Weg dafür ist eine zentrale, automatisierte und steuerbare Durchsetzung von Sicherheitsrichtlinien für die verschiedenen Endpunkte.

Eine solche Lösung verhindert die Anbindung von Geräten, die nicht die Kriterien der Security-Policy erfüllen oder stellt die jeweiligen Endpunkte so lange unter Quarantäne, bis Abhilfe geschaffen ist. Dabei setzt sie zusammen mit den Schutz-Appliances, IDS- und IPS-Systemen oder auch unterschiedlichen Desktop-Softwarelösungen die Richtlinien durch. Dies gilt auch für die Geräte, die nicht zum Unternehmen gehören und daher eigentlich nicht vom IT-Administrator verwaltet werden. Wirksame Policy-Enforcement-Systeme sind plattformunabhängig und mit den verschiedensten Betriebssystemen kompatibel. Auch die Remote-Anbindungen wie VPN- oder SSL-Verbindungen und Verschlüsselungsmodi werden unterstützt. Grundsätzlich gibt es vier verschiedene Konstellationen zum Schutz der Endpunkte. Entscheidend ist für die Vorgehensweise, ob vor Ort oder remote auf das Netz zugegriffen wird und ob die Geräte vom fraglichen Netzwerk verwaltet werden oder ob es fremde Systeme sind.

Verwaltete Vor-Ort-Systeme

Ein verwaltetes Vor-Ort-System ist zum Beispiel das firmeneigene Laptop, welches jeden Morgen neu an das lokale Netz angeschlossen wird. Wenn der Angestellte am Vortag ungeschützt im Internet navigierte, kann er sein Laptop mit einem Wurm infiziert haben und bringt diesen – als eigentlich vertrauenswürdiger und mit Virenschutz versehener Rechner – sofort in das Unternehmensnetz.

In diesem Fall kann sich das System entweder selbst durch den Scanner richtlinienkonform machen oder dies geschieht Host-basiert vom zentralen Server aus. In letzterem Fall berücksichtigt die Konsole den Ort und die Verbindungsart des Systems, da je nach Art der Anbindung unterschiedliche Maßnahmen zu treffen sind. Ein solcher Sicherheitscheck sucht generell nach aktuellen Bedrohungen. Zudem überprüft er die Integration in Host-basierte Antivirus-, Firewall-, Antispyware- und Intrusion-Prevention-Lösungen verschiedener Hersteller, den Update-Status des Betriebssystems oder der jeweiligen Browser.

Er erfragt auch den Status der verschiedenen Patch-Management-Agenten und überwacht die Durchführung der Patches. Zudem kann auch das Zusammenspiel mit anderen System- und Policy-Management-Agenten abgefragt werden. Die Tests können auch automatisiert in bestimmten Intervallen durchgeführt werden. Je nach Ergebnis der Untersuchung stehen verschiedene Optionen zur Wahl: Freigabe, Freigabe mit Benachrichtigung des Administrators, Quarantäne oder Abblocken. In bestimmten Fällen wie besonderen Notsituationen oder übergangsmäßig während der Festsetzung neuer Regeln kann der Administrator die Verbindung auch dann freigeben, wenn Sicherheitsrichtlinien noch nicht eingehalten werden.

Nicht verwaltete Vor-Ort-Systeme

Bei nicht verwalteten Vor-Ort-Systemen handelt es sich beispielsweise um das Laptop eines externen Beraters, welches an das Netzwerk angeschlossen wird und unter Umständen Zugriff auf wichtige Daten hat. Dieses Laptop verfügt aber nicht über die laut Policy vorgeschriebenen Anwendungen und Patches für einen vollen Netzwerkzugriff und bewegt sich häufig in einem eingeschränkten virtuellen LAN.

Dazu gehören auch an lokale Systeme angeschlossene Peripheriegeräte von Mitarbeitern, wie USB-Sticks, Handys, Digitalkameras, die in der Regel kaum über Sicherheitsmechanismen verfügen. Diese Systeme würden eventuell präventiv geblockt werden – außer, es handelte sich zum Beispiel um die Gutachterbilder eines Sachverständigen in Autoversicherungen. Hier empfiehlt sich dann ein beschränktes Bildabspeicherungsrecht für das System des Mitarbeiters.

Der Sensor entdeckt die sich anmeldenden Gastsysteme, sobald sie Verbindung mit dem Netz aufnehmen. Für die Überwachung nutzt der Server den Scanner, der in der Netztopographie am nächsten ist. Beim Scan wird auch geprüft, ob für das Gastsystem eine Autorisierung zum Beispiel in Form eines Domain-Accounts oder anderer »Credentials« vorliegt, mit dem festgelegte Richtlinien einhergehen.

Bei nicht konformen und nicht autorisierten Systemen stehen als Option »Freigabe«, »Freigabe der Benachrichtigung«, »Quarantäne« oder »Blocken der Verbindung« zur Wahl. Bei der Quarantäne wird physikalisch über SNMP das virtuelle LAN für die Gastsysteme umgeleitet. Am zugehörigen Switch wird das System an einen Quarantäne-Port weitergeleitet. Über diesen Port bestehen nur eingeschränkte Zugriffsmöglichkeiten auf das Netz, insbesondere aber Verbindungen zum Policy-Enforcement-Server, um das Problem zu lösen.

Die Kommunikation zwischen Sensor und Server läuft nur über den Quarantäne-Port. Dies stellt sicher, dass keine Policy-Maßnahmen ins Leere gelenkt werden und verhindert, dass irrtümlich mehrere Ports als Zugang für ein Gastsystem eingerichtet werden. Sobald die Gastsysteme regelgerecht konfiguriert sind, werden sie an den Port ihres ursprünglichen VLANs wieder angebunden. Wenn eine Regelkonformität nicht mehr hergestellt werden kann, verbleibt das System am Quarantäne-Port. Bei einer endgültigen Zugriffverweigerung wird der Switch-Port des Systems durch den Netzswitch physikalisch abgeschaltet.

Verwaltete Remote-Systeme

Ein verwaltetes Remote-System ist zum Beispiel die VPN-Verbindung des firmeneigenen Notebooks vom Hotelzimmer oder über Hotspot. Ein solches eigentlich konformes Notebook hat vielleicht während der Abwesenheit des Mitarbeiters ein Update verpasst und ist so nicht mehr vollständig geschützt.

Hier läuft der Datenverkehr meistens über IPsec-VPN-Verbindungen. Im Moment der Einwahl auf den VPN-Server werden die Systeme entdeckt. Der VPN-Client verlangt einen System-Scan und der VPN-Konzentrator gewährt oder verweigert den Zugang je nach Ergebnis des Scans. Hier kommt es auf die Unterstützung zahlreicher Lösungen an.

Nicht verwaltete Remote-Systeme

Ein Beispiel für nicht verwaltete Remote-Systeme ist ein System eines Outsourcing-Partners, der über seine Site und durch eine SSL-VPN-Verbindung zugreift. Das Policy-Enforcement überprüft hier bei jeder Einwahl die Konformität des Partnersystems mit dem Netz, bevor der Internet-gestützte Zugriff erlaubt wird.

Bei einer solchen typischerweise SSL-gestützten VPN-Verbindung werden in einem Policy-Enforcement-System der VPN-Client und gleichzeitig die nötigen Komponenten des Scanners heruntergeladen. Dann erfolgt je nach Ergebnis des Scans der Verbindungsaufbau, der Block oder die Umleitung, um dann eine Konformität des Systems herzustellen.

Eine softwarebasierte Lösung für das Policy-Enforcement erleichtert in den beschriebenen Fällen die Integration in das Netz, spart Kosten und ist zugleich flexibel skalierbar. Sie verwaltet und überwacht zentral die Sicherheitspolicies im Unternehmen. Dazu gehört die Definition der Richtlinien, die Inventur, Überprüfung sowie ständige Überwachung aller vorhandenen Systeme sowie am jeweiligen Endpunkt die Durchsetzung der Richtlinien. Eine softwarebasierte Lösung wie der McAfee-Policy-Enforcer besteht aus einem zentralen Server, den Sensoren und den Scannern. Der Server verwaltet zentral die Enforcement-Infrastruktur. Sensoren werden an den zentralen Orten des Unternehmensnetzes verteilt und überwachen die Einwahl oder Anbindung neuer Systeme an das Netz. Die einzelnen Sensoren sind verteilt bis auf die Desktops, Laptops und andere Systeme.

Der Server definiert als Schnittstelle für die Administratoren die einzelnen Policies. Hier werden die Überprüfungs-Scans terminiert und dokumentiert. Die Richtlinien können verschiedenster Art sein: zum Beispiel Festlegung der Patches und der mindestens vorhandenen Signaturenupdates auf den lokalen Systemen, generelle Blockade von Systemen bei Anschluss eines USB-Sticks oder Gadgets beziehungsweise nur Zugriff auf lokale Festplatten oder Block des Internet-Verkehrs mit Tauschbörse.

Der Sensor entdeckt automatisch alle an das LAN angebundenen oder eine Verbindung anfragenden Endpunkte, gleich, ob per Kabel oder kabellos. Er zeichnet in Echtzeit die Topologie des jeweiligen Netzwerks auf. Die Sensoren sind an strategischen Orten im Netz angebracht, häufig in der Nähe eines DHCP-Servers oder Routers. Sie überwachen mit wenig Aufwand den Datenverkehr der Switches oder DHCP-Anfragen einkommender Knoten sowie Router und Switches. So wird auch die mögliche Weiterleitung des Traffics in das Netzwerkinnere sichtbar. Dazu werten die Sensoren auch Informationen wie MAC-Adressen sowie die Zugehörigkeit von Systemen zu Subnetzen und virtuellen LANs aus. Eine redundante Bestückung mit Sensoren erhöht die Ausfallsicherheit. Die Kommunikation mit dem Server erfolgt über SSL. Die Daten auf dem Policy-Enforcer-Server werden im XML-Format gespeichert und können so von verschiedenen Lösungen ausgewertet werden.

Der Scanner übernimmt vor Ort die Überprüfung der Einhaltung der Sicherheitsrichtlinien und unterbricht den Verbindungsaufbau, blockt ihn von vornherein ab oder stellt die Systeme unter Quarantäne. Diese Funktionen nimmt er selbsttätig vor. Lediglich ein Remote-Scan eines Systems wird zentral angeordnet.

Will ein Unternehmen mit 500 Nodes – also einzelnen Systemen – sein Netzwerk beispielsweise über McAfee-Policy-Enforcer kontrollieren, so wird in der Regel ein Sensor auf den Server aufgesetzt. Als Server für Policy-Enforcer empfiehlt sich der DHCP-Server, so dass Server und Sensor sich am selben Ort im Netz befinden. Von dort findet der Enforcer im Netz hängende Nodes und stellt fest, welche Maschinen IP-Adressen anfragen. Zusätzlich werden auf dem DHCP-Server und allen im Netz verfügbaren PCs sogenannte Scanner installiert, die abklären, ob die Systeme regelkonform sind. Im obigen Fall handelt es sich demnach um 500 Scanner.

Mehr als nur Hausaufgaben

Sicherheitsstrategie ist nicht mehr nur eine Sache der Virenjäger. Hier kann sich ein Administrator auf externes Know-how verlassen. Administratoren müssen ihre Sicherheitslösungen effizient verwalten und brauchen dafür immer mehr automatisierte Lösungen, die auch den Netzwerkrand berücksichtigen. Denn gerade die Peripherie wird immer undurchsichtiger und die Verwaltung immer komplexer. Nur wer seinen Sicherheitsrichtlinien auch am Endpunkt eine Wirkung verschafft, setzt die Möglichkeiten der Sicherheitslösungen effektiv und optimal um.

Isabell Unseld
PR Manager McAfee