Server-Sicherheit – in Zeiten weiterhin wachsender Bedrohungen gilt es, die Vertraulichkeit und Integrität von Daten zu verbessern und die Verlässlichkeit von Diensten und Anwendungen zu gewährleisten.

Zur Wahrung ihres guten Rufes und zur Sicherung ihrer Erträge müssen Unternehmen Sicherheitsüberlegungen bei allen Aspekten des Entwurfs, der Implementierung und der Verwendung von Netzwerken und Netzwerkressourcen mit einbeziehen. Die Server- Sicherheit ist also grundsätzlich immer Bestandteil einer Gesamtstrategie mit einer mehrstufigen Verteidigung. Aber auch durch die unterschiedlichen Arten von Servern in einem Unternehmensnetz entstehen mehrstufige Ansätze zur Server-Sicherheit.Neben File-Servern sind zusätzlich auch Mail-Server vor fremden Zugriffen jeder Art zu schützen.

Vor allem kleine und mittlere Unternehmen müssen sich beim Implementieren einer sicheren Serverumgebung neuen Herausforderungen stellen.Zu wenige Administratoren, fehlende Ausbildung oder Kenntnisse, alte Betriebssysteme und begrenzte IT-Budgets, all diese Punkte können zu einer unsicheren Serverumgebung beitragen.

Durch die Verwendung diverser Sicherheitsmechanismen können mehrere Sicherheitsebenen erreicht werden. Auch wenn ein einzelner Sicherheitsmechanismus versagt, ist dann die Gefahr, dass mehrere Sicherheitsmechanismen gleichzeitig ausfallen, sehr gering. Benutzerschulung ist eine wichtige Sicherheitsmaßnahme und darf nicht vergessen werden.

Vor allem die unterschiedlichen Schweregrade beziehungsweise Einstufungen von Bedrohungen und die dafür zu verwendenden Sicherheitspatches müssen verstanden werden.

Daten-Server mit IPS sichern

Neben den Desktop-Rechnern sind natürlich auch die Daten-Server eines Unternehmens gegen Zero-Day-Attacken und Angriffe zu schützen.Mittlerweile ist die nächste Generation von Intrusion-Prevention-Systemen (IPS) verfügbar und am Markt etabliert.Mit derartigen Lösungen werden Verhaltensregeln, Signaturen und eine Firewall kombiniert. Dadurch bietet IPS bei geschäftskritischen Servern und Anwendungen einen optimalen präventiven Schutz.

Die Vertraulichkeit von Daten und der Geschäftsbetrieb sind in der Regel mit diesen Produkten sichergestellt. Der größte Vorteil ergibt sich aus der wegfallenden Aktualisierung und dem daraus resultierenden Zeitvorsprung für Administratoren. Damit verringert sich die kritische Bedeutung der Patch-Anwendung: Unternehmen gewinnen Zeit, um Patches zu recherchieren, zu testen und einzusetzen.

Ein weiterer Vorteil ist die Risikominderung. Die drei komplementären Schutztechnologien »Verhaltensregeln«, »Angriffssignaturen« und »System-Firewall« erkennen nicht einfach Angriffe im Nachhinein, sondern wehren Bedrohungen präventiv ab, ehe sie geschäftskritische Rechner und Daten gefährden können. Auf diese Weise können die Gesamtkosten verringert werden. Die Minderung der Dringlichkeit von Patches und der für das Einrichten und Unterhalten des Schutzes erforderlichen Mittel senkt für Unternehmen Kosten.

Der Geschäftsbetrieb und die Vertraulichkeit von Daten werden ebenfalls sichergestellt.Vorkonfigurierte, anpassbare Richtlinien sorgen in jeder Umgebung für maximale Erkennungsgenauigkeit. Dadurch können Betriebe ihre kritischen Systeme und Daten schützen und gesetzliche Anforderungen erfüllen. Das Risk-Management erfährt damit bereits heute eine extrem prominente Bewertung auf der Unternehmensseite, beispielsweise stellt McAfee mit Foundstone-Enterprise eine Closed- Loop-Sicherheitslösung vor, die selbst umfassende Vulnerability-Szenarien in Netzwerken jeder Größe und Komplexität abwehrt.

Funktionsweise greift auf vielen Ebenen

In der Praxis funktionieren IPS-Lösungen auf mehreren Ebenen. Verhaltensregeln blockieren Zero-Day-Angriffe und erzwingen regelgerechtes Verhalten von Betriebssystem und Anwendungen. Signaturen wehren bekannte Angriffe ab und gewähren Administratoren vollen Einblick in die Bedrohungen, denen sie gegenüberstehen. Eine System-Firewall stellt die Einhaltung von Zugangsregeln zu Anwendungen und dem Rechner sicher.

Bei der Abwehr von Buffer-Overflow-Exploits verhindern Lösungen wie McAfee-Entercept die Ausführung von bösartigem Code als Folge von Buffer-Overflow-Angriffen – eine der häufigsten Methoden für den Angriff auf Server und Desktop-Rechner. Mit Application-Shielding und Enveloping wird die Gefährdung von Applikationen und ihren Daten verhindert und auch der Einsatz von Anwendungen für Angriffe auf andere Applikationen unterbunden – sogar durch Anwender mit Administrator-Rechten. Sogenannte Server-Agents enthalten besondere Abwehrmechanismen, die speziell für den Schutz von Webservern und Datenbankservern gegen Angriffe wie Directory-Traversal und SQL-Injection ausgelegt sind.

Skalierbarkeit ohne Grenzen

Um eine schnelle Einrichtung zu ermöglichen, werden moderne IPS-Lösungen mit einer Serie voll vorkonfigurierter Standardvorlagen geliefert. Dadurch bieten sich weitgehende Anpassungsmöglichkeiten. Die vorgegebenen Richtlinien können nach Bedarf geändert werden, so dass »False Positives« und das Risiko blockierter geschäftskritischer Prozesse praktisch ausgeschlossen sind. Auch die Anzahl der über den Server zu schützenden Desktops kennt fast keine Limitierung. Mit einem einzigen McAfee-Entercept-Management-Server lassen sich beispielsweise bis zu 10 000 Agents verteilen und verwalten. Und mit dem Epolicy-Orchestrator 3.6 ist die Verteilung und Verwaltung von bis zu 100 000 Agents möglich. Als Ergänzung zur vorhandenen Sicherheitsinfrastruktur sind diese Plattformen unbedenklich integrierbar. Moderne IPS-Lösungen vertragen sich mit vorhandenen Sicherheits-Tools und erfordern keine Änderungen bei Betriebssystemen, Anwendungen oder Daten.

Schutz der Mailserver

Mittlerweile ist Spam von der früheren Form der lästigen Werbung zu einem ernst zu nehmenden Sicherheitsrisiko geworden.Backdoor- Trojaner oder andere unsichtbare Gefahren werden über diesen Weg verbreitet.Mit aktuellen Anti-Spam-Lösungen wird ein weiterer Baustein zu einer Server-Sicherheits-Strategie bereitgestellt. Diese bieten einen guten Spam-Schutz bei verbesserter Performance für Mailserver mit Exchange und Lotus-Domino.

Im Gegensatz zu früheren Lösungen ist mittlerweile eine sehr geringe Rate von »False-Positives « zu verzeichnen. Netzwerke können auf diese Weise frei von Spam gehalten werden und es ist für eine höhere Produktivität der Anwender gesorgt. Derartige Mailserver-Lösungen setzen auch Richtlinien der Personalabteilung gegen anstößige Inhalte durch, halten Netzwerk- Bandbreite frei und reduzieren die aus Spam resultierenden Sicherheitsrisiken auf ein Minimum. Die Architektur einer modernen Anti-Spam-Lösung für Mailserver umfasst das ausgefeilte, regelbasierte Scannen und Bewerten sowie eine intelligente Spam-Erkennung auf sechs Stufen.

Personalisierte Regeln zur Spam-Erkennung steigern die Flexibilität.Administratoren können die Standardregeln leicht verändern, und Anwender können bestimmen, was sie erhalten wollen und was nicht, indem sie eigene schwarze und weiße Listen anlegen. Durch mehrere Quarantäne-Optionen geht nichts verloren und der Prüfaufwand hält sich in Grenzen. Erkannter Spam lässt sich anhand seines Punktwertes für den wahrscheinlichen Spam-Charakter individuell weiterleiten. Dadurch können Anwender niedrig bewertete Nachrichten überprüfen, wodurch die Zahl der »False-Positives« sinkt.

Mit Funktionen wie einer zentralen Verwaltung und Überwachung sowie einem detaillierten Reporting können diese Anti- Spam-Lösungen auch in bereits vorhandene Management-Konsolen integriert werden. Um gleichzeitig einen Virenschutz für den Mailserver aufzusetzen, ist lediglich eine Erweiterung durch Lösungen wie McAfee-Groupshield erforderlich. Das äußerst präzise regelbasierte Scannen einer Server-Anti-Spam-Lösung bewertet die EMails mit Hilfe einer Reihe von Tests. Diese Technologie fängt Spam-Mails mit einer sehr niedrigen Rate an »False-Positives« ab. Die Spam- Punktbewertung ist eine unverzichtbare Sicherung in der Erkennung durch den Spam- Filter. Sie kann rechtmäßige Nachrichten aus dem »Graubereich« herausdifferenzieren, die weniger komplexe Produkte als Spam abstempeln würden. Die Punktbewertung wendet Hunderte von Regeln auf jede E-Mail an. Die Regeln haben einen negativen oder positiven Punktewert. Negative Werte kennzeichnen rechtmäßige E-Mails, positive unerwünschte EMails oder Spam.

Mit einer so genannten Integritätsanalyse werden dann die Kopfdaten, das Layout und die Struktur jeder einzelnen E-Mail überprüft und nach typischen Spam-Mustern gesucht. Bei der heuristischen Erkennung liefert eine Serie interner Tests den Wahrscheinlichkeitswert dafür, ob es sich bei der vorliegenden Nachricht um eine Spam-Mail handelt. Dabei wird jeder einzelne Test separat bewertet, um die Zahl der »False-Positives« niedrig zu halten.Mit der zusätzlichen Filterung von Inhalten werden Schlüsselwörter und Wendungen gesucht, die auf eine Spam-Mail hinweisen könnten. Auf Server-Ebene werden regelmäßig die Standards festgelegt, nach denen Spam-Mails erkannt werden.Zur Verfügung stehen Einstellungen für schwarze und weiße Listen.Einzelne Mitarbeiter können eigene Eintragungen in diese Listen vornehmen und damit die Regeln für ihren Arbeitsplatz ergänzen. Mit der Technologie der »Bayesischen Filters« lassen sich E-Mail-Nachrichten auf »intelligente« Weise nach Kriterien einschätzen, die für oder gegen die Spam-Eigenschaft sprechen.

Für Exchange-Systeme gibt es eigens ein ausgefeiltes Content-Management. Zu den Funktionen des Spam-Filters für Exchange zählen gruppenspezifische Richtlinien mit Detail-Regelsätzen für Abteilungen, lexikalische Überprüfung von E-Mails und ihren Anhängen auf der Basis von Regeln zum Content-Management und inhaltliches Scannen von über 300 Typen von E-Mail-Anhängen einschließlich Adobe- Acrobat und Microsoft-Office. Darüber hinaus gibt es die Erkennung wahrer Anhang-Typen als Maßnahme gegen gängige Regelverstöße sowie einen automatischen Alarm bei sensiblen oder beleidigenden Informationen. Ebenfalls angeboten wird die Möglichkeit zum Ersatz jeder E-Mail oder jedes angehängten Dokuments, in denen Wörter oder Wendungen vorkommen, die in inhaltlichen Regeln spezifiziert sind. Abschließend greift noch eine Funktion, die verhindert, dass sensitive Unternehmensdaten die Organisation verlassen.

Variable Spam-Verteilung erleichtert Administration

Erkannter Spam lässt sich abhängig von seinem Punktewert selektiv weiterleiten. So könnte eine E-Mail mit einem Punktwert unter 5 den Weg zum Postfach des Anwenders nehmen, mit 5 bis 14 bewertete Nachrichten könnten in den Abfall-Ordner des Anwenders gelangen und EMail mit Werten von 15 und darüber im Abfallordner des Systems landen.Dadurch sinkt die Anzahl der False-Positives, da Anwender niedrig bewertete Nachrichten aus der »Grauzone« persönlich überprüfen können. Zentrale Verwaltung und detailliertes Reporting runden den effizienten Einsatz einer Anti-Spam-Lösung für Server in Verbindung mit einem Management- System ab.

Fazit

Die Server eines Unternehmens halten sämtliche geschäftskritische Daten vor. Sowohl in Datenbanken und File-Strukturen als auch in dem Mailboxen der Mailserver.Durch einen gezielten Schutz dieser Systeme von einem zum anderen Ende mittels unterschiedlicher Lösungen wie Intrusion- Prevention und Anti-Spam wird die Gefahr auf unerwünschten Zugriff oder Manipulation von Daten vor allem durch externe Stellen deutlich reduziert.Natürlich gibt es darüber hinaus auch weitere Möglichkeiten zur Sicherung von Servern gegen internen Missbrauch.Hier ist der Administrator vor allem bei der Konfiguration des Betriebssystems gefordert.

Toralv Dirro,
Security Lead SE bei McAfee