Search Icon
ConnectProfessional Logo
Search Icon
Startseite > Security > Verteilte Sicherheit

Verteilte Sicherheit

25. September 2007, 12:33 Uhr |

IPS-Sicherheitsappliances – Im Unternehmensnetz verteilte Intrusion-Prevention-Systeme sollen für die notwendige Sicherheit sorgen ohne die Anwendungen im Unternehmen zu beeinträchtigen.

Netzwerksicherheit ist ein weites Feld. Konzepte gibt es zur Genüge, Bedrohungen sind zahlreich und werden bunt illustriert: Eine Sammlung von Signaturen als Gegenmittel ist aber nur eine Methode, die dem Unternehmen beim Schutz seiner Infrastruktur sicher zum Teil hilft. Hier geht es auch und vor allem um ein konkretes Strickmuster zum Schutz von Daten, Ressourcen und Geschäftsprozessen durch Hochleistungsappliances. Die Security-Hardware muss dabei zahlreiche auch unbekannte Bedrohungen erkennen und abwehren können und entsprechend geschickt in das Unternehmennetz integriert sein. Die Sicherheit darf dabei die Verfügbarkeit des Netzes nicht beeinträchtigen. Anhand eines virtuellen Szenarios für ein größeres Unternehmen soll hier skizziert werden, wie Daten verschiedener Unternehmensbereiche optimal geschützt werden und wie durch das Zusammenspiel der Komponenten eine Lösung dabei je nach Datenaufkommen skaliert werden kann.

Der Blick nach außen
Um Schutz optimal aufzubauen, muss man zuerst wissen, von wo der Datenverkehr und damit eventuell Bedrohungen in das Unternehmensnetz gelangen. Die Antwort ist einfach: von überall her.

Jedes Unternehmen oder jede Behörde ist alleine schon durch E-Commerce oder E-Government im Strudel der Internet-Sicherheit. Applikations- und Web-Dienste, die Geschäftsprozesse optimieren sollen, bieten ein potenzielles Eingangstor für Malware. Zumal wenn sie in der heutigen Echtzeit-Ära automatisch digitale Geschäftsprozesse auslösen und damit direkt auf Kernbestände eines Unternehmens zurückgreifen. Daneben besteht noch die Gefahr der »Untertunnelung« von Sicherheitsstrukturen über VPN-Verbindungen interner Mitarbeiter im Home-Office oder im Außendienst sowie weiterer Partner und externer Mitarbeiter. Bei Letzteren müssen sichere Zugänge auf Einzelsysteme wie Notebooks gelegt werden, die unternehmensfremd sind und auf die das Unternehmen keinen direkten Zugriff hat. Und zuletzt kann es auch noch zur Unterminierung der Sicherheitsstruktur durch die eigenen Mitarbeiter kommen – gleich ob absichtlich oder nicht. Das Unternehmensnetz ist also gegen den Datenverkehr aus den verschiedensten Richtungen abzusichern.

Strickmuster für ein Security-Netz
Eine intelligente Staffelung von Appliances sorgt für zusätzliche Sicherheit. Jedes Unternehmensnetz hat einen Kern- und einen Randbereich. Die abgebildeten Skizzen zeigen einen möglichen Aufbau von Sicherheitslösungen. Kleine und mittelständische Unternehmen können sich aber durchaus auch hier wiederfinden und sich in die Konfiguration eines Branch-Offices hineinversetzen. Die Skizze rechts oben zeigt die Standorte der Sensoren, die vor Ort den Netzwerkverkehr abgreifen. In der Zentrale verwaltet eine Management-Appliance die verteilten Sensoren. Alle Appliances sind Intrusion-Prevention-Systeme, da nur sie auch gegen noch unbekannte Bedrohungen schützen.

Je nach IT-Affinität des Unternehmens können die Darstellungen ein mittelständisches Unternehmen von 500 Mitarbeitern oder durchaus auch große Unternehmen aus dem Banken- und Versicherungsbereich mit weltweiten Niederlassungen abbilden. Die Schemata zeigen, wie gestaffelt durch die verschiedenen Appliances Zentralen und Niederlassungen und die verschiedensten Geschäftsprozesse von der Verwaltung bis zur Kundendatenbank geschützt werden und dennoch dabei miteinander kommunizieren können.

Der Schutz der Kerndaten eines Unternehmens erfolgt in zwei Richtungen: nach innen und nach außen. Das Datenzentrum mit allen Informationen eines Unternehmens – Dokumente, Kundendatenbanken, Buchhaltung, Produktion – befinden sich gut geschützt und gleichzeitig doch mit einer großen Verbindungskapazität in der Mitte. Im Beispiel stünden insgesamt 24 Gigabit-Ethernet-Ports mit 2 x 2 GBit/s Kapazität zur Verfügung. Das Muster der Redundanzen und Querverbindungen gewährleistet, dass Sicherheit nicht zu geringer Verfügbarkeit führt. Denn der Kernbereich muss sowohl die Anfragen von innen wie von außen und auch die Kommunikation zwischen beiden Bereichen übernehmen.

Anders sieht die Situation im Perimeter-Bereich aus. Hier gehen die Verbindungen nach außen. Eine IPS-Appliance unterstützt die Firewall und überwacht den Verkehr der Internet-relevanten Server wie den Web-, FTP- oder SMTP-Servern und dem Domain-Name-System. Da hier der interne Verkehr zwischen den einzelnen zentralen Servern und Einzelsystemen entfällt, kann der Datendurchsatz niedriger angesetzt werden. Die Niederlassung mit ihren wenigen Mitarbeitern und einer überschaubaren Infrastruktur lässt sich noch einfacher anbinden.

Verschiedene Geschäftsbereiche können nicht nur nach außen, sondern auch zusätzlich voneinander getrennt werden. Die Anordnung der Appliances kann dabei individuell erfolgen. So wird der Verkehr nicht nur beim Eintritt in das Unternehmensnetz, sondern auch zwischen den Abteilungen kontrolliert. Ist einmal die Appliance-Mauer in einer Abteilung eingerissen, muss das Schadprogramm daher noch einmal eine Schleuse passieren, um andere Abteilungen zu infizieren. Dabei ist es sinnvoll, eigentlich nahe liegende Geschäftsbereiche wie Sales, Finanzen oder Administration zu trennen.

»Verstecken« die sich nämlich hinter einem Schutzschild, können Schädlinge einmal eingedrungen ungestraft von einer Abteilung zur anderen springen, ohne dass der IPS-Sensor das bemerkt. Denn die Daten werden nun zwischen den Abteilungen nur durch den Switch übertragen, ohne dass sie noch einmal den Sensor passieren müssen. Dieser sieht den Verkehr in seinem toten Winkel nicht mehr. Wenn Administration und Finanzen noch zusätzlich durch einen Sensor getrennt sind, werden die einzelnen Datenpakete erneut von ihm überprüft.

Der Netzverkehr eines einfachen Geschäftsvorgangs mag diesen Schutzmechanismus weiter illustrieren. Über eine Online-SCM-Plattform sind alle Zulieferer des Autoherstellers XY global und in Echtzeit an die Zentrale gebunden. Die Anbindung erfolgt hier dann vielleicht nicht über das Internet, sondern über ein Extranet mit sehr heterogenen Teilnehmernetzen. Einzelteilhersteller B kann nun Kugellager billiger und schneller produzieren. Dies findet Eingang in die Datenbanken und ist für das Manufacturing wichtig. Da Entwicklungs- und Produktionskosten gesenkt werden können, betrifft dies natürlich auch den gesamten Verwaltungs-, Finanz- und vielleicht auch mittelbar den Sales-Bereich. Auch das Engineering der Serienproduktion braucht zeitnah Informationen über die verfügbaren Einzelteile. Startet der Zulieferer seinen Datenverkehr, betrifft das die Datenzentren aller Abteilungen. Kommt dann mit den Daten zum neuen Kugellager aber ein Trojaner daher, ist der auch schnell überall verbreitet. Je mehr Schleusen er aber umso häufiger passieren muss, um so sicherer wird er entdeckt.

Architekturdetails
Auch der Blick auf die Details der Schleusenregelung lohnt sich. Es gibt verschiedene Möglichkeiten, einen Sensor in den Datenverkehr einzubinden. Beim Switched-Port-Analyser- (SPAN) oder Hub-Monitoring werden Switches über einen Hub oder SPAN-Ports an eine IPS-Appliance angebunden. So können Maßnahmen wie ein Reset der TCP-Verbindung bei zwei Switches gleichzeitig von einem Sensor ausgehend über einen Port laufen. Ein direktes Bild bietet der Inline-Modus. Hier sitzt der Sensor inline im Datenverkehr und die Daten können nur über den Sensor zum Switch gelangen. Potentiell bösartiger Verkehr kann so in Echtzeit überprüft und sofort abgeblockt werden. Das empfiehlt sich besonders für geschäftskritische digitale Prozesse, wo Verbindungen im Ernstfall sofort kategorisch durchtrennt werden müssen. Das Port-Clustering erlaubt dagegen die Überwachung des Traffics verschiedener Ports von Netzelementen über einen Sensor. Die Ergebnisse werden zu einem Datenverkehr aggregiert. Das wird dann wichtig, wenn zum Beispiel Anfrage- und Antwort-Pakete über verschiedene Verbindungen laufen, aber dennoch im Zusammenhang analysiert werden müssen.

Virtuelle Sensoren
Wenn eine Appliance für zwei verschiedene Abteilungen zuständig ist, sieht das in der Vogelperspektive klar aus, kann aber unter dem Mikroskop durchaus unübersichtlich werden. Im skizzierten Beispiel finden sich die unterschiedlich sensiblen Bereiche Finanzwesen und Engineering in einem Sektor des Netzwerks. Datenverluste durch Viren oder Würmer mögen vielleicht in beiden Fällen gleich schädlich sein. Auf Finanzdaten darf aber nicht das gesamte Unternehmen Zugriff haben. Will man dieses Problem lösen, müssten daher viele verschiedene IPS-Sensoren die unterschiedlichen Zugriffsrichtlinien durchsetzen. Will man andererseits nun am Einsatz von Sensoren sparen und schaltet verschiedene Bereiche hinter eine sehr rigide Appliance, kommt es zu häufigen falschen Alarmen, die die Leistung beeinträchtigen. Ein Sensor mit Virtual-IPS ermöglicht jetzt aber Multiple-Security-Policies pro Sensor.

Die Policies können auf drei verschiedene Arten angelegt werden. Zum einem können einzelne Netzelemente mit VLAN-Tags markiert und damit auch abgeriegelt werden. Zweitens können IP-Adressen durch Classless-Inter-Domain-Routing-Tags (CIDR-Tags) blockiert werden. Oder es können drittens verschiedene Schnittstellen des Sensors zum Schutz bestimmter Geschäftsbereiche oder Niederlassungen eingeteilt werden. Mit nur wenigen Regelsätzen lassen sich damit die verschiedensten Maßnahmen definieren. Kriterien für festgelegte Aktionen sind die IP-Quelladresse, eine IP-Zieladresse, ein Zielport oder auch eine Protokollart. So können für einen Schutz der E-Commerce-Server eines Unternehmens Zugriffe von außen auf den Port 80 oder mit dem SMTP-Protokoll zugelassen werden. Bezüglich der Server mit Finanzdaten oder technischen Daten werden dagegen keine SMTP-Sendeaktivitäten nach außen erlaubt. Moderne Lösungen wie die Intrushield-Familie von McAfee können so bis zu 1000 Virtual-IPS-Sensoren (VIPS) pro Appliance verwalten.

Mit nur wenigen Bausteinen lässt sich so je nach Unternehmen eine effiziente, intelligente und sichere Staffelung der Sicherheitsmaßnahmen im Unternehmensnetz verwirklichen. Es kommt also nicht nur auf Appliances, Signaturen und Heuristik an, sondern auch auf die Allokation von IPS-Produkten.

Isabell Unseld,
PR Manager CEWE McAfee

Jetzt kostenfreie Newsletter bestellen!

Matchmaker+
Redgate Software

Redgate Software
Dahua Technology GmbH

Dahua Technology GmbH
elektrofachkraft.de

elektrofachkraft.de
AvePoint Deutschland GmbH

AvePoint Deutschland GmbH
kiwiko eG - IT-Expertennetzwerk

kiwiko eG - IT-Expertennetzwerk
Rittal GmbH & Co. KG

Rittal GmbH & Co. KG