Sicherheitsmanagement
Wie Log-Management IT-Sicherheit verbessert
Fortsetzung des Artikels von Teil 1
Firewalls und VPN zwischen Wunsch und Wirklichkeit
Eine typische Szene in einem Unternehmen: Neue Applikationen erfordern eine Regeländerung in der Firewall. Für Tests werden zusätzliche Ports freigeschaltet, und das Feintuning erfordert mehr Zeit als erwartet. Das IT-Team ist überlastet und die Ports bleiben daher offen, tief verborgen unter den zumeist Hunderten von Einzelrichtlinien einer Firewall. Zufällig ist in einer der Richtlinien ein Tippfehler in der Port-Nummer – und schon fließt der Datenverkehr ungehemmt ins Unternehmen.
Die Kontrolle, ob die Firewall die Richtlinien korrekt umsetzt, gelingt mit regelmäßigen Log-Reports des gesamten Datenverkehrs, der die Firewall passiert. Daraus ergibt sich ein Bild der Security-Richtlinien, die tatsächlich greifen. Wer diesen Report mit den eigentlich gewünschten Sicherheitsrichtlinien vergleicht, hat ein wirkungsvolles Mittel, um illegalen Traffic und falsch konfigurierte Firewalls zu identifizieren.
Logs erweitern zudem das Verständnis der vorhandenen Policies, einschließlich aller Änderungen, die vorgenommen wurden. Während ein Audit der Firewall-Regeln lediglich einen Blick auf die momentane Situation bietet, verschafft ein solides Log-Management einen Überblick über alle Vorgänge, die sich in der Zwischenzeit abgespielt haben: Es dokumentiert alle Konfigurationsänderungen, erlaubte und verbotene Applikationen sowie sämtliche Protokolle, die Ports nutzen, und macht sie in Echtzeit sichtbar.
Intrusion Detection- und Intrusion Protection Systeme sind wirkungsvolle defensive Sicherheitslösungen, sofern sie richtig konfiguriert und zuverlässig mit regelmäßigen Updates versorgt werden.
Die Aufgabe eines IDS ist es, bestimmte Ereignisse anzuzeigen. Dies führt teilweise zu vielen »False-positive«-Alarmen, was aber durchaus kein Fehler der IDS ist. So können defekte, aber harmlose Pakete aufgrund von Systemfehlern oder einer schlecht programmierten Anwendung wiederholt zu solchen Fehlalarmen führen.
Gibt es allerdings zu viele davon innerhalb einer bestimmten Zeit, deutet das auf eine Denial-of-Service-Attacke hin. Es gilt daher die Grenze zu finden, deren Überschreiten ein Indiz für einen Hacker-Angriff ist. Dies mit einem Alarm zu verbinden, ohne das IDS mit entsprechenden Analysen zu belasten, ist über Log-Management möglich: Es sammelt und analysiert IDS-Logs in Echtzeit und setzt Alarme nach individuellen Vorgaben.
Anhand von Logs kann zudem sichergestellt werden, dass die IDS und IPS auf dem aktuellen Stand und funktionsfähig sind. Dies gelingt durch den Vergleich der IPS-Logs und der Log-Dateien der nachgeschalteten Netzwerkkomponenten anhand der Frage, ob das IPS eventuell unerwünschten Traffic erlaubt hat oder Netzwerk-Switches Pakete erhalten und verarbeiten, die blockiert werden sollten.
- Wie Log-Management IT-Sicherheit verbessert
- Firewalls und VPN zwischen Wunsch und Wirklichkeit
- Schutz vor Zero-Day-Attacken
Lesen Sie mehr zum Thema
