Grundlagen der Netzwerksicherheit

Zum Absichern von Unternehmensnetzen müssen Administratoren viele Entscheidungen treffen, Maßnahmen planen und noch mehr Konfigurationsschritte durchführen. Dazu gehören die Konfiguration der Firewall, die Absicherung des Mail- und Web-Verkehrs sowie die Auswahl der richtigen Antivirus-Lösung. Dieser Beitrag zeigt, welche Faktoren dabei zu beachten sind und welche Vorgehensweisen Sinn ergeben.

In den nächsten Monaten werden wir an dieser Stelle im Rahmen einer Serie auf die Anforderungen eingehen, die die Administratoren bestimmter Branchen, wie Banken, Stadtwerke und ähnliche, berücksichtigen müssen, um ihre Netze abzusichern. Bevor wir aber diese branchenspezifischen Punkte hervorheben, müssen wir uns erst einmal mit den allgemeinen Anforderungen an die Netzwerksicherheit auseinandersetzen, die in jeder Umgebung bestehen.

Um moderne Unternehmensnetze abzusichern, haben Administratoren eine Vielzahl von Aufgaben zu erledigen, die in den letzten Jahren immer komplexer geworden sind. Fangen wir einmal mit den ganz grundlegenden Faktoren an, die es schon seit Jahren gibt. Der Erste davon ist eine professionelle, exakt an die Unternehmensanforderungen angepasste Firewall.

Bildergalerie

In diesem Zusammenhang ist es wichtig zu wissen, dass eine Firewall allein bei weitem nicht ausreicht, um auch nur in einer Zweigniederlassung oder einer Außenstelle für ein ausreichendes Sicherheitsniveau zu sorgen. Dennoch spielen die Firewall und ihre Konfiguration nach wie vor eine zentrale Rolle im gesamten Sicherheitskonzept. Die Firewall übernimmt die Absicherung des Datenverkehrs zwischen LAN und WAN und sieht deswegen praktisch allen ein- und ausgehenden Verkehr. Darüber hinaus sind in den letzten Jahren auch immer mehr Zusatzfunktionen hinzugekommen, die weit über die ursprüngliche Aufgabe einer Paketfilter-Firewall hinausgehen. In diesem Zusammenhang seien nur VPN-Anbindungen von mobilen Benutzern und Außenstellen, Intrusion Protection-Funktionen (IPS) und URL-Filter sowie sämtliche Funktionen, die im Kontext mit dem Begriff “Next-Generation-Firewall” (NGFW) auftauchen genannt.

Die professionelle Konfiguration der Regeln einer Paketfilter-Firewall geht weit über das in vielen Home-Routern gesehene und oft auch als Default-Konfiguration professioneller Lösungen vorhandene Regel-Set “Erlaube allen Zugriff vom LAN auf das Internet” und “Verbiete allen Zugriff aus dem Internet ins LAN” hinaus. Zum Beispiel kann es in vielen Umgebungen, wie Außenstellen und Zweigniederlassungen, sinnvoll sein, Wartungszugriffe von außen über SSH oder ähnliches zu erlauben. Gleichzeitig ergibt es in der Regel auch Sinn, Zugriffe auf das Internet aus dem LAN über Protokolle, die üblicherweise nur in LANs zum Einsatz kommen, zu unterbinden. Beispielsweise ist es denkbar, dass Malware TFTP verwendet, um weiteren Schadcode aus dem Internet nachzuladen, was bei einer Blockierung der dazugehörigen Datenübertragungen folgenlos bleibt. Auch Protokolle zum lokalen Zugriff auf Shares, wie SMB/CIFS sollten auf keinen Fall durch eine Firewall gelassen werden, damit die auf solchen Shares gespeicherten Daten nicht von außen abrufbar sind.

Grundlagen der Next Generation Firewall (NGFW)

Was ist eine NGFW?

06.10.17 – Bei Next Generation Firewalls (NGFW) handelt es sich um Sicherheitslösungen, die über die Protokoll- und Port-Inspection klassischer Firewalls hinausgehen und Datenanalysen auf Anwendungsebene ermöglichen. Security-Insider zeigt, welche Technologien in diesem Zusammenhang zum Einsatz kommen, welchen Funktionsumfang die Next Generation Firewalls heutzutage üblicherweise haben und welche Hersteller im Enterprise-Segment eine wichtige Rolle spielen. lesen

Zugegeben, das Blockieren nicht benötigter Dienste auf Basis von Protokoll und Port spielt heut bei weitem nicht mehr so eine große Rolle wie zuvor, da sowieso ein Großteil der Datenübertragungen über Port 80 und Port 443 und HTTP sowie HTTPS abgewickelt wird, aber als Grundlage eines sicheren Netzes ist eine Firewall, die nur die absolut nötigen Dienste passieren lässt, nach wie vor eine gute Lösung.

Absicherung des Web-Verkehrs

Wie eben erwähnt, läuft heute im Regelfall ein Großteil der Datenübertragungen über die Internet-Protokolle HTTP und HTTPS ab. Diese Protokolle und die dazugehörigen Ports dürften wohl in praktisch allen Firewalls offenstehen. Da auf diese Weise die unterschiedlichsten Datenübertragungen stattfinden, beispielsweise Zugriffe auf Messenger, auf Cloud-Speicher oder auch auf Dienste wie Office 365, vom “normalen” Surfen im Web ganz zu schweigen, hat eine klassische Firewall, die die Datenströme nur nach Port und Protokoll klassifiziert, keine Chance zu erkennen, ob über die jeweilige Verbindung Schädlinge verteilt oder Daten geklaut werden.

Deswegen ist eine Next Generation Firewall unverzichtbar, die HTTP- und HTTPS-Transfers genau unter die Lupe nimmt. Solche Produkte untersuchen den Inhalt der Datenströme, filtern infizierte Daten aus, analysieren das Nutzerverhalten und entscheiden anhand vorgegebener Regeln, welche Übertragungen durchgelassen werden und welche nicht. Auch hier gilt wieder, dass die Administratoren die Policies möglichst restriktiv anlegen sollten, damit nur die Datentransfers erlaubt werden, die tatsächlich nötig sind. In vielen Fällen ergibt es auch Sinn, die ebengenannte Funktion mit einem Web-Filter zu verbinden, der den Zugriff auf potentiell gefährliche und auf infizierte Webseiten unterbindet. Damit sich bei der Konfiguration der Lösung nicht allzu viele Probleme ergeben, sollten die zuständigen Mitarbeiter zunächst einmal ihre Regeln in einem “Log Only”-Modus testen und genau überprüfen, was im Detail gesperrt und durchgelassen wird, bevor sie sie “scharf” schalten. Auf diese Weise lassen sich viele Anrufe erboster Nutzer in der IT-Abteilung verhindern.

Grundlagen der Secure Web Gateways

Sicheres Internet im Unternehmen

23.02.18 – Secure Web Gateways sind ein wesentlicher Bestandteil der Sicherheitsinfrastruktur moderner Unternehmensnetze. Sie verwenden Technologien wie Malware-Schutz, Advanced Threat Defence und URL-Filter, um die Anwender vor Gefahren aus dem Internet zu schützen und um die Internet-Policies der Unternehmen durchzusetzen. lesen

Mail-Sicherheit und Anti-Spam

Wenden wir uns nun der Absicherung des Mail-Verkehrs zu. In den meisten Unternehmensumgebungen gibt es entweder einen lokalen Mail-Server wie Exchange oder einen Cloud-Dienst, bei dem sich ein Provider um die Konfiguration und Absicherung der Mail-Infrastruktur kümmert. Da Mails eines der wichtigsten Verbreitungsmedien für Malware wie Ransomware, Trojaner und Viren darstellen, ist es sinnvoll, dem Aspekt der Mail-Sicherheit unabhängig von der jeweils verwendeten Architektur ein besonderes Augenmerk zukommen zu lassen.

Es gibt verschiedene Systeme zur Absicherung des Mail-Verkehrs. Dazu gehören Anti-Virus- und Anti-Spam-Programme auf dem Host, also dem Mail-Server selbst, die die übertragenen Daten während des Transfers untersuchen und Malware entfernen, beziehungsweise infizierte Nachrichten in eine Quarantäne verschieben. Solche Lösungen haben den Vorteil, dass sie an einer zentralen Stelle arbeiten und deswegen sowohl relativ einfach zu verwalten sind, als auch sämtlichen relevanten Traffic zu sehen bekommen.

Was die Anti-Spam-Produkte angeht, so ist darauf zu achten, dass sie dazu in der Lage sein müssen, Mails nicht nur nach der Ursprungsdomäne, sondern auch nach ihrem Inhalt (mit Analyse der Formulierungen und der Schlagworte) und die Absenderreputation unter die Lupe zu nehmen. Außerdem sollten sie für die Klassifizierung auch auf typische Anti-Spam-Listen wie die von Spamhaus.org zurückgreifen können. In vielen Fällen lassen sich mit leistungsfähigen Spam-Filtern auch Phishing-Mails bekämpfen.

Alternativ sind auch Client-Lösungen zur Mail-Sicherheit verfügbar, die oftmals in Anti-Virus-Programme integriert wurden. Diese übernehmen ebenfalls das Untersuchen und Absichern der ein- und ausgehenden Nachrichten, allerdings direkt auf dem jeweiligen Client. Da sie auf jeder Workstation im Netz arbeiten müssen, gestaltet sich ihre Verwaltung etwas aufwendiger als bei zentral arbeitenden Produkten. In der Regel steht für solche Lösungen aber eine zentrale Management-Konsole zur Verfügung. Ihr Einsatz ergibt vor allem in Umgebungen Sinn, in denen die Clients mit Mail-Servern kommunizieren müssen, auf deren Sicherheitsniveau die Unternehmens-IT keinen Einfluss hat, beispielsweise Google Mail oder ähnliche Dienste.

Grundlagen der Endpoint Security

Endgerätesicherheit

05.12.17 – Endpoint Protection-Lösungen sichern die Workstations und Server im Netz gegen Angriffe aller Art ab. Sie bestehen üblicherweise einerseits aus einer zentralen Verwaltungskonsole, über die die zuständigen Mitarbeiter die Konfiguration vornehmen, und andererseits Agenten, die auf den zu sichernden Clients laufen und dort die Policies umsetzen, die im Management-Tool festgelegt wurden. Security-Insider zeigt, welche Funktionen ein gutes Endpoint Protection-Produkt mitbringen sollte und stellt außerdem die wichtigsten Hersteller in diesem Bereich vor. lesen

Antivirus-Lösungen

Da wir jetzt schon bei den Endpoints im Netz angekommen sind, befassen wir uns auch gleich mit typischen, Client-basierten Sicherheitslösungen, nämlich Antivirus-Programmen. Gehörte es früher noch zu den Standardtipps eines jeden Sicherheitsexperten, dass auf jedem (Windows-) Client ein Antivirenprogramm installiert sein muss, so gehen die diesbezüglichen Meinungen heute auseinander. Dafür gibt es mehrere Gründe: Zum einen müssen Antivirus-Programme alle Dateien auf einem Rechner und im Idealfall auch sämtlichen Arbeitsspeicher des Geräts unter die Lupe nehmen können. Damit hebeln sie per se das Sicherheitskonzept des Betriebssystems aus und öffnen auf diese Weise Angriffsflächen, die ohne ein Anti-Virus-Programm gar nicht existieren würden. Verfügt beispielsweise ein Anti-Virus-Tool, das mit höchsten Rechten läuft, über eine Sicherheitslücke und kann ein Angreifer diese ausnutzen, um Zugriff auf das System zu erlangen, so hat er danach in den meisten Fällen automatisch auch die höchsten Rechte und dementsprechend in der Regel auch Gelegenheit, mit dem Rechner zu machen, was er will.

Zum anderen ist es so, dass der seit langem bei Windows mitgelieferte Windows Defender, also Microsofts eigenes Anti-Virus-Werkzeug, sich in den letzten Jahren deutlich verbessert hat. War es anfangs noch so, dass sich der Windows Defender bei Tests von Anti-Viren-Spezialisten nur schlecht schlug und mit verhältnismäßig schwachen Erkennungsraten auffiel, die nicht mir denen der anderen Produkte auf dem Markt mithalten konnten, so hat sich das deutlich verändert. Der Windows Defender erkennt heute genauso viele Viren wie andere Sicherheitslösungen auch.

Ist es folglich überhaupt noch sinnvoll, andere Antivirus-Lösungen einzusetzen? Die Gegner dieses Schrittes sagen, dass kein Unternehmen sich besser mit Windows auskennt als Microsoft und dass die Zahl der Mitarbeiter in Microsofts Sicherheitsabteilung größer ist als die Zahl der Mitarbeiter der meisten Anbieter von Anti-Virus-Software überhaupt. Deswegen sei das Know-How von Microsoft am besten und der Windows Defender allen anderen Produkten aus diesem Bereich vorzuziehen.

Die Vertreter der anderen Meinung sagen, dass der Windows Defender, auch wenn er inzwischen genauso leistungsfähig wie andere Lösungen ist, allein schon wegen der großen Zahl der Installationen zu einem Risiko wird. Viele Angreifer gestalten ihre Malware schließlich so, dass sie eine möglichst große Zahl von Rechnern infiziert und wenn sie davon ausgehen, dass auf den meisten Windows-Computern der Defender als Sicherheitslösung arbeitet, dann werden sie wenn möglich dafür sorgen, dass ihre Schädlinge den Windows Defender überwinden können. Der Einsatz eines anderen Antivirus-Programms würde in so einem Fall dabei helfen, die Infektion zu verhindern.

Ein weiteres Argument für den Einsatz von Drittanbieterlösungen sind Zusatzfunktionen, wie die zuvor genannte Client-basierte Mail-Sicherheit oder auch Anti-Spam-Funktionen. Werden diese im Unternehmen benötigt, so müssen die Administratoren auf ein Produkt ausweichen, das alle jeweils vorhandenen Anforderungen erfüllt. Unter dem Strich hängt das endgültige Vorgehen also von den Vorlieben der Entscheider und den Anforderungen der jeweiligen Umgebung ab.

Bildergalerie

Fazit

Um ein Netzwerk umfassend abzusichern, sind viele Entscheidungen zu treffen und viele Konfigurationsschritte durchzuführen. Dieser Artikel konnte nur einen kurzen Überblick über die wichtigsten Schritte geben. In den meisten Umgebungen werden noch weitere Aktionen erforderlich sein, wie beispielsweise das Einrichten sicherer Remote-Zugänge für mobile Mitarbeiter und Home-Offices über VPN-Verbindungen. In den nächsten Teilen der Reihe gehen wir genauer auf die Anforderungen ein, die bestimmte Branchen an die Netzwerksicherheit stellen.

https://www.Security-Insider.de/themenbereiche/netzwerksicherheit/firewalls/articles/818810

Related posts

Leave a Comment