Übersicht: Kontrolle am Netzzugang

28.09.2005
Von 
Bernd Reder ist freier Journalist und Autor mit den Schwerpunkten Technologien, Netzwerke und IT in München.
Unter dem Schlagwort "Endpoint Security" bietet die Industrie Lösungen an, die Endgeräte und das Netz gegen Angriffe schützen sollen. Die Anwender sehen sich mit einer Vielzahl unterschiedlicher Ansätze konfrontiert.

Eine beständig wachsende Schar von Herstellern betont den Stellenwert der Endpoint Security. Dabei handelt es sich um Unternehmen, die sich auf Antiviren-Software und Firewalls spezialisiert haben, etwa Trend Micro, McAfee, Checkpoint oder Symantec. Daneben finden sich Firmen, die Lösungen für den Fernzugriff (Remote Access) auf Unternehmensnetze anbieten, beispielsweise NCP und Citrix. Hinzu kommen Spezialisten für das Netzwerk- und System-Management wie Computer Associates (CA) und Landesk.

Hier lesen Sie …

• welche Anbieter Lösungen für Endpoint Security anbieten;

• worin sich ihre Ansätze unterscheiden;

• wie die Zukunftsaussichten für Endpoint-Security-Konzepte sind.

Was ist Endpoint Security?

Eine allgemein gültige Definition des Begriffes "Endpoint Security" gibt es nicht. Die Experten der Beratungsfirma Frost & Sullivan beispielsweise rechnen Firewalls und Intrusion-Detection-Systeme (IDS) dazu, die auf PCs installiert sind. Auch das Marktforschungsunternehmen IDC definiert Endpoint Security als Absichern von Clients mithilfe von Antiviren-Programmen und Firewalls.

Allerdings geht IDC einen Schritt weiter: Ein entscheidender Punkt ist demnach das zentrale Management der Sicherheitseinstellungen von Endgeräten, Stichwort "Policies". Die Hersteller von Sicherheitslösungen wiede- rum interpretieren "Endpoint Security" abhängig davon, welche Produkte sie im Port-

folio haben. Cisco Systems

etwas setzt auf einen ganzheitlichen Ansatz: Software-Agenten überwachen alle Geräte im Netz oder solche, die darauf zugreifen möchten. Checkpoint dagegen setzt auf Personal Firewalls auf jedem Rechner, die zentral verwaltet werden.

Weltmarkt Endpoint Security

Nach einer Studie der Marktforschungsgesellschaft Frost & Sullivan wies der Markt für Endpoint-Security-Lösungen im vergangenen Jahr weltweit ein Volumen von rund 272 Millionen Dollar auf. Das waren 31 Prozent mehr als 2003 (207 Millionen Dollar). Davon entfallen 2005 etwa 35 Prozent auf den Small-Office-/Home-Office-Bereich (SoHo), die restlichen 65 Prozent auf Hard- und Software, die in größeren Unternehmen zum Einsatz kommt. Der Anteil von Unternehmenslösungen bezogen auf den Umsatz wird nach Einschätzung von Frost & Sullivan weiter zunehmen, auf etwa 72 Prozent im Jahr 2010.

Mehr zum Thema

www.computerwoche.de/go/

*62234: Cisco bringt Network Admission Control auf den Markt;

*63022: Windows Server 2003 soll Sicherheit von Clients überprüfen;

*80783: Lockdown will Ciscos NAC herausfordern;

*81666: Altiris prüft Endgeräte auf Sicherheit.

Auch Cisco Systems als Lieferant von Komponenten für die Netzwerk-Infrastruktur hat mit dem "Self Defending Network" ein Konzept für Endpoint Security entwickelt, ebenso Microsoft mit "Network Access Protection". Schließlich haben sich in diesem Markt mehrere Spezialanbieter etabliert. Dazu gehören unter anderem Senforce, Portwise, Endforce, Vernier/Patchlink, Info Express und Citadel.

Den Client im Blick

Die Lösungsansätze dieser Anbieter lassen sich grob in zwei Kategorien unterteilen: solche, die Clients absichern, sowie Produkte, die den Zugang zum Unternehmensnetz schützen.

Zur ersten Gruppe gehören Personal Firewalls, Antiviren-Software und Programme, die Angriffe automatisch erkennen und abblocken (Intrusion-Detection und Intrusion-Prevention). Ergänzt werden sie durch Software-Agenten, die den Sicherheitsstatus von Endgeräten abfragen und prüfen, ob das System den Richtlinien entspricht, die der Administrator zuvor festgelegt hat.

Zur zweiten Sparte zählt Hard- und Software, die quasi als Torwächter fungiert und entscheidet, welche Geräte zum Corporate Network Zugang erhalten. Die Grundlage dafür bildet ein Regelwerk (Policies). Darin ist beispielsweise festgelegt, dass nur solche Systeme auf Server oder Datenbanken im Unternehmensnetz zugreifen dürfen, deren Virenschutz und Anti-Spyware-Software auf dem neuesten Stand ist und auf denen die aktuellen Betriebssystem-Patches installiert sind. Solche Gatekeeper können VPN-Gateways (Virtual Private Network) und Access-Points von Wireless LANs sein, aber auch DHCP-Server (Dynamic Host Configuration Protocol), Router oder Switches.

Derzeit gibt es drei Ansätze, die Endpoint Security sicherstellen wollen, indem sie den Zugang zum Netz (Network Access) regulieren: Ciscos "Network Admission Control" (NAC), das Teil des Self-Defending Network-Konzepts ist, "Network Access Protection" (NAP) von Microsoft und "Trusted Network Connect" der Herstellervereinigung Trusted Computing Group.

Zutritt verboten: Ciscos NAC

Mit seiner Strategie verfolgt der Netzwerk-Riese das Ziel, alle Bestandteile einer IT-Infrastruktur abzusichern. Das gilt für Endgeräte wie Voice-over-IP-Telefone, mobile Geräten wie PDAs und Notebooks mit Wireless-LAN-Adapter, aber auch für Server und Switches. Hinzu kommen Router, also Systeme, die nicht im lokalen, sondern im Weitverkehrsnetz angesiedelt sind.

NAC verfährt nach dem Grundsatz "Was nicht erlaubt ist, ist verboten". Desktop-Systeme, die nicht den geltenden Sicherheitsrichtlinien entsprechen, erhalten keinen Zugang zum Netz oder werden mit einem so genannten Remediation-Server verbunden. Dieser spielt auf einen Client beispielsweise Patches oder eine Anti-Spyware-Software auf. Dadurch soll sichergestellt werden, dass das Endsystem die Sicherheitsanforderungen erfüllt. Eine weitere Option ist, Rechnern, etwa von Kunden oder Außendienstmitarbeitern, nur Zugang zu bestimmten Netzsegmenten einzuräumen.

Um dieses Ziel zu erreichen, setzt Cisco auf mehrere Bestandteile: Client-seitig kommt mit dem Cisco Trust Agent (CTA) eine Software zum Einsatz, mittels derer sich Informationen über den Sicherheitsstatus von Endgeräten abfragen lassen. Der Netzwerk-Gigant hat die Technik auch anderen Firmen zur Verfügung gestellt, etwa McAfee, Trend Micro, IBM oder Symantec oder Senforce. Diese können ihre Produkte, etwa Antiviren-Programme, in eine NAC-Infrastruktur einbinden. CTAs werden auf jedem Client-System installiert.

Hinzu kommt der Cisco Secure Agent (CSA): Er überwacht das Verhalten von Endgeräten, verhindert Einbruchsversuche sowie die Installation von Spyware und meldet, wenn Veränderungen am Betriebssystem eines Client-Systems vorgenommen werden. Ein Richtlinien-Server schließlich wertet die Informationen über den Sicherheitszustand der Clients aus und steuert den Zugang zu Ressourcen im Netz.

Abhängig von Cisco

Labortests von Ciscos "Clean Access Server" in Verbindung mit dem Trust Agent sowie dem Secure Agent ergaben, dass Administratoren damit feinkörnige Sicherheitsrichtlinien für Endgeräte aufsetzen können. Verbesserungsfähig ist das Reporting: Dem IT-Manager stehen nur Statusberichte über einzelne Systeme zur Verfügung. Reports, die den Status aller Rechner anzeigen, liefert das System nicht. Ein Nachteil des Konzeptes ist, dass es auf Netze zugeschnitten ist, in denen ausschließlich Hardware von Cisco zum Einsatz kommt, also Switches oder Wireless-LAN-Access-Points. Der Vorteil: Der Anwender erhält eine Lösung, die quasi einen Rundumschutz bietet.

Microsoft: Fokus auf Windows

Microsofts "Network Access Protection" wird voraussichtlich 2007 auf den Markt kommen. Ebenso wie NAC steuert dieses Konzept über Policies den Zugang zu Systemen und Daten in einem Netz. Die Client-Server-Lösung wurde für Rechner unter Windows XP mit Servicepack 2 und die nächste Server-Version von Windows ("Vista") konzipiert. Sie unterstützt VPNs, DHCP-Server und IPSec-Verbindungen (IP Security). NAP beschränkt sich auf Windows-Netze und ist nicht so umfassend konzipiert wie Ciscos NAC, dafür aber leichter zu implementieren. Ein Manko: Network Access Protection bietet keinen Schutz gegen Sabotage durch Mitarbeiter in einem Unternehmen. Wer sich im Corporate Network als rechtmäßiger User authentifiziert hat, kann beispielsweise innerhalb des Netzes Viren oder bösartigen Code verbreiten.

Ohne proprietäre Fesseln

Die Trusted Computing Group hat mit Trusted Network Connect Spezifikationen für Endpoint Security entwickelt, die nicht an bestimmte Produkte gebunden sind. Zu den Mitgliedern der Gruppe zählen unter anderem IBM, Hewlett-Packard, Intel, Symantec und Citrix. TNC richtet sich vor allem an Unternehmen mit heterogenen Netzen. Erste Produkte, die TNC unterstützen, sind frühestens zum Ende des Jahres zu erwarten. Ein Schwerpunkt von TNC liegt auf der Absicherung von mobilen Geräten wie PDAs und Smartphones.

Neben den genannten Konzepten haben weitere Hersteller Ansätze entwickelt, um Endpoints sicherer zu machen. Dazu gehört etwa "Secure Enterprise Management" der Nürnberger Firma NCP. Deren Lösung ist vor allem für Unternehmen interessant, die Filialen anbinden oder Außendienstmitarbeitern den Zugang zum Unternehmensnetz einräumen möchten. Die Lösung besteht aus folgenden Komponenten:

• einem zentralen Management-Server: Auf ihm lagern die Benutzerdaten, die Profile von Endgeräten sowie Sicherheitszertifikate. Integriert ist zudem ein Radius-Server (Remote Authentication Dial-in User Service);

• der Management-Konsole: Sie dient dazu, von der Zentrale aus die Endgeräte zu verwalten;

• Clients auf den Rechnern von Außendienstmitarbeitern;

• Gateways, über die Filialnetze angebunden werden.

Die Kommunikation läuft über ein VPN. Regelwerke für die Clients und Gateways legt der Systemverwalter mithilfe von Plug-ins an der Management-Konsole fest. NCP stellt unter anderem Module für das Einrichten und Monitoring von Clients bereit, außerdem für das Konfigurieren der Firewall, die auf jedem Endgerät automatisch mitinstalliert wird. Ein zusätzliches Plug-in ist für das "Endpoint Policy Enforcement" zuständig, also die Umsetzung der Sicherheitsvorgaben auf den angeschlossenen Clients. Mithilfe dieses Programms überprüft der Systemverwalter beispielsweise den Status des Virenscanners oder von Benutzer- und Hardware-Zertifikaten. Die Endpoint Security wird nicht nur nach dem Verbindungsaufbau überprüft, sondern auch regelmäßig während der gesamten Verbindungsdauer. Das Intervall legt der Systemverwalter in der Policy fest.

Mit Secure Enterprise Management lassen sich zudem Software-Updates automatisch auf alle angeschlossenen Clients aufspielen - ein "Muss" in größeren Netzen mit vielen Endgeräten. Die Sicherheitsregeln lassen sich NCP zufolge nicht umgehen, etwa indem sich ein Benutzer auf einem Rechner unter Windows XP Administrator-Rechte sichert. Solche Versuche blockt die Software ab. Zusätzlich meldet sie solche Verstöße gegen die Sicherheitsregeln dem IT-Manager.

Landesk im Boot mit Cisco

Ein weiterer Ansatz stammt von dem im Bereich System-Management tätigen Hersteller Landesk. Das Unternehmen präsentierte im August die Version 8.6 seiner "Security Suite". Diese übernimmt die Zugangskontrolle zum Netz und setzt Policies durch: Dabei arbeitet die Suite mit Ciscos Trust Agent zusammen, lässt sich also in einer NAC-Umgebung mit Netzwerkkomponenten von Cisco einsetzen. Allerdings funktioniert das Programmpaket nach Angaben von Landesk auch mit Hardware anderer Hersteller.

Zudem sollen sich damit Patches und Konfigurationseinstellungen von Clients verwalten lassen. Außerdem übernimmt die Software die Abwehr von Angriffen mithilfe von Firewalls, Intrusion-Detection-Software und Antiviren-Programmen. Es lassen sich hier Produkte von Symantec, McAfee, Trend Micro und Norton einbinden und verwalten.

Im Vergleich zur Vorgängerversion benötigt Landesk Security Suite 8.6 keine VPN-Tunnel oder spezielle Weitverkehrsverbindungen, um Clients in Außenstellen oder Heimbüros mit Patches, neuer Software oder Sicherheitsrichtlinien zu versorgen. Dies erfolgt über eine SSL-Verbindung (Secure Socket Layer) über das Internet. Zu den Stärken der Security Suite 8.6 zählt, dass sie Hardware-neutral arbeitet und der IT-Manager Policies für Endgeräte festlegen und durchsetzen kann, die außerhalb des Netzes angesiedelt sind, etwa Notebooks von externen Mitarbeitern. Ein weiteres Plus: Die Suite stellt Vorlagen (Templates) zur Verfügung, die es dem Administrator erleichtern, Sicherheitsrichtlinien auszuarbeiten. Ein Nachteil: Das Paket läuft nur auf Servern unter Windows.

Integrity 6.0 von Checkpoint setzt auf der Firewall von Zone Labs auf, einem Unternehmen, das Checkpoint übernahm. Im Vergleich zur Version 5.0, die noch primär auf Firewall-Funktionen ausgerichtet war, hat Checkpoint Integrity 6.0 zu einem kompletten Endpoint-Security-Paket erweitert. So ist es möglich, zentral Policies für alle Endsysteme im Unternehmensnetz festzulegen und durchzusetzen. Eine Besonderheit von Integrity: Der User eines Endgeräts kann mithilfe einer grafischen Benutzeroberfläche Policies anpassen, wenn er nicht mit dem Unternehmensnetz verbunden ist. Das ist beispielsweise dann notwendig, wenn er auf das lokale Netz zu Hause oder auf ein LAN in einem anderen Unternehmen zugreifen möchte, in dem unterschiedliche Sicherheitsregeln gelten.

Nicht nur für Windows

Integrity 6.0 arbeitet mit gängigen Virenschutzprogrammen zusammen. Rechner im Netz lassen sich automatisch daraufhin überprüfen, ob auf ihnen unerwünschte Prozesse ablaufen oder verdächtige Dateien lagern, etwa infizierte Files oder Spyware-Programme. Den Zugriff auf Applikationen steuert Integrity über die integrierte Firewall. Die Server- und Client-Software läuft auf Rechnern unter Windows und Red Hat Linux.

In Tests fiel Integrity vor allem durch seine Benutzerfreundlichkeit und das gute Zusammenspiel mit VPN-Gateways auf. Weniger ausgefeilt war das Reporting. Verbesserungsfähig ist auch die Funktion "Remediation", speziell das Einspielen von Betriebssystem-Patches. Statt diese Prozesse automatisch zu starten, wurde nur eine Verbindung zur Windows-Update-Seite von Microsoft hergestellt.

Seine Strategie in puncto Endpoint Security richtet Symantec derzeit neu aus. Das Unternehmen zählt zu den größten Anbietern von Software zum Schutz von Client-Systemen vor Viren und Angriffen. Kernprodukte für den Einsatz in großen Netzen sind die Software-Suite "Client Security 3.0", die Schutz vor Viren und Spyware mit einer Firewall kombiniert, außerdem die Appliances der Reihe "Gateway Security 5400". Es fehlte bislang jedoch ein Ansatz, der Endgeräte jeglicher Couleur in ein Endpoint-Security-Rahmenwerk einbindet.

Schutz auch für USB-Sticks

Das dürfte sich durch die Übernahme von Sygate im Sommer dieses Jahres ändern: Sygate bietet mit "Universal Network Access Control" ein Paket an, das alle Systeme überprüft, bevor diese auf Ressourcen im Netz zugreifen können. Das schließt Notebooks und PDAs mit ein, selbst iPods oder USB-Sticks. Dafür werden Agenten benötigt, die auf jedem Endgerät installiert sein müssen. Die Sicherheitsrichtlinien lagern auf einem Rechner unter Windows Server 2003. Das Überprüfen der Endgeräte, das Policy Enforcement, übernehmen separate Server.

Der Vorteil der Lösung: Sie berücksichtigt alle Elemente einer IT-Infrastruktur: Endgeräte, Betriebssysteme, Applikationen und Netzkomponenten. Zusammen mit Symantecs Antiviren- und Firewall-Programmen erhält der Anwender eine Lösung, die zu den derzeit leistungsstärksten im Markt zählt.

Fazit: Warten auf die Großen

Abschließend lässt sich fest- zustellen, dass der Trend bei Endpoint-Security-Lösungen in Richtung Zugangskontrolle geht. Nur Geräte, die einer Sicherheits-"Policy" entsprechen, erhalten Zugriff auf Systeme innerhalb des Netzes. Personal Firewalls und Virenscanner auf jedem System dienen als Ergänzung.

Nach Einschätzung der meisten Fachleute werden Ciscos "Network Admission Control" und der NAP-Ansatz von Microsoft eine dominierende Rolle im Endpoint-Security-Markt spielen. Das gilt umso mehr, als beide Unternehmen derzeit darüber verhandeln, ihre Ansätze interoperabel zu machen.

Vorstellbar ist, dass sich NAC und NAP als "Frameworks" für Endpoint Security etablieren, die dennoch Raum für Speziallösungen bieten. (ave)