IT-Sicherheit fängt bei den Clients an

15.10.2004
Mobile Endgeräte sind ein Sicherheitsrisiko für Unternehmensnetze. Hersteller wie Microsoft, Cisco oder Sygate forcieren deshalb Lösungen für Endpoint Security.

Von CW-Redakteur Martin Seiler

Faktoren wie die Mobilität der Mitarbeiter und der zunehmende Einsatz von Funktechniken im Unternehmen tragen dazu bei, dass die Grenzen der IT-Infrastruktur immer stärker verschwimmen. Während es vor einigen Jahren noch vergleichsweise einfach war, das Firmennetz nach außen abzuschotten, sieht dies heute anders aus. Klassische Firewall- und Antivirensysteme greifen nicht mehr, wenn Unbefugte via WLAN ins Netz können oder die Gefahr besteht, dass Mitarbeiter unbewusst einen Virus beziehungsweise Wurm ins Netz schleusen, wenn sie nach einer Dienstreise ihren Laptop wieder an das lokale Netz hängen.

Zugriff nur mit Kontrolle

Dieser Gefahr wollen die Hersteller mit Lösungen begegnen, die sie unter dem Modewort "Endpoint Security" anbieten. Dabei weisen Ansätze wie Ciscos "Network Admission Control" (NAC) oder Microsofts "Network Access Protection" starke Ähnlichkeiten auf: Sicherheitsvorschriften werden an zentraler Stelle im Unternehmen bestimmt und in Form von Policies für alle zugänglich hinterlegt. Jeder Client, der auf das Netz zugreift, wird nun mit einer Software bestückt, die ihn daraufhin überprüft, ob er die Sicherheitsregeln erfüllt.

Dabei wird beispielsweise untersucht, wie das Gerät konfiguriert, ob eine Personal Firewall oder der Virenschutz installiert und aktiviert ist oder ob die aktuellen Versionen der Virensignaturen und Patches vorhanden sind. Ist alles in Ordnung, gibt es grünes Licht und Zugang zum Netz. Bei Sicherheitsdefiziten greifen zwei Möglichkeiten: Entweder wird der Zugriff komplett verwehrt oder aber teilweise abgeblockt beziehungsweise auf einen speziellen Server umgelenkt, über den der Anwender sich die notwendigen Updates für seinen Client besorgen kann.

Nicht nur PCs überprüfen

Nach diesem Prinzip geht auch der Sicherheitsspezialist Sygate vor. Dabei will der Hersteller Anwendern helfen, mit drei separaten Lösungen nicht nur den Security-Status von Servern, PCs oder Laptops zu überwachen, sondern auch Geräte wie IP-Telefone, Kopierer oder Smartphones in den Griff zu bekommen. Kernprodukt hierbei ist "Sygate Secure Enterprise 4.0" (SSE), das aus einer Agentensoftware sowie einem oder mehreren Servern besteht.

Nach Angaben von Ian Schenkel, General Manager für Europa, Nahen Osten und Afrika (Emea) bei Sygate, ist der Agent etwa 8 MB groß und funktioniert auf jedem Client. Diese Plattformunabhängigkeit stellt für den Manager das Hauptunterscheidungsmerkmal zu den Ansätzen von Cisco oder Microsoft dar. Die durch die zusätzliche Software entstehende Last bezeichnet Schenkel als gering, lediglich zwei bis drei Prozent Arbeitsspeicher würden benötigt. Die Komponente überprüft dann nicht nur, ob Programme wie Virenscanner oder Personal Firewall vorhanden sind, sondern kontrolliert auch, ob die jeweiligen Prozesse tatsächlich laufen. Entsprechen die Einstellungen auf dem Client nicht den Policies, lässt sich das betroffene Gerät in Quarantäne stecken: Das geschieht entweder über entsprechende Anpassung von Zugriffskontrolllisten (Access Control Lists = ACL) oder aber die Definition von virtuellen LANs (VLAN).

Java-Plugin statt Agent

An den Fall, dass auf einem Client kein Agent vorhanden ist, hat Sygate auch gedacht. "Sygate On-Demand 2.0" (SOD) ist ein nur etwa 300 bis 400 KB großes Java-Plugin, das ähnlich wie der Agent bestimmte Sicherheitsparameter checkt. Besteht das jeweilige Endgerät die Prüfung, erzeugt das Programm einen virtuellen Desktop, von dem aus der Anwender auf Unternehmensressourcen zugreifen, Dateien oder Dokumente herunterladen, öffnen und bearbeiten kann. Speichern lässt sich nicht auf der lokalen Festplatte, betont Manager Schenkel, sondern nur auf dem dazugehörigen Server. In dieser Umgebung sei es auch nicht möglich, Inhalte vorübergehend in den Arbeitsspeicher zu kopieren, um sie zu stehlen oder später zu bearbeiten.

Die jüngste Erweiterung innerhalb des Produktportfolios ist "Sygate Magellan". Dieses Tool wurde speziell für den Einsatz in größeren Netzen entwickelt und soll dafür sorgen, dass keine Komponente die zentralen Sicherheitsvorgaben umgeht. "Im Grunde ist es eine Discovery-Engine", erläutert Schenkel: Mehrere solche Suchmaschinen durchkämmen das Netz, um neben den bekannten Geräten auch die möglicherweise vorhandene "dunkle Materie" - jegliche Geräte, die an das Netz angeschlossen sind - zu finden. Einzige Voraussetzung hierbei: Die Systeme müssen sich über IP ansprechen lassen.

Das Programm erstellt davon eine Karte. Außerdem erzeugt es eine Bibliothek, die sämtliche Maschinen auflistet. Aufgabe des Administrators ist es dann, über ein Java-basierendes Interface den gefundenen Komponenten eine Zulassung zu erteilen. So ist es möglich, bestimmte Systeme oder Systemkonfigurationen zu verbieten oder Einstellungen zu verlangen.

Funktionsweise

- Der Administrator erstellt zentrale Richtlinien, in denen die Sicherheitsanforderungen für Clients definiert sind;

- diese Policies werden auf einem Server hinterlegt;

- Softwarekomponenten auf den Clients fragen beim Anmelden des Geräts die Policy ab und überprüfen, ob der Client den Anforderungen entspricht;

- abhängig vom Ergebnis erhält der Client dann vollen oder nur begrenzten Zugriff beziehungsweise wird komplett abgeblockt.