computerwoche.de

Archiv

Internet-Sicherheit/Rundum sicher

Sicherheits-Management löst punktuelle Ansätze ab

29.09.2000
Intrusion-Detection-Systeme (IDS) erkennen Sicherheitslücken und reagieren automatisch darauf. Noch einen Schritt weiter gehen ganzheitliche Security-Konzepte, die unter dem Dach eines integrierten Sicherheits-Managements mit den jeweils wirksamsten Schutzlösungen alle kritischen Punkte der unternehmensweiten IT-Infrastruktur absichern. Artur Heil* stellt den Ansatz vor.

Der beinahe explosionsartige Anstieg der Internet-Nutzung in nahezu jedem Unternehmen führt unweigerlich dazu, dass das einstmals vollständig nach außen abgeschirmte interne Netz heute mindestens eine Verbindung zum offenen System Internet hat. Gleichzeitig nimmt die Komplexität interner Netze rapide zu - die Transparenz dessen, was in so einem Netz alles passiert, geht aber im gleichen Maße zurück. Als logische Folge entstehen Sicherheitslücken - die Daten sind in Gefahr. Was ist zu tun? Man installiert zunächst eine Firewall. Bei korrekter Konfiguration und Verwaltung schützt diese Maßnahme das Netz wirkungsvoll gegen Attacken aus dem Internet.

Richtig konfiguriert und auf das DV-Umfeld abgestimmtDie Installation einer Firewall kann aber niemals eine 100-prozentige Garantie für sicheren Datentransfer von internen Netzen nach außen geben und umgekehrt. Für ausreichenden Schutz müssen zwei Kriterien erfüllt sein: Die Firewall muss erstens auf die jeweilige IT-Infrastruktur abgestimmt sein und zweitens professionell integriert und konfiguriert werden. Am wirksamsten ist die Einbindung einer Firewall in ein umfassendes Sicherheitskonzept mit exakt definierten Richtlinien für alle erlaubten und nicht erlaubten Aktivitäten im Netz.

Übliche Paketfilter untersuchen nur Pakettyp, Quell- und Zieladresse sowie Port-Kombinationen und wenden dann ihre Filterregeln an. Daher bieten Paketfilter geringe Sicherheit bei hoher Performance. Application Gateway Firewalls hingegen arbeiten mit je einem Proxy-Server pro Dienst. Durch die totale Prozesskontrolle lässt sich mit dieser Technologie ein hohes Sicherheitsniveau erreichen. Eine weitere Variante sind Stateful Inspection Firewalls. Diese analysieren auch die dienstspezifischen Protokollebenen der Datenpakete und kontrollieren den exakten Zustand jeder Session sowie den Kontext der Kommunikation. Moderne Application Proxy Firewalls gehen noch einen Schritt weiter. Sie überprüfen die Kommandos auch auf der Logik der Applikationsebene, das heißt, sie analysieren auch den Inhalt der ankommenden Pakete.

Heute entstehen fast täglich neue Protokolle, für die keine Proxies zur Verfügung stehen. Das heißt, diese Protokolle werden ungeprüft durchgelassen und stellen somit eine Gefahr dar.

Ganz sicher sind Firewalls nur, wenn jeglicher Datenverkehr von außen unterbunden wird - was in Zeiten des Internet für Unternehmen unmöglich ist. Unsicher werden Firewalls vor allem durch fehlerhafte Konfigurationen. Voraussetzung für den effizienten Betrieb sind daher die korrekte Konfiguration und eine Anpassung der Sicherheitsfunktionen an die individuellen Bedürfnisse des Unternehmens.

Firewalls lassen die Datenintegrität außen vorIn vielen Unternehmen ist man dennoch der Ansicht, dass eine Firewall zur Gewährleistung der Netzwerksicherheit bereits völlig ausreicht. Das ist aber ein Trugschluss: Denn Firewalls filtern den Datenverkehr, verhindern ihn aber nicht - daher können sie die Integrität sensibler Daten nicht von vornherein garantieren. Darüber hinaus haben Firewalls keinen Einfluss auf unzulässige Aktivitäten, die innerhalb der Unternehmensnetze stattfinden. In einer aktuellen Studie geht IDC davon aus, dass bis zu 90 Prozent aller Angriffe auf die Datenintegrität - wissentlich oder unwissentlich - von innen kommen. Und mehr als 45 Prozent der dadurch entstehenden Schäden werden durch unzuverlässige Mitarbeiter verursacht. Firewalls sind daher zwar ein sehr wichtiger Teil eines integrierten Sicherheitskonzepts, aber eben nur einer von mehreren. Das gilt genauso für andere Sicherheitskomponenten wie Security Scanner oder Verschlüsselungs-Tools.

Sicherer Datenaustausch und AuthentifizierungDamit sich eine Firewall heute nahtlos in einen Proxy-sicheren VPN-Server integrieren lässt, ist das IPSec-Protokoll das Mittel der Wahl bei Verschlüsselungen. Weil es die Sessions verschlüsselt, sorgt es für sicheren und geschützten Datenaustausch zwischen herstellerübergreifenden Produkten und schützt die Datenpakete des IP-Protokolls vor möglichen Modifikationen und Ausspähungen. Mit der Integration des TCP/IP-basierenden Directory-Zugangsprotokolls Lightweight Directory Access Protocol (LDAP) wird die Authentifizierung aller Anwender durch die Firewall enorm erleichtert. Der LDAP-Server fungiert als Verzeichnisdienst für die Administration der Benutzer und ihrer Rechte. Je nach Funktionalität bietet er dann den geeigneten Zugriffsschutz und veranlasst Identifizierungs- und Authentifizierungsabfragen.

Wer sich mit Datensicherheit im Unternehmen beschäftigt, kommt am Internet-Protokoll nicht vorbei - noch dazu, weil das Thema derzeit hochaktuell ist: Stichwort IPv6. Das Kürzel steht für "Internet Protocol Version 6" und markiert die durch die IETF (Internet Engineering Task Force) vorangetriebene Weiterentwicklung der aktuellen IP-Version IPv4. Der größte Teil des Internet arbeitet heute noch auf Basis des IPv4. Obwohl das Protokoll schon fast 20 Jahre besteht, erfüllt es seine Aufgabe bemerkenswert gut. Dennoch fallen im Laufe der Zeit auch vermehrt Probleme an. So sind 32-Bit-IPv4-Adressen nur noch begrenzt verfügbar, werden jedoch für alle neuen Rechner, die ans Internet angeschlossen sind, unbedingt benötigt. Durch seinen 128-Bit-Adressraum löst IPv6 das Problem der Adressen-Knappheit und erfüllt die Forderung nach neuen Sicherheitsfeatures und besserer Unterstützung von Echtzeitanwendungen. Die neue Version bietet auch Verbesserungen in den Bereichen Routing und Netzwerk-Autokonfiguration. IT-Fachleute gehen davon aus, dass IPv6 die Vorgängerversion IPv4 stufenweise ersetzen wird. In der Übergangsphase wird es sich nicht vermeiden lassen, dass über Jahre hinweg beide Versionen genutzt werden.

Wie sieht nun die Zukunft der Firewall aus? Die Stellung der Firewall geht weg vom Stand-alone-Produkt hin zu einer integrierten Lösung innerhalb eines umfassenden Sicherheitskonzepts. Sie wird damit Teil einer umfassenden Sicherheitsarchitektur für große, heterogene Netze mit einer zentralen Schnittstelle und einer einheitlichen Datenbasis für alle Sicherheitssysteme und -anwendungen. Der Administrator kann dann von einer einzigen Konsole aus alle Sicherheitsprozesse administrieren und steuern.

Zu einem derartigen Konzept gehört auch die Integration einer Authentifizierungslösung. Als wirksame Methode hat sich die Public-Key-Infrastruktur (PKI), die auf Autorisierung anstelle von Identifizierung setzt, erwiesen. Dabei wird nicht eine einzelne Person zugelassen, sondern lediglich auf die Rechte verwiesen, die dieser Anwender im Netz hat. Die Aussichten sind außerdem gut, dass sich starke Authentifizierungsmaßnahmen wie Smartcards und biometrische Verfahren in Unternehmen durchsetzen.

Absicherung nach innenEin wesentlicher Bestandteil einer umfassenden Sicherheitsarchitektur sind Intrusion-Detection-Systeme (IDS). Diese sichern das Netz aktiv auch nach innen ab und bilden einen weiteren Schritt in Richtung Ressourcenschutz. Sicherheitslücken sind permanent eine Gefahr und werden auch ausgenutzt: Anwender können von innen in die Server einbrechen und dort Daten entweder in krimineller Absicht oder aus Versehen manipulieren oder löschen. Grundsätzlich gibt es zwei Arten von IDS - Host- und Netzwerk-basierende IDS.

Host-basierende Intrusion-Detection-Systeme kontrollieren Log-ins, Ressourcen und Dokumente auf dem Server. Sie überprüfen System-, Sicherheits- und Anwendungsprotokolle sowie die Zugriffskontrollen von Firewalls. Host-basierende IDS sind in der Lage, den verantwortlichen Administrator mit den exakten Details des Angriffs in Echtzeit zu benachrichtigen. Allerdings werden nicht alle Störungen erkannt. Denial-of-Service-Attacken zum Beispiel - also die gezielte Überflutung von Servern mit Datenmüll in der Absicht, sie zum Absturz zu bringen - werden am besten erkannt und bekämpft, wenn das Netzwerk selbst überwacht wird.

Diese Aufgabe übernehmen Netzwerk-basierende IDS. Sie analysieren die Typen und Kombinationen von Datenpaketen im Netzwerk. Ein Netzwerk-basierendes IDS läuft auf einem eigenen Rechner, der mit dem LAN-Segment verbunden wird, das man überwachen will. Die Überprüfung jedes Datenpakets und die Analyse unterschiedlicher Kombinationen dieses Segments ist allerdings sehr rechenintensiv. Daher gerät heute ein Netzwerk-basierendes IDS schnell an seine Grenzen. Ein fortschrittliches Netzwerk-basierendes IDS wie NetProwler von Axent erlaubt es dem User, seine eigenen spezifischen Profile zu bilden. Vorteil: Der Administrator hat damit völlige Freiheit, je nach definierter Security Policy den Zugriff auf die Server selbst zu bestimmen und eigene Signaturen zu definieren.

Damit IDS zu jeder Zeit korrekt und effektiv arbeiten, müssen sie regelmäßig mit neuen Patches aktualisiert werden. Moderne IDS laden deshalb neue bekannte Attacken von der Homepage des Herstellers dynamisch herunter, ohne dass eine Reinstallation oder ein Update des Produkts durchgeführt werden muss. Das ist besonders wichtig, da fast täglich neue Angriffswerke produziert werden.

Grundsätzlich ist es immer besser, wenn sich das Unternehmen selbst absichtlich "attackiert" und nicht wartet, bis es zu spät ist und ein krimineller Hacker von innen oder außen Schwachstellen im Netz ausnutzt. So genannte Security Scanner testen die Netzwerksicherheit gleichzeitig an mehreren Stellen mit unterschiedlichsten Hackermethoden und dokumentieren alle potenziellen Schwachstellen. Damit können Administratoren die Konfiguration von Betriebssystemen, Firewalls, angeschlossenen Geräten und natürlich ERP-Anwendungen auf die größtmögliche Sicherheit hin optimieren. Netzwerkscanner analysieren die kritische Netzwerk- und Systeminfrastruktur in einem Unternehmen aus der Perspektive eines Hackers. Dabei dürfen die Scanner Administratoren nicht mit Listen von Sicherheitsmängeln überfluten, sondern sie müssen schnell, effektiv und exakt das zugrunde liegende Problem visualisieren. Es reicht nicht aus, nur mögliche Risiken aufzuzeigen, sondern es müssen auch Empfehlungen zur Lösung des Problems aufgezeigt werden, bevor ein Eindringling die Schwachstellen ausnutzen und wichtige E-Business-Aktivitäten gefährden kann.

Zentral alle Schutz- mechanismen steuernFür das zentrale Sicherheits-Management eines Unternehmens empfehlen sich Sicherheits-Management-Systeme, welche die Unternehmens-IT nach der definierten Security Policy untersuchen. Sie identifizieren Systeme mit einem großen Risiko und dokumentieren Sicherheitsverletzungen. Ganz wichtig ist dies vor allem bei großen, heterogenen und großräumig verteilten IT-Umgebungen. Solche Systeme erlauben Unternehmen, ihre Sicherheitsstrategien auf einfache Weise umzusetzen und sichere ERP-Anwendungen für Kunden und Partner über Internet, Intranet und per Fernzugriff zu garantieren. Zu ihren Aufgaben gehören Checks für Betriebssysteme, Router, Firewalls, Web-Server und die gängigsten Softwarekomponenten wie etwa Datenbanken oder E-Mail-Anwendungen.

In Zukunft werden sich ganzheitliche Sicherheits-Management-Systeme durchsetzen. Der entscheidende Vorteil besteht darin, von einer zentralen Management-Konsole aus die aktuelle Sicherheitslage sowohl von IT-Managern als auch vom nichttechnischen Führungspersonal über jeden beliebigen Web-Browser jederzeit abrufen zu können. Eine übersichtliche Grafik zeigt dabei an, inwieweit die existierende Security Policy zu einem bestimmten Zeitpunkt erfüllt wird. Durch Exportfunktionen lassen sich die Reports auch in Unternehmensberichte integrieren. Das rationalisiert das alltägliche Bewerten und Protokollieren der Sicherheitspraktiken im gesamten Unternehmen.

Einen überzeugenden Ansatz zu einem ganzheitlichen Sicherheitskonzept liefert Axent mit dem "Smart Security"-Konzept. Eingebettet in ein umfassendes E-Security-System arbeiten hier die jeweils wirksamsten Lösungen in vier sicherheitsrelevanten Bereichen. Im Bereich "Risikoanalyse" erfolgen Sicherheitsbewertung und -Management. Der "Schutz" besteht aus Firewall- und Intrusion-Detection-Systemen. Zur sicheren "Realisierung" von Internet-Zugang und Remote Access sind Zwei-Faktor-Authentifizierung, ein VPN (Virtual Private Network) sowie Passwort-Synchronisation vorgesehen. Der letzte Bereich "Management" beinhaltet eine Lösung für das Sicherheits-Management. Eine Smart-Security-Architektur zur Steuerung aller Produkte und Dienste über eine zentrale Administrationskonsole wird derzeit noch entwickelt. Soweit zu den Lösungen. Nach welchem Schema kann ein Unternehmen nun ein erfolgreiches E-Security-System am besten aufbauen? Das "Lifecycle Security"-Modell zeigt den effizienten organisatorischen Ablauf sämtlicher E-Security-Maßnahmen in Form eines Kreislaufs (siehe Grafik: "LifecycleSecurity"-Modell). An diesem Modell wird deutlich, welche Vorteile ein ganzheitliches Security-Konzept gegenüber punktuellen Ansätzen hat.

*Artur Heil ist General Manager Central Europe bei Axent Technologies.