Sicherheitsstrukturen im Wandel

Früher war alles einfach: Um IT-Strukturen sicher zu machen, wurden sie einfach gegen aussen abgeschottet. Mit den heutigen Geschäftsmodellen ist ein solches Vorgehen undenkbar. Das erfordert neue Sicherheits-Architekturen und -Produkte.

Artikel erschienen in Swiss IT Reseller 2002/11

     

Das Internet hat die Geschäftswelt verändert. Geschäftspartner brauchen Zugriff auf Informationen und Systeme, die sich normalerweise hinter der Unternehmens-Firewall befinden. Zulieferer greifen über das Internet, Angestellte auch noch über drahtlose Netze auf Informationen zu, die auf internen Servern lagern.
Manchen Unternehmen wird plötzlich bewusst, dass ihre internen Netze in dieser Situation nicht mehr sicher sind. Die Sicherheitsinfrastruktur muss heute Anwender unterstützen, die von unterschiedlichsten Orten und Geräten aus Informationen und Dienstleistungen abrufen. Die Gefahren, die das Netzwerk bedrohen, sind damit sehr viel komplexer geworden.
Sie reichen von Cyber-Terroristen und Industriespionage bis zu einer Hackerszene, die über Tools verfügt, die sowohl Attacken wie die Entwicklung von Viren und Würmern immer einfacher werden lassen. Die Unternehmen können nicht mehr länger davon ausgehen, dass nur treue Mitarbeiter Zugang zum internen Netzwerk haben.

Sicherheitslücken

In einem offenen Netzwerk sind die Perimeter – neben Gateways, Servern und Desktop-Rechnern auch auswärtige Filialen, Laptops und PDAs – immer schwieriger auszumachen.In jedem Netzwerk öffnen sich zudem, wie die Sicherheitsexperten nicht müde werden zu predigen, ständig jede Menge neuer Hintertüren: Mitarbeiter, die öffentliche E-Mail-Accounts und Instant-Messaging-Systeme benutzen, schlecht konfigurierte oder vernachlässigte LANs, Aussendienstler, die über Remote Control auf ihre Rechner zugreifen und Verbindungen zu Partner-Netzwerken, welche die Firewall umgehen.
Online-Konferenzen und Verbindungen mit Heimnetzwerken von Mitarbeitern können zudem zusätzliche Löcher in die Firewall brechen, und jede Software, die online abrufbar ist, bedeutet ein neues Sicherheitsrisiko.
Die Unternehmen können in dieser Situation nicht mehr unbesehen davon ausgehen, dass ihre internen Netzwerke vertraulich sind. Die Informationen müssen daher auf dem Weg zwischen Client, Server und allen möglichen ans Netz angeschlossenen Geräten durch Verschlüsselung End-to-End geschützt werden. Dabei kommen verschiedenste Technologien zum Einsatz: Virtual Private Networks (VPN) oder IPv6-Infrastrukturen, sichere Browser-Sessions, Anwendungszugriffe über Secure Shell (SSH) oder Remote Procedure
Calls (RPC) und sichere Messaging- und Content-Delivery-Systeme.
Starke Authentifikationsmethoden müssen die Identifizierung und die Überprüfung der Zugriffsberechtigung gewährleisten.Die Verantwortlichen stehen vor der Aufgabe, diese vielfältigen Sicherheitsmassnahmen gegenüber den Anforderungen durch die Geschäftsabläufe und -prioritäten abzuwägen, zu administrieren und proaktiv einzusetzen. In der Praxis bedeutet dies, dass für alle am Netzwerk angeschlossenen Systeme Sicherheitssysteme aufgebaut werden müssen. Die grosse Menge von verteilten Firewalls und Sicherheitsprodukten verlangt aber nach zentralen Management-Werkzeugen, um die Durchsetzung einheitlicher Sicherheitsmassnahmen zu gewährleisten.
Manche der dafür in Frage kommenden Tools sind noch neu im Markt. Entsprechend beinhalten sie technische und geschäftliche Risiken. Doch ein gelungener Angriff auf vertrauliche Informationen und Ressourcen bedeutet letztlich ein ungleich grösseres Risiko.

Neue Sicherheitselemente

Lange Zeit war der Sicherheitsmarkt von wenigen Anbietern von Firewalls, VPNs und Intrusion-Detection-Software beherrscht. Dazu gehörten insbesondere Check-Point-Software mit Firewall-1, Cisco mit den PIX- und IOS-Firewalls und Secure Computing mit Sidewinder. Der Trend ging dabei zu Hardware-Appliances, die Firewall und VPN-Gateway kombinieren.
Schutzmassnahmen am Eingang zum Unternehmensnetzwerk werden wohl auch weiterhin eine Rolle spielen, doch sie verlieren an Bedeutung. Eine mögliche Entwicklung ist, dass Router und Switches die Authentifizierung und die Berechtigungsverteilung für den Zugang zu Ressourcen übernehmen, wie das zum Beispiel Enterasys mit seiner UPN (User Personalized Network)-Architektur propagiert. Identitifikation, Zugangskontrolle, die Filterung des Verkehrs und die Virenabwehr verschieben sich mehr und mehr zu den Web-Portalen, zu Sicherheits-Appliances und in die Sicherheits-Soft- und -Hardware zum Schutz von Abteilungssystemen, Servern und Desktop-Geräten.
Diese verteilten Strukturen basieren auf einer neuen Generation von Werkzeugen, die noch nicht allzu lange verfügbar sind. Der Einsatz von verteilten Firewalls, VPN-Gateways und mit Filtern ausgerüsteten Routern und Switches, die oft von verschiedenen Herstellern stammen, machen es schwierig, für alle Geräte konsistente Regeln durchzusetzen. Hersteller wie Cisco oder Check Point bieten für ihre eigenen Produkte zentrale Verwaltungs-Tools an. Auf dem Markt sind aber auch herstellerunabhängige Tools zu finden, mit denen Regeln und Zulassungskriterien verwaltet werden können.
Eine interessante Lösung wurde von 3Com und Secure Computing entwickelt. Der zentrale Server verwaltet die Sicherheitsrichtlinien und die Zutrittskontrolle, während an den strategischen Punkten Smart Networks Interface Cards – NICs – eingesetzt werden. In diese Karten ist eine Firewall zur Überprüfung der Datenpakete integriert. Da jedes ans Netzwerk angeschlossene Gerät eine NIC benötigt, ist das Konzept insbesondere auch geeignet, Angriffe aus dem eigenen Netzwerk abzuwehren. Ausserdem ist die Hardware weniger durch einen bösartigen Code gefährdet als eine reine Software-Firewall.
Ursprünglich für den Heimmarkt entwickelte persönliche Firewalls und Sicherheitssysteme, die in der Lage sind, auch unbekannte Viren und Würmer zu erkennen, finden immer öfter den Weg in die Unternehmen, seit sie ebenfalls über zentrale Management-Tools gesteuert werden können. Hierher gehören etwa die Produkte von Zone Labs, Internet Security Systems oder F-Secure. Eine interessante Funktion besitzt der Cybergatekeeper von Infoexpress: Er zwingt den Anwender, das Anti-Virus-, Firewall- und Intrusion-Detection-Paket zu starten, bevor der Zugang zum Netzwerk freigegeben wird.
Manche Security Appliances, wie sie zum Beispiel Symantec oder Sonicwall anbieten, kombinieren in einem einzigen Gerät ganze Sicherheitssuiten, inklusive Virenschutz, mit Intrusion Detection und einer Firewall. Der Vorteil dieser Konstellation liegt vor allem im einfachen Support und den geringen Betriebskosten.
Für die End-to-End-Sicherheit zwischen ungeschützten Netzwerkteilen setzen immer mehr Firmen VPN-Technologien ein. Für den Verkehr zwischen Browser und Web-Server kommt auch die neue Ipv6-Infrastruktur mit integrierter Unterstützung für IPSec in Frage. Doch der zunehmende Verkehr von verschlüsselten Daten bringt ein neues Problem mit sich: Netzwerk-basierende Fil-
ter und Intrusion-Detection-Systeme werden auf diese Weise unterlaufen – ein Grund mehr, diese Aufgaben möglichst bei den Desktop- und Serversystemen, also nach der IDSec-Entschlüsselung, anzusiedeln.
Microsoft bietet für Windows 2000- und XP-Clients sowie Windows 2000 und Dot-Net-Server integrierte VPN-Unterstützung. Die meisten Unternehmen scheinen sich jedoch lieber auf die Produkte von spezialisierten Anbietern wie Alcatel, Check Point, Cisco, Nortel oder Symantec zu verlassen.
Das Zusammenwachsen von internen Netzwerken, Funk-LANs und dem öffentlichen Internet begünstigt den Trend zu verteilten Sicherheitsmassnahmen. Grosse Unternehmen haben dies erkannt, und die Anbieter sind daran, ihre Produkte der Nachfrage anzupassen. So fliessen zunehmend dezentrale Lösungen, selbst wenn sie erst seit kurzem auf dem Markt sind, in die Sicherheitsentscheide der Unternehmen ein. (fis)

Überlegungen für die Wahl eines Sicherheitssystems

Es ist besser, einheitliche Sicherheitsregeln zentral zu verwalten, als sie auf jedem Gerät einzeln zu installieren.
Die Sicherheitsmassnahmen müssen möglichst ohne Zutun des Anwenders implementiert und gepflegt werden können.
Unvorhergesehene Kosten können sich ergeben, wenn Infrastrukturen wie Enterprise Directory, Authentifizierungs-System oder Public-Key-Infrastruktur (PKI) neu installiert werden müssen.
Netzwerk und Bandbreite können wachsen. Die Sicherheitslösung muss mit der steigenden Komplexität Schritt halten können.
Neue Technologien und Architekturen bieten den Erstanwendern manche Chance, bergen aber auch technische und geschäftliche Risiken.

Wireless LAN Gateways

Wireless LAN nach dem IEEE-Standard 802.11b findet immer öfter Eingang in die Unternehmen. Meist siegen nach einiger Zeit Geschäftsüberlegungen und Produktivitätsvorteile über die Sicherheitsbedenken.
Obwohl die in integrierte «Wired Equivalent Privacy» (WEP) ihrem Namen keineswegs gerecht wird und als leicht zu knacken gilt, sollte sie immer als erste Barriere aktiviert werden.
Vom Sicherheitsstandpunkt aus muss aber jede Funk-LAN-Verbindung trotzdem behandelt werden, als stamme sie von einem externen Netzwerk.
Das heisst, dass die Verbindung auf jeden Fall die Firewall passieren und der Anwender sich authentifizieren sollte. Für vertrauliche Informationen sollte das 820.11-Gerät zudem einen VPN-Client unterstützen.


Artikel kommentieren
Kommentare werden vor der Freischaltung durch die Redaktion geprüft.

Anti-Spam-Frage: Wieviele Zwerge traf Schneewittchen im Wald?
GOLD SPONSOREN
SPONSOREN & PARTNER