xiaoliangge - Fotolia

Grundlagen der Netzwerksicherheit und ihre Entwicklung

Die Ansätze der Netzwerksicherheit haben sich über die Jahre weiterentwickelt. Moderne Security Tools arbeiten zusammen und sind somit effizienter.

Anmerkung der Redaktion: Im ersten Teil dieser vierteiligen Artikelreihe über die Grundsätze der Netzwerksicherheit erläutern wir, wie sich Netzwerk-Security als Ganzes entwickelt hat. Weiterhin sprechen wir über die vier wichtigsten Tools, die Ihr Unternehmen verwenden sollte, um das Netzwerk sicher zu halten. Im zweiten Teil kümmern wir uns um wichtige Anwendungsfälle für diese Tools. Im dritten Artikel sprechen wir über Kaufkriterien. Der vierte Beitrag vergleicht diese Kaufkriterien mit den führenden Anbietern auf dem Markt.

Vor gar nicht so langer Zeit bestand Netzwerksicherheit aus einer Handvoll autonomer Komponenten, die einfache und komplett voneinander getrennte Aufgaben erledigten. Netzwerk-Administratoren mussten sich außerdem mit der Überabsicherung des Netzwerks beschäftigen. Netzwerkgeräte waren unter anderem dafür zuständig, einzelne Schwachstellen und mögliche Flaschenhälse zu kompensieren.

Security-Hardware heutzutage ist wesentlich fortschrittlicher und leistungsfähiger. Mehrere Security-Komponenten für das Netzwerk interagieren miteinander und bilden somit ein engeres Security-Geflecht. Das gilt sowohl an den Netzwerkgrenzen als auch für das interne Unternehmensnetzwerk. Die Flaschenhälse wurden ebenfalls eliminiert. Das haben wir anwendungsspezifischen und integrierten Komponenten zu verdanken, die Daten in der Geschwindigkeit des Kabels filtern und prüfen können.

In diesem Artikel sehen wir uns an, wie sich die Grundsätze der Netzwerksicherheit verändert haben. Weiterhin sprechen wir über modernste Security-Tools, die jedes Unternehmen in den kommenden Monaten evaluieren sollte:

Einige dieser Security-Tools wie zum Beispiel NGFWs und SWGs gibt es seit Jahren auf dem Markt. Andere haben sich im Laufe der Zeit entwickelt. Damit adressiert man die neuesten Security-Bedrohungen. Andere Tools wie NAC und Malware Sandboxing sind relativ neue Konzepte im Hinblick auf die gesamte Security-Plattform. Bevor wir uns näher mit den Funktionen und den Sicherheitsvorteilen der modernen Tools beschäftigen, sehen wir uns zunächst an, wie sich die Grundsätze der Security verändert haben, um einem modernen Unternehmen gerecht zu werden.

Herkömmliche Firewalls

Herkömmliche Firewalls galten seit Jahrzehnten als erste und wichtigste Verteidigungslinie. Bei vielen Unternehmensarchitekturen befinden sich Firewalls am Rande des Netzwerks. An der Stelle also, an der das Kernnetzwerk mit anderen Netzwerken verbunden ist. Das gilt im Speziellen dann, wenn Dritte andere Netzwerke administrieren oder diese verglichen mit dem Kern als weniger sicher eingestuft sind.

Häufig benutzte man Firewalls auch, um Verbindungen zum Internet, Extranet und entfernten WAN-Seiten zu segmentieren. Die ursprünglichen Firewalls waren zustandslos (stateless). Das bedeutet, dass die Firewall keine Intelligenz im Hinblick auf das Monitoring der Datenflüsse besaß. Aus diesem Grund waren frühe Firewalls für sogenannte Spoofing-Angriffe anfällig. Der Angreifer konnte sich so als ein bestimmtes Gerät ausgeben, das wiederum die Erlaubnis hatte, durch die Firewall gelassen zu werden.

Zustandsbehaftete (stateful) Firewalls wurden bald sehr beliebt. Sie bringen die Eigenschaft mit sich, Traffic-Flüsse zwischen zwei Geräten zu überwachen und zu verfolgen, die miteinander durch die Firewall kommunizieren. Zustandstabellen nutzt man nicht nur, um den angemessenen Transport des Datenflusses zu überwachen.

Firewall am Rande des Netzwerks

Sie verifizieren auch, dass die Pakete von den richtigen Geräten innerhalb der existierenden  Verbindungen stammen. Das wird erreicht, indem die Pakete auf Netzwerkschicht und Transportebene (Layer 3 und Layer 4 des OSI-Modells) inspiziert werden. Man überwacht hier Details wie zum Beispiel IP-Adresse, Protokoll und Nummer des Ports. Handelt es sich um TCP, wird außerdem die Sequenznummer unter die Lupe genommen. Bei den durch die Firewall fließenden Paketen werden die relevanten Informationen auf diese Weise bestätigt. Somit haben es gefälschte Geräte wesentlich schwerer, schädliche Pakete durch die Perimeter-Firewall zu schmuggeln.

Herkömmliche Secure Web Gateways

Herkömmliche Firewalls wurden so designend, dass sie nur bestimmten Protokollen und Ports Zugriff erlaubten. Sie konnten allerdings nicht bewerten, ob die besuchten Websites schädlich oder unangemessen waren. Gerade beim Web Traffic gab es dieser Stelle eine relativ große Lücke. Eine Firewall kann nur den gesamten Traffic erlauben oder verbieten. Sie ist aber nicht selektiv und kann die höherwertigen Layer der Protokolle nicht untersuchen. Aus diesem Grund wurden Web Gateways entwickelt.

Die erste Generation der Web Gateways erfüllte lediglich eine einzige Funktion. Die Geräte filterten URLs. In den meisten Umgebungen wurden Web Gateways genutzt, um Zugriff auf Websites zu blockieren, die sich auf einer vordefinierten Blacklist befinden. SWG-Anbieter warteten die Blacklist-Datenbanken und die Gateway Hardware wurde regelmäßig damit abgeglichen. Die Administratoren konnten sich dann aussuchen, welche Blacklist-Kategorien aktiv sind. Zu den Blacklist-Kategorien gehören zum Beispiel Websites mit Inhalten aus den Bereichen Pornografie, Glücksspiel und Hassgruppen, sowie Websites, die bekanntlich mit Malware verseucht sind.

Der Übergang zu einer Defense-in-Depth-Strategie

Jahrelang haben Security Tools wie beispielsweise herkömmliche Firewalls und Secure Web Gateways unabhängig voneinander agiert. Außerdem haben sie unterschiedliche Security-Aufgaben durchgeführt. Diese Architektur war immer noch besser als nichts. Allerdings gab es lediglich eine Verteidigungsschicht gegen potenzielle Bedrohungen. Um zusätzliche Schutzschichten zu implementieren, ist man auf sogenannte Defense-in-Depth-Strategien umgestiegen. Die Idee dahinter ist der überschneidende Einsatz von Security Tools. Somit müssen Bedrohungen durch mehrere Sicherheitsmechanismen, die schädliches Verhalten verhindern wollen.

Herkömmliche Firewalls, Web- und E-Mail Security Gateways, sowie  Intrusion Prevention System (IPS) werden alle genutzt, um die Grenzen eines Unternehmensnetzwerks zu schützen. Alle eingehenden und ausgehenden Daten filtert man durch die Firewall und das IPS. Sämtlicher Web- und E-Mail-Traffic muss anschließend an die relevanten Security Gateways weiter. Dort finden zusätzliche Scans statt, um Malware zu identifizieren, die sich in den Daten oder E-Mail-Anhängen befinden könnte.

Ist eine Defense-in-Depth-Architektur gut konfiguriert und wird angemessen gewartet, können die darin befindlichen Komponenten robuste Sicherheit bieten. Dennoch fangen zielstrebige Hacker an, Lücken zwischen den einzelnen Systemen zu entdecken, wodurch sie sich Zugriff auf das Netzwerk ergaunern. Dafür gibt es drei Hauptgründe. Zunächst einmal  sind einige der Security Tools schwierig zu implementieren. Oftmals werden nur Teile der verfügbaren Sicherheitsfunktionen in den produktiven Umgebungen genutzt. Zweitens könnten die Sicherheits-Tools nicht angemessen gewartet und aktualisiert sein. Zum Beispiel müssen Sie Firewall Software regelmäßig aktualisieren, um eventuell gefundene Sicherheitslücken identifizieren zu können. Security Gateways und IPS-Datenbanken werden laufend aktualisiert und manchmal müssen Sie das Update manuell durchführen. Schlussendlich überschneiden sich die Geräte zum Teil und bieten mehrere Schutzschichten. Dennoch arbeiten sie unabhängig voneinander und tauschen keine Informationen aus. Diese ließen sich verwenden, um schwierig zu identifizierenden Bedrohungen zu finden.

Wie Next-Generation Security Tools zusammenarbeiten und somit besser sind

Next-Generation Security Tools verwenden nicht nur die Strategie der Defense-in-Depth-Architektur, sondern gehen sogar einen Schritt weiter. Die Integration ist sehr eng und die Informationen werden zwischen den Systemen ausgetauscht. Somit können die Komponenten besser gegen potenzielle Bedrohungen zusammenarbeiten.

Next-Generation Firewalls stellen eine Kombination aus herkömmlichen Firewalls und IPS-Funktionalität dar. Sie überwachen und identifizieren schädliche Pakete, indem sie bekannte Signaturen identifizieren, die Angriffsmuster enthalten. NGFWs nennt man auch Anwendungs- oder Applikations-Firewalls, weil sie die Möglichkeit von Deep Packet Inspection (DPI) besitzen. Somit kann die Firewall die sogenannte Payload der Pakete unter die Lupe nehmen. Auf diese Weise lassen sich nicht nur die Signaturen abgleichen, sondern die Software kann auch identifizieren, zu welcher Anwendung das Paket gehört. Durch diese Methode überschneidet sich die NGFW mit einem IPS und einem Web Security Gateway. Damit sind mehrere Schutzschichten gewährleistet.

Moderne Secure Web Gateways führen nicht mehr nur einfaches URL Filtering durch, sondern sind ein vollwertiger Malware-Schutz. SWGs agieren wie ein IPS und fokussieren sich auf webbasierte Virensignaturen und Anomalien. Diese Signaturen werden automatisch auf die SWG-Appliance kopiert, sobald neue entdeckt sind. Eine weitere Funktion, die man in den meisten modernen SWGs der Enterprise-Klasse findet, ist die Möglichkeit, sich in ein globales Netzwerk an Bedrohungssensoren einzuklinken. Diese Bedrohungssensoren werden in der Regel von einem Sicherheitsanbieter betrieben. Er identifiziert Bedrohungen weltweit und passt die lokalen SWGs in Echtzeit an. So ist der Schutz gegen aufkeimende Bedrohungen aus dem Web besser.

Sogenannte Sandboxes für Malware sind für viele Administratoren in einem Unternehmen ein relativ neues Security Tool. Der Zweck einer Malware Sandbox ist, eine komplett isolierte Umgebung zu erstellen. Dort kann das System ein eventuell verdächtiges Paket und dessen Payload untersuchen. Auf diese Weise lassen sich gefährliche Payloads identifizieren. Schlussendlich verhindert man so, dass die gefährliche Fracht in die produktive Umgebung gelangt. Sandboxes können Bedrohungen erkennen, die andere Tools wie zum Beispiel NGFWs und SWGs nicht entdeckt haben. Einige Malware-Sandbox-Architekturen setzen voraus, dass alle Daten gefiltert werden. Somit ist die Sandbox für die Identifizierung verdächtiger Payloads verantwortlich. In anderen Designs ist die Malware Sandbox auf NGFWs und SWGs angewiesen. Letztere markieren Payloads als verdächtig. Ist das der Fall, werden sie in die Sandbox weitergeleitet und dort ausführlich getestet.

Schlussendlich fangen Next-Generation-Netzwerke an, weit mehr auf Network Access Control zu setzen als vorangegangene Architekturen. Bring Your Own Device (BYOD) ist so explodiert, dass die Sorgen über Sicherheitslücken innerhalb eines Netzwerks stark gestiegen sind. An den Grenzen des Netzwerks hat sich im Gegensatz dazu nichts verändert. Security-Administratoren nehmen es sehr ernst, wer auf die Ressourcen in einem produktiven Netzwerk zugreift. NAC zwingt sowohl Anwender als auch Gerät, sich vor einem Netzwerkzugriff angemessen zu identifizieren. Sobald das Gerät oder der Anwender authentifiziert sind, wird ihnen eine maßgeschneiderte Zugriffsrichtlinie zugewiesen. Diese Policy bestimmt, auf welche Ressourcen der Zugriff im produktiven Netzwerk gewährt wird. Weiterhin lässt sich der Zugriff auf die Ressourcen überwachen und loggen. So kann man verdächtiges Verhalten identifizieren. Damit ist zum Beispiel Diebstahl von geistigem Eigentum oder anderes schädliches Verhalten gemeint.

Der Knackpunkt bei all diesen Next-Generation Tools ist, dass sie zusammenarbeiten, indem sie Informationen miteinander teilen. Somit nutzen sie die Stärke eines jeden Tools aus. Die Chancen sind erhöht, schädliches Verhalten innerhalb und am Rande des Netzwerks zu blockieren. Die Tools sind aber weiterhin individuelle Komponenten, die nach Notwendigkeit selbständig operieren können. Als komplett integrierter Ansatz funktioniert die Sache allerdings besser. Die IT-Sicherheit ist somit wesentlich näher an einer echten In-Depth-Strategie.

In diesem Beitrag haben wir uns mit der Entwicklung der Grundsätze der Netzwerksicherheit im Unternehmen befasst. Im nächsten Artikel sehen wir uns an, welche Schritte notwendig sind, um die Next-Generation Security Tools zu implementieren. Außerdem diskutieren wir, welche Kosten anfallen und wie sich diese rechtfertigen lassen.

Folgen Sie SearchNetworking.de auch auf Twitter, Google+ und Facebook!

Artikel wurde zuletzt im November 2015 aktualisiert

Erfahren Sie mehr über Netzwerksoftware

- GOOGLE-ANZEIGEN

ComputerWeekly.de

Close