Schutz von IT-Infrastrukturen durch DDI (DNS, DHCP, IP Address Management)
Beim Rundumschutz der IT-Infrastruktur werden die im IP-Protokoll eingebetteten DDI-Bestandteile DNS, DHCP und IPAM oft unzureichend berücksichtigt.
Die Ansprüche an die IT-Infrastrukturen in Unternehmen waren schon immer hoch, doch die Komplexität nimmt durch Virtualisierung, neue Trends wie BYOD (Bring Your Own Device) und neue IP-Standards (IPv6) immer weiter zu. Wer bisher noch keine solide Basis für sein Netzwerk hatte, ist nun umso mehr gefordert. Ein wesentlicher Anspruch zur Wahrung der betrieblichen Verfügbarkeit der unternehmenskritischen Systeme ist in diesem Zusammenhang die Sicherheit und der Schutz der Infrastrukturen.
Neben den klassischen Sicherheits-Strategien wie Firewall, Virenschutz und Datensicherung werden von den Unternehmen weitere, nicht minder wichtige Bereiche, oft nicht ausreichend beachtet. Dazu gehören vor allem der Schutz der Schlüsselprotokolle, die im IP-Protokoll eingebettet sind: Domain Name System (DNS), Dynamic Host Configuration Protocol (DHCP) und Internet Protocol Address Management (IPAM), bekannt unter dem Sammelbegriff DDI. Die Gefahren und wie man dagegen vorgehen kann, zeigen die folgenden Methoden und Strategien.
DNS-Firewall
Das DNS (Domain Name System) ist verantwortlich für das Routing zu den Seiten im Internet. Dabei werden die einfach zu merkenden Domain-Namen wie www.searchnetworking.de in Maschinenadressen (206.19.49.154) übersetzt. Die DNS-Firewall ist damit ein zentrales Bollwerk gegen das Eindringen von Malware und als Schutz gegen Datenverluste von innen beim Besuch von gefährlichen Internetseiten.
Bei Angriffen von außen stellen Malware-Programme eine Verbindung durch den DNS her, um schädliche Programme herunterzuladen oder Informationen zu entwenden. Dies beinhaltet typischerweise auch sensible Informationen oder vertrauliche Daten einschließlich Passwörter. Wenn eine DNS-Firewall verwendet wird, können Unternehmen diesen Betrugsversuch identifizieren und unterbinden, bevor das infizierte Gerät Informationen übermitteln kann. Umgekehrt kann eine DNS-Firewall den Zugang zu gefährlichen und verbotenen Internetseiten zu blockieren.
Best Practices für DNS
Eine Sicherheitsstrategie ist niemals genauso wenig statisch wie die Struktur eines Netzwerkes. Die Grundlage ist jedoch eine stabile und zuverlässige Infrastruktur. Best Practices für DNS liefern den IT-Verantwortlichen Konzepte, die eine hohe Sicherheit im Netzwerk liefern und eine kontinuierliche Anpassung ermöglichen.
Um eine sichere DNS-Struktur zu gewährleisten, bietet es sich an, mit zwei DNS-Servern zu arbeiten. Hier wird der Primäre-Server abgeschottet und ist nach außen hin nicht sichtbar. Dabei ist eine Stealth-Architektur möglich, um die Identität des Primär-Servers zu verschleiern. Alternativ ist der Einsatz eines Load-Balancers und Network Handlers denkbar. Die zweite Lösung bietet zusätzlich den Vorteil, dass der Netzwerk-Verkehr bei Last-Spitzen besser verteilt werden kann.
Eine weitere elementare, aber dennoch sehr wichtige Strategie sollte eigentlich selbstverständlich sein, wird aber oftmals nicht eingehalten. Sie besteht darin, das kontinuierliche Einspielen von Updates auf dem DNS-Servern und allen anderen Systemen im Netzwerk sicherzustellen. Nur so kann die Sicherheit gewährleistet werden.
Zuletzt sei noch das Thema Domain Name System Security Extensions (DNSSEC) erwähnt, die Nutzung eines verschlüsselten DNS-Protokolls. DNSSEC verhindert die Umleitung des Datenverkehrs über unberechtigte Server von Hackern. Ein auf jedem Server konfigurierter Schlüssel stellt sicher, dass die Informationen aus einer gesicherten Quelle stammen und nicht korrupt sind. Damit der Kommunikationsfluss gewahrt bleibt, können Unternehmen die Signaturmechanismen automatisieren.
Konsistente IP-Topologie
Je stärker Unternehmen sich globalisieren, desto wichtiger wird die Nutzung einer konsistenten IP-Topologie. Eine Möglichkeit dazu ist es, die Verwaltung von DDI, virtuellen LANs (VLANs) und Netzwerkschnittstellen zusammenzuführen. Die Zusammenführung des IP-Adress- und VLAN-Managements ermöglicht die optimale Strukturierung und Segmentierung des Netzwerkdatenflusses, um die Sicherheit der Infrastruktur zu erhöhen. Zudem wird das Risiko der Fehlkonfiguration ausgeschlossen und die Netzwerksicherheit gestärkt. Die Einbeziehung der Netzwerkschnittstelle ermöglicht die präzise Definition von Switches, Ports und VLANs, mit denen ein Server im Netzwerk mit den zugehörigen IP-Adressen und Namen verbunden ist. Diese Herangehensweise eines ganzheitlichen Netzwerk-Designs liefert eine noch nie da gewesene effiziente Kontrolle und eine genaue Sichtbarkeit der Infrastruktur-Verteilung.
Richtlinien- und Abstimmungsmanagement
Ein Richtlinien- und Abstimmungsmanagement baut auf dem Konzept einer konsistenten Topologie für noch größere Effizienz in Sachen Sicherheit auf. Durch die Befolgung konsequenter Richtlinien kann die IT ein hohes Maß an Granularität erreichen. Wenn jemand absichtlich oder unabsichtlich versucht, ein nicht autorisiertes Gerät zu einem bestimmten Subnetz oder nicht autorisierten Port auf einen Switch hinzuzufügen, wird dieser Versuch augenblicklich erkannt. Heute ist es erstaunlich einfach für Angestellte, WLAN-Geräte in ihren Büros hinzuzufügen, sodass es zunehmend wichtig wird, solche Geräte zu identifizieren.
Captive Portal
Anwendern soll Zugang zu den Firmen-Ressourcen gewährt und gleichzeitig die Netzwerk-Sicherheit aufrechterhalten werden. Um dieses Problem zu lösen, nutzen IT-Abteilungen in verstärktem Maß das Konzept von Captive Portals. Dies ist insbesondere in Situationen hilfreich, in denen sich bestätigte Anwender mit verschiedenen Geräten anmelden. Dabei wird der Nutzer automatisch über ein Portal (durch eine persönliche Identifikation) erkannt, auch wenn er sich von einem neuen unbekannten Geräte anmeldet. IP-seitig wird dem Gerät eine Adresse zugeordnet und authentifiziert.
Durch Anwendung dieser Taktiken können IT-Abteilungen ihre Sicherheitsstrategie erheblich verbessern. Ein Beispiel für eine entsprechende Komplettlösung ist die SOLIDserver-Appliance von EfficientIP, die laut Hersteller die Merkmale DNS-Firewall, Stealth-Architektur für die DNS- und Verwaltungsautomatisierung, Anwender-Mobilitätskontrolle, Signaturmechanismen und Richtlinien-Management bietet.
Dieser Beitrag basiert auf dem Whitepaper „Fünf Schlüsselmethoden zur Erhöhung der Netzwerksicherheit“ von EfficientIP.
