Sergey Nivens - Fotolia

Schritt für Schritt: Aufbau einer sicheren IT-Architektur

Ein zentrales Gateway ist unabdingbar, um den Datenverkehr im Unternehmen zu kontrollieren, zu analysieren und zu schützen.

Stark vereinfacht gesagt, beschreibt Architektur, wie Dinge organisiert und arrangiert sind. Wenn mit „Ding“ in diesem Fall ein Netzwerk als Teil eines IT-Gesamtsystems gemeint ist, dann geht es darum, das System so zu organisieren und zu betreiben, dass neben einer umfassenden Kontrolle auch das Entdecken von unerwarteter, ungewollter oder bösartiger Aktivität möglich ist.

Wenn sich Daten zwischen den Netzwerken bewegen und dabei nicht gesehen werden, können sie auch nicht überwacht werden. Um ein effektives Monitoring sicherzustellen, sollte der gesamte Traffic durch ein Gateway-System geleitet werden. Besonders großen Unternehmen fehlt oft die wirkliche Übersicht, wie viele Zugänge zum Internet sie nutzen. In den USA hat die US Federal Executive Branch mehr als 8000 verschiedene Zugänge über ihre verschiedenen Behörden benutzt. Viele davon wurden von keinerlei Netzwerk- oder Sicherheitsarchitektur überwacht, ein großes Problem für die Sicherheit dieser Behörden.

Ein sicheres Internet-Gateway sollte über folgende Fähigkeiten verfügen:

  • Firewall, die Stateful Packet Inspection und Zugriffskontrollen bietet
  • Intrusion Detection System (IDS)/Intrusion Prevention Service (IPS)
  • Application Proxy für folgende Protokolle: HTTP/HTTPS, SMTP, FTP und andere
  • Spam-Filter
  • Antiviren-Lösung und Malware-Filterung
  • Analyse des Netzwerk-Traffic

Firewall

Die Empfehlung einer Firewall klingt zunächst wie ein veralteter Ratschlag, allerdings sollten Sie folgendes wissen: In 2011 wurden das Sony PlayStation Network und Sony Online Entertainment gehackt, dabei wurden die Daten von mehr als 100 Millionen Nutzern gestohlen. Diese Netzwerke wurden nicht von Firewalls überwacht.

Aus der Perspektive eines Sicherheitsarchitekten ist eine Firewall vor allem ein Gerät, das Sicherheitsrichtlinien durchsetzt, allen voran Zugriffsrichtlinien. Das System geht dabei davon aus, dass zuvor eine sichere Barriere zum Internet eingezogen wurde und die Firewall den einzigen Zugang bildet, die notwendigen Richtlinien wurden vorab definiert und sind dokumentiert. Ohne diese definierten Zugriffsrichtlinien, kann selbst die beste Firewall nicht wirklich die notwendige Sicherheit bereitstellen.

Intrusion Detection und Intrusion Prevention

Ein IDS oder eine IPS bietet kritische Funktionen, die Teil jeder Sicherheitsarchitektur sein sollten. Im Gateway nutzen IDS und IPS normalerweise Signaturen um bekannte Bedrohungen oder die Nutzung von unerwünschten Protokollen zu entdecken. Die Signaturen eines IDS sind dabei ähnlich aufgebaut wie Signaturen in einer Antiviren-Lösung. Das bedeutet auch, dass Angriffe, für die es noch keine Signatur gibt, auch nicht erkannt werden können. Wie bei Antiviren-Lösungen müssen auch hier die Datenbanken regelmäßig aktualisiert werden.

Proxy für alles

Alle Protokolle für Applikationen, die durch das Gateway geleitet werden, müssen über einen bidirektionalen Proxy-Dienst laufen, um effektiv überwacht werden zu können. Zum Start sollte das mit E-Mail- (SMTP, IMAP, POP3) und Web-Protokollen (HTTP, HTTPS) überwacht werden, dies sollte den Großteil des Datenverkehrs abdecken. Eine Analyse der Bandbreite zeigt weitere Protokolle, die im Einsatz sind, etwa FTP oder SSH. Wenn diese Protokolle durch einen vollen bidirektionalen Proxy geschickt werden, können Sicherheitskomponenten effektiv überwachen, welche Daten das Netzwerk betreten und von diesem verschickt werden. Proxy-Dienste beinhalten:

  • E-Mail Proxy: E-Mail-Proxys können Spam filtern, nach Viren suchen und E-Mail-Anhänge sowie HTML-Links kontrollieren. Aktive Inhalte und mobiler Code lässt sich ebenfalls von dem Proxy Dienst ausfiltern. E-Mails lassen sich zudem auf Inhalte überprüfen, die nicht verschickt werden dürfen.
  • Web Proxy: Ein Web-Proxy sollte einen bidirektionalen Filter für HTTP und HTTPS bieten, basierend auf URL oder IP-Adresse. Dazu sollte auch ein Filter für Links zu URLs, IP-Adressen oder in Webseiten eingebetteten Code bieten. Teil der Lösung sollte ein Filter für Inhalte und Schlüsselwörter sein. Der Zugriff auf webbasierte E-Mail-Dienste – die gerne für Datendiebstahl genutzt werden – lässt sich ebenfalls überwachen und blockieren.

Antivirus und Spam-Schutz

Falls solche Lösungen nicht an anderen Orten im System geboten werden, sollte Antiviren-, Malware-Scanning und Anti-Spam Teil des Gateways sein. Es ist zwar durchaus möglich, unerwünschte E-Mails und Schadsoftware auf den einzelnen PCs zu filtern, wenn diese aber bereits am Gateway erwischt werden können, verringert sich Gefahr für das gesamte Unternehmen.

Analyse von Netzwerkverkehr

Die Analyse des Netzwerk-Traffic basiert darauf, IP-basierte Datenströme, sogenannte Flows, zu sammeln und auszuwerten. So lässt sich die Art der aktuell stattfindenden Kommunikation herausfinden. Für die Analyse der Flows kommt etwa Netflow von Cisco oder IPFIX von der Internet Engineering Task Force zum Einsatz.

IP Flows liefern eine ganze Reihe von Informationen und sind enorm nützlich, um Netzwerkverhalten zu verstehen. Dazu gehören:

  • Quelladresse, die zeigt, woher der Datenverkehr kommt;
  • Zieladresse, die den Empfänger anzeigt;
  • Ports, die für die Kommunikation genutzt werden;
  • Klasse des Dienstes, die zeigt, wie der Datenverkehr priorisiert ist;
  • Das Device-Interface zeigt, wie der Datenverkehr im Netzwerkgerät genutzt wird;
  • Zusammengerechnet zeigen die Pakete und Bytes, wie viel Datenverkehr jedes Endgerät im Netzwerk verursacht;
  • Die Identifikation von Betriebssystemen kann Hinweise auf fehlerhafte Systeme geben;
  • Datenverkehr von bekannten Applikationen lässt sich identifizieren und überwachen;
  • Datenverkehr von ungewollten Applikationen lässt sich identifizieren;
  • Und es lassen sich Lastspitzen identifizieren, die auf unerwartete oder übermäßige Bandbreitennutzung hinweisen.

Mit diesen Informationen ist es möglich, ein Grundrauschen für den normalen Betrieb des Netzwerks zu definieren. Ungewolltes oder unerwartetes Verhalten kann dann auf bösartige Applikationen oder einen Angriffsversuch hinweisen und lässt sich leicht aus dem normalen Datenverkehr herausfiltern. Wenn ein Nutzer plötzlich beginnt, unerwartet viele Daten zu einem Punkt außerhalb des Netzwerks zu schicken, kann dies mit einer Analyse des Netzwerkverkehrs entdeckt werden.

Folgen Sie SearchSecurity.de auch auf Twitter, Google+, Xing und Facebook!

Nächste Schritte

Einen Cybersicherheitsplan für Unternehmen aufstellen.

Checkliste IT-Sicherheit: Die Herausforderungen für Unternehmen.

IT-Security: Technologie alleine löst keine Sicherheitsprobleme.

CISO: Die größten Herausforderungen für Sicherheitsverantwortliche.

Erfahren Sie mehr über Anwendungs- und Plattformsicherheit

- GOOGLE-ANZEIGEN

ComputerWeekly.de

Close