Mehr Sicherheit im Internet

Achim Scharf

Die Absicherung des Firmennetzes gegenüber dem Internet gewinnt einen immer höheren Stellenwert. "Laut Aussagen der Marktforscher können wir bis zum Jahr 2010 um die 14 Milliarden an das Internet angeschlossene Geräte und bis Ende nächsten Jahres bis zu 35 Millionen Benutzer mit Fernzugriff über das Internet erwarten. Und schon heute registrieren 90 Prozent aller Unternehmen Einbrüche in ihre Netzwerke, 70 Prozent der Angriffe über das Internet finden in der Anwendungsschicht statt", skizziert Dominik Langrehr, Security Marketing Manager bei Microsoft Deutschland, das Bedrohungsszenario in der heutigen vernetzten Welt. Doch die Lage ist für die IT-Chefs der betroffenen Unternehmen nicht ausweglos, "denn 95 Prozent aller Netzwerkattacken lassen sich mit der richtigen Konfiguration der Server-Betriebssysteme und der Webserver vermeiden", stellt Langrehr fest.

Diese Aussage ist allerdings auch implizit ein Rüffel an die Adresse der meisten CIOs, die mit der richtigen Konfiguration ihrer Netzwerkarchitekturen überfordert sind. Hier soll nun ISA greifen.

Mehr Sicherheit für Windows

Bereits im Oktober 2001 kündigte Microsoft das Strategic Technology Protection Program an, in dessen Rahmen zunächst die wesentlichen Sicherheitslücken im Windows 2000 Server sowie im Internet Information Server geschlossen werden sollten. Das allein reichte offensichtlich nicht aus, so dass ein neuer Server her musste, der Internet Security and Acceleration Server 2000. Im September 2003 wurde der ISA-Server durch das deutsche Bundesamt für Sicherheit in der Informationstechnik (BSI) nach dem ISO-Sicherheitsstandard "Common Criteria" auf HP-ProLiant-Server zertifiziert. Symantec AntiVirus für ISA Server wurde speziell für die gängigsten Internetprotokolle HTTP, SMTP und FTP ausgelegt. Die Konfiguration und Verwaltung ist über eine ISA-Management-Konsole zentralisiert. Durch enge Integration des ISA-Server in Windows 2000 Server oder Windows Server 2003 ist die zentrale Verwaltung von Benutzerzugriffen, Firewall-Regeln und unternehmensweiten Security-Policies über das Active Directory möglich.

"ISA-Server 2004 erweitert nun diese Funktionalität durch eine verbesserte Sicherheitsarchitektur, die bis in die Anwendungsschicht greift", stellt Langrehr fest. ISA Server 2004 biete eine aktualisierte Sicherheitsarchitektur, die auf Microsoft-Applikationen wie Exchange Server und Portal-Technologien optimiert wurde. Basis des hohen Sicherheitslevels der Firewall sind die ausgereiften Application Layer Filtering-Funktionen sowie die Untersuchung und vollständige Filterung des VPN-Datenverkehrs. Eine Evaluierung ist beim BSI in Arbeit, der Abschluss ist zum Jahresende geplant.

Für Netze beliebiger Topologie

Die Überprüfung des Datenverkehrs erfolgt auf mehreren Ebenen (Multilayer Inspection). Durch die intelligente Filterung der Protokolllogik und der Daten in VPN-, HTTP-, FTP-, SMTP-, POP3-, DNS-, H.323-Conferencing-, Streaming Media- und RPC-Verbindungen kann ISA Server 2004 Datenverkehr je nach Inhalten akzeptieren, ablehnen, weiterleiten, ändern oder in Quarantäne stellen. Ein Sicherheits-Spezialfilter für HTTP untersucht oder blockt mittels Signaturen eine Reihe von sicherheitskritischen Anwendungen, die HTTP als Transportprotokoll nutzen wie File-Sharing oder Messenger Tools. Dabei wird anhand von Regeln festgelegt, in welchem Umfang die HTTP-Header, -methoden oder Daten geprüft werden sollen. Stateful Inspection von VPN-Verbindungen und VPN-Quarantänefunktionen bieten Sicherheit für Clients und Gateways. Auf den gesamten VPN-Datenstrom können die gleichen Regeln angewandt werden, wie bei allen anderen Clients innerhalb des Netzwerkes. Standards wie NAT-Traversal und der IPSEC Tunnel Modus bieten darüber hinaus fortschrittliche Technologie. Mit Hilfe der integrierten Multi-Networkingfunktionen sowie flexiblen Routing- oder NAT-Konfigurationen lässt sich ISA Server 2004 in vorhandenen IT-Umgebungen als Haupt-, Abteilungs-, Zweigstellen- oder interne Firewall einsetzen, ohne die Netzwerkarchitektur ändern zu müssen.

Interessant dürfte ISA 2004 für Exchange-Nutzer sein, denn er ermöglicht die sichere Veröffentlichung von Server Postfächern mit Outlook Web Access (OWA) oder Outlook. Durch die HTTP-Filterung auch bei OWA SSL Datenverkehr (SSL Bridging) können E-Mail Inhalte schon an der Firewall eingehend auf gefährlichen Code hin überprüft werden. Mit einer vordefinierten Regel für Webveröffentlichung ist eine sichere, formular-basierte Authentifizierung für OWA direkt auf der ISA 2004 Firewall möglich. Und durch Vorauthentifizierung lassen sich anonyme Zugriffsversuche oder Denial of Service-Angriffe auf den OWA Server verhindern. Gleichzeitig ermöglicht Multifaktor-Authentifzierung stärkere Authentifizierungsfunktionen über RADIUS (Remote Authentication Dial-In UserService) und Smart Cards. Mit Hilfe der Sitzungstimeouts wird verhindert, dass E-Mail-Sitzungen von Benutzern für unbegrenzte Zeit geöffnet bleiben.

Eine neue grafische Benutzeroberfläche, automatisierte Hilfsfunktionen und Vorlagen sowie neue Protokoll- und Überwachungsfunktionen sollen IT-Profis entlasten und so für mehr Sicherheit und Effizienz sorgen. Durch die Integration von ISA Server 2004 mit Windows Active Directory Services und RADIUS können Administratoren Nutzungsregeln und vielfältige Authentifizierungsstandards auf Nutzer- oder Gruppen-Ebene für eine Reihe von Zugriffs-Szenarien realisieren.

Sofort Startklar

Auf ISA Server 2004 basierende Appliances bieten eine vorinstallierte und gehärtete Sicherheitslösung zur schnellen Inbetriebnahme, integrierte Sicherheits-Add-ons von Drittherstellern wie Anti-Virus und Intrusion Prevention, Konfigurationshilfen sowie Vorlagen für spezifische Sicherheitsszenarien. Appliances gibt es in vier Varianten - als dedizierte Firewall, VPN- oder Webcachelösung sowie als integrierter Security Server mit vollem Funktionsumfang.

"Die Pyramid ISA Appliance geht in Bezug auf Sicherheitsanforderungen deutlich über einen normalen Server mit ISA hinaus. Die Firewall ist getestet, integriert und vorinstalliert. Vor allem aber ist die Lösung gegenüber einem Standard Server mit ISA pre-hardened, d.h. unbenötigte Dienste und Angriffspunkte sind eliminiert, verglichen mit dem ISA Server 2004 auf einem Universalserver ist die Pyramid Appliance erheblich sicherer", meint Pyramid-Pressesprecher Goetz Herzog.

Die Appliance sei in den unterschiedlichen Varianten exakt an die Bedürfnisse von Unternehmen unterschiedlicher Größe ausgerichtet, es gibt keine überflüssig zu bezahlenden Hardwarekomponenten - und das bei physikalischer Separation der Firewall von anderen Server-Funktionalitäten (zahlreiche Unternehmen verwenden eine SW-Firewall auch für weitere Server-Funktionalität). Die Appliance kann trotzdem mit Plug-Ins der vielen Dritthersteller für Virenscanner oder Intrusion Detection erweitert werden. Die Pyramid ValueServer 2004 werden als 1HE, 2HE oder Stand-Alone Systeme angeboten. Preise beginnen bei Euro 1199,- für den Pyramid ISA Server 2004 Shortrack im 1HE Gehäuse mit Intel Celeron CPU, 80-GB-Platte, 256MB RAM, 2 x 1 GBit NIC und Firewall-only Lizenz. Der Terra Aqua Securus M500, ebenfalls mit Celeron-Prozessor, kostet ab Euro 1999,-.

http://www.microsoft.com/germany/isa
http://www.pyramid.de
http://www.wortmann.de