Die zwei Seiten der Firewall

Rainer Doppler

Viren, Spam, Hacker - ist von Netzwerksicherheit die Rede, geht der Blick oft allein auf die Bedrohungen von außen. "Wir verwenden einen Virenscanner und eine Firewall, was soll uns passieren", so lautet der allgemeine Tenor. Doch die Unternehmensdaten sind weitreichenderen Gefahren ausgesetzt. Die Bedrohung lauert auf beiden Seiten der Firewall.

Der einzelne Benutzer als Gefahrenquelle

Bedingt durch eine immer größer werdende Datenflut wächst der Bedarf an höheren Bandbreiten und schnellerer Übertragungsgeschwindigkeit - und damit steigen auch die Anforderungen an das Netzwerk. Parallel dazu gewinnt drahtloser Zugang zu Unternehmensdaten an Bedeutung. Wenn jeder Mitarbeiter eines Unternehmens jederzeit von überall Zugriff auf die Daten hat, bedeutet dies eine echte Herausforderung für die Netzwerksicherheit.

Die Fakten: Jede dritte Netzwerkattacke wird heute von Personen herbeigeführt, die eine offizielle Zugriffserlaubnis zum Firmennetzwerk haben. Das ist nicht neu: Schon 2002 zeigte sich beim Verfahren zum Economic Espionage Act, einem US-amerikanischen Gesetz zur Verfolgung von Wirtschaftsspionage, dass vier von fünf Angeklagten Mitarbeiter aus dem eigenen Unternehmen waren. Umso wichtiger ist es, beide Seiten der Firewall zu beleuchten und eine umfassende Strategie für ein sicheres Netzwerk aufzubauen.

Der Zugang zum Netzwerk erfolgt heute über die verschiedensten Wege: Von einem PC am Arbeitsplatz, von einem Notebook über einen drahtlosen WLAN-Zugang, über ein Handheld-Gerät. Die wichtigste Frage dabei ist, wer wann von wo auf was zugreifen darf. Ging es früher im Unternehmen um Sicherheitsstrategien, wurden die Bedürfnisse und Zuständigkeiten einzelner Personen und Mitarbeiter oft außer Acht gelassen. Sicherheit wurde allein als technologische Funktion und weniger als Geschäftsfunktion gesehen und behandelt.

Identity Driven Management: Vom technologischen zum benutzerorientierten Netzwerkmodell

Das Bewusstsein jedoch ändert sich. Identity Driven Management oder kurz IDM nennt sich die Lösung für ein sicheres und individuell angepasstes Sicherheitskonzept. Den Kern von IDM bilden so genannte Management Policies, also Geschäftsrichtlinien, nach denen jedem Mitarbeiter gemäß seines Einsatzes und seiner Rolle im Unternehmen Zugriffsrechte zugeordnet werden. Dies bedeutet, dass in einer zentral verwalteten Datenbank Zugriffssteuerungslisten, so genannte Access Control Lists oder ACLs, angelegt werden, die verschiedene Benutzerberechtigungen über die Variablen Benutzer, Zeit, Standort, Uhrzeit und Status definieren. Zu den jeweils adäquaten Gruppen werden dann einzelne Mitarbeiter oder Benutzer zugeordnet. Ein Beispiel: Sind Kunden zu Besuch im eigenen Unternehmen, können ihnen auf einfache Weise Zugang zum Internet und die Nutzung des Druckers im Konferenzraum in der Zeit, in der sie im Haus sind, gewährt werden, ohne dabei zu riskieren, dass die Kunden über offene Ports Zugriff auf geschäftskritische Firmendaten bekommen.

Die Konfiguration des Systems erfolgt von zentraler Stelle und automatisiert. Dies erleichtert den Administratoren die Arbeit und erlaubt ihnen ein übersichtliches Management aller relevanten Daten. Der Ansatz dahinter: Nicht die Clients, mit denen ein Zugriff zum Netzwerk erfolgen soll, werden authentifiziert, sondern der User selbst. Denn die sicherste Methode, ein Netzwerk zu schützen, ist es, dass ein Benutzer identifiziert wird, noch bevor er je einen Fuß ins Netzwerk setzen konnte.

Ein Beispiel für eine umfassende IDM-Lösung stellt der HP ProCurve Identity Driven Manager dar. Die benutzerbasierte Zugriffssteuerung erfolgt dabei durch dynamische Regeln. So kann beispielsweise der Zugriff auf Netzwerkressourcen wie Drucker oder Server über eine IP-Zieladresse oder auf Netzwerkdienste wie Webseiten oder FTP über benutzerdefinierte TCP/UDP-Ports gestattet oder verweigert werden. Auch der Quality of Service, also die Priorisierung der Zugriffsanfrage, kann über die vorgegebenen Faktoren Identität, Community, Standort oder Uhrzeit sichergestellt werden - wenn gewünscht auch mit bestimmten Ratenbegrenzungen bei der Verbindung.

Weiters wird automatisch der Zustand der Clients, mit denen auf das Netzwerk zugegriffen werden soll, überprüft. Dies erfolgt über Drittanbieterclients, die die Integrität checken und das Ergebnis über den standardmäßigen RADIUS (Remote Authentication Dial-In User Service)-Datenstrom oder das 802.1X-Protokoll an den Identity Driven Manager übermitteln. Versucht beispielsweise ein Nutzer, sich mit einem Virus-infizierten Notebook ins Netzwerk einzuloggen, ist das Netzwerk in der Lage, den Virus zu identifizieren, den Nutzer in einer vorübergehenden Quarantäne-Zone "zwischenzuparken" und automatisch Lösungen wie neue Software-Updates anzubieten.

Virus Throttling: Keine Chance für Netzwerkattacken

Gerade die zuletzt angesprochene Virenproblematik ist eines der Kernelemente eines umfassenden Netzwerksicherheitskonzeptes. Denn neben der Authentifizierung von Netzwerkusern stellen die Bedrohungen von außerhalb das größte Gefahrenpotenzial für ein Netzwerk dar. Spam-, Virus- oder Wurmattacken sind nicht neu. So hat der SQL Slammer Wurm 2003 in einer Minute mehr als 75.000 Computer infiziert. Die Folgen einer erfolgreichen Attacke können verheerend sein: vom Verlust wichtiger Dateien bis hin zum Zusammenbruch des gesamten Netzwerks. Heutzutage bekommen Anwendungen oftmals die gleichen Zutrittsrechte zu anderen Anwendungen und Teilen des Computersystems wie die User. Das hat zur Folge, dass jede infizierte Applikation einen Virus im ganzen System verbreiten und so auch andere Programme und Informationen ruinieren kann. Sogar weithin gebräuchliche Programme wie das Spiel "Solitaire" können ein Computersystem infizieren.

Deshalb ist es wichtig, schon im Vorfeld zu agieren anstatt im Falle eines Virenbefalls nur zu reagieren. Die Entwicklung neuer Bedrohungen aus dem Internet wächst rasant - und dementsprechend schnell muss sich ein Netzwerk auch anpassen können.

Mit der Virus Throttling Software geht HP neue, unkonventionelle Wege. Traditionellerweise basiert Virenschutz auf Code- oder Signaturerkennung des jeweiligen Virus. Gegen neue Viren ist dies aber oftmals uneffizient. Die Virus Throttling Software hingegen, die von den HP Labs entwickelt wurde, sucht nach abnormalen, virusähnlichen Verhaltensmustern und verringert die Zahl möglicher Netz-Verbindungen eines infizierten Geräts. Dabei reagiert sie automatisch innerhalb von Tausendstelsekunden, ohne menschliches Zutun. Infizierte Systeme werden dann so weit "hinuntergedrosselt" (engl. "to throttle") und die Netzwerkverbindungen abgeschnitten, dass die Verbreitung des Virus vollständig verhindert oder zumindest erheblich verlangsamt wird. Gleichzeitig informiert die Software den System-Administrator über die Anwesenheit eines Wurms oder Virus, der dann anschließend entsprechende Schritte zur Beseitigung des Eindringlings einleiten und den infizierten Port schließen kann.

Dadurch, dass Virus Throttling schon am Rande des Netzwerks einsetzt, also dort, wo die Benutzer mit dem Netzwerk verbunden sind, können Angriffe schon frühzeitig isoliert werden. Die Software ist zudem so angelegt, dass normale System- und Netzwerkprozesse nicht beeinflusst werden, da sich die Aktionen punktgenau auf die Virenaktivitäten konzentrieren. Virus Throttling setzt bei IP-gerouteten Zugriffsanfragen an, in denen sich nach der Überschreitung von VLAN-Grenzen der Quellcode des Clients vom Quellcode des Zieles unterscheidet. Die Software verfolgt dabei die Anzahl der kürzlich erfolgreich durchgeführten Verbindungen. Wenn eine neue Zugriffsanfrage auf eine Zieladresse besteht, wird die Verbindung nur hergestellt, wenn die Anzahl der Verbindungen zu dieser IP-Adresse unter einem, zuvor definierten Grenzwert liegt. Der Grenzwert spezifiziert, wie viele Verbindungen über eine bestimmt Zeitspanne erlaubt werden. Wenn der Grenzwert beispielsweise durch eine Denial of Service-Attacke überschritten wird, wird diese Anfrage wie ein Virus behandelt und das Throttling setzt ein.

Umfassende Sicherheit durch umfassende Sicht auf das Netzwerk

Dieser umfassende Ansatz, Bedrohungen für das Netzwerk schon dort zu erkennen und zu isolieren, wo sich der Nutzer ins Netzwerk einloggen will, basiert bei ProCurve auf der Adaptive Edge Architektur. Dieses Netzwerkdesign stellt die Intelligenz und Funktionalität am Netzwerkrand in den Vordergrund. Durch die zentrale Steuerung vom Zentrum des Netzwerkes bietet dieser Ansatz umfassende Sicherheit und Kontrolle über das gesamte Netzwerk, erhöht die Produktivität und erleichtert den System-Administratoren das Management. In Verbindung mit den HP ProCurve Switches bieten Lösungen wie das Virus Throttling oder der Identity Driven Manager hier in Sachen Netzwerksicherheit eine komplette Lösung - für beide Seiten der Firewall.

Mag. Rainer Doppler ist Area Category Manager, ProCurve Networking by HP, Österreich

www.hp.com/at