Generelle Prävention
Generelle Sicherheitsmechanismen zur Abwehr von Netzwerkproblemen aufgrund von Infektionen durch Malware sind möglich und sollten auch angestrebt werden.
Schützen Sie Ihren PC
Die Auflistung von Malware und ihren Auswirkungen auf ein Netz könnte problemlos mehrere Bände mit Tausenden von Seiten füllen, täglich werden neue Schwachstellen und Bedrohungen bekannt. Mechanismen, die diese Schwachstellen ausnutzen, so genannte Exploits, sind zum Zeitpunkt der Veröffentlichung meist schon im Umlauf bzw. werden unverzüglich zielgerichtet entwickelt. Was bleibt also einem verantwortungsbewussten Netzwerkadministrator übrig, um in diesem Hase-Igel-Spiel nicht immer den Kürzeren zu ziehen?
Technische Sicherheitsmechanismen
Aus technischer Sicht gibt es eine ganze Reihe von Maßnahmen, die – sofern korrekt implementiert – sehr gut gegen Angriffe helfen.
Es kann nicht oft genug darauf hingewiesen werden, dass auf einem System nur die Applikationen laufen sollen, die das System zur Erbringung von Diensten benötigt. Hierzu gehören ebenfalls das Einschalten von Protokollierung (Logging) und eine restriktive Benutzerverwaltung.
Patchen, patchen, patchen: Die Erfahrung hat gezeigt, dass die meisten Angriffe der letzten Monate und Jahre auf Angriffen basierten, deren Mechanismus lange zuvor bekannt war und für die es vom Hersteller einen oder mehrere Patches gibt. Nur ein gut gepflegtes System garantiert ein relativ hohes Maß an Unverwundbarkeit.
Systeme, die Serverdienste erbringen, vor allem solche, die aus dem Internet erreicht werden sollen, gehören in eigene physikalisch und logisch getrennte Netze, so genannte Demilitarisierte Zonen (DMZ). Puristen plädieren sogar für eine eigene DMZ für jeden Dienst, also z.B. eine DMZ für DNS-Server, eine DMZ für Mail-Gateways, eine DMZ für Webserver etc. pp. Diese Aufteilung nennt man auch „Separation/ Segregation of Duties“. Dies hat den Vorteil, dass, wenn ein System in einer DMZ gehackt wird, der Angreifer zuerst einmal nur in dieser DMZ Schaden anrichten kann.
Jeglicher Verkehr zwischen den einzelnen Netzen (externes Netz, interne Netze, DMZ) muss über eine Firewall geroutet werden. Das Regelwerk dieser Firewall ist so zu konfigurieren, dass nur unbedingt erforderlicher Verkehr erlaubt wird, jeglicher andere Verkehr ist automatisch verboten. Würde z.B. ausgehender SMTP-Verkehr nur einem einzigen Mailgateway erlaubt werden, könnte sich ein Wurm der Sobig-Gattung nicht so einfach über SMTP verbreiten. Es sei noch angemerkt, dass der Begriff „Firewall“ sich nicht auf ein einzelnes System beschränkt, sondern ein Gebilde aus mehreren Sicherheitssystemen beschreibt.
Die meisten Firewallsysteme können Pakete nur bis auf OSI-Schicht 4 untersuchen, die eigentlichen Daten der oberen Schichten bleiben ihnen verborgen. Deshalb ist es wichtig, Systeme einzusetzen, die die jeweiligen Protokolle der oberen Schichten verstehen und auf Code mit schadhaftem Verhalten untersuchen. Sehr viele Angriffe basieren auf Verletzungen der oberen Protokollschichten, die von geeigneten Systemen erkannt und gefiltert werden können, damit sie das eigentlich Ziel nicht erreichen.
Auch wenn der Aufwand zur Pflege von Intrusion-Detection-/ Prevention-Systemen (IDS/IPS) enorm hoch ist, kann der dedizierte Einsatz solcher Systeme sinnvoll sein. Es gibt sie hostbasiert und netzwerkbasiert. Zudem bieten IDS/IPS so ziemlich die einzige Möglichkeit, Angriffe aus internen, also vertrauenswürdigen Netzen zu erkennen bzw. abzuwehren.
Einsatz von Protokollen zur Gewährleistung von Integrität, Authentizität und Vertraulichkeit: Der Einsatz von Protokollen wie HTTPS, SSH, SFTP oder IPSec sollte nach Möglichkeit immer in Betracht gezogen werden. Ein Beispiel hierfür ist die Kommunikation zwischen einem Mail-Gateway in der DMZ und dem internen Mailserver. Hierfür kann bei den heutigen Betriebssystemen relativ einfach eine über IPSec gesicherte Kommunikation konfiguriert werden.Diese Liste erhebt keinen Anspruch auf Vollständigkeit. Fast täglich kommen neue Produkte und Lösungen auf den Markt bzw. werden bestehende Lösungen um bestimmte Fähigkeiten erweitert. Jedes Unternehmen muss für sich entscheiden, welche Technik zum Einsatz kommen soll, schließlich geht es um zum Teil beträchtliche Aufwendungen finanzieller und personeller Art. Zudem bietet die beste und teuerste Technik keinen ausreichenden Schutz, wenn es an den organisatorischen Prozessen mangelt.
Organisatorische Sicherheitsmechanismen
IT-Security ist ein fortwährender Prozess, der auch gelebt werden muss. Hierzu ist die Erstellung einer unternehmensweiten Sicherheitsrichtlinie (Security Policy) existenziell. In einer Security Policy wird beschrieben, was wie wo in einem unternehmensweiten Netz geregelt wird. Dies trifft sowohl auf kleine Netze mit einer Handvoll Benutzer als auch auf sehr große Netze mit mehreren tausend Benutzern zu. So eine Security Policy ist nicht von heute auf morgen zu entwickeln, vor allem bedarf sie einer uneingeschränkten Zusammenarbeit aller Fachabteilungen.
Noch wichtiger dabei ist jedoch, dass die Unternehmensleitung die Wichtigkeit einer solchen Security Policy erkennt und dass die Prozesse auch gelebt werden. Dazu gehört z.B. auch die regelmäßige Schulung der Benutzer eines Netzes. Ein Großteil netzwerkrelevanter Vorfälle basiert nicht auf Vorsatz, sondern auf Fahrlässigkeit bzw. Unwissenheit. Wenn ein Benutzer nicht darauf geschult wird, bei E-Mails mit bestimmten Charakteristika zunächst einmal Vorsicht walten zu lassen, dann ist es nicht verwunderlich, dass E-Mail-Würmer sich so einfach verbreiten. In einer Security Policy gehört z.B. aber auch definiert, wie das Thema Datensicherung gehandhabt wird. Welche Daten werden wann und wie gesichert? Wo werden die Sicherungsbänder aufbewahrt? Wer hat Zugriff auf die Bänder? Wie ist der Ablauf bei einer Rücksicherung der Daten (Crash Recovery)?
Auch sollte sich kein Unternehmen davor scheuen, externe Dienstleister für Security Assessments und regelmäßige Security Audits zu beauftragen. Dies gehört auch in einer Security Policy klar geregelt in Bezug auf Umfang, Häufigkeit, Präsentation der Ergebnisse etc. Oftmals sind die internen Administratoren einfach nur betriebsblind oder verstehen die technischen Zusammenhänge bestimmter Angriffsvektoren nicht. Ist ja auch kein Wunder, wenn, wie selbst in großen Unternehmen zu beobachten ist, ein Mailserveradministrator sich parallel um das physikalische Netzwerk kümmern muss, Aufgaben im User Help Desk wahrnehmen soll und dann auch verantwortlich zeichnet für die Konfiguration der Firewallumgebung.
Hier muss eine sinnvolle Trennung der Aufgaben innerhalb der Security Policy definiert werden, was nicht unbedingt heißt, dass zusätzliches Personal eingestellt werden muss. Oftmals können die Aufgaben unter den bestehenden Mitarbeitern aufgeteilt werden, eine Umstrukturierung bewirkt manchmal wahre Wunder. Alle diese Dinge und noch vieles mehr müssen geregelt und in einer schriftlichen Security Policy verankert werden.
Dass dem leider bei weitem noch nicht so ist, zeigen aktuelle Studien verschiedener Quellen. Je nach Quelle muss in davon ausgegangen werden, dass Deutschland maximal 30–40 % aller Unternehmen eine Security Policy haben; der Rest sieht entweder keinen Bedarf, scheut sich vor dem Aufwand oder lebt schlicht nach dem Motto: Wir haben doch vor geraumer Zeit viel Geld für technische Sicherheitssysteme ausgegeben, da sind wir doch vor Angriffen sicher. Mit Technik allein lässt IT-Security sich nicht erreichen. Nur das Zusammenspiel aller sicherheitsrelevanten Komponenten und Prozesse verringert das Risiko netzwerkrelevanter Vorfälle aufgrund von Infektionen mit Malware auf ein Minimum. Eine 100 %ige Sicherheit kann und wird es niemals geben.
Mathias Hein
aus dem Werk "LAN-Analyse und -Troubleshooting"
http://www.weka.de/it-management/9128-LAN-Analyse-und-Troubleshooting-Online.html
