"Ohne Sicherheit ist keine Freiheit" - niemand Geringerer als Wilhelm von Humboldt äußerte diesen Satz. Er führt zusammen, was gegensätzlich klingt. Humboldt bringt auf den Punkt, was auch heute in vielen Bereichen - und gerade in der Datenkommunikation - gilt: Nur in der Gewissheit, gegen Angriffe von außen gefeit zu sein, kann sich ein Geschäft agil entwickeln. Jedoch bietet ein modernes Unternehmen mittlerweile zahlreiche Angriffsflächen auf seine IT-Infrastruktur. Ein Security-Schichtenmodell hilft hier, potenzielle Sicherheitslücken in der Netzinfrastruktur Punkt für Punkt abzuarbeiten.
Eine der größten Gefahrenquellen für die Infrastruktursicherheit ist das Internet. Hier hilft nur mauern. Sämtliche Verbindungen zum öffentlichen Internet müssen durch Firewalls geschützt werden. Managed-Firewall-Dienstleistungen beinhalten nicht nur den Aufbau und Betrieb der Firewall-Systeme, sondern auch deren Überwachung sowie laufende Aktualisierungen von Software und Hardware.
Moderne Firewalls übernehmen neben der eigentlichen Schutzfunktion auch umfangreiche Reporting- und Monitoring-Aufgaben. Dazu gehören beispielsweise Funktionen wie das "Rules Tracking", bei dem Regeländerungen durch User nachvollziehbar mitprotokolliert werden. Physisch können Firewall-Systeme entweder zentral im Netz des Providers oder an verteilten Kundenlokationen betrieben werden.
Unternehmen müssen zudem darüber entscheiden, wer Zugang zu Informationen haben darf. Das fängt an der Eingangstür an: Mitarbeiter, die in der Firmenniederlassung arbeiten, haben einen durch die Gebäude-Security geregelten Zutritt. An ihrem Arbeitsplatz treffen sie die nächste Hürde: Die Betriebssysteme aller Desktops sollten standardmäßig Passwort-geschützt sein. Für den Zugang zum Corporate Network mit Fremdgeräten (Notebooks, PCs, Smartphones) gilt im Allgemeinen eine Port Security Policy.
Gegen ungewollten Zugriff von außen hilft ein durchdachtes Remote-Access- und Identity-Management. Mobile User loggen sich zum Beispiel per Notebook oder Mobiltelefon ins Unternehmensnetz ein. Diese Verbindungen laufen über PSTN, ISDN, UMTS, Edge oder das Internet. Als zentraler Zugangs-Server fungiert dabei ein sogenannter AAA-Server. Er stellt die korrekte Authentifizierung, die Autorisierung und die Abrechnung eventueller Mobilzugangstarife sicher. Zur Absicherung der übertragenen Daten über das Internet werden diese auf IP-Ebene durch ein VPN verschlüsselt. Darüber hinaus lässt sich die Zugangssicherheit für jeden Mobil-User durch Security Tokens steigern.
Intelligent auf Layer 2 verschlüsseln
Die Datenverschlüsselung ist auch ein probates Mittel, die Unternehmenskommunikation innerhalb des WAN vor unliebsamen Mitlesern zu schützen. Im Gegensatz zur klassischen VPN-Technik bietet sich hier die Verschlüsselung auf Layer-2-Ebene an. Für diesen Ansatz sprechen gleich mehrere Aspekte: So ist eine Verschlüsselung auf Netzebene 2 komplett von sämtlichen Layer-3-Applikationen entkoppelt, es ist also egal, was auf dieser Ebene geschieht, denn es wirkt sich nicht auf die Sicherheit aus.
Zudem ist dabei die Performance nach Messungen von Teragate deutlich höher: Beispielsweise beträgt die Round Trip Time (RTT) in einem Layer-2-verschlüsselten Netz bei der Verbindung München-Hamburg zwölf Millisekunden. Im Layer-3-Netz liegt sie dagegen bei 35 Millisekunden. Gerade bei geschäftskritischen Echtzeitanwendungen können diese Zeitunterschiede für den reibungslosen Betrieb einer Applikation entscheidend sein.
Layer-2-Lösungen, die auf Ethernet-WANs aufsetzen, offerieren noch einen Vorteil: Laufen die Standortverbindungen über transparentes Ethernet, sind in den Niederlassungen lediglich Ethernet-Encryptoren als Verschlüsselungsgeräte erforderlich. Die Schlüssel verteilt ein zentraler Key-Server. Dabei bleibt selbst bei einem Managed Service das Key-Management komplett in der Hand des Anwenders.
Der Provider hat also auf die verschlüsselten Daten im VPLS-Backbone (Virtual Private LAN Service) keinen Zugriff. Mit diesem Ansatz lassen sich auch vollvermaschte Netze zuverlässig schützen. Im Vergleich zur gängigen Verschlüsselung auf Punkt-zu-Punkt-Verbindungen bedeutet das weniger Komplexität und Administrationsaufwand. Dabei kann Unternehmenskommunikation jeglicher Art verschlüsselt werden - etwa auch Voice over IP. Da die Lösung dienstebezogen arbeitet, können im Gegenzug einzelne Dienste von der Encryption aber auch ausgenommen werden.
Ergänzend ist eine Tunnelung von Daten auf Layer-3-Basis sinnvoll, wenn öffentliche Netze wie beispielsweise das Internet als Zugangsmedium genutzt werden. Damit lässt sich auch außerhalb des Corporate Network die Sicherheit gewährleisten. Hierzu bieten sich entsprechende IPsec-Verschlüsselungslösungen als VPN- Gateway beziehungsweise VPN-Client an.
Offensive Abwehr
Wer sich vor Angriffen von außen schützen will, muss Angriffsmuster und -strukturen rechtzeitig erkennen und abwehren können. Diese so genannte Intrusion Detection erfolgt in der Regel über ein automatisiertes, permanentes Monitoring des Datenverkehrs im WAN, der mit bekannten Angriffsmustern abgeglichen wird. Sobald ein Angriff identifiziert wird, setzt sich ein Security Alert in Gang.
Darüber hinaus können Intrusion-Prevention-Systeme dazu dienen, die Angriffe im Vorfeld zu verhindern. Dazu zählen beispielsweise die Unterbrechung von Datenströmen oder die aktive Änderung von Firewall-Regeln. Bei der Realisierung von Intrusion-Detection- und Prevention-Maßnahmen hat sich dedizierte Hardware bewährt, die je nach Sicherheitsanforderung an unterschiedlichen Netzabschnitten eingesetzt wird. Die E-Mail-Systeme sollten als mögliches Einfallstor für digitale Schädlinge dabei aber nicht vergessen werden.
Sicherheit managen
Sowohl für den Betrieb als auch für die Absicherung von Unternehmensnetzen kommt eine Vielzahl von Hard- und Softwarekomponenten zum Einsatz. Erst eine "Draufsicht" auf das gesamte Netz und seine Einzelkomponenten ermöglicht eine ganzheitliche Security-Bewertung.
Beim Log-Management werden die Logfiles aller Hard- und Softwarekomponenten, insbesondere aller hier beschriebenen Sicherheitssysteme, ausgewertet. Beispielsweise werden Angriffe auf das Unternehmensnetz, die bestimmte Netzkonstellationen ausnutzen, durch den Abgleich der Logfiles aus den Einzelsystemen, die miteinander in Beziehung gesetzt werden, erkannt. Wie ein Sicherheitsadministrator liefert dieser intelligente Managed Service eine ausgefeilte Auswertung von Komponenten-Logfiles im Gesamtüberblick. Daraus lassen sich dann neue Konzepte und Aktionen zum Schutz der Infrastruktur sowie Empfehlungen für das Netzdesign ableiten.
Was in nur sechs Sicherheitsschichten übersichtlich dargestellt ist, ist in Wahrheit ein komplexer Prozess. Dieser erfordert personellen Einsatz und umfangreiches Wissen auf unterschiedlichen Gebieten der Informationstechnologie. "Ohne Sicherheit ist keine Freiheit" - und ohne Aufwand keine Sicherheit. Schon gar nicht im Netz. (ala)
Diesen Beitrag haben wir von unserer Schwesterpublikation Computerwoche übernommen.