Fünf Schlüsselmethoden zur Erhöhung der Netzwerksicherheit

Transkript

1 Fünf Schlüsselmethoden zur Erhöhung der Netzwerksicherheit Warum Unternehmen eine clevere Herangehensweise an DDI (DNS, DHCP, IP Adressen-Management) benötigen, um ihre Infrastruktur zu schützen Unternehmen haben schon immer hohe Ansprüche an ihre Netzwerke gestellt, aber heutzutage sind die Anforderungen noch komplexer und noch zentraler, um Geschäftsziele zu erreichen. Die Notwendigkeit, verschiedene technische Lösungen zur Unterstützung geschäftskritischer Anforderungen miteinander zu verbinden, verschärft die Situation zusätzlich. Wenn ein Unternehmen nicht schon vorher eine grundsolide Basis für sein Netzwerk hatte, so zu braucht es spätestens jetzt eine solche mehr denn je. Die höheren Anforderungen sind teilweise auch auf den Schritt hin zu zentralisierteren Datencentern zurückzuführen. Unternehmen konsolidieren Server in virtualisierten Datencentern, um dadurch Kostenvorteile in Bezug auf Hardware und Betrieb zu haben. Auch der stark aufkommende Trend des Bring-yourown-device (BYOD) trägt zu diesen erhöhten Anforderungen an das Netzwerk bei. Unternehmen möchten durch die Subventionierung von Kosten für mobile Geräte Geld einsparen, was bedeutet, dass Angestellten zu jeder Zeit und an jedem Ort Zugang zu Daten bereitgestellt werden muss. Und natürlich läuft ein Großteil dieser Kommunikationen - insbesondere dann, wenn Unternehmen auch Partner, Lieferanten und Kunden in diesen Prozess des größeren Zugangs zu Datencentern einbinden wollen - über das Internet. Was haben all diese Kommunikationen gemeinsam, abgesehen von den ständigen und immer weiter wachsenden Ansprüchen an das Netzwerk? Sicherheit. Wenn die IT Datencenter zugänglich machen muss und das Netzwerk zuverlässig gestalten will, muss sie auch sicherstellen, dass Kommunikationen und Datenaustausch sicher sind. Unternehmen haben die Möglichkeit, Sicherheitsmaßnahmen in jedem der kritischen Bereiche Datencenter, Mobilität und das Internet - zu implementieren, dabei laufen sie aber Gefahr, dass die Maßnahmen sich überschneiden und überlagern und dass damit möglicherweise Ressourcen verschwendet werden.

2 2 Eine alternative Herangehensweise, der Unternehmen sich in jüngerer Zeit verstärkt zuwenden, besteht darin, eine stärkere und technisch besser entwickelte Sicherheit für die Netzwerkbasis selbst zu implementieren. Durch die Schaffung von Sicherheit durch Schlüsselprotokolle, die im IP-Protokoll eingebettet sind - Domain Name Service (DNS), Dynamic Host Configuration Protocol (DHCP) und Internet Protokoll Adressen-Management (IPAM), bekannt unter dem Sammelbegriff DDI - können Unternehmen nicht nur die Sicherheit verbessern, sondern auch das erforderliche Arbeitsaufkommen in der IT für die Verwaltung reduzieren. Erwägen Sie die nachfolgenden fünf Schlüsselmethoden für die Anwendung von DDI, um ihre Infrastruktur zu stärken und zu schützen. Zusammen ergeben sie eine clevere Herangehensweise an DDI. DIE DNS- FIREWALL KANN EINEN SCHUTZ FÜR GEFAHREN VON INENN NACH AUSSEN LEISTEN. UNTER- NEHMEN KÖNNEN IHRE DNS- FIREWALL SOFTWARE INSTAL- LIEREN, UM ZUGANG ZU UNTERSAGTEN WEBSEITEN ZU BLOC- KIEREN TAKTIK NR. 1: Die DNS-Firewall Der DNS ist verantwortlich für das Routing zu bestimmten Internetseiten (Domains sind die Bezeichnungen zwischen www. und.com,.org, etc., in URLs). Die DNS- Firewall ist damit eine zentrale Waffe im Kampf für Netzwerksicherheit und gegen Malware, die eingeschleust wird, wenn Angestellte ungeeignete Internetseiten aufrufen. Beginnen wir bei dem von außen generierten Sicherheitsrisiko. Einige Malware- Programme stellen Verbindungen durch den DNS her und gehen außerhalb des Netzwerks, um schädliche Programme herunterzuladen oder Informationen zu entwenden. Dies beinhaltet typischerweise auch sensible Informationen oder vertrauliche Daten einschließlich Passwörter. Das Passwort wird dann verwendet, um z.b. Zugang zu Cloud-basierten Anwendungen zu erhalten. Wenn eine DNS- Firewall verwendet wird, können Unternehmen diesen Betrugsversuch entdecken und ihn unterbinden, bevor das infizierte Gerät ungeeignete Informationen übermitteln kann oder bevor gefährliche Programme, die die DNS-Anfrage blockieren, installiert werden. Sie können die DNS-Firewall verwenden, um ein infiziertes Gerät zu identifizieren und feststellen, wo es im Netzwerk verbunden ist, sodass die Malware gelöscht werden kann. Umgekehrt kann die DNS-Firewall auch einen Schutz für Gefahren von innen nach außen leisten. Unternehmen können ihre DNS-Firewall-Software installieren, um den Zugang zu untersagten Internetseiten zu blockieren. Das können alle möglichen Seiten von Facebook oder YouTube bis hin zu pornografischen Seiten sein. Natürlich sollte die DNS-Firewall auch flexibel genug sein, um von Angestellten angefragte Zugänge zu bestimmten Seiten auf Einzelfallbasis zu gewähren. So kann es zum Beispiel vorkommen, dass das Vertriebspersonal sich Beiträge von Wettbewerbern auf YouTube ansehen möchte; die Personalabteilung möchte sich womöglich Zugang zu LinkedIn verschaffen; und die Marketingabteilung benötigt möglicherweise Facebook, um zu prüfen, welche Kampagnen von Anwendern angenommen werden und welche nicht. TAKTIK NR. 2: DNS Best Practices Eine Sicherheitsstrategie ist niemals statisch. Es ändert sich einfach zu viel innerhalb des Netzwerks: Traffic, Up- und Downloads, sogar Aktualisierungen aus dem Internet Systems Consortium (ISC). Darum beginnen die DNS Best Practices bei einer stabilen und zuverlässigen Architektur. Der Aufbau einer sicheren Architektur bedeutet, dass man mehr als einen Server konfigurieren muss. Mit DNS gibt es einen Primärserver, der Informationen zu (Sekundär-)Servern im Netzwerk weiterleitet. Wenn diese Verbindungen nicht richtig konfiguriert sind und nicht ständig sorgfältig aktualisiert werden, besteht u.u. ein Sicherheitsrisiko für die Architektur. Wenn gleichzeitig Hacker den Primärserver

3 3 identifizieren können, wird der DNS dem Risiko eines DoS-Angriffs ausgesetzt, was zu einer Datenkorruption führen würde. Unternehmen müssen auf diesem Gebiet zwei Strategien fahren. Die eine besteht darin, eine sogenannte Stealth-Architektur für den DNS aufzubauen, die die Identität des Primärservers versteckt. Dies erschwert Hackern erheblich die Infiltrierung des Servers und vermindert in erheblichem Maße das Risiko von Datenkorruption. Eine weitere Möglichkeit besteht darin, einen Load Balancer von einem Netztwerkhändler zu verwenden. Dieser bietet zwei Vorteile: Skalierbarkeit durch Verteilung des Netzwerkverkehrs auf alle Server und ein zusätzliches Maß an Sicherheit für den Primärserver durch Verbergen des Standorts innerhalb der ansonsten sichtbaren Netzwerkarchitektur. Eine weitere elementare, aber dennoch sehr wichtige Strategie besteht darin sicherzustellen, dass Unternehmen nur die neuesten Versionen der DNS-Protokolle auf ihren Servern betreiben. Diese Updates kommen im Durchschnitt jeden Monat. Wenn die Server nicht aktualisiert werden, sind sie nicht geschützt. Unternehmen müssen sicherstellen, dass alle Server durchgängig aktualisiert werden, um den bestmöglichen Schutz zu ermöglichen. Es kostet jedoch der IT an Ressourcen, wenn dies manuell geschieht, sodass es am günstigsten ist, einen automatisierten Mechanismus einzurichten. Auf diese Weise kann gewährleistet werden, dass die IT nicht einige Server ungeschützt hinterlässt, weil es möglicherweise zeitliche Probleme bei der Aktualisierung gibt. Eine weitere zeitintensive Aufgabe der IT ist es darauf zu achten, dass alle Anwendungsports identifiziert und geschlossen werden, wenn sie nicht genutzt werden. Unternehmen verlassen sich hier in verstärktem Umfang auf automatisierende Einrichtungen, um sicherzustellen, dass die Ports nicht nur auf Anwendungsebene geschlossen werden, sondern auch auf Betriebssystemebene, um den größtmöglichen Schutz zu erlangen. Schließlich beginnen Unternehmen auch damit, Nutzen aus den Sicherheitsprotokollen, die im DNS selbst integriert sind, zu ziehen. Das Stichwort hier lautet Domain Name System Security Extensions (DNSSEC). Dies ist eine besonders wichtige Methode, wenn Unternehmen sensible Daten mit Geschäftspartnern austauschen. Von Hackern ist bekannt, dass sie eine sogenannte Mittelsmann-Offensive anwenden, mit der Daten, die von einem Server zum anderen geschickt werden sollen, abgefangen werden. DNSSEC löst dieses Problem, indem ein Schlüssel auf jeden Server konfiguriert wird, der überprüft, ob die Informationen aus einer gesicherten Quelle stammen und nicht korrupt sind. Damit der Kommunikationsfluss gewahrt bleibt, können Unternehmen die Signaturmechanismen automatisieren, sodass sichere Daten schneller an die gewünschte Stelle übermittelt werden. TAKTIK NR. 3: Nutzen Sie eine konsistente IP-Topologie Je stärker Unternehmen sich globalisierten, desto wichtiger wird die Nutzung einer konsistenten IP-Topologie. Eine Möglichkeit, die Integrität und Konsistenz der IT-Netzwerkbasis sicherzustellen, besteht darin, die Verwaltung von DDI, virtuellen LANs (VLANs) und Netzwerkschnittstellen zu vereinigen. Es gibt mehrere gute Gründe, diese Taktik anzuwenden. IP-Adress- und VLAN-Management sind eng miteinander verknüpft. Die Herangehensweise eines vereinigten Managements ermöglicht die Organisation und Segmentierung des Netzwerkdatenflusses, um die Sicherheit der Infrastruktur zu erhöhen. Dies bedeutet, dass Unternehmen nicht nur die derzeitigen IT-Übertragungen, wie zum Beispiel die herkömmlicher Daten und VoIP-Kommunikationen bewältigen können, sondern auch neuere, die gegebenenfalls hinzukommen,

4 4 wie zum Beispiel Videokameras und andere Sensoren. Daraus folgt, dass IT-und VLAN-Pläne gemeinschaftlich entwickelt und angewendet werden müssen, damit das Risiko der Fehlkonfiguration ausgeschlossen und die Netzwerksicherheit gestärkt werden kann. DIE HERANGEHENS- WEISE EINES VEREI- NIGTEN MANAGE- MENTS ERMÖGLICHT DIE ORGANISATION UND SEGMENTIERUNG DES NETZWERKDA- TENFLUSSES, UM DIE SICHERHEIT DER INFRASTRUKTUR ZU ERHÖHEN Die Benennung und Verteilung der Geräte und der Netzwerkschnittstelle muss ebenfalls Teil des Prozesses bei der Kontrolle der IT-Topologie sein. Zum Beispiel ermöglicht das Management der Beziehungen zwischen den IT-Ressourcen die präzise Definition von Switches, Ports und VLAN, mit denen ein Server im Netzwerk mit den zugehörigen IP-Adressen und Namen verbunden ist. Diese Herangehensweise eines ganzheitlichen Netzwerkdesigns liefert eine noch nie da gewesene effiziente Kontrolle und eine genaue Sichtbarkeit der Verteilung der Infrastruktur, die eine globale IP-Topologiekonsistenz für erhöhte Sicherheit ermöglicht. Ein weiterer Grund, aus dem auf Konsistenz in der IT-Topologie geachtet werden sollte: sobald ein Unternehmen eine Anpassung der Subnetz-Templates mit der VLAN-Konfiguration vorgenommen hat, kann es diese Templates auf neuen Seiten replizieren. Das bedeutet, dass man schneller expandieren kann, wenn ein entsprechender Bedarf besteht, während weiterhin die Sicherheitsstrukturen konsequent beibehalten werden. TAKTIK NR. 4: Richtlinien- und Abstimmungsmanagement Ein Richtlinien- und Abstimmungsmanagement baut auf dem Konzept einer konsistenten Topologie für noch größere Effizienz in Sachen Sicherheit auf. Durch die Befolgung konsequenter Richtlinien kann die IT ein hohes Maß an Granularität erreichen. Dies klingt vielleicht rigide, verhilft aber in hohem Maße zu mehr Sicherheit. Zum Beispiel kann die IT Subnetze mit vordefinierten VLANs bestimmten Geräten und Services zuordnen (VoIP, Sicherheitskameras und sogar Produktionsausrüstung). Wenn jemand absichtlich oder unabsichtlich versucht, ein nicht autorisiertes Gerät zu einem bestimmten Subnetz oder nicht autorisierten Port auf einen Switch hinzuzufügen, wird dieser Versuch augenblicklich offenkundig. Heute ist es erstaunlich einfach für Angestellte, WLAN-Geräte in ihren Büros hinzuzufügen, sodass es zunehmend wichtig wird, solche Geräte zu identifizieren. Eine intelligente Netzwerkabstimmung identifiziert Geräte und ermittelt die IPund Mac-Adresse im Netzwerk. Die IT liefert eine umfassende Sichtbarkeit von Netzwerkressourcen-Nutzung und -Verwendung und kann damit sicherstellen, dass nur autorisierte Geräte innerhalb der Infrastruktur in korrekter Weise genutzt werden. Je mehr versteckte Verbindungen es in einer Infrastruktur gibt, desto anfälliger ist sie für Hacker, die sich dies zunutze machen können. Die Implementierung strenger Richtlinien- und Abstimmungsprozesse hilft der IT, unbekannte Geräte im Netzwerk und deren Nutzungsversuche, die nicht mit dem definierten Standard übereinstimmen, zu identifizieren. TAKTIK NR. 5: Captive Web Portal IT-Abteilungen nutzen in verstärktem Maße das Konzept von Captive Portals, um das Problem zu lösen, Anwendern Zugang zu gewähren und gleichzeitig die Netzwerk-Sicherheit aufrechtzuerhalten. Dies ist insbesondere in Situationen hilfreich, in denen bestätigte Anwender sich mit verschiedenen Geräten anmelden (dies kann zum Beispiel im universitären Bereich geschehen, wo Studenten oder Wissenschaftler verschiedene Computer in ihren Büros oder Büchereien nutzen). Und so funktioniert es: wenn bekannte Anwender sich mit unbekannten Geräten anmelden, leitet das System die Anfragen auf das Internetportal um, sodass

5 5 die Anwender Fragen beantworten können, um ihre Identität zu bestätigen. Das System autorisiert dann den DHCP-Server, die IP-Adressen dem entsprechenden VLAN zuzuordnen, damit vormals unbekannte Geräte bekannten Anwendern zugeordnet werden können, sodass sie nur einmal umgeleitet werden müssen. Weil das Portal automatisiert arbeitet, wird der IT ein beträchtlicher Arbeitsaufwand in Bezug auf die Authentifizierung neuer Geräte abgenommen. EFFICIENTIP HAT EINE REIHE VON ANWEN- DUNGEN ZUR NETZ- WERKSICHERHEIT ENTWICKELT, DIE DIE BEMÜHUN-GEN VON IT-ABTEILUNGEN ZUR VEREINFA-CHUNG UND FESTIGUNG DER IT-SICHERHEIT UN- TERSTÜTZEN. So hilft EfficientIP Durch Anwendung dieser Taktiken können IT-Abteilungen ihre Sicherheitsstrategie sofort erheblich verbessern. Aber denken Sie daran, dass der Umstand, mehrere Tools haben zu müssen, um all diese Tätigkeiten ausüben zu können, zulasten der Effizienz geht, die von einem einzigen Tool ausgeht, das auf effektive Weise so viele IP-basierte Aktivitäten automatisieren kann. Wie wir in unserer vorhergehenden Publikation Strengthen the Foundation of Your Network bereits ausgeführt haben, hat EfficientIP eine Reihe von Anwendungen zur Netzwerksicherheit entwickelt, die die Bemühungen von IT-Abteilungen zur Vereinfachung und Festigung der IT-Sicherheit unterstützen. Mit der Appliance-Lösung SOLIDserver bietet EfficientIP die nachfolgenden Schlüsselmerkmale für zeitsparende Ressourcen: DNS-FIREWALL: Diese umfassende DNS-Sicherheitslösung verhindert selbsttätig und vorbeugend neue Angriffe. Sie schützt die SOLIDserver-Appliance und andere Linux-basierte Geräte innerhalb der DNS-Infrastruktur, indem Malware-Aktivitäten entdeckt und blockiert und infizierte Geräte erkannt werden. STEALTH-ARCHITEKTUR FÜR DEN DNS: Durch Verbergen des Master-DNS- Servers vor allen anderen Servern ist es Hackern unmöglich, den DNS- Server zu entdecken und zu infiltrieren. EfficientIP bietet die SmartArchitecture, eine einzigartige Technologie, mit der auf intelligente Weise die Entwicklung, die Einsetzung und die Verwaltung der Stealth-Architektur für den DNS vereinfacht und automatisiert werden kann. ANWENDER-MOBILITÄTSKONTROLLE: Unternehmen, die sich Gedanken um die BYOD-Sicherheit machen, bietet SOLIDserver das Captive Web Portal & Device Connection Tracking. Dieses erlaubt der IT, unbekannte Geräte temporär so lange zu isolieren, bis sie bestätigen können, dass ihre Anwender sich authentifiziert haben und autorisiert sind, neue Geräte online zu schalten. SIGNATURMECHANISMEN: Die EfficientIP-Appliance ermöglicht der IT, schnell ein Template zu erstellen, durch das neue Netzwerke und VLANs eingerichtet werden können, die Zeit zugunsten der Produktivität für neue oder neu konfigurierte Gruppen oder Abteilungen erspart. RICHTLINIENMANAGEMENT: SOLIDserver erlaubt der IT, Abstimmungen vorzunehmen, die nur so granular wie nötig sind und stellt damit sicher, dass sich Geräte und Anwender an festgelegte Richtlinien halten. Für den Aufbau eines sicheren IT-Netzwerks ist es wichtig, ein Werkzeug an der Hand zu haben, das in allen Phasen der Netzwerkeinrichtung Unterstützung bietet. SOLIDserver stellt für die IT-Abteilungen eine Appliance dar, die eine großflächige Automatisierung für die Entwicklung, Konfiguration, Einrichtung und Verwaltung des Netzwerks bietet.