Business Guide. VPN und Sicherheit

Transkript

1 usiness Guide VPN und Sicherheit

2 usiness Guide usiness Guide: VPN und Sicherheit Einleitung Das Internet bietet Unternehmen vielfältige Wachstums- und Entwicklungsmöglichkeiten. Indem sie von den zahlreichen, im Netzwerk heute verfügbaren Diensten und Lösungen Gebrauch machen, können die Unternehmen ihre Kunden besser betreuen, Synergieeffekte zwischen geografisch verteilten Mitarbeitern schaffen und durch den elektronischen Zugriff auf eine breitere und stärker diversifizierte Kundenbasis zusätzliche Umsatzquellen erschließen. Zu diesen Möglichkeiten zählen beispielsweise Kundendienstleistungen, Lagerbestandskontrolle, E-Commerce-Websites, interaktives E-Learning, Optimierung des Personaleinsatzes, Remote-Netzwerkzugang, engere Geschäftsbeziehungen und bessere Kooperation zwischen Unternehmen sowie IP-Telefonie. Solche Lösungen eröffnen beispiellose Möglichkeiten zur Reduzierung der etriebskosten, zur Verbesserung von Produktivität und Kommunikation und zur Generierung neuer Umsatzquellen. Unglücklicherweise geht mit der Einführung solcher Möglichkeiten auch die ernsthafte Gefahr der Cyber-Kriminalität einher. Daher ist es heute wichtiger denn je, dass die Unternehmen die Sicherheit zu einem festen estandteil ihrer Netzwerke machen, um solche Risiken zu minimieren und das inhärente Wachstumspotenzial einer vernetzten Umgebung zu realisieren. Einflussfaktoren beim Kauf von Sicherheitslösungen Es ist daher entscheidend, die Risiken zu kennen, die mit jeder integrierten usiness-lösung verbunden sind. Nach Angaben von Meta Group Consulting stehen bei Führungskräften die folgenden beiden edenken an erster Stelle: Schaden für das Unternehmen nach einem Hacker-Angriff. Es besteht die Gefahr, dass ein publik gewordener Sicherheitsvorfall oder ein Hacker-Angriff das Image eines Unternehmens in der Öffentlichkeit ernsthaft schädigt. Dies mag vielleicht weit hergeholt klingen, aber viele Kunden, Lieferanten und Geschäftspartner können das Gefühl bekommen, dass ein so simpler Vorgang wie das Verändern einer Website durch Hacker auf tiefer liegende Sicherheitsprobleme hindeuten kann und ihre E-usiness-Aktivitäten entsprechend einschränken. 1

3 Gesetzliche Haftung nach einem Hacker-Angriff. In zunehmendem Maße werden Unternehmen für unzureichende oder mangelhaft realisierte Sicherheitslösungen verantwortlich gemacht. ei vielen der heutigen Angriffe, beispielsweise den so genannten Distributed Denial of Service (DDoS)-Attacken, dringen Hacker in ein Netzwerk ein, platzieren eine Agentensoftware auf den Systemen in diesem Netzwerk und benutzen das Netzwerk dann, um andere Unternehmen, Organisationen oder Netzwerke anzugreifen. In ähnlicher Weise kann ein kompromitiertes Netzwerk einem Hacker den unerlaubten Zugriff auf Kreditkarten- oder Kontoinformationen oder persönliche Informationen, den direkten Zugang zu Extranet-Partnern und ihren Netzwerken und vieles mehr ermöglichen. Immer mehr Unternehmen werden auch von ihren Aktionären dafür verantwortlich gemacht, wenn ein vermeidbarer Angriff zum Verlust wichtiger Forschungs- und Entwicklungsdaten oder anderer unternehmenskritischer Daten führt. Die Problematik beim Ausräumen solcher und anderer edenken besteht darin, dass viele Führungskräfte die Probleme nicht kennen oder nicht in der Lage sind, eine angemessene Lösung zu finden. Nach Angaben von DataMonitor werden die in den ereichen usiness-to-usiness und usiness-to-consumer weltweit erzielten E-Commerce-Umsätze bis zum Jahr 2005 auf 5,9 illionen bzw. 663 Milliarden US-Dollar ansteigen. Dieses Wachstum ist jedoch nur möglich, wenn auch in die Sicherheit investiert wird. ezeichnend für die gegenwärtige Situation ist der Umstand, dass Angriffe auf die Netzwerksicherheit pro Jahr weltweit Kosten von über 15 Milliarden US-Dollar verursachen, während jedoch über die Hälfte aller Unternehmen weltweit nur 5 % ihres IT-udgets oder noch weniger für die Sicherheit ausgeben. Vielfach sind diese Ausgaben geringer als die Aufwendungen für die Versorgung ihrer Mitarbeiter mit Kaffee und Mineralwasser. Andererseits geben nach Angaben des FI 58 % aller Unternehmen an, dass sie im Laufe eines einzigen Jahres zehnmal oder noch öfter das Ziel von Hacker-Angriffen waren! Was also hindert die Unternehmen daran, angemessene Sicherheitslösungen in ihren Netzwerken einzurichten? Nach Auskunft der Gartner Group sind hierfür vor allem vier Gründe verantwortlich: 1. Mangelnde Fähigkeit zur Quantifizierung der Sicherheitsgefahren und hierdurch Lähmung der Entscheidungsfindung. Ungeachtet ihrer emühungen um die Einrichtung irgendeiner Form von Sicherheitsmaßnahmen stellen viele Unternehmen fest, dass die angewandten Lösungen einfach nicht ausreichen. Dies hat oft zwei Dinge zur Folge: Erstens wissen sie nicht, welche Sicherheitsrisiken mit ihren E-usiness-Strategien verbunden sind. Zweitens gehen sie nicht systematisch vor, um ihr gesamtes Netzwerk intelligent zu schützen. 2. Mangelnde Fähigkeit zur Erfassung der Schwere und Wahrscheinlichkeit des Risikos. Die Unternehmen haben wenig oder überhaupt keine Vorstellung davon, welche Kosten mit einem Angriff auf elektronischem Wege verbunden sind. Sie haben den Wert ihrer elektronischen Daten nicht zahlenmäßig erfasst und wissen nicht, wie weit reichend der Schaden bei einem Angriff sein kann. Sie haben ihre E-usiness-Strategie und deren Umsetzung nicht genug durchdacht und können daher auch keine angemessene Sicherheitspolitik (Policy) anwenden. 2

4 usiness Guide 3. Vorgefasste Meinung, dass die Sicherheit viel Geld kostet. Die meisten Führungskräfte sind nach wie vor der Ansicht, dass sich Sicherheitsprobleme lösen lassen, indem man einfach irgendeine ox (Firewall, Intrusion Detection System, Zugangskontrollsystem, usw.) kauft und installiert. Jedoch kann die Anschaffung von Geräten ohne Sicherheitspolicy und Implementierungsplan zu hohen Kosten und den mit einer Trial-and-Error- Vorgehensweise verbundenen Problemen führen. Die beste Lösung ist die Entwicklung einer geeigneten Sicherheitspolicy, die Nutzung der im Netzwerk bereits vorhandenen Sicherheitsmechanismen und die Anschaffung und Anwendung intelligenter Sicherheitslösungen, die für den Einsatz als estandteil der Netzwerkarchitektur konzipiert sind und die Einführung neuer Netzwerkdienste und -lösungen unterstützen. 4. Vorgefasste Meinung, dass sich Sicherheitslösungen nicht mit Zugangsmöglichkeiten vertragen. Zu den größten Problemen, mit denen Unternehmen konfrontiert sind, gehört, dass sie ihre Sicherheitsfunktion von ihren Netzwerklösungen abgetrennt haben. Dies ist vorwiegend dem Umstand zu verdanken, dass die meisten Sicherheitseinrichtungen den Zugang beschränken und oft wesentlich langsamer als das Netzwerk arbeiten, das sie absichern. Durch die Implementierung leistungsfähiger Geräte als estandteil der Netzwerkarchitektur sind solche edenken jedoch heute hinfällig. Marcus Ranum, einer der Erfinder der modernen Firewalls, sagte kürzlich: Wir Sicherheitsverantwortliche müssen damit aufhören, die Sicherheit so zu behandeln, als sei sie ein vom Netzwerkmanagement abgekoppeltes Problem. Die Erkennung von Fehlern und Angriffen sowie der Ausfall von Verbindungen dies sind alles Aspekte ein und derselben Netzwerkmanagement-Problematik. Schritt für Schritt Aufbau einer Sicherheitspolitik ruce Schneier, eine maßgebliche Autorität auf dem Gebiet der Sicherheit, sagt in seinem neuen uch Secrets and Lies: Sicherheit ist kein Produkt, sondern ein Prozess. Man kann sie nicht einfach nachträglich in ein System einbauen. Man muss die wirklichen Gefahren für ein System kennen, eine diesen Gefahren angemessene Sicherheitspolitik entwickeln und geeignete Abwehrmaßnahmen einbauen. Leider kaufen die meisten Unternehmen jedoch Sicherheitsprodukte ein, ohne sich über ihren konkreten Sicherheitsbedarf im Klaren zu sein. Es gibt einfach wenig Gemeinsamkeiten zwischen ihrem Geschäftsmodell und ihren Sicherheitsmaßnahmen. Dieses Problem lässt sich mit einer intelligenten Sicherheitspolicy lösen. Diese muss die usiness-strategie des Unternehmens berücksichtigen und sich gegen die konkreten Risiken einer solchen Strategie richten. Die Sicherheitspolicy muss sich auf das gesamte Netzwerk mit allen Komponenten und Diensten erstrecken, nicht nur auf einen Teil davon. In einer von Meta Group Consulting kürzlich veröffentlichten Studie wird festgestellt, dass 28 % der Unternehmen angeben, dass ein Teil ihrer Infrastruktur nicht von ihren Sicherheitsprogrammen erfasst wird. Was also gehört zu einer Sicherheitspolitik? Dieses Thema wird in zahlreichen Quellen wesentlich ausführlicher erörtert. (Siehe RFC 2196 oder Policy Section und Site Security Handbook der NIST unter 3

5 In jedem Fall aber basiert eine Sicherheitspolitik auf den folgenden vier Aspekten: 1. Eindeutige eschreibung des usiness-modells. Es ist sinnlos, eine Sicherheitslösung zu entwickeln oder anzuwenden, die sich nicht an den Unternehmenszielen ausrichtet. Die Geschäftsziele, einschließlich der zu ihrer Realisierung benötigten Dienste und Zugänge, müssen klar definiert werden. 2. Detaillierte Kenntnis der zugehörigen Risiken. eim Einrichten einer DMZ-Hosting- Anwendung oder einer E-Commerce-Site muss man wissen, wie Hacker versuchen können, solche Systeme und Dienste auszunutzen. Welches Risiko entsteht, wenn die Webseite verändert wird oder wenn ein Hacker in einen Server oder eine Datenbank eindringt? Auf welche Weise erfolgen solche Angriffe? Überwinden sie die Firewall, indem sie sich in dem zulässigen Webverkehr verstecken oder indem sie Schwachstellen in fehlerhaften etriebssystemen ausnutzen? Diese Aspekte sind gründlich zu untersuchen und zu durchschauen, bevor man den nächsten Schritt tun kann. Wenn das Netzwerk um neue Systeme oder Dienste erweitert wird, entstehen auch neue Risiken. Daher muss eine regelmäßige und umfassende Schwachstellenanalyse ein fester estandteil aller laufenden Maßnahmen sein. 3. Systematisches Vorgehen zur Risikominimierung. Alle Teile eines Netzwerks können das Ziel von Angriffen sein Router, Switches, Hosts, Applikationen und etriebssysteme. Eine wirksame Sicherheitspolitik muss alle diese Komponenten abdecken. eim Implementieren von Sicherheitslösungen gelten die drei P : People (Mitarbeiter), Products (Produkte) und Process (Abläufe). Man benötigt qualifizierte technische Mitarbeiter zum Einführen der Sicherheitspolitik, man benötigt speziell für die Unterstützung der E-usiness-Strategie ausgelegte Tools, und man muss dies mit einer guten Systemadministration und Revision verbinden. 4. Sicherheit muss als Prozess verstanden werden. Eine Sicherheitspolitik kann nicht ein für alle Mal eingerichtet und dann vergessen werden. Die Sicherheitsanforderungen verlangen regelmäßige Überprüfungen, Analysen und Verbesserungen, wenn der für das Unternehmen erforderliche Schutz gewährleistet werden soll. Unter Umständen ist es auch ratsam, ein Tool zur Ermittlung von Schwachstellen zu erwerben oder in Zusammenarbeit mit einem externen Partner eine Sicherheitsüberprüfung durchzuführen, um die Sicherheitspolitik und deren Anwendung zu validieren und gegebenenfalls auch die arbeitsintensive Sicherheitskontrolle diesem externen Anbieter zu übertragen. Das Cisco Security Consulting Services-Team hat die folgenden 10 goldenen Regeln für die Entwicklung einer Sicherheitspolitik aufgestellt: 4

6 usiness Guide Die 10 goldenen Regeln für die Cyber-Sicherheit 1. Mitarbeiter sollen wirksame Passworte verwenden. Im Internet frei verfügbare Hacker- Programme enthalten zigtausend gebräuchliche Passworte für den Einbruch in ungeschützte Computersysteme. Ein Passwort sollte mindestens 8 Zeichen lang und kein Wort aus dem Wörterbuch sein. Es sollte Groß- und Kleinschreibung oder auch Symbole wie z.. $ enthalten. Ein ideales Passwort hat die Form 23#N3$. 2. Die Passworte sollen alle 90 Tage geändert werden. Wenn Hacker an ein Passwort gelangen, ist es auf diese Weise möglicherweise schon nicht mehr aktuell. 3. Aktualisierung des Virenschutzprogramms. Die meisten Unternehmen verwenden Virenschutzprogramme von Anbietern wie Symantec, Trend Micro oder McAfee. Diese Anbieter bieten regelmäßig Patches und Updates für ihre Programme an, um neue edrohungen abzuwehren. Die Unternehmen sollten ihre Abwehrmechanismen regelmäßig auf Verbesserungsmöglichkeiten überprüfen und sicherstellen, dass ihr Abonnement für Virenschutz-Updates noch gültig ist. 4. Information der Mitarbeiter über problematische Dateianhänge. Was in der Mailbox ankommt, muss nicht unbedingt durch Sicherheitsmechanismen überprüft worden sein. Anhänge, insbesondere solche mit ausführbarem Code (diese müssen nicht unbedingt an der Erweiterung.exe erkennbar sein), können gefährlich sein. Sie können einen kompakten Softwarecode, ein so genanntes Trojanisches Pferd, hinterlassen, der das System verseucht oder Hackern ein späteres Eindringen ermöglicht. Die Mitarbeiter müssen mit den grundlegenden Sicherheitsprinzipien vertraut gemacht werden, wozu auch die Forderung gehört, dass von unbekannten Absendern stammende Dateianhänge nicht geöffnet werden sollten. 5. Installation einer kompletten Lösung. ei der Realisierung einer eigenen Sicherheitslösung (statt die Dienste eines ISP oder Web-Hosts in Anspruch zu nehmen) reicht es nicht aus, einfach eine Firewall zu installieren. Firewalls können ein Netzwerk am Perimeter schützen, aber kein einziges Produkt bietet eine Universallösung für das gesamte Netzwerk. Komplette Lösungen müssen einen Firewall-Schutz, Intrusion Protection für Hosts und Netzwerk, Zugangskontrollserver und -einrichtungen, sichere Verbindungen (beispielsweise IPSec VPNs), geeignete Filter und ACLs (Access Control Lists) zur eschränkung und Verwaltung des Netzwerkverkehrs sowie ein sicheres Geräte- und Policy-Management umfassen. 6. Regelmäßige Überprüfung des Sicherheitsstandards. Sicherheit lässt sich nicht einfach ein für alle Mal einrichten und dann vergessen, denn Hacker verfeinern ihre Technologie ständig. Kleine und mittelgroße Unternehmen müssen wissen, wie sie die gebräuchlichsten Angriffsformen abwehren können. ei Nutzung der Dienste eines Web-Hosts oder ISP muss ein sicherheitsbewusster Anbieter gewählt werden. Hierbei lohnt es sich, die Leistungen verschiedener Anbieter zu vergleichen. 7. eim Ausscheiden von Mitarbeitern aus dem Unternehmen ist der entsprechende Netzzugang sofort zu sperren. ei jedem Einsatz zur Überprüfung des Sicherheitsstandards von Netzwerken stößt das Cisco Security Consulting-Team fast in jedem Netzwerk auf Schwachstellen. In der gleichen Weise, wie ausscheidende Mitarbeiter ihren Firmenschlüssel abgeben müssen, müssen sie auch den Schlüssel zum Netzwerk abgeben. Verärgerte Mitarbeiter stellen die größte edrohung für die Sicherheit jedes Netzwerkes dar. 5

7 8. Für Mitarbeiter im Home-Office muss ein sicherer, zentral gemanagter Server für die Remote-Datenübertragungen eingerichtet werden. Telearbeit erhöht die Arbeitszufriedenheit und Produktivität. Doch sie stellt auch ein Sicherheitsrisiko dar. Es ist wenig sinnvoll, viel Geld für die Absicherung einer Website auszugeben und dann den Mitarbeitern zu erlauben, sich unkontrolliert einzuwählen. 9. Regelmäßiges Update der Webserver-Software. Sicherheits-Updates und Patches müssen immer auf dem neuesten Stand sein. Sie sind vielfach kostenlos im Internet verfügbar. Zum Schutz vor Hackern, die ständig nach den neuesten technischen Möglichkeiten suchen, muss immer die aktuellste Version der Software verwendet werden. 10. Keine unnötigen Netzwerkdienste. Wenn ein Mitarbeiter einen bestimmten Dienst nicht benötigt, sollte dieser auch nicht aktiviert sein. Werden Dienste wie NFS, Finger, Echo oder einige der anderen Programme, die bei Softwarepaketen üblicherweise mitgeliefert werden, nicht benötigt, so sollten sie deaktiviert werden. Oft werden verschiedene Dienste in einem Programm standardmäßig angeboten. Nicht benötigte Netzwerkschnittstellen sollten ebenfalls entfernt werden. Das Ausnutzen unnötigerweise aktivierter Dienste gehört zu den häufigsten Hacker-Angriffen, die wir bei unseren Kunden feststellen. Aspekte, die VOR der Entscheidung für eine Sicherheitslösung zu beachten sind Nachdem eine Sicherheitspolicy entwickelt wurde und in Kraft tritt, müssen mehrere Aspekte gründlich durchdacht werden, bevor die Lösung implementiert wird. Die Sicherheitsrisiken ändern sich Zwischen dem Wunsch nach Sicherheit und der Implementierung dieser Sicherheit klafft die bereits erwähnte Lücke. Der Hauptgrund hierfür liegt darin, dass sich die Komplexität des Netzwerks schneller entwickelt als die zu seinem Schutz bestimmten Produkte. In vielen Fällen sind die in den Unternehmen eingesetzten Sicherheitseinrichtungen für frühere, weniger komplexe Netzwerke ausgelegt. Vor zehn Jahren, als die meisten Sicherheitseinrichtungen konzipiert wurden, waren die Netzwerke geschlossene Systeme und leichter zu schützen. Die Netzwerkgrenzen waren klar definiert, und einfache Sicherheitseinrichtungen erfüllten voll und ganz ihre Aufgabe, Sicherheitslücken zu schließen, da hierzu nur wenig bis gar keine Intelligenz erforderlich war. ei diesen Legacy-Lösungen handelte es sich üblicherweise um einfache Zugangskontrollsysteme, die hauptsächlich dazu dienten, den allgemeinen Netzwerkverkehr zu unterbinden. Während sich jedoch die Netzwerke seitdem dramatisch weiter entwickelt haben, ist dies bei den meisten Sicherheitseinrichtungen nicht der Fall. Das Internet reift zur unternehmensweiten Datenautobahn heran, und mit ihm kommt das offene Netzwerk der Telearbeitsplätze, die Anbindung von Außenbüros und neue usiness-to-usiness-strategien. Diese komplexen, sich dynamisch verändernden Netzwerke erfordern anspruchsvollere Sicherheitslösungen, die als intelligente Errweiterungen der Netzwerkarchitektur speziell auch zur Unterstützung neuer Technologien konzipiert sind. 6

8 usiness Guide In solchen Netzwerken gibt es keine klar definierten Grenzen mehr, und die Netzwerksicherheit verändert sich mit jeder Netzanbindung eines neuen Nutzers. Welchen Stellenwert haben herkömmliche Sicherheitsprodukte in einer offenen Netzwerkumgebung? Die für die Netzwerke von gestern entwickelten Legacy-Sicherheitslösungen sind nicht leistungsfähig oder intelligent genug, um die zum etrieb von usiness-lösungen im Internet heute verwendete komplexe Netzwerkumgebung gegen Angriffe zu verteidigen. usiness-lösungen im Internet bestehen aus vielen unterschiedlichen austeinen, die gemeinsam ein effizientes und sicheres E-usiness realisieren sollen. Die Sicherheit ist nur ein kleiner Teilaspekt dieser komplexen Netzwerkumgebung, die darüber hinaus z.. auch Lösungen für Messaging, Call Center, Multimedia, Voice-Call-earbeitung, Collaboration, Video on Demand, Content Delivery, Personal Productivity, Policy Management, SLA-Management und Adressmanagement umfasst. Unternehmen, die in einer solchen Umgebung herkömmliche Sicherheitslösungen einsetzen oder einsetzen wollen Sicherheitslösungen, die KEINE Netzwerk- Intelligenz bieten und NICHT für die Unterstützung dieser neuen Technologien ausgelegt sind, verfügen nur über begrenzte Möglichkeiten zur Realisierung einer sicheren usiness-lösung im Internet. Solche Lösungen bieten keinen ausreichenden Schutz gegen entschlossene und immer besser ausgerüstete Cyber-Kriminelle. Die meisten Menschen, die von Hacker-Angriffen hören, denken, dass es sich hierbei um hoch komplexe technische Attacken handelt, die eine geniale Koordination erfordern. Die Wirklichkeit sieht so aus, dass die wirklich genialen Leute, die solche hoch komplexen technischen Angriffe erfinden, die zugehörigen Informationen und die zu ihrer Durchführung erforderlichen Tools anschließend auch für andere frei verfügbar machen. Diese freie Weitergabe von Hacking-Informationen und -Tools erlaubt es auch Personen mit geringen technischen Kenntnissen, komplexe Angriffe nachzuahmen. Manchmal muss man hierzu nur das entsprechende Angriffs-Tool aus dem Internet herunterladen und gegen das gewünschte Ziel richten. Ein Hacker braucht nicht mehr zu können, als das Angriffs-Tool durch Anklicken zu starten. Dies soll zum Ausdruck bringen, dass erfolgreiche Angriffe auf Systeme und Netzwerke nicht nur Genies vorbehalten sind, sondern dass sie jeder durchführen kann, der in der Lage ist, die Angriffs-Tools herunterzuladen. Leider gibt es heute kein universelles Sicherheits-Tool, das alle Einrichtungen und Dienste gegen Angriffe schützen könnte. Leistungsgrenzen der Legacy-Sicherheitssysteme Wie bereits an früherer Stelle erwähnt, entstehen für die Unternehmen viele Sicherheitsprobleme dadurch, dass die eingesetzten Sicherheits-Tools nicht dafür ausgelegt oder in der Lage sind, das Netzwerk zu schützen oder auf die heutigen hoch entwickelten Angriffe zu reagieren. Eine der größten Schwierigkeiten besteht darin, dass diese Tools nicht dafür entwickelt wurden, das Netzwerk zu verstehen oder mit ihm zusammenzuarbeiten, um eine abgestufte Verteidigungsstrategie zu realisieren, die tatsächlich die einzige machbare Verteidigung gegen die heutigen Angriffsarten darstellt. Darüber hinaus sind die verfügbaren Lösungen aller Sicherheitsanbieter von ihrem Konzept und ihrer Reichweite her sehr begrenzt. Diese Anbieter verkaufen ein oder zwei Tools, beispielsweise eine Firewall oder ein VPN-Gateway, und vermarkten diese Lösungen dann als Patentrezept für alle Sicherheitsanforderungen im Netzwerk. 7

9 Leider verfügen solche Lösungen jedoch nur über eine begrenzte Netzwerk-Intelligenz und können die meisten Netzwerkdienste oder -technologien nicht unterstützen. Dies wirkt sich in zweifacher Hinsicht aus. Erstens verbleiben bei der Realisierung von einzelnen Sicherheitsprodukten klaffende Sicherheitslücken im Netzwerk, da diese begrenzten Lösungen nicht alle denkbaren Schwachstellen abdecken können, die in jedem beliebigen Segment des Netzwerks bestehen. Zweitens kann ein übertriebenes Vertrauen in diese Lösungen ein wichtiger Grund dafür sein, dass Unternehmen so häufig das Ziel von Hacker-Angriffen sind. Daher ist es wichtig zu wissen, welche Nachteile der Einsatz von Legacy-Sicherheitslösungen in einer Welt, die sich rasch zu intelligenten Netzwerklösungen hin entwickelt, mit sich bringt. Um dieses Problem zumindest teilweise zu lösen, greifen die Unternehmen häufig zu Kombinationen von Produkten verschiedener Anbieter. Doch dieser Lösungsansatz schafft oft noch mehr Probleme als die Einzelprodukt-Lösung. Erstens besteht bei diesen Produkten weiterhin das Problem, dass sie intelligente Netzwerktechniken NICHT anbieten oder unterstützen. Zweitens führen solche Lösungen oft zu Konglomeraten von Produkten verschiedener Anbieter, die ein komplexes Geflecht von Patches, Interoperabilitätsproblemen und fraglichen Schuldzuweisungen beim technischen Support mit sich bringen. Und schließlich bleiben zahlreiche Sicherheitsfragen weiterhin bestehen, die von diesen Produktkombinationen nicht abgedeckt werden können. Darüber hinaus sind solche Lösungen von verschiedenen Anbietern sehr teuer und bieten in den seltensten Fällen ein Management aus einer Hand. Kurzum: Hat sich ein Anwender erst einmal auf die einseitige Argumentation dieser Anbieter eingelassen, ist er ihnen aufgrund der begrenzten Reichweite oder der mangelhaften Implementierung der Sicherheitsfunktionen bei den verkauften Produkten auf Gedeih und Verderb ausgeliefert. Durch diese Abhängigkeit ergeben sich die folgenden Probleme: Unvollständige Punktlösungen (begrenzte Sicherheit für einen einzigen Punkt im Netzwerk) Vortäuschung einer Universallösung (erzeugt falsches Sicherheitsempfinden und lässt Schwachstellen offen) Legacy-Applikation einer überlagerten Sicherheit (vor allem zur Unterbindung des Netzwerkverkehrs) Keine Netzwerk-Intelligenz (kein estandteil der Netzwerkarchitektur) Willkürliche Zusammenstellung von Technologien (keine echte Interoperabilität, kein einheitliches Management und kein gemeinsamer Support) Komplizierte Produkt-Updates und -Patches, u. a. Merkmalsparität zwischen Anbietern Inhärente Schwachstellen der Plattform (vielfach NT oder UNI) Kompatibilitäts- und Leistungsprobleme bei generischen Hardware-Plattformen Service und Support durch verschiedene Anbieter (Schuldzuweisung) Keine Qualitätssicherung des Supports zwischen verschiedenen Anbietern Keine Kontrolle und kein Schutz für das interne Netzwerk 8

10 usiness Guide Sicherheit als estandteil intelligenter Netzwerke Unternehmen, die intelligente Netzwerkumgebungen entwickeln, integrieren zahlreiche Lösungen in einem Framework. Funktionen wie integrierte Video-, Sprach- und Datenübertragung, Multimedia-Darstellungen, mobiler Zugang, QoS und E-Commerce spielen eine wichtige Rolle für die Steigerung von Produktivität und Rentabilität. In dieser integrierten Umgebung ist die Sicherheit ein kleiner, aber wichtiger estandteil. Um richtig funktionieren zu können, müssen Sicherheitsanforderungen ein Teil der Netzwerkarchitektur sein. Solche Sicherheitslösungen müssen im Hinblick auf das intelligente Netzwerk gestaltet werden und anspruchsvolle Netzwerkdienste unterstützen und mit diesen zusammenarbeiten können. Dies betrifft Sicherheitslösungen, die als dezentrale Technologie in die Netzwerk-Infrastruktur eingebunden sind, die als überlagerte oder integrierte Technologie realisiert werden (Nutzung der IOS-Intelligenz) und die als Grundlage und Erweiterung von usiness-lösungen im Internet konzipiert sind. Cisco Systems ist in der Lage, solche Sicherheitslösungen anbieten zu können. Da Cisco die meisten Netzwerkprodukte und -lösungen entwickelt hat, die heute die Grundlage für das Internet bilden, weiß niemand besser als wir, was sie leisten, in welche Richtung sie sich entwickeln und wie sie die Intelligenz des Netzwerks nutzen, um usiness-lösungen im Internet abzusichern. Kriminelle und Vandalen weiterhin werden versuchen, das Netz für ihre Zwecke zu mißbrauchen. Da die Sicherheitsaspekte alle Netzwerkkomponenten betreffen (bei dynamischen Netzwerken, die sich jedesmal verändern, wenn ein Kunde, Mitarbeiter oder Geschäftspartner hinzukommt oder wegfällt, ist das asisnetzwerk selbst sogar die einzige Konstante in einem sich ständig wandelnden Umfeld), sollte die Sicherheit ein fester estandteil der Netzwerkstrategie sein. Daher sind wir der Überzeugung, dass das Unternehmen, welches das Netzwerk entwickelt hat, auch dasjenige ist, das es am besten schützen kann. Cisco Systems ist heute der weltgrößte Anbieter von Netzwerk-Sicherheitslösungen. Unser kombiniertes Angebot von Sicherheitsprodukten umfasst Firewalls, VPNs, Zugangskontrolleinrichtungen, Einrichtungen zum Schutz von Netzwerken und Hosts vor Angriffen (Intrusion Detection), eratungsleistungen, Schulungen und Support aus einer Hand sowie die inhärente Sicherheit der IOS-Technologie selbst. Damit bieten wir das breiteste Portfolio von Sicherheitslösungen an und unterstützen mehr Unternehmen als jeder andere Sicherheitsanbieter. SAFE Nachdem wir nun das Problem erkannt haben, nämlich dass komplexere Netzwerke auch zu anspruchsvolleren Angriffen führen und dass Legacy-Sicherheitsfunktionen dieser neuen Realität nicht gerecht werden, wollen wir nun die innovative Art und Weise betrachten, in der Cisco die heutigen Sicherheitsanforderungen erfüllt. Unser Lösungsmodell für die Sicherheit beruht auf der SAFE-Dokumentation, die est-practice- Richtlinien für die Gestaltung und Implementierung sicherer Netzwerke festlegt. Die Implementierung von SAFE spielt eine entscheidende Rolle für die sichere Implementierung neuer Netzwerktechnologien und usiness-strategien im Internet. In einem einfachen schrittweisen Prozess gliedert SAFE das Netzwerk in seine Kernfunktionalitäten auf, isoliert alle Sicherheitsprobleme für jedes dieser Netzwerksegmente auf der Grundlage von konkreten Sicherheitsrisiken und identifiziert Sicherheitslösungen und -verfahren zur Minimierung dieser Risiken. 9

11 SAFE betrachtet Sicherheit als Prozeß und orientiert sich an den Geschäftszielen, der Sicherheitspolicy und der Nutzung aller verfügbaren Ressourcen als Teil der Sicherheitsstrategie und nicht an konkreten Produktfeatures. Das modulare Konzept ermöglicht es den Unternehmen, die für ihr Geschäftsmodell relevanten Netzwerkelemente nach ihren Sicherheitsanforderungen auszuwählen und die Sicherheit langfristig als Teil einer kostengünstigen Sicherheitsstrategie zu implementieren. Schlüsselkonzepte von SAFE sind: Sicherheit ist ein Prozess, KEIN Produkt. Sicherheit und die Minimierung von Angriffen sollten auf einer Sicherheitspolitik aufbauen. Sicherheit sollte in der gesamten Infrastruktur implementiert werden (und nicht nur in speziellen Sicherheitseinrichtungen). Sicherheit sollte kostengünstig und modular sein. Sicherheit erfordert eine mehrschichtige Verteidigungsstrategie, bei der mehrere Lösungen in einer nahtlosen, durchgängigen Sicherheitslösung zusammenwirken. Alles ist ein Angriffsziel Router, Switches, Hosts, Netzwerke (lokale und dezentrale), Applikationen, etriebssysteme, Sicherheitseinrichtungen, Remote-Nutzer, Geschäftspartner, Extranets, usw. Es gibt zwei Arten von edrohungen: edrohung durch interne Nutzer nach Angaben des FI werden 60 % aller Angriffe und 80 % der finanziellen Schäden von vertrauenswürdigen Netzwerkbenutzern verursacht. edrohung von außen dies sind hauptsächlich edrohungen für öffentlich zugängliche Hosts im Internet, weniger für das interne Netz selbst. SAFE-Lösungen kombinieren marktführende Sicherheitsprodukte, bewährte Sicherheitsverfahren und Management aus einer Hand und nutzen gleichzeitig die inhärenten Sicherheitsmerkmale der bestehenden Netzwerk-Infrastruktur von Cisco. Weitere Informationen zu SAFE und ein kostenloser Download aller SAFE-Dokumente stehen unter zur Verfügung. Das Sicherheitsangebot von Cisco Cisco hat unter allen Anbietern das umfangreichste Portfolio an Sicherheitsprodukten und -einrichtungen. Diese Tools lassen sich in die SAFE-Sicherheitsrichtlinien einbinden und sind speziell zur Absicherung intelligenter Netzwerkumgebungen konzipiert. Sie bieten außerdem die zusätzliche Sicherheit des Supports aus einer Hand, des durchgängigen Produktmanagements und der Cisco-Garantie für die Qualität und Stabilität eines führenden Anbieters. 10

12 usiness Guide Cisco PI Firewall Die Cisco PI Firewall ist eine Hardware-Einrichtung zur Steuerung des Zugangs zu einem Netzwerk oder Netzwerksegment. Analog zu einer verschlossenen Tür, die nur Nutzern mit Schlüssel oder Zugangskarte den Eintritt ermöglicht. Die Firewall bildet eine Schutzschicht zwischen dem Netzwerk und dem Außenbereich und wird auch als Kontrollpunkt zwischen internen Netzbereichen eingesetzt, wo sie den Netzwerkzugang regelt und alle unzulässigen oder möglicherweise gefährlichen Materialien (Java, Active) vom Netzwerk fernhält. Die Cisco PI Firewall-Serie bietet einen wirksamen Schutz in Form einer einfach zu installierenden integrierten Hardware/Software-Firewall-Lösung mit hoher Leistung. Die PI Firewall-Produktfamilie von Cisco deckt das gesamte Endanwender-Spektrum ab, von kostengünstigen Desktop-Firewalls für Remote-Nutzer bis hin zu Gigabit-Firewalls der Carrier-Klasse für anspruchsvolle Enterprise- und Service-Provider-Anwendungen. Die wichtigsten Leistungsmerkmale Sicherheit Spezielle Firewall-Lösung mit speziellem, gehärtetem etriebssystem. Leistung Stateful-Inspection, Verbindungs-orientierte Firewall für bis zu gleichzeitig aktive Verbindungen und 1,7 Git/s Durchsatz. Zuverlässigkeit High-Availability-Unterstützung durch redundante Hot Standby /Fail-over-Einheit, die Verbindungen durch automatische Stateful-Synchronisation unterbrechungsfrei aufrecht erhält. Virtual Private Network (VPN) Unterstützung von IPSec-Standarddiensten und VPN-Diensten auf L2TP/PPTP. VPN-eschleunigerkarte eschleunigung des 3DES VPN-Durchsatzes auf bis zu 100 Mit/s durch Abwicklung der Verschlüsselung/Entschlüsselung durch Cryptoprozessoren. Intrusion Detection System (IDS) Angriffsschutz durch Verwendung von IDS-Signaturen in der Firewall; Erkennung von Angriffen, Abwehr von Angriffen und Reaktion auf Netzwerk-Missbrauch in Echtzeit. Network Address Translation (NAT) und Port Address Translation (PAT) Verbirgt interne IP-Adressen und erweitert den Netzwerk-Adressbereich. Hoch performant und mit voller Unterstützung für komplexe Anwendungsprotokolle wie beispielsweise H.323, SIP und Skinny. Schutz vor Denial-of-Service (DoS)-Angriffen Schützt die Firewall sowie die internen Server und Clients vor Hacker-Versuchen, das Netzwerk mit unzulässigen oder sinnlosen Daten zu überschwemmen. Web-ased Management über PI Device Manager (PDM) Ermöglicht ein einfaches GUI-basiertes Konfigurieren sowie Nutzungsprotokolle. Erweiterbare Plattform Unterstützt von zwei 10/100 Ethernet- bis zu 10 Gigabit Ethernet-Schnittstellen. Geringe Cost of Ownership Einfaches Installieren und Konfigurieren, maximale Verfügbarkeit (MTF über Stunden) und einfaches Management gewährleisten ein gutes Preis-Leistungs-Verhältnis bei geringem Zeitaufwand. 11

13 Cisco IOS Firewall Die Cisco IOS Firewall erweitert die IOS-Sicherheitstechnologie von Cisco um ausgereifte PI Firewall-Funktionalität und die Erkennung von Angriffen auf Netzwerkeinrichtungen. Hierdurch kann die gesamte Infrastruktur um Firewall-Schutz und -Funktionalität ergänzt werden. Die breit angelegte Implementierung ermöglicht das Einrichten von Verteidigungszonen, so genannten randabschnitten, innerhalb des Netzwerks, um ein abgestuftes Abwehrsystem aufzubauen. In Verbindung mit der Cisco IOS IPSec VPN-Software und anderen Cisco IOS Software- Technologien wie beispielsweise GRE oder L2TP Tunnelling und Quality of Service (QoS) bietet der Cisco IOS Router eine komplette integrierte VPN-Lösung mit Firewall-Funktionalität. Da sie für zahlreiche Cisco-Router verfügbar ist, können die Kunden die passende Sicherheitslösung für ihre Anforderungen an andbreite, LAN/WAN-Dichte und Multi-Service- etrieb realisieren. Die wichtigsten Leistungsmerkmale Leistungsfähige Firewall-Funktionalität Unter Verwendung eines Stateful-Firewall-Verfahrens mit der ezeichnung Context-ased Access Control (CAC) leistet die Cisco IOS Firewall ein sicheres applikationsbezogenes Filter- und Zugangsmanagement und unterstützt die neuesten Netzwerkprotokolle und Applikationen. Intrusion Detection System (IDS) Angriffsschutz durch Verwendung von IDS-Signaturen in der Firewall; Erkennung von Angriffen, Abwehr von Angriffen und Reaktion auf Netzwerk- Missbrauch in Echtzeit. Zugangskontrolle Dynamische, Nutzer bezogene Authentifizierung/Autorisierung für LAN-, WAN- und VPN-Clients. Management Grafisches Konfigurieren und Managen mit der Security-Agentensoftware ConfigMaker. Virtual Private Network (VPN)-Sicherheitslösung Starke Absicherung nach außen zur Realisierung einer kompletten Cisco IOS VPN-Softwarelösung mit IPSec, QoS und Tunnelling mit zahlreichen Cisco-Routern. Cisco Secure Intrusion Protection Angesichts der Tatsache, dass 60 % der Sicherheitsverletzungen und 80 % der finanziellen Verluste durch Attacken im Unternehmen verursacht werden, spielt es eine wichtige Rolle, den internen Netzwerkverkehr auf verdächtige Aktivitäten zu überwachen und in Echtzeit auf schädliche Ereignisse oder unbefugte Netzwerkzugriffe zu reagieren. Cisco bietet zwei leistungsfähige, komplementäre IDS-Lösungen an, die auf Netzwerk- und auf Host-asis arbeiten und gemeinsam die umfassendste IDS-Lösung darstellen, die derzeit am Markt verfügbar ist. 12

14 usiness Guide Network Intrusion Detection System (NIDS) Das Cisco Secure Intrusion Detection System ist eine leistungsfähige und innovative Überwachungslösung für Netzwerke bei Unternehmen und Service Providern. Es erfüllt die gestiegenen Anforderungen im Hinblick auf den Schutz vor Denial-of-Service (DoS)-Attacken, die Erkennung von Hacker-Angriffen und den Aufbau von Abwehrmechanismen für E-Commerce-Anwendungen und ist die marktführende Überwachungslösung zum Schutz von Netzwerken. Die Produktlinie umfasst schnelle Sensoren sowie leistungsfähige integrierte IDS-Module für Cisco Catalyst 6000 Switches. IDS Sensoren analysieren die im Netzwerk übertragenen Pakete auf ihre Autorisierung oder auf die Zulässigkeit ihrer Inhalte. Wenn ein Datenstrom in einem Netzwerk unzulässige oder verdächtige Aktivitäten aufweist, so können die Sensoren den Verstoß gegen die Sicherheitspolitik in Echtzeit erkennen, die Session beenden und an einer zentralen Management-Konsole einen Alarm auslösen. Die Management-Konsole kann mehrere Sensoren zentral überwachen; sie besitzt eine übersichtliche, real-time Alarm-Anzeige und ermöglicht das zentrale Konfigurieren der Sensoren/Module. Die wichtigsten Leistungsmerkmale Marktführende Technologie Cisco ist der Marktführer in der Entwicklung und Implementierung innovativer, mehrfach ausgezeichneter IDS-Lösungen. Hoch entwickelte Funktionalität zur Aufdeckung und Abwehr von Hacker-Angriffen Verwendung intelligenter Signatur-Strings zur Leistungsmaximierung und zur verbesserten Erkennung von Angriffen. Transparenter etrieb Die IDS Sensor Ports haben keine nach außen erkennbare Adresse, so dass sie von Hackern, die ein Netzwerksegment auskundschaften, nicht erkannt werden können. Skalierbare Erkennungsleistung Erkennungsleistung zwischen 45 Mit/s und über 1 Git/s. Netzwerk-Integration Die IDS-Module für Catalyst 6000 Switches ermöglichen die direkte Integration der Sicherheitsfunktionen in das Core-Netzwerk, um Leistung und Sicherheit zu optimieren (kein Add-On, sondern direkte Integration). Aktive Reaktion Im Gegensatz zu anderen IDS-Tools verfügt die Cisco IDS-Lösung über Netzwerk-Intelligenz. Hierdurch kann sie Angriffe nicht nur erkennen und melden, sondern auch anomale Sessions beenden oder den nächsten Router anweisen, weitere Zugriffe des Angreifers auf das Netzwerksegment mittels einer ACL zu verhindern. Host-ased Intrusion Detection System (HIDS) Hosts und Server sind die am häufigsten angegriffenen Einrichtungen in einem Netzwerk. Hacker versuchen, die von diesen Einrichtungen angebotenen Dienste sowie die extrem hohe Komplexität der Geräte auszunutzen. Die Komplexität macht die Geräte besonders anfällig für edienungsfehler, und Absicherungsversuche führen meistens zu Leistungseinbussen, also dem Gegenteil von dem was erreicht werden soll. 13

15 Cisco Host IDS auf Entercept-asis kann dieses Problem lösen. Die Lösung kann mit branchenführender Technologie Angriffe auf Hosts in Echtzeit erkennen, darauf reagieren und sie effizient verhindern und das mit minimaler Performancebelastung des Hosts. Der Cisco Host IDS Agent wird etriebssystem nah installiert. Er fängt System- und API-Aufrufe ab, bevor sie zur earbeitung an das etriebssystem gelangen, vergleicht sie mit bekannten Angriffsmustern und weist sie im Falle einer missbräuchlichen Absicht ab. Für Webserver wird eine schützende Hülle um der Server herum aufgebaut, welche die Integrität des Serves, seiner Applikationen und Dateien gewährleistet, d. h. auch für wertvolle Kundendaten. Die wichtigsten Leistungsmerkmale Standard Edition: Verhindert Einbrüche Zugriffsversuche, die versuchen uffer-overflows zu erzeugen, werden ausdrücklich abgewiesen. Verhindert Hacker-Angriffe Durch etriebssystem-schutz wird die Ausführung von Hacker-Tools verhindert. etriebssystem-schutz Schützt das etriebssystem vor Veränderungen, beispielsweise der Registry, Aktivierung von zuvor deaktivierten Diensten, usw. Verhindert Heraufstufen der Zugriffsberechtigung Verhindert, dass Hacker ihre Zugriffsberechtigung heraufstufen und dadurch Root-Rechte des Gerätes erlangen. Web Server Edition: Zusätzlich zu allen Leistungen der Standard Edition bietet die Web Server Edition die folgenden Merkmale: Verhinderung verborgener Angriffe Überwacht, erkennt und blockiert bösartigen HTTP-Verkehr. Ressourcen-Schutz Verhindert das Ändern von Webserver-Dateien, so dass bösartige Veränderungen an Webseiten oder das Platzieren von schädlichen Codes verhindert werden, und begrenzt die Ressourcen-Nutzung im Rahmen von vordefinierten Parametern. Cisco VPN 3000 Familie Virtuelle Private Netzwerke (VPN) sind private, üblicherweise verschlüsselte Verbindungen oder so genannte Tunnels, die innerhalb von öffentlichen Netzwerken (z.. im Internet) eingerichtet werden. Sie dienen beispielsweise zur Anbindung von Telearbeitern, mobilen Nutzern, Außenstellen und Geschäftspartnern für die Kommunikation untereinander oder mit dem unternehmensweiten Netzwerk. Solche VPN-Verbindungen ermöglichen erhebliche Kosteneinsparungen im Vergleich zu herkömmlichen gemieteten Standleitungen oder gebührenpflichtigen Wählleitungen. Die Cisco VPN 3000 Concentrator Serie ist eine Familie von speziell für den Remote-Access über VPNs entwickelten Plattformen. Diese Konzentratoren zeichnen sich durch hohe Verfügbarkeit, hohe Leistung und Skalierbarkeit aus und verwenden modernste Verschlüsselungsund Authentifizierungsverfahren. 14

16 usiness Guide Die Geräte sind für die Anforderungen kleiner üros bis hin zu Großunternehmen mit bis zu gleichzeitig aktiven Remote-Nutzern pro Gerät skalierbar. In Load-alancing- Konfiguration lassen sich mehrere Einheiten zu Clustern zusammenfassen und unterstützen dann praktisch beliebig viele Remote Access Verbindungen. Das einzigartige push policy - Design bietet erhebliche Vorteile im Hinblick auf Skalierbarkeit, Sicherheit und Management, da die Sicherheitspolicy komplett zentral gespeichert und bei jedem Verbindungsaufbau an den Client übertragen wird. So lassen sich auch große Installationen einfach und sicher verwalten und es ist zu jeder Zeit sichergestellt, dass die aktuell gültige Sicherheitspolitik auf jedem Endgerät aktiviert ist. Die wichtigsten Leistungsmerkmale Cisco VPN 3000 Concentrators: Standard-basiert Unterstützung des Industriestandards IPSec mit DES/3DES. NAT-Unterstützung Unterstützung von Cisco IPSec/NAT für den VPN-Zugriff über PAT-Firewalls. Kostenloser VPN Client Unlimitierte Lizenz für die kostenlose Verwendung des Cisco VPN Client für beliebig viele Arbeitsplätze oder Nutzer. Standard-basierte, starke Authentifizierung Unterstützt RADIUS, SDI Token und digitale Zertifikate. Load-alancing Zusammenfassung mehrerer Einheiten zu einem Cluster. Stateful IPSec Fail-over Hot-Swap-fähige Karten ermöglichen Redundanz in einem einzigen System. Cisco VPN Hardware Client: Dieses Tool ist eine Hardware-Version des Cisco VPN Client und ermöglicht schnelle VPN-Verbindungen in Umgebungen mit verschiedenen etriebssystemen oder in SOHO-Umgebungen. reite etriebssystem-unterstützung Arbeitet mit den meisten etriebssystemen, u.a. Windows, Linux, Solaris, MacOS, usw. Auto-Upgrade Zentrale automatische Verteilung von Upgrades ohne Anwender-Eingriff. Full-Client-Technologie Push policy -Technologie und automatische Adresszuweisung vom zentralen VPN Konzentrator aus. Cisco Secure Scanner Eine regelmäßige Schwachstellenanalyse ist wichtig für die Aufrechterhaltung der Netzwerksicherheit. Der Cisco Secure Scanner führt detaillierte Analysen vernetzter Systeme durch. Im ersten Schritt werden elektronisch alle Netzkomponenten inventarisiert und anschließend auf eventuelle Schwachstellen, z.. bekannte Sicherheitslücken in etriebssystemen, aktivierte und für Missbrauch anfällige Dienste usw., untersucht. Mit dieser Technologie kann der Netzwerkmanager Sicherheitslücken erkennen und schließen, bevor sie von Eindringlingen ausgenutzt werden können. 15

17 Der Cisco Secure Scanner ist ein Softwaretool für Unternehmen, die proaktiv die Sicherheit ihrer eigenen Netzwerke überprüfen wollen. Er bietet die Erkennung der Netzwerksysteme, ein innovatives Datenmanagement, die flexible Festlegung anwenderspezifischer Regeln für die Erkennung von Schwachstellen und eine umfassende Sicherheitsprotokollierung. Durch eurteilung der Sicherheitslage, Risiko-Management und die eseitigung von Sicherheitslücken macht er die Netzwerkumgebungen sicherer. Die wichtigsten Leistungsmerkmale Flexible Lizenzierung Passt sich den Anforderungen der Kunden an und bietet beispiellose Scanning-Flexibilität. Komfortable edieneroberfläche Ein Netzwerk-Scan lässt sich auch ohne Kenntnisse des Netzwerkes oder möglicher Sicherheitslücken schnell durchführen. Umfassende Scanning-Logik Analyse und Identifizierung der zu untersuchenden Netzwerksysteme, beispielsweise Webserver, Firewalls, Router, Switches oder Workstations. Flexible Datenanalyse und -protokollierung Grafische Darstellung und Protokollierungstool. Nutzerdefinierte Implementierung Verwendung von Ablaufplanung, speziellen Profilen und konfigurierbaren Scanning-Regeln für Legacy- oder proprietäre Systeme. Matrix-rowser und Display Einfache Navigation durch das Datenmaterial. Regelmäßige Schwachstellen-Updates Aktualisierung der Signatur- und Regeldateien alle zwei Monate. Umfassende Netzwerk-Sicherheitsdatenbank Enthält eschreibungen von Sicherheitsproblemen, Risikograden, ehebungsoptionen wie beispielsweise Links zu Patches und Updates sowie Informationen darüber, wie Hacker die festgestellten Schwachstellen ausnutzen können. Cisco Secure Access Control Server evor sich ein Nutzer mittels eines Passwortes in einem Netzwerk anmelden kann, muss das Netzwerk die Gültigkeit des Passwortes feststellen und überprüfen, ob mit diesem Passwort bestimmte Zugriffsbeschränkungen verbunden sind. Access Control Server bieten so genannte AAA-Sicherheitsdienste (AAA steht für Authentifizierung, Autorisierung und Accounting), indem sie die Identität der Nutzer überprüfen, anhand von gespeicherten Nutzerprofilen die Zugriffsrechte für bestimmte ereiche oder Informationen feststellen und die Aktivitäten der Nutzer für die Dauer der Verbindung zum Netzwerk überwachen. Cisco Secure Access Control Server (ACS) ist ein hochgradig skalierbares, leistungsfähiges Zugangskontrollgerät, das als zentrales RADIUS oder TACACS+ Serversystem Authentifizierung, Autorisierung und Accounting des Nutzerzugriffs auf Ressourcen in Unternehmensnetzwerken durchführt. Cisco Secure ACS unterstützt die Zugangskontrolle und Accounting für Netzwerkzugriffe, Dial-In-Server, VPNs, Firewalls, Voice over IP (VoIP) und Wireless-Netzwerke. 16

18 usiness Guide Die wichtigsten Leistungsmerkmale edienkomfort Web-basierte edieneroberfläche zur einfachen Konfiguration. Skalierbarkeit ACS unterstützt große Umgebungen mittels redundanter Server, Remote- Datenbanken und Datensicherung für Nutzerdatenbanken. Erweiterbarkeit LDAP-Relay zur Authentifizierung von Nutzerprofilen mittels Directories wichtiger Anbieter wie Netscape, Novell, Oracle und Microsoft. Management Unterstützung von Windows 2000 Active Directory und NT-Datenbanken zur Konsolidierung des Nutzernamen/Passwort-Managements in Windows, Echtzeitdarstellung statistischer Daten mit Windows Performance Monitor. Administration Unterschiedliche Zugangsrechte für jeden Administrator und Möglichkeit zur Zusammenfassung der Netzwerkgeräte zur einfacheren Anwendung von Sicherheitsmechanismen und Änderungen der Sicherheitspolitik. Produkt-Flexibilität ACS kann mit den meisten Cisco Routern/Netzwerk-Zugangsservern, die RADIUS oder TACACS+ im Cisco IOS unterstützen, eingesetzt werden. Unterstützung von Third-Party-Token Token-Server Unterstützung für RSA SecurID, Axent Technologies, Secure Computing und CryptoCard-Token. Steuerung Unterstützung dynamischer Authorisierung für zeitlich begrenzten Zugriff, je nach Netzwerkauslastung, Anzahl der angemeldeten Sessions und auf bestimmte Tage beschränkten Zugriff. Cisco IOS-Lösungen Die auf IOS basierenden Security- und IPSec VPN-Hardware-Lösungen sind für Router der Serien Cisco 800, 1700, 2600, 3600, 7100, 7200 und 7400 verfügbar. Zentralisierte Management- und Support-Lösungen Cisco bietet eine Vielzahl von Sicherheitsgeräten und Policy-Management-Lösungen für kleine und mittelgroße Unternehmen sowie Großunternehmen an, mit denen sich vom einzelnen Gerät bis zu Umgebungen mit vielen hundert Geräten, sowohl als IOS-Sicherheitslösung oder VPNs managen lassen. Durch das Einrichten eines zentralen Managements können Unternehmen ihre Cost of Ownership erheblich reduzieren. Alle Sicherheitslösungen von Cisco werden durch technischen Rund-um-die-Uhr-Support ergänzt. Dies vermeidet unklare Zuständigkeiten und Schuldzuweisungen im Fehlerfall. Für alle Fragen ist Cisco ihr Ansprechpartner, der rund um die Uhr, an sieben Tagen in der Woche, umfassenden Produktsupport leistet. AVVID Security Partners Das Cisco AVVID Partnerprogramm umfaßt jetzt auch Sicherheitslösungen. Alle Lösungen werden von Cisco gründlich geprüft und in einem unabhängigen Labor getestet, um die Kompatibilität mit unseren Produkten zu gewährleisten. Zertifizierte Produkte aus verschiedenen ereichen stehen zur Verfügung, u. a. Virus-Scanner, Filter, Management- und Protokollierungstools, Identifizierungssoftware, PKI und digitale Zertifikate sowie andere VPN- und sicherheitsrelevante Funktionalitäten. 17

19 C Corporate Headquarters Cisco Systems, Inc. 170 West Tasman Drive San Jose, CA USA European Headquarters Cisco Systems Europe s.a.r.l. 11, Rue Camille Desmoulins Issy les Moulineaux Cedex 9 France Americas Headquarters Cisco Systems, Inc. 170 West Tasman Drive San Jose, CA USA Asia Pacific Headquarters Cisco Systems Australia, Pty., Ltd Level 9, 80 Pacific Highway P.O. ox 469 North Sydney NSW 2060 Australia Tel: NETS (6387) Fax: Tel: Fax: Tel: Fax: Tel: Fax: Cisco Systems hat mehr als 200 Niederlassungen in den folgenden Ländern. Adressen, Telefon- und Faxnummern entnehmen Sie bitte der Cisco.com-Website unter Argentinien Australien elgien rasilien Chile China Costa Rica Dänemark Deutschland Dubai (VAE) Finnland Frankreich Großbritannien Hongkong Indien Indonesien Irland Israel Italien Japan Kanada Kolumbien Korea Kroatien Luxemburg Malaysia Mexiko Neuseeland Niederlande Norwegen Österreich Peru Philippinen Polen Portugal Puerto Rico Rumänien Russland Saudi-Arabien Schweden Schweiz Singapur Slowakei Slowenien Spanien Sudafrika Taiwan Thailand Tschechische Republik Türkei Ukraine USA Venezuela Vietnam Zimbabwe Copyright 2002, Cisco Systems, Inc. Alle Rechte vorbehalten. Cisco, Cisco IOS, Cisco Systems und das Cisco Systems-Logo sind eingetragene Marken von Cisco Systems, Inc. oder dessen Partner in den USA und bestimmten anderen Ländern. Alle weiteren, in diesem Dokument oder auf der Website aufgeführten Marken sind das Eigentum ihrer jeweiligen Eigentümer.