extra Gebündelte Sicherheit IT-Security Das Spektrum der Angriffe Schwerpunkt: Unified Threat Management Veranstaltungen IT-Security

Transkript

1 sponsored by: Ein Verlagsbeihefter der Heise Zeitschriften Verlag GmbH & Co. KG extra IT-Security Schwerpunkt: Unified Threat Management Unified-Threat-Management-Systeme Konzepte, Funktionen Gebündelte Sicherheit Unified Threat Management in der Praxis Vereint und doch verteilt Vorschau Storage Schwerpunkt: Komplettlösungen fürs SAN Veranstaltungen 27. Februar 2. März, Berlin GUUG-Frühjahrsfachgespräch März, Hannover Cebit April, Hannover Hannover-Messe Industrie (HMI) April, London Infosecurity Europe Mai, Bonn Deutscher IT-Sicherheitskongress (BSI) Seite I Seite X Seite XII IT-Security Gebündelte Sicherheit Unified-Threat-Management-Systeme Konzepte, Funktionen Singuläre Lösungen als Sicherheitsmaßnahmen können die vielfältigen Angriffsarten heutzutage nicht mehr abwehren. Sie müssen Hand in Hand arbeiten, Ergebnisse austauschen und auswerten können, und nicht zuletzt muss ein Systemverwalter den Überblick über die einzelnen Werkzeuge behalten. Unter der Bezeichnung Unified Threat Management bündeln die Hersteller die unterschiedlichen Sicherheitstechniken und -funktionen zu umfangreicheren Produkten. Das Spektrum der Angriffe auf IT-Systeme weitet sich aus und damit wächst auch die Bedrohung. Die Bandbreite der Attacken reicht von solchen auf die Hardware, das Betriebssystem, Softwareplattformen wie Application-Server, Systemdienste und Softwarebibliotheken bis hin zu den Client-Applikationen. Aber auch die Benutzer sind häufig Ziel von Angriffen. Dazu gehören etwa Phishing-Angriffe, der Diebstahl von Kennwörtern oder das Ausspähen von Informationen. Bricht man die Angriffe weiter auf die grundlegenden IT- Systeme und Dienste herunter, so zeigt sich, dass nahezu kein Segment verschont bleibt: Router, Firewalls, Webserver, Application-Server, Datenbank- Server und natürlich die Betriebssysteme und ihre Serverund Netzwerkdienste wie DNS. Neben all diesen Serverfunktionen sind aber auch Client-Geräte den Angriffen ausgesetzt, unabhängig davon, ob es sich um einen stationären Desktop, ein Notebook oder ein anderes mobiles Gerät wie PDA, MDA oder Handy handelt. Breites Spektrum an Bedrohungen Hier geht es ebenfalls um Diebstahl von Daten oder Geräten, Angriffe durch Schadcode, etwa Viren oder Trojaner, Command- und SQL-Injections, Cross-Site Scripting, -Spam, Angriffe über Instant Messaging bis hin zu Denial-of-Service-Attacken auf die Betriebssysteme oder Netzwerkhardware. Hinzu kommt, dass die Angriffstechniken immer ausgereifter werden, wie man beispielsweise bei Rootkits sehen kann: Sie nisten sich tief in die Systeme ein und bringen gewisserma- I

2 IT-Security ßen ihre Tarnkappe zur Verschleierung gleich mit. Die Ausbreitung der Angriffe auf alle Ebenen zeigt auch, dass der alleinige Gebrauch von Virenscannern oder Firewalls schon lange keinen ausreichenden Schutz mehr bietet. Als Reaktion auf die neuen Angriffstechniken haben die Sicherheitshersteller daher vielfältige Techniken und Werkzeuge entwickelt. Neben den Virenscannern und Firewalls haben sich in den letzten Jahren Intrusion-Detection- und -Prevention-Systeme sowie Scanner für Malware, Spyware, Adware oder Spam etabliert. Honeypots und Werkzeuge für das Patch-Management ergänzen das Sicherheits-Portfolio. ANBIETERÜBERSICHT UTM-LÖSUNGEN Die Aufstellung erhebt keinen Anspruch auf Vollständigkeit. Hersteller Produkt / Produktreihe Link Altiris Security Management Suite Astaro AG Security Appliances BorderWare BorderWare Infinity Platform Check Point VPN-1 Cisco Systems Cisco Integrated Servies Router Clavister Clavister SSP Collax Collax Security Gateway Computer Associates etrust Crossbeam X-Series und C-Series Security Switches Finjan Vital Security Fortinet Fortigate Gateprotect Gateprotect, Serie A, X Heavensgate Solution GmbH Heavansgate FW/VPN IBM Tivoli Security Compliance Manager Internet Security Systems Proventia Ironport Security Appliances Juniper Networks Secure Services Gateway LANDesk Software LANDesk Security Suite McAfee Total Protection Message Labs Protect, WebProtect Microsoft Forefront, ISA NetASQ Fxxx-Appliances Panda Software Gate Defender Integra Phion netfence M Qualys Vulnerability Management Radware DefensePro, SecureFlow Secure Computing Sidewinder Securepoint Security Solutions SmoothWall Advanced Firewall 2 Shavlik NetChkProtect Softwin BitDefender SonicWall PRO und TZ-Firewalls/VPN Stonesoft StoneGate SurfControl SurfControl Filter Symantec Symantec Gateway Security Trend Micro InterScan de.trendmicro-europe.com VarySys PacketAlam Vasco axs Guard Watchguard Firebox Websense Web Security Suite Außerdem gibt es noch jene Sicherheitswerkzeuge, mit deren Hilfe sich die Rechnerfunktionen und Aufgaben einschränken lassen. Dazu gehört das Sperren ganzer Anwendungen und des Kopierens von Daten auf bestimmte, als unsicher geltende Datenträger sowie die Kontrolle jeglicher Kommunikation des Rechners mit anderen Systemen und peripheren Bausteinen. Port- und Device- Blocker kontrollieren durch eine gezielte Sperrung oder Freischaltung die Kommunikationsmöglichkeiten der Client-Systeme. Ziel ist, alle denkbaren Wege, über die Informationen ein Gerät verlassen könnten, zu versperren. Zu den überwachten Kommunikationseinrichtungen zählen alle Schnittstellen des Rechners, von seriellen Kanälen, USB- und WiFi-Anschlüssen bis zu den Wechselmedien. Zwar erfüllen all die angebotenen Produkte und darin enthaltenen Techniken ihre Funktion, doch unabhängig von ihrer sicherlich unterschiedlichen Qualität bleiben Lücken und Mängel. Das hat mehrere Gründe: Die Produkte stammen von verschiedenen Herstellern und sind daher funktional nicht integriert, arbeiten also mehr schlecht als recht zusammen. Eine Folge davon ist, dass sie über jeweils eigene Verwaltungswerkzeuge, mit verschiedenen Konfigurationsmöglichkeiten und Abläufen zu bedienen sind. Zusätzliche Fehlerquellen bei der Nutzung oder unzureichende Konfigurationen und damit wieder Sicherheitsmängel sind unvermeidlich. Angesichts der aktuellen Situation sind neue Sicherheitsansätze gefragt. Zu diesem Schluss kommt auch die Studie IT Sicherheit 2005 des Markforschungsunternehmens Lünendonk in Zusammenarbeit mit Computer Associates. Lösungen sind gefordert, die die IT-Sicherheit erhöhen und zugleich den Administrationsaufwand reduzieren. Solche Anforderungen lassen sich aber nur durch eine stärkere Integration der Produkte in umfangreichere Sicherheitspakete erfüllen. Unified Threat Management (UTM) heißt das neue Schlagwort, unter dem viele Sicherheitshersteller die ehemals einzelnen Funktionen beziehungsweise Produkte zusammenführen und in ein ganzheitliches Sicher- II ix extra 3/2007

3 UTM Die neuen IT-Security-Alleskönner auf dem Prüfstand UTM (Unified-Threat-Management) ist das neue Synonym für das, was vormals als All-in-One- Security bezeichnet wurde. Es geht darum, die Vielzahl der einzelnen Security-Komponenten in einem Produkt und unter einer einheitlichen Benutzeroberfläche zu vereinen. Security-Lösung ausgestattet. Das setzen wir bei uns, aber auch bei professionellen Wettbewerbern, voraus. Was aber aus unserer Sicht viel wichtiger ist, ist die Bedienbarkeit im Alltag. So haben wir uns entschlossen eine Benutzeroberfläche zu entwickeln, die für den nicht sehr geübten Anwender bereits Anzeige eine professionelle Konfiguration und Pflege aller Sicherheitskomponenten erlaubt. Dabei gibt es keine Einschränkung und es spielt keine Rolle, ob wir von unserer kleinsten Appliance-Lösung Piranja für circa 500 Euro empfohlenen Endkundenpreis oder beispielsweise für die mit IBM gemeinsam vermarkteten Enterprise Appliance der X-Serie für Unternehmen ab 200 User sprechen. Natürlich sind große Systeme dann genauso über die professionelle Management-Oberfläche zu administrieren. Das ist aus unserer Sicht ein besonders wichtiges Merkmal für den Einsatz im Alltag. Professionelle und große Umgebungen haben geschultes Personal oder entsprechende Serviceverträge mit Systemhäusern. Eine kleine Kanzlei kann damit schlecht umgehen und wird eher den einfach zu bedienenden Wizard verwenden. Auch die Versorgung dieser Kunden (Soho/Small Business) mit dem Thema Sicherheit wird immer mehr Thema für den normalen Fachhändler. Unser Ziel ist es, mit dem Grund-Know-how einen DSL-Router konfigurieren zu können, auch eine UTM-Appliance professionell in Betrieb nehmen zu können. Das bietet natürlich auch dem Fachhandel erheblich neue Services und Erträge. Alle UTM-Bestandteile sollten unter Kontrolle des Anbieters stehen Aber der Teufel steckt bekanntlich im Detail. Wenn unterschiedliche Softwarebestandteile von meist verschiedenen Unternehmen erstellt und vereinheitlicht werden, dann entsteht ein neuer Problembereich, der sich im täglichen Betrieb der Anlage schmerzhaft zeigt. Es geht um die Aktualität der Komponenten, das Zusammenspiel und deren Skalierbarkeit. Viele Hersteller setzen weiterhin auf zugekaufte lizenzierte Programmbestandteile, die oft auch einzeln installiert werden müssen. Lediglich eine einheitliche GUI für die Bedienung wurde geschaffen. Sollte es dann in der Zukunft zu Veränderung bei den Lieferanten kommen, dann gerät natürlich auch die Aktualisierung und das Zusammenspiel der Komponenten zum Problem. Ein wirklich leistungsfähiges UTM muss deshalb mit all seinen Bestandteilen unter der Kontrolle des Anbieters stehen und auch in Zukunft bereit gestellt werden können. Nur wenige Unternehmen schaffen es eine wirklich vollständige UTM anzubieten. Oder wollen Sie als Anwender Ihre Technik wirklich alle zwei Jahre komplett austauschen? Wir haben nachgefragt und mit Lutz Hausmann, Geschäftsführer der Securepoint GmbH in Lüneburg, über deren aktuellen UTM Securepoint Appliances 2007nx gesprochen. Das neue Produkt ist seit Anfang Februar 2007 für den Verkauf freigegeben. Lutz Hausmann führt aus: Unser UTM ist selbstverständlich mit allen Komponenten einer vollständigen Wizard automatisiert die Konfiguration Security Manager, Werkzeug für Profis UTM Bedienkonzept Für die Installation und Konfiguration der Securepoint Security-Appliance kann entsprechend dem Know-how und der Zeit des Benutzers zwischen folgenden Werkzeugen entschieden werden: Einsteiger und Eilige nutzen den Securepoint Wizard Für Profis, die alle Features bedienen wollen, ist der Securepoint Security Manager vorgesehen Beide Benutzeroberflächen sind vollständig kompatibel untereinander. Die Grundlage dafür ist, dass anders als bei den meisten Anbietern, alle Bestandteile des UTMs aus dem Haus Securepoint kommen. Securepoint hat sich zur Aufgabe gemacht, langfristig die Investitionen der Kunden zu sichern, Systeme zu schaffen, die es erlauben die Hardware zu vergrößern, alle Einstellungen auf die neue Umgebung mitzunehmen und allen neuen Anforderungen, wie beispielsweise VoIP, sicher bereitzuhalten. Wir wollen lieber im Alltagseinsatz Preis- Leistungssieger sein als Produkte mit Funktionen, die nicht verwendet werden, zu überfrachten. Das bedeutet, dass der Kunde mit seinen Bedürfnissen bei uns im Mittelpunkt steht und die Technologie nach seinen Anforderungen geschaffen wurde. Weitere Informationen: Bestandteile der Securepoint UTM Komplette Sicherheit in einem System: Firewall VPN-Server (IPSec, L2TP, PPTP) Virenscanner ( , Web) Content-Filter und Spam-Filter Intrusion Detection/Prevention Authentisierung Bandbreitenmanagement/Quality of Service Voice over IP (VoIP) Transportable Security Policies bei Arbeitsplatzwechsel Automatische Updates

4 IT-Security heitsportfolio integrieren. Die Analysten von IDC gehen davon aus, dass UTM in den kommenden Jahren zum wichtigsten Sicherheitsthema wird und prognostizieren bis 2009 einen Umsatz von 1,4 Milliarden Dollar für dieses Marktsegment. Spam Computer-Viren Trojanische Pferde Datenverlust Keine einheitliche Definition Bis heute gibt es allerdings keine klare Definition von Unified Threat Management, somit legt jeder Hersteller den Begriff nach eigenem Bedarf und Gusto aus. Einige Gemeinsamkeiten haben jedoch all diese Produkte: UTM-Systeme bestehen aus der Kombination unterschiedlicher Abwehrmaßnahmen. Die ehemals eigenständigen Produkte sind dabei um neue Funktionen erweitert worden, die in einem funktionalen Zusammenhang mit dem Kernprodukt stehen. Die Integration von unterschiedlichen Sicherheitseinrichtungen kann auf verschiedenen Ebenen stattfinden. Für IDC gehören aber eine Firewall und VPN unter allen Umständen dazu. Im einfachsten Fall vereint eine gemeinsame Box oder Appliance, meist mit einem gehärteten Betriebssystem, die separaten Funktionen. Die Betriebssystemhärtung schließt alle jene Maßnahmen ein, die das OS sicherer gestalten und die Angriffsfläche reduzieren zum Beispiel die Vermeidung schwacher oder gar fehlender Kennwörter, unnötige Verzeichnisfreigaben, anonyme Benutzer bis hin zur korrekten und aktuellen Version des Betriebssystems mit all seinen Service Packs oder Patches. Die Integration unterschiedlicher Sicherheitsfunktionen in einer Appliance bietet große Vorteile gegenüber Einzelanwendungen auf unterschiedlichen Rechnersystemen. Dazu gehört eine einfachere Verwaltung, weil lediglich ein Basisrechnersystem konfiguriert und Denial of Service Verlust der Datenund Systemintegrität Unberechtigter Zugang über Telekommunikation Verbreitung illegaler Inhalte Manipulation von Systemprogrammen Betrug Datendiebstahl überwacht werden muss. Auch sind die Sicherheitseinstellungen sowie das Einspielen von Service Packs und Patches für das Betriebssystem nur einmal durchzuführen und zu überwachen. Es können keine Wechselwirkungen mit weiteren Rechnern auftreten. Das verringert die Risiken durch fehlerhafte oder unzureichende Konfigurationen. Außerdem ist infolge der Zusammenfassung der Sicherheitsfunktionen in einem System die Angriffsfläche kleiner. Integration in einer Managementkonsole Im Fall der einfachen Integration unterschiedlicher Sicherheitslösungen in einer Appliance stehen die einzelnen Schutzbausteine unabhängig nebeneinander und sind separat zu Ja Nein Weiß nicht alle Angaben in Prozent 460 Unternehmen beantworteten bei der Lünendonck-Umfrage die Frage, mit welchen Sicherheitsproblemen sie im vergangenen Jahr konfrontiert worden waren. Die Antworten zeigen die Vielfalt heutiger Bedrohungen. Kein Wunder, dass gerade bei kleinen Unternehmen der Wunsch nach komplexen, zentral zu verwaltenden Sicherheitsprodukten besteht, die gleich mehrere Gefahren abwehren. 12 verwalten. Dieser Nachteil lässt sich durch die Zusammenführung unter einer gemeinsamen Administrationsoberfläche vermeiden, denn nunmehr nutzen alle zu verwaltenden Sicherheitssysteme die gleichen Konventionen und dieselbe Logik für ihre Bedienung. Wichtig dabei ist eine möglichst zentrale und übersichtliche Gestaltung. Für eine bessere Übersicht bieten sich beispielsweise mehrstufige Bäume mit Drill-Down- Funktion an. Hilfreich ist ferner eine Option zur Einbindung von Fremdprodukten beziehungsweise der generierten Ereignisse in die eigene Konsole. Eine gemeinsame Verwaltungsoberfläche für die Einzelfunktionen vereinfacht zunächst die Bedienung. Das allein ist jedoch nicht ausreichend. Viel wichtiger ist die Integration der funktionalen Aspekte der WerkiX extra 3/2007

5 FLEXIBILITÄT DURCH VTRAK M-CLASS RAID-STORAGE SYSTEME Professionelle RAID Storage Systeme für kleinere und mittlere IT-Applikationen basierend auf der Serial ATA Technologie. Flexible Konfigurationsmöglichkeiten und Einsatzmöglichkeiten durch iscsi, Fibre Channel oder SCSI Systemen nach Ihren Bedürfnissen. 2/3 HE Rackmount System 8, 12, 15 oder 16* Festplatteneinschübe 2x Externe Schnittstellen optional iscsi: Nutzung des Serverspeichers über LAN Fibre Channel: Zur Einbindung in SANs Ultra320 SCSI: Zur Serveranbindung als DAS S-ATA Festplatten 1.5/3.0Gbit HotSwap/HotSpare Zertifiziert für Seagate Barracuda ES Serie 750GB NCQ/TCQ Support RAID Level 0,1,1E,5,6*,10,50 Redundante Lüfter und Netzteile 3 Jahre Gewährleistung * nur Ultra 320 SCSI 01/07 Weitere Informationen über unsere Produkte unter: und Hotline Alle Marken- und Produktbezeichnungen sind Warenzeichen oder eingetragene Warenzeichen des entsprechenden Unternehmens. Druckfehler, Irrtümer und Änderungen vorbehalten. CPI Computer Partner Handels GmbH Kapellenstr. 11 D Feldkirchen Telefon: (+49)-0 89/ Telefax: (+49)-0 89/

6 IT-Security zeuge und der zugrunde liegenden Verwaltungsdaten. Erfolgt lediglich die Bedienung unter der gemeinsamen Oberfläche, bleiben die einzelnen Module weiterhin separiert und operieren weitgehend mit eigenen Daten. In dem Fall muss der Administrator die erforderliche Brücke zwischen den Funktionen schaffen. Starke Integration von Vorteil Der Nachteil einer mangelhaften Integration zeigt sich beispielsweise beim Einsatz von Intrusion-Detection- und Intrusion- Prevention-Systemen (IDS, IPS). IDS protokollieren zwar mögliche Lücken und potenzielle Angriffe meist sehr detailliert in den Log-Dateien oder sonstigen Sicherheitsprotokollen und sind auch in der Lage, beim Überschreiten von festgelegten Schwellenwerten oder dem Eintreffen bestimmter Ereignisse automatisch den Administrator per , SMS oder sonstiger Kommunikationsmedien zu benachrichtigen. Die notwendigen Reaktionen muss er jedoch selbst einleiten. Die Auswertung der Sicherheitsprotokolle nimmt allerdings viel Zeit in Anspruch und wird deshalb häufig nicht durchgeführt. Wenn doch, so kann die Analyse der gesammelten Log-Daten meist nur mit erheblicher Verzögerung und damit zeitversetzt erfolgen. Wenn aber diese Protokolle und Warnungen aufgrund ihrer Größe und der Menge der Meldungen nur sporadisch oder sehr verzögert ausgewertet werden, sinkt ihr Nutzen, insbesondere für die akute Bedrohung. Abhilfe könnte in diesem Fall die Zusammenführung der überwachenden Intrusion-Detection-Systeme mit den aktiven Abwehrmaßnahmen in den Intrusion-Prevention-Systemen schaffen: Das IPS kann die Meldungen selbstständig interpretieren und aktiv in das Geschehen eingreifen. Es zeigt sich, dass die Interaktion zwischen allen beteiligten Bausteinen zur Gefahrenabwehr unumgänglich ist. Prinzipiell sollen sich aus den Informationen eines Moduls Rückschlüsse für notwendige Reaktionen eines weiteren Moduls ziehen und auch initiieren lassen. Zu diesem Zweck müssen Sicherheitslösungen die von den Überwachungs-Tools Bedrohungen durch via Laptop, PDA & Co. eingeschleppte Malware soll die Security-Appliance FortiGate von Fortinet abwenden. Das auf hohen Durchsatz ausgelegte Produkt soll außerdem im Kampf gegen Hackereinbrücke, Dos-Attacken und ähnliche Gefahren helfen. Borderwares Sicherheitsplattform Infinity ist speziell für den Schutz verschiedener Kommunikationsformen per Internet konzipiert etwa Mail, Instant Messaging und Voice over IP. Über die üblichen Funktionen Netzwerkschutz, Web- und Mailfilter et cetera hinaus bietet Astaros Sicherheits- Appliance Security Gateway die Möglichkeit, s zentral auf dem Gateway zu ver- und entschlüsseln sowie digital zu signieren. Zukünftig wird Symantec gemeinsam mit Juniper UTM- Appliances entwickeln. Benutzer des hier zu sehenden bisherigen Symantec-Produktes Gateway Security erhalten aber noch einige Jahre Support. erzeugten Log-Daten zusammenführen. Für eine Analyse sollten sie die Daten anschließend durch Filtern und Korrelation auf wesentliche Ereignisse reduzieren. Doch das ist nicht immer einfach und erfordert tiefgehende Kenntnisse der Zusammenhänge. Automatisierte Auswertungen haben den Nachteil, dass sie etwa fehlerhaftes Verhalten oder Risiken im Datenverkehr nicht eindeutig erkennen können. Allein aus der Datenkommunikation, ihrer Menge, den verwendeten Ports oder beteiligten Rechnersystemen lässt sich noch kein Risikofaktor ableiten. Erst aus der Kombination unterschiedlicher Faktoren, der Zeitspanne und weiterer laufender Systemprozesse lassen sich Rückschlüsse ziehen. Manche Lösungen haben einen sogenannten Lernmodus, mit dessen Hilfe sie lernen, die Unterschiede zwischen erwünschtem und unerwünschtem Verhalten zu erkennen. Die Kombination unterschiedlicher Abwehrmaßnahmen in einem UTM-System kann sehr komplex sein. Doch letztendlich ist es immer eine Verbindung von ehemaligen Einzelaktionen zu besser integrierten Verarbeitungsketten, die häufig regelbasiert erfolgen und die den Funktionsumfang erweitern. Content-Filtering von -Inhalten und -Anhängen beispielsweise überwacht die Übereinstimmung des Kommunikationsverhaltens mit den Unternehmensregeln. Für diese Prüfungen bedarf es des Zusammenspiels der Mail-Systeme mit den Überwachungsmechanismen in den Firewalls oder weiteren Filtereinrichtungen. Die Prüfungen können vielfältige Kriterien sowie deren Kombination mit einbeziehen. Dazu gehören die Abhängigkeit von Datum, Uhrzeit, Empfänger und Absender der . Das Verfahren kann für beide Kommunikationsrichtungen angewendet werden. Bei ausgehendem FTP-, HTTP- und HTTPS- Datenströmen oder s hilft VI ix extra 3/2007

7 Auf zu neuen Horizonten. Mit Sicherheit. ESET Lösungen sind effektiv, schnell und führend in proaktiver Erkennung: ESET s NOD32 Anti-Threat-Lösungen bieten mit einer universellen Engine umfassenden Schutz gegen aktuelle und zukünftige Bedrohungen durch Viren, Trojaner, Spyware, Adware, Phishing in Echtzeit, das heißt in den meisten Fällen ohne Update. Beste Zero-Day Detection (Proaktiv) Hervorragende Performance Geringster Verbrauch an Systemressourcen Spitzenwerte im Datendurchsatz in Tests der Fachzeitschrift Virus Bulletin Proaktiv führend ( Response-Time- Tests, Retrospective Tests) Von Trojanern und Würmern, über Spyware und Rootkits bis zu Phishing und Adware die Bedrohungen nehmen nach Typ und Anzahl ständig zu. Eset s Engine zum Schutz vor all diesen Bedrohungen ist derart optimiert, dass im Mittel nur 20 MB RAM benötigt werden. Unabhängige Tests belegen, dass im Vergleich zu Mitbewerbern der Datendurchsatz beim Scanprozess um den Faktor 2 bis 6 höher ist. Eset ist führend in proaktiver Erkennung Neue Malware kann sich lawinenartig ausbreiten und das Sicherheitsloch zwischen Malware-Ausbruch und Sicherheits-Update erweist sich als kritisch. ESET hat diese Herausforderung gemeistert: Eset s Anti-Threat-Lösungen sind führend in proaktiver Erkennung. Reale Malwareausbrüche und unabhängige Tests haben dies bestätigt. Eset s NOD32 ist Rekordhalter des begehrten 100%-Awards des Virus Bulletin und hat in 8-jähriger Testteilnahme als einziges Produkt am Markt nie einen ITW-Virus verpasst. Neue Version NOD Kompatibel zu Windows Vista und stärker gegen Rootkits Microsoft Windows Vista (32/64 Bit) wird voll unterstützt. Die neue Anti-Stealth-Technologie bekämpft offensiv aktive Rootkits. Neue und verbesserte Techniken zum Säubern von Dateien sind integriert. Das Handling eventuell unerwünschter Anwendungen ist nun benutzerfreundlicher gestaltet. Eventuell unsichere Anwendungen ist als Katalogpunkt neu integriert. Das Versionsupgrade auf die Version 2.7 steht allen Anwendern in gewohnter Weise kostenfrei zur Verfügung. NOD32 Antivirus bietet IT-Fachhändlern, Systemhäusern, und Beratungsfirmen im Bereich Computersicherheit alle Chancen, durch moderne Software, Marketing- und Vertriebsunterstützung sowie Support noch erfolgreicher am Markt zu sein. Werden Sie jetzt ESET Partner! Nehmen Sie Kontakt auf unter +49 (0) oder Essential Security against Evolving Threats Weitere Informationen:

8 Genau richtig Idealer Schutz für PC oder Workstation. IT-Security es gegen Datendiebstahl und die Verbreitung von Viren, bei eingehenden Daten und s lassen sich damit Viren, Spam und sonstige Schädlinge fernhalten. Eine andere Art der Integration von UTM-Werkzeugen bezieht sich auf die Koppelung unterschiedlicher Sicherheitsmaßnahmen wie den Schutz vor Spyware, Adware, Viren, Spam, Keylogger, Blended- Threats- oder Phishing-Angriffen. Zum Content-Filtering kann zusätzlich noch die Verschlüsselung des Datenverkehrs kommen. Aus der Kombination diverser Funktionen zur Erkennung und Vermeidung unerwünschter Verhaltensmuster bilden die Hersteller dann größere Sicherheitspakete. Ferner finden sich Firewall, IPS, Virenscanner, Spam-Filter, VPN-Gateway, Zertifikatsserver sowie Funktionen des Identity-Managements durch Schnittstellen zu Radius und LDAP-Systemen und auch Schwachstellenscanner in den verschiedenen UTM- Produkten. Intelligentes Traffic- Management Immer häufiger beziehen die Anbieter auch die Netzwerkhardware sowie all jene Bausteine, die sich mit der Übermittlung der Daten befassen, in die Sicherheitspakete ein. Darunter fallen die Aufgaben des Routings und des Traffic-Managements. Die Zielsetzung des Letzteren liegt in einer intelligenten Steuerung des Netzwerkverkehrs durch die Vergabe von Prioritäten und die Komprimierung des Datenverkehrs. So sollen beispielsweise unternehmenskritische Anwendun- Die neuen Powerware Modelle 3105 und 5110 schützen wirkungsvoll vor Spannungsspitzen und bei Stromausfall. Arbeiten Sie einfach mit der Batteriespannung weiter und sichern Sie Ihre Arbeit ohne Datenverlust. Einfach, preiswert und gut. Jetzt anrufen! Tel. +49(0) mit Sicherheit UTM-Lösungen müssen nicht zwangsläufig als Hardware-Appliance angeboten werden, auch Software- Produkte bieten Schutz gegen vielerlei Bedrohungen beispielsweise McAfees Rundum-Paket Total Protection oder Integrated Threat Management von Computer Associates. VIII USV- UND DC-SYSTEME ix extra 3/2007

9 IT-Security Defense Pro soll Unternehmen vor Angriffen aus dem Internet schützen. Neben klassischer IDS-Paketfilterung untersucht die Appliance aus dem Hause Radware unter anderem Anomalien im Datenverkehr (Behavior-based Analysis), um Denial-of- Service-Angriffe zu erkennen und abzuwehren. gen gegenüber weniger kritischen bevorzugt werden. Dazu gehört auch das sogenannte Traffic Shaping, das beispielsweise die Annahme von s, die als Spam eingestuft werden, verzögert. Dies ist durch eine fortwährende Analyse des Datenverkehrs möglich. Tritt ein von der Norm abweichendes Verhalten auf, zum Beispiel ein plötzlicher Anstieg des SMTP-Verkehrs oder die Nutzung von ungewöhnlichen IP-Ports, so blockiert die Software diesen Verkehr am Switch. Zum Schutz des internen Netzes gibt es neben den erläuterten Mechanismen weitere, zu nennen wären hier etwa die Schwachstellenanalyse (Vulnerability- oder Threat-Management). Das Ergebnis lässt sich als Grundlage für eine automatische Neukonfiguration des jeweiligen Rechners heranziehen. Häufig ist eine solche Software mit dem Patch- Management verbunden. Das Sicherheitsmanagement ist nur dann vollständig, wenn es auch die mobilen Geräte und alle Verbindungen berücksichtigt, die von außen über VPN oder RAS aufgebaut werden. Mobile Geräte können etwa zur Gefahr werden, wenn sie infiziert wieder ins Firmennetz kommen. Hier helfen Verfahren als Network Admission Control oder Network Access Control bekannt, die meist in den Firewalls oder Routern und Switches implementiert sind. Beim Aufbau einer gewünschten Verbindung des Clients mit seinem Server melden spezielle Agenten auf den Endgeräten den Sicherheitsstand des Geräts an die dazwischen geschalteten Zugangsserver. Sie gleichen die Sicherheitseinstellungen des Clients mit den Sicherheits-Policies ab und entscheiden über den Zugriff. Hinterlegt sind die Policies meist auf einem zentralen Policy-Server. Dort lassen sie sich zentral verwalten und auf alle in Frage kommende Geräte anwenden. Erfüllt ein mobiles Gerät die Anforderungen nicht, kann es unter Quarantäne gestellt werden und erhält beispielsweise nur Zugang zu einem Internetserver, um sich von dort die notwendigen Updates oder sonstigen Werkzeuge zur Herstellung des geforderten und gesicherten Zustands, der Remediation, zu holen. Damit solche komplexen Abläufe realisierbar sind, arbeiten die Hersteller der unterschiedlichen Sicherheitswerkzeuge zusammen. Fazit Auf die Diversifizierung der Angriffsstrategien von Computerund Internetkriminellen müssen Unternehmen mit ebensolchen Sicherheitsmaßnahmen reagieren. Doch nur Verfahren und Werkzeuge, die zusammenarbeiten und Daten sowie Ergebnisse austauschen können, bringen die geforderte Flexibilität für mehr Sicherheit. Der jüngste Trend im Bereich Unified Threat Management zeigt, dass nicht allein die Sicherheitswerkzeuge zusammengeführt werden, sondern auch die traditionellen Systemmanagement-Tools hinzukommen. (sf/ur) Johann Baumeister ist freier IT-Journalist in München. Lieber top-aktuelle Programmversionen als mühevolles Patch-work Anders als die Anderen. AVG bietet Ihnen neue Programmversionen und regelmäßige Programmupdates bereits während der Lizenzperiode an. Natürlich kostenlos. AVG 7.5 Internet-Security beinhaltet den kompletten und integrierten Schutz gegen Online-Bedrohungen wie Viren, Trojaner, Würmer, Spyware, Adware, Spam und Hacker. Warum sich also mit weniger zufrieden geben? Alles über AVG: Anti-Virus Firewall Anti-Spyware Kostenlose neue Programmversionen Anti-Spam 24/7 technische Unterstützung HANNOVER Halle 7 E 14 NEU! AVG Internet Security für Windows, für Netzwerke, für Linux und für -Server. Vertretung für Deutschland, Österreich, Schweiz und deutschsprachiger Support für AVG Anti-Virus: Jürgen Jakob Software-Entwicklung AVG75 IS01 ix0307_x_000_jacobsoftware.indd 1 ix extra 3/ :12:08 Uhr IX

10 ix.0307.x neu :38 Uhr Seite X IT-Security Vereint und doch verteilt Unified Threat Management in der Praxis Aufgrund des Appliance-Ansatzes gelten UTMSysteme als ideal für den Schutz von kleineren IT-Umgebungen. Solche Lösungen können aber durchaus auch für andere Szenarien und größere Unternehmen interessant sein. er Begriff Unified Threat Management (UTM) tauchte erstmals im Jahr 2004 in einem Artikel von Charles Kolodgy von der International Data Corporation (IDC) auf. In dieser ursprünglichen Definition beschreibt der Autor UTM-Systeme als SecurityAppliances, die die Funktion von Firewalls, Intrusion-Detection- und -Prevention-Systemen sowie Virenschutz in einem einzigen Gerät vereinen. In der Zwischenzeit ist UTM D zu einem Schlagwort geworden, auf das nahezu kein Anbieter von Security-Appliances mehr verzichten will. So ist es nicht weiter verwunderlich, dass Hersteller diese ursprüngliche Definition anpassen und folglich nicht jedes System mit dem Etikett UTM auch wirklich alle der genannten Grundfunktionen enthält. Natürlich gibt es auch Anbieter, die den Funktionsumfang ihrer UTM-Appliances um zusätzliche Eigenschaften wie VPN, Web- und Spam-Filter oder Anti- Spyware erweitert haben. Ursprünglich wurden UTM-Appliances für einen Markt entwickelt, dessen Teilnehmer eine einfache und günstige Sicherheitslösung zum Schutz ihres Netzwerks wünschten. Vor allem kleinere Unternehmen, die wenig Personal für die Betreuung ihrer Sicherheitslösungen haben, sehen Vorteile im Einsatz von solchen Geräten. Durch den Appliance-Ansatz der Systeme entfällt eine aufwendige Installation und auch das Härten der Geräte. Der Aufwand vor Inbetriebnahme beschränkt sich auf die Konfiguration der einzelnen aktivierten Funktionen. Die Verwendung einer einheitlichen Benutzeroberfläche ermöglicht oft eine schnellere Einarbeitung der Administratoren. Mitarbeiter müssen sich nicht in unterschiedliche administrative Oberflächen einarbeiten, die eventuell grundlegend voneinander abweichende Bedienkonzepte verfolgen. Das Logging, Alarming und Management geschieht an einer zentralen Stelle, was die Komplexität reduziert und bei einer gut gestalteten BeTochterunternehmen B Tochterunternehmen A Internet Administration Administration Unternehmenszentrale zentrales Logging, Reporting und Monitoring Administration Administration MPLS-Netz Tochterunternehmen C Administration Internet Administration Administration Bei der Vernetzung von Tochterunternehmen via MPLS leisten UTM-Appliances gute Dienste. Sie sichern die direkte Kommunikation, lassen sich zentral verwalten sowie aktualisieren und nehmen wenig Platz ein (Abb. 1). X nutzeroberfläche ein effizienteres Arbeiten erlaubt. Der All-inone-Ansatz führt auch dazu, dass die Administration insofern einfacher ist, als zentrale Einstellungen wie die Definition von Schnittstellen, das Routing und weitere Aufgaben nur einmal vorzunehmen sind. Nicht zuletzt bietet der Einsatz von UTM-Appliances auch ganz triviale Vorteile wie Energie- und Platzersparnis. Vor dem Kauf solcher Systeme sollten Interessenten aber auch deren Nachteile oder zumindest Eigenheiten bedenken. Zum Beispiel hängt die Performance von UTM-Appliances sehr stark von den aktivierten Diensten ab. Die in den Datenblättern der Hersteller angegebenen Kennzahlen wie die Durchsatzrate haben meist wenig mit der Realität zu tun, insbesondere wenn rechenintensive Funktionen wie Virenschutz aktiviert sind. Je nach zu prüfenden Daten (beispielsweise s mit Archivanhängen wie ZIP-Dateien) kann die Performance der Geräte auf einen Bruchteil der im Datenblatt enthaltenen Werte sinken. Hier zeigt sich ein weiterer Nachteil von UTM-Systemen mangelhafte Skalierbarkeit. Zwar können Anwender ihren UTM-Lösungen ebenso wie spezialisierten Produkten ein weiteres System hinzufügen und via Load-Balancing betreiben, dies macht jedoch den Kostenvorteil zunichte, da das zweite System ebenfalls sämtliche zusätzlichen Funktionen enthält. Hochwertige UTM-Produkte lassen sich mit Prozessoren und AcceleratorKarten erweitern, aber auch da stößt man bald an Grenzen. Ein oft genanntes Argument gegen den Einsatz zentraler Lösungen ist die Gefahr von Einbrüchen auf dem System. Gelingt es nämlich einem Angreifer, sich Zugriff auf eine UTM-Appliance zu verschaffen, kann er sämtliche Schutzfunktionen umgehen. Das ist bei spezialisierten Systemen deutlich schwieriger, ix extra 3/2007

11 IT-Security da er sich Zugriff auf jedes einzelne dieser Systeme verschaffen muss. Dies bedeutet auch, dass eine Schwachstelle auf einer UTM-Appliance größere Auswirkungen als auf einem einzelnen Spezialsystem haben kann. Ebenso gilt das für den Komplettausfall des Systems, der zur Folge hätte, dass gar kein Sicherheitsmechanismus mehr vorhanden ist. Darüber hinaus sehen Fachleute den Einsatz von UTM-Lösungen oft dann als hinderlich an, wenn unterschiedliche Gruppen von Administratoren für die einzelnen Systemfunktionen verantwortlich sind. Diese Hürde lässt sich nur nehmen, wenn die Systeme ein entsprechendes Accounting- und Rechtekonzept für die einzelnen Bereiche ermöglichen. Größere Konfigurationsänderungen müssten aber dennoch unter den Gruppen abgesprochen werden, da die Auswirkungen auf dem System deutlich größer sein können, als wenn jede Gruppe ein eigenes System betreut. Trotz der zuvor beschriebenen Nachteile halten UTM-Systeme immer mehr Einzug in unternehmensweite Umgebungen. Das liegt zum einen daran, dass sich die Produkte in ihrer Leistungsfähigkeit stark verbessert haben, zum anderen aber gibt es Szenarien, in denen der Einsatz von UTM-Appliances durchaus sinnvoll ist. So ist es Klon Geschäftsstelle A Hauptgeschäftsstelle zentrales Logging, Reporting und Monitoring Administration Administration Internet Geschäftsstelle B Administration Kleine Dependancen eines Unternehmens können mit der Firewall in UTM-Produkten einen Basisschutz erreichen, aber auch Virenschutz oder VPN-Anbindungen sind möglich sogar mit wenig Administrationspersonal (Abb. 2). heutzutage nicht unüblich, dass größere Unternehmen ihre einzelnen Standorte mit einem vollvermaschten MPLS-Netzwerk (Multiprotocol Label Switching) verbunden haben. Häufig nehmen auch eigenständige Tochterunternehmen am IT-Verbund teil. Viele dieser Unternehmen betreuen ihren eigenen Internetzugang. Durch die rechtliche Eigenständigkeit der Töchter reicht der Einfluss der IT-Abteilung beziehungsweise des IT-Sicherheitsbeauftragten meist nur bis zum Perimeter-Router des MPLS-Netzwerks. Darüber hinaus ist eine Kontrolle des Datenstroms zwischen den einzelnen Töchtern kaum möglich, da sie direkt miteinander kommunizieren können. Die Einrichtung einer zentralen Firewall würde der vollvermaschten Struktur des MPLSNetzwerks zuwiderlaufen. Hier bietet der Einsatz von UTM-Appliances eine gute Alternative. Abbildung 1 stellt beispielhaft den Aufbau einer solchen Lösung dar: In diesem Szenario werden die UTM-Appliances am Perimeter zum MPLSNetzwerk aufgestellt und zentral von Mitarbeitern am Hauptsitz verwaltet. Die einzelnen Systeme schicken ihre Logging-Informationen an einen zentralen Server zur Auswertung. Die Betreuung der UTM-Systeme mit Patches und Signatur-Updates Administration Administration erfolgt ebenfalls zentral. Infolge des All-in-one-Prinzips lassen sich die Systeme deutlich einfacher in den einzelnen Standorten unterbringen als ein ganzes Bündel von Geräten. Auch der Abschluss von Wartungsverträgen ist einfacher. In einem solchen Szenario ist vor allem die Kombination der Funktionen Virenschutz und Firewall sowie Intrusion Detection und Prevention interessant. Weitere Funktionen wie SpamFilterung würden lediglich zusätzlichen Aufwand für das zentrale Management bedeuten und sind somit unerwünscht. Der Ausbruch von Viren lässt sich durch diesen Aufbau effizient verhindern, ohne dass er Buch Profis in Sicherheitsberatung Games Kolumnen Musik Life Science Weltraum Biotechnik Terminal Echelon Infowar ix extra 3/2007 ix0307_einhefter_s11.indd 1 Informations- und Biotechnologien gehören nicht nur eng zusammen, sondern sind als die beiden Innovationstechnologien das Fundament der Wissensgesellschaft. TELEPOLIS magazin der netzkultur ACG Automation Consulting Group GmbH Lyoner Straße 11a Frankfurt am Main info@acg-gmbh.de Tel XI :04:50 Uhr

12 IT-Security in die Abläufe der Tochterunternehmen eingreift. Die zentrale Administration stellt dabei sicher, dass das angestrebte Sicherheitsniveau auch innerhalb des IT-Verbunds gewährleistet ist. Darüber hinaus lassen sich mit der IPS/IDS-Funktion schwarze Schafe in der Unternehmensstruktur ermitteln. Die dadurch gewonnenen Informationen sind oft deutlich aussagekräftiger als über gelegentliche Audits in den Tochterunternehmen. Mithilfe der Firewall-Funktion lässt sich in diesem Zusammenhang zumindest ein Minimalschutz erreichen, etwa über das Blockieren von gespooften IP-Adressen. Die Nutzung eines vollständigen Firewall-Regelwerks, bei dem nur gezielt bestimmte Dienste freigegegeben sind, ist zwar wünschenswert, in solchen Umgebungen allerdings nicht immer durchzusetzen. Dazu benötigt es die Definition entsprechender Prozesse und Rückhalt im Management. Der Einsatz von UTM-Lösungen in einer solchen verteilten Umgebung bietet eine kostengünstige und effiziente Variante zur Gewährleistung von IT-Sicherheit, ohne dass man zu sehr in betriebliche Strukturen rechtlich selbständiger Tochterunternehmen eingreift. Eine Variante dieses Fallbeispiels ist der Einsatz von UTM- Appliances in kleineren bis mittleren Geschäftsstellen eines Unternehmens (Abb. 2). Sie haben meist nicht genügend Personal dafür, IT-Sicherheitslösungen angemessen zu administrieren, verfügen aber andererseits häufig über einen eigenen Internetzugang sowie eine Anbindung an die Zentrale via VPN. Ein Zugang zum Internet über eine zentrale Firewall-Umgebung in der Hauptgeschäftsstelle kann ihnen diese aus Performance-Gründen nicht gewähren. In diesem Fall liefert die Firewall-Funktion die Basissicherheit, da das System das lokale Netz vom Internet trennt. Neben Virenschutz und IDS/IPS lässt sich auch der Aufbau des VPN-Tunnels durch die UTM- Appliance bewerkstelligen. Hauptziel ist in diesem Fall die Entlastung der Administratoren vor Ort. Darüber hinaus wird der gesamte Aufbau durch Einsatz der Systeme relativ einfach gehalten. Generell sollten Firmen bei der Überlegung, ob sie UTM-Lösungen in einer In ix extra 4/2007: Storage Komplettlösungen fürs SAN Storage Area Networks (SANs) sind noch immer State of the Art der Datenhaltung. Doch angesichts unterschiedlicher Konzepte der Hersteller und konkurrierender Ansätze sehen sich die Anwender mit einer neuen Unübersichtlichkeit konfrontiert. Welche neuen Lösungen auf dem Markt passen zu der installierten SAN-Basis? Wie vorgehen, wenn ein neues SAN aufgebaut werden soll? In dieser Situation kommt SAN-Angeboten aus einer Hand eine neue Bedeutung zu. Aber DIE WEITEREN IX EXTRAS: unternehmensweiten Umgebung einsetzen, mehrere Punkte beachten. Im Vorfeld soll klar sein, welche Funktionen der UTM-Appliances aktiviert werden und mit welchem Datenaufkommen zu rechnen ist. Nur so lässt sich eine adäquate Vorauswahl treffen. Des Weiteren ist ein Test verschiedener Appliances unter realen Bedingungen unbedingt notwendig, der die Herstellerangaben etwa bezüglich der Performance prüft. Darüber hinaus sollten Interessierte auf die Skalierbarkeit der Systeme (freie Steckplatze für zusätzliche CPUs et cetera) vor allem für schnell wachsende Tochterunternehmen achten. Erst planen, dann auswählen Bei der Integration der Systeme ist es wichtig, darauf zu achten, dass die Appliances nicht umgangen werden können. Ideal ist hier der Einbau in das gleiche Rack wie der WAN-Router, mit einer direkten Verbindung zwischen den Komponenten. Die Systeme müssen über eine zentrale Managementumgebung verfügen. Das bedeutet vor lohnt es sich wirklich, sich ganz auf einen einzigen Anbieter zu verlassen? Auf dem Prüfstand: Server- und Storage-Hersteller, Drittanbieter und Service Provider. Erscheinungstermin: 8. März 2007 Ausgabe Thema Erscheinungstermin 05/07 Netzwerke Domain-Vergabe technische Hintergründe und juristische Fallen /07 Mobility Kaufberatung Business-Notebooks /07 IT-Security Risikomanagement Virenscanner auch gegen Root-Kits? allem, dass es ein zentrales Logging, Alarming und Reporting gibt, das schnell und übersichtlich Gefahren darstellt. Patches sollten einfach und schnell, automatisiert oder halbautomatisiert eingespielt werden können. Darüber hinaus sollten die Systeme die Möglichkeit bieten, auf die letzte funktionierende Konfiguration zurückzuspringen. Das Verteilen von Signaturen für Virenschutz und IDS/IPS hat ebenfalls zentral zu erfolgen. Die Benutzeroberfläche muss eine Übersicht bieten, welches UTM- Gerät mit welchem Signaturund Patch-Stand versehen ist. Darüber hinaus sollte ein Push- Mechanismus vorhanden sein, der es ermöglicht, Signaturen schnell auf die einzelnen UTM- Appliances zu verteilen. Bei der Auswahl eines Produkts sollten Unternehmen sich anschauen, welche Komponenten in der UTM-Appliance eingebaut sind. Viele Hersteller gehen für bestimmte Teile ihrer Systeme strategische Partnerschaften mit anderen Herstellern etwa von Antiviren-Software ein. Deshalb spielen bei der Auswahl beispielsweise auch die Qualität der gelieferten Signaturen sowie die schnelle Verfügbarkeit von Signatur-Updates nach Bekanntwerden eines neuen Virus eine Rolle. Einige Hersteller setzen als Teil ihrer UTM-Systeme Open-Source-Produkte ein (zum Beispiel Snort als IDS/IPS). Hierbei ist auf eine saubere Integration in die Gesamtumgebung zu achten. So sollte sichergestellt sein, dass sich alle Parameter dieser Produkte über die mitgelieferte Oberfläche konfigurieren lassen. Ob sich ein Unternehmen für den Einsatz von UTM-Appliances oder mehrerer spezialisierter Lösungen entscheidet, hängt wohl vor allem von der internen Organisation des Unternehmens sowie dem Preis der Gesamtlösung ab. (sf/ur) Jörn Maier ist Security-Consultant bei der HiSolutions AG in Berlin. XII ix extra 3/2007