Mehrstufige Sicherheit: Wie man ein ultra-redundantes Netzwerk schafft

Die Sicherheit eines Netzwerks hängt stark von der Redundanz seiner Systeme ab. Gibt es einen Single Point of Failure, wird es kritisch.

Sicherheit in mehreren Schichten war schon immer das Mantra der Netzwerksicherheit. Jetzt aber bringen manche Praktiker...

sie auf ein ganz neues Niveau: Ein neu entstehendes Paradigma für die Netzwerksicherheit betont, keineswegs nur auf einzelne Sicherheitsmechanismen zu vertrauen. Stattdessen sollten Organisationen dafür sorgen, dass ihre Netzwerke redundant abgesichert sind, wobei mehrere unterschiedliche Technologien und Taktiken zum Einsatz kommen.

Durch mangelnde Redundanz in Sicherheitssystemen für Netzwerke kann sich ein Single Point of Failure ergeben.

Eine dieser Taktiken ist die Segregation von Netzwerken – eine gute Methode, um das Risiko für die einzelnen Schichten eines Enterprise-Netzwerks zu verringern. Sie ermöglicht eine feinere Steuerung jeder Schicht und die Abwehr- sowie Sicherheitsmaßnahmen richten sich jeweils nach dem Risiko. Zusätzlich hilft Redundanz in der Sicherheitsarchitektur dabei, die Architektur selbst zu schützen und das Risiko durch Systemfehler und Angriffe zu verringern.

In diesem Artikel erklären wir, wie sich ein Netzwerk auf der Grundlage von Segregation und Redundanz zusammen mit entscheidenden Netzwerk-Assets schützen lässt. Das beinhaltet Email-Server, geschäftskritische Anwendungsserver und Datenbanken.

Mit Prinzipien der Tiefen-Verteidigung zu Ultra-Redundanz

Mit dem Modell "Defense-in-Depth" (Tiefen- oder gestaffelte Verteidigung) lässt sich Sicherheitsredundanz für fast jeden Punkt eines Netzwerks erreichen. So bieten kommerzielle Produkte für Email-Sicherheit die Möglichkeit, dass mehrere Scan-Engines Nachrichten beim Eintreffen auf dem Mail-Server einer Organisation auf schädliche Inhalte durchsuchen. So entsteht Redundanz, weil man sich nicht auf nur eine Technologie als möglichen Single Point of Failure verlässt. Um diese gestaffelte Architektur noch zu erweitern, ist zusätzlich der Einsatz einer Spam-Firewall mit Echtzeit-Blacklists (RBL) denkbar. Damit lässt sich Post von bekannt bösartigen IP-Adressen blockieren, bevor sie arglose Nutzer erreicht.

Dieses Schutzmodell sollte zunächst auf kritische Assets und anschließend auf andere Schichten des Netzwerks angewendet werden. Kein Produkt für Netzwerk-Sicherheit ist eine magische Glaskugel – also wäre es schlicht dumm (und sollte verboten sein), sich zum Schutz auf eine einzige Schicht zu verlassen. Mehrere Methoden für Sicherheit gleichzeitig einzusetzen, dürfte dagegen die beste Art und Weise sein, ein Netzwerk zu schützen.

Zuletzt kann Client-basierte Technologie für die Suche nach Phishing- und Spam-Mails auf dem Desktop eine weitere Schutz-Schicht etablieren. Auch hier geht es wohlgemerkt um Schichten oder Stufen: Man verlässt sich nicht auf eine davon, sondern arbeitet auch mit anderen Anbietern und Technologien, um das Netzwerk zu härten und es auch dann zu schützen, wenn eine Schicht versagt.

Einführung in die Netzwerk-Segmentierung

Vor dem Hintergrund des Stufen-Modells und mit dem Wissen, dass es keine Einzellösung für sichere Netzwerke gibt, können wir die Methodik für gestaffelte Sicherheit jetzt im Detail betrachten. Die Segmentierung oder "Segregation" von Netzwerken ist eine Möglichkeit, Daten in Abhängigkeit davon unterzubringen, wie kritisch oder sensibel sie sind. Durch Segmentierung entsteht im Prinzip eine weitere Sicherheitsschicht um Systeme und Daten herum: Wenn bestimmte Systeme und Netzwerke gar nicht miteinander kommunizieren können, können unerwünschte Nutzer und Dienste bestimmte Bereiche des Netzwerks nicht sehen, darauf zugreifen oder sie modifizieren. Dadurch lässt sich verhindern, dass sich Malware in jedes Netzwerk einer Organisation ausbreitet und dass sensible Daten in falsche Hände geraten.

Wie man Unternehmensnetze zu Sicherheitszwecken segmentiert

Hier finden Sie einige Möglichkeiten zur Segmentierung von Netzwerken in Organisationen:

  • Drahtlos-Netze: Erstellen Sie ein drahtloses Netzwerk nur zur internen Nutzung mit Zertifikaten und starker Verschlüsselung und ein separates für Gäste, bei dem die Nutzerkonten nach einer bestimmten Zeit ablaufen. Der Schlüssel ist hier die Begrenzung des Risikos. Wenn ein drahtloses Netzwerk mit dem internen LAN verbunden ist, sollte es etwas restriktiver sein als das LAN. Und Gäste im Netzwerk sollten mit dem internen Netzwerk überhaupt nicht in Berührung kommen – ihre Clients sollten immer völlig segmentiert sein.
  • Produktiv-Netze: Produktiv-Netzwerke sind diejenigen Bereiche im Netzwerk, in denen sich die aktiven Daten befinden. Sie müssen so segmentiert werden, dass nur zulässige virtuelle LANs oder Subnetze über Firewalls oder Router Zugriff darauf bekommen. Auch die Anwendungen und Infrastrukturen, in denen sich die Live-Daten befinden, sollten nur für diejenigen zugänglich sein, die damit arbeiten.
  • DMZ: Das Netzwerk sollte so konfiguriert sein, dass nur die richtigen Systeme und Dienste nach außen kommunizieren können. Die Kommunikation aus der DMZ in eine andere DMZ oder interne Netzwerke sollte auf ähnliche Weise beschränkt sein. Diese Systeme befinden sich draußen im Freien und man sollte ihnen kein Vertrauen schenken. Die Segmentierung zwischen diesem Netzwerk und anderen sollte deshalb Grenzen setzen und im Auge behalten werden.
  • Nutzer-Netzwerke: Erstellen Sie Nutzer-Netzwerke für interne Beschäftigte, Administratoren und Remote-Nutzer und geben Sie nur den Personen Zugang, die ihn wirklich brauchen. Auch Rechte für andere Netzwerke und Systeme sollten nur bei Bedarf vergeben werden. Das Konzept: Bei jedem Netzwerk so wenig Privilegien wie möglich einräumen, Ausnahmen sind nach Nutzern oder Gruppen möglich.
  • Regulatorisch: Manchmal ist es geschäftlich erforderlich, einen Netzwerkteil vom Rest des Netzwerks zu trennen – etwa als Bereich für Geräte, die PCI DSS entsprechen. In solchen Fällen hilft die Isolierung nicht nur dabei, Personen oder Computer vom unautorisierten Zugriff auf solche Systeme oder Daten abzuhalten: Sie dient auch der Befriedigung von Auditoren oder Prüfern, wenn diese ihre Systeme auf Compliance untersuchen.

Netzwerk-Sicherheit mehr Redundanz geben

Nachdem Sie für den Schutz von Daten einen gestaffelten Ansatz entwickelt und die Systeme für Schutz und Isolierung gegen unerwünschte Zugriffen segmentiert haben, müssen Sie noch die Netzwerksicherheit selbst redundanter machen. Dies ist ebenso wichtig wie gestaffelte Sicherheit und Segmentierung, denn auch durch mangelnde Redundanz in Sicherheitssystemen für Netzwerke kann sich ein Single Point of Failure ergeben. Selbst bei gestaffelter Sicherheit hängt das Funktionieren einer Schicht manchmal von anderen ab (so brauchen die Stufen hinter einer Spam-Firewall deren Datenzufuhr). In solchen Fällen sind die ungenutzten Stufen nicht nur ineffektiv (weil sie nichts zu tun haben), sondern schaffen sogar Risiken für das Unternehmen.

Als Gegenmaßnahme bieten sich hier Cluster für Technologien an, bei denen sie gebraucht werden. Also etwa solche mit hoher Priorität für das Unternehmen und vor allem, wenn sie im Weg der Daten liegen (inline). Clustering lässt sich aktiv/passiv oder aktiv/aktiv auslegen. Welches Modell genutzt wird hängt davon ab, wie viel Ausfallzeit verkraftbar ist. Entweder schaltet das System also nur bei einem Ausfall auf ein identisch konfiguriertes Gerät um, oder die Last wird durchgehend auf zwei Komponenten verteilt.

Zusätzliche Schichten

Es gibt noch weitere Techniken (z.B. Load-Balancing), die Ähnlichkeit mit Clustering haben und bei hoher Belastung der Systeme eines Unternehmens helfen können. Mit Load-Balancing sind Systeme dann verfügbar, wenn sie gebraucht werden – selbst wenn es Probleme gibt. Zudem verschiebt es Lasten unmerklich in andere Bereiche des Netzwerks, wenn eine Organisation etwa auf einem bestimmten Dienst oder Domain-Namen angegriffen wird.

Load-Balancing, Arbeiten mit mehreren Anbietern und Technologien zur Absicherung, Segmentierung des Netzwerks zur Daten-Isolierung und redundante Systeme für all diese Aufgaben tragen sämtlich klar dazu bei, die Sicherheitsaufstellung eines Netzwerks zu verbessern. Wenn Sie diesen Schritten folgen, wird Ihr Netzwerk trotzdem nicht vollkommen einbruchssicher sein. Aber sie helfen dabei, es zu einem besseren und sichereren Ort zu machen.

Über den Autor:

Matthew Pascucci ist Senior Information Security Engineer bei einem großen Einzelhandelsunternehmen, wo er den Bereich Bedrohungs- und Schwachstellen-Management leitet. Er hat für mehrere Publikationen im Bereich Informationssicherheit geschrieben, Vorträge bei vielen Branchen-Veranstaltungen gehalten und engagiert sich intensiv in seinem lokalen InfraGard-Chapter. Sie können ihm auf Twitter folgen unter @matthewpascucci, seinen Blog finden Sie unter www.frontlinesentinel.com.

Artikel wurde zuletzt im Februar 2013 aktualisiert

Pro+

Premium-Inhalte

Weitere Pro+ Premium-Inhalte und andere Mitglieder-Angebote, finden Sie hier.

Erfahren Sie mehr über NAC- und Endpunktsicherheits-Management

0 Kommentare

Älteste Beiträge 

Passwort vergessen?

Kein Problem! Tragen Sie Ihre E-Mail-Adresse unten ein. Wir werden Ihnen eine E-Mail mit Ihrem Passwort schicken.

Ihr Passwort wurde an die folgende E-Mail-Adresse gesendet::

- GOOGLE-ANZEIGEN

SearchStorage.de

SearchNetworking.de

SearchEnterpriseSoftware.de

SearchDataCenter.de

Close