Torsten Scheuermann ist Regional Director UK und Zentraleuropa bei Radware.

IT-Verantwortliche in Unternehmen und Organisationen stehen vor einer schwierigen Aufgabe: Durch Denial of Service (DoS)-Attacken und sich massenhaft ausbreitende Viren ist die Sicherheit von LANs massiv gefährdet. Auf Netzwerkmanagern lastet der enorme Druck, die Netzwerksicherheit und vollständige Verfügbarkeit der geschäftskritischen Applikationen ihres Unternehmens zu gewährleisten. Dazu zählen neben ERP- und CRM-Lösungen auch FTP, Voip und E-Mail-Anwendungen. Kommt es zu Ausfällen dieser wichtigen Applikationen, zeigt sich erst, wie kostspielig Sicherheitslücken sein können. Eine aktuelle CSI-Studie besagt, dass bereits ein einziger erfolgreicher Sicherheitsverstoss Kosten von mehr als 300000 Dollar für Produktivitätseinbussen und Aufdeckung verursachen kann. Schätzungen der Studie zufolge liegen die jährlichen Gesamtkosten für Sicherheitsausfälle durchschnittlich bei über einer Million Dollar.

Um solche Netzwerkausfälle zu vermeiden, installieren IT-Verantwortliche als gängige Sicherheitsmassnahme ein Intrusion Prevention-System (IPS) am Gateway und den Serversegmenten. Dadurch lassen sich zwar Angriffe auf das Netzwerk abblocken, doch immer ausgeklügeltere Attacken wie Botnets stellen nach wie vor eine ernsthafte Bedrohung für die Anwendungen dar. Um Netzwerke lahm zu legen, entwickeln Hacker ständig raffiniertere Methoden und sind den Sicherheitsmassnahmen so oft einen Schritt voraus. Auf der anderen Seite müssen Netzwerkmanager sicherstellen, dass ein Angriff auf eine Applikation nicht die Verfügbarkeit und Leistungsfähigkeit aller anderen Anwendungen beeinträchtigt - eine echte Herausforderung, wenn man bedenkt, dass die meisten Applikationen auf dieselben Ressourcen zurückgreifen.

Die Liste unterschiedlicher Lösungen und Methoden zum Schutz vor Massenangriffen ist lang: Dazu zählen in erster Linie Firewalls, Anti-Viren-Programme und netzwerkbasierte Intrusion-Detection- oder Intrusion-Prevention-Systeme (IDS/IPS). Zweifellos stellen alle Lösungen notwendige Sicherheitstools dar - dennoch können sie keinen optimalen Schutz gewährleisten, da die meisten Angriffe Sicherheitsvorrichtungen auf Anwendungsebene problemlos umgehen können. Als Echtzeitsysteme bieten Intrusion-Prevention-Lösungen Sicherheit auf Basis der Gateway- und Carrier-Anbindungen von Unternehmen. Mit IPS-Lösungen haben Netzwerkmanager eine leistungsfähige Schutzmassnahme gegen zahlreiche Arten von verdächtigem Datenverkehr. Doch wie bei jeder Sicherheitstechnologie gibt es auch hier Nachteile: So reagieren Intrusion-Prevention-Systeme manchmal zu spät, um neue Angriffe rechtzeitig zu isolieren und abzuwehren, bevor sie im gesamten Netzwerk Schaden anrichten. Ausserdem sind viele IPS-Lösungen nur mit rudimentären DoS-Sicherheitsfunktionen ausgestattet und reagieren nicht auf Virenausbrüche und Massenmails.

Viren- und Flooding-Attacken belegen entscheidende Internet- und interne LAN-Ressourcen, indem sie die Serverressourcen mit massenhaft versendeten Datenpaketen oder duplizierten Anwendungsmeldungen überschwemmen. Durch den Einsatz von Bandbreitenmanagement können Netzwerkmanager die zugewiesenen Ressourcen gezielt einschränken. Das Bandbreitenmanagement stoppt die Viren- und die Flooding-Attacken, da zwischen legitimem Datenverkehr und Malware unterschieden wird. Während die üblichen IPS und DoS-Systeme vor bekannten Bedrohungen und Protokollanomalien schützen, isoliert Bandbreitenmanagement Angriffe und bietet Schutz vor unbekannten Flooding-Angriffen. Gleichzeitig wird die Bandbreite für kritische Anwendungen im Netzwerk garantiert. Dadurch lässt sich die Ausbreitung unter Anwendern und Ressourcen stoppen, während die Hochverfügbarkeit und vollständige Leistungsfähigkeit des gesamten sicheren Traffic gewährleistet ist. So können Auswirkungen proaktiv gesteuert und Schäden eingegrenzt werden. Da erweiterte Services zur Applikationssicherheit kombiniert werden, schützt Bandbreitenmanagement geschäftskritische Anwendungen in Hochgeschwindigkeits- und Hochleistungsumgebungen.

Neben der Abwehr von Hackerangriffen eignet sich Bandbreitenmanagement ausserdem zur Begrenzung des Betriebs von P2P-Anwendungen (Peer to Peer), die häufig für kritische Anwendungen benötigte Bandbreite belegen. Da viele gängige P2P-Anwendungen den Port 80 (HTTP) verwenden, um Firewalls und Zugriffsregeln zu umgehen, stellt Bandbreitenmanagement die Stabilität des Netzwerks durch Einschränkung der P2P-Bandbreite sicher.

Voraussetzungen

Optimales Bandbreitenmanagement kann Netzwerkmanagern helfen, katastrophale Ausfälle zu verhindern. Vor der Anschaffung eines IPS müssen Netzwerkmanager drei Schlüsselkriterien bewerten:

Wie teuer ist das System?Die Installation eines durchschnittlichen IPS kann einige zehntausend Franken kosten. Netzwerkmanager müssen diese Anschaffungskosten sorgfältig analysieren und gegen bereits getätigte Sicherheitsinvestitionen abwägen.

Welche Integrationsmöglichkeiten bietet die Lösung?Moderne IPS-Lösungen wurden für die problemlose und vollständige Integration in bereits vorhandene Sicherheitsprodukte und -anwendungen konzipiert. Dennoch müssen Netzwerkmanager sicherstellen, dass alle Anbieter, mit denen das Unternehmen zusammenarbeitet, die spezifischen Sicherheitsanforderungen erfüllen.

Inwieweit erleichtert das IPS die täglichen Arbeitsprozesse in der IT?Nur wenn die IPS-Lösung darauf ausgelegt ist, einfache Verwaltungsfunktionen und umfassende Berichtoptionen einzubinden, können sich Netzwerkmanager vollständig auf ihre IT-Aufgaben mit höherer Priorität konzentrieren.

Bandbreitenmanagement erfordert die Bestimmung der Bandbreite, die von Anwendungen, Benutzern oder Segmenten im LAN gesendet oder empfangen werden kann. Die Definition dieser Einschränkungen bietet einen direkten Schutz vor unbekannten DoS-Attacken. So laufen Flooding-Angriffe ins Leere, während kritische Anwendungen aktiv bleiben und eine übermässige Belegung entscheidender Ressourcen durch P2P-Anwendungen verhindert wird. Bei der Implementierung von Bandbreitenmanagement-Programmen müssen zunächst drei grundlegende Richtlinien erstellt werden:

Bandbreite für kritische Anwendungen:Innerhalb des Netzwerks müssen geschäftskritische Anwendungen definiert werden. Bei einem Angriff aufs Netzwerk lässt sich dann durch Bandbreitenmanagement sicherstellen, dass es nicht zu Ausfällen dieser Applikationen kommt.

Bandbreitenbegrenzung für nicht-kritische Anwendungen:Die Definition der Bandbreite pro Anwendung stellt sicher, dass selbst bei einem Angriff keine Applikation Ressourcen belegt, die anderen Anwendungen zugeordnet sind.

Einschränkung der Anzahl offener Sitzungen pro Anwender:Zum Schutz der Anwendungen und Server vor übermässigem Traffic durch unbekannte DoS-Attacken muss die Sitzungsanzahl pro Anwender eingeschränkt werden. Dies ist wichtig, da die entsprechenden Hosts häufig nicht bemerken, dass Hacker über sie DoS-Attacken starten. Durch die Einschränkung der Anzahl offener Sitzungen pro Anwender verlieren die über Hosts geführten Angriffe an Wirkung.

Fazit Netzwerkmanager sind gefordert, Angriffe abzuwehren, bevor diese geschäftskritische Anwendungen lahm legen. Angesichts der immer heimtückischeren Hackerangriffe ist dies eine schwierige Aufgabe. Durch Bandbreitenmanagement in Verbindung mit IPS-Systemen lassen sich Angriffe schnell isolieren. Damit wird verhindert, dass sich der Angriff auf weitere Segmente, Nutzer und Applikationen ausdehnen kann. Auf diese Weise lassen sich unternehmenskritische Anwendungen noch effizienter schützen. Indem IT-Verantwortliche Richtlinien zum Bandbreitenmanagement in bestehende Sicherheitsmassnahmen integrieren, erzielen sie ein bislang unerreichtes Mass an Netzwerksicherheit.