Sicherheit aus einem Guss

Mark Stevens ist Chief Strategy Officer bei der Sicherheitsspezialistin Watchguard. Übersetzung und Bearbeitung: Catharina Bujnoch.

Security ist eine der wichtigsten Anforderungen an ein integriertes Netzwerk. Da mit alarmierender Regelmässigkeit immer mehr Gefahren - Spam, Viren, Würmer - im Cyberspace lauern, kann sich kein Unternehmen dauerhaft sicher fühlen. Laut dem Sans Institute wurden beispielsweise im ersten Quartal 2005 über 600 neuartige Internet-bezogene Schwachstellen entdeckt. Vorhandene IT-Sicherheitssysteme müssen vereinfacht werden, wenn man sie effizienter permanent überwachen und warten will. Dennoch dürfen keine riskanten Absicherungslücken entstehen. Und jedesmal, wenn ein Virus weltweit kursiert ist, ändert sich die Definition dessen, was als «sicheres Netz» bewertet wird. Verlangt IT-Security die Quadratur des Kreises? Ein Netzwerk kann auch dadurch verletzlicher werden, wenn das Unternehmen floriert, wächst und sich damit verändert. Denn damit wird es komplexer, muss für die einzelnen Abteilungen mehr Support-Leistungen erbringen und zusätzliche betriebswirtschaftliche Ziele unterstützen. Eine einfache Firewall wäre mit diesen Aufgaben heillos überfordert. Mitarbeiter laden externe Daten aus dem Internet und greifen intern auf immer mehr Dateien zu. Jede einzelne von ihnen muss gescannt werden, um sich vor Angriffen zu schützen. Hier setzen UTM-Systeme (Unified Threat Management) an. Sie bieten sich als effizienter Wächter für Unternehmensnetze an, weil sie viele Security-Services in eine Applikation integrieren lassen.

Schutz unter einem Dach

Wenn Hacker in ein Netzwerk eindringen, ist das Unternehmen als Ganzes getroffen. Denn die betrieblichen Ressourcen einer Firma könnten von Dritten gestohlen, missbräuchlich verwendet oder manipuliert werden: zum Beispiel die Kundendaten, proprietäre und möglicherweise wettbewerbsrelevante Tools und Techniken sowie das interne Know-how. 63 Prozent des gesamten Mail-Volumens ist heute Spam - ein grosses Problem, zumal die Spammer immer raffiniertere und trickreichere Methoden erfinden, um ihre lästigen Mails zu verbreiten. Daher sind Unternehmen gut beraten, ihre Security-Anstrengungen in Richtung UTM zu kanalisieren. UTM entwickelt traditionelle Firewall- und VPN-Appliances (Virtual Private Network) zu einer Lösung weiter, die umfassendere sicherheitsrelevante Funktionen bietet - angefangen von URL-Filtern und Spam-Blockern über Spyware-Abwehr, Intrusion Prevention, Gateway-basierte Antivirensoftware bis hin zu zentralisiertem Management, Überwachung und Logging. UTM-Appliances helfen so, die Kosten, die zuvor für verschiedene, separat zu beschaffende und zu betreibende Sicherungslösungen anfallen, zu konzentrieren und zu reduzieren. Ihr Multi-Layer-Konzept wehrt Katastrophen ab, weil sie potenzielle Gefahren abblocken können, bevor sie überhaupt die Grenzen ins Netzwerk überschreiten können. Bösartiger Code dringt gar nicht erst bis zu Servern und Desktops vor, und geschäftskritische Dateien und Applikationen bleiben jederzeit intakt und verfügbar. Wer mit mehreren Sicherheitslösungen arbeitet, muss sie über mehrere Managementkonsolen konfigurieren. Weil die Parameter dafür normalerweise sehr unterschiedlich sind, ist diese administrative Aufgabe extrem zeitauwändig. Umso mehr, als sichergestellt werden muss, dass die internen Policies für jedes System umgesetzt werden und dann systemübergreifend zusammenarbeiten. Des weiteren liegen die Log-Daten meist in unterschiedlichen Formaten vor und werden an verschiedenen Orten abgelegt - das erschwert das Aufspüren und Analysieren sicherheitsbezogener Vorfälle weiter. UTM erledigt Konfiguration, Management, Überwachung und Logging von einer zentralen Instanz aus. Damit lassen sich in sich stimmige Security-Policies gezielter umsetzen, Log-Files einfacher verwalten, Auditing- und Compliance-Reports mit weniger Aufwand erstellen.

Obwohl UTM-Appliances die Benutzerfreundlichkeit erhöhen und Sicherheitspolitik in einem Guss realisieren, sind auch diese Systeme nicht ohne Tücken. Oft kleben die Hersteller den Appliances Qualität signalisierende Werbeattribute wie «Deep Packet Inspection» oder «Deep Inspection» auf. In Wirklichkeit jedoch arbeiten die meisten Produkte mit signaturbasierten Techniken, um Antivirenschutz am Gateway, Intrusion Prevention, Spyware-Schutz und Spam-Blockaden zu realisieren. Deshalb, weil diese Methode am einfachsten umzusetzen ist. Doch sie frisst auch viel Prozessorleistung, weil sie den gesamten Datenverkehr mit bekannten, aggressiven Signaturmustern abgleichen muss.

Der Schutzmechanismus funktioniert zwar gut, doch bei zunächst unbekanntem oder auch nur leicht variierendem Malcode versagt er. Wenn ein Code, der die Sicherheitslücke in der Software ausnutzt, freigesetzt und identifiziert wurde, dauert es im Idealfall nur wenige Stunden, bis die entsprechenden Signaturdateien aktualisiert und zum Download freigegeben werden. Im schlechtesten Fall braucht es jedoch Wochen, und bis dahin steht das Sicherheitsleck sperrangelweit offen - geradezu eine Einladung für Hacker.

Angesichts der Schnelligkeit, mit der neue Bedrohungen auftauchen und sich weiter vermehren können, stellt dieses «Risiko-Zeitfenster» eine immense Gefahr für Unternehmen dar, sofern die Security-Lösung für das Netzwerk keine «Zero Day Protection» beinhaltet. Diese soll nämlich vor Angriffen schützen, deren Muster noch gar nicht bekannt sind.

Die allermeisten der vielen Angriffsversuche auf ein Netzwerk beruhen auf Techniken, die bereits in der Vergangenheit benutzt wurden, denn auch Hacker erfinden das Rad nicht jedesmal neu. Aus diesem Grund wird nur sehr selten eine neuartige Klasse von Angriffen identifiziert. Wer die Attacken kategorisieren kann, kann daher Verteidigungsmechanismen entwickeln, die gegen eine gesamte Kategorie wirksam sind, auch wenn im Einzelfall die Umsetzung des Angriffs jeweils leicht variiert. Wer sein Netzwerk auf diese Weise schützt, arbeitet präventiv statt lediglich reaktiv und damit schlussendlich viel effizienter als mit signaturbasierten Methoden.

Auch hier kann allerdings die Prozessorleistung, die eine Appliance erbringen muss, um mehrere Security-Services gleichzeitig abzuarbeiten, gewaltig anschwellen - je nach Verkehrsaufkommen im Netz. Insofern ist das Design der Software ausschlaggebend. Viele UTM-Systeme reihen schlicht eine Anzahl an Sicherheitsfunktionen hintereinander, die zudem oft von unterschiedlichen Herstellern stammen. Aus respektive Wechselwirkungen bei der Verarbeitung werden dabei ausser acht gelassen. Die Funktionen arbeiten normalerweise unabhängig voneinander, sie können daher Informationen, die in einem Layer zur Verfügung stehen, nicht nutzen, um andere Layer effizienter zu bearbeiten. Die Folge: «Guter» Datenverkehr wird unnötigerweise mehrmals von unterschiedlichen Funktionen gescannt und analysiert, bevor er weitergeleitet wird. Dass die Performance deshalb sinkt, ist oft aus den Spezifikationen der Appliance gar nicht ersichtlich, weil sie die Maximalleistung für jede einzelne Applikation anzeigt, während die übrigen Security-Applikationen nicht aktiviert sind oder ihre Funktionstätigkeit vorübergehend auf ein Minimum zurückgeschraubt wird. Kommt dazu, dass die Konfiguration komplex ist sowie die Logging-Daten der einzelnen Funktionen inkonsistent sind.

Steigt eine der UTM-Komponenten aus, kann es sogar dazu kommen, dass alle anderen Komponenten ebenfalls ihren Dienst versagen. Um solchen Patt-Situationen vorzubeugen, konfigurieren viele Unternehmen ihr UTM gemäss einem High-Availability-Konzept (HA).

Wer sicher sein muss, jederzeit auf umfassenden UTM-Schutz zurückgreifen zu können, braucht integrierte Systeme mit mehreren Layern innerhalb des Netzes, mit einem signaturbasierten Vieren-, Intrusion- und Spyware-Schutz direkt am Gateway, sowie quellspezifischen Verteidigungsmechanismen gegen unsichere URL und Spam.

Lassen sich all diese Voraussetzungen in einer einzigen Security-Appliance zusammenführen, bedeutet dies eine erhebliche Erleichterung für die Netzwerkadministration und das Monitoring der Aussengrenzen des Netzes. Eine solche Appliance filtert den Datenverkehr proaktiv, führt tiefgreifende Diagnoseläufe der Datenströme durch und tauscht die dabei gewonnenen Daten und Informationen über verdächtigen Datenverkehr zwischen den einzelnen Layern aus. Dies sind

Protokoll-Anomalie:Nichtkonformer Code wird mittels Internetstandards für Datenverkehr identifiziert und isoliert.

Verhaltensanalyse:Hosts mit verdächtigen Verhaltensmustern werden identifiziert und abgeklemmt.

Musterabgleich:Als riskant bekannte Dateitypen, die oft aggressiven Code beherbergen, werden gekennzeichnet und entfernt.

Mit solchen UMT-Systemen lassen sich auch bislang nur schwach geschützte Bereiche besser abschirmen, ohne dass deshalb mehrere einzelne Appliances implementiert werden müssten. Weil die Angriffe auf das Netzwerk immer raffinierter werden, sind integrierte Security-Appliances, die die Schutzvorrichtungen an einem Punkt fokussieren, die wirkungsvollste Antwort für eine konstant wachsende Netzinfrastruktur.