security - heise.de · utm nicht mehr für die heuti-gen gegebenheiten. so kocht mittlerweile jeder...
TRANSCRIPT
Schwerpunkt: UnifiedThreat ManagementDie Wahl des maßgeschneiderten Systems
Weniger ist mehr Seite I
NAC als moderne Netzzugangssicherung
Kontrollierter Wiedereintritt Seite VI
MSS – Sicherheit aus fremder Hand
Ausgelagert Seite XI
Vorschau
StorageBackup-Lösungen Seite XII
Veranstaltungen26. – 30. Oktober, Dubai RIPE 57www.ripe.net/ripe/meetings/ripe-57
9. – 11. Februar 2009, Hamburg4. – 6. März 2009, Frankfurt/Main18. – 20. März 2009, Stuttgart 7. – 29. Mai 2009, WienKerberos – LDAP – Active Directorywww.ix-konferenz.de
iX extra Security
zum Nachschlagen:
www.heise.de/ix/extra/security.shtml
I
Unter dem Namen UnifiedThreat Management
(UTM) haben sich Rundum-Sorglos-Sicherheitspakete eta-bliert. Dies gilt zumindest fürden Bereich, der das interneNetz von der Außenwelt oderauch zwei Netze voneinandertrennt. Ursprünglich beschriebdiese Gattung lediglich ein Pro-dukt, das Firewalls, IDS/IPS (In-trusion Detection System, Intru-sion Prevention System) undAnti-Virus in einer Lösung ver-einte. In der Zwischenzeit gibtes kaum noch einen Anbieter,der sich auf diese Minimalanfor-derungen beschränkt. Je nachHersteller gelangten weitereFunktionen in die jeweiligen Ap-pliances, von Virtual Private Net-works (VPNs) über URL- undContent-Filtering-Funktionen,die Absicherung von Social-Networking-Plattformen bis zurSicherstellung von Quality-of-Service- Anforderungen imVoice-over-IP-Bereich.
Leider gilt die Definition vonUTM nicht mehr für die heuti-gen Gegebenheiten. So kochtmittlerweile jeder Herstellersein eigenes UTM-Süppchenmit verschiedenen Zutaten,was einen Vergleich zwischen
den einzelnen Produkten deut-lich erschwert, da sie mitunterschiedlichen Dienstenausgestattet sind.
Unternehmen sollten sichdaher die Frage stellen, welcheDienste zum Schutz der Orga-nisation wirklich unbedingt erforderlich sind. Selbstver-ständlich hat hier jeder Sicher-heitsexperte und natürlich derjeweilige Produkthersteller eineeigene Meinung. Allerdingsexistieren einige rechtliche undauch wirtschaftliche Aspekte,die die Bereitstellung von be-stimmten Sicherheitsdienstenfür ein Unternehmen fast schonzwingend erforderlich machen.Dass hierbei eine Firewall alszentrales Ein- und Ausgangstorin angrenzende Netze als ab-solut notwendig gilt, dürftewohl niemanden verwundern.
Vor dem Kauf eines UTM-Produkts sollten sich die Verant-wortlichen überlegen, ob eineeinfache Firewall ausreicht, dieein- und ausgehende Daten-pakete mithilfe der sogenanntenStateful Inspection überprüft,oder ob der Einsatz von Proxiesfür dedizierte Protokolle sinnvol-ler ist. So haben etliche Herstel-ler in ihre UTM-Firewalls Pro-
Security
Securityextra
Ein
Ver
lags
bei
heft
er d
er H
eise
Zei
tsch
rifte
n V
erla
g G
mb
H &
Co.
KG
Weniger istmehrDie Wahl des maßgeschneiderten Systems
Aus rechtlicher und wirtschaftlicher Sicht ist dieBereitstellung von Sicherheitsdiensten für einUnternehmen nahezu zwingend. Doch bei der Wahleines Rundum-Sorglos-Pakets wie Unified ThreatManagement (UTM) sollten Betriebe sich genauüberlegen, welche Dienste sie wirklich benötigen.
sponsored by:
ix.1108.x.01-12 06.10.2008 12:29 Uhr Seite I
xies für SIP, H323, NetBIOS,VNC (Virtual Network Compu-ting), RTP (Realtime TransportProtocol), DNS (Domain NameSystem) und so weiter integriert.Ebenso zwingend notwendigwie eine Firewall ist die Installa-tion eines Anti-Virus-Gatewaysfür die Überprüfung ein- undausgehender Datenströme. Sowerden die eigenen Daten vorentsprechenden Schädlingenund dadurch vor einem eventu-ellen Vernichten, Verändern oderAusspähen geschützt. Darüberhinaus lässt sich so das Risikoreduzieren, selbst Viren zu ver-breiten. Trägt das eigene Unter-nehmen an der Verbreitung vonViren eine Mit- oder gar Haupt-schuld und haben andere da-durch einen Schaden erlitten(etwa einen Datenverlust), sokann es durchaus dazu kommen,dass der Haftungsfall eintritt.
Sind innerhalb des Unter-nehmens Mitarbeiter oder Aus-zubildende beschäftigt, dieunter 18 Jahre alt sind, so gel-ten diese als Schutzbefohlene.Der Arbeitgeber muss alsounter anderem sicherstellen,dass diese im Internet nur die
für sie geeigneten Inhalte ein-sehen können.
Dies versuchen Unterneh-men im Allgemeinen mittelseines URL- oder Web-Content-Filters sicherzustellen. Der freieZugang zum Internet für diesenjugendlichen Personenkreiskönnte ebenfalls rechtlicheKonsequenzen haben. Abgese-hen davon kann der Aufruf vonbestimmten Internetseiten auchfür Erwachsene persönlichkeits-verletzend sein und sollte schonaus diesem Grund unterbundenwerden. Bei der Auswahl desrichtigen UTM-Systems sollteman deshalb auch diese Anfor-derung berücksichtigen.
AltersgerechterSchutzAber dies sind natürlich nichtalle Aspekte, die aktuelle UTM-Produkte abdecken. Sollen zumBeispiel Mitarbeiter von unter-wegs oder daheim auf interneDaten zugreifen können, ist derAufbau von verschlüsselten Ver-bindungen eine zwingende An-forderung (VPN-Access-Point).Dafür gibt es verschiedene
Möglichkeiten. Sollen einemNutzer bei einem Zugriff vonaußen lediglich dedizierte An-wendungen zur Verfügung ste-hen, wäre der Einsatz einesSSL-VPNs anzuraten, das ihmgenau diese Anwendungen übereine entsprechende Oberflächezur Verfügung stellt. Soll sichder Nutzer bei einem Zugriff vonaußen genau so wie an seineminternen Arbeitsplatz fühlen,wäre der Einsatz von VPNs viaIPSec sicherlich eine gute Wahl.Dies gilt auch, wenn verschie-dene Standorte über das Inter-net miteinander verbunden wer-den sollen (Site-to-Site VPN).Leider bieten nicht alle UTM-Appliances beide Möglichkeiten.
Generell ist natürlich auchdie Frage wichtig, welcheDienste Daten über das UTM-System übertragen sollen.Hierbei sind vor allem zeitab-hängige Anwendungen zu be-achten. Voice over IP ist nur einBeispiel eines in dieser Hin-sicht kritischen Dienstes. Ineinem solchen Fall sollten Ver-antwortliche bei der Auswahleines UTM-Produkts auch prü-fen, ob es in der Lage ist, Qua-
lity-of-Service-Funktionen um-zusetzen. Anderenfalls kann espassieren, dass bei größerenDatentransfers zwischen denjeweiligen Endpunkten die Lei-tung so stark belegt wird, dassein Telefonat zwischen denbeiden Standorten nicht mehrmöglich ist.
Neben der Fähigkeit der In-tegration von Quality-of-Ser-vice-Funktionen sind etlicheder aktuellen UTM-Systeme inder Lage, mit Virtual LANs(VLANs) umzugehen. Dies kannsich insbesondere dann als kri-tische Funktion entpuppen,wenn das System im internenNetz eingesetzt werden soll,zum Beispiel zur Abtrennungverschiedener interner Teilnet-ze. Nahezu jede UTM-Appliancebesitzt, wie in der ursprüng-lichen Definition vorgesehen,ein Intrusion-Detection- bezie-hungsweise Intrusion-Protec-tion-Subsystem. Dies kann, so-fern sauber konfiguriert und in-tegriert, wichtige Erkenntnisseüber das Risiko in dem be-trachteten Netz liefern. Aller-dings ist der Aufwand für dieKonfiguration eines solchenSystems deutlich höher als beiden anderen Subsystemen wieFirewall oder Anti-Virus. Miteiner guten Konfiguration kön-nen IT-Fachleute jedoch Kenn-zahlen gewinnen, die als Argu-mentationshilfen für zukünftigeSecurity-Projekte innerhalb desUnternehmens dienen können.
Die relativ große Anzahl vonUTM-Anbietern hat zu einergroßen Bandbreite an Einzel-systemen geführt. Für nahezujedes Unternehmen ist etwasdabei. Günstige kleine Systeme,die sich etwa zur Absicherungund Anbindung von kleinerenAußenstellen eignen, sind ge-nauso anzutreffen wie teureProdukte, die sich gut im Back-bone eines größeren Unterneh-mens einsetzen lassen. Die Per-formance der Systeme hängtdabei in einem hohen Maße vonden aktivierten Diensten ab.Dies gilt insbesondere für re-chenintensive Bereiche wie die
II iX extra 11/2008
Security
ANBIETER VON UTM-PRODUKTEN
Die Übersicht erhebt keinen Anspruch auf Vollständigkeit.
Hersteller Produkt WebadresseAstaro ASG 110/120 www.astaro.comCheck Point UTM-1 www.checkpoint.comCollax Security Gateway www.collax.comComputer Associates HIPS 8.0 www.ca.comFortinet Fortigate www.fortinet.comFunkwerk Funkwerk UTM www.funkwerk-ec.comGateprotect GPO www.gateprotect.deIBM Proventia www.iss.netJuniper Networks SSG (verschiedene) www.juniper.netNetASQ F50 www.netasq.comPhion netfence M3 www.phion.comSecure Computing Sidewinder G2 www.securecomputing.comSecurepoint Piranja www.securepoint.deSmoothwall Smoothguard 1000 UTM www.smoothwall.netSonicWall NSA E7500 / PRO 3060 www.sonicwall.comSymantec Endpoint Protection www.symantec.comTelco Tech LiSS xxx series www.telco-tech.deUnderground_8 Limes MF www.underground8.comVasco aXs Guard www.vasco.comWatchguard Firebox X Edge/Core/Peak www.watchguard.de
ix.1108.x.01-12 06.10.2008 12:29 Uhr Seite II
art of defence, Softwarehersteller ausRegensburg, bietet die derzeit umfas-sendste Produktpalette im Bereich Web Application Security. Schwachstellen im Web Source Codewerden vom Analysetool hypersourceidentifiziert. Dabei werden alle Entry-Points der Reihe nach überprüft undmittels Data-Flow-Analyse komplett biszum ‘Exit’ verfolgt. So werden alleVerwundbarkeiten bis zu ihrer Wurzelaufgezeigt.Der Web Vulnerability Scan Serverhyperscan überprüft Websites mit unter-schiedlichen Techniken von außen. Einintelligenter Crawl-Mechanismus arbeitetsich durch die erreichbaren Links undpenetriert die Applikation u.a. mit Signa-turen aus seiner Datenbank. Einzigartigist hier das Zusammenspiel mit demSource Code Analyzer hypersource: Die gefundenen Schwachstellen könnenvon hyperscan importiert werden, um dieFiltermechanismen der Applikation zuüberprüfen. Die Web Application Attack Detectionübernimmt hyperguard von art ofdefence. Als Plug-In in Webserver undviele andere Infrastruktur-Produkte kannhyperguard überall verteilt werden.
Eine zentrale Managementkonsole bietetausführliches Monitoring, Reporting undAlerting sowie aktuelle Statusreportsüber die Applikationssicherheit. Zudem ist hyperguard mit einer sehrausgereiften Protection-Funktionalitäterweiterbar: Damit können u.a. ältereApplikationen sehr einfach mit einemGrundschutz versehen oder komplexePortallösungen in ihrem externenVerhalten abgesichert werden.
Ein Novum in diesem Bereich ist derautomatische Regelvorschlag von hyper-guard durch den Import von Schwach-stellen der Source Code Analyse und vonaufgedeckten Lücken des Scan Servers. Alle Produkte bieten ein ausführlichesReporting z.B. nach den bekanntenOWASP-, CWE- oder PCI-Richtlinienund dienen so zum Nachweis der Ein-haltung rechtlicher Vorschriften undIndustrie-Standards.
Report
Perform
ance Report
Report
Report
scan
Rep
ort
adm
in
Security
Entwicklung
Produktion
Webserver
Vulnerabilities
XSS
SQL Injection
CSRF
XML Injection
ERP Portal
Java
PHPAdminEntwickler
fix later
Test XMLReport
export block
export block
Security
fix now!
expo
rt fo
r sca
n
Achillesferse Web-Applikation
Web Source
Code Analyzer
Web Vulnerability
Scan Server
Web Application
Attack Detection
and Protection
Zusammenspiel und Einsatz der Produkte www.artofdefence.com
Anzeige
ix1108_x_003_art_of_defence.indd 1ix1108_x_003_art_of_defence.indd 1 06.10.2008 12:54:55 Uhr06.10.2008 12:54:55 Uhrix1108_x_03_art_of_defence.pdf 1ix1108_x_03_art_of_defence.pdf 1 13.10.2008 10:09:01 Uhr13.10.2008 10:09:01 Uhr
Verschlüsselung oder den Ein-satz von Virenscannern. Dakeine verbindlichen Vorgabenexistieren, wie Hersteller diePerformance ihrer Systememessen sollten, ist ein Vergleichder Lösungen anhand dernackten Zahlen auf den Daten-blättern wenig sinnvoll. Grund-sätzlich gilt es zu prüfen, mitwelchen Daten und mit welchenaktivierten Diensten ein solcherTest lief, damit wirklich ein Ur-teil über die Leistungsfähigkeiteines Systems möglich ist. Obdie Performance ausreicht, istletzten Endes nur mittels einesTests mit eigenen Testdatenherauszufinden.
Cluster und die PerformanceEtliche Hersteller ermöglichenes, einzelne Systeme zu Clus-
tern zusammenzufassen unddamit die Performance zu erhö-hen. Ein nützliches Merkmal, daauf diese Weise das Sicherheits-paket mit dem Wachstum einesUnternehmens Schritt haltenkann. Auch ergibt sich so dieMöglichkeit, ein System zu er-weitern, insbesondere wennzum Beispiel zusätzliche Diensteauf dem System aktiviert wer-den müssen, deren Einsatz imVorfeld nicht abzusehen war.
Neben der Performance er-höht ein Clustering von Syste-men auch die Ausfallsicherheit.Diese ist allerdings nur danngewährleistet, wenn die nacheinem Ausfall verbliebenenSysteme die anfallende Lastauch bearbeiten können.
Um die Verfügbarkeit derDienste zu gewährleisten, ist einClustering nicht unbedingt not-wendig. Hier reicht bereits eine
Standby-Lösung, die nahezu allegrößeren Pakete bieten. Es stelltsich lediglich die Frage, ob eineCold-Standby-Lösung ausreichtoder ob eine Hot-Standby-Lö-sung notwendig ist. Bei einerCold-Standby-Lösung wird dasErsatzsystem erst aktiviert,wenn das ursprüngliche Systemausgefallen ist. Bestehende Ver-bindungen müssen dann neuaufgebaut werden, was nichtbei jeder Anwendung machbarist. VPN-Nutzer müssten bei-spielsweise einen neuen Tunnelaufbauen, da das Ersatzsystemnichts davon „weiß“, dass siebereits mit dem internen Netz-werk verbunden waren. Beieiner Hot-Standby-Lösung erhältdas Ersatzsystem grundsätzlichdieselben Informationen wie dasaktive System. Bei einem Ausfallkann es so alle offenen Verbin-dungen übernehmen. Die dar-
über laufenden Dienste bemer-ken also den Ausfall gar nicht.Ob Clustering, Hot- oder Cold-Standby die beste Lösung dar-stellen, ist meistens auch eineFrage des zur Verfügung ste-henden Budgets.
Um Systeme im Nachhineinperformanter zu betreiben,bieten manche Hersteller Er-weiterungen durch Ko- oderKryptoprozessoren an. Dies istinsbesondere dann sinnvoll,wenn die innerhalb einer UTM-Appliance vorhandenen rechen-intensiven Dienste wie VPNstark in Anspruch genommenwerden. Hier lässt sich unterUmständen einiges an Geldsparen, da der Nachkauf einersolchen Karte deutlich günsti-ger ist als das Auswechselneines ganzen Systems.
Außerdem kann die Reihen-folge, in der die Dienste inner-
Security
Jetzt testen unter www.astaro.de/demo
Greifen Sie zur richtigen WaffeAstaro - die Nr.1 für Unified Threat Management
Astaro Security Gateway Astaro Web Gateway Astaro Mail Gateway
NEU
Stand 702 in Halle B3
ix1108_x_000_astaro.indd 1 02.10.2008 15:14:34 Uhrix1108_x_00_mit_Anz.indd 4ix1108_x_00_mit_Anz.indd 4 06.10.2008 13:22:30 Uhr06.10.2008 13:22:30 Uhr
iX extra 11/2008
halb des UTM-Geräts den Da-tenstrom abarbeiten, die Per-formance beeinflussen. DieReihenfolge Firewall, IPS undAnti-Virus ist im Allgemeinenweniger rechenintensiv als um-gekehrt, weil im ersten Fallschon ein Großteil des Daten-stroms gefiltert wird und garnicht erst zur weiteren Verar-beitung an die Folgesystemegelangt. Bei den meisten UTM-Systemen ist jedoch die Rei-henfolge, in der die einzelnenServices die Daten überprüfen,fest vorgegeben. Nur ganz wenige Hersteller bieten denLuxus einer freien Konfigura-tion. Dabei kann es durchausinteressant sein, ein IPS/IDS di-rekt an der Internetschnittstelle(Perimeter) lauschen zu lassenund so ein Gefühl dafür zu be-kommen, wie vielen Angriffendas eigene Netzwerk denn tat-sächlich ausgesetzt ist.
Neben den reinen Konfigu-rationsmöglichkeiten ist dieManagementschnittstelle vonwesentlicher Bedeutung. DieDefinition von Rollen und dieZuweisung von Accounts zudiesen Rollen beherrschen na-hezu alle größeren und meistauch kleineren Systeme. Zu-mindest erlauben sie den (lesenden oder schreibenden)Zugriff auf die einzelnen Konfi-gurationen. Das Ausblendenvon bestimmten Bereichen fürmanche Rollen (zum Beispieldarf der Anti-Viren-Adminkeine Einsicht in das Firewall-Regelwerk nehmen) beherr-schen ebenfalls einige der teureren Systeme. Solche Mög-lichkeiten werden vor allem fürden Einsatz in Großunterneh-men benötigt, wenn sich unter-schiedliche Gruppen um unter-schiedliche Bereiche kümmernmüssen. Die Integration desSystems in eine zentrale Be-nutzerverwaltung via LDAP(Lightweight Directory AccessProtocol), Active Directory oderähnliche Dienste ist jedoch fürnahezu jeden Kunden interes-sant, und daher bieten vieleSysteme diese Funktionen an.
Setzen Unternehmen meh-rere UTM-Systeme in einemNetz ein, ist eine zentrale Ver-waltung für Policies, Firewalls,IDS/IPS und Virenscanner un-bedingt erforderlich, um denAufwand in Grenzen zu halten.Auch das Verteilen von Pat-ches für die eingesetzten Ap-pliances ist über eine solcheUmgebung deutlich einfacherals bei einer dezentralen Ver-waltung. Zum Teil müssenAnwender dafür ein entspre-chendes Management-Centererwerben, was zusätzlicheKosten verursacht. Diese Managementumgebungen er-lauben es auch, die Protokol-lierungsmöglichkeiten dereinzelnen Systeme und derauf den Systemen laufendenServices in einer zentralen Um-gebung zusammenzufassen.
Allerdings beherrschen diewenigsten Produkte eine richti-ge Event-Korrelation. Hier wer-den Anwender in den meistenFällen nicht um eine zusätzli-che Anschaffung herumkom-men. Die Konfiguration vonAlarmen hingegen ist mit nahe-zu jedem System möglich.Dabei verschicken die Systememeistens bei einer vorher zudefinierenden Log-Nachrichteinen SNMP-Trap, eine E-Mailoder Ähnliches an einen fest-gelegten Empfänger. MancheHersteller liefern sogar dieMöglichkeit, Schwellwerte zudefinieren, ab denen ein sol-cher Alarm ausgelöst wird.
Fazit
UTM-Produkte sind heutzutageein wesentlicher Teil des Secu-rity-Alltags, und dies nicht nurwegen des meist guten Kos-ten-Nutzen-Verhältnisses. DieAdministration sämtlicher Se-curity-Dienste über eine dedi-zierte Benutzerschnittstellegefällt vielen Administratorenund verspricht eine kürzereEinarbeitungsphase. Die nöti-ge Schulung lässt sich abernicht in zwei bis drei Tagenerledigen. Jörn Maier
Security
ix1108_x_000_gateprotect.indd 1 01.10.2008 10:37:01 Uhr
ix1108_x_00_mit_Anz.indd 5ix1108_x_00_mit_Anz.indd 5 06.10.2008 13:22:39 Uhr06.10.2008 13:22:39 Uhr
Auch wenn viele ange-sichts immer neuer Mo-
debegriffe nur noch gelangweiltabwinken – Network AdmissionControl (NAC) ist mehr als einMarketingschlagwort. HinterNAC steckt ein sinnvolles Kon-zept, das auf die zunehmendeMobilität von Unternehmens-mitarbeitern reagiert.
Ziel der NAC-Technik ist es,Netzwerksicherheit auch dannzu gewährleisten, wenn sichGeräte von Netzteilnehmernzeitweise außerhalb einesUnternehmensnetzes, seiner Si-cherheitssysteme und der Kon-trollmechanismen für seine Po-licies befinden. Viren, Trojaneroder Spyware, die in einerfremden Umgebung auf den PCeines Mitarbeiters geraten sind,können beim nächsten Kontaktdes Geräts mit dem internenNetz überspringen. Zumindestgilt dies, wenn die Schutzsyste-me des internen Netzes dem„eigenen“ Computer einfachvertrauen und Daten vom Fir-men-PC ungeprüft durchlassen.NAC unterwirft deshalb alle Ge-räte, die sich mit einem Netzverbinden wollen, zunächsteiner Kontrolle und stellt fest,ob sie für eine uneingeschränk-te Verbindung noch sichergenug sind oder erst einer Spe-
zialbehandlung unterzogen wer-den müssen.
Diese Grundidee, ihr Wertund die einzelnen NAC-Spiel-arten lassen sich am bestenbewerten, indem man einenBlick auf frühere Lösungsan-sätze für die Mobilproblematikund ihre Limitationen wirft.
Das Ende desgeschlossenen NetzesAnfangs war es ein unausge-sprochenes Ziel der Adminis-tration, den Zustand eines ge-schlossenen Netzes so weit wiemöglich zu erhalten. Der exter-ne Mitarbeiter wurde über di-rekte Modemeinwahl und spä-ter über eine VPN-Leitung erstauthentifiziert und dann wie miteinem verlängerten Kabel wie-der „ins Netz geholt“. Dortschützte die Unternehmens-Firewall sein Gerät wie einenechten internen PC und hielt esim Zugriffsbereich des Admi-nistrators. Den Internetzuganggewährte man in einem sol-chen Fall folgerichtig über denUmweg des Unternehmensnet-zes, um hier alle Filter undSchutzmechanismen des Gate-ways wirken zu lassen.
Dies kann als der erste Lö-sungsversuch für das Problem
der zunehmenden Mobilität derArbeitsplatz-PCs gesehen wer-den. In Unternehmen, die sovorgehen, sind die Sicherheits-maßnahmen noch immer auf einArbeitsplatzkonzept zugeschnit-ten, das den per Kabel ange-schlossenen und permanentkontrollierbaren PC als Normal-fall betrachtet. Funktionierenkann das Konzept in Organisa-tionen, die ihren reisenden An-gestellten überall rund um dieUhr schnelle VPN-Gateways zurVerfügung stellen können.
Jenseits des VPN
In den meisten Fällen allerdingsnutzen und benötigen Mitarbei-ter Zugriff aufs Internet auchunabhängig von VPN-Verbin-dungen ins Unternehmensnetz.Die Internet-Zugriffsrichtlinien,die im internen Netz einesUnternehmens zum Beispieldurch die Blockade bestimmterWebseiten am Gateway kon-trolliert werden können, geltenaber weder zu Hause noch inHotels, an Flughäfen und in öf-fentlichen Cafés. Dies und diefehlenden Gateway-Filter erhö-hen die schon beschriebeneGefahr, dass Malware auf denRechner gelangt – etwa, wennder Anwender bewusst fremdeSoftware auf seinen Rechnerlädt, wenn er auf einer schein-bar harmlosen Seite im Internetin eine Download-Falle gerätoder wenn er eine ungeschütz-te E-Mail-Verbindung nutzt.Möglicherweise ist auch bereitsdas fremde Netz kompromit-tiert, über das er sich Verbin-dung zum Internet verschafft.Zweifellos helfen gegen solcheGefahren autonome Sicher-heitspakete für Clients, aber esgibt keine Garantie, dass diesepermanent funktionieren unddass sie der Anwender nichteinfach außer Betrieb setzt,wenn sie stören.
Ein zweiter Lösungswegsetzt hier an und unternimmtden Versuch, Zugriffs- und Si-cherheitsrichtlinien unabhängigvom Gateway fest im mobilen
Rechner zu verankern. DasGerät wird dazu mit Sicher-heitssoftware ausgestattet, diesich nicht vom Anwender um-konfigurieren lässt und die glei-chen Restriktionen durchsetztwie im heimischen Netz. DiesesKonzept aber wirft eigene Pro-bleme auf: Zu oft erfordern esdie Umstände auf Reisen, dassder Anwender eben doch Ände-rungen vornehmen muss, umüberhaupt eine Verbindung auf-nehmen zu können – und dannhat er keine Chance, wenn dieSicherheitssoftware für ihn ge-sperrt und der Administratornicht rund um die Uhr erreich-bar ist. Außerdem gibt es Ge-räteklassen wie bestimmteSmartphones und PDAs oderauch technische Spezialgeräte,die nicht ohne Weiteres das In-stallieren geeigneter Client-Software zulassen.
Gäste alsSicherheitslückeNoch komplizierter wird die Si-tuation durch die neuestenTrends der modernen Arbeits-welt. Externe Berater, Zeitar-beitskräfte und auf freier Basisverpflichtete Mitarbeiter über-nehmen in immer mehr Organi-sationen Aufgaben, die früherfest angestellten Mitarbeiternvorbehalten waren. Die„Freien“ arbeiten mit eigenenRechnern, über die der Unter-nehmensadministrator keineKontrolle hat, erwarten aberselbstverständlich an ihremEinsatzort Zugriff aufs Internet,aufs eigene Mail-System undauf ausgewählte Ressourcendes Kunden. Auch auf solcheKonstellationen muss ein mo-dernes Netz reagieren können.
Network Admission Controloder Network Access Control,manchmal auch Network Access Protection (NAP), isttatsächlich die bisher ausge-feilteste Antwort auf die be-schriebenen Probleme. NAClässt mobile Geräte temporärfrei, unterwirft sie beim erneu-ten Kontakt mit dem Unterneh-
VI iX extra 11/2008
Security
KontrollierterWiedereintrittNetwork Admission Control als moderneNetzzugangssicherung
Network Admission Control (NAC) hat auf den erstenBlick alles, was einen typischen IT-Hype ausmacht:Der Begriff ist erst seit gut zwei Jahren in derDiskussion, wird von IT-Sicherheitsanbietern gepushtund vereint technisch gesehen nur altbekannteSicherheitstechniken zu einem neuen Modell. Doch der Eindruck täuscht.
ix.1108.x.01-12 06.10.2008 12:29 Uhr Seite VI
ix1108_x_000_datsec.indd 1ix1108_x_000_datsec.indd 1 02.10.2008 14:47:53 Uhr02.10.2008 14:47:53 Uhrix1108_x_07_datsec.pdf 1ix1108_x_07_datsec.pdf 1 13.10.2008 10:09:11 Uhr13.10.2008 10:09:11 Uhr
mensnetz aber wieder dessenRegeln. Geräte, die sich miteinem Netzwerk verbinden,werden dazu auf mehrerenEbenen geprüft:–ˇIst der Anwender bekannt?–ˇIst sein Gerät bekannt und registriert?–ˇIn welchem Sicherheitszu-stand befindet sich das Gerät,und entspricht er den Regelndes Unternehmens?
Die möglichen Antwortenauf die letzte Frage betreffendie sogenannte Endpoint Secu-rity und umfassen Informatio-
nen wie die installierte Soft-ware, den Aktivitätszustand vonVirenschutz, Firewall und ande-ren Sicherheitswerkzeugen undden Patch-Stand der System-,Anwendungs- und Sicherheits-software mit den jeweiligenSignaturdateien.
Auf die Ergebnisse muss dasNetz möglichst fein abgestuftreagieren können. Fremdrech-ner beispielsweise könnte es inein separates Gästenetz einglie-dern, etwa ein virtuelles LAN(VLAN), das nur Internet- undMail-Zugang bietet. Hier kann
der Administrator dem Gastdann einzelne interne Res-sourcen gezielt zuteilen. Nochradikalere Lösungen weisendem Gast nur eine virtuelleWeboberfläche als Arbeitsumge-bung zu.
Die Verpflichtung zum „sauberen“ PCBekannte Rechner von bekann-ten Mitarbeitern können voll-ständig eingebunden werden,wenn ihre Schutzsysteme aufdem neuesten Stand sind und
keine unbekannte Software in-stalliert ist. Fehlen Patchesoder weicht der Computerzu-stand aus anderen Gründenvom Soll ab, ist eine kompletteSperrung möglich. Eine Alter-native bietet die temporäreÜberführung in ein Quarantäne-und „Remediation“-Netz, daszunächst die verpassten Up-dates erzwingt und währendder möglichst kurzen undtransparenten „Reparatur“ desComputers keine oder nur we-nige weitere Aktionen zulässt.
NAC hat eine Reihe ver-schiedener technischer Kompo-nenten: Module, die das Gerätdes Mitarbeiters erkennen undseinen Zustand bestimmen,Systeme, die die adäquate Be-handlung des Geräts im Netzerledigen und Vorrichtungen,die die Unternehmensrichtlinienbeim Wiedereintritt ins Netz er-neut auf dem Endgerät selbstdurchsetzen.
Bei der Authentifizierung desGeräts greifen Anbieter mehrund mehr auf Verfahren aufBasis des Layer-2-Protokolls802.1X zurück. Bei Geräten, dienicht 802.1X-fähig sind, wirddie MAC-Adresse genutzt. Beiinternen Geräten kann dasNAC-System vom Unterneh-mens-Directory erfahren, umwelches System es sich handeltund ob dieses seinen Sicher-heitszustand überhaupt ändernkann: Manche mobilen Maschi-nen oder Messgeräte etwa kön-nen zwar IP- und MAC-Adres-sen haben, sind aber fremderSoftware und damit auch Mal-ware gar nicht zugänglich. DasUnternehmens-Directory oderein Policy-Server geben Aus-kunft darüber, welche Regelnfür ein Gerät unter welchenUmständen gelten. Völlig frem-de Systeme, für die es keineEinträge in den Unterneh-mens-Repositories gibt, kön-nen ins erwähnte Gästenetzgeschickt werden – wobeinoch die Möglichkeit besteht,sie gesondert zu behandeln,wenn zumindest der Anwenderbekannt ist.
VIII iX extra 11/2008
Security
ANBIETER VON NETWORK ADMISSION CONTROL
Die Übersicht erhebt keinen Anspruch auf Vollständigkeit.
Anbieter Produkt WebadresseBradford Networks NAC Director Guest/ www.bradfordnetworks.com
Contractor ServicesCheck Point Endpoint Security www.checkpoint.comCisco NAC www.cisco.comCoSoSys Endpoint Protector www.cososys.deeEye Digital Security Blink Professional www.eeye.comEnterasys Enterasys Network www.enterasys.com
Access ControlForescout Counter Act www.forescout.comGFi EndPointSecurity www.gfi.comHP ProCurve NAC Endpoint Integrity h40060.www4.hp.comIBM Proventia Desktop www-935.ibm.comID Engines Ignition idengines.comImpulse Point Safe Connect www.impulse.comInsightix NAC www.insightix.comIntegrasul NAC nac.integrasul.inf.brJuniper Access Control Solutions www.juniper.netKaspersky Open Space Security www.kaspersky.com/deLumension Sanctuary www.lumension.comMcAfee NAC www.mcafee.com/usMikado Macmon www.mikado.deMirage Networks NAC www.miragenetworks.comNCP Next Generation Network www.ncp.de
Access TechnologyNeo Accel Neo Accel NAC-Plus www.neoaccel.comNetclarity NACwalls www.netclarity.netNortel SNAS products.nortel.comPGP Endpoint www.pgp.com/deProsoft Safend Protector www.prosoft.deSecude Finally Secure www.secude.comSophos NAC www.sophos.deStill Secure Safe Access www.stillsecure.comSymantec NAC www.symantec.com/deTipping Point Network Access Control tippingpoint.comTrend Micro Viruswall Enforcer www.de.trendmicro.comUnited Security Providers USP Network www.united-security-providers.com
Authentication SystemUtimaco SafeGuard www.utimaco.de
ix.1108.x.01-12 06.10.2008 12:29 Uhr Seite VIII
Sicherheitsprozesse inEchtzeit überwachen
Mit Clavister-PinPoint™ ist ein neuesTool verfügbar, mit dem Sicherheitsprozes-se in Echtzeit überwacht werden können.Dieses ermöglicht Security Managern übereine intuitiv zu bedienende Oberflächeeinen grafischen Überblick u.a. über Surf-gewohnheiten, Resultate von Virus- oderMalware-Scans, Einbruchsversuche in dasNetzwerk oder VoIP-Statistiken. Vergleich-bar mit einem Flugzeug-Cockpit, könnendie „Piloten“ von PinPoint essenzielleDaten (Mission Critical) von weniger wich-tigen (Non-Critical) unterscheiden und an-zeigen lassen. Clavister ist der erste Herstel-ler, der eine einfach zu bedienende Appli-kation auf den Markt bringt, die Security-abhängige Vorfälle in Echtzeit visualisiert.
Virtual Security Gateway –Sicherheit für virtuelleUmgebungen
Mit dem Clavister Virtual SecurityGateway für VMware lassen sich virtuelleSysteme wirksam vor Hacker-Attacken undMalware schützen, da die Gateways überalle Funktionen der Hardware ApplianceSecurity Gateways verfügen, inklusive allerUTM-Services. Darüber hinaus schützenSie die Kommunikation der virtuellen Sys-teme untereinander durch den Einsatz vonVPN-Verschlüsselung. Auch hinsichtlichder Security Policies müssen keine Ein-schränkungen gemacht werden, da sich dieeinmal definierten Policies auch auf die vir-tuellen Maschinen anwenden lassen. DasVirtual Security Gateway eignet sich auchzum Einsatz in Datencentern. Weitere Vor-teile sind: Einfache Wartung, hohe Skalier-barkeit, virtuelle Systeme (OOBs), IDS undAuditing.
Auch wenn die Firmen noch zögern,insgesamt mehren sich die Anzeichendafür, dass sich der MSS-Markt in einemAufschwung befindet. Das zeigt die Um-satzentwicklung der europäischen Security-Outsourcing-Anbieter: Die Analysten vonGartner bescheinigen diesen eine durch-schnittliche jährliche Wachstumsrate von14,9 Prozent.
eine Supportfunktion für Clavisters InSightReporting- und Logfile-Analyse-System ge-nutzt werden. Ebenso enthält die Serie eineWeb Content Filtering-Funktion sowie einIntrusion Detection und Prevention(IDP/IPS) System.
Die Lösung ermöglicht einen schnellenund kosteneffizienten Einsatz der ManagedSecurity Services (MSS), beispielsweise inden Bereichen:
Managed VPNManaged Wireless Network ProtectionManaged FirewallingManaged Intrusion Detection and
Prevention (IDP)Managed Antivirus ProtectionManaged Content FilteringManaged Web-Use ReportingManaged Regulatory Compliance
ReportingDie Clavister SSP zeichnet sich durch
die Fähigkeit aus, sich an das Wachstumder Unternehmen anpassen zu können (Cla-vister xPansion Lines). Hierzu wurde dieLösung mit Feinabstimmungsmechanismenund hochgradig skalierbaren Funktionenausgestattet, die es jedem Betreiber ermög-lichen, diese an seine individuellen Leis-tungs- und Funktionsanforderungen nahtlosanzupassen. Die Tatsache, dass sowohl derClavister SSP als auch das Customer Pre-mise Security Gateway (CPE) dasselbehoch skalierbare Betriebssystem ClavisterCorePlus™ verwenden, macht jeglicheKompromisse zwischen maximalem Ser-vice, Verfügbarkeit, Funktionalität, Steuer-barkeit, TCO sowie Kapitalinvestitionenhinfällig.
Zentrales RemoteManagement
Mit FineTune steht den Anbietern vonManaged Security Services ein modernes,graphisch orientiertes Management-System(GUI) zur Verfügung, das die zentrale Ver-waltung einer Vielzahl von Clavister Secu-rity-Gateways aus einer benutzerfreund-lichen GUI-Umgebung heraus ermöglicht.Über dieses Management-System ist dieRemote-Verwaltung aller Clavister-Devi-ces inklusive deren Konfiguration, RealTime-Monitoring sowie -Logging, Revi-sionskontrolle und Firmware Upgradesmöglich und wird via 128-Bit-Verschlüsse-lung und Authentifizierungsmechanismeneffektiv geschützt.
Anzeige
Der Markt für ManagedSecurity Services wächstbeständig, jedoch galt esals schwierig und kostenin-tensiv, diese Dienstleistungim Outsourcing-Verfahrenzu erbringen. Clavistersneue Security Service-Platt-form beseitigt diese Pro-bleme und ermöglicht es soResellern, Systemhäusern,IT-Abteilungen sowieService Providern effizientauf dem Outsourcing-Secu-rity-Markt zu agieren.
Die Clavister Security Service-Plattform(SSP) steht für das gesamte Clavister-Pro-duktportfolio von Security-Gateways,UTM-Appliance- sowie Management Sys-teme und den damit zusammenhängendenSicherheits-Services. Diese Lösung, kombi-niert mit den Clavister Lifecycle-SystemenFineTune, PinPoint, und Insight setzt einenneuen Standard für Managed Security Ser-vices, da sich einerseits die Total Cost ofOwnership (TCO) auf ein Minimum redu-zieren lässt und andererseits ein rascher Re-turn of Invest (ROI) erreichen lässt: sowohlfür KMUs, die ihre Security an externeDienstleister auslagern, als auch für Kon-zerne, die über interne IT-Serviceabteilun-gen verfügen und Service Provider, dieihren Kunden wiederum Sicherheitsdienst-leistungen anbieten wollen. FineTune undPinPoint werden von Clavister kostenlosangeboten, wodurch Managed Security Ser-vice Provider im Gegensatz von herkömm-lichen Lösungen massiv Geld sparen kön-nen. Die Hardware-Basis in den Zentralenbilden dabei UTM-Appliance-Systeme der4000er-oder 3000er-Systemreihen. Zur An-bindung von Niederlassungen kommt bei-spielsweise die SG10-Serie zum Einsatz.Die SG10-Serie garantiert Managed Secu-rity Service Providern eine optimale und si-chere Anbindung von kleinen Firmen oderAußenstellen. Damit werden Kompromiss-lösungen vermieden, die Service Providerin der Vergangenheit dazu gezwungen hat-ten sich zwischen Standardprodukten mitunzureichenden Funktionen oder teuren Lö-sungen mit unnötig vielen Features zu ent-scheiden. Die SG10-Serie bietet darüberhinaus noch weitere Vorteile: Beispiels-weise kann eine Antivirus Scan-Engine und
Vereinbaren Sie unter folgendem Linkeinen Termin mit uns auf der Systems:www.clavister.com/offers/systems08/und sichern Sie sich so eine kostenloseVollversion des neuen ClavisterVirtual Security Gateway für VMware.
Clavister DeutschlandBülowstrasse 20 · 22763 HamburgTel.: +49 40 411259-0Fax: +49 40 411259-19E-Mail: [email protected]
Klare Vorteile für KMUs, Konzerne und Service Provider
Managed Security Services
Systems 2008Halle B3/Stand 505
ix1108_x_000_clavister.indd 1ix1108_x_000_clavister.indd 1 02.10.2008 10:59:20 Uhr02.10.2008 10:59:20 Uhrix1108_x_09_clavister.pdf 1ix1108_x_09_clavister.pdf 1 13.10.2008 10:09:08 Uhr13.10.2008 10:09:08 Uhr
Den Zustand von Compu-tern, die das Installieren oderwenigstens Ausführen von ex-tern aufgespielter Software er-lauben, können NAC-Systememithilfe von Client-Komponen-ten ermitteln. Auf dem Endge-rät installierte Software kannÄnderungen dort permanentprotokollieren. Dabei müssennicht immer spezielle NAC-„Agenten“ im Spiel sein. AuchNAC-kompatible Sicherheits-pakete für PCs, neuere Be-triebssysteme selbst oderPatch-Managementsystemekönnen die Rolle des Informa-tionslieferanten über denRechnerzustand übernehmen.
Wo nichts ohne Zustim-mung installiert werden kannoder darf, lässt sich ein Gerätvielleicht auf eine Website lei-ten, die es dann mithilfe vonActiveX- oder Java-Appletsüberprüft. Im Zweifelsfall mussman den Anwender einbezie-hen – beispielsweise, indemman ihm einen erweiterten Zu-gang nur gewährt, wenn er be-stimmte Softwarepakete selbstherunterlädt und installiert.Manche NAC-Systeme startensogar Vulnerability-Scans aufGeräten, die sich mit dem Netzverbinden.
Standards in Sicht
Die Durchsetzung der Richtli-nien für die Zugriffsrechte imNetz sowie die Zuordnung zueinem bestimmten Subnetzoder VLAN, die das NAC-Sys-tem aus den für ein Gerät gel-tenden generellen Policies und
seinem Zustand ableitet, kön-nen im Netz unterschiedlicheSysteme übernehmen: Infra-strukturkomponenten wieSwitches, spezielle Appliancesmit Router- und Switch-Funk-tionen oder Server-Software-produkte. Die zuletzt genannteLösung präsentiert sich dabeigern selbst als die flexibelste,weil sie keine Bindung aneinen Switch- und Komponen-tenhersteller mit sich bringtund auch in heterogenen Net-zen gut funktioniert. Allerdingslässt sich inzwischen beob-achten, dass die großen In-frastrukturanbieter mit ihrenNAC-Lösungen aufeinanderzugehen und diese zueinanderkompatibel gestalten. Eine be-sondere Rolle spielt dabei dievon der Trusted ComputingGroup gegründete Arbeits-gruppe „Trusted Network Connect“, die Standards schaf-fen will. Auch in Deutschland,etwa an der FH Gelsenkirchenund FH Hannover im Rahmendes Projekts tnac, arbeitet manan Lösungen für mehr Interope-rabilität und Kompatibilität.
NAC-Appliances können„inline“ wie eine Firewall vordem gesamten zu schützendenNetz arbeiten oder als „Out-of-Band“-Einheiten, die andereNetzwerkkomponenten steu-ern. Nicht jedes NAC-Systemgibt sich mit der „Pre-Connect-Kontrolle“ zufrieden – manchearbeiten in einer gewissenAnalogie zu Intrusion-Detec-tion-Systemen als „Post-Con-nect-NAC“ und prüfen perma-nent, ob ein Computer im Netz
verdächtig agiert. Sinnvoll kannauch eine passive Überwa-chung des Address ResolutionProtocols (ARP) sein. Compu-ter, die Schutzmechanismenauf 802.1X- oder DHCP-Ebeneentgangen sein könnten, müss-ten zumindest dort durch Aktivität auffallen.
Die letzte NAC-Komponente,die Durchsetzung der Richt-linien auf den PCs selbst, über-nehmen wiederum die dort in-stallierten Clients – sofern demAnwender die entsprechendenReparaturen nicht einfach imRemediation- oder Quarantäne-Segment aufgezwungen werdenkönnen. Die Clients könnenhelfen, bei Richtlinienabwei-chungen Software neu aufzu-spielen, bestehende Programmezu aktualisieren oder uner-wünschte Programme zu löschen.
Betrachtet man die ganzeBandbreite von NAC-Syste-men, reicht diese von der ein-fachen Abfrage der Netzkom-ponenten via SNMP bis hin zuden erwähnten, umfassend inNetzwerkinfrastrukturen inte-grierten Lösungen. Dabeikommt immer wieder der Vorwurf auf, keines dieserSysteme sei perfekt: Client-Komponenten etwa lassen sichfälschen, und DHCP-gestützteAnsätze, die Geräte überAdresszuweisungen steuern,scheitern manchmal schondaran, dass sich ein Computermit einer fest vorgegebenenIP-Adresse anmeldet. SolcheKritik geht aber von falschenPrämissen aus. NAC richtetsich nicht primär gegen aus-gewiesene Industriespione,sondern gegen Gefahren, dieaus den Nebenwirkungen derheutigen Mobilität entstehen.Diese Risiken reduzieren dieexistierenden Systeme bereitsrecht gut.
Die Zahl und die Vielfalt dermobilen Geräte – von Note-books und Tablet PCs bis hinzu Handys, PDAs, Smartphonesund verschiedenen portablenSpeichermedien – in einer
unternehmensweiten Umge-bung sowie die vielen unter-schiedlichen Nutzer und Wegedes Zugangs zu den Datenmachten es häufig erforder-lich, neben einem NAC zusätz-liche Sicherheitsmaßnahmeneinzuführen. Dazu gehört dieVerschlüsselung von Festplat-ten, wobei sich der Nutzer miteinem Boot-Kennwort an sei-nem Gerät authentifizierenmuss. Erst dann startet dasBetriebssystem und generiertdie Schlüssel, sodass dieDaten bei Anforderung ent-und bei der Speicherung wie-der verschlüsselt werden kön-nen. Diese Methode kann abernicht alle heute vorhandenenmobilen Devices schützen,außerdem gehen damit weite-re Nachteile für Administrato-ren einher: Sie müssen zusätz-lich Kennwörter in einemModus verwalten, in dem nochkein Netzwerk vorhanden ist.
Außerdem sind Prozessewie das Aufspielen von Pat-ches für Betriebssysteme oderAnwendungen komplizierter,denn diese können nicht wieim Unternehmen üblich auto-matisiert über Nacht ablaufen.Bei Reboot-Vorgängen hakt esnämlich aufgrund des einzuge-benden Kennworts. Doch gibtes auch intelligente Verschlüs-selungslösungen, die mithilfevon Policies arbeiten. Über dasRegelwerk lässt sich differen-ziert bestimmen, welche Datenfür welche Nutzer zugänglichsind: Dafür lassen sich Datei-typen (etwa alle doc-Dateien)bestimmen, Zugriffe pro Nut-zer festlegen, ganze Anwen-dungen auf eine bestimmte Artschützen oder der Umgang mitbestimmten Geräten angeben.Schließlich kann der Sicher-heitsverantwortliche auch Systemdaten wie lokale oderDomänen-Zugangsdaten, Paging-Dateien oder tempo-räre Dateien über Regeln verschlüsseln.
Bettina WeßelmannDie Autorin arbeitet als freie
Journalistin in München.
X iX extra 11/2008
Security
OPEN SOURCE NAC
Lösung WebadresseFH Gelsenkirchen www.internet-sicherheit.de/
forschung/aktuelle-projekte/tnacFree NAC www.freenac.net/deHupnet hupnet.sourceforge.net/Netreg www.net.cmu.edu/netregPacket Fence packetfence.org/Rings sourceforge.net/projects/ringsUngoliant ungoliant.sourceforge.net/
ix.1108.x.01-12 06.10.2008 12:29 Uhr Seite X
iX extra 11/2008 XI
Besonders kleine und mittle-re Unternehmen sind mit
Aufbau und Pflege einer effekti-ven IT-Sicherheitstechnik oftüberfordert, da es ihnen häufigan personellen Ressourcen, aberauch an Spezialwissen fehlt. Inden letzten Jahren haben sichim Bereich IT-Sicherheit zahlrei-che neue Dienstleistungen ent-wickelt. Die sogenannten Ma-naged Security Services reichenvon der Konfiguration, Wartungund Aktualisierung von einzel-nen Sicherheitssystemen bishin zur vollständigen Übernah-me von Sicherheitsaufgabendurch den Dienstleister.
Als Markttreiber gelten diezunehmenden und ständigneuen Bedrohungen, Wirt-schaftlichkeitsbetrachtungen
und das Erfordernis, gesetzlicheAnforderungen zu erfüllen. Auchwächst das Bewusstsein für po-tenzielle Schäden. Trotzdem zö-gern besonders kleine und mitt-lere Unternehmen noch damit,einzelne Sicherheitsbausteineauszulagern.
Nach der Studie IT-Security2007, die CMP Weka auf demKongress „Live Security“ in Ber-lin vorgestellt hat, nutzen nur 25Prozent der Befragten ManagedSecurity Services in ihren Unter-nehmen. Rund 71 Prozent ant-worteten auf die Frage „Hat IhrUnternehmen einzelne IT-Si-cherheitsanwendungen an ex-terne Dienstleister vergeben?“,schlicht mit „Nein“.
Ein großer Vorteil der Ma-naged Security Services ist,
dass die darauf spezialisiertenDienstleister sich die besten IT-Security-Technologien sowiedie dazugehörigen Expertenleisten und diese Kosten aufalle Kunden verteilen können,die sich damit auf ihr eigenesKerngeschäft konzentrierenkönnen. Diensteanbieter beto-nen darüber hinaus die Vorteileder Kostenreduzierung und -kontrolle für den Kunden, die Erhöhung des Sicherheits-niveaus bei einem Service rundum die Uhr, automatische Sys-tem-Updates, eine Reduzierungvon Administrations- und War-tungsaufwand sowie die Entlas-tung der internen Ressourcen.
Dienstleister auf dem neuesten StandEs gibt eine Vielzahl von Anbie-tern: Carrier, Application Ser-vice Provider, Outsourcer wieIBM oder HP und Dienstean-bieter wie Symantec oder Kas-persky. Alle haben sich aufunterschiedliche Bausteine spe-zialisiert. Eine große Begriffs-vielfalt für den ASP-Markt insge-samt sieht eco, der Verband derdeutschen Internetwirtschaft. Daheißt es nicht mehr wie frühereinfach Application Service Pro-
viding (ASP), sondern Softwareas a Service (SaaS), Web-basedServices oder Managed Ser-vices, obwohl das Problem dasgleiche geblieben sei.
Aber eine klare Abgrenzungder Dienstleister und ihrer Ange-bote wird dadurch schwierig, soeco, zumal jeder Anbieter seineneigenen Schwerpunkt in denVordergrund stellt.
Großer Leidensdruckbei E-Mail-SecurityIm Bereich E-Mail ist Hand-lungsbedarf besonders ange-sagt, sonst wird dieser Kommu-nikationsweg für Unternehmenüber kurz oder lang unbrauch-bar. Entsprechend des großenLeidensdrucks tummeln sichhier zahlreiche Anbieter wieKaspersky, Eleven, Symantecoder Messagelabs, die die ein-sowie ausgehende E-Mail-Kom-munikation des Kunden zu-nächst auf eigene Server umlei-ten, dort prüfen und bereinigtvon Schadsoftware und Spamzum Auftraggeber zurückliefern.
Damit wehren die Dienst-leister die Bedrohung der Mail-Infrastruktur des Auftraggebersab und können potenziell diegeschäftsrelevante E-Mail-
Security
AusgelagertManaged Security Services – Sicherheitaus fremder Hand
Viele kleine Unternehmen haben weder das Know-how
noch die personellen Ressourcen, um die steigenden
Anforderungen an die IT-Security umzusetzen – Grund
genug, über Managed Security Services nachzudenken.
VoIP-Anwendungen „tunneln“ Unternehmens-Firewalls
underground_8 schließt Sicherheitslücke „Skype“
Die VoIP-Anwendung Skype kann aufGrund ihrer technologischen Be-schaffenheit ein hohes Sicherheitsrisi-
ko für die IT-Infrastruktur von Unter-nehmen darstellen. Dabei wirken sichdie starken programminternen Sicher-heitsvorkehrungen negativ auf dieNutzung in Unternehmen aus. Mitar-beiter können via Skype vertraulicheInformationen unbemerkt Ausschleu-sen, während Angreifer die VoIP-Ver-bindung zum Einschleusen von Mali-cious Code nutzen. Mit den speziellenFunktionen des MF Security Gate-ways von underground_8 können IT-Administratoren der unerlaubtenNutzung von Skype wirksam einenRiegel vorschieben. Die Firewall Appli-
ance sperrt die Skype-Nutzung aufWunsch bereits am Gateway, demzentralen Zugang zwischen internemund externem Netzwerk, oderschränkt die Benutzung nur fürbestimmte Computer ein. Das Securi-ty Gateway erkennt, klassifiziert undblockt darüber hinaus alle Arten vonMessaging- und P2P-Programmen.
Mehr Informationen unter:www.underground8.com
Besuchen Sie uns auf der SYSTEMS 2008 (Halle 3B / Stand 328) und erfahren Sie wie Sie Ihr Unternehmen wirksamdurch Security Gateways von underground_8 schützen können.
Anzeige
ix1108_x_00_mit_Anz.indd 11ix1108_x_00_mit_Anz.indd 11 07.10.2008 11:46:52 Uhr07.10.2008 11:46:52 Uhr
XII iX extra 11/2008
Security
Kommunikation auch in Spit-zenlastzeiten sicherstellen. Ge-fährliche E-Mails erreichen dieunternehmenseigene IT-Infra-struktur erst gar nicht.
Selbstgestrickt war einmalAlle Anbieter versprechen eineeinfache Konfiguration durcheine Änderung des Mailserver-Eintrags im Domain Name Sys-tem (DNS). Eleven spricht zumBeispiel von einer Konfigurationbinnen zehn Minuten. Aucheine rechtskonforme Archivie-rung ist möglich. Darüber hin-aus verbessert sich die Qualitätder Spam-Filterung durch eineAuslagerung, da der Dienstleis-ter eine wesentlich größere E-Mail-Menge zu Analysezwe-cken zur Verfügung hat und da-durch ganz andere Zusammen-hänge herstellen kann.
„Managed Services, derenFlexibilität sowie die internet-weite Sicht bieten Vorteile, dieeinzelne Appliances nicht errei-chen können“, führte AlexanderPeters von MessageLabs aufeinem Konferenzvortrag aus. Ererwartet, dass sich der E-Mail-Security-Markt von reinen Soft-
ware-Lösungen hin zu ManagedServices entwickeln wird, wo-durch interne Lösungen „MarkeEigenbau“ künftig der Vergan-genheit angehören.
Wichtig ist jedoch, dassjedes Unternehmen den fürsich und seine Bedürfnissepassenden Dienstleister findet.Einen großen Stellenwert hatin diesem Zusammenhang dieDefinition (und Einhaltung) vonService Level Agreements, der
nach der Meinung der Exper-ton Group oft nicht genügendBeachtung geschenkt wird.Die Folge sind Missverständ-nisse zwischen Dienstleisterund Auftraggeber.
Auch sollte das Unterneh-men vor dem Outsourcing dasGefahrenpotenzial bewertenund einschätzen, wie hoch dieAbhängigkeit der Business-Pro-zesse von der IT-Infrastrukturist. Welche Systeme müssenbeispielsweise für dasAufrechterhalten der Produktionverfügbar sein?
Und Security Policies,grundlegende Sicherheits- undVerhaltensrichtlinien, sollte esgeben – hier besteht großerNachholbedarf. Nur knapp 19Prozent der Unternehmen be-sitzen eine komplette Beschrei-bung, die anderen begnügensich mit einer vagen schrift-lichen Aufzeichnung (26 %)oder informellen Regelungen(rund 25 %). Und die sind nurbei wenigen Mitarbeitern be-kannt: Nur 25 Prozent der on-line Befragten gaben an, dasswirklich alle Mitarbeiter die Si-cherheitsrichtlinien auch ken-nen. Das stellten die Autorender bereits zitierten Studie ITSecurity 2007 fest.
Outsourcing kann nur erfolg-reich sein, wenn ein Unterneh-
men im Vorfeld geklärt hat, wasder Dienstleister besser kannals die eigene IT. Geht es ledig-lich darum, nicht gelöste Pro-bleme an Dritte weiterzugeben,bekommt der Auftraggebernach der Erfahrung von Exper-ton in 75 Prozent der Fälle dieProbleme zurück, aber nicht dieLösungen.
Darüber hinaus sollte einUnternehmen auf einen ständi-gen Zugriff auf die Informatio-nen achten und genügendinternes Know-how behalten,um überhaupt beurteilen zukönnen, inwieweit der Anbieterdie vereinbarte Leistung er-bracht hat.
Insgesamt gilt es, die Ba-lance zu halten zwischen sinn-vollem Outsourcing und Teil-Outsourcing, ohne in eine sokritische Abhängigkeit vomDienstleister zu geraten, dasses kein Zurück im Rahmeneines „Insourcing“ mehrgeben kann. In besagter Studiehatte nur knapp die Hälfte derbereits outsourcenden Unter-nehmen ihre Verträge so ge-staltet, dass sie im Zweifelsfalldie Auftragsvergabe zurück-abwickeln können.
Barbara Langeist IT-Journalistin und Inhaberin
des Redaktionsbüroskurz&einfach in Lengede.
ANBIETER VON MANAGEDSECURITY SERVICES (AUSWAHL)
Anbieter WebadresseAntispameurope www.antispameurope.deBT Global Services www.btglobalservices.comEco, Verband der deutschen www.eco.deInternetwirtschaftEleven www.eleven.deExperton Group www.experton-group.deForrester Research www.forrester.comGetronics www.getronics.com/deIBM www.ibm.com/services/securityIntegralis Deutschland www.integralis.deInternet Security Systems www.iss.netKaspersky Lab www.kaspersky.deMessage Labs www.messagelabs.comSecure Works www.secureworks.comSolutionary www.solutionary.comSymantec www.symantec.deUnisys Deutschland www.unisys.deVerisign Deutschland www.verisign.de
Dass die Unbeliebtheit von Da-tensicherung mit ihrer Vernach-lässigung korreliert, ist eineweithin bekannte Tatsache.Dennoch bleibt diese Erkennt-nis viel zu oft folgenlos – bisdas sprichwörtliche Kind in den
Brunnen gefallen ist. Dabeihaben sich die Anbieter von Backup-Software in den letztenJahren wirklich Mühe gegeben,ihren Lösungen das Graue-Maus-Image zu nehmen. Esgeht um Begrifflichkeiten wie
Snapshots, Clones, Deduplizie-rung und CDP. Was dahinter-steckt und wer es anbietet, imnächsten iX extra.
Erscheinungstermin:20.11.08
In iX extra 12/2008: Storage – Backup-Software im Unternehmen
DIE WEITEREN IX EXTRAS:
Ausgabe Thema Erscheinungstermin
01/09 Networking Hosting-Provider – Kosten-Service-Analyse 18.12.08
02/09 Embedded Systems Industrie-PCs und ihre Betriebssysteme 22.01.09
03/09 IT-Security Identitätsmanagement in heterogenen Netzen 19.02.09
ix.1108.x.01-12 06.10.2008 12:29 Uhr Seite XII