Netzseitige Sicherheitsmaßnahmen

Das ZIV hat im Auftrag der WWU und des UKM seine Bemühungen intensiviert, die Gefährdung der Informationsverarbeitung, ihrer Verarbeitungsprozesse, IT-Systeme und Daten durch netzseitige Maßnahmen zu verringern. Netzseitige Maßnahmen erlauben es, das Gefährdungspotential in wichtigen Fällen und gezielt für wichtige Bereiche auch dann zu begrenzen, wenn lokale, organisatorische und sonstige Maßnahmen nicht ausreichend umgesetzt werden konnten. In bestimmten Fällen können auch nur netzseitige Maßnahmen Schutz bieten, beispielsweise bei der Abwehr bestimmter Denial-of-Service(DoS)-Angriffe. Das ZIV berät Interessenten gerne über die Möglichkeiten der Strukturierung und Absicherung ihrer Netzbereiche. [Stand: 05.03.2010]

  • Grundstrukturen für netzseitige Sicherheitsmaßnahmen

    Grundgedanke des Systems der netzseitigen Sicherheitsmaßnahmen ist die »Einbettung von Sicherheitsfunktionen in ein strukturiertes Netz«. Grundelemente sind hierbei

    • ein strukturiertes Netz mit Netzzonen, die den Kommunikations- und Sicherheitsbedürfnissen der Teilnehmersysteme mit ihren Anwendungen und Daten entsprechen.
    • Hierarchisierung der Netzzonen: Erlaubt übergeordnete Netzzonen, auch mehrstufig, zu bilden. Gesamtheiten von Netzzonen können so entsprechend den Bedürfnissen ganzheitlich gegenüber anderen übergeordneten Netzzonen sicherheitstechnisch definiert und betrieben werden. Eine solche Strukturierung entspricht den vorhandenen IV-Strukturen, die häufig auch vielstufig ausgeprägt sind.
    • die Einbettung von Sicherheitsfunktionen in das Netz: Es sollte längst ohne Frage Allgemeingut sein, dass »die Firewall« im Sinne eines »Border Defense Gateway am Netz-Perimeter« für größere Netzen als alleinige netzseitige Maßnahmen ziemlich unzureichend ist. Vielmehr sind alle netzseitigen Sicherheitsmaßnahmen möglichst überall dort im Netz, wo eine sicherheitstechnische Abgrenzung eines informationsverarbeitenden Bereiches gegenüber anderen Bereichen erwünscht scheint, zu integrieren. Damit werden Verbände von Netzzonen aufgebaut, die nicht nur nach außen geschützt sind, sondern denen auch für überschaubare Bereiche innerhalb eines Zonenverbundes gleichermaßen Sicherheitsfunktionen bereitgestellt werden können.

    Die Herausforderung an die IV- und Netzplaner besteht nun darin, unter Maßgabe der technischen Möglichkeiten und der verfügbaren finanziellen und personellen Ressourcen eine optimierte Struktur aus Netzzonen mit Sicherheitsfunktionen an Übergängen aufzubauen.

  • Sicherheitsfunktionen im Netz

    Netzseitig können hier folgende Sicherheitsfunktionen eingesetzt werden:

    • Stateless-Packet-Screening, insbesondere auf den Layer-3-Switches (Routern), kontrolliert die Konnektivität im Wesentlichen auf der Basis von Kommunikationsquellen und -zielen (IP-Adressen und logische Interfaces von Routern) sowie bestimmter höherer Protokollmerkmale (Anwendungsprotokolltypen, d. h. z. B. TCP-/UDP-Ports, und einige weitere Protokollelemente). Diese Methode bietet sich kostengünstig und hochperformant überall dort an, wo die mit Zugangskontrolllisten in Routern (ACLs, Access Control Lists) erreichbare Grundsicherheit ausreichend ist oder wo hoher Durchsatz als vorrangig betrachtet werden muss.
    • Firewalls im Sinne eines Stateful-Packet-Screening unter Berücksichtigung port-agiler Protokolle (wie z. B. FTP, SIP, H.323). Die Möglichkeiten sind hier sicherheitstechnisch den Möglichkeiten der ACLs deutlich überlegen, da die Blockierung unerwünschter Konnektivität sitzungsbezogen (Flow-basiert) ist. Auch sind die Möglichkeiten des Reportings wesentlich umfangreicher und detaillierter. Nachteil solcher Firewalls sind die vergleichsweise geringen Durchsatzmöglichkeiten, die weit hinter den Möglichkeiten von ACLs zurückbleiben. Deshalb können solche Systeme nur dann eingesetzt werden, wenn die Durchsatzbeschränkungen unkritisch sind oder wenn die Erhöhung der Sicherheit gegenüber den ACL-basierten Funktionen Vorrang hat vor der Performance.
    • Application-Gateways oder Application-Proxies können auf der Ebene von Anwendungsprotokollen und unter Berücksichtigung der Inhalte für besondere Sicherheitsfunktionalitäten sorgen (z. B. Mail-Relays bzw. SMTP-Gateways mit Virenschutzfunktionen oder entsprechende Systeme für HTTP, d. h. Web-Proxies, FTP usw.; auch Terminal-Server können hier eine ausgezeichnete Funktion als Übergangsmöglichkeit in fremde Netzbereiche einnehmen).
    • Intrusion-Detection- und -Prevention-Systeme (IPS) analysieren Datenströme und können Dateneinheiten oder Flows aufgrund bestimmter maliziöser Datenmuster (Signaturen), Verhaltensanomalien oder Kombinationen beider Merkmale automatisch erkennen und blockieren. Damit können Angriffe abgewehrt werden, die zum Teil über hostbasierte Abwehrmöglichkeiten hinausgehen; die Abwehr kann häufig frühzeitiger erfolgen, d. h. insbesondere bevor weite Infrastrukturbereiche in Mitleidenschaft gezogen wurden. Sogenannte Zero-Day-Attacken, also bisher unbekannte Angriffstypen, können oft erkannt und abgewehrt werden. Auch können Denial-of-Service-Angriffe, die von den betroffenen Systemen kaum selbst beherrscht werden können, abgewehrt werden.
    • Sicherer Zugang zu Netzzonen durch verschlüsselte Tunnel mit Hilfe der VPN-Technologie ermöglicht den kontrollierten Zugang (authentifiziert, unter Autorisierungsüberwachung) zu Ressourcen auch in geschützten Bereichen.