14.01.2008 | Autor / Redakteur: Gregor Gold / Stephan Augsten
Für einen wirksamen Schutz gegen internen Datenmissbrauch muss das Netzwerk-Verhalten aller Mitarbeiter vollständig transparent gemacht werden. Wirkungsvoller und wirtschaftlicher als oft eingesetzte Intrusion Detection Systeme ist die Überwachung des gesamten Netzes mittels Simple Network Management Protokoll und Syslog.
Eine zufriedenstellende oder gar optimale Situation beim Schutz vor Insider Threats herrscht nicht einmal in jedem vierten Unternehmen. Zudem erachten nach einer Erhebung des Security-Spezialisten Comco AG mehr als die Hälfte der Mittelstands- und Großunternehmen es als „sehr schwierig“, potenzielle Bedrohungen wirksam zu unterbinden.
„Der Blick war zu lange ausschließlich auf mögliche Bedrohungen durch die Außenwelt beschränkt“, beanstandet der Comco-Vorstandsvorsitzende Udo Kalinna die Defizite. Dabei sei das Thema Wirtschaftskriminalität keineswegs neu, sondern nur vernachlässigt worden.
In der Regel basieren interne Netzwerkangriffe auf Manipulationen der IP-basierten Kommunikation in lokalen bzw. unternehmensweiten Netzen. Die Angriffe richten sich je nach Art und Methode gegen vermittelnde Komponenten wie Switches und Router oder direkt gegen Endgeräte.
Um Angriffe ausführen zu können, werden Adressen von Netzwerkkomponenten verändert und Adresseinträge manipuliert. Zudem werden Funktionen vermittelnder Systeme außer Kraft gesetzt oder zusätzliche vermittelnde Systeme vorgetäuscht, um Datenströme zu sniffen, Passwörter auszuspionieren oder Dienste zu blockieren.
Die Besonderheit interner Angriffe liegt in der komplexen Kommunikationsmatrix lokaler Netzwerke. Während Internet-Schnittstellen meist über eine oder mehrere Firewalls realisiert werden, sind die Kommunikationspfade lokaler Netze weitaus vielfältiger, komplexer und performanter. Gleiches gilt für Intrusion Detection Systeme (IDS), deren Einsatz aber nur einen einzigen Kommunikationspfad absichert.
Oft sind redundante Verbindungen oder engmaschige Infrastrukturen zu berücksichtigen, deren Design verschiedene sowie dynamische Kommunikationspfade ermöglicht. Das erschwert eine Paketanalyse. Darüber hinaus sind in lokalen Netzen zusätzliche Protokolle zu berücksichtigen, die dem Infrastruktur-Management dienen.
In der Regel schützen Unternehmen ihr Netzwerk mit diversen Lösungen wie Firewalls oder um UTM-Lösungen (Unified Threat Management) vor externen Angriffen. Diese filtern den kompletten Netzwerkverkehr nach schädlichen, unnützen oder unerwünschten Inhalten und Mustern.
Auf diese Weise kommen nur regelkonforme Datenpakete in die Unternehmensnetze. „Für diese Sicherheitslösungen an den Netzübergängen befindet sich die interne Kommunikation quasi im toten Winkel, da nur entdeckt und abgewehrt werden kann, was über sie läuft“, problematisiert Kalinna.
Im Prinzip entsprechen die Funktionen solcher Security-Systeme denen, die IDS innerhalb von Netzwerken ausüben. IDS soll aus allen stattfindenden Ereignissen diejenigen herausfiltern, die auf Einbruchsversuche, missbräuchliches Verhalten oder Regelverstöße hindeuten.
IDS-Lösungen gewährleisten wie Firewalls einen Schutz vor Angriffen, indem sie –beschränkt auf die interne Situation – den Netzwerkverkehr auf allen Schichten nach bestimmten Angriffsmustern bzw. Anomalien durchfiltern. Dabei sind sie auf host- bzw. netzwerk-basierende Sensoren angewiesen, die an allen relevanten Punkten im Netzwerk installiert sind.
In den meisten Fällen erfolgt die Angriffsdefinition durch Abgleich mit vorab definierten Angriffsmustern. Dieser Ansatz erfordert jedoch, praktisch alle Angriffsvarianten in jeglicher Modifikation für den Abgleich verfügbar zu halten.
Sicherheitsmanager befinden sich bei IDS in einem Abwägungskonflikt: IDS müssen mit erheblicher Rechenleistung ausgestattet sein, um tatsächlich alle ankommenden Datenpakete aufnehmen und durchfiltern zu können. Moderne Unternehmensnetze mit hoher Bandbreite überfordern deshalb oft die heute verfügbaren IDS-Sensoren, sodass kein umfassender Schutz gewährleistet ist.
Hinzu kommt die spürbare Belastung der Netzperformance bei lückenloser Sensorüberwachung. Außerdem sorgt die Kommunikation der IDS-Komponenten untereinander für zusätzlichen Traffic – bei hohen Security-Anforderungen kann dies zumindest in Teilbereichen ein Redesign des Unternehmensnetzes erforderlich machen.
Die Kosten dafür addieren sich dann mit dem finanziellen Aufwand für die Anschaffung aller erforderlichen IDS-Komponenten sowie der Administration und Wartung. Trotzdem werde in aller Regel kein Schutz vor noch nicht bekannten Angriffsarten geschaffen, verweist der Security-Spezialist Kalinna auf eine wesentliche Schwäche von IDS.
Ein anderer Lösungsansatz können intelligente Schutzmechanismen in Netzwerkkomponenten sein, die Manipulationen an den Adressbeständen erkennen und melden. Dies ist sinnvoll und würde einen Basis-Schutz an jedem verfügbaren Port bieten.
Allerdings existieren für solche Schutzmechanismen noch keine Standards – und führende Hersteller haben noch keine miteinander kompatiblen Lösungen entwickelt. Darüber hinaus verlangt dieser Ansatz ein umfassendes Security Management, das die gesamte Infrastruktur herstellerübergreifend verwalten kann.
Einen alternativen Lösungsansatz stellt die Verwendung des Simple Network Management Protokolls (SNMP) und Syslog dar. SNMP und Syslog sind in fast allen Netzwerken aufgrund ihrer Verwendung in Netz- und System-Management-Lösungen bereits aktiv.
Nahezu alle LAN-Komponenten (Switches, Router) verfügen über diese Technik und können somit flächendeckend zum Überwachen jedes Netzwerk-Ports genutzt werden. Darüber hinaus lassen sich Komponenten wie Firewalls, IDS, IPS, Server und ggf. PCs in die Überwachung beliebiger SNMP-Parameter oder Syslog-Meldungen einbinden.
Somit kann die Angriffsüberwachung jegliche kommunizierenden Komponenten einbeziehen. Dies gilt auch für neue Technologien wie Wireless LAN (WLAN) und Voice over Internet Protocol (VoIP), die zusätzliche, teils unbekannte Angriffspotenziale bergen. Denn alle Geräte lassen sich inventarisieren und anhand ihrer Adressparameter und zugehörigen Switchports lokalisieren. Dadurch lassen sich Adressmanipulationen beispielsweise durch ARP-Poisoning, IP-Spoofing etc. erkennen und Angreifer vom Netzwerk trennen, bevor sie Schaden anrichten.
Einen solchen Ansatz verfolgt etwa die Lösung „Intraprotector“ der Comco AG, die ein übergreifendes Security Management System darstellt. Intraprotector wird an einem Port des lokalen Netzwerks angeschlossen und überprüft ARP-Caches und Forwarding-Tabellen der Infrastruktur mittels SNMP-Abfragen.
Als Sensoren werden in der Regel Switche, Router und Server eingesetzt. Adressmanipulationen wie beim ARP-Poisoning und ARP- oder MAC-Spoofing werden unmittelbar nach Abfrage der Sensoren erkannt. Die Datenbank des Systems speichert Informationen über alle kommunizierenden Teilnehmer des Netzwerks. Somit können umfassende Informationen für Inventory- und Asset Management zur Verfügung gestellt werden.
Zusätzlich bietet das System Abfragemöglichkeiten für sämtliche Parameter von Systemen wie Server, PCs, Switches, Router, Firewalls und IDS/IPS. Weitere Informationen erhalten Sie auf der Intraprotector-Produktpage des Netzwerksicherheit-Herstellers Comco.
Gregor Gold ist freier Fachjournalist für IT- und Wirtschaftsthemen.
Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 2010053)
