Mobilität erfordert neue Strategien für Netzwerk-Zugriffsicherheit

Der Zugriff zum Netzwerk muss sicher sein, auch wenn zunehmend BYOD, Heimarbeit oder mobile Endgeräte im Einsatz sind.

Traditionelle Sicherheitsmaßnahmen wie VPN, Intrusion Prevention und Antiviren-Software reichen nicht mehr aus,...

wenn es darum geht, privaten Mobilgeräten von Mitarbeitern Netzwerk-Zugriff zu gewähren: Um solche neuen Zugriffsarten zu bewältigen, müssen die Komponenten des gesamten Netzwerks ein gewisses Maß an Sicherheitsbewusstsein bekommen.

Die wichtigsten Geräte-Anbieter haben allesamt die dringende Notwendigkeit erkannt, sich diesen neuen Herausforderungen zu stellen. Dies alles geschieht vor dem Hintergrund, dass Mitarbeiter mehr und mehr dazu übergehen, außerhalb ihrer physischen Büros zu arbeiten. Deshalb benötigen sie Zugriff auf Anwendungen unabhängig von ihrem aktuellen Aufenthaltsort.

Aktuelle Security-Angebote enthalten eine Kombination von lokaler und Remote-Sicherheit, um so einen vereinheitlichten Zugriff – auch Unified Access genannt – zu realisieren. Dies soll helfen, die administrative Arbeit zu verringern. Der Zugriff auf Anwendungen und Daten erfolgt dabei auf Basis der Identität und der Rolle der Person, ihrem Aufenthaltsort und anderer Faktoren. Ergänzend können Netzwerk-Administratoren Richtlinien für den Zugriff definieren. Diese Policies gelten für das gesamte Netzwerk, inklusive interner LANs, WLANs, Remote WiFi-Hotspots und Mobilfunknetze.

Die Hersteller bieten eine Vielzahl von Authentifizierungsmethoden an, wie zum Beispiel IEEE 802.1X, Authentifizierung anhand der MAC-Adresse oder auch die web-basierte Technik WebAuth. Alle haben jedoch gemein, dass Sie gewöhnlich mit RADIUS verwendet werden. Sobald der Benutzer authentifiziert wurde, erhält er den Zugriff – gemäß der Policy, die der Netzwerk-Administrator festgelegt hat. Diese Policies können in LDAP oder einem anderen Verzeichnis hinterlegt sein.

Network Access Security für WLAN-Geräte

Es gibt Fälle, in denen eine Policy Einschränkungen hinsichtlich des Aufenthaltsortes des Benutzers enthält. Hier kann Sicherheitssoftware für Unternehmen die GPS-Funktionalität von Mobilgeräten oder die Identität des genutzten 802.11-Access-Points (AP) dazu verwenden, den Aufenthaltsort zu bestimmen und – falls nötig – den Zugriff zu sperren.

Ein weiteres Problem, mit dem sich die Anbieter befasst haben, besteht darin, dass ein mit einem Keylogger infiziertes Gerät Zugangsdaten mitschneiden kann. Dadurch können unberechtigte Benutzer im Netzwerk dasselbe Zugriffsniveau erlangen wie der Besitzer des infizierten Gerätes.

Inzwischen sind Software-Pakete für jedes mobile Betriebssystem und jeglichen Gerätetyp verfügbar. Diese Pakete werden auf das Gerät geladen und enthalten eine Antivirus-Software, die automatisch aktualisiert wird. So wird ein Schutz gegen die jeweils neuesten Bedrohungsarten erreicht. Sie überprüfen außerdem, ob die Mobil-Applikationen den aktuellen Versions- und Patch-Stand aufweisen. VPN-Software verschlüsselt zudem Daten, die in das Unternehmensnetzwerk übertragen werden.

Mobilgeräte, die das 802.11-Netzwerk von innerhalb des Unternehmens nutzen, bergen dieselben Gefahren, die auch für den Remote-Zugriff gelten. So betrachtet, bietet Sicherheitssoftware also Schutz innen wie außen.

Auch die internen 802.11-Netzwerke bieten Angriffspunkte. Die Schwächen von WEP und WPA sind weithin bekannt. Daher wurden die meisten Netzwerke inzwischen auf WPA2 umgestellt. Diese Vorgehensweise senkt die Wahrscheinlichkeit, dass ein Hacker sich mittels Knacken der Verschlüsselung Zugriff verschafft.

Zugriffspunkte erkennen jeweils andere Zugriffspunkte bzw. Geräte von Mitarbeitern, die zum Aufbau eines privaten Netzwerks eingeführt wurden, und melden diese weiter. Zudem haben manche Anbieter ein Funkfrequenz-Management für Zugriffspunkte eingeführt. Dadurch soll das Risiko verringert werden, dass sich Signale jenseits der Gebäudewände ausbreiten.

Mehr Intelligenz in den Switches sichert Netzwerk-Zugriffe ab

Switches wiederum werden zunehmend um einen Schutz gegen Eindringlinge erweitert, die bereits Zugriff auf das interne Netzwerk erlangt haben. So kann zum Beispiel ein unautorisiertes Gerät versuchen, die Switches mit MAC-Adressen zu überfluten, was zum Überlaufen der MAC-Tabellen führt. Die Switches würden diesen Traffic dann über alle Ports leiten, und der daraus resultierende Anstieg an Traffic schließlich das Netzwerk lahmlegen. Um eine Verwundbarkeit an dieser Stelle zu umgehen, können neuere Switches MAC-Adressen verwerfen und so einen Überlauf verhindern.

Switch-Anbieter haben Ihre Geräte außerdem mit der Fähigkeit ausgestattet, einen DHCP-Serverangriff zu erkennen. Bei diesem kann es sich um einen Eindringling oder um einen Fehler in der Software-Konfiguration handeln. Mittels Angriff auf den DHCP-Server kann zugelassenen Geräten eine falsche DNS-Serveradresse geschickt werden. Anschließend leitet der DNS-Server ihren Traffic auf eine Website, die Benutzernamen und Kennwörter ausliest. Switches können auch ARP-Requests überwachen und Geräte erkennen, welche an andere Geräte gerichtete Requests beantworten.

Eine Layer-2-Verschlüsselung kann mithilfe von IEEE 802.1AE (MACsec) so konfiguriert werden, dass sensible Daten, die zwischen den Switches fließen, geschützt sind. Durch Verschlüsselung auf Layer 2 statt mittels IPsec können zwischgeschaltete Firewalls und IPS-Geräte die Pakete entschlüsseln. Die Inhalte werden überprüft, wieder verschlüsselt und können ihren Weg durch das Netzwerk fortsetzen.

Vorausschauend haben die Sicherheitsanbieter versucht, die Angriffsfläche für Sicherheitsbedrohungen zu reduzieren, indem sie umfangreiche Funktionalität in die Netzwerk-Komponenten gepackt haben. Trotzdem: Für einen hundertprozentigen Schutz gibt es keinerlei Garantie. Die Geräte- und Netzwerk-Sicherheit muss fortwährend konsequent weiterentwickelt werden, weil sich auch die Techniken der Hacker stetig weiterentwickeln. Nur so kann mittels Network Security ein Schutz vor Risiken aus allen möglichen Richtungen gewährleistet werden.

Über den Autor: David B. Jacobs von The Jacobs Group hat mehr als zwanzig Jahre Erfahrung in der Netzwerk-Branche. Er hat richtungsweisende Software-Entwicklungsprojekte geleitet und Unternehmen aus dem Kreis der Fortune 500 ebenso beraten wie kleinere Software-Startups.

Artikel wurde zuletzt im März 2012 aktualisiert

Pro+

Premium-Inhalte

Weitere Pro+ Premium-Inhalte und andere Mitglieder-Angebote, finden Sie hier.

Erfahren Sie mehr über WLAN-Sicherheit

Diskussion starten

Schicken Sie mir eine Nachricht bei Kommentaren anderer Mitglieder.

Mit dem Absenden dieser Daten erklären Sie sich bereit, E-Mails von TechTarget und seinen Partnern zu erhalten. Wenn Ihr Wohnsitz außerhalb der Vereinigten Staaten ist, geben Sie uns hiermit Ihre Erlaubnis, Ihre persönlichen Daten zu übertragen und in den Vereinigten Staaten zu verarbeiten. Datenschutz

Bitte erstellen Sie einen Usernamen, um einen Kommentar abzugeben.

- GOOGLE-ANZEIGEN

SearchSecurity.de

SearchStorage.de

SearchDataCenter.de

SearchEnterpriseSoftware.de

Close