Von Antivirus bis VPN: Die wichtigsten Security-Komponenten von UTM-Appliances

Die Funktionen von Unified Threat Management unterscheiden sich von Produkt zu Produkt. Diese acht Komponenten dürfen in keiner UTM-Appliance fehlen.

Eine UTM-Appliance (Unified Threat Management) setzt diverse Mechanismen zur Erkennung und Prävention bösartiger...

Aktivitäten ein. Die genaue Kombination dieser Fähigkeiten und Komponenten variiert allerdings von Produkt zu Produkt. Zu den wichtigsten sicherheitsrelevanten Komponenten, die Sie in den meisten UTM-Appliances finden, gehören aber auf jeden Fall:

  • Antispam,
  • Antivirus für Internet und E-Mail,
  • Anwendungs- und Applikations-Kontrolle,
  • Einbruchs-Prävention (Intrusion Prevention),
  • Virtual Private Network (VPN),
  • Filtern von Web-Inhalten.

Einige UTM-Appliances bringen neben diesen Kernkomponenten noch weitere Security-Funktionen mit sich. Dazu zählen zum Beispiel Load Balancing, Data Loss Prevention (DLP) und Bandbreitenmanagement.

Sehen wir uns die sicherheitsrelevanten Kernkomponenten der UTM-Appliances einzeln und etwas genauer an. Wie bereits erwähnt kann die Unterstützung der einzelnen Security-Funktionen von einer UTM-Appliance zur nächsten große Unterschiede aufweisen. So gibt es zum Beispiel Produkte, die nur eine grundlegende Filterfunktion für Web-Inhalte zur Verfügung stellen. Damit ist die Überprüfung von URLs auf schädliche Inhalte gemeint. Andere Geräte tauchen tiefer in die Materie ein und verwenden Reputatation Services und fortgeschrittene Analysetechniken, um gute von bösartigen Webseiten auszufiltern.

Antispam kann auch vor Social Engineering schützen

Heutzutage dürfte eigentlich jeder mit Antispam-Technologien vertraut seien. Allerdings werden viele nicht wissen, dass effiziente Antispam-Software auch eingehende, auf E-Mails basierende Angriffe stoppen kann. Viele Spam-Nachrichten werden mit böswilligem Hintergrund verschickt und versuchen den Anwender zum Beispiel zu täuschen, damit dieser sensible und persönliche Daten herausgibt. Beispielsweise Passwörter, PINs, Kreditkarten-Nummern und so weiter. Cyberkriminelle setzen hierzu oft auf Social Engineering. Da gerade Social Engineering inzwischen für einen Großteil der System-Einbrüche und Identitäts-Diebstähle verantwortlich ist, müssen Security-Systeme so viele dieser schädlichen Spam-E-Mails wie möglich blockieren. Erreichen diese den Anwender erst gar nicht, kann er auch nicht darauf hereinfallen. Zumindest sollte der Antispam-Mechanismus die Nachrichten als Spam markieren und in einem separaten Ordner ablegen. Der Anwender geht dann von vornherein misstrauischer an die Sache heran. Antispam ist zudem eine effiziente Möglichkeit, wenn es um das Blockieren von intern auf kompromittierten Desktops oder Notebooks generierten Spam-Nachrichten geht, die dann gerade nicht aus dem Netzwerk des Unternehmens gesendet werden können.

Antivirus für Web und E-Mail gehört zu den grundlegenden Security-Komponenten

Antiviren-Produkte gehören zu den ältesten Security-Technologien und auch UTM-Tools bringen in der Regel Scanning-Möglichkeiten mit sich, die nach Malware suchen. Das gilt sowohl für E-Mail-Verkehr als auch für den Traffic von Webanwendungen. In manchen Fällen werden auch andere Netzwerkanwendungen überprüft, über die gerne Malware verbreitet wird, wie beispielsweise Instant Messaging. Antiviren-Software ist allerdings nicht mehr so effizient wie früher, da Malware inzwischen sehr viel gezielter und maßgeschneiderter eingesetzt wird. Antiviren-Software basiert in erster Linie auf Signaturen, anhand derer bereits bekannte Malware erkannt und blockiert werden kann. Trotz ihrer schwächer werdenden Bedeutung gehört Anti-Viren-Software noch immer zu den absolut notwendigen Security-Komponenten von UTM-Appliances, weil sich damit immer noch eine beachtliche Anzahl von Angriffen abwehren lassen.

Applikations- Kontrolle schränkt den Zugriff auf Anwendungen ein

Wie der Name schon vermuten lässt, handelt es sich bei dieser Security-Komponente um die Kontrolle darüber, welche Applikationen dem Anwender zur Verfügung stehen. Dabei kann zum Beispiel auch ein sogenanntes Whitelisting von Applikationen mit im Spiel sein, mit dem Sie bestimmen können, welche 

Anwendungen genutzt werden dürfen und welche nicht. Möglich wären auch feiner abgestimmte Einschränkungen, etwa wie häufig oder wann eine Applikation verwendet werden darf. So wird Anwendern beispielsweise nur zu einer bestimmten Tageszeit oder an bestimmten Wochentagen Zugriff auf ausgewählte Programme gewährt. Leistungsfähige Anwendungskontrolle kann auch eine Verschleierung erkennen, wenn Anwendungen zum Beispiel über einen alternativen Port laufen oder mit einem unterschiedlichen Protokoll betrieben werden.

Applikations-Kontrolle wird für die Netzwerk-Security immer wichtiger. Software wird immer Fehler enthalten, die potenziell zu großen Sicherheitslücken führen können und so Exploits und Kompromittierung Tür und Tor öffnet. Applikations-Kontrolle hilft Unternehmen dabei, die Installation und Nutzung diverser Anwendungen zu bestimmen oder zu untersagen. Damit lässt sich die Angriffsfläche drastisch reduzieren.

Firewall als grundlegendes Fundament der Netzwerk-Security

Die Firewall ist das Fundament der kompletten Netzwerk-Security, mit der Sie die erlaubten Verbindungen zwischen den Hosts kontrollieren. Genau wie bei Antiviren-Software gilt aber auch für Firewalls, dass sie nicht mehr so effizient wie früher vor Angriffen schützen. Früher kam ein beachtlicher Prozentsatz der Angriffe durch eine unautorisierte Netzwerkverbindung zustande, das ist heute nicht mehr in dem Ausmaß der Fall. Trotzdem sind Firewalls auch heute noch unverzichtbar, vor allen Dingen für Hosts, auf denen sensible Informationen liegen. Ein gutes Beispiel wären Datenbank-Server. Auch wenn Unternehmen keinen großen Aufwand für ihre Unternehmenssicherheit betreiben: Mit wenigen Ausnahmen wird immer eine Firewall benötigt.

Intrusion Prevention und Intrusion Detection als wichtige UTM-Komponenten

Intrusion Prevention oder Intrusion Detection kommen zum Einsatz, um Angriffe auf die eigene Unternehmens-IT zu verhindern oder im Fall der Fälle zumindest identifizieren zu können. Man verwendet sie, um bestimmten Arten von Angriffen zu identifizieren und zu blockieren, die andere UTM-Komponenten nicht adressieren können. Wie genau diese Technologien eingesetzt werden variiert teilweise enorm. Die effizientesten Systeme verwenden eine Kombination aus diversen Methoden, dazu gehört zum Beispiel die Erkennung von Angriffen auf Basis von Signaturen, Anomalien und Reputation. Auf diese Weise kann Intrusion Prevention im Idealfall sowohl bekannte als auch unbekannte Angriffe stoppen. Gerade letzteres schließt eine wichtige Lücke in den Security-Funktionen von Unified Threat Management.

VPN-Verbindungen ermöglichen sichere Mobility-Strategie

Ein Virtual Private Network (VPN) hat in UTM-Appliances einen gewissen Sonderstatus inne. Es geht bei dieser Technologie nicht darum, Einbrüche zu erkennen und zu blockieren. Stattdessen schützt ein VPN das Unternehmensnetzwerk vor Lauschangriffen oder unautorisierten Manipulationen. Ein VPN stellt einen gesicherten Tunnel zur Verfügung, durch den der Netzwerk-Traffic fließt. VPN wird vor allem deshalb immer wichtiger, weil in Unternehmen immer mehr mobile Endgeräte wie Notebooks, Tablets oder Smartphones zum Einsatz kommen und häufig unsichere oder schlecht gesicherte externe Netzwerke nutzen. Ein VPN liefert dann den nötigen Schutz, diese Netzwerke sicher nutzen zu können. Eine VPN-Verbindung lässt sich auch so konfigurieren, dass sämtlicher Traffic der mobilen Anwender durch die UTM-Appliances getunnelt wird. Der mobile Netzwerk-Datenverkehr durchläuft dann die gleichen Security-Checks wie alle anderen Geräte. Auf diese Weise lassen sich die Security-Vorfälle bei mobilen Endgeräten deutlich reduzieren.

Content-Filter sperrt unliebsame oder schädliche Webseiten

Ursprünglich war die Content-Filterung im Internet eine einfache Technologie, die Zugriffe auf gewisse Webseiten gesperrt hat. Bestimmte Seiten sind damit für Anwender einfach nicht erreichbar. Seit ihren Anfängen wurde diese Technologie aber stark erweitert und so setzt man heute eine ganze Reihe von Methoden ein um zu bestimmen, ob ein Web Request erlaubt oder verboten werden soll. Ein Beispiel wäre der Rückgriff auf die Reputation von guten oder eben schädlichen Webseiten. Zusätzlich gibt es weitere Analyse-Möglichkeiten um herauszufinden, ob Webseiten ernstzunehmende Sicherheitsprobleme haben oder bereits kompromittiert sind. In welchem Ausmaß Ihr Unternehmen eine Content-Filterung benötigt hängt wahrscheinlich von den entsprechenden Security-Policies für Web-Zugriffe ab. So ist es zum Beispiel auch nicht unüblich, bestimmte Seiten als unangemessen zu markieren und zu sperren, obwohl diese an sich gar kein Sicherheitsrisiko darstellen.

Unified Threat Management gehört in den Bereich unternehmenskritischer IT-Infrastruktur

UTM-Appliances dienen der Netzwerksicherheit. Deshalb sind sie als primäre technische Architektur einzustufen, die aus einer oder mehreren Appliances oder Servern besteht. In der Regel platziert man die Geräte an Schlüsselpunkten innerhalb des Netzwerkperimeters. Dazu gehören äußere Kommunikationsschnittstellen, die eine Verbindung mit dem internen Netzwerk der Firma ermöglichen. In größeren Unternehmen findet man UTM-Appliances auch oft zwischen den einzelnen Sektionen, Bereichen und so weiter. Unterm Strich lässt sich sagen, dass UTMs an den Grenzbereichen des Netzwerks am effizientesten sind. Das sind die Bereiche, an denen verschiedene Netzwerkschichten mit unterschiedlichen Vertrauensniveaus oder Security-Policies aufeinander treffen.

Weil jedes UTM-Gerät (Appliance oder Server) so eine entscheidende Rolle in Bezug auf die Netzwerksicherheit spielt, ist hier auch eine redundante Architektur so unglaublich wichtig. Eine UTM stellt Firewalling und andere sicherheitsrelevante Kernfunktionen zur Verfügung. Ein Ausfall der UTM würde daher dazu führen, dass der Netzwerk-Traffic an dieser Stelle nicht mehr weitergeleitet wird. Experten raten Unternehmen seit vielen Jahren, an Schlüsselpunkten redundante Firewalls zu implementieren. Noch wichtiger sind inzwischen aber redundante UTMs an diesen Punkten. Vergessen Sie die UTMs auch nicht in Ihrer Disaster-Recovery-Planung. So genannte Hot Sites und andere alternative Standorte müssen ausreichend geschützt sein, sollte der Betrieb im Falle eines Desasters von diesen Stellen aus geführt werden müssen.

Über die Autorin:

Karen Scarfone ist leitende Cybersecurity-Expertin bei Tapestry Technologies und leitende Beraterin bei Scarfone Cybersecurity. Sie berät Kunden im Bereich Cybersecurity und ist auf Netzwerk- und Security-Richtlinien spezialisiert. Scarfone war früher leitende Wissenschaftlerin des National Institutes of Standards and Technology (NIST) und betreute dabei die Publikationen zur Netzwerk- und Systemsicherheit für öffentliche Einrichtungen.

Folgen Sie SearchNetworking.de auch auf Facebook, Twitter und Google+!

Artikel wurde zuletzt im Juli 2014 aktualisiert

Pro+

Premium-Inhalte

Weitere Pro+ Premium-Inhalte und andere Mitglieder-Angebote, finden Sie hier.

Erfahren Sie mehr über Netzwerk-Security-Monitoring

0 Kommentare

Älteste Beiträge 

Passwort vergessen?

Kein Problem! Tragen Sie Ihre E-Mail-Adresse unten ein. Wir werden Ihnen eine E-Mail mit Ihrem Passwort schicken.

Ihr Passwort wurde an die folgende E-Mail-Adresse gesendet::

- GOOGLE-ANZEIGEN

SearchSecurity.de

SearchStorage.de

SearchDataCenter.de

SearchEnterpriseSoftware.de

Close