addthis

Donnerstag, 26. Januar 2012

Systemsicherheit


System- und Plattformsicherheit

Pietro Scherer

Kleine und mittelständische Unternehmen müssen sich gegen dieselben Bedrohungen verteidigen wie ein Großkonzern. Punktuelle Schutzverfahren reichen gegen mittlerweile sehr ausgereifte und vielschichtige Attacken nicht mehr aus. Vielmehr bedarf es eines ganzheitlichen Ansatzes bei der
System- und Plattformsicherheit. Welche Aspekte dabei von Bedeutung sind, zeigt dieser Artikel.
Das Spektrum an abzusichernden Endgeräten in Unternehmen reicht vom Desktop über Laptops und Tablet PCs bis hin zu Smartphones, auf denen mittlerweile eine Fülle an Daten gespeichert ist, die sensibel sein können. Außerdem sind gerade mobile Geräte, die zum Beispiel an ungesicherten Hotspots eingesetzt werden, die schwächsten Glieder der Unternehmenssicherheit.

Grundlegende Sicherheitsanforderungen
Folgende grundlegenden Sicherheitsfunktionen für Endgeräte, die Online-Bedrohungen nur in begrenztem Maße ausgesetzt sind, sollten in jedem Fall vorhanden sein:

- Anti-Virus
- Spyware-Schutz
- Sicheres Surfen
- Anti-Spam
- Gerätekontrolle
- Verwaltung vor Ort

Zusätzliche Absicherungsverfahren sind nötig für den Schutz mobiler Systeme, wenn diese vom Netzwerk getrennt sind und auch, wenn sie später wieder angeschlossen werden:

- Desktop-Firewall
- Inhaltsfilterung
- Website-Blockierung
- Desktop Host Intrusion Prevention
- Richtlinienkontrolle
- Netzwerkzugriffssteuerung


Eine effektive End Point-Protection bietet außerdem einen grundlegenden
E-Mail- und Web-Schutz. Auch mobile Mitarbeiter werden auf diese Weise präventiv vor Malware und Zero-Day-Bedrohungen geschützt. Die Verwaltung der Lösung sollte möglichst über eine zentrale Konsole stattfinden, die die Einhaltung möglicher Richtlinien und die Zugriffskontrolle steuert.

Der zusätzliche Einsatz von
Host Intrusion Prevention blockiert ungewünschte Aktivitäten, indem Signaturen, das Verhalten im Netz und die Systeme selbst analysiert werden. Wünschenswert ist außerdem, dass sichergestellt ist, dass nur vertrauenswürdige Anwendungen auf Servern und Endgeräten zur Ausführung kommen. Dies erfolgt bestenfalls über Application Control-Produkte. Wichtig ist, dass solche Lösungen angesichts der immer vielfältigeren Betriebssysteme-Landschaft gerade im Tablet-Bereich zumindest eine effektive Zugangskontrolle für verschiedene Lösungen anbieten.

Patchmanagement
Ein aktueller
Patchstand auf allen PCs und Servern im Unternehmen ist ein unverzichtbarer Schutz gegen die ständigen Wurmattacken und Hackerangriffe. Schließlich sind es die Schwachstellen in Software, die Angriffe von außen in aller Regel ermöglichen. Viele IT-Verantwortliche nutzen für das Patchmanagement die WSUS-Dienste zum Verteilen der monatlich veröffentlichten Microsoft-Sicherheitsupdates. Allerdings wird hierbei immer noch oft auf die regelmäßige Aktualisierung von Drittanbieter-Software im Unternehmen verzichtet – so sind veraltete Adobe Reader-, Flash- oder Java-Versionen keine Ausnahmen, sondern eher die Regel.

Vor dem Hintergrund der stark gestiegenen Anzahl an Sicherheitslücken in Drittanbietersoftware entsteht so ein erhebliches Risiko für die IT-Sicherheit in diesen Unternehmen.
Patchmanagement-Tools ermöglichen es, derartige Sicherheitslücken zu erkennen, zu bewerten und zu beheben. In besonders kritischen Umgebungen sollten Administratoren Patches jedoch erst testen, bevor sie auf produktiven Systemen aufgespielt werden. Denn so manches Mal legen Patches unfreiwillig die Systeme lahm, die sie eigentlich schützen sollen.

Datenträgerverschlüsselung
Daten auf einem verlorenen oder gestohlenen Computer sind durch das Ausführen von frei verfügbaren Tools oder durch das Einbauen der Festplatte in einen zweiten Computer kriminellen Personen schutzlos ausgesetzt. Durch eine Verschlüsselungslösung, kombiniert mit einer
Pre-Boot-Authentifizierung, die sowohl die Betriebssystem- als auch die Datenpartitionen entsprechend schützt, ist es möglich, einen Missbrauch zu minimieren.

Mit der seit Windows Vista eingeführten und bereits standardmäßig in der Ultimate und Enterprise-Version integrierten Windows
BitLocker-Verschlüsselung wird beispielsweise der nicht autorisierte Zugriff auf verloren gegangene oder gestohlene Computer durch die Kombination von zwei wichtigen Verfahren erschwert. Auch über Drittanbieter-Software ist eine sichere Verschlüsselung von Festplatten möglich. Für Administratoren wichtig ist dabei die Möglichkeit der zentralen Verwaltung sowie der Schlüsselwiederherstellung im Notfall. Neben der Wahl eines sicheren Kennworts mit ausreichender Länge und Komplexität ist ein hinreichend sicherer Algorithmus von Bedeutung. Als Standard hat sich AES mit mindestens 128 Bit etabliert.

Netzwerkzugangsschutz
Der wohl beste Schutz für Endgeräte besteht darin, Bedrohungen von vornherein von ihnen fernzuhalten. Hat es ein IP-fähiges Gerät erst einmal in das interne Netzwerk geschafft, steht der Zugang zu zahlreichen Ressourcen offen.
Network Access Control (NAC) ist eine Technologie, um diesen Zugang zu kontrollieren und bei Bedarf einzuschränken. Mit Erscheinen von Windows Server 2008 wurde erstmalig ein Netzwerkzugriffsschutz direkt in den Basisumfang eines Windows-Betriebssystems integriert. Dieser Netzwerkzugriffsschutz, im Englischen von Microsoft als "Network Access Protection" (NAP) bezeichnet, bietet Administratoren eine Möglichkeit, die Sicherheit im Unternehmensnetzwerk zu verbessern.

Wie bei NAC verschiebt auch Windows in erster Linie Computer, die nicht den Sicherheitsanforderungen entsprechen, in ein "Zwischennetzwerk", um diese auf den gewünschten Sicherheits- oder Patch-Stand zu bringen. Erwartungsgemäß arbeitet NAP von Microsoft lediglich mit Windows und zwar in der Version XP SP3 und höher. Ältere Systeme oder Nicht-Windows-Computer wie Smartphones, IP-Telefone oder Apple iPads bleiben jedoch unberücksichtigt.

Microsoft baut auf zwei Techniken auf: DHCP und IEEE 802.1X. In der einfachsten Implementierung prüft Microsoft-NAP bei Vergabe einer IP-Lease den Status des Client-Systems und modifiziert in Abhängigkeit vom Ergebnis die zu vergebende IP-Adresse. Dieses System lässt sich zwar sehr einfach durch den Administrator aufbauen, verliert jedoch seine Schutzfunktion, sobald einem Rechner eine feste IP-Adresse zugewiesen wird. In der weitaus sichereren Variante prüft Windows Server mittels 802.1X-Standard und eines RADIUS-Servers die durch den Teilnehmer (Supplikant) übermittelten Authentifizierungsinformationen und regelt den Zugriff auf die durch den Authenticator angebotenen Dienste wie LAN, VLAN oder WLAN.

Keine Kommentare:

Kommentar veröffentlichen