Maßnahmen zur Netzwerksicherheit

Begonnen von Cavemen, 04.06.2024, 14:36:08 CEST

Vorheriges Thema - Nächstes Thema

0 Mitglieder und 1 Gast betrachten dieses Thema.

Cavemen

Cavemen

Maßnahmen zur Netzwerksicherheit sind die Tools und Technologien, die einem Netzwerk hinzugefügt werden, um gespeicherte oder übertragene Daten, Sprachinhalte und Videos zu schützen, z. B. Firewalls und Intrusion Prevention Systems (IPS).

Maßnahmen zur Netzwerksicherheit

Maßnahmen zur Netzwerksicherheit sind die Sicherheitskontrollen, die Sie zu Ihren Netzwerken hinzufügen, um Vertraulichkeit, Integrität und Verfügbarkeit zu schützen. Diese Kontrollen werden ständig weiterentwickelt, doch es gibt viele grundlegende, allgemeine Informationen. Angreifer von Ihrem Netzwerk fernzuhalten, kostet einiges an Aufwand. Sie können dafür Firewalls, Proxys und Gateways einsetzen.
Sie dürfen jedoch nicht davon ausgehen, dass diese Appliances Angreifer in sämtlichen Fällen von Ihrem Netzwerk fernhalten. Letztendlich finden Hacker einen Weg hinein. Der bekannte Hacker Kevin Mitnick behauptet, dass alle Penetrationstests erfolgreich waren, die er im Auftrag von Unternehmen durchführte, um deren Netzwerksicherheit zu überprüfen.
Es gibt immer einen Weg hinein. Sicherheit erfordert kontinuierliche Arbeit. Nur so können Sie lernen, sich weiterentwickeln und Hackern einen Schritt voraus bleiben. Außerdem ist es von entscheidender Bedeutung, Pläne und Teams für den Fall aufzubauen, dass Hacker doch in das System eindringen.

Firewall

Eine Firewall blockiert den Datenverkehr oder lässt ihn hindurch. Der Datenverkehr, der die Firewall passieren darf, ist in ihrer Konfiguration angegeben und basiert darauf, welche Art von Datenverkehr das Unternehmen nutzt und benötigt. Das wichtigste bewährte Sicherheitsverfahren ist, die Firewall so einzustellen, dass sie standardmäßig jeglichen Datenverkehr blockiert. Daraufhin sollte sie so konfiguriert werden, dass nur festgelegter Datenverkehr an bekannte Dienste weitergeleitet wird. Die Konfiguration der Firewall ist entscheidend – und damit auch das Wissen des Firewall-Administrators.
Firewalls arbeiten auf verschiedenen Schichten des OSI-Modells (Open System Interconnect) der International Standards Organization (ISO). Normalerweise befinden sich alle Komponenten, die als Firewall bezeichnet werden, auf den Schichten 2 bis 5. Befindet sich die Firewall auf Schicht 7, wird sie oft als Proxy oder Gateway bezeichnet. Die Ausnahme bilden Web Application Firewalls (WAF), die zwar das Wort Firewall enthalten, sich aber auf Schicht 7 befinden. Firewalls analysieren die Informationen auf der Schicht des OSI-Modells, auf der die jeweilige Firewall arbeitet.
Im Folgenden finden Sie einige Beispiele dafür, wie eine Firewall auf den verschiedenen Schichten funktioniert:
  • Schicht 2, Sicherung: Hier könnte die Firewall anhand der MAC-Adresse (Media Access Control) des Frames entscheiden, ob der Datenverkehr weitergeleitet oder blockiert wird.
  • Schicht 3, Vermittlung: Hier könnte die Firewall anhand der IP-Adresse (Internet Protocol) im Paket entscheiden, ob der Datenverkehr weitergeleitet oder blockiert wird.
  • Schicht 4, Transport: Hier könnte die Firewall anhand der TCP-Portnummer (Transmission Control Protocol) im Datagramm entscheiden, ob der Datenverkehr weitergeleitet oder blockiert wird.
  • Schicht 5, Sitzung: Hier könnte die Firewall anhand der RTP-Informationen (Real-Time Protocol) entscheiden, ob der Datenverkehr weitergeleitet oder blockiert wird.
  • Schicht 7, Anwendung: Hier könnte die Firewall anhand der Anwendung oder des Anwendungsdienstes entscheiden, ob der Datenverkehr weitergeleitet oder blockiert wird.
 
Eine Firewall wird mit einer Liste von Regeln konfiguriert, die manchmal auch als Richtlinien bezeichnet werden. Anhand dieser Regeln bestimmt die Firewall, was mit dem Datenverkehr passieren soll, wenn er die Firewall erreicht. Die Regeln funktionieren aus einer Top-down-Perspektive, also von oben nach unten.
Die Firewall vergleicht den Frame oder das Paket, den bzw. das sie gerade erhalten hat, mit der ersten Regel in der Liste. Wenn der Frame oder das Paket dem Datenverkehrstyp dieser Regel entspricht, befolgt die Firewall die Anweisungen für diese Regel. Eine Regel kann besagen, dass der Datenverkehr weitergeleitet werden oder dass er blockiert und verworfen werden soll.
Wenn der Frame oder das Paket nicht der ersten Regel entspricht, vergleicht die Firewall das Element mit der zweiten Regel und so weiter. Entspricht der Datenverkehr keiner der explizit definierten Regeln, folgt die Firewall der letzten Regel, die besagt, dass der Datenverkehr verworfen werden soll.
Proxy
Eine Proxy-Firewall befindet sich auf Schicht 7 des OSI-Modells. Wenn ein Proxy Datenverkehr empfängt, verarbeitet er den Frame oder das Paket aufwärts durch die verschiedenen Schichten. Wenn beispielsweise der Frame auf Schicht 2 entfernt wird, werden die Header des Pakets auf Schicht 3 entfernt und so weiter, bis zum Schluss auf Schicht 7 nur noch die Daten vorhanden sind.
Die TLS-Verbindung (Transport Layer Security) wird auf Schicht 4 beendet, und ab diesem Zeitpunkt liegen die Daten im Proxy im Klartext vor. Daraufhin analysiert der Proxy die übertragenen Daten, was auf den niedrigeren Schichten aufgrund der Verschlüsselung nicht möglich gewesen wäre. Dadurch kann das Gerät sehr viel mehr Daten analysieren als eine Standard-Firewall. Das erfordert in der Regel mehr Zeit oder Rechenleistung als eine normale Firewall, bietet jedoch auch eine bessere Kontrolle über den Anwenderverkehr.
Gateway
Der Begriff Gateway hat unterschiedliche Bedeutungen – je nachdem, wen man fragt. Früher war ein Gateway eine Hardware, die sich zwischen zwei Netzwerken befand. Heutzutage enthält ein durchschnittliches Gateway auch eine Firewall-Komponente. Microsoft Azure hat beispielsweise eine WAF in sein Gateway integriert. Gateways stellen also mittlerweile ebenfalls eine Art Firewall dar.
Intrusion Detection and Prevention Systems
Die nächste Aufgabe ist die Erkennung von Eindringlingen in einem Netzwerk, und zwar mithilfe von Intrusion Detection Systems (IDS). Diese Geräte sind passiv. Sie beobachten den Netzwerkverkehr und protokollieren verdächtige Vorgänge. Ein IDS kann sich im Netzwerk oder auf dem Endgerät befinden. Je nachdem, wo es sich befindet, wird es als netzwerkbasiertes IDS (NIDS) oder als hostbasiertes IDS (HIDS) bezeichnet.
Ein NIDS ist in der Regel an den TAP- oder SPAN-Port eines Switches angeschlossen. Das bedeutet, dass der Datenverkehr ungestört an sein Ziel weitergeleitet wird, während eine Kopie zur Analyse an den SPAN-Port des NIDS geht. Wenn es sich um ein HIDS handelt, befindet es sich auf dem Laptop, Tablet, Server usw. Die meisten HIDS analysieren nicht den Live-Datenverkehr, sondern im Nachhinein die Verkehrsprotokolle.
Irgendwann haben die Hersteller diese Geräte weiterentwickelt: Wenn sie einen Angriff erkennen konnten, sollten sie verdächtige Frames oder Pakete auch auf dem Gerät verwerfen können, statt sie nur zu melden. So entstanden Intrusion Prevention Systems (IPS). Auch ein IPS kann netzwerkbasiert (NIPS) oder hostbasiert (HIPS) sein.
Die Idee war hervorragend, hat jedoch auch einen Nachteil: Das IPS muss wissen, was legitimer Datenverkehr ist und was nicht. Das erfolgt entweder mithilfe von Signaturdateien, oder das System kann selbst lernen.

Virtual Private Network (VPN)

Das nächste Problem, das es zu lösen gilt, ist der Schutz von Daten, Sprache oder Videos, die an Orte übertragen werden, wo jemand mithören könnte. Dies gilt innerhalb von Unternehmens- oder Heimnetzwerken, aber auch außerhalb, z. B. bei einer Übertragung über das Internet oder das Netzwerk eines Service Providers.
Verschlüsselung löst dieses Problem, indem sie die Daten ohne den Schlüssel unlesbar macht. Für die Datenübermittlung gibt es mehrere Möglichkeiten der Verschlüsselung. Sie lauten wie folgt:
  • Secure Socket Layer (SSL)/Transport Layer Security (TLS)
  • Secure Shell (SSH)
  • Internet Protocol Security (IPsec)
SSL/TLS

SSL/TLS wird seit 1995 zum Schutz von browserbasierten Verbindungen eingesetzt. SSL wurde von Netscape erfunden. Die Versionen 2.0 und 3.0 waren in Gebrauch, bis die Internet Engineering Task Force (IETF) das Protokoll übernahm und umbenannte. Dies geschah im Jahr 1999, als America Online (AOL) Netscape aufkaufte. Heute ist TLS 1.3 (RFC 8446) die neueste Version. TLS wird nicht nur für browserbasierte Verbindungen verwendet. Es wird auch für VPN-Verbindungen zwischen Anwender und Büro eingesetzt.
SSL/TLS ist ein Transportschichtprotokoll, das den TCP-Port 443 verwendet, wenn es auf Browserverbindungen angewendet wird.
SSH

SSH ist eine Verschlüsselungsmethode, die in der Regel für Remote-Anmeldungen verwendet wird. Netzwerkadministratoren verwenden SSH, um sich aus der Ferne anzumelden und Netzwerkgeräte wie Router und Switches zu verwalten. Es wird im Allgemeinen als Ersatz für Telnet angesehen, ein unverschlüsseltes Schicht-7-Protokoll zur Remote-Anmeldung. Es kann jedoch auch für VPN-Verbindungen verwendet werden. SSH ist in IETF RFC 4253 definiert. Das Protokoll verwendet TCP-Port 22.
IPsec

IPsec ist ein Protokoll auf Netzwerkschicht, das Verschlüsselung und Integritätsprüfung für jeden Verbindungstyp bietet. Es gibt viele verschiedene IETF-RFC-Dokumente, in denen die verschiedenen Teile von IPsec definiert sind. RFC 6071 bietet eine Roadmap, die zeigt, wie diese Dokumente miteinander in Beziehung stehen.
IPsec bietet zwei Sicherheitsprotokolle: Authentication Header (AH) und Encapsulating Security Payload (ESP).
  • AH wird verwendet, um die Authentifizierung und Integrität der Datenherkunft zu überprüfen. IPsec-Implementierungen müssen AH nicht unterstützen. AH verschlüsselt den Header des IP-Pakets.
  • Alle IPsec-Implementierungen müssen ESP unterstützen, das Authentifizierung, Integrität und Vertraulichkeit des Datenursprungs abdeckt. ESP verschlüsselt die Payload des IP-Pakets.

Data Loss Prevention und Digital Rights Management

Der Schutz des geistigen Eigentums ist nach wie vor ein wichtiges Thema. Zum geistigen Eigentum gehören Handbücher, Verfahren, Konstruktionsunterlagen, Forschungs- und Entwicklungsdaten usw. Dabei gibt es zwei Hauptprobleme: Zum einen geht es darum, vertrauliche Informationen unter Verschluss zu halten. Und zum anderen muss sichergestellt werden, dass die Informationen nur von denjenigen eingesehen werden können, die sie auch einsehen sollen. Datenklassifizierung und Zugriffskontrolle sind zwei der vielen Möglichkeiten, den Zugriff angemessen zu kontrollieren.
Damit Daten Ihr Unternehmen nicht auf unangemessene Weise verlassen, können Sie sie mithilfe von DLP-Technologie (Data Loss Prevention) kontrollieren. Diese Technologie sucht nach vertraulichen Informationen in übertragenen Daten, z. B. in E-Mails.
Wenn die DLP-Software entsprechende Informationen entdeckt, etwa eine Kreditkartennummer, dann wird die Übertragung blockiert oder gestoppt. Sie kann die Daten auch verschlüsseln, wenn das sinnvoller ist. Die Frage ist, was Ihr Unternehmen kontrollieren möchte und wie das Netzwerk reagieren soll, wenn die DLP-Software diese Daten entdeckt.
DRM nutzt Technologie, um den Zugriff auf geistiges Eigentum zu kontrollieren. Wenn Sie schon einmal Kindle, iTunes, Spotify, Netflix oder Amazon Prime Video genutzt haben, dann haben Sie auch DRM-Software verwendet. Diese Software ermöglicht es Ihnen, das Video zu sehen, das Buch zu lesen oder die Musik zu hören, nachdem Sie den jeweiligen Inhalt vom Anbieter gekauft haben. Ein Beispiel aus der Wirtschaft ist Cisco. Das Unternehmen kontrolliert den Zugang zu Kurshandbüchern, sobald der Kunde einen Kurs gekauft hat.
Javelin und LockLizard sind weitere Beispiele für DRM-Technologien, die Unternehmen zur Kontrolle der Inhaltsverbreitung einsetzen können. Die DRM-Technologie verwendet eine Zugriffskontrolle, die festlegt, wie lange jemand den Inhalt nutzen kann, ob er gedruckt oder weitergegeben werden darf usw. Die Parameter basieren auf den Wünschen des Eigentümers des geistigen Eigentums.

Protokolle, Überwachung und SIEMs

Die wahrscheinlich wichtigsten Sicherheitsmaßnahmen, die ein Unternehmen ergreifen kann, betreffen die Erkennung und Behebung von Sicherheitsproblemen. Der erste Schritt ist die Protokollierung. Praktisch alle Systeme, die sich in einem Netzwerk befinden oder mit diesem verbunden sind, sollten Protokolle erstellen.
Ein Unternehmen bestimmt, was genau protokolliert werden soll. Das kann Anmeldeversuche, Datenverkehrsströme, Pakete, durchgeführte Aktionen oder sogar jeden einzelnen Tastenanschlag eines Anwenders umfassen. Die Entscheidung darüber, was protokolliert wird, sollte auf Basis der Risikobereitschaft des Unternehmens, der Empfindlichkeit der Assets und der Schwachstellen der Systeme getroffen werden.
Alle folgenden Systeme sollten Protokolle erstellen:
Systeme im Netzwerk
  • Router und Switches
  • IDS und IPS
  • Firewalls
Mit dem Netzwerk verbundene Systeme
  • Server
  • Notebooks
  • Kameras
  • Desktops und Mobiltelefone
  • Datenbanken
  • alle IoT-Geräte (Internet of Things)
 
Das führt jedoch zu einer riesigen Anzahl protokollierter Ereignisse. Um all diese Daten zu analysieren und zu interpretieren, müssen die Protokolle, die auch als Audit-Trail dienen, an einen zentralen Ort gesendet werden, z. B. an einen Syslog-Server. Sobald sich die Protokolle auf einem Syslog-Server befinden, werden sie von einem Security Information Event Manager (SIEM) analysiert.
Ein SIEM ist ein Tool, das die Protokolle von allen Systemen analysiert und die Ereignisse miteinander in Beziehung setzt. Es sucht nach Indikatoren für eine Gefährdung (Indicators of Compromise, IOCs). Ein IOC ist nicht immer ein Beweis für ein tatsächliches Ereignis, weshalb es von Menschen analysiert werden muss. An dieser Stelle müssen ein Security Operation Center (SOC) und ein Incident Response Team (IRT) die nächsten Maßnahmen festlegen.