Best Practices für Netzwerksicherheit Das Netzwerk mittels Analyse, Monitoring und Log Management absichern

Autor / Redakteur: Mike Silva, Ipswitch / Stephan Augsten

Das Einrichten einer Firewall oder einer DMZ allein gewährleistet noch keine umfassende Netzwerksicherheit. Unternehmen müssen ihre Netzwerk-Infrastruktur sowie Anomalien und Bedrohungen verstehen, um nichts dem Zufall zu überlassen. In diesem Artikel gehen wir auf ein paar Best Practices zur Netzwerksicherheit ein.

Nur wer alle Netzwerk-Aktivitäten im Blick behält, der kann die Infrastruktur vor allen Gefahren schützen.
Nur wer alle Netzwerk-Aktivitäten im Blick behält, der kann die Infrastruktur vor allen Gefahren schützen.
( Archiv: Vogel Business Media )

Wodurch zeichnet sich eigentlich ein sicheres und zuverlässiges Netzwerk aus? Diese Frage kann auf verschiedene Weise beantwortet werden. Für einen Server-Administrator oder Daten-Management-Verantwortlichen bedeutet es, dass die im Netzwerk gespeicherten und verfügbaren Informationen geschützt und nur von Berechtigten geöffnet und gelesen werden können.

Derweil wird ein Netzwerk-Ingenieur oder Netzwerk-Security-Verantwortlicher darauf Wert legen, dass Sicherheitslücken kontinuierlich analysiert und behoben werden sowie neue Bedrohungen aktiv erkannt werden. Das Netzwerk wird kontinuierlich überwacht, um Ausfälle zu vermeiden oder ihre Auswirkung zu minimieren.

Für einen CIO oder CSO ist entscheidend, dass das Netzwerk zuverlässig genug ist, um Business Continuity zu gewährleisten. Für ihn ist entscheidend, dass die richtigen Systeme und Kontrollen vorhanden sind, um Ausfälle zu vermeiden, das Risiko zu minimieren und die Einhaltung der gesetzlichen Vorgaben und Industrierichtlinien zur Sicherheit von Patienten-, Kunden- oder Finanzdaten zu gewährleisten.

Was kostet ein kompromittiertes Netzwerk?

In den vergangenen Jahren sind viele Sicherheitslücken ans Licht gekommen, aufgrund derer beispielsweise vertrauliche Informationen in die falschen Hände geraten sind. Leider blieben viele Fälle so lange unentdeckt, bis die Betroffenen, deren Informationen gestohlen wurden, verdächtige Aktivitäten bemerkten oder von Wirtschaftsauskunfteien kontaktiert wurden.

Die durchschnittlichen Kosten eines Datendiebstahls hängen von den illegal beschafften Informationen ab, liegen aber in der Regel im Bereich von 400 bis 1.000 US-Dollar pro Person. Hinzu kommen Geldstrafen für die Nichteinhaltung von gesetzlichen Vorgaben oder für den Verlust von Industrie-Zertifizierungen wie PCI-DSS – und natürlich die nicht zu beziffernden Kosten des Verlusts von Vertrauen und gutem Ruf.

Seite 2: Back to Basics

Back to Basics

Ein Unternehmen mag vieles getan haben, um das Netzwerk abzusichern. Dazu zählen Maßnahmen wie das Abschirmen des Netzes gegen Angriffe von außen, das Deaktivieren der TCP-und UDP-Ports, das Isolieren des Web-Servers bei einem Service Provider, der Aufbau einer DMZ für sichere Dateiübertragungen, Investitionen in neue Sicherheitstechnologien und die Aktualisierung der Betriebssystems- und Security-Patches.

Nichtsdestotrotz ist das längst nicht alles. Die Umsetzung ist nur der Anfang einer effektiven Datensicherungs- und Netzwerksicherheitsstrategie. Die Aufrechterhaltung der Netzwerkintegrität und der Datensicherheit ist eine grundlegende Aufgabe und tägliche Herausforderung.

Punkt 1: Begutachtung des Netzwerks

Wenn man nicht weißt, was man hat, dann kann man es nicht verwalten oder absichern. Die Umsetzung einer effizienten Management-und Sicherheitsstrategie beginnt mit einer genauen Bestandsaufnahme. Was ist an das Netzwerk angeschlossen? Hat es irgendwelche Veränderungen auf der physischen Ebene gegeben? Wurden neue Geräte unerlaubt hinzugefügt oder die Verkabelung geändert? Dafür wird eine Netzwerk-Management-Lösung benötigt, die integrierte Layer 2 und Layer 2 Discovery-Funktionalität anbietet.

Punkt 2: Netzwerk- und Gerätepasswörter

Über 60 Prozent der Geräte im Netzwerk nutzen immer noch die Standard-Benutzer-ID (UID) und das ursprüngliche Passwort. Diese sollen geändert werden, bevor das Gerät an das Netzwerk angeschlossen wird. Die Passwörter sollten monatlich geändert werden. Dabei sollen nie Geburtstage oder Namen von Kindern oder Ehepartnern benutzt werden. Das mag sich einfach anhören, aber eine Untersuchung des Netzwerks bringt oft Überraschungen ans Licht.

Punkt 3: Referenzkennlinie für die Netzwerk-Performance

Nur wenn man weiß, wie das Netzwerk sich im Normalfall verhält, kann man auch Anomalitäten erkennen. Daher müssen Referenzkennlinien für die Performance-Messung festgelegt werden. Wann sind die Traffic-Höhepunkte? Was für Traffic durchläuft das Netzwerk? Welche Protokolle werden benutzt? Woher kommt und wohin fließt der Traffic?

Dank dieser Informationen über Traffic-Muster und Performance lassen sich Anomalitäten schnell erkennen. Flow Monitoring (NetFlow, JFlow und sFlow) unterstützt die Erstellung und Überwachung der Traffic- und Performance-Kennlinien und sollte Bestandteil jedes Netzwerk-Management-Toolkits sein.

Seite 3: Alles im Blick

Punkt 4: Change Management

Netzwerke bestehen aus einzelnen Geräten, die so konfiguriert werden, dass sie nahtlos zusammenarbeiten. Ähnlich wie bei der Erstellung einer Netzwerk-Performance-Kennlinie müssen den Netzwerkverantwortlichen jederzeit Informationen über die aktuelle Konfiguration der einzelnen Geräte vorliegen.

Ohne diese Informationen wäre es im Katastrophenfall fast unmöglich die logische Connectivity und Sicherheitsparameter wiederherzustellen. Darüber hinaus ermöglicht eine Überwachung der Konfigurationsveränderungen die Erkennung nicht autorisierter Änderungen an ACLs oder anderen sicherheitsrelevanten Konfigurationen. Dafür wird eine Netzwerk-Management-Lösung mit Konfigurationsveränderungskontrollen (Change Management) benötigt.

Punkt 5: Syslog und Windows Event Logs prüfen

Die meisten Geräte im Netzwerk können zur Erzeugung von Logdateien oder Syslog Events konfiguriert werden. Diese beinhaltet eine Fülle von Informationen über interne Systemzustände. Die manuelle Prüfung jedes Log-Eintrags scheidet in der Regel aufgrund der Menge und Komplexität der Loginformationen aus.

Somit soll die eingesetzte Event und Log-Management-Lösung über Such-, Filtering-, Alert- und Benachrichtigungsfunktionen verfügen, so dass auffällige Ereignisse sofort erkannt und gemeldet werden. Dank einer schnellen Analyse von Syslog-und Windows Event Log-Dateien ist es möglich, schnell auf Bedrohungen zu reagieren, bevor es zu spät ist. Der Zugriff auf Log-Dateien liefert zudem fundierte Daten für Compliance- Zwecke.

Punkt 6: Ständige Überwachung

Ein Unternehmen soll nie davon ausgehen, dass das Netzwerk sicher ist. Die Ausnutzung der meisten internen und externen Sicherheitslücken beruht auf einer mehrstufigen und iterativen Vorgehensweise. Sobald eine Schwachstelle gefunden wird, werden die Täter immer wieder zurückkehren, um zu sehen, ob das Eindringen entdeckt und die Lücke gestopft wurde.

Sobald sie sicher sind, dass sie sich Zugang zum Netzwerk verschaffen können, ohne entdeckt zu werden, werden sie immer wieder versuchen, auf vertrauliche Informationen zuzugreifen. Zur bestmöglichen Sicherstellung der Netzwerkintegrität muss ein Unternehmen daher den gesamten Netzwerkverkehr, Konfigurationsänderungen und Device Logs ständig überwachen können und die Echtzeit-Netzwerkdaten mit den bestehenden Referenzkennlinien abgleichen.

Fazit

Auch wenn ein Unternehmen bisher von ernsthaften Zwischenfällen verschont geblieben ist, ist die Wahrscheinlichkeit hoch, dass die Netzwerksicherheit im Hintergrund auf die Probe gestellt wird. Wird erst einmal eine Lücke gefunden, dann wird sie auch umgehend ausgenutzt.

Die genannten Best Practices helfen Unternehmen dabei, das Netzwerk besser zu verstehen und Anomalien und Bedrohungen frühzeitig zu erkennen, bevor sie zu einem ausgewachsenen Problem werden. Eine integrierte Netzwerk-Monitoring- und Management-Lösung wie Ipswitch WhatsUp Gold unterstützt Unternehmen dabei.

Mike Silva ist EMEA Sales Director der Ipswitch Network Management Division.

(ID:2049098)