Watchguard-Appliances bei expert Firewall-Routing innerhalb des Firmennetzes
Bei vielen Unternehmen liegt der IT-Security-Fokus nach wie vor allein auf der Absicherung des Datenverkehrs, der von außen auf das Netzwerk trifft bzw. dieses verlässt. Dabei bietet ein zusätzliches internes Firewall-Routing entscheidende Vorteile. Neben einer verstärkten Abwehrbereitschaft gegenüber Bedrohungen verbessert sich vor allem die Transparenz beim Datenaustausch.
Anbieter zum Thema

„Es ist inzwischen kein Geheimnis mehr, dass eine Segmentierung des Netzwerks im Rahmen der IT-Sicherheit durchaus Sinn macht. Schließlich trägt die gezielte Einteilung, physische Trennung und Absicherung verschiedener Netzwerkbereiche nicht nur dazu bei, den Schaden im Falle eines Hackerangriffs in Grenzen zu halten. Durch die zusätzlichen sicherheitsrelevanten Scan-Prozesse zwischen den einzelnen Segmenten – beispielsweise Produktionsanlagen, spezifischen Anwendungen, Servern oder Clients – wird das Risiko eines solchen Übergriffs von Anfang an enorm reduziert“, so Thomas Runte vom Systemhaus Sievers-Group. Seiner Ansicht nach scheut sich die Mehrzahl der Unternehmen jedoch nach wie vor, ein solches Konzept umzusetzen. „Von unseren Kunden verfolgen derzeit maximal zehn Prozent einen solchen, sicherheitsspezifischen Segmentierungsansatz. Dabei ist die Implementierung meist einfacher als gedacht. Im Hinblick auf die Geschwindigkeit der Datenübertragung spricht ebenfalls kaum noch etwas dagegen. Es gibt hochperformante Lösungen; die zugrunde liegenden Produkte werden in der Anschaffung immer günstiger und sind zudem besser zu händeln. Zusätzliche Sicherheit geht also nicht mehr zwangsläufig auf Kosten der Geschwindigkeit. Anwender können beides haben und müssen dafür auch nicht mehr so tief in die Tasche greifen wie noch vor Jahren.“
Mit den besten Empfehlungen
Ein Unternehmen, das den Schritt zum Firewall-Routing innerhalb des Firmennetzes in voller Konsequenz bereits vollzogen hat, ist die expert Warenvertrieb GmbH. Die eigenständige Tochtergesellschaft innerhalb des Handelsverbunds für Consumer Electronics, Informationstechnologie, Telekommunikation, Entertainment und Elektrohaushaltsgeräte – expert SE – verantwortet am Standort Langenhagen das Dienstleistungsangebot und Lagergeschäft der gesamten Gruppe. Als Rückgrat des zweitgrößten Elektronikfachhändlers in Deutschland ist sie nicht zuletzt dafür verantwortlich, dass IT-seitig alles rund läuft. Neben der Steuerung der externen Dienstleistungspartner für den IT-Betrieb gehört zum Aufgabenspektrum ebenso die Verwaltung der internen IT-Strukturen, die die insgesamt 490 Mitarbeiter der expert Warenvertrieb GmbH tagtäglich nutzen. Im Netzwerk sind neben den Clients, Druckern und Servern Komponenten wie das Data Warehouse oder das ERP-System verortet. „Da der interne Datentransfer über ein in die Jahre gekommenes, nicht-redundantes Core-Switch lief, mussten wir handeln.
Das von diesem Single-Point-of-Failure ausgehende Risiko war einfach zu hoch“, beschreibt Oliver Rebock, Abteilungsleiter IT-Betrieb bei der expert Warenvertrieb GmbH, die Ausgangslage im Jahr 2016. „Es stellte sich in der Situation nur die grundsätzliche Frage, ob wir im Zuge der Modernisierung auf neue Switches umsteigen oder gleich ein Routing auf Firewall-Ebene umsetzen. Die Segmentierung einzelner Bereiche gab es bereits, es fehlten jedoch Security-Scans zwischen den einzelnen VLANs (Virtual Local Area Network).“ Letztendlich setzte sich die Idee des Firewall-Routings durch. „Dadurch konnten wir unter anderem auch die Absicherung des Netzwerks nach außen wieder in die eigenen Reihen holen. Hierfür hatten wir bis dato einen Dienstleister im Boot, der dies im Rahmen eines MSSP-Modells gewährleistete“, präzisiert Rebock die Gründe der Entscheidung und unterstreicht: „Im Nachhinein betrachtet, würde ich den gleichen Weg wieder gehen.“
Umsetzung in vier Monaten
Nachdem in einem internen Review die Angebote verschiedener Hersteller genauestens unter die Lupe genommen wurden und der Partner der Wahl gefunden war, startete die Konzeptphase. „Jetzt kam es darauf an, die Logik der Netzwerkinfrastruktur auf Firewall-Ebene abzubilden und dem Wechsel vom Layer-3-Switch zum Layer-3-Firewall-Routing den Weg zu ebnen. Hierbei lag unser Augenmerk zunächst nur auf der Sicherstellung des Status quo der Datenkommunikation“, so Rebock. In dem Zusammenhang musste auch das richtige Modell der Hardware gefunden werden. Zur Ist-Analyse, bei der die Funktionalität der bisher eingesetzten Switches exakt aufgeschlüsselt wurde, gehörte daher gleichzeitig die Identifizierung der zugrunde liegenden Performance-Anforderungen. Schließlich galt es zu gewährleisten, dass die gewählte Hardware hinsichtlich der Bandbreite über ausreichend Luft nach oben verfügt und nicht so bald an ihre Grenzen stößt.
Im anschließenden Soll-Konzept stand die exakte schematische Darstellung der erforderlichen Verknüpfungen an. „Dadurch wurde die gesamte Struktur inklusive der künftigen Redundanz greifbar, was uns die weitere Arbeit enorm erleichterte“, erklärt der IT-Verantwortliche. Bereits wenige Wochen nach dem ersten Kick-off nahm das Firewall-Cluster, welches das bestehende Routing-Schema abbildete, seinen Dienst auf. „Die Live-Schaltung der beiden Firewall-Appliances des Anbieters Watchguard erfolgte um 22:00 Uhr am Abend. Innerhalb von zwei Stunden waren die bekannten Datenaustauschprozesse vom Switch auf die beiden Plattformen vom Typ Firebox M5600, die im Sinne der Ausfallsicherheit auf zwei Rechenzentren verteilt wurden, umgestellt“, schildert Rebock das Vorgehen.
Aus alt mach neu
Die bekannte Segmentierung über VLANs wurde genauso beibehalten – mit entscheidendem Mehrwert: Denn der zwischen den einzelnen VLANs stattfindende Datenverkehr durchläuft seitdem zusätzliche Prüfungen zur Identifizierung von schadhaftem Code. Von einer Herausforderung beim DHCP-Snooping abgesehen, erfolgte der Wechsel nach Aussage des IT-Verantwortlichen problemlos. Zum Einsatz kommen mittlerweile vielfältige weitere Sicherheitsmechanismen im Rahmen der Total Security Suite von Watchguard – von Intrusion Prevention über Gateway-Antivirus und Webblocker bis hin zur Applikationskontrolle. Diese wurden sukzessive nachgezogen. „Im ersten Schritt sollte die Firewall die Switches ersetzen. Die Datenkommunikation an sich musste funktionieren. Danach wurden nach und nach weitere Sicherheitsservices inklusive der Regelzuweisung per Active Directory getestet und netzwerkübergreifend ausgerollt“, erläutert Rebock seine Prioritäten beim Wechsel. Den Abschluss bildete die Ablösung des bereits erwähnten externen Dienstleisters, der bis dahin die Absicherung des gesamten Netzwerks verantwortete. Die dabei gültigen Firewall-Einstellungen konnten passgenau übernommen werden. „Ich glaube, wir haben an dieser Stelle jetzt weniger Aufwand als früher. Sollte es wirklich mal Handlungsbedarf hinsichtlich der Sicherheitsfunktionalität geben, ist das ruckzuck in den eigenen Reihen erledigt. Da hat es vorher zum Teil länger gedauert, dem Dienstleister die Mail mit der Problemschilderung zu schreiben und ein Serviceticket anzufordern.“
Maximale Sicherheit und Kontrolle
Neben der verstärkten Sicherheit dank umfangreicher Security-Funktionalitäten möchte Oliver Rebock insbesondere die hinzugewonnene Transparenz beim Datenhandling nicht mehr missen. „Wir sehen jetzt genau, was in unserem Netzwerk vorgeht, wo es besondere Ereignisse gibt oder an welchen Stellen welche Bandbreite gefordert ist. Die detaillierten Analyse- und Reporting-Möglichkeiten erleichtern uns den Alltag immens.“ Das IT-Team der expert Warenvertrieb GmbH ist mit der neuen Lösung rundum zufrieden. Kein Wunder, bisher gab es keinerlei Probleme. Die Hardware läuft 24/7 und auch Software-Updates sind über das Aktiv-Passiv-Cluster schnell eingespielt. Der Funktionsumfang soll daher künftig noch ausgebaut werden. Hier ist unter anderem die jüngste Ergänzung aus dem Watchguard-Portfolio von Interesse: IntelligentAV. Dieser Dienst setzt bei der Erkennung von Bedrohungen auf Machine Learning und erkennt dadurch selbstständig neue Angriffsmuster. In Kombination mit den klassischen, signaturbasierten Prüfprozessen ergibt sich umfassender Schutz. „Diese kontinuierliche Weiterentwicklung der Funktionalitäten bestätigt nur unsere damalige Entscheidung, durch die wir gleich zwei Fliegen mit einer Klappe schlagen konnten. Die veralteten Switches sind wir los. Der Datenverkehr erfolgt jetzt nicht nur einwandfrei – sondern auch umfassend abgesichert“, so Rebock abschließend.
(ID:45947069)