:quality(80)/p7i.vogel.de/wcms/9c/bb/9cbb5825efdfea727b826d3f0463dd9b/0108252158.jpeg "Mitarbeiter geraten heute schnell ins Visier von Cyberkriminellen. Nur durch Security Awareness Trainings können sie diese Tricks rechtzeitig erkennen. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/d9/01d96a53f8d2a111e5a98976be1cfff3/0108278988.jpeg "Wir kommen in Zukunft zwar vielleicht ohne Passwörter aus, aber Access-Management-Lösungen zur Authentifizierung und Autorisierung der Benutzer werden weiterhin dringend gebraucht. (Bild: adam121 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/34/e93444cbcc0f518c1bc0a005dc36147c/0108250229.jpeg "Enterprise Network Firewalls schützen das Unternehmensnetz vor einer Vielzahl möglicher Attacken. Von klassischen DDoS-Angriffen über Trojaner und Malware in verschlüsselten Datenübertragungen, bis hin zu Advanced Persistent Threats. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/30/30/3030b66cc91bdc748d53ddfa98603890/0114242796.jpeg "Der sichere Betrieb von SAP-Systemen erfordert die individuelle Absicherung des Systems und auch den sicheren Betrieb der gesamten SAP-Landschaft. (Bild: yingyaipumi - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/8b/2b/8b2b54e445a1feb1e0c7e80adaa0f064/0112150345.jpeg "Im Security-Talk besprechen wir weit mehr als Pleiten, Pech und Patches. (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/b1/19/b119dde55e2269c94ef94a6d1d0a291e/0114244104.jpeg "Der Erfolg eines Bug Bounty Programms hängt weitgehend von der Organisation der Zusammenarbeit mit den Forschenden ab. (Bild: Tobias - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/4b/9b/4b9b0e03c93f35253e7bdc638d8c1985/0114368367.jpeg ""Sichere Digitalisierung im Maschinenbau", ein Interview von Oliver Schonschek, Insider Research, mit Christoph Schambach von secunet Security Networks AG. (Bild: Vogel IT-Medien / secunet Security Networks AG / Schonschek)")
:quality(80)/p7i.vogel.de/wcms/ca/c2/cac291e0070a2c8ed93aa4c2b15ced0c/0114113039.jpeg ""Daten sichern mit Daten - Die Zukunft der Cybersicherheit", ein Interview von Oliver Schonschek, Insider Research, mit Matthias Canisius von SentinelOne. (Bild: Vogel IT-Medien / SentinelOne / Schonschek)")
:quality(80)/p7i.vogel.de/wcms/82/91/8291aade8ce1ba7b0c9ca477cc338fba/0114233278.jpeg "Unternehmen sollten die im Artikel vorgestellten vier Prinzipien umsetzen, offener mit dem Thema Sicherheit umgehen und Informationen und Best Practices zu teilen, um die Sicherheit der gesamten Branche zu verbessern. (Bild: Gorodenkoff - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/54/c4/54c4a0adf74bd1c468477c6da476dff2/0114233608.jpeg "Penetationstests sind eine wichtige Grundlage für das Schließen von Sicherheitslücken. (Bild: Mediaparts - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c2/12/c212e1f2d8d9ec50fa8c1c40f8aecb22/0114324694.jpeg "Oft totgesagt und trotzdem quicklebendig: Passwörter sind trotz Alternativen noch immer allgegenwärtig und ein willkommenes Ziel für Cyberkriminelle. (Bild: sasun Bughdaryan - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/df/4d/df4dddc448214d8fcc5545d729fc566d/0114322223.jpeg "Digitale Identitäten können den Zugang in die digitale Welt erleichtern und auch Gegenstände identifizierbar machen. (Bild: vegefox.com - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/67/77/6777619429ac7c92cadc7368950ef7ac/0114229692.jpeg "Die neuen Tokentypen Tagespasswort und applikationsspezifisches Passwort in privacyIDEA 3.9 ermöglichen dem Administrator auch in heterogenen Umgebungen, die Authentifizierung an alten Applikationen zentral zu verwalten. (Bild: privacyIDEA)")
:quality(80)/p7i.vogel.de/wcms/f1/6b/f16b94ff7c9056c68539d3beb864080f/0114259975.jpeg "CISOs verstehen menschenzentrierte Sicherheit in erster Linie als das, was man dazu auf dem Markt einkaufen kann: nämlich Awareness- und Phishing-Simulationen. (Bild: leowolfert - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a5/85/a585575bd16dcca383fb99f047ac6b97/0114320278.jpeg "Organisationen aller Art müssen sicherstellen, dass sie auf Security-Bedrohungen angemessen vorbereitet sind. (Bild: chinnarach - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/40/e0/40e0210cf7edf333e58492904af25b94/0112115131.jpeg "Business Continuity Management (BCM) ist ein ganzheitlicher Ansatz zur Fortführung der Geschäftsprozesse im Krisenfall. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/68/47/6847dbe6e975e7baac1f48295a15ef54/0112115142.jpeg "Anything-as-a-Service ist ein Sammelbegriff für Services als Dienstleistung aus der Cloud. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Sicherer Datentransfer mit IPSec und Windows Server 2003 Isolierte Domänen mit IPsec
Sicherheit für die Datenkommunikation innerhalb von Domänen läßt sich für Windows Server 2003 mit etwas Planung recht einfach durch IPsec realisieren. Eine Domänenisolation erfordert aber einige wichtige Schlüsselkenntnisse von Active Directory, Netzwerkkommunikation und von IPSec. Hat man die Planungsphase aber erst einmal abgeschlossen, läßt sich so die Netzwerksicherheit deutlich verbessern.
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/64/37/6437ab67aaef3/ftapi-icon--1c9045.png "ftapi-icon--1c9045 (FTAPI Software GmbH)"){kind=icon}
:fill(fff,0)/p7i.vogel.de/companies/5f/f3/5ff3193fe92ca/mimecast.png "mimecast.png (mimecast)")
:fill(fff,0)/p7i.vogel.de/companies/60/a2/60a27b8f295c3/txone-logos-rgb-rgb.png "txone-logos-rgb-rgb (TXOne Networks)")
Server- und Domänenisolation erreicht man mit einer Absicherung über IPSec und Gruppenrichtlinien. Das IPSec-Protokoll bietet einen international anerkannten Sicherheitsstandard, der seine aktuelle Referenz im RFC 4301 findet.
Oft wird irrtümlich angenommen, dass IPSec eine Public Key Infrastruktur (PKI) voraussetzt. Tatsächlich funktioniert IPSec, bzw. das Aushandlungsprotokoll IKE, unter einer Microsoft Windows Domäne auch mit der Kerberos-Authentifizierung.
Unter dem Aushandlungsprotokoll IKE versteht man das Internet Key Exchange-Protokoll, das während der IPSec-Sicherheitszuordnung zur Aushandlung der Verschlüsselungsprotokolle verwendet wird. IKE setzt sich aus den Protokollen ISAKMP, Oakley und SKEME zusammen und bestimmt, wie die Authentifizierungsnachrichten aufgebaut und ausgetauscht werden. Weitere Informationen dazu fndet man im RFC 2409.
Anforderungen an eine Absicherung in Unternehmensnetzwerken
Moderne Netzwerke in großen Organisationen besitzen in der Regel eine gewachsene IT-Struktur, da unterschiedliche Betriebssysteme und Netzwerkkomponenten (WLAN-Router, LAN-Router, ISDN-Router, Bluetooth, usw.) im Laufe der Zeit angeschafft worden sind. Neben den festinstallierten Clientcomputern kommen ebenso mobile Clients und Computer von externen Mitarbeitern zum Einsatz. Diese Mitarbeiter müssen nicht zwangsläufig Organisationsfremd sein, es reicht schon, wenn sie beispielsweise aus einer anderen Gesellschaft der Holding kommen und einer anderen Domäne angehören.
Eine Absicherung über Firewall-Technologie regelt zwar den Datenverkehr vom Sender zum Empfänger, verhindert allerdings nicht, dass Dritte diesen Datenverkehr mitlesen können. Der Firewallschutz ist aber in der Regel nur zur Absicherung der Organisation nach Außen gedacht. An den internen Schutz wird oft nicht gedacht, und wenn, dann wird ungerne darüber gesprochen. Impliziert es doch einen potentiellen Verdacht der Mitarbeiterspionage oder zumindest einem Datenmissbrauch.
Die Isolation von Datenverkehr über IPSec gilt als anerkannte Lösung für dieses Problem. Sie bietet folgende Vorteile:
- Nicht vertrauenswürdige Hosts werden ausgeschlossen
- Schutz vor Mitarbeiterspionage und Einbrüchen in das Netzwerk
- Schutz gegen Viren und Malware
- Unterstützung von NAT (Network Address Translation)
- Konfiguration wird durch Active Directory unterstützt
Netzwerktopologie beachten
Bevor das interne Netzwerk isoliert wird, sollte das bestehende- und zukünftige Netzwerk eingehend beleuchtet werden. Schließlich soll eine Isolation wichtige Betriebszweige nicht unbeabsichtigt abtrennen. Eine Vor-Projektphase soll klären, inwieweit bestimmte Netzwerke schutzbedürftig sind und wie ein Zugriff erfolgen soll. An Ausnahmelisten ist unbedingt zu denken, da nicht alle Hosts über IPSec angesprochen werden können. Bild 1 zeigt eine mögliche, schematische Anordnung eines Netzwerks mit Microsoft ISA Server 2006, das in mehrere Segmente und in sichere- und unsichere Bereiche unterteilt ist.
Gegebenenfalls muss eine Inventur, beispielsweise mit SMS (Systems Management Server), durchgeführt werden. Für die sehr umfangreichen Vorüberlegungen hilft Literatur aus dem Microsoft Technet. Microsoft Betriebssysteme, die vor Windows 2000 (ab Service Pack 4) entwickelt worden sind, eignen sich nicht für IPSec. Geeignet sind laut Microsoft Betriebssysteme, wie Windows XP (ab SP2), Vista und Windows Server 2003.
Active Directory beachten
Eine weitere wichtige Überlegung ist die Aufteilung der physikalischen Netzwerkstruktur in Active Directory-Objekte, mit der Überlegung, später dem Objekt eine Gruppenrichtlinie (GPO) mit einer einzigen IPSec-Richtlinie und einer ganz spezifischen IPSec-Filteraktion zuzuweisen. Die Filteraktion kann im Gegensatz zur Richtlinie variabel gestaltet werden. Sie kann es beispielsweise ermöglichen, ausnahmsweise unsicheren Datenverkehr zu erlauben, was die Literatur auch „Auf unsichere Kommunikation zurückgreifen“ bezeichnet.
Damit Gruppenrichtlinienobjekte (GPOs) über Sicherheitsgruppenfilter korrekt angesprochen werden, empfiehlt sich der Einsatz von speziellen benutzerdefinierten Gruppen, die wie Folgt gebildet werden sollten:
- Mitgliedschaft von Computern in Computergruppen. Hierbei gehören isolierte Computer in anderen Gruppen, wie nicht isolierte.
- Mitgliedschaft von Computern und Benutzern in Netzwerkzugriffsgruppen. Diese Gruppe kann beispielsweise alle Benutzer enthalten, die IPSec-geschützte eingehende Verbindungen zu Computern einer anderen Gruppe herstellen.
Zulässige Kommunikationsoptionen für Isolierungsgruppen sollten in der Planungsphase dokumentiert werden, damit sie später in den IPSec-Filtereigenschaften (siehe unten) eine Anwendung finden.
IP-Sicherheitsrichtlinien in einem GPO
Zum Testen existieren in der Gruppenrichtlinienvorlage von Windows Server 2003 drei IPSec-Richtlinien, die den Aufbau ganz gut darstellen (siehe Abbildung 2). Zu beachten ist, dass ein Computer immer nur eine IPSec-Richtlinie verwenden kann. Die IPSec-Richtlinie bestimmt, wie die Kommunikation über das Netzwerk auszusehen hat. Sie besteht aus beliebig vielen Regeln, die wiederum aus Filterlisten mit einer assoziierten Aktion bestehen (siehe Abbildung 3). Falls ein Datenpaket die Filterbedingungen erfüllt, wird die gewünschte Aktion ausgeführt. Für die Bearbeitung sollte daher ein Augenmerk auf die Filter und Filterlisten gelegt werden.
Jede Regel besitzt, wie schon erwähnt, eine Filterliste und eine Filteraktion. Jeder einzelne Filter der Filterliste enthält Angaben zum Protokoll-Typ, der Quell- und Ziel-Adresse und der Quell- und Ziel-Portnummer. Die assoziierten Filteraktionen bestimmen das Verhalten der jeweiligen Regel. Sie kennen drei Zustände:
- Permit – Netzwerkverkehr ist erlaubt.
- Block – Netzwerkverkehr wird blockiert.
- Negotiate Security – Der Netzwerkverkehr wird je nach Bedingung ausgehandelt. Unsichere Kommunikation kann optional erlaubt werden, falls keine sichere Kommunikation möglich ist (siehe Abbildung 4).
Die Bedingungen sind so vielfältig einzustellen, dass es den Rahmen des Artikels sprengen würde. Vorteilhaft aus Verwaltungsgründen ist es, die Anzahl der Filterlisten und Filteraktionen möglichst klein zu halten. Ansonsten sollte peinlichst genau auf die Kommunikation via Ports geachtet werden, was bedeutet, dass kein notwendiger Port ausgelassen werden sollte. Die Ports variieren je nach angesprochenem Betriebssystem. Wird beispielsweise für Unix ein Telnet-Port benötigt, sollte der Port 23 freigeschaltet werden.
Fazit
Eine Domänenisolation erfordert dreierlei Kennnisse: Die von Active Directory, von Netzwerkkommunikation und von Internet Protokoll Security (IPSec). Ganz so einfach, wie die vielen Whitepaper es dem Administrator glauben machen wollen, ist es nicht, denn viele Vorüberlegungen sind in einem Netzwerk der Enterprise-Klasse zu machen. Hier kommen Isolationsgruppen mit einer nicht verschlüsselten Kommunikation zum Einsatz, die wohlüberlegt in das IPSec-Sicherheitskonzept eingebaut werden müssen.
Artikelfiles und Artikellinks
(ID:2010955)
:quality(80)/p7i.vogel.de/wcms/6c/d0/6cd0298f8f3f4156363ecb37f9f837d3/0112491834.jpeg "Wir zeigen, wie sich mit der Windows Defender Firewall auf Windows-Servern Firewall-Regeln für die verschiedenen Netzwerkprofile mit der Windows-GUI oder der PowerShell erstellen und verwalten lassen. (Bild: Tobias - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/27/c8/27c894a6b735f36217026e68d68b4a32/0112931765.jpeg "Admins, die ihre Arbeitsstationen und Management-Arbeitsplätze gut abgesichert haben, haben auch gut lachen. (Bild: © deagreez - stock.adobe.com)")