NIST-Leitfaden „Guide to General Server Security“ Netzwerkhärtung nach NIST-Standards

Von Dipl. Betriebswirt Otto Geißler Lesedauer: 4 min |

Anbieter zum Thema

Eine profunde Netzhärtung trägt dazu bei, Schwachstellen innerhalb einer Infrastruktur zu reduzieren. Ein NIST-Leitfaden gibt eine Reihe von Standards zur Netzhärtung vor, um Unternehmen bei der Optimierung ihrer Netzwerksicherheit zu unterstützen.

Noch vor der Einführung von performanten Security-Tools sollte über eine Härtung der Netzwerke, Server, Anwendungen, Datenbanken sowie Betriebssysteme nachgedacht werden.
Noch vor der Einführung von performanten Security-Tools sollte über eine Härtung der Netzwerke, Server, Anwendungen, Datenbanken sowie Betriebssysteme nachgedacht werden.
(Bild: sarayut_sy - stock.adobe.com)

Der NIST-Leitfaden „Guide to General Server Security“ des National Institute of Standards and Technology (NIST) hilft dabei, unnötige Komponenten aus Netzwerkumgebungen zu entfernen, Prozesse zur Authentifizierung des Benutzerzugriffs auf Netzwerke zu implementieren und Zugriffskontrollen für Netzwerkressourcen einzurichten.

Netzwerkhärtung bezieht sich auf alle Prozesse, die darauf abzielen, Sicherheitslücken innerhalb einer IT-Security-Infrastruktur zu minimieren. Diese Standards sollen Unternehmen bei der Steuerung ihrer Prozesse zur Optimierung der Netzwerksicherheit für die gesamte IT-Infrastruktur unterstützen. Innerhalb eines IT-Security-Programms trägt die Netzwerkhärtung dazu bei, Sicherheitsrisiken in Bezug auf Schwachstellen in Netzwerk-Konfigurationen und Geräten sowie nicht wesentliche Dienste, die auf IT-Systemen ausgeführt werden, zu mindern.

Über Netzwerke hinaus kann die Härtung auf alle Komponenten innerhalb ihrer Infrastruktur angewendet werden. Zu den IT-Systemkomponenten, die durch Härtung gesichert werden können, gehören beispielsweise:

  • Anwendungen, die verwendet werden, um End-Usern Netzwerk- oder Systemzugriff bereitzustellen, wie beispielsweise Web-Applikationen und mobile Anwendungen.
  • Hardware, die zum Hosten von Netzwerken und Software verwendet wird, wie beispielsweise physische Server, Desktops und mobile Geräte.
  • Datenbanken, um sensible User-Daten und System-Dateien zu speichern.

Da Netzwerke häufig Angriffspunkte für Hacker sind, fungiert die Netzwerkhärtung als erste Verteidigungslinie für eine IT-Security-Infrastruktur. Die Einhaltung von Härtungsstandards für Netzwerkgeräte, wie sie beispielsweise von der NIST vorgegeben sind, trägt dazu bei, die Netzwerksicherheit zu stärken und so eine effektive IT-Security zu etablieren.

Auflistung der Standards für Netzwerkhärtung

Die NIST-Netzwerk-Härtungsstandards wurden entwickelt, um Unternehmen dabei zu helfen, ihre gesamte Netzwerk-Infrastruktur zu sichern. Angefangen von einfachen Endpunkten bis hin zu anspruchsvolleren Netzwerkgeräten. Als solche gehen sie von grundlegenderen Kontrollen und Überlegungen zu komplizierteren über. Indem die Richtlinien in den Netzwerk-Härtungsstandards beachtet werden, können Unternehmen robuste Netzwerk-Sicherheitskontrollen implementieren und deren Implementierung in der gesamten IT-Infrastruktur standardisieren.

Entfernung unnötiger Netzwerkkomponenten

Bei der Netzhärtung ist es entscheidend, alle Komponenten zu entfernen oder zu deaktivieren, die für das tägliche Funktionieren eines Netzwerks nicht erforderlich sind. Für den Fall, dass die Netzwerk-Komponenten nicht entfernt werden können, müssen sie deaktiviert werden, um Sicherheitsrisiken für das Netzwerk zu minimieren. Beispiele für Netzwerk-Komponenten, die deaktiviert oder vollständig entfernt werden sollen:

  • Legacy-Protokolle, die an der Paketübertragung beteiligt sind, wie beispielsweise Echoprotokoll, Chargen-Protokoll, Entlassungsprotokoll, BootP-Dienstprotokoll.
  • File Transfer Protocols (FTP) zur Dateiübertragung.
  • Simple Network Management Protocol (SNMP) zur Verwaltung von Netzwerkgeräten.
  • Simple Mail Transfer Protocol (SMTP) zur Verwaltung von E-Mail-Diensten.
  • Dienste, die über HTTP-Protokolle mit dem Internet verbunden sind.
  • Erkennungsprotokolle zur Verwaltung des Informationsaustauschs zwischen Geräten.
  • Schnittstellen und Routing-Protokolle, die derzeit nicht verwendet werden.

Es ist wesentlich einfacher, die Netzwerke zu schützen, wenn funktionale Komponenten entfernt statt deaktiviert werden. Denn Hacker können die Einstellungen für fehlende Komponenten nicht ändern, wobei es möglich ist, nicht autorisierte Änderungen an deaktivierten Komponenten vorzunehmen.

Implementierung von Zugriffsauthentifizierungen

Netzwerke können ebenfalls gehärtet werden, indem Prozesse zur Authentifizierung des Benutzerzugriffs implementiert werden. Die Netzwerkhärtung durch Benutzer-Authentifizierung ist besonders hilfreich für Netzwerke mit hohem Verkehrsaufkommen, in denen User mit unterschiedlichen Berechtigungen häufig für unterschiedliche Zwecke auf Netzwerke zugreifen.

Die NIST-Leitlinien empfehlen die Authentifizierung des Benutzerzugriffs auf Netzwerke durch das Entfernen oder Deaktivieren von Standard-Benutzerkonten, die für das Funktionieren des Netzwerks nicht wesentlich sind. Dazu gehören beispielsweise Gastkonten mit oder ohne Passwörter, redundante Administratorkonten, nicht interaktive Benutzerkonten und Kennwörter, die im Netzwerk vorhanden sein müssen uvm.

Zugriffskontrollen für Netzwerke einrichten

Die NIST-Leitlinien empfehlen außerdem die Einrichtung spezifischer Kontrollen für die Verwaltung des Netzwerkzugriffs über die Authentifizierung hinaus, um potenzielle Cybersicherheitsrisiken zu mindern. Zu diesen Zugriffskontrollen gehören beispielsweise das Verweigern des Lesezugriffs auf sensible Dateien im Netzwerk, das Verhindern unbefugter Datenänderungen, das Einschränken von Ausführungsberechtigungen auf Administratoren und nicht auf einfache Benutzer uvm.

Jetzt Newsletter abonnieren

Täglich die wichtigsten Infos zur IT-Sicherheit

Mit Klick auf „Newsletter abonnieren“ erkläre ich mich mit der Verarbeitung und Nutzung meiner Daten gemäß Einwilligungserklärung (bitte aufklappen für Details) einverstanden und akzeptiere die Nutzungsbedingungen. Weitere Informationen finde ich in unserer Datenschutzerklärung.

Aufklappen für Details zu Ihrer Einwilligung

Die Netzwerkhärtung gilt ebenso für Firewalls, die als wichtige Sicherheitsvorkehrungen dienen, um potenziell schädlichen Datenverkehr beim Zugriff auf sensible Netzwerk-Umgebungen zu mindern. Die NIST-Leitlinien empfehlen Firewalls während ihrer Installation und Konfiguration folgendermaßen zu härten:

  • Firewalls müssen auf der Grundlage der empfohlenen Industrie-Sicherheitsstandards betrieben werden.
  • Sicherheitspatches und andere wichtige Updates müssen für softwarebasierte und hardwarebasierte Firewalls installiert werden.
  • Firewalls müssen von ausgewiesenem Personal verwaltet werden.

Checkliste zum Härten von Geräten

Angesichts des Volumens, der Vielfalt und der Komplexität der mit dem Netzwerk verbundenen Geräte, die gesichert werden müssen, kann eine Checkliste dazu beitragen, die Prozesse zum Härten von Netzwerken zu optimieren. Dafür sollten mindestens folgende Punkte berücksichtigt werden:

  • Sicherheitspatches und Updates müssen zeitnah bereitgestellt werden.
  • Prozesse zur Netzwerkhärtung werden vor der Implementierung getestet.
  • Konfigurationsdateien, die zum Härten von Netzwerken verwendet werden, sind zu sichern.
  • Netzwerk-Sicherheitstests werden routinemäßig durchgeführt.

Der Return on Investment (ROI) der Netzwerksicherheit kann optimiert werden, indem die Netzwerke basierend auf den Richtlinien eines oder mehrerer Standards für die Netzwerkhärtung verbessert werden. Die Zusammenarbeit mit einem Managed Security Services Provider (MSSP) hilft dabei, die Prozesse zur Netzwerkhärtung an die spezifischen Anforderungen der IT-Security-Infrastruktur anzupassen.

(ID:49531769)