NAT oder !NAT bei IPv6

23. Januar 2012 · Michael Schmidt · Kommentieren · Kategorien: IT-Sicherheit

Die ganze Diskussion um das für und wieder von NAT ist nichts Neues. “Damals” wurde NAT benötigt um den raschen Aufbrauch von IPv4 Adressen Einhalt zu gebieten. Aber die Problemlawine die damit losgetreten wurde, konnte zu der Zeit noch keiner erahnen. NAT hat rein gar nichts mit Sicherheit zu tun. Auch wenn es einige immer wieder als Sicherheitsfunktion anführen. Es war, ist und bleibt eine Krücke, die jedem Admin das Leben schwer macht.

Das häufigste Argument für NAT ist die angebliche Sicherheit. Egal wie oft dies einige Hersteller als Sicherheits-Feature gebetsmühlenartig immer wieder anpreisen, gibt es nur eine Antwort. Die kurze und eindeutige Antwort auf die Frage, ob NAT ein Security-Feature ist, ein ganz klares NEIN! Dazu braucht man sich nur mal vor Augen zu führen, was NAT wirklich macht. Es tauscht lediglich die Quell-IP aus. In dem Moment, in dem ein Host sich über NAT mit einem anderen System verbindet, ist er voll erreichbar. An dieser Tatsache ändert NAT rein gar nichts.

Das NAT bei IPv4 benötigt wird ist jedem klar, es ist auch gut zu wissen, dass man es nun auch unter IPv6 verwenden könnte. Aber will man dies wirklich und auf echte Ende-zu-Ende Verbindungen verzichten? Ein einfaches Beispiel sind eigene Services. Jeder der diese anbietet kennt den Konfigurationsaufwand bei den Firewall-Richtlinien, Forwards und NAT-Regeln. Dazu kommen noch die Split-DNS Zonen die ebenfalls verwaltet werden müssen. Hier ist es dann abhängig, von welcher Seite ein DNS wie antwortet, damit es aus dem LAN und von extern überhaupt möglich ist, das System in der DMZ zu erreichen.

Hat man dazu noch viele Dienste die https nutzen, dann gehen einem sehr schnell die offiziellen IPv4 Adressen aus. Ob OWA oder Outlook-Anywhere, Citrix, Intranet, Portale, Shop- oder andere Bestellsysteme. Alle nutzen https und brauchen jeweils eine IP. Jeder der solche Systeme administriert kennt den Aufwand eine technisch saubere Lösung zu implementieren. Administratoren die für VPN-Verbindungen verantwortlich sind, haben ebenfalls mit NAT ihre Probleme. Besonders dann, wenn es darum geht IPsec Clients anzubinden. Hier gab und gibt es die diversesten Lösungen. Aber diese sind in dem meisten Fällen herstellerspezifisch und alles nur um die Probleme die durch NAT entstehen irgendwie zu kompensieren.

Diese ganzen Probleme war auch der Grund dafür, dass es für IPv6 kein NAT geben sollte. Es kommt zwar immer mal anders als gedacht, aber nur weil es da ist, muss man es ja auch nicht verwenden. Vor allem dann, wenn man aus den ganzen Problemen unter IPv4 seine Lehren gezogen hat. Man sollte auch nie nie sagen, es wird sicherlich in der einen oder andere Konstellation einen sehr guten Grund für NAT geben, nur sollte es vermieden werden wo es nur geht.

Ein häufiges Argument, was immer von den NAT-Befürwortern angeführt wird, ist, dass man so die internen Strukturen verstecken kann. Aber all diejenigen haben sich wahrscheinlich noch nie ihren eigenen Mail-Header angesehen, wo sie schon seit Jahren ihre internen IP und Domänen aller Welt mitteilen. Bei den Infos in einem Mail-Header ist die IP Adresse wohl das geringste Problem.

Ausblick auf 2012

05. Januar 2012 · Michael Schmidt · Kommentieren · Kategorien: Allgemein

Jetzt hat das neue Jahr begonnen und es schreitet mit großen Schritten voran. Wie immer stellt sich die Frage, was sind die Herausforderungen und wohin entwickelt sich die IT? Es ist also Zeit einen Blick in die Glaskugel zu werfen, um zu schauen was vor uns liegt und wohin der Weg führen könnte.

Die IT steht vor einem weiteren großen Wandel. Dieser hat sich in 2011 leicht angedeutet und der Trend wird sich in 2012 weiter vorsetzen. Die Art und Weise, wie wir IT benutzen wird sich grundlegend ändern. Apples iPad wurde anfangs belächelt, aber immer mehr zeigt sich, dass solche Tablets die Zukunft sind. Mit der entsprechenden Infrastruktur im Rücken werden die Tablets “die” Schnittstelle zwischen User und Applikation. Dazu kommt die Sprachsteuerung, die in Zukunft nicht nur einzelne Wörter oder Kommandos versteht, sondern die Bedeutung von ganzen Sätzen richtig interpretiert.

Die Tage der herkömmlichen Arbeitsplätze auf Basis von massiver Rechenleistung, vieler Ressourcen und dem damit verbundenen hohen Energieverbrauch sind mehr als gezählt. Der Prozess hin zu ThinClients und Tablets wird langsam erfolgen, aber dann immer mehr zunehmen und eine Eigendynamik bekommen, die dann das rasante Ende der herkömmlichen Clients einläuten wird. Diese neue Mobilität und Interaktion mit den verschiedensten Endgeräten zum Zugriff auf Information wird die Zukunft bestimmen.

Die Herausforderung an die IT ist es, diese Zugriffe sicher zu gestalten und trotzdem die nötige Flexibilität bereitzustellen, die der Anwender braucht um seine Arbeit erledigen zu können. Das Thema IT-Security ist und bleibt “das” Thema der IT. Ihr Stellenwert wird noch weiter zunehmen. Besonders die Absicherung der Kommunikationswege für mobile Anwender wird ein wichtiges Thema werden. Dazu kommt der Schutz von Sondersystemen, wie zum Beispiel Industrieanlagen. Denn gerade hier können Angreifer sehr große Schäden anrichten und unter gewissen Umständen auch Menschenleben gefährden.

Die klassischen Groupware-Lösungen wandeln sich hin zu Collaboration-Suiten, die dann eine umfassende Kommunikation verschiedener Medien bzw. Dienste bieten. eMail wird in Zukunft im geschäftlichen Umfeld als primäres Kommunikationsmedium abgelöst und durch Dienste wie IM ersetzt werden.

Der Einsatz der neuen mobilen Geräte bedingt aber auch eine Anpassung der eigenen Netzwerk-Infrastruktur. Besonders im Bereich des Wireless LAN. Hier wachsen die Anforderungen in Puncto Verfügbarkeit und Performance. Dies hat dann wiederum Auswirkung auf die kabelgebundene Infrastruktur, die nach wie vor die Basis einer jeden IT-Umgebung darstellt. Änderungen in der Netzwerk-Topologie gehören somit auch zu den kommenden Themen in der IT.

Dieser Wandel hat ebenfalls Auswirkung auf die herkömmlichen Anwendungen, wie Office, Exchange, ERP und sogar CAD oder Design. Anwendungen laufen in der Cloud, wobei die Cloud in den meisten Fällen das eigene Rechenzentrum ist. Durch die zunehmende Verbreitung von Tablets ändert sich auch die Bedienung von Anwendungen, hier dominieren die Touch-Bedienung und in der Zukunft auch die Sprache. Dies wiederum bringt Änderungen in der Darstellung von Applikationen mit sich. Mobile Geräte haben kleinere Displays und dadurch eine geringere Auflösung. Hier werden die Anwendungen flexibler, um sich auf verschiedenen Displaygrößen anpassen zu können.

Dieser Wandel macht aber auch vor den Rechenzentren nicht halt. Hier geht die Entwicklung hin zum so genannten “software driven datacenter”. Die Basis dieser Rechenzentren ist eine vSphere Umgebung, die die Ressourcen vollständig steuert und kontrolliert. Auch in 2012 wird VMware seine Vormachtstellung noch weiter ausbauen und die Grenzen des Möglichen immer weiter ausdehnen. In 2011 war der Wendepunkt zwischen physikalischen und virtuellen Systemen erreicht. Es gab mehr virtuelle als physikalische Systeme.

Es werden auch allmählich andere Prozessoren im Server-Bereich aufkommen, die nicht von Intel oder AMD sind. Gerade Hersteller von Prozessoren für mobile Geräte werden hier Fuß fassen. Es bietet sich auch geradezu an, diese energiesparenden Prozessoren für Systeme und Dienste zu verwenden, für die die Rechenleistung dieser CPU’s ausreichend ist. Auch kann man sich große Serverfarmen auf Basis der neuen Prozessoren vorstellen. Energieeffizienz ist hier das Zauberwort, was sich auch deutlich auf die Kühlung der Rechenzentren auswirkt.

Gerade die Energieeffizienz von IT Komponenten wird auch in 2012 ein wichtiges Thema bleiben. Dazu kommen intelligente Lösungen im Bereich des Energie-Managements. Hier wird sich noch einiges bewegen. Besonders sind hier Systeme mit PoE Versorgung anzuführen. Durch ein intelligentes Management lassen sich hier Ressourcen einsparen, die gut für die Umwelt sind und sich positiv auf die Kosten auswirken.

Es bleibt also auch weiterhin sehr spannend in der Welt der IT.  Wir freuen uns schon jetzt, uns den kommenden Herausforderungen gemeinsam zu stellen.

Ein frohes neues Jahr!

Rückblick auf 2011

19. Dezember 2011 · Michael Schmidt · Kommentieren · Kategorien: Allgemein

Auch dieses Jahr ging schneller zu Ende als man es erhoffte. Die Zeiten in denen wir leben sind geprägt von einem stetigen Fluss der Zeit, der gefühlt immer mehr zu beschleunigen scheint. Es bleibt kaum Zeit Inne zu halten oder vielleicht Dinge mit Abstand zu betrachten oder gar neu zu bewerten. Trotzdem oder gerade deswegen ist es wichtig das vergangene Jahr rückblickend zu betrachten und die kommende Zeit der Ruhe für sich zu nutzen.

Was bleibt einem von 2011 noch in Erinnerung? Es war das Jahr von zwei 25 jähriger Jubiläen. Eines davon war, dass vor 25 Jahren der erste IBM-kompatible Virus ‘Brain’ auftrat und sich über den Boot-Record von Disketten verbreitete. Ebenfalls feierte IBM’s AIX sein 25 jähriges bestehen. Oracle schließt die Sun Übernahme ab und sorgt mit einigen Entscheidung für Wirbel um OpenOffice, Java und MySQL. Die Hersteller von mobilen Geräten liefern sich Grabenkämpfe per Gericht, einstweiligen Verfügungen, Verkaufsverbote und Patentstreitigkeiten.

Ein Ereignis aber überschattet die IT Welt: Der Tod von Steve Jobs. Man mag zu Apple stehen wie mal will, die Leistung von Steve Jobs und wie er die IT direkt und indirekt geprägt hat, muss man anerkennen. Mit ihm geht ein großer Visionär und das öffentliche Gesicht von Apple. Aber er hinterlässt auch ein bleibendes Vermächtnis, was nun von anderen bei Apple weitergeführt werden wird.

2011 war auch das Jahr der digitalen Einbrüche bei namhaften Herstellern. Allen voran ist hier RSA zu nennen, denen die Seeds ihrer Token ‘abhanden’ gekommen sind. In letzter Konsequenz muss nun RSA über 40 Millionen Hardware-Token austauschen. Dazu kommen Einbrüche bei Sony, Rewe, Lockheed Martin und vielen anderen und vor allem die Einbrüche bei CA’s, wie zum Beispiel DigiNotar. Es war auch das Jahr des Bundestrojaners durch die Veröffentlichungen des CCC, mit all den politischen Wellen die dies nach sich zog.

Apple entließ den Löwen mit MacOS “Lion” und auch iOS in der Version 5. VMware veröffentlichte vSphere 5, das vCenter als virtuelle Appliance und baut die Vormachtstellung in Sachen Virtualisierung weiter aus. Microsoft zeigt die Vorabversionen von Windows 8 und ihre Definition von Cloud. Wobei “die” Cloud gibt es nicht, trotzdem war 2011 auch das Jahr der Cloud – zumindest hat jeder seine eigenen.

Aber zurück zur Eingangsfrage: was bleibt denn wirklich in Erinnerung? Wenn man ehrlich ist, nicht wirklich viel. Die Zeit rast und die Menge an Informationen wird nicht weniger. Nur nimmt man diese gar nicht mehr bewusst war. Um so wichtiger ist es dann, wieder Zeit für sich zu haben und sich den Dingen widmen zu können die wichtig sind. Daher hoffen und wünschen wir allen Lesern des Blogs, dass die vor uns liegenden Feiertage dazu beitragen, Ruhe, Abstand und Ausgleich vom Stress des Alltags zu finden.

Auch wollen wir dieses Jahr wieder an diejenigen denken, die nicht das Glück auf ihrer Seite haben. Daher möchten wir auch dieses Jahr auf Weihnachtspräsente verzichten und stattdessen wieder mit einer Spende versuchen ein klein wenig vom Glück zurückzugeben. Wir spenden daher, wie auch im Vorjahr, an ein Kinderhospiz.

Uns bleibt nur noch ihnen allen ein frohes Fest und ein glückliches neues Jahr zu wünschen. Auch möchten wir uns auf diesem Weg für das so wichtige Miteinander bedanken und freuen uns schon auf die neuen Herausforderungen im kommenden Jahr, die wir dann gemeinsam bewältigen werden.

Frohe Weihnachten und ein glückliches neues Jahr!

Zunehmende Bedeutung von Wireless LAN in Unternehmen

25. November 2011 · Michael Schmidt · Kommentieren · Kategorien: Allgemein

Dass in der Lobby oder in Konferenzräumen WLAN zur Verfügung steht ist eine Selbstverständlichkeit. Man möchte ungern fremde Systeme in das eigene LAN lassen. So bieten WLAN’s eine gute Option einen Internet-Zugriff zu ermöglichen und den Zugriff auf das eigene LAN außen vor zu lassen. Aber die Landschaft der Geräte, die die eigenen Mitarbeiter benutzen ändert sich zunehmend.

Die immer größere Zahl mobiler Geräte im Unternehmen benötigt auch eine entsprechende Infrastruktur. Der Sinn und Zweck mobiler Geräte ist ein kabelloser Betrieb, Zugriff auf Informationen und auch Zugriff auf das eigene LAN. Hier dann den Umweg über WWAN und somit über SSL oder VPN zu gehen ist oft suboptimal.

Der Bedarf nach einem flächendeckenden WLAN im Unternehmen ist da, ob man dies nun will oder nicht. So wie sich Tablets und allen voran das iPad durchgesetzt hat, wird auch das WLAN kommen. Die Geräte sind da oder werden kommen. Stellt das Unternehmen kein WLAN zur Verfügung, dann finden die Anwender einen Weg. Jedes halbwegs moderne Mobiltelefon bietet einen WLAN Hotspot für andere Geräte und so etwas im Unternehmen in Betrieb zu sehen, möchte keiner.

Dazu kommt noch, dass WLAN für die Anwender ganz normal ist, jeder 08/15 Home-DSL Router bietet WLAN. Auf diesen Komfort dann im Unternehmen verzichten zu müssen, macht dann erfinderisch. Es entstehen Insellösungen oder „illegale“ WLAN-Segmente.

Auf dem Hintergrund macht es also Sinn, ein WLAN-Netzwerk selbst zur Verfügung zu stellen und dann aber auch die „Spielregeln“ selbst bestimmen zu können. So können dann sichere WLAN-Netzwerk aufgebaut werden. Diese stellen den gewohnten Komfort für die mobilen Endgeräte zur Verfügung, aber die Kontrolle verbleibt in der eigenen IT.

Die aktuell zur Verfügung stehende Technologie bei WLAN Netzwerken bietet genügend Optionen um einen abgesicherten Betrieb zu ermöglichen. WLAN-Netzwerke entziehen sich heute nicht mehr der Kontrolle. Ganz im Gegenteil, die Kontrollmöglichkeiten gehen weiter als im kabelgebundenen Netzwerken. Moderne WLAN-Netzwerke warten mit Bandbreiten auf, die für den Anwender sich nicht mehr von kabelgebundenen Anschlüssen unterscheiden.

Zentrale Verwaltung und Kontrolle von WLAN-Netzwerken ist der Standard. Professionelle AccessPoints bieten ausreichend Leistungsreserven und sind in der Lage hunderte von Verbindungen in einer Zelle zu verwalten. Richtig konzeptionierte WLAN-Netzwerke sind stabil und verfügbar. Zudem bieten sie für bestimmte Einsatzzwecke deutlich mehr Flexibilität als Netzwerke auf Basis einer strukturierten Verkabelung. WLAN-Netzwerke werden zwar nicht die normalen LAN’s ersetzen, aber sie ergänzen diese perfekt.

Gerade die Koexistenz von kabelgebundenen und kabellosen Verbindungen sorgt für die entsprechenden Synergieeffekte und dies im Besonderen in der aktuellen Zeit des Umbruchs in der Geräte und Anwendungslandschaft bei den Anwendern.

Wandel der Applikations- und Serverlandschaft

09. November 2011 · Michael Schmidt · Kommentieren · Kategorien: Allgemein

Die zukünftige Anwendung von IT bringt einen Wandel der Applikations- und Serverlandschaft mit sich. Aktuell befinden wir uns an der Schwelle zu einer grundlegenden Änderung dieser Landschaft. Der Änderungsprozess findet nicht von jetzt auf gleich statt, sondern mit kleinen Dingen und gewinnt aber dann immer mehr an Dynamik hinzu.

Technologien wie virtuelle Server und Storages haben den Grundstein dieser Entwicklung gelegt. Dazu kommen die immer leistungsfähigeren mobilen Geräte, die so gesehen der Motor hinter vielen Entwicklungen sind. Diese mobilen Geräte tragen hauptsächlich zu den Änderungen der Anwendungen bei. Hier muss man sich nur mal vor Augen führen, wie diese Geräte die Kommunikation und auch die Bedienung verändert haben. Zudem stehen Web-Applikationen zur Verfügung, die sich nicht mehr von den installierten Anwendungen unterscheiden.

Diese grundlegende Änderung in der IT wird im Augenblick bei der Betrachtung von Rechenzentren besonders deutlich. Die Racks sind richtig leer geworden, obwohl Leistung und die Anzahl der dedizierten Server noch dazu gestiegen ist. Rechenzentren heute lassen sich auf drei gemeinsam genutzte Bereiche reduzieren: Vernetzung, Ausführung und Storage.

Zugegeben, im Detail betrachtet ist es immer noch komplexer. Aber im Grundsatz sind es diese drei Segmente, die sich einzeln erweitern lassen, wenn eine der drei Ressourcen zur Neige geht. Vor ein paar Jahren wäre dies noch unvorstellbar gewesen. Zu diesem Zeitpunkt war die Technologie einfach noch eine gänzlich andere.

So aber wie die Weiterentwicklung in den Rechenzentren stattgefunden hat, wird es auch bei den Applikationen werden. Hier findet der Wandel bei der Schnittstelle zum Anwender statt und bei der Basis, wie die Anwendungen in den Rechenzentren betrieben werden.

Ein Wandel wird in der Groupware stattfinden. Die Exchange- oder Notes-Umgebungen wie sie aktuell im Einsatz sind, sehen sich mit gänzlich neuen Herausforderern konfrontiert. Vor allem dann, wenn man in Betracht zieht, dass es immer mehr mobile Geräte geben wird und die traditionelle eMail bei vielen schon nicht mehr das primäre Mittel zur Kommunikation ist. Aber davon mehr in den kommenden Artikeln.

vmworld 2011 Europe – Your Cloud, own it

17. Oktober 2011 · Michael Schmidt · Kommentieren · Kategorien: Allgemein

Die vmworld 2o11 in Kopenhagen steht ganz im Zeichen des Cloud-Computings mit all den Veränderungen die dieser Prozess und wie wir IT in Zukunft benutzen mit sich bring. Der Schritt zum Cloud-Computing, wie vmware die Cloud sieht, wird nicht von einem Moment auf den anderen kommen, vielmehr ist es ein Prozess bzw. ein Wandel in der Nutzung von IT.

Besonders deutlich wird dies in der Nutzung von mobilen Geräten. Hier ist vor allen das iPad von Apple anzuführen. Dies ist ein gutes Beispiel in welche Richtung sich IT wandeln wird. Dabei bedeutet Cloud nicht, dass die Daten irgendwo im Internet liegen, sondern hier bedeutet Cloud auch die Infrastruktur die das jeweilige Unternehmen seinen Mitarbeitern zur Verfügung stellt. Apps werden in Zukunft eine wichtige Rolle in der IT eines Unternehmens spielen.Der nächste wichtige Punkt ist der mobile Zugriff auf die Ressourcen eines Unternehmens. Informationen zu jeder Zeit und von überall im Zugriff, sind die kommenden Herausforderungen.

Diese Änderungen bringen neue Anforderungen an die IT mit sich. Diese sollen in zukünftigen Artikeln hier im Blog beleuchtet und auch hinterfragt werden. Dies hier ist der Start einer Serie von Artikeln zum Thema vmware und Cloud, die aber eine globale Sichtweise auf die IT geben sollen. vSphere 5 und mobile Geräte sind nur die eine Seite der Medaille. Die andere Seite ist mindestens ebenso wichtig. Nur wenn die Gesamtheit der IT-Infrastruktur funktioniert, kommt auch der Mehrwert und der Nutzen.

 

Zickzack-Kurs bei HP?!

25. September 2011 · Michael Schmidt · Kommentieren · Kategorien: Allgemein

Bei allem hin und her bei HP und den fast täglichen Berichten in den Medien, ist es wichtig das ganze sachlich und objektiv zu betrachten. Auch muss man sich die Frage stellen, wie viel Politik ist hinter den Kulissen am Werk?

Was wird sich denn ändern? Das Server- und Netzwerk-Segment stand nie in Frage. Es ging primär um das Client- und Tablet-Segment. Im Grunde genommen den gleichen Schritt, den IBM schon hinter sich hat. IBM hat auch diesen Bereich zu Lenovo ausgelagert und sich mehr auf Dienstleistungen und das Server-Segment konzentriert.

Natürlich kann man über das wie es abgelaufen ist diskutieren. Aber es ändert nichts an der Tatsache, dass es mittel- bis langfristig zu Änderungen in dem wie wir IT benutzen stattfinden werden. Auf diese Änderung richtet sich HP, mit mehr oder weniger Geschick, aus.

Es besteht kein Grund in Panik zu verfallen und die Nutzung von HP Systemen grundsätzlich in Frage zu stellen. Es gibt weder einen Handlungsbedarf noch die Nutzung von HP Systemen in laufenden oder kommenden Projekten zu hinterfragen. Auch in der Welt der “Clouds”, Server-Systeme und Netzwerke sind die Basis – für jede Wolke.

Daher gilt die Entwicklung abzuwarten und dann auf Basis von Information und nicht auf Spekulationen Entscheidungen zu treffen.

DigiNotar CA-Hack

09. September 2011 · Michael Schmidt · Kommentieren · Kategorien: Allgemein, IT-Sicherheit

Das ganze Ausmaß des CA Hacks kommt allmählich ans Licht. Aber wie schon beim Diebstahl der RSA Seeds ist diesmal auch wieder die Informationspolitik des betroffenen Unternehmen mehr als unzureichend. Wie kann es sein, dass mehr oder weniger bewusst völlig unzureichende Informationen herausgegeben werden? Auf jeden Fall hat dieser Vorfall eines wieder ganz deutlich gezeigt: Das Bewusstsein für Sicherheit in der digitalen Welt ist bei vielen kaum bis gar nicht vorhanden.

DigiNotar das Vertrauen zu entziehen war nur konsequent und richtig. Nur ist dies mangels Informationen von DigiNotar viel zu spät erfolgt. Trotzdem gilt es jetzt so schnell wie möglich die Updates der Hersteller für Betriebssysteme und Browser zu installieren. Hier ist in jedem Fall ein dringender Handlungsbedarf bei allen Systemen die Zertifikate verwenden gegeben. Da keine Informationen darüber vorliegen, wie groß das Ausmaß wirklich ist, kann jede als sicher oder echt geklaubte Verbindung kompromittiert sein.

Wegen dieser Ungewissheit ist es jetzt sehr wichtig die Updates umgehend zu installieren!

Grundsätzlich zeigt dies auch, wie wichtig ein umfassender Schutz am Perimeter ist. Vor allem dann, wenn ein solcher Schutz in der Lage ist ungültige Zertifikate zu erkennen. Denn je nach Größe einer Umgebung lassen sich die Updates nun mal nicht in der notwendigen Kürze installieren. Hier übernimmt dann der Schutz am Perimeter in der Zwischenzeit diese Aufgabe. Trotzdem gilt es nach wie vor die Updates auf die Systeme zügig auszubringen.

Sicherheit bietet keine Option zu Kompromissen, konsequentes Handeln ist hier die Vorgabe und es gilt diese umzusetzen.

Data Leak Prevention – DLP

15. August 2011 · Michael Schmidt · Kommentieren · Kategorien: Datenschutz, IT-Sicherheit

Die Kommunikationswege werden immer komplexer und für den einzelnen Anwender kaum noch überschaubar. Daher kommt es immer häufiger vor, dass unbeabsichtigt interne Informationen an Dritte weitergegeben werden. Schlimmer ist es natürlich noch, wenn dies absichtlich geschieht. Um dies zu verhindern kommt auf den Schutz am Perimeter eine neue Aufgabe zu. Hier an der Schnittstelle zum Internet ist so zu sagen die letzte Bastion, die die Daten im Unternehmen hält. Dieser neuen Herausforderung gilt sich nun zu stellen.

Alleine der Datenverlust der unbeabsichtigt und durch Unachtsamkeit passiert, nimmt schon einen großen Anteil der täglich verlorenen Daten ein. Wie schnell passiert es, dass die automatische Vervollständigung von Empfängern im Mail-Client dafür gesorgt hat, dass nicht der gewünschte Empfänger die Mail bekommen hat, sondern jemand ganz anderes. Auch sind Weiterleiten und Antworten schnell verwechselt. Dazu kommt oft noch, dass die vorhergehende interne Kommunikation gar nicht mehr beachtet wird und diese unbemerkt an einen Kunden gesendet wird.

So passiert es dann ganz ohne jegliche Absicht, dass Daten oder Informationen die nicht für externe bestimmt sind das Unternehmen verlassen. Dazu kommt noch, dass Schadcode in Form von Trojanern oder Würmern die vorhandene Email-Infrastruktur nutzen um die von ihnen gestohlenen Information aus dem Unternehmen zu bekommen. Die Wege auf denen die Informationen abfließen können sind vielfältig.

Daher braucht es eine Technik, die in der Lage ist dies zu erkennen und dann entsprechend einschreitet bevor es zu spät ist. Wichtig ist in diesem Zusammenhang, dass der Anwender mit einbezogen wird. Besonders dann, wenn es nicht sicher ist, ob es sich um eine gewünschte Aktion handelt. Ein Beispiel hierfür könnte die Kommunikation mit einer Sozietät oder einem Finanzdienstleister sein. In diesem Fall kann es durchaus legitim sein bestimmte Informationen auszutauschen. Trotzdem gilt auch hier, dass gerade Email keine sichere Form für vertrauliche Informationen ist. Selbst in diesem Fall kann die DLP helfen, dass solch sensible Informationen nicht im Klartext per Email übertragen werden.

Die neue Aufgabe, wichtige und sensible Informationen im Unternehmen zu behalten, ist wichtiger denn je. Besonders dann, wenn Informationen nur noch digital vorhanden sind, ist deren Kontrolle eine komplexe Angelegenheit die es zu bewältigen gilt. Diese Aufgabe muss von den Systemen an der Schnittstelle zum externen Netzwerk erfolgen. Dann ab hier ist jegliche Kontrolle aus der Hand gegeben, wenn die Informationen erst einmal diesen Punkt passiert haben.

Die Data Leak Prevention (DLP) ist aber keine Funktion die Anwender zu gängeln, sondern sie soll die Anwender unterstützen. Bei der täglichen Arbeit verhindert sie Missgeschicke und in Fällen von Schadcode der die Infrastruktur missbraucht, wird verhindert, dass die Informationen unkontrolliert abfließen. Der Schutz der eigenen Informationen und somit den Unternehmenswerten an sich, ist die Herausforderung die es zu bewältigen gilt. Die Bedrohung ist nicht nur in theoretischer Form vorhanden, sie ist real. Das zeigen die Einbrüche bei Rewe, Penny, Sony, Lockheed Martin, Epic Games, …

Bei Fragen zur DLP, stehen wir wie gewohnt zur Verfügung.

Schutz kritischer Daten

20. Juli 2011 · Michael Schmidt · Kommentieren · Kategorien: Datenschutz, IT-Sicherheit

Die jüngsten Ereignisse von digitalen Einbrüchen und unzureichend Geschützen Daten führt nur zu gut vor Augen wie Anfällig vernetzte Systeme sein können. Da ist nur der Diebstahl bei RSA ein weiterer Punkt in der Kette zu schwacher Absicherung. Wer jetzt wieder mit dem “Argument” kommt, “Bei uns ist nicht wichtiges” der verkennt völlig die aktuelle Lage. Das “Wichtige” sind die Daten, ob in der privaten Wirtschaft, öffentlichen Stellen oder gar Patienten- oder Gesundheits-Daten.

Alle diese Daten stellen einen erheblichen Wert da und müssen mit allen technischen und organisatorischen Maßnahmen geschützt werden. Ist dies nicht der Fall, entstehen sehr schnell massive Schäden und dies nicht nur im finanziellen Bereich. Wichtig ist zu aller erst, die Sensibilisierung und das Verständnis dafür, wie wichtig die eigenen Daten sind. Werden die Daten so wahrgenommenen, was sie tatsächlich sind – eine hohes wirtschaftliches Gut – ist schon mal viel gewonnen.

Die Absicherung von Daten und somit der Infrastruktur ist dann der nächste Schritt. Hier ist es besonders wichtig von Anfang an ein Infrastruktur-Design zu verfolgen, was strikt auf Sicherheit ausgelegt ist. Sicherheit ist nicht lästig, sondern ein Grundsatz!

Aber Sicherheit fängt schon im Kleinen an. Hier sollte mal jeder für sich die Frage beantworten, warum die Windows Firewall in den meisten Fällen einfach nur aus ist, statt Regeln einzufügen die nur die notwendigen Zugriffe gestatten?! Warum sind Sicherheitsfunktion die von den Betriebssystemen “frei Haus” mitkommen nicht genutzt? Fällt die Antwort hier ehrlich aus, dann kommt sie recht nahe an “Bequemlichkeit”. Ist die Antwort “keine Zeit”, dann ist es um die IT schlimm bestellt. Wenn keine Zeit für den Betrieb einer abgesicherten Infrastruktur da ist, dann ist dies nicht das einzige Problem dieser IT-Umgebung. Aber hier ist man wieder an dem Punkt der Sensibilisierung.

Ein einfaches Beispiel ist die Mail-Infrastruktur. Natürlich will keiner ein Open-Relay sein und von Spammern missbraucht werden. Aber muss auf der anderen Seite ein Mail-Server ein Open-Relay in der eigenen Infrastruktur sein? Um es drastischer auszudrücken: Tut das Not? Sicher nicht. Begrenzt man hier die Hosts für die relayed wird, dann ist schon mal viel gewonnen. Das System kann dann nicht durch irgendeinen Host der mit einem Bot oder Trojaner infiziert ist zum Versand von Mail genutzt werden. Auch beim Mail-System sollte man noch einen Schritt weitergehen. Gerade auf dem Hintergrund, dass man eine Infektion durch einen Bot oder Trojanes nicht ausschließen und um Opfer werden kann, ist eine Outbound Mail-Kontrolle ebenso wichtig. Viele Sicherheitssysteme geben diesen Schutz ja her, er muss genutzt werden.

Kombiniert man diese Outbound-Kontrolle noch mit einer Data Leak Prevention, dann ist dem Missbrauch der Mail-Systeme noch ein größerer Riegel vorgeschoben.

Zu den organisatorischen Aufgaben gehört die Überarbeitung der Datei-Rechte des File-Servers. Diese ist ebenfalls ohne neue Systeme und einfach mit dem Vorhandenen zu realisieren. Hier sind die Fragen, wer muss auf was und warum zugreifen zu beantworten. Der Grundsatz der minimalen Rechte sollte auch hier gelten. Nur das was wirklich benötigt wird, sollte auch zur Verfügung stehen – aber auch nicht mehr. Dies hat auch einen pragmatischen Hintergrund, ist ein Client von Schadcode befallen, dann kann er nicht alle Dateien einer Freigabe infizieren.

Diese einfachen und meist schon vorhandenen Optionen zeigen mit welchen einfachen Mitteln die Sicherheit in der eigenen Infrastruktur deutlich zu erhöhen ist. Ist dies passiert, dann müssen die nächsten Schritte folgen. Sonst verpufft die Initiative einfach und die schon investierte Zeit ist ebenfalls einfach so verloren. Wie schon oft in den Blog-Artikel beschrieben, Sicherheit ist ein dynamischer Prozess und kein statisches Konstrukt. Stetige Anpassungen und Verbesserungen sind der Garant einer geschützten Infrastruktur.

Die nächsten Schritte die dann folgen, sind ein Re-Design der Infrastruktur mit der Ausrichtung auf Sicherheit und dem Schutz der eigenen Daten. Dazu gehören die technische, aber eben auch die organisatorische Ausrichtung, die immer die Zielsetzung auf Sicherheit haben muss.

Es gibt natürlich nicht “die” Maßnahmen, sondern immer ein an die jeweilige Organisation angepasstes Konzept. Daher will der Artikel nicht “die” Lösung präsentieren, sondern vielmehr sensibilisieren und auf die Dringlichkeit dieses Themas hinweisen.

Bei Fragen zum Thema sind wir, wie immer, wie gewohnt zu erreichen.

« Ältere Beiträge