Kontrolle ausgehender Hostverbindungen

Der geänderte Anspruch an die Sicherheit von IT-Systemen bedeutet auch ein Umdenken bei den Maßnahmen zu deren Absicherung. Da es sich gezeigt hat, dass Antiviren Produkte bei sich schnell ausbreiteten Schadcode durch die Latenzzeit des Pattern-Updates zu träge sind um auf die aktuelle Gefahr reagieren zu können, müssen andere Mechanismen gefunden werden.

Bei diesen Überlegungen muss man davon ausgehen, dass die Infektion eines einzelnen Host nicht verhindert werden kann. Auf dieser Basis wird dann das neue Konzept zur Absicherung entwickelt. Zusätzliche Maßnahmen sind auf Terminal-Servern erforderlich, da bei diesen Systemen ein Schaden sofort mehrere Anwender betrifft.

Aus der Prämisse heraus, dass Schadcode bis zum Host kommt, bleibt nur die Kontrolle seiner Verbindungen und Applikationen. Gerade bei ausgehenden Verbindungen ist deren Kontrolle und vor allen die Beschränkung auf die notwendige Kommunikation ein wichtiges Mittel zur Eindämmung von Infektionen. Natürlich gilt dies auch für eingehende Verbindungen. Hier ist es auch wichtig, diese auf nur die notwendige Kommunikation zu beschränken.

Microsoft hat bei den aktuellen Betriebssystemen in diesem Bereich mit den neuen Firewall-Funktionen unter Server 2008 und Windows 7 einen großen Schritt zu mehr Sicherheit gemacht. Hier gilt es aber jetzt die Möglichkeiten der Systeme auch zu nutzen und nicht wichtige Sicherheitsfunktionen brach liegen zu lassen. Bei Linux und Co. gilt dies ebenfalls, wobei hier die Firewall-Funktionen ein alter Hut sind und schon seit je her zum System gehören. Auch hier müssen diese Funktionen genutzt werden. Sehr viele Distributionen bieten entsprechende Werkzeuge an um auch hier ein wirkungsvolles Regelwerk aufzubauen und zu verwalten.

Dies geht schon deutlich in Richtung des Jericho-Konzept, aber der Schutz am Perimeter ist trotzdem unabdingbar. Hier braucht es Systeme die weiterreichende Schutzfunktionen bieten als ein Paketfilter auf dem Host, wenn auch mit Statefull Inspection. Der Betrieb von mehrstufigen Firewall-Systemen und Application-Level-Gateways zeigt, dass dies mit zu dem Effektivsten gehört, was moderne Sicherheitssysteme bieten können. Nur können diese Systeme nicht verhindern, dass sich Schadcode innerhalb von Netzwerksegmenten bei den Hosts untereinander ausbreiten kann.

Zwar ist die Wahrscheinlichkeit sehr hoch, dass bei entsprechend konfigurierten Systemen am Perimeter verhindert wird, dass der Schadcode über das Internet seinen Steuerungsserver kontaktiert und der bzw. die infizierten Hosts auffällig werden. Oft ist es aber dann schon zu spät und es sind ganze Netzsegmente oder mehr befallen. Hier müssen jetzt die zusätzlichen Maßnahmen greifen und verhindern, dass sich der Schadcode ungehindert ausbreiten kann. Weitere Informationen gibt auch der Artikel „Any Allow vs. Aufwand“ zu diesen Maßnahmen.

Dass die neuen Maßnahmen benötigt werden, daran besteht kein Zweifel. Das zeigt auch der kürzlich bekannt gewordene Angriff auf Google und weitere US Firmen mit dem Codenamen Aurora. Es ist aber keine leichte Aufgabe das richtige Konzept zu erarbeiten. Hier bedarf es viel Erfahrung und entsprechendem Wissen, um ein funktionierendes Gesamtsystem erfolgreich zum Einsatz zu bringen. Einzelmaßnahmen und Insellösungen hingegen sind keine Option. Die Sicherheit einer IT-Infrastruktur bleibt immer ein Gesamtsystem und ein dynamischer Prozess, der sich ständig an die sich ändernden Gefahren anpassen muss. Daher sind hocheffiziente und gleichzeitig flexible Lösung notwendig um diesem Anspruch gerecht zu werden.

Bei Fragen zu diesen Themen stehen wir Ihnen gerne zu Verfügung, sprechen Sie und an.

Leave a Comment