als PDF

Transcription

als PDF
ix.0307.x.01-12.neu1
30.01.2007
15:38 Uhr
Seite I
sponsored by:
Ein Verlagsbeihefter der Heise Zeitschriften Verlag GmbH & Co. KG
IT-Security
extra
Gebündelte
Sicherheit
IT-Security
Unified-Threat-Management-Systeme –
Konzepte, Funktionen
Schwerpunkt:
Unified Threat
Management
Singuläre Lösungen als Sicherheitsmaßnahmen
können die vielfältigen Angriffsarten heutzutage
nicht mehr abwehren. Sie müssen Hand in Hand
arbeiten, Ergebnisse austauschen und auswerten
können, und nicht zuletzt muss ein Systemverwalter
den Überblick über die einzelnen Werkzeuge
behalten. Unter der Bezeichnung Unified Threat
Management bündeln die Hersteller die
unterschiedlichen Sicherheitstechniken und
-funktionen zu umfangreicheren Produkten.
Unified-Threat-Management-Systeme –
Konzepte, Funktionen
Gebündelte Sicherheit
Seite I
Unified Threat Management in der Praxis
Vereint und doch verteilt
Seite X
Vorschau
Storage
Schwerpunkt:
Komplettlösungen fürs SAN
Veranstaltungen
27. Februar – 2. März, Berlin
GUUG-Frühjahrsfachgespräch
www.guug.de/veranstaltungen/ffg2007
15. – 21. März, Hannover
Cebit 2007
www.cebit.de
16. – 20. April, Hannover
Hannover-Messe Industrie (HMI)
www.hannovermesse.de
24. – 26. April, London
Infosecurity Europe
www.infosec.co.uk
22. – 24. Mai, Bonn
Deutscher IT-Sicherheitskongress (BSI)
www.bsi.bund.de/veranst/IT-SiKongress/
Seite XII
as Spektrum der Angriffe
auf IT-Systeme weitet
sich aus und damit wächst
auch die Bedrohung. Die Bandbreite der Attacken reicht von
solchen auf die Hardware, das
Betriebssystem, Softwareplattformen wie Application-Server,
Systemdienste und Softwarebibliotheken bis hin zu den
Client-Applikationen. Aber auch
die Benutzer sind häufig Ziel
von Angriffen. Dazu gehören
etwa Phishing-Angriffe, der
Diebstahl von Kennwörtern
oder das Ausspähen von Informationen.
Bricht man die Angriffe weiter auf die grundlegenden ITSysteme und Dienste herunter,
so zeigt sich, dass nahezu kein
Segment verschont bleibt: Router, Firewalls, Webserver, Application-Server, DatenbankServer und natürlich die Betriebssysteme und ihre Serverund Netzwerkdienste wie DNS.
Neben all diesen Serverfunktio-
D
nen sind aber auch Client-Geräte den Angriffen ausgesetzt,
unabhängig davon, ob es sich
um einen stationären Desktop,
ein Notebook oder ein anderes
mobiles Gerät wie PDA, MDA
oder Handy handelt.
Breites Spektrum
an Bedrohungen
Hier geht es ebenfalls um
Diebstahl von Daten oder Geräten, Angriffe durch Schadcode, etwa Viren oder Trojaner, Command- und SQL-Injections, Cross-Site Scripting,
E-Mail-Spam, Angriffe über Instant Messaging bis hin zu Denial-of-Service-Attacken auf
die Betriebssysteme oder
Netzwerkhardware. Hinzu
kommt, dass die Angriffstechniken immer ausgereifter werden, wie man beispielsweise
bei Rootkits sehen kann: Sie
nisten sich tief in die Systeme
ein und bringen gewisserma-
I
ix.0307.x.01-12.neu1
30.01.2007
15:38 Uhr
Seite II
IT-Security
ßen ihre Tarnkappe zur Verschleierung gleich mit.
Die Ausbreitung der Angriffe auf alle Ebenen zeigt auch,
dass der alleinige Gebrauch
von Virenscannern oder Firewalls schon lange keinen ausreichenden Schutz mehr bietet. Als Reaktion auf die neuen
Angriffstechniken haben die
Sicherheitshersteller daher
vielfältige Techniken und Werkzeuge entwickelt. Neben den
Virenscannern und Firewalls
haben sich in den letzten Jahren Intrusion-Detection- und
-Prevention-Systeme sowie
Scanner für Malware, Spyware,
Adware oder Spam etabliert.
Honeypots und Werkzeuge für
das Patch-Management ergänzen das Sicherheits-Portfolio.
Außerdem gibt es noch jene
Sicherheitswerkzeuge, mit
deren Hilfe sich die Rechnerfunktionen und Aufgaben einschränken lassen. Dazu gehört
das Sperren ganzer Anwendungen und des Kopierens von
Daten auf bestimmte, als unsicher geltende Datenträger sowie
die Kontrolle jeglicher Kommunikation des Rechners mit ande-
ANBIETERÜBERSICHT UTM-LÖSUNGEN
Die Aufstellung erhebt keinen Anspruch auf Vollständigkeit.
Hersteller
Altiris
Astaro AG
BorderWare
Check Point
Cisco Systems
Clavister
Collax
Computer Associates
Crossbeam
Finjan
Fortinet
Gateprotect
Heavensgate Solution GmbH
IBM
Internet Security Systems
Ironport
Juniper Networks
LANDesk Software
McAfee
Message Labs
Microsoft
NetASQ
Panda Software
Phion
Qualys
Radware
Secure Computing
Securepoint
SmoothWall
Shavlik
Softwin
SonicWall
Stonesoft
SurfControl
Symantec
Trend Micro
VarySys
Vasco
Watchguard
Websense
II
Produkt / Produktreihe
Security Management Suite
Security Appliances
BorderWare Infinity Platform
VPN-1
Cisco Integrated Servies Router
Clavister SSP
Collax Security Gateway
eTrust
X-Series und C-Series
Security Switches
Vital Security
Fortigate
Gateprotect, Serie A, X
Heavansgate FW/VPN
Tivoli Security Compliance Manager
Proventia
Security Appliances
Secure Services Gateway
LANDesk Security Suite
Total Protection
EmailProtect, WebProtect
Forefront, ISA
Fxxx-Appliances
Gate Defender Integra
netfence M
Vulnerability Management
DefensePro, SecureFlow
Sidewinder
Security Solutions
Advanced Firewall 2
NetChkProtect
BitDefender
PRO und TZ-Firewalls/VPN
StoneGate
SurfControl Filter
Symantec Gateway Security
InterScan
PacketAlam
aXs Guard
Firebox
Web Security Suite
Link
www.altiris.de
www.astaro.de
www.borderware.com
www.checkpoint.de
www.cisco.de
www.clavister.com
www.collax.com
www.ca.com
www.crossbeamsystems.com
www.finjan.com
www.fortinet.com
www.gateprotect.de
www.heavensgate-solution.de
www.ibm.com
www.iss.net
www.ironport.com
www.juniper.net
www.landesk.de
https://secure.nai.com
www.messagelabs.com
www.microsoft.com
www.netasq.com
www.panda-software.de
www.phion.com/de
www.qualys.com
www.radware.com
www.securecomputing.com
www.securepoint.de
www.smoothwall.net
www.shavlik.com
www.bitdefender.de
www.sonicwall.de
www.stonesoft.de
www.surfcontrol.com
www.symantec.de
de.trendmicro-europe.com
www.packetalarm.com
www.vasco.com
www.watchguard.de
www.websense.de
ren Systemen und peripheren
Bausteinen. Port- und DeviceBlocker kontrollieren durch eine
gezielte Sperrung oder Freischaltung die Kommunikationsmöglichkeiten der Client-Systeme. Ziel ist, alle denkbaren
Wege, über die Informationen
ein Gerät verlassen könnten, zu
versperren. Zu den überwachten
Kommunikationseinrichtungen
zählen alle Schnittstellen des
Rechners, von seriellen Kanälen,
USB- und WiFi-Anschlüssen bis
zu den Wechselmedien.
Zwar erfüllen all die angebotenen Produkte und darin enthaltenen Techniken ihre Funktion, doch unabhängig von ihrer
sicherlich unterschiedlichen
Qualität bleiben Lücken und
Mängel. Das hat mehrere Gründe: Die Produkte stammen von
verschiedenen Herstellern und
sind daher funktional nicht integriert, arbeiten also mehr
schlecht als recht zusammen.
Eine Folge davon ist, dass sie
über jeweils eigene Verwaltungswerkzeuge, mit verschiedenen Konfigurationsmöglichkeiten und Abläufen zu bedienen sind. Zusätzliche Fehlerquellen bei der Nutzung oder
unzureichende Konfigurationen
und damit wieder Sicherheitsmängel sind unvermeidlich.
Angesichts der aktuellen Situation sind neue Sicherheitsansätze gefragt. Zu diesem
Schluss kommt auch die Studie
„IT Sicherheit 2005“ des Markforschungsunternehmens Lünendonk in Zusammenarbeit
mit Computer Associates. Lösungen sind gefordert, die die
IT-Sicherheit erhöhen und zugleich den Administrationsaufwand reduzieren. Solche Anforderungen lassen sich aber nur
durch eine stärkere Integration
der Produkte in umfangreichere
Sicherheitspakete erfüllen. Unified Threat Management (UTM)
heißt das neue Schlagwort,
unter dem viele Sicherheitshersteller die ehemals einzelnen
Funktionen beziehungsweise
Produkte zusammenführen und
in ein ganzheitliches SicheriX extra 3/2007
ix.0307.x.01-12.neu1
30.01.2007
15:38 Uhr
Seite III
Anzeige
UTM – Die neuen IT-Security-Alleskönner
auf dem Prüfstand
UTM (Unified-Threat-Management) ist das
neue Synonym für das, was vormals als All-in-OneSecurity bezeichnet wurde. Es geht darum, die
Vielzahl der einzelnen Security-Komponenten in
einem Produkt und unter einer einheitlichen
Benutzeroberfläche zu vereinen.
Security-Lösung ausgestattet. Das setzen wir bei
uns, aber auch bei professionellen Wettbewerbern,
voraus. Was aber aus unserer Sicht viel wichtiger ist,
ist die Bedienbarkeit im Alltag. So haben wir uns
entschlossen eine Benutzeroberfläche zu entwickeln,
die für den nicht sehr geübten Anwender bereits
Alle UTM-Bestandteile sollten unter
Kontrolle des Anbieters stehen
Aber der Teufel steckt bekanntlich im Detail.
Wenn unterschiedliche Softwarebestandteile von
meist verschiedenen Unternehmen erstellt und
vereinheitlicht werden, dann entsteht ein neuer
Problembereich, der sich im täglichen Betrieb der
Anlage schmerzhaft zeigt. Es geht um die Aktualität
der Komponenten, das Zusammenspiel und deren
Skalierbarkeit. Viele Hersteller setzen weiterhin auf
zugekaufte lizenzierte Programmbestandteile, die
oft auch einzeln installiert werden müssen.
Lediglich eine einheitliche GUI für die Bedienung
wurde geschaffen. Sollte es dann in der Zukunft zu
Veränderung bei den Lieferanten kommen, dann
gerät natürlich auch die Aktualisierung und das
Zusammenspiel der Komponenten zum Problem.
Ein wirklich leistungsfähiges UTM muss deshalb
mit all seinen Bestandteilen unter der Kontrolle des
Anbieters stehen und auch in Zukunft bereit gestellt
werden können. Nur wenige Unternehmen schaffen
es eine wirklich vollständige UTM anzubieten.
Oder wollen Sie als Anwender Ihre Technik wirklich
alle zwei Jahre komplett austauschen?
Wir haben nachgefragt und mit Lutz Hausmann,
Geschäftsführer der Securepoint GmbH in Lüneburg,
über deren aktuellen UTM Securepoint Appliances
2007nx gesprochen. Das neue Produkt ist seit
Anfang Februar 2007 für den Verkauf freigegeben.
Lutz Hausmann führt aus: „Unser UTM ist selbstverständlich mit allen Komponenten einer vollständigen
eine professionelle Konfiguration und Pflege aller
Sicherheitskomponenten erlaubt. Dabei gibt es keine
Einschränkung und es spielt keine Rolle, ob wir von
unserer kleinsten Appliance-Lösung Piranja für circa
500 Euro empfohlenen Endkundenpreis oder beispielsweise für die mit IBM gemeinsam vermarkteten Enterprise Appliance der X-Serie für Unternehmen ab 200 User sprechen. Natürlich sind große
Systeme dann genauso über die professionelle
Management-Oberfläche zu administrieren. Das ist
aus unserer Sicht ein besonders wichtiges Merkmal
für den Einsatz im Alltag. Professionelle und große
Umgebungen haben geschultes Personal oder entsprechende Serviceverträge mit Systemhäusern.
Eine kleine Kanzlei kann damit schlecht umgehen
und wird eher den einfach zu bedienenden Wizard
verwenden. Auch die Versorgung dieser Kunden
(Soho/Small Business) mit dem Thema Sicherheit
wird immer mehr Thema für den normalen Fachhändler. Unser Ziel ist es, mit dem Grund-Know-how
‘einen DSL-Router konfigurieren zu können’, auch
eine UTM-Appliance professionell in Betrieb
nehmen zu können. Das bietet natürlich auch dem
Fachhandel erheblich neue Services und Erträge“.
Die Grundlage dafür ist, dass anders als bei den
meisten Anbietern, alle Bestandteile des UTMs aus
dem Haus Securepoint kommen.
Wizard automatisiert die Konfiguration
Security Manager, Werkzeug für Profis
„Securepoint hat sich zur Aufgabe gemacht,
langfristig die Investitionen der Kunden zu sichern,
Systeme zu schaffen, die es erlauben die Hardware
zu vergrößern, alle Einstellungen auf die neue
Umgebung ‘mitzunehmen’ und allen neuen Anforderungen, wie beispielsweise VoIP, sicher bereitzuhalten. Wir wollen lieber im Alltagseinsatz PreisLeistungssieger sein als Produkte mit Funktionen,
die nicht verwendet werden, zu überfrachten. Das
bedeutet, dass der Kunde mit seinen Bedürfnissen
bei uns im Mittelpunkt steht und die Technologie
nach seinen Anforderungen geschaffen wurde.“
Weitere Informationen: http://www.securepoint.de
UTM Bedienkonzept
Bestandteile der Securepoint UTM
Für die Installation und Konfiguration der
Securepoint Security-Appliance kann entsprechend dem Know-how und der Zeit des
Benutzers zwischen folgenden Werkzeugen
entschieden werden:
– Einsteiger und Eilige nutzen den
Securepoint Wizard
– Für Profis, die alle Features bedienen
wollen, ist der Securepoint Security
Manager vorgesehen
Komplette Sicherheit in einem System:
– Firewall
– VPN-Server (IPSec, L2TP, PPTP)
– Virenscanner (Email, Web)
– Content-Filter und Spam-Filter
– Intrusion Detection/Prevention
– Authentisierung
– Bandbreitenmanagement/Quality of Service
– Voice over IP (VoIP)
– Transportable Security Policies bei
Arbeitsplatzwechsel
– Automatische Updates
Beide Benutzeroberflächen sind vollständig
kompatibel untereinander.
ix.0307.x.01-12.neu1
30.01.2007
15:38 Uhr
Seite IV
IT-Security
heitsportfolio integrieren. Die
Analysten von IDC gehen davon
aus, dass UTM in den kommenden Jahren zum wichtigsten Sicherheitsthema wird und prognostizieren bis 2009 einen
Umsatz von 1,4 Milliarden Dollar für dieses Marktsegment.
Keine einheitliche
Definition
Bis heute gibt es allerdings
keine klare Definition von Unified Threat Management, somit
legt jeder Hersteller den Begriff
nach eigenem Bedarf und
Gusto aus. Einige Gemeinsamkeiten haben jedoch all diese
Produkte: UTM-Systeme bestehen aus der Kombination unterschiedlicher Abwehrmaßnahmen. Die ehemals eigenständigen Produkte sind dabei um
neue Funktionen erweitert worden, die in einem funktionalen
Zusammenhang mit dem Kernprodukt stehen.
Die Integration von unterschiedlichen Sicherheitseinrichtungen kann auf verschiedenen Ebenen stattfinden. Für
IDC gehören aber eine Firewall
und VPN unter allen Umständen
dazu. Im einfachsten Fall vereint eine gemeinsame Box oder
Appliance, meist mit einem gehärteten Betriebssystem, die
separaten Funktionen. Die Betriebssystemhärtung schließt
alle jene Maßnahmen ein, die
das OS sicherer gestalten und
die Angriffsfläche reduzieren –
zum Beispiel die Vermeidung
schwacher oder gar fehlender
Kennwörter, unnötige Verzeichnisfreigaben, anonyme Benutzer bis hin zur korrekten und
aktuellen Version des Betriebssystems mit all seinen Service
Packs oder Patches.
Die Integration unterschiedlicher Sicherheitsfunktionen in
einer Appliance bietet große
Vorteile gegenüber Einzelanwendungen auf unterschiedlichen Rechnersystemen. Dazu
gehört eine einfachere Verwaltung, weil lediglich ein Basisrechnersystem konfiguriert und
Spam
3 2
95
Computer-Viren
89
9
59
Trojanische Pferde
35
34
Datenverlust
2
6
59
Denial of Service
24
64
Verlust der Datenund Systemintegrität
22
71
7
12
7
Unberechtigter Zugang
über Telekommunikation
14
74
12
Verbreitung
illegaler Inhalte
14
72
14
Manipulation von
Systemprogrammen 9
79
Betrug 8
73
Datendiebstahl 8
0
Ja
12
19
68
20
Nein
40
Weiß nicht
24
60
80
100
alle Angaben in Prozent
460 Unternehmen beantworteten bei der Lünendonck-Umfrage
die Frage, mit welchen Sicherheitsproblemen sie im
vergangenen Jahr konfrontiert worden waren. Die Antworten
zeigen die Vielfalt heutiger Bedrohungen. Kein Wunder, dass
gerade bei kleinen Unternehmen der Wunsch nach komplexen,
zentral zu verwaltenden Sicherheitsprodukten besteht, die
gleich mehrere Gefahren abwehren.
überwacht werden muss. Auch
sind die Sicherheitseinstellungen sowie das Einspielen von
Service Packs und Patches für
das Betriebssystem nur einmal
durchzuführen und zu überwachen. Es können keine Wechselwirkungen mit weiteren
Rechnern auftreten. Das verringert die Risiken durch fehlerhafte oder unzureichende Konfigurationen. Außerdem ist infolge der Zusammenfassung
der Sicherheitsfunktionen in
einem System die Angriffsfläche kleiner.
Integration in einer
Managementkonsole
Im Fall der „einfachen“ Integration unterschiedlicher Sicherheitslösungen in einer Appliance
stehen die einzelnen Schutzbausteine unabhängig nebeneinander und sind separat zu
verwalten. Dieser Nachteil lässt
sich durch die Zusammenführung unter einer gemeinsamen
Administrationsoberfläche vermeiden, denn nunmehr nutzen
alle zu verwaltenden Sicherheitssysteme die gleichen Konventionen und dieselbe Logik
für ihre Bedienung. Wichtig
dabei ist eine möglichst zentrale
und übersichtliche Gestaltung.
Für eine bessere Übersicht bieten sich beispielsweise mehrstufige Bäume mit Drill-DownFunktion an. Hilfreich ist ferner
eine Option zur Einbindung von
Fremdprodukten beziehungsweise der generierten Ereignisse in die eigene Konsole.
Eine gemeinsame Verwaltungsoberfläche für die Einzelfunktionen vereinfacht zunächst
die Bedienung. Das allein ist jedoch nicht ausreichend. Viel
wichtiger ist die Integration der
funktionalen Aspekte der WerkiX extra 3/2007
ix.0307.x.01-12.neu1
30.01.2007 14:03
15:38 Uhr
Uhr Seite
Seite 1V
ANZ_PROM_IX_210x280 29.01.2007
FLEXIBILITÄT DURCH
VTRAK M-CLASS
RAID-STORAGE SYSTEME
Professionelle RAID Storage Systeme für kleinere und
mittlere IT-Applikationen basierend auf der Serial ATA
Technologie.
Flexible Konfigurationsmöglichkeiten und Einsatzmöglichkeiten durch iSCSI, Fibre Channel oder
SCSI Systemen nach Ihren Bedürfnissen.
• 2/3 HE Rackmount System
• 8, 12, 15 oder 16* Festplatteneinschübe
• 2x Externe Schnittstellen optional
iSCSI: Nutzung des Serverspeichers über LAN
Fibre Channel: Zur Einbindung in SANs
Ultra320 SCSI: Zur Serveranbindung als DAS
• S-ATA Festplatten 1.5/3.0Gbit HotSwap/HotSpare
• Zertifiziert für Seagate Barracuda® ES Serie 750GB
• NCQ/TCQ Support
• RAID Level 0,1,1E,5,6*,10,50
• Redundante Lüfter und Netzteile
3 Jahre Gewährleistung
© www.artraction.de, 01/07
* nur Ultra 320 SCSI
Weitere Informationen über unsere Produkte unter:
www.cpigmbh.de und Hotline 0800-100 82 69
Alle Marken- und Produktbezeichnungen sind Warenzeichen oder eingetragene
Warenzeichen des entsprechenden Unternehmens. Druckfehler, Irrtümer und
Änderungen vorbehalten.
CPI Computer Partner Handels GmbH
Kapellenstr. 11
D-85622 Feldkirchen
Telefon: (+49)-0 89/96 24 41- 0
Telefax: (+49)-0 89/96 24 41- 33
ix.0307.x.01-12.neu1
30.01.2007
15:38 Uhr
Seite VI
IT-Security
zeuge und der zugrunde liegenden Verwaltungsdaten. Erfolgt
lediglich die Bedienung unter
der gemeinsamen Oberfläche,
bleiben die einzelnen Module
weiterhin separiert und operieren weitgehend mit eigenen
Daten. In dem Fall muss der
Administrator die erforderliche
Brücke zwischen den Funktionen schaffen.
Starke Integration
von Vorteil
Der Nachteil einer mangelhaften
Integration zeigt sich beispielsweise beim Einsatz von Intrusion-Detection- und IntrusionPrevention-Systemen (IDS, IPS).
IDS protokollieren zwar mögliche Lücken und potenzielle Angriffe meist sehr detailliert in
den Log-Dateien oder sonstigen
Sicherheitsprotokollen und sind
auch in der Lage, beim Überschreiten von festgelegten
Schwellenwerten oder dem Eintreffen bestimmter Ereignisse
automatisch den Administrator
per E-Mail, SMS oder sonstiger
Kommunikationsmedien zu benachrichtigen. Die notwendigen
Reaktionen muss er jedoch
selbst einleiten.
Die Auswertung der Sicherheitsprotokolle nimmt aller-
dings viel Zeit in Anspruch und
wird deshalb häufig nicht
durchgeführt. Wenn doch, so
kann die Analyse der gesammelten Log-Daten meist nur
mit erheblicher Verzögerung
und damit zeitversetzt erfolgen. Wenn aber diese Protokolle und Warnungen aufgrund
ihrer Größe und der Menge der
Meldungen nur sporadisch
oder sehr verzögert ausgewertet werden, sinkt ihr Nutzen,
insbesondere für die akute Bedrohung. Abhilfe könnte in diesem Fall die Zusammenführung der überwachenden Intrusion-Detection-Systeme mit
den aktiven Abwehrmaßnahmen in den Intrusion-Prevention-Systemen schaffen: Das
IPS kann die Meldungen
selbstständig interpretieren
und aktiv in das Geschehen
eingreifen.
Es zeigt sich, dass die Interaktion zwischen allen beteiligten Bausteinen zur Gefahrenabwehr unumgänglich ist. Prinzipiell sollen sich aus den Informationen eines Moduls
Rückschlüsse für notwendige
Reaktionen eines weiteren Moduls ziehen und auch initiieren
lassen. Zu diesem Zweck müssen Sicherheitslösungen die
von den Überwachungs-Tools
Bedrohungen durch via Laptop, PDA & Co. eingeschleppte
Malware soll die Security-Appliance FortiGate von Fortinet
abwenden. Das auf hohen Durchsatz ausgelegte Produkt soll
außerdem im Kampf gegen Hackereinbrücke, Dos-Attacken
und ähnliche Gefahren helfen.
Borderwares Sicherheitsplattform Infinity ist speziell für den
Schutz verschiedener Kommunikationsformen per Internet
konzipiert – etwa Mail, Instant Messaging und Voice over IP.
VI
Über die üblichen Funktionen Netzwerkschutz, Web- und
Mailfilter et cetera hinaus bietet Astaros SicherheitsAppliance Security Gateway die Möglichkeit, E-Mails zentral
auf dem Gateway zu ver- und entschlüsseln sowie digital zu
signieren.
Zukünftig wird Symantec gemeinsam mit Juniper UTMAppliances entwickeln. Benutzer des hier zu sehenden
bisherigen Symantec-Produktes Gateway Security erhalten
aber noch einige Jahre Support.
erzeugten Log-Daten zusammenführen. Für eine Analyse
sollten sie die Daten anschließend durch Filtern und Korrelation auf wesentliche Ereignisse
reduzieren.
Doch das ist nicht immer
einfach und erfordert tiefgehende Kenntnisse der Zusammenhänge. Automatisierte
Auswertungen haben den
Nachteil, dass sie etwa fehlerhaftes Verhalten oder Risiken
im Datenverkehr nicht eindeutig erkennen können. Allein
aus der Datenkommunikation,
ihrer Menge, den verwendeten
Ports oder beteiligten Rechnersystemen lässt sich noch
kein Risikofaktor ableiten.
Erst aus der Kombination
unterschiedlicher Faktoren,
der Zeitspanne und weiterer
laufender Systemprozesse
lassen sich Rückschlüsse ziehen. Manche Lösungen haben
einen sogenannten Lernmodus, mit dessen Hilfe sie „lernen“, die Unterschiede zwischen erwünschtem und unerwünschtem Verhalten zu erkennen.
Die Kombination unterschiedlicher Abwehrmaßnahmen in einem UTM-System
kann sehr komplex sein. Doch
letztendlich ist es immer eine
Verbindung von ehemaligen
Einzelaktionen zu besser integrierten Verarbeitungsketten,
die häufig regelbasiert erfolgen
und die den Funktionsumfang
erweitern. Content-Filtering von
E-Mail-Inhalten und -Anhängen
beispielsweise überwacht die
Übereinstimmung des Kommunikationsverhaltens mit den
Unternehmensregeln. Für diese
Prüfungen bedarf es des Zusammenspiels der Mail-Systeme mit den Überwachungsmechanismen in den Firewalls
oder weiteren Filtereinrichtungen. Die Prüfungen können
vielfältige Kriterien sowie deren
Kombination mit einbeziehen.
Dazu gehören die Abhängigkeit
von Datum, Uhrzeit, Empfänger
und Absender der E-Mail. Das
Verfahren kann für beide Kommunikationsrichtungen angewendet werden. Bei ausgehendem FTP-, HTTP- und HTTPSDatenströmen oder E-Mails hilft
iX extra 3/2007
ix.0307.x.01-12.neu1
30.01.2007
15:38 Uhr
Seite VII
Auf zu neuen Horizonten.
Mit Sicherheit.
ESET Lösungen sind effektiv, schnell
und führend in proaktiver Erkennung:
ESET‘s NOD32 Anti-Threat-Lösungen bieten mit einer universellen Engine umfassenden Schutz gegen
aktuelle und zukünftige Bedrohungen durch Viren, Trojaner, Spyware, Adware, Phishing in Echtzeit,
das heißt in den meisten Fällen ohne Update.
• Beste Zero-Day Detection (Proaktiv)
• Hervorragende Performance
• Geringster Verbrauch an Systemressourcen
Von Trojanern und Würmern, über Spyware und
Rootkits bis zu Phishing und Adware – die Bedrohungen nehmen nach Typ und Anzahl ständig zu.
Eset‘s Engine zum Schutz vor all diesen Bedrohungen
ist derart optimiert, dass im Mittel nur 20 MB RAM
benötigt werden. Unabhängige Tests belegen, dass
im Vergleich zu Mitbewerbern der Datendurchsatz
beim Scanprozess um den Faktor 2 bis 6 höher ist.
Spitzenwerte im Datendurchsatz in Tests der Fachzeitschrift Virus Bulletin
Eset ist führend in proaktiver Erkennung
Neue Malware kann sich lawinenartig ausbreiten
und das Sicherheitsloch zwischen Malware-Ausbruch und Sicherheits-Update erweist sich als kritisch. ESET hat diese Herausforderung gemeistert:
Eset‘s Anti-Threat-Lösungen sind führend in proaktiver Erkennung. Reale Malwareausbrüche und unabhängige Tests haben dies bestätigt. Eset‘s NOD32
ist Rekordhalter des begehrten 100%-Awards des
Virus Bulletin und hat in 8-jähriger Testteilnahme
Proaktiv führend (www.virustotal.com Response-Time- als einziges Produkt am Markt nie einen ITW-Virus
Tests, www.av-comparative.org Retrospective Tests)
verpasst.
ix0307_x_000_eset.indd 1
Neue Version NOD32 2.7
Kompatibel zu Windows Vista
und stärker gegen Rootkits
• Microsoft Windows Vista (32/64 Bit) wird voll
unterstützt.
• Die neue Anti-Stealth-Technologie bekämpft
offensiv aktive Rootkits.
• Neue und verbesserte Techniken zum Säubern
von Dateien sind integriert.
• Das Handling eventuell unerwünschter Anwendungen ist nun benutzerfreundlicher gestaltet.
• „Eventuell unsichere Anwendungen“ ist als
Katalogpunkt neu integriert.
Das Versionsupgrade auf die Version 2.7 steht allen
Anwendern in gewohnter Weise kostenfrei zur Verfügung.
NOD32 Antivirus bietet IT-Fachhändlern, Systemhäusern, und Beratungsfirmen im Bereich Computersicherheit alle Chancen, durch moderne Software, Marketing- und Vertriebsunterstützung sowie
Support noch erfolgreicher am Markt zu sein.
Werden Sie jetzt ESET Partner!
Nehmen Sie Kontakt auf unter
+49 (0) 3641 6 37 83 oder
http://www.nod32.de/partners/become.php
Essential Security against Evolving Threats™
Weitere Informationen: www.nod32.de
25.01.2007 15:27:10 Uhr
ix.0307.x.01-12.neu1
30.01.2007
15:38 Uhr
Seite
epq_070282_pw3105_93x280.qxd
26.01.2007
10:11
UhrVIII
Seite 1
IT-Security
Genau richtig
Idealer Schutz für PC
oder Workstation.
es gegen Datendiebstahl und
die Verbreitung von Viren, bei
eingehenden Daten und E-Mails
lassen sich damit Viren, Spam
und sonstige Schädlinge fernhalten.
Eine andere Art der Integration von UTM-Werkzeugen bezieht sich auf die Koppelung
unterschiedlicher Sicherheitsmaßnahmen wie den Schutz
vor Spyware, Adware, Viren,
Spam, Keylogger, BlendedThreats- oder Phishing-Angriffen. Zum Content-Filtering kann
zusätzlich noch die Verschlüsselung des Datenverkehrs kommen. Aus der Kombination diverser Funktionen zur Erkennung und Vermeidung unerwünschter Verhaltensmuster
bilden die Hersteller dann größere Sicherheitspakete. Ferner
finden sich Firewall, IPS, Virenscanner, Spam-Filter, VPN-Gateway, Zertifikatsserver sowie
Funktionen des Identity-Managements durch Schnittstellen
zu Radius und LDAP-Systemen
und auch Schwachstellenscanner in den verschiedenen UTMProdukten.
Intelligentes TrafficManagement
Immer häufiger beziehen die
Anbieter auch die Netzwerkhardware sowie all jene Bausteine, die sich mit der Übermittlung der Daten befassen, in
die Sicherheitspakete ein. Darunter fallen die Aufgaben des
Routings und des Traffic-Managements. Die Zielsetzung des
Letzteren liegt in einer intelligenten Steuerung des Netzwerkverkehrs durch die Vergabe von Prioritäten und die Komprimierung des Datenverkehrs.
So sollen beispielsweise unternehmenskritische Anwendun-
Die neuen Powerware Modelle
3105 und 5110 schützen
wirkungsvoll vor Spannungsspitzen und bei Stromausfall.
Arbeiten Sie einfach mit der
Batteriespannung weiter und
sichern Sie Ihre Arbeit ohne
Datenverlust.
Einfach, preiswert und gut.
Jetzt anrufen!
www.powerware.de
Tel. +49 (0) 7841 604-0
…mit Sicherheit
VIII
U S V- U N D D C - S Y S T E M E
UTM-Lösungen müssen nicht zwangsläufig als
Hardware-Appliance angeboten werden, auch SoftwareProdukte bieten Schutz gegen vielerlei Bedrohungen –
beispielsweise McAfees „Rundum-Paket“ Total Protection
oder Integrated Threat Management von Computer
Associates.
iX extra 3/2007
ix.0307.x.01-12.neu1
30.01.2007
15:38 Uhr
Seite IX
IT-Security
Defense Pro soll Unternehmen vor Angriffen aus dem Internet
schützen. Neben klassischer IDS-Paketfilterung untersucht die
Appliance aus dem Hause Radware unter anderem Anomalien
im Datenverkehr (Behavior-based Analysis), um Denial-ofService-Angriffe zu erkennen und abzuwehren.
gen gegenüber weniger kritischen bevorzugt werden. Dazu
gehört auch das sogenannte
Traffic Shaping, das beispielsweise die Annahme von
E-Mails, die als Spam eingestuft werden, verzögert. Dies ist
durch eine fortwährende Analyse des Datenverkehrs möglich.
Tritt ein von der Norm abweichendes Verhalten auf, zum
Beispiel ein plötzlicher Anstieg
des SMTP-Verkehrs oder die
Nutzung von ungewöhnlichen
IP-Ports, so blockiert die Soft-
ware diesen Verkehr am
Switch.
Zum Schutz des internen
Netzes gibt es neben den erläuterten Mechanismen weitere, zu nennen wären hier etwa
die Schwachstellenanalyse
(Vulnerability- oder Threat-Management). Das Ergebnis lässt
sich als Grundlage für eine
automatische Neukonfiguration
des jeweiligen Rechners heranziehen. Häufig ist eine solche Software mit dem PatchManagement verbunden.
Lieber top-aktuelle
Programmversionen als
mühevolles „Patch-work“
Das Sicherheitsmanagement
ist nur dann vollständig, wenn es
auch die mobilen Geräte und alle
Verbindungen berücksichtigt, die
von außen über VPN oder RAS
aufgebaut werden. Mobile Geräte können etwa zur Gefahr werden, wenn sie infiziert wieder ins
Firmennetz kommen. Hier helfen
Verfahren – als Network Admission Control oder Network Access Control bekannt –, die
meist in den Firewalls oder Routern und Switches implementiert
sind. Beim Aufbau einer gewünschten Verbindung des
Clients mit seinem Server melden spezielle Agenten auf den
Endgeräten den Sicherheitsstand
des Geräts an die dazwischen
geschalteten Zugangsserver. Sie
gleichen die Sicherheitseinstellungen des Clients mit den Sicherheits-Policies ab und entscheiden über den Zugriff.
Hinterlegt sind die Policies
meist auf einem zentralen Policy-Server. Dort lassen sie sich
zentral verwalten und auf alle in
Frage kommende Geräte anwenden. Erfüllt ein mobiles Gerät die
Anforderungen nicht, kann es
unter Quarantäne gestellt werden und erhält beispielsweise
nur Zugang zu einem Internet-
server, um sich von dort die notwendigen Updates oder sonstigen Werkzeuge zur Herstellung
des geforderten und gesicherten
Zustands, der Remediation, zu
holen. Damit solche komplexen
Abläufe realisierbar sind, arbeiten die Hersteller der unterschiedlichen Sicherheitswerkzeuge zusammen.
Fazit
Auf die Diversifizierung der Angriffsstrategien von Computerund Internetkriminellen müssen Unternehmen mit ebensolchen Sicherheitsmaßnahmen
reagieren. Doch nur Verfahren
und Werkzeuge, die zusammenarbeiten und Daten
sowie Ergebnisse austauschen
können, bringen die geforderte
Flexibilität für mehr Sicherheit.
Der jüngste Trend im Bereich
Unified Threat Management
zeigt, dass nicht allein die
Sicherheitswerkzeuge zusammengeführt werden, sondern auch die traditionellen
Systemmanagement-Tools
hinzukommen.
(sf/ur)
Johann Baumeister
ist freier IT-Journalist in
München.
Anders als die Anderen. AVG bietet Ihnen neue
Programmversionen und regelmäßige Programmupdates
bereits während der Lizenzperiode an. Natürlich kostenlos.
AVG 7.5 Internet-Security beinhaltet den kompletten und
integrierten Schutz gegen Online-Bedrohungen wie Viren,
Trojaner, Würmer, Spyware, Adware, Spam und Hacker.
Warum sich also mit weniger zufrieden geben?
Alles über AVG: www.jakobsoftware.de
Anti-Virus
Firewall
Anti-Spyware
Kostenlose neue Programmversionen
Anti-Spam
24/7 technische Unterstützung
AVG Internet Security für Windows®, für Netzwerke, für Linux und für E-Mail-Server.
Halle 7 · E 14
ix0307_x_000_Jacobsoftware.indd 1
iX extra 3/2007
NE U !
Vertretung für Deutschland, Österreich, Schweiz und
deutschsprachiger Support für AVG Anti-Virus:
Jürgen Jakob Software-Entwicklung · www.jakobsoftware.de
AVG75 IS01
HANNOVER
15.–21.3.07
23.01.2007 21:12:08 Uhr
IX
ix.0307.x.01-12.neu1
30.01.2007
15:38 Uhr
Seite X
IT-Security
Vereint und
doch verteilt
Unified Threat Management in der Praxis
Aufgrund des Appliance-Ansatzes gelten UTMSysteme als ideal für den Schutz von kleineren
IT-Umgebungen. Solche Lösungen können aber
durchaus auch für andere Szenarien und größere
Unternehmen interessant sein.
er Begriff Unified Threat
Management (UTM)
tauchte erstmals im Jahr 2004
in einem Artikel von Charles
Kolodgy von der International
Data Corporation (IDC) auf. In
dieser ursprünglichen Definition beschreibt der Autor
UTM-Systeme als „SecurityAppliances“, die die Funktion
von Firewalls, Intrusion-Detection- und -Prevention-Systemen sowie Virenschutz in
einem einzigen Gerät vereinen. In der Zwischenzeit ist UTM
D
zu einem Schlagwort geworden,
auf das nahezu kein Anbieter
von Security-Appliances mehr
verzichten will. So ist es nicht
weiter verwunderlich, dass Hersteller diese ursprüngliche Definition „anpassen“ und folglich
nicht jedes System mit dem Etikett UTM auch wirklich alle der
genannten Grundfunktionen enthält. Natürlich gibt es auch Anbieter, die den Funktionsumfang
ihrer UTM-Appliances um zusätzliche Eigenschaften wie VPN,
Web- und Spam-Filter oder Anti-
Spyware erweitert haben. Ursprünglich wurden UTM-Appliances für einen Markt entwickelt, dessen Teilnehmer eine
einfache und günstige Sicherheitslösung zum Schutz ihres
Netzwerks wünschten. Vor allem
kleinere Unternehmen, die wenig
Personal für die Betreuung ihrer
Sicherheitslösungen haben,
sehen Vorteile im Einsatz von
solchen Geräten. Durch den Appliance-Ansatz der Systeme entfällt eine aufwendige Installation
und auch das Härten der Geräte.
Der Aufwand vor Inbetriebnahme
beschränkt sich auf die Konfiguration der einzelnen aktivierten
Funktionen. Die Verwendung
einer einheitlichen Benutzeroberfläche ermöglicht oft eine
schnellere Einarbeitung der Administratoren.
Mitarbeiter müssen sich nicht
in unterschiedliche administrative Oberflächen einarbeiten, die
eventuell grundlegend voneinander abweichende Bedienkonzepte verfolgen. Das Logging, Alarming und Management geschieht an einer zentralen Stelle,
was die Komplexität reduziert
und bei einer gut gestalteten BeTochterunternehmen B
Tochterunternehmen A
Internet
UTMAppliance
Administration Administration
Unternehmenszentrale
zentrales Logging, Reporting
und Monitoring
UTMAppliance
Administration Administration
MPLS-Netz
Tochterunternehmen C
UTMAppliance
UTMAppliance
Administration
Internet
Administration Administration
Bei der Vernetzung von Tochterunternehmen via MPLS leisten UTM-Appliances gute Dienste. Sie
sichern die direkte Kommunikation, lassen sich zentral verwalten sowie aktualisieren und
nehmen wenig Platz ein (Abb. 1).
X
nutzeroberfläche ein effizienteres Arbeiten erlaubt. Der All-inone-Ansatz führt auch dazu,
dass die Administration insofern
einfacher ist, als zentrale Einstellungen wie die Definition von
Schnittstellen, das Routing und
weitere Aufgaben nur einmal
vorzunehmen sind. Nicht zuletzt
bietet der Einsatz von UTM-Appliances auch ganz triviale Vorteile wie Energie- und Platzersparnis.
Vor dem Kauf solcher Systeme sollten Interessenten aber
auch deren Nachteile oder zumindest Eigenheiten bedenken.
Zum Beispiel hängt die Performance von UTM-Appliances
sehr stark von den aktivierten
Diensten ab. Die in den Datenblättern der Hersteller angegebenen Kennzahlen wie die
Durchsatzrate haben meist
wenig mit der Realität zu tun,
insbesondere wenn rechenintensive Funktionen wie Virenschutz aktiviert sind. Je nach zu
prüfenden Daten (beispielsweise
E-Mails mit Archivanhängen wie
ZIP-Dateien) kann die Performance der Geräte auf einen
Bruchteil der im Datenblatt enthaltenen Werte sinken.
Hier zeigt sich ein weiterer
Nachteil von UTM-Systemen –
mangelhafte Skalierbarkeit.
Zwar können Anwender ihren
UTM-Lösungen ebenso wie spezialisierten Produkten ein weiteres System hinzufügen und via
Load-Balancing betreiben, dies
macht jedoch den Kostenvorteil
zunichte, da das zweite System
ebenfalls sämtliche zusätzlichen
Funktionen enthält. Hochwertige
UTM-Produkte lassen sich mit
Prozessoren und AcceleratorKarten erweitern, aber auch da
stößt man bald an Grenzen.
Ein oft genanntes Argument
gegen den Einsatz zentraler Lösungen ist die Gefahr von Einbrüchen auf dem System. Gelingt es nämlich einem Angreifer,
sich Zugriff auf eine UTM-Appliance zu verschaffen, kann er
sämtliche Schutzfunktionen umgehen. Das ist bei spezialisierten
Systemen deutlich schwieriger,
iX extra 3/2007
IT-Security
da er sich Zugriff auf jedes einzelne dieser Systeme verschaffen muss. Dies bedeutet auch,
dass eine Schwachstelle auf
einer UTM-Appliance größere
Auswirkungen als auf einem
einzelnen Spezialsystem haben
kann. Ebenso gilt das für den
Komplettausfall des Systems,
der zur Folge hätte, dass gar
kein Sicherheitsmechanismus
mehr vorhanden ist.
Darüber hinaus sehen Fachleute den Einsatz von UTM-Lösungen oft dann als hinderlich
an, wenn unterschiedliche Gruppen von Administratoren für die
einzelnen Systemfunktionen verantwortlich sind. Diese Hürde
lässt sich nur nehmen, wenn die
Systeme ein entsprechendes Accounting- und Rechtekonzept für
die einzelnen Bereiche ermöglichen. Größere Konfigurationsänderungen müssten aber dennoch unter den Gruppen abgesprochen werden, da die
Auswirkungen auf dem System
deutlich größer sein können, als
wenn jede Gruppe ein eigenes
System betreut.
Trotz der zuvor beschriebenen Nachteile halten UTM-Systeme immer mehr Einzug in
unternehmensweite Umgebungen. Das liegt zum einen daran,
dass sich die Produkte in ihrer
Leistungsfähigkeit stark verbessert haben, zum anderen aber
gibt es Szenarien, in denen der
Einsatz von UTM-Appliances
durchaus sinnvoll ist. So ist es
Klon
Geschäftsstelle A
UTMAppliance
Hauptgeschäftsstelle
zentrales Logging, Reporting
und Monitoring
UTMAppliance
Administration Administration
Internet
Geschäftsstelle B
Administration
Kleine Dependancen eines Unternehmens können mit der
Firewall in UTM-Produkten einen Basisschutz erreichen,
aber auch Virenschutz oder VPN-Anbindungen sind möglich
– sogar mit wenig Administrationspersonal (Abb. 2).
heutzutage nicht unüblich, dass
größere Unternehmen ihre einzelnen Standorte mit einem vollvermaschten MPLS-Netzwerk
(Multiprotocol Label Switching)
verbunden haben.
Häufig nehmen auch eigenständige Tochterunternehmen
am IT-Verbund teil. Viele dieser Unternehmen betreuen
ihren eigenen Internetzugang.
Durch die rechtliche Eigenständigkeit der Töchter reicht
der Einfluss der IT-Abteilung
beziehungsweise des IT-Sicherheitsbeauftragten meist
nur bis zum Perimeter-Router
des MPLS-Netzwerks. Darüber
hinaus ist eine Kontrolle des
Datenstroms zwischen den
einzelnen Töchtern kaum
UTMAppliance
möglich, da sie direkt miteinander kommunizieren können.
Die Einrichtung einer zentralen
Firewall würde der vollvermaschten Struktur des MPLSNetzwerks zuwiderlaufen.
Hier bietet der Einsatz von
UTM-Appliances eine gute Alternative. Abbildung 1 stellt beispielhaft den Aufbau einer solchen Lösung dar: In diesem
Szenario werden die UTM-Appliances am Perimeter zum MPLSNetzwerk aufgestellt und zentral
von Mitarbeitern am Hauptsitz
verwaltet. Die einzelnen Systeme schicken ihre Logging-Informationen an einen zentralen
Server zur Auswertung. Die Betreuung der UTM-Systeme mit
Patches und Signatur-Updates
Administration Administration
erfolgt ebenfalls zentral. Infolge
des All-in-one-Prinzips lassen
sich die Systeme deutlich einfacher in den einzelnen Standorten unterbringen als ein ganzes
Bündel von Geräten. Auch der
Abschluss von Wartungsverträgen ist einfacher.
In einem solchen Szenario
ist vor allem die Kombination
der Funktionen Virenschutz und
Firewall sowie Intrusion Detection und Prevention interessant.
Weitere Funktionen wie SpamFilterung würden lediglich zusätzlichen Aufwand für das
zentrale Management bedeuten
und sind somit unerwünscht.
Der Ausbruch von Viren lässt
sich durch diesen Aufbau effizient verhindern, ohne dass er
www.telepolis.de
Buch
Profis in Sicherheitsberatung
Games
Kolumnen
Musik
Life Science
Weltraum
Biotechnik
Terminal
Echelon
Infowar
iX extra 3/2007
ix0307_Einhefter_s11.indd 1
Informations- und Biotechnologien gehören nicht
nur eng zusammen, sondern sind als die beiden
Innovationstechnologien
das Fundament der
Wissensgesellschaft.
TELEPOLIS
magazin der netzkultur
ACG
Automation Consulting Group GmbH
Lyoner Straße 11a
60528 Frankfurt am Main
[email protected] · www.acg-gmbh.de · Tel. 069 66565-0
XI
30.01.2007 16:04:50 Uhr
ix.0307.x.01-12.neu1
30.01.2007
15:38 Uhr
Seite XII
IT-Security
in die Abläufe der Tochterunternehmen eingreift. Die zentrale
Administration stellt dabei sicher, dass das angestrebte Sicherheitsniveau auch innerhalb
des IT-Verbunds gewährleistet
ist. Darüber hinaus lassen sich
mit der IPS/IDS-Funktion
„schwarze Schafe“ in der
Unternehmensstruktur ermitteln. Die dadurch gewonnenen
Informationen sind oft deutlich
aussagekräftiger als über gelegentliche Audits in den Tochterunternehmen.
Mithilfe der Firewall-Funktion
lässt sich in diesem Zusammenhang zumindest ein Minimalschutz erreichen, etwa über
das Blockieren von gespooften
IP-Adressen. Die Nutzung eines
vollständigen Firewall-Regelwerks, bei dem nur gezielt bestimmte Dienste freigegegeben
sind, ist zwar wünschenswert,
in solchen Umgebungen allerdings nicht immer durchzusetzen. Dazu benötigt es die Definition entsprechender Prozesse
und Rückhalt im Management.
Der Einsatz von UTM-Lösungen in einer solchen verteilten
Umgebung bietet eine kostengünstige und effiziente Variante
zur Gewährleistung von IT-Sicherheit, ohne dass man zu
sehr in betriebliche Strukturen
rechtlich selbständiger Tochterunternehmen eingreift.
Eine Variante dieses Fallbeispiels ist der Einsatz von UTMAppliances in kleineren bis mittleren Geschäftsstellen eines
Unternehmens (Abb. 2). Sie
haben meist nicht genügend Personal dafür, IT-Sicherheitslösungen angemessen zu administrieren, verfügen aber andererseits
häufig über einen eigenen Internetzugang sowie eine Anbindung
an die Zentrale via VPN. Ein Zugang zum Internet über eine zentrale Firewall-Umgebung in der
Hauptgeschäftsstelle kann ihnen
diese aus Performance-Gründen
nicht gewähren.
In diesem Fall liefert die
Firewall-Funktion die Basissicherheit, da das System das lokale Netz vom Internet trennt.
Neben Virenschutz und IDS/IPS
lässt sich auch der Aufbau des
VPN-Tunnels durch die UTMAppliance bewerkstelligen.
Hauptziel ist in diesem Fall die
Entlastung der Administratoren
vor Ort. Darüber hinaus wird
der gesamte Aufbau durch Einsatz der Systeme relativ einfach gehalten. Generell sollten
Firmen bei der Überlegung, ob
sie UTM-Lösungen in einer
unternehmensweiten Umgebung einsetzen, mehrere Punkte beachten. Im Vorfeld soll klar
sein, welche Funktionen der
UTM-Appliances aktiviert werden und mit welchem Datenaufkommen zu rechnen ist. Nur
so lässt sich eine adäquate
Vorauswahl treffen. Des Weiteren ist ein Test verschiedener
Appliances unter realen Bedingungen unbedingt notwendig,
der die Herstellerangaben etwa
bezüglich der Performance
prüft. Darüber hinaus sollten
Interessierte auf die Skalierbarkeit der Systeme (freie Steckplatze für zusätzliche CPUs et
cetera) vor allem für schnell
wachsende Tochterunternehmen achten.
Erst planen, dann
auswählen
Bei der Integration der Systeme
ist es wichtig, darauf zu achten,
dass die Appliances nicht umgangen werden können. Ideal ist
hier der Einbau in das gleiche
Rack wie der WAN-Router, mit
einer direkten Verbindung zwischen den Komponenten. Die
Systeme müssen über eine zentrale Managementumgebung
verfügen. Das bedeutet vor
In iX extra 4/2007:
Storage – Komplettlösungen fürs SAN
Storage Area Networks (SANs)
sind noch immer State of the
Art der Datenhaltung. Doch angesichts unterschiedlicher Konzepte der Hersteller und konkurrierender Ansätze sehen sich
die Anwender mit einer neuen
Unübersichtlichkeit konfrontiert.
Welche neuen Lösungen auf
dem Markt passen zu der installierten SAN-Basis? Wie vorgehen, wenn ein neues SAN
aufgebaut werden soll?
In dieser Situation kommt
SAN-Angeboten aus einer Hand
eine neue Bedeutung zu. Aber
lohnt es sich wirklich, sich
ganz auf einen einzigen
Anbieter zu verlassen? Auf
dem Prüfstand: Server- und
Storage-Hersteller, Drittanbieter und Service Provider.
Erscheinungstermin:
8. März 2007
DIE WEITEREN IX EXTRAS:
Ausgabe
Thema
Erscheinungstermin
05/07 Netzwerke
Domain-Vergabe –
technische Hintergründe und juristische Fallen
Kaufberatung Business-Notebooks
Risikomanagement
Virenscanner – auch gegen Root-Kits?
13.04.07
18.05.07
21.06.07
06/07 Mobility
07/07 IT-Security
XII
allem, dass es ein zentrales Logging, Alarming und Reporting
gibt, das schnell und übersichtlich Gefahren darstellt. Patches
sollten einfach und schnell,
automatisiert oder halbautomatisiert eingespielt werden können.
Darüber hinaus sollten die Systeme die Möglichkeit bieten, auf
die letzte funktionierende Konfiguration zurückzuspringen.
Das Verteilen von Signaturen
für Virenschutz und IDS/IPS hat
ebenfalls zentral zu erfolgen. Die
Benutzeroberfläche muss eine
Übersicht bieten, welches UTMGerät mit welchem Signaturund Patch-Stand versehen ist.
Darüber hinaus sollte ein PushMechanismus vorhanden sein,
der es ermöglicht, Signaturen
schnell auf die einzelnen UTMAppliances zu verteilen.
Bei der Auswahl eines Produkts sollten Unternehmen sich
anschauen, welche Komponenten in der UTM-Appliance eingebaut sind. Viele Hersteller gehen
für bestimmte Teile ihrer Systeme strategische Partnerschaften
mit anderen Herstellern etwa
von Antiviren-Software ein. Deshalb spielen bei der Auswahl
beispielsweise auch die Qualität
der gelieferten Signaturen sowie
die schnelle Verfügbarkeit von
Signatur-Updates nach Bekanntwerden eines neuen Virus
eine Rolle. Einige Hersteller setzen als Teil ihrer UTM-Systeme
Open-Source-Produkte ein (zum
Beispiel Snort als IDS/IPS). Hierbei ist auf eine saubere Integration in die Gesamtumgebung zu
achten. So sollte sichergestellt
sein, dass sich alle Parameter
dieser Produkte über die mitgelieferte Oberfläche konfigurieren
lassen.
Ob sich ein Unternehmen für
den Einsatz von UTM-Appliances oder mehrerer spezialisierter Lösungen entscheidet, hängt
wohl vor allem von der internen
Organisation des Unternehmens
sowie dem Preis der Gesamtlösung ab.
(sf/ur)
Jörn Maier
ist Security-Consultant bei der
HiSolutions AG in Berlin.
iX extra 3/2007