1746395

Operative Maßnahmen: Updates, Firewall und Verschlüsselung

21.04.2019 | 09:01 Uhr |

Es sollte selbstverständlich sein, dass jegliche Software, wie Betriebssysteme, Antivirus-Programme, Browser oder Email-Programme stets aktualisiert werden. Durch Software-Updates werden bekannte Sicherheitslücken geschlossen und machen das System weniger anfällig. Für Browser empfiehlt sich, die aktiven Inhalte, wie Java, Javascript und ActiveX nicht automatisch ausführen zu lassen, um sich zum Beispiel vor unerwünschten XSS-Angriffen zu schützen.
 
Weiterhin ist der Einsatz von Firewalls wichtig. Diese überwachen den laufenden Traffic und beschränken den Netzwerkverkehr. Somit kann beispielsweise nicht erlaubter Datenverkehr verhindert werden. Es gibt unterschiedlichste Arten von Firewall-Systemen. Deshalb sollten zu aller erst die Anwenderinteressen betrachtet werden, bevor eine Entscheidung für einen bestimmten Typ fällt. Klar ist, dass in erster Linie eine Erhöhung der Sicherheit als Hauptziel einer Firewall definiert wird. Doch die existierenden Firewall-Systeme realisieren diesen Anspruch in unterschiedlichem Maße.
 
Auch die Frage nach dem Durchsatz ist wichtig, um auch Spitzen der Netzlast bedienen zu können. Des Weiteren sollte die Firewall auch nicht zu pflegeintensiv sein. Der Betriebsaufwand sollte also möglichst gering sein, denn auch mit der Wartung und Pflege der Firewall sind natürlich Mehrkosten verbunden. Dieser Preis sollte sich immer nach dem potenziellen Schaden richten, der durch ein Firewall-System vermieden werden kann. Die einfachste Variante ist eine Paketfilter-Firewall, welche eine Erweiterung von Netzwerk-Routern darstellt. Die Aufgabe einer Paketfilter-Firewall besteht darin IP-Pakete anhand ihrer Netzwerkadresse durchzulassen oder zu verwerfen. Dies geschieht anhand von Filterregeln, die vom zuständigen Administrator festgelegt werden.
 
Eine dem Paketfilter weit überlegene Variante einer Firewall ist ein Application Level Gateway. Diese Art einer Firewall arbeitet auf der Anwendungsebene. Es wird der Datenstrom einer Anwendung von speziellen Prüfprogrammen für die behandelten Anwendungsprotokolle, Proxys genannt, vollständig analysiert. Das bedeutet, dass auch die Paketinhalte überprüft werden. Ein Proxy prüft immer die Einhaltung des Anwendungsprotokolls, für das es implementiert wurde. Ein Application Level Gateway, oder auch Proxy-Firewall, bietet weiterhin die Möglichkeit der Suche nach Schadsoftware oder die Möglichkeit der Benutzer-Authentifizierung, so kann zum Beispiel ein nicht autorisierter Benutzer den Server gar nicht mehr erreichen.
 
Zwischen diesen beiden Firewall-Typen gibt es noch die Stateful Paket Filter und die Stateful Inspection Firewall. Mittlerweile werden von Network-Security Firmen umfassende Lösungen angeboten, sich mittels Firewall-Systemen vor Angriffen wie Spam, Phishing sowie Spyware-Attacken effektiv zu schützen. Es ist abschließend festzuhalten, dass das Sicherheitslevel von Paketfilter bis zu Application Level Gateway steigt. Gleichzeitig sinkt aber auch der Durchsatz der Firewall und es steigt der Preis.
 
Um die firmeneigenen Datenbestände noch effektiver zu schützen, sollten von der Administration eingeschränkte Benutzerrechte vergeben werden, um ein Ändern von Datenbeständen von unautorisierten Personen zu verhindern. Des Weiteren sollten sensible Nachrichten stets verschlüsselt werden, um die Vertraulichkeit zu gewährleisten. Dazu bietet sich die Software PrettyGoodPrivacy (PGP) an. Durch Verschlüsselung und hinzufügen einer Signatur kann die Authentizität und die Vertraulichkeit einer Nachricht garantiert werden, denn sie ist für potenzielle Angreifer nicht mehr les- oder änderbar. Somit erfüllt PGP auch noch die Sicherheitsaspekte der Integrität und der Nicht-Abstreitbarkeit.
 
Sehr effektiven Schutz bietet auch der Kerberos-Dienst. Die Hauptaufgabe besteht darin sich vor Man-in-the-Middle Angriffen in einem ungesicherten TCP/IP-Netzwerk zu schützen. Es kommt zum Austausch von speziellen Schlüsseln zwischen Client und Server und dem Kerberos-Server, der eine gesicherte Instanz darstellt. Der Kerberos-Dienst kann nicht nur eine hundertprozentige Authentifizierung garantieren, sondern ermöglicht zusätzlich auch Vertraulichkeit und Integrität von Daten, durch das Verschlüsseln des Datenverkehrs.
 
Weiterhin lässt sich zur verschlüsselten Datenübertragung auch das hybride Verschlüsselungsprotokoll Transport Layer Security (TLS) verwenden. Mittels eines symmetrischen Verschlüsselungsverfahren wird die Nachrichten-Authentizität gewährleistet und durch einen Message Authentication Code die Authentizität. Eine weitere Sicherheitsmaßnahme wäre die Installation eines Intrusion Detection Systems (IDS) oder auch Angriffserkennungssystem. Es dient meistens zur Unterstützung von Firewalls und soll die Erkennung von Angriffen ermöglichen. Ein IDS erkennt bereits bekannte Angriffsstrukturen und löst bei einer Übereinstimmung einen Alarm aus. Es werden drei Typen von IDS unterschieden. Das hostbasierte IDS konsultiert verschiedene Log-Dateien von zum Beispiel der Firewall, dem Netzwerk oder dem Server und vergleicht diese mit seiner Datenbank nach auffälligen Signaturen. Erkennt das System einen Angriff, schlägt es Alarm. Ein HIDS kann das komplette System überwachen, kann aber von einem DoS-Angriff ausgehebelt werden. Ein weiterer Typ ist das netzwerkbasierte IDS.
 
Ein NIDS versucht Angriffsmuster zu erkennen und alle Pakete im Netzwerk aufzuzeichnen. Diese werden dann überprüft und bei verdächtigen Aktivitäten wird Alarm ausgelöst. Da die meisten Angriffe über das Internetprotokoll erfolgen kann das NIDS nur mit einem Sensor das gesamte Netzsegment überwachen. Doch kann das NIDS eine lückenlose Überwachung in geswitchten Netzwerk oder bei einer Überlastung der Bandbreite des IDS nicht gewährleisten.
 
Der dritte Typ ist ein hybrides IDS. Es kombiniert die Funktionsweisen von HIDS und NIDS die in einem zentralen Managementsystem angeschlossen sind. Der große Nachteil eines IDS ist aber, dass das System nur Angriffe oder Anomalien erkennt, die bereits in seiner Datenbank gespeichert sind und es werden auch keine Gegenmaßnahmen vom System eingeleitet.
 
Es ist aber möglich IDS so zu erweitern, dass sie einen eventuellen Angriff abwehren können. Diese bezeichnet man als Intrusion Prevention System (IPS). Auch hier wird zwischen Host-based und Network-based IPS unterschieden. Das HIPS läuft auf dem Computer und schützt diesen vor Angriffen. Wohin gegen das NIPS den Netzverkehr überwacht und die angeschlossen Computer vor Angriffen schützt. Ein IPS kann in einem Angriffsfall den Datenstrom unterbrechen oder auch verändern. Dies wird zum Beispiel durch eine Änderung der Regeln von Firewall-Systemen realisieren. Als aktive Komponente des Systems besteht aber auch die Möglichkeit, dass das IDS selbst Ziel eines Angriffs wird. Doch diese Situation kann durchaus auch gewollt sein. In so einem Fall handelt es sich um einen Honeypot.
 
Ein Rechner der in einem isolierten Teil eines Netzwerks integriert ist und auf die Absicht abzielt, von einem Angreifer als Ziel ausgewählt zu werden. Auf diesem Rechner sind keine wichtigen Daten enthalten und es sind Sicherheitslücken integriert um den Angreifer zu locken. Registriert der Honeypot verdächtige Aktivitäten, gibt es eine Alarmmeldung. So kann man die Strategien des Angreifers nachvollziehen und gegeben falls Gegenmaßnahmen ergreifen. Trotzdem ist zu erwähnen, dass ein Honeypot eine bewusste aber gefährliche Schwachstelle darstellt und für Angreifer als Einstiegspunkt für weiterführende Angriffe genutzt werden kann.
 
 
 

PC-WELT Marktplatz

0 Kommentare zu diesem Artikel
1746395