Frühjahrsputz für die DMZ

Kommentieren Drucken

Die Internet-Anbindung einer Institution muss einerseits dafür Sorge tragen, dass Angriffe aus dem Internet abprallen und andererseits, dass die Nutzer aus Intranet und Internet den erforderlichen Zugang erhalten. Traditionell wird hierzu das Firewall-System am Internet-Zugang um spezielle Pufferzonen, sogenannte Demilitarized Zones (DMZs), ergänzt, die speziell dafür Sorge tragen, dass

  • keine direkten Zugriffe aus dem Internet auf das Intranet und umgekehrt stattfinden,
  • Zugriffe angemessen authentisiert sowie berechtigt sind und
  • Inhalte (E-Mails, Web-Inhalte) nicht schadenstiftender Natur sind.

Die entsprechenden Architekturen sind seit Jahren bewährt und es besteht ein solider Markt zur Auswahl zugehöriger Produkte für den Aufbau von ggf. mehrstufigen Firewall-Systemen, DMZs an und zwischen den Firewall-Stufen sowie der notwendigen Proxies und Gateways.

Dass hier trotzdem ggf. Handlungsbedarf besteht und vielleicht ein Frühjahrsputz (oder sogar eine Renovierung) notwendig ist, illustrieren folgende Punkte:

  • Steigendes Gefährdungspotential: In den letzten Wochen gab es mehr als das übliche Cyber-Spionage-Rauschen, denn die Angriffe auf IT-Infrastrukturen von Unternehmen und Behörden wurden deutlich sichtbar massiver, systematischer und zielgerichteter (siehe z. B. Chinesische Hacker attackierten EADS und ThyssenKrupp). Es war daher nicht überraschend, dass nach Informationen des Spiegel der Bundesnachrichtendienst eine eigene Abteilung aufbaut, die sich mit der Abwehr von Hacker-Angriffen gegen Behörden und Unternehmen beschäftigen soll.
  • Erweiterte und neue Anforderungen der Nutzer: Gleichzeitig werden die Forderungen der IT-Nutzer nach neuen Freiheiten immer lauter: Mobile Endgeräte mit iOS oder Android sollen integriert werden, ohne dass Komfort und App-Vielfalt spürbar leiden, mit Bring Your Own Device (BYOD) und Fremdfirmenzugängen sollen Endgeräte einen Zugang erhalten, die nur eingeschränkt administrativ kontrolliert werden können. Soziale Netze sollen dienstlich genutzt werden und liefern damit ein Beispiel für das Problem, dass immer mehr Anwendungen über HTTP bzw. HTTPS als Trägerprotokoll ablaufen.

Eine moderne DMZ muss diesen gegenläufigen Entwicklungen gerecht werden und folgende technische Bereiche adressieren:

1. Identitäts- und Anwendungsorientierung:
Die Basis ist eine identitätsorientierte, feingranulare Filterung und Berechtigung auf Ebene der Anwendungen, insbesondere der Web-Applikationen. Ob dies durch Funktionen einer Next Generation Firewall, eine Web Application Firewall und/oder durch ein Secure Web Gateway erfolgt, sei dahin gestellt. Die Datenblätter der Hersteller strotzen hier jedenfalls vor Möglichkeiten und deuten scheinbar an, dass diese Funktionen längst schon zum Alltag gehören. Hier ist allerdings Vorsicht geboten, denn es wird mit Wasser gekocht und als Best Practice können solche Funktionen höchstens in spezifischen Anwendungsszenarien bezeichnet werden.

2. Basisfunktionen Terminierung von Verschlüsselung und Anbindung an Verzeichnisdienste:
Anwendungsorientierung erfordert Verschlüsselungsendpunkte in der DMZ und Identitätsorientierung benötigt eine entsprechende Anbindung an Verzeichnisdienste. Eine Herausforderung ist hierbei die Active-Directory-Integration einer DMZ. Auch eine SSL-Inspizierung ist alles andere als unkritisch. Für Zugriffe von innen bedeutet dies eine Auftrennung der Ende-zu-Ende-Verschlüsselung, um Anwendung und Content eines Web-Zugriffs zu kontrollieren. Bei einer erlaubten privaten Nutzung des Internet-Zugangs geht dies schnell – sofern nicht entsprechend berücksichtigt – mit einer gefährlichen Verletzung des Datenschutzes einher.

3. Erkennung und Abwehr von schadenstiftendem Kommunikationsverkehr:
Wesentlich sind Erkennung und Abwehr von schadenstiftender Kommunikation und insbesondere von Angriffen. Dies geht deutlich über die Inspizierung von E-Mail hinaus. Hier sind alle Arten von Web-Applikationen sowie UC & Collaboration (UCC) besonders zu berücksichtigen. Bei E-Mail und UCC spielt zusätzlich die Verhinderung des Abflusses von vertraulichen Daten eine besondere Rolle. Ohne aufwändige zusätzliche, primär organisatorische Maßnahmen sind allerdings die Möglichkeiten einer effektiven Data Loss Prevention (DLP) in einer DMZ eher beschränkt.

4. Virtualisierung und SAN/NAS-Anbindung:
Neben Anforderungen, die den Umgang mit Anwendungen und entsprechenden Gefährdungen betreffen, müssen in DMZs auch allgemeine Entwicklungen im RZ-Bereich berücksichtigt werden. Hier ist insbesondere der Einsatz von Virtualisierungstechniken in der DMZ ein wichtiges Thema. Dabei geht es sowohl um Server-Virtualisierung für Proxies, Web Server und weitere Server der DMZ als auch um Server-based Computing zur Bereitstellung von Anwendungen, Desktops und virtualisierten Clients für den sicheren Zugriff auf interne IT-Ressourcen. Spätestens mit der Nutzung von Virtualisierungs-Hosts in einer DMZ ist die Frage der Storage-Anbindung zu klären. Dabei ist darauf zu achten, dass hier nicht ein Kurzschluss geschaffen wird, der beispielsweise auftreten kann, wenn ein NAS Filer direkt sowohl an DMZ als auch an das interne Netz angeschlossen würde.

5. IPv6-Tauglichkeit:
Die Komponenten in der DMZ müssen hinsichtlich ihrer IPv6-Tauglichkeit bewertet werden. Dies ist leichter gesagt als getan. Diverse Hersteller von Sicherheitskomponenten haben auch heute noch Probleme mit IPv6. Bis heute ist es beispielsweise noch eine Herausforderung einen RADIUS-Server zu finden, der RADIUS über IPv6 unterstützt.

Zusammen mit den genannten technischen Punkten müssen auch die organisatorischen Maßnahmen für die DMZ einem Frühjahrsputz unterzogen werden. Dies betrifft insbesondere Prozesse zum Verwundbarkeitsmanagement, zum Security Incident Management aber auch zur Sensibilisierung der Nutzer. Beispiele zu letztem Punkt sind Trainings der Nutzer zur Vermeidung sicherheitskritischen Verhaltens in sozialen Netzen, zur Weiterleitung vertraulicher Daten über Collaboration-Plattformen und zur Erkennung von schadenstiftenden E-Mails und sonstigen Nachrichten.

Ohne solche regelmäßigen Aufräumaktionen besteht die Gefahr, sich auf dem Ruhekissen eines vermeintlich sicheren Internet-Zugangs auszuruhen, bis ein erfolgreicher Angriff den Schlaf unsanft beendet, aber vielleicht hat man den Angriff ja auch gar nicht bemerkt.

Sie fanden diesen Beitrag interessant? Sie können



Anmerkungen, Fragen, Kommentare, Lob und Kritik:

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

*

.