![[externer Link]](../../../../images/link.gif)
www.openantivirus.org), die On-Access-Scanning in dem Samba-Verzeichnis ermöglicht, das die Windows-Zugriffe verwaltet. vscan ist hierzu als Schnittstelle zwischen einer (OSS oder kommerziellen) Anti-Virus-Engine und dem Samba-Server konzipiert.Die Verwaltbarkeit und das Zusammenspiel verschiedener Schutzsysteme und sicherheitsrelevanter Vorgänge in einer heterogenen Umgebung stellen Unternehmen mit gewachsener IT-Infrastruktur mittlerweile vor erhebliche Herausforderungen. Tests haben gezeigt, dass ein ungepatchter Windows-XP-Rechner ohne Service-Pack und Schutz-Software im Internet gerade einmal zwölf Minuten frei von Malware bleibt. Auch wenn dies ein Extrembeispiel ist: Updates und Änderungen an Strukturen oder Berechtigungen müssen zeitnah bis zum "letzten" Rechner vordringen! Damit Schutzmechanismen zudem wirklich jeden Punkt im Netz abdecken, muss ihre Planung entsprechend sorgfältig erfolgen. Dabei ist eine exakte Dokumentation wesentlich, um jederzeit die Verwaltbarkeit zu garantieren und später nachvollziehen zu können, was an jeder Stelle im Netz geschieht.
Besonders in heterogenen Netzwerken, die typischerweise Windows-, Unix- und Linux-Plattformen vereinen, ist es unerlässlich, dass an den Schnittstellen eine reibungslose Datenübergabe erfolgen kann. Nur so ist sichergestellt, dass Schutz-Software und später vorgenommene Könfigurationsänderungen tatsächlich überall im Firmennetz verteilt werden. Als Beispiel kann hier die Datenübergabe mittels Lightweight Directory Access Protocol (LDAP) zwischen verschiedenen Verzeichnisdiensten wie Active Directory und Novells eDirectory genannt werden.
Geht es um Schnittstellen nach außen, also beispielsweise Mail- und Web-Server, empfehlen sich Unix- oder Linux-basierte Systeme. Sie sind durch ihre hohe Zuverlässigkeit, Ausfallsicherheit und Leistungsfähigkeit dazu prädestiniert, zentrale Aufgaben der Kommunikation zu übernehmen. Überdies sind für diese Plattformen wesentlich weniger Schadprogramme bekannt.
Doch innerhalb des Firmennetzes müssen unterschiedliche Systeme "miteinander reden können": Ihre Anbindung kann häufig über LDAP erfolgen, sodass etwa die Verwaltung von Mail-Adressen zwischen der Unix/Linux- und der Microsoft-Welt gewährleistet ist. Diese Austauschfähigkeit sorgt zum Beispiel bei Anti-Spam-Software dafür, dass bereits ein Gateway E-Mails für Mailboxen herausfiltern kann, die im Unternehmen nicht (oder nicht mehr) vorhanden sind.
Ein anderes Beispiel für die notwendige "Synchronisation der Welten": Wenn ein Linux-System als sicherer und stabiler File-Server auch für Windows-Clients zum Einsatz kommt, darf dieser Server dennoch nicht als "Vermittler" von Windows-Malware agieren. Gefordert ist also eine Software unter Linux, die sowohl vor seltenen Linux-Schädlingen als auch häufig auftretenden Windows-Schadprogrammen schützt. Dafür wird zum Beispiel die Open-Source-Software (OSS) vscan entwickelt ( www.openantivirus.org), die On-Access-Scanning in dem Samba-Verzeichnis ermöglicht, das die Windows-Zugriffe verwaltet. vscan ist hierzu als Schnittstelle zwischen einer (OSS oder kommerziellen) Anti-Virus-Engine und dem Samba-Server konzipiert.
----------Anfang Textkasten----------
Wenn zumeist nur von Bedrohungen gegen Windows- und Unix-/Linux-Systemen die Rede ist, lässt sich daraus dann ableiten, dass Rechner mit einem Macintosh-Betriebssystem eine sicherere Alternative wären? Im Prinzip ja, denn derzeit sind nur rund 50 Schadprogramme für Mac OS 8 und 9 bekannt, für OS X existiert sogar nur eine Handvoll nicht funktionsfähiger Angriffe. Andererseits arbeiten nur weniger als drei Prozent aller Endgeräte weltweit auf Macintosh-Basis, sodass diese zwar als Ziel für kriminelle Aktivitäten uninteressant sind, aber andererseits auch der Business-Flow dadurch stark eingeschränkt würde. Das dürfte sich nur ändern, wenn die Zahl der Mac-Systeme nennenswert stiege, was aber wiederum auch eine steigende Zahl von Angriffen zur Folge hätte.
Die ernstzunehmende Empfehlung lautet daher: Linux und Unix. Auch Linux-Desktops können eine sichere Alternative darstellen – für ihren praktischen Einsatz muss dafür jedoch die Implementierung, Anpassung und Integration in die weit verbreitete Microsoft-Welt gewährleistet sein.
----------Ende Textkasten----------
Auf der Seite der Endgeräte ist die wichtigste Anforderung, dass Clients zentral zu verwalten und zu aktualisieren sind. Darüber hinaus sollten auch alternative Update-Möglichkeiten beziehungsweise Pfade bestehen. Das gilt beispielsweise für den Fall, dass ein Notebook unterwegs über das Internet eingesetzt wird – auch dann sollte das Update möglich sein, aber einem Firmensystem vorbehalten bleiben. Eine Client-Firewall muss sich dazu ebenfalls zentral verwalten lassen, sodass IP-Adressbereiche restriktiv freigegeben oder geblockt und "heikle" Internet-Seiten gesperrt werden können. Eine solche zentrale Verwaltung wird zusätzlich unterstützt und vereinfacht, wenn die Aktualisierung von Schutzsoftware agentenbasiert erfolgen kann, sodass alle Betriebssysteme über eine dedizierte Schnittstelle kommunizieren.
Von Anti-Spam- und Content-Filtering-Software auf den Clients ist hingegen abzuraten. Hier empfiehlt es sich, eine Lösung am Gateway einzusetzen. Das vereinfacht das Hinzufügen neuer Benutzer und zentraler Regelsätze. Zusätzlich belastet so kein Spam das interne Netzwerk, da die unerbetenen "Postwurfsendungen" schon an der Unternehmensgrenze abgefangen werden. Außerdem führen Anti-Spam-Programme am Endgerät leicht zu Leistungseinbußen – und wegen eines häufig langsamen Lerneffekts lassen Abwehrerfolge an den einzelnen Clients eventuell lange auf sich warten.
Für Schutzlösungen empfiehlt Sophos übrigens generell keine Open-Source-Software einzusetzen, da Angreifern über den Quellcode die genauen Mechanismen der Sicherheitslösungen offenbart und damit auch Wege zu deren Aushebelung aufgezeigt werden.
Zusammenfassend gelten vier wesentliche Punkte für den Aufbau eines wirksamen Schutzsystems in heterogenen Umgebungen:
Der Begriff Unified-Threat-Management (UTM) wurde im September 2004 erstmals vom Marktforschungsunternehmen IDC verwendet. IDC definiert UTM als eine Kombination von Hardware, Software und Netzwerktechnik, die verschiedene Sicherheitsfunktionen erfüllen, unter anderem gehören hierzu eine Firewall- und Anti-Viren-Lösung.
Bei UTM werden verschiedene Schutzprogramme nicht mehr als Einzellösungen betrachtet, sondern ihr optimales Zusammenspiel rückt in den Mittelpunkt. Das heißt beispielsweise, der Internetzugang am Gateway sowie der Virenschutz und die Firewall am Client müssen korrespondieren. Gleichzeitig bleibt es natürlich wichtig, Server und Client so zu verwalten, dass nur die unbedingt notwendigen Aktivitäten gestattet werden. Idealerweise findet diese Verwaltung per UTM innerhalb einer zentralen Oberfläche statt und integriert sich auch in weiter gehende Mechanismen zum Schutz einer Infrastruktur. Hierzu gehören beispielsweise Programme für das automatische Patch-Management oder die Beobachtung und Kontrolle des Netzwerkverkehrs auf auffällige Aktivitäten.
Unified-Threat-Management bedeutet im Idealfall, dass der Sicherheitsbeauftragte oder IT-Administrator alle derartigen sicherheitsrelevanten Programme von einem zentralen Punkt verwalten kann und gleichzeitig einen Überblick darüber hat, was im Netz geschieht, um jederzeit reagieren zu können. Das ist zwar nicht nur, aber besonders in heterogenen Umgebungen wesentlich.
Jens Freitag ist Senior Technology Consultant bei Sophos
© SecuMedia-Verlags-GmbH, 55205 Ingelheim (DE),
<kes> 2005#5, Seite 26
| 