Laptops, PDAs und IP-Telefone bringen Produktivitätsvorteile, aber auch zusätzliche Angriffspunkte für Malware oder Hackerangriffe. Grob gesagt macht Mobilität Unternehmensnetze verwundbarer, weshalb sich Schutzvorrichtungen mehr und mehr vom Netzwerkrand ins Innere verlagern. Verteidigungsmechanismen sind dementsprechend über die ganze Infrastruktur auf Router, Switch-Ports, Wireless Access Points und Endgeräte verteilt.
Wie lassen sich in einem derart dezentralen Abwehrszenario Sicherheitsrichtlinien situationsgerecht und mit vertretbarem Aufwand zum Beispiel für eine Distributed Firewall einrichten und durchsetzen? Nutzeridentität und Hardwarekennung helfen da allein nicht mehr weiter, denn Netzwerk und Endgerät müssen nicht nur wissen, wer sich wann mit welchem Gerät einloggt, sondern auch von welchem Standort aus und mit welchem Sicherheitsstatus: Nicht mehr nur der Benutzer, auch sein Endgerät muss "vertrauenswürdig" sein.
Ganz selbstverständlich loggen sich Mitarbeiter heute von zu Hause aus ins Firmennetz ein oder greifen auf Geschäftsreise via Hot-Spot im Hotel oder am Flughafen auf unternehmenskritische Informationen zu. Besuchern bietet der Netzanschluss im Konferenzraum willkommene Gelegenheit, um sich mit dem eigenen Firmennetzwerk zu verbinden. Und immer öfter erhalten Geschäftspartner per Virtual Private Network (VPN) Zugang zu Anwendungen und Datenbanken. Die Grenze zwischen Inter- und Intranet verschwimmt zunehmend. Auch Gebäudemauern sind keine Grenzen mehr für Netzwerke, denn die Funkwellen drahtloser Netze durchdringen selbst Stein und Beton und sind beispielsweise auf dem Parkplatz oder Nachbargrundstück bestens zu empfangen.
Um die Sicherheit im Unternehmensnetz unter diesen Randbedingungen weiterhin zu gewährleisten sind deshalb zwei Problembereiche zu adressieren:
Endgeräte deren Anti-Virus-, (host-based) Intrusion-Detection- oder Personal-/Distributed-Firewall-Programme, deren Betriebssystem- oder Anwendungssoftware nicht auf dem aktuellen Stand sind, stellen ein erhöhtes Risiko für die Unternehmenssicherheit dar. Ein einziges solches Gerät kann letztlich die Ursache für eine Neuinfektion mit einem Wurm sein, den der PC-Betrieb vielleicht gerade erst mühsam beseitigt hatte – nur nicht auf dem Rechner eines mobilen Mitarbeiters, weil dieser gerade unterwegs war...
Nicht richtlinienkonform geschützte oder gar infizierte Endgeräte lassen sich nur schwer identifizieren. Meist erfolgt die Prüfung erst während des Logins – zu diesem Zeitpunkt hat das System jedoch schon vollen Netzwerkzugang, das heißt DHCP ist bereits erfolgreich gelaufen, es besteht IP-Zugang zum lokalen Firmennetz und ein entsprechender Schädling kann sich mehr oder weniger ungehindert ausbreiten.
Wie lokalisiert man überhaupt Endgeräte im Unternehmen? Im drahtgebundenen LAN kann man hierzu auf die Statusinformationen der Ethernet-Infrastruktur zurückgereifen, diese mit den Verkabelungsinformationen verknüpfen und so die Position des aktiven Geräts ermitteln. Dies liefert jedoch nur wenig Informationen darüber, wer den aktiven Port wirklich nutzt, weswegen solche Verfahren kaum Anwendung finden. Führt man Port-basierte Authentifizierung ein, beispielsweise mithilfe von 802.1X, so erhält man zwar weitere Details, wie eine Geräte- oder Benutzer-Identifikation, über den Sicherheitszustand des aufgeschalteten Systems sagt dies jedoch immer noch nichts aus.
Im Wireless-LAN ist es noch wichtiger zu wissen, wo genau sich welche Geräte auf dem Unternehmensgelände befinden. Nicht von der IT-Abteilung installierte und kontrollierte WLAN-Access-Points können ein Einfallstor für Angreifer darstellen – Gleiches gilt für WLAN-Adapter, die im Ad-hoc-Modus arbeiten und so als "Brücke" für Dritte fungieren können. Darüber hinaus ist ein Ortungs-Service für Anwendungen wie IP-Telefonie über WLAN sehr sinnvoll, um beispielsweise eine Notruf-Funktion zu realisieren. Eine weitere Möglichkeit zur Lokalisierung sind WiFi-RFID-Tags an beliebigen Gegenständen – üblicherweise mit dem praktischen Nebeneffekt von verringerten Verlust- und Diebstahlraten.
Der effizienteste und kostengünstigste Ansatz zur Client-Ortung im Funknetz nutzt jedoch direkt die Basisstationen als "Location Reader". Alle Access Points sammeln ohnehin Informationen über die empfangene Signalstärke (Received Signal Strength Indicator – RSSI) über Geräte oder RFID-Tags in ihrer Reichweite und können diese via Lightweight Access Point Protocol (LWAPP) an den WLAN-Controller weiterleiten. Im nächsten Schritt kann eine zentrale Instanz diese Informationen korrelieren und grafisch darstellen (zur Weiterleitung von den Controllern dienen verschiedene Schnittstellen wie SNMP, SOAP oder XML). Liegen einer solchen Lösung auch Gebäudepläne nebst funktechnischem Raumprofil vor, so können die RSSI-Informationen anhand konkreter Dämpfungs- und Reflexionseigenschaften der Umgebung nachjustiert und entsprechend präzisiert werden. Administratoren haben mit derartigen Tools jederzeit die aktuelle Verteilung aller Wi-Fi-Quellen im Blick.
Hierbei fallen naturgemäß unautorisierte Access Points – so genannte Rogue Devices – auf, die unbefugt an einem Ethernetport angeschlossen worden sind. Ein grafischer Gebäudeplan, der metergenau den Standort eines Rogue verzeichnet, noch bevor dieses für Angriffsversuche verwendet werden kann, ist bei der Bekämpfung dieser Gefahr eine große Hilfe.
![[Screenshot]](05-5-028-1.jpg)
Abbildung 1: Mithilfe von korrelierten Signalstärkeinformationen mehrerer Access Points lassen sich sowohl die WLAN-Netzabdeckung visualisieren als auch WLAN-Quellen orten und grafisch darstellen (im Bild: Darstellung einer Cisco Wireless Location Appliance).
Neben der Unterstützung der IT-Administration lassen sich mithilfe von Location-Informationen auch Mehrwertdienste realisieren: Über XML oder SOAP könnte man beispielsweise Positionsdaten im Asset-Management, Enterprise Resource Planning oder der Workflow-Automation einsetzen. Verschiedene vertikale Märkte wie Handel, Finanzen, Produktion oder Behörden und nicht zuletzt das Gesundheitswesen könnten so Kosteneinsparungen durch Prozessoptimierung erzielen.
Um den Sicherheitszustand eines Endgeräts über ein Netzwerk umfassend und zuverlässig abfragen zu können, benötigt man in der Regel einen Software-Agenten auf diesem System, der die gewünschten Informationen sammelt und bereitstellt. Teilweise könnten auch Fernwartungsschnittstellen des Betriebssystems oder OS-Fingerprinting-Ansätze die entsprechenden Daten liefern. Die Art und Menge der Statusinformationen hängt letztlich ganz von der im Unternehmen verwendeten Sicherheitsrichtlinie und den Möglichkeiten der eingesetzten Lösung ab. Beispielsweise könnte es bereits als ausreichend angesehen werden, wenn eine Personal Firewall auf dem Endgerät installiert und aktiviert ist sowie das Anti-Viren-Programm die aktuellen Signaturen geladen hat.
Die eigentliche Durchsetzung der Sicherheitsrichtlinie sollte bereits auf dem ersten Netzwerkgerät (Network Access Device, NAD) erfolgen, an das sich das Endgerät zum Verbindungsaufbau wendet – entweder drahtgebunden oder per Funk. Das NAD muss dann zunächst jeglichen Verkehr von diesem Endgerät blockieren und auf den Verbindungswunsch beispielsweise mit einer Autorisierungsanfrage per EAP Request (Extensible Authentication Protocol) antworten: Wenn dies im LAN oder WLAN in der Verbindungssicherungsschicht (OSI Layer 2, Data Link Layer) mithilfe von EAP over LAN (EAPoL) oder EAP over WAN (EAPoW) stattfindet, erfolgt die Prüfung sehr früh innerhalb des Verbindungsaufbaus, womit sich die eingangs geschilderten Probleme umgehen lassen. Besteht bereits eine IP-Verbindung, weil sich ein Endgerät beispielsweise per VPN anbindet, so bleibt zur Netzzugangskontrolle noch die Vermittlungsschicht (OSI Layer 3, Netwok Layer) mit EAPoUDP.
Das NAD kann nun eine Protected-EAP-Verbindung (PEAP) zwischen einem Softwareagenten auf dem anfragenden Endgerät und dem zentralen Richtlinienserver vermitteln, über welche die erforderlichen Statusinformationen ausgetauscht werden können. Nach dem Abgleich mit der Security Policy des Unternehmens teilt der Richtlinienserver seine "Entscheidung" dem Agenten und dem NAD etwa per RADIUS-Token und passender Access Policy mit, die einen teilweisen oder vollständigen Zugriff auf die Netzressourcen des Unternehmens ermöglicht.
Beispielsweise arbeitet bei diesem Vorgang im "Cisco-Universum" der Network Admission Control (NAC) zur Datensammlung auf Client-Seite der Cisco Trust Agent (CTA): Ein eher kleines, nicht tief in das Endgerätebetriebssystem eingreifendes Stück Software, das selbst nur sehr rudimentäre Informationen liefert. Die eigentliche Informationssammlung leisten so genannte Posture-Plug-ins, die von Drittanbietern auf ihre jeweilige Software (z. B. Anti-Virus) abgestimmt wurden. Die Sicherheitsüberprüfung durch den Richtlinienserver kann dann vier mögliche Zustände zum Ergebnis haben: Naheliegend sind die Rückmeldungen "alles o. k. = Vollzugriff" sowie eine vollständige Rückweisung als nicht vertrauenswürdig, weil beispielsweise kein CTA installiert oder wichtige Anforderungen der Sicherheitsrichtlinie nicht erfüllt wurden. Als dritte Möglichkeit gibt es den eingeschränkten Zugriff auf Teile des Netzwerks oder in Form sonstiger Restriktionen (IP-Adressen, Ports, Bandbreite usw.).
Die vierte Option stellt das anfragende System quasi unter Quarantäne: Hier liegt der Schlüssel für weitere dynamische Aktionen, die beispielsweise zur Wiederherstellung eines richtlinienkonformen Status führen können. Das Endgerät wird hierbei in ein separiertes Netzwerk(-Segment) umgeleitet – entweder per Virtual LAN (VLAN) oder auch nur über einzelne Route beziehungsweise Access Control List (ACL) zu einem "Remediation Server". Darüber kann dann eine externe Sicherheitsüberprüfung oder eine Fernwartungssoftware ausgeführt werden, um das Endgerät wieder "auf Vordermann" zu bringen. Ist dieser Prozess abgeschlossen, fragt das System erneut beim NAD an.
![[Screenshot]](05-5-028-2.jpg)
Abbildung 2: Zusammenspiel verschiedener Komponenten zur richtliniengesteuerten Identifikation, Authentifizierung und Autorisierung von Endgeräten.
Angesichts ihrer Mobilitätslösungen müssen Unternehmen aber nicht nur ihre lokalen Ressourcen schützen, sondern auch umgekehrt für die Sicherheit der Endgeräte sorgen, wenn diese unterwegs sind und nicht über die Mechanismen im eigenen LAN geschützt und kontrolliert werden können. Auch in diesem Fall spielt wieder die Ortsbestimmung – diesmal aus Sicht des Endgeräts – eine bedeutende Rolle, um die "passenden" Regelsätze für lokale Sicherheitssysteme zu aktivieren. Was in der Umgebung des eigenen Arbeitsplatzes im Unternehmens-LAN erwünscht ist (z. B. Windows Shares, Fernwartung oder Intranet-Services), dürfte beim Kundenbesuch oder im Hotelnetz schließlich völlig anders bewertet werden.
Je nachdem, in welchem Netzwerk-Kontext sich das Gerät befindet, ist es daher wünschenswert, unterschiedliche Sicherheitsregeln umzusetzen. Beispielsweise könnte die höchste Sicherheitsstufe vorsehen, dass nur die Anmeldeseite eines Hot-Spots per HTTP erreicht und maximal ein VPN-Tunnel zum Unternehmen aufgebaut werden darf, wenn sich das Gerät "offen" im Internet befindet. So lässt sich unter anderem die Gefahr einer Infektion durch Netzwerk-Würmer drastisch verringern, die der arglose Benutzer anschließend ins Unternehmensnetzwerk einschleppen könnte.
Zur Ortsbestimmung kann Sicherheitssoftware mit entsprechenden Features Layer-3-Informationen heranziehen: beispielsweise zugewiesene IP-Adresse, Domain oder DNS-Suffix und gegebenenfalls mit Erkenntnissen über den System-Zustand kombinieren. Je nach Funktionsumfang der Software sind dann neben reinen Netzwerkbeschränkungen auch Auswirkungen auf Peripherie-Systeme denkbar: beispielsweise das Unterbinden von Kopiervorgängen auf externe Verzeichnisse oder die Nutzung von USB-Devices.
Klaus Lenssen ist Business Development Manager Security und Government Affairs bei der Cisco Systems GmbH.
© SecuMedia-Verlags-GmbH, 55205 Ingelheim (DE),
<kes> 2005#5, Seite 28
| 