Aufrufe
vor 11 Monaten

Netzwoche 9/2019

  • Text
  • Hinderling
  • Digitalisierung
  • Schweizer
  • Swiss
  • Webcode
  • Quantencomputer
  • Digital
  • Netzmedien
  • Schweiz
  • Unternehmen

34 DOSSIER Thema In

34 DOSSIER Thema In Kooperation mit xxxxxxx Grafik: emojoez / shutterstock.com Dossier Unified Threat Management In Kooperation mit Boll Engineering Rundumblick für die Sicherheit jor. Der Cyberspace ist ein gefährliches Pflaster. Die besonders Findigen unter den kriminellen Hackern denken sich tagtäglich neue Methoden aus, um die Rechner ihrer Opfer zu infiltrieren. Sicherheitsexperten sind mindestens genauso raffiniert, doch sie hinken den Angreifern notorisch hinterher. Und auf die Firewall allein ist ohnehin kein Verlass. Will sich ein Unternehmen, das mit sensiblen Daten arbeitet, möglichst gut schützen, sollte es sich mit Unified Threat Management (UTM) befassen, wie Patrick Michel, Principal Consultant beim auf IT-Security spezialisierten Distributor Boll Engineering, ab Seite 35 schreibt. Egal, ob eine Box aus Metall oder eine virtuelle Appliance zum Einsatz kommt: Cybergefahren liessen sich nur mit einem 360-Grad-Ansatz bekämpfen, sagt Michel im Interview auf Seite 37. Michel erklärt, welche Cybergefahren derzeit besonders akut sind, was man dagegen tun kann und für wen eine UTM-Appliance interessant sein könnte. Ferner spricht er darüber, wie sich UTM ohne Leistungseinbussen implementieren lasse und warum der Best-of-Breed-Ansatz seiner Meinung nach nicht die beste Strategie für KMUs ist. 09 / 2019 www.netzwoche.ch © netzmedien ag

In Kooperation mit Boll Engineering Unified Threat Management DOSSIER35 360-Grad-IT-Security: Sicherheitslücken schliessen und Bedrohungen stoppen Unified-Threat-Management-Appliances erhalten laufend neue Funktionen. Entsprechende Lösungen, die mit einem umfassenden Set an Leistungsmerkmalen ausgerüstet sind, stehen für eine ganzheitliche IT-Security, bieten integriertes WLAN-Management und werden zur Schaltzentrale für das gesamte Firmennetzwerk. DER AUTOR Patrick Michel Principal Consultant, Boll Engineering Netzwerksicherheit ist für alle Unternehmen matchentscheidend – egal, ob es sich um ein KMU oder einen Grosskonzern handelt. Den Grundstein jedes Sicherheitskonzepts bildet die Firewall: Herkömmliche Layer-4-Firewalls mit Stateful Inspection sperren oder öffnen anhand von Regeln für jede Verbindung bestimmte Netzwerk-Ports. Unified Threat Management bringt umfassende Sicherheit Das Basic Firewalling genügt jedoch nicht, um die immer raffinierteren Bedrohungen abzuwehren. Dafür braucht es Unified-Threat- Management-Appliances (UTM). Dabei werden möglichst viele Sicherheitsfunktionen in einem leistungsstarken System zusammengefasst. Typische UTM-Komponenten sind Antivirus und Antispam, VPN, Angriffserkennung und Angriffsabwehr (IDS/IPS) sowie URL-Filter zum Blockieren gefährlicher Webadressen. UTM- Appliances sind beispielsweise von Firmen wie Fortinet und Watchguard erhältlich, oft auch als virtuelle Appliance oder als Soft wareas-a-Service. Im Laufe der Zeit sind zu den klassischen UTM-Features immer wieder neue Funktionen hinzugekommen. Dazu gehört etwa eine Application Firewall, auch Application Control oder Layer- 7-Firewall genannt. Die UTM-Appliance sorgt in diesem Fall auch für die gezielte Freigabe oder Sperrung von Anwendungen, Webdiensten und Netzwerkservices. Bild: matejmo / iStock.com Verschlüsselte und unbekannte Schädlinge erkennen Eine weitere und besonders wichtige neuere UTM-Funktion ist das SSL-Scanning. Beim Surfen im Web, beim Austausch von E-Mails und bei der Nutzung webbasierter Businessanwendungen kommen praktisch nur noch per SSL verschlüsselte Verbindungen vor. Den verschlüsselten Verkehr kann die Firewall jedoch nicht analysieren – und dazu gehören auch Schadcode, gefährliche URLs und andere unerwünschte Inhalte. Antivirus, Webfilter und Co. ergeben nur dann einen Sinn, wenn die Daten offen bereitstehen. Dazu muss die UTM-Appliance die SSL-Verschlüsselung aufbrechen und nach der Analyse die Daten wieder verschlüsseln. Diesen Vorgang nennt man SSL-Scanning. Technisch arbeitet das SSL-Scanning wie folgt: Die UTM-Appliance unterbricht transparent die eingehende SSL-Verbindung. Nach der Analyse baut sie eine neue SSL-Verbindung zum Empfänger auf. Dazu muss sie auf Basis des eigenen, auf der Appliance installierten CA-Zertifikats ein neues Zertifikat für den Client generieren. Auch dieser Vorgang, der in jeder Benutzer-Session immer wieder neu erfolgt, erfordert Rechenaufwand. Ausserdem muss das CA-Zertifikat der UTM-Appliance auf allen Clients in die Liste vertrauenswürdiger Zertifikate aufgenommen werden, den sogenannten Trust Store. Das SSL-Scanning wirkt sich also auch auf das Client-Management aus. Idealerweise arbeitet man mit Managed Clients, damit die Nutzer das CA-Zertifikat nicht manuell bestätigen müssen. Mit Sandboxing, einem weiteren neueren UTM-Feature, lässt sich auch Schadcode erkennen, der von der Antivirus-Engine nicht als schädlich erkannt wurde. Dateien mit aktivem Code werden dabei in einer abgeschotteten virtuellen Umgebung ausgeführt. Eine Datei wird nur dann weitergeleitet, wenn dabei nichts Gefährliches passiert ist. Sandboxing ist sehr rechenaufwendig. UTM- Appliances nutzen dazu meist einen Cloud-Service des Herstellers. Da der Vorgang Zeit in Anspruch nimmt, eignet sich Sandboxing vor allem für Anhänge von E-Mails, die ja ohnehin nicht in Echtzeit übermittelt werden. Unerwünschte Gäste abwehren Manche UTM-Appliances ermöglichen Geo-IP-Firewalling, auch als Geoblocking bekannt. Damit kann die Kommunikation aus bestimmten Ländern komplett abgeblockt werden. Wer etwa im Onlineshop keine Kunden aus Asien bedienen möchte, kann dies per Geoblocking erreichen. Weniger sinnvoll ist es, bestimmte Länder wegen möglichem Hacking zu blockieren. Bösartige Hacker operie­ www.netzwoche.ch © netzmedien ag 09 / 2019

Archiv