Komplette Sicherheit aus einer Box – Teil 1

Was würden Sie von einer Box halten, die alle Sicherheitslösungen integriert?

Themen dieses Berichts (was Sie erwartet):

• Allgemein

• Momentane Situation --> Sicherheitspatche / Umfang der Schutzlösungen / Kompatibilität und Pflege / Interoperabilität / Signatur-Updates

• Gefahren

• Vorteile

• UTM-Appliance als Lösung

• Motivation

• Interne Links

Allgemein:

Nehmen wir eine normale „Kiste“ in Form eines handelsüblichen Router, den Sie sicherlich von Ihrem Provider kostenlos oder sehr günstig bekommen haben.

Dieser Router bietet normalerweise nur einen Packetfilter, mit etwas Glück einen dynamischen- oder gar einen zustandsabhängigen Paketfilter (Erklärungen zu diesen Begriffen finden Sie hier --> „Interne Links“).

Die Bedrohungen aus einem externen Netzwerk, dem Internet gehen aber viel weiter! Das Internet stellt mittlerweile den grössten Verteiler von Malware allgemein dar (Erklärungen zum Begriff Malware finden Sie in folgendem 5 teiligen Bericht --> „Interne Links“).

Aber auch Netzwerkangriffe nehmen verstärkt zu und nutzen z.B. bekannte Schwachstellen in Betriebssystemen, um eine Infektion zu ermöglichen.

Momentane Situation:

Sie haben vielleicht in Ihrem Haushalt mehrere Rechner, Ihren eigenen, von Ihren Kindern usw. Wie gestaltet sich dabei das Einspielen von Sicherheitspatches für das Betriebssystem, Update von Anwendungen und Schutzlösungen?

Sicherheitspatche:

Betriebssysteme und Anwendungen sind durch Exploits gefährdet. Diese Gefahr ist sehr hoch, solange die entsprechende Anwendung oder das Betriebssystem nicht aktualisiert wurden. Exploits werden bereits einige Stunden nach bekannt werden einer Sicherheitslücke aktiv verbreitet!

Umfang der Schutzlösungen:

Um einen minimalen Schutz zu haben sind folgende Programme unumgänglich:

• Virenscanner

• Firewall

Absolut empfehlenswert für einen umfangreichen Schutz sind zusätzlich:

• Spy- und Adware-Scanner

• IPS-Software (Intrusion Preventention System). Zur Begriffserklärung sehen Sie folgenden Bericht --> „Interne Links“

• Spezieller Trojanerscanner

• Spamfilter

• Phishingschutz

Kompatibilität und Pflege:

Jede dieser oben genannten Schutzprogramme kann Sie nur pro aktiv schützen, wenn entsprechende Hintergrundprozesse aktiv sind! Eine derartige Vielzahl von Prozessen beinhaltet aber folgende Gefahren:

• Systeminstabilität

• Gegenseitige negative Einflussnahme (Virenscanner und Trojanerscanner erkennen gleichzeitig eine Malware und versuchen diese zu eliminieren).

• Merkbare Verschlechterung der Performance

• Aufwendige Update-Pflege der Schutztools

• Hohe Lizenzkosten, die für jeden einzelnen Rechner gezahlt werden müssen

Interoperabilität:

Schutzlösungen sollten sich ergänzen und interagieren können! D.h. erkennt die IPS z.B. ungewöhnlichen Netzwerkverkehr, sollte sie eigenständig eine Regel an die Firewall weitergeben um die ursächliche externe IP-Adresse, von welcher der Angriff kommt, und evtl. die betroffenen Ports schliessen. Dies können aber unabhängige Schutztools, die lokal auf einem Rechner installiert sind in der Regel nicht!

Signatur-Updates:

Signaturen von lokal installierten Schutzlösungen werden erst nach dem Bootvorgang geladen und danach installiert. Dieser Vorgang kann einige Sekunden, aber auch Minuten dauern. Da er oftmals im Hintergrund stattfindet, sind bereits Netzwerkprogramme aktiv, bzw. werden Netzwerkaktionen von Ihnen durchgeführt (Seitenaufrufe im Browser, E-Mail Abruf) bevor die Updates aktiv sind. Das heisst, sie sind für eine bestimmte Zeit ungenügend geschützt, da die Signaturen veraltet sind.

Gefahren:

Nun nochmals meine Frage: was würden Sie von einer Box halten, die einen Grossteil der Gefahren erkennen und abwehren kann?

Diese Gefahren wären:

• Malware (Viren, Würmer, Trojaner usw.)

• Spyware und Adware

• Exploits

• Netzwerkangriffe (IPS/IDS)

• Spam

• Phishing

• Gefährliche Inhalte auf Webseiten – Webfilterung (HTML-Datenstrom)

Vorteile:

Nun, habe ich Ihr Interesse geweckt? Aber es geht noch weiter:

Eine solche „Box“ wird wie ein herkömmlicher Router angeschlossen und über ein Web-Interface (Browser, z.B. Internet Explorer oder Firefox) konfiguriert.

Danach haben Sie einen zentralen Schutz, ohne Installation von zusätzlicher Software auf Ihrem / Ihren Rechner / Rechnern.

Welche Vorteile bietet eine solche Lösung?

• von Spezialisten konfigurierte Lösung

• spezielles gehärtetes Betriebssystem

• keine Kompatibilitätsprobleme

• Updates werden automatisch geladen und installiert

• Der Schutz des Netzwerks steht dauerhaft und bereits vor dem Bootvorgang zur Verfügung

• Malware wird gefiltert, bevor sie Ihren Rechner erreicht

• Schutz vor Zero-Day-Exploits, auch wenn die Rechner noch nicht aktualisiert wurden

• Mail-Anhänge werden geprüft, bevor sie das Mailprogramm erreichen

• Netzwerkangriffe werden erkannt und evtl. direkt durch die Firewall in der Box verhindert, bevor sie Ihren Rechner erreichen

• Schutzlösungen interoperieren zusammen

• Malware kann nicht mehr Ihre lokal installierten Schutzlösungen unterlaufen

• Gewinn an Ressourcen, durch Verringerung der lokalen Schutzprozesse

• Verringerte Lizenzgebühren bei maximalem Schutz

• usw.

Das hört sich doch bestimmt sehr gut an, aber noch ein paar Erklärungen!

Schutzlösungen können immer nur so gut sein, wie das zugrunde liegende Betriebssystem. D.h. eine lokal installierte Firewall steht und fällt mit der sicheren Konfiguration Ihres Betriebssystems.

Ebenso verhält es sich mit einem Virenscanner.

Es gibt Malware, die z.B. gezielt Prozesse des Virenscanners, der Firewall oder sonstiger Schutzlösungen „abschiesst“, wenn sie einmal installiert wurde.

Die Installation ist wahrlich nicht unmöglich – denken Sie nur an zur Zeit der Installation unbekannte Malware. Aber auch Rootkits können Systemzugriffe derart verändern, dass sie durch einen Virenscanner nicht mehr erkannt werden!

UTM-Appliance als Lösung:

Nun kommt die gute Nachricht! Solche Lösungen gibt es!!

Es haben sich sehr viele Hersteller diesen Lösungen gewidmet. Das grosse Schlagwort ist „UTM“ (unified threat management).

Diese UTM-Lösungen werden als „Appliance“ bezeichnet und meist in einer 19Zoll-Version für einen Netzwerkschrank angeboten.

Es gibt aber auch normale „Tischmodelle“, die eigentlich für kleinere Unternehmen oder Aussen-, Zweigstellen gedacht sind.

Die Liste der Hersteller ist lang, einige möchte ich hier nennen:

Securepoint, Genua, Ironport, Checkpoint, Cisco, ISS, Barracuda, Finjan, Fortinet, WatchGuard, AEP, CP Secure, Symantec, Aladdin, Stonesoft, Blue Secure, Telco Tech, Juniper, Gateprotect, Astaro, Packet Alarm, Mirapoint, Lanner, Nokia. Die Liste lässt sich noch viel weiter fortführen!

Doch leider werden diese Lösungen zum grössten Teil erst ab einem Minimum von 1000 Euro angeboten.

Aber es gab schon mal einen Hersteller, der zumindest eine Anti-Virenlösung in eine solche „Box“ gepackt hat.

TrendMicro hatte eine solche Lösung im Programm. Sie wurde unter dem Namen „GateLock X200“ verkauft. Leider hat der Hersteller Ende 2006 den Support eingestellt, so dass sie nunmehr nur als reiner Router nutzbar ist.

Es haben aber in jüngster Vergangenheit andere Hersteller entsprechende Lösungen vorgestellt.

So z.B. WatchGuard mit der Serie „Firebox-X-Edge-e“, oder Checkpoint mit der „Safe@Office 500“, oder die Fortigate 50A, die jeweils die 1000 Euro Grenze weit unterschreiten.

Aber auch Hersteller von alltäglichen Netzwerkprodukten, wie Router oder Switche haben durchaus das Potential solche Lösungen anzubieten. Zu nennen wären hier z.B.:

Funkwerk(Bintec), Lancom, Netgear, D-Link, Linksys, usw.

Ebenso Hersteller von Anti-Virenlösungen bieten solche UTM-Appliances an. So z.B. Symantec oder Panda.

Viele andere Hersteller von UTM-Appliances nutzen Lizenzen von Anti-Virenlösungen z.B. von Kaspersky, BitDefender usw.

Motivation:

Ich bin davon überzeugt, dass solche Lösungen in der heutigen Bedrohungslage und den Kompatibilitätsproblemen der neuesten Generation von Schutzlösungen absolut sinnvoll sind!

Auch für den normalen – aber sicherheitsbewussten Anwender.

Natürlich sind Preise zwischen 500 Euro und 1000 Euro für einen privaten Anwender noch viel zu hoch. ABER die Techniken sind vorhanden und der Markt auch! Es müssen nur Wege gefunden werden, diese auf einer preiswerten und funktionsreduzierten Basis anzubieten.

Deshalb werde ich dieses Thema auf der Cebit im März (siehe auch mein Veranstaltungskalender --> „Interne Links“) mit den verschiedensten Herstellern diskutieren!

Natürlich werde ich Sie auf dem Laufenden halten und weitere Berichte veröffentlichen.

Geplant ist dabei eine Vorstellung der einzelnen Lösungen, aber auch ein Bericht zu den unterschiedlichen Funktionen und Kriterien von UTM-Appliances.

Als wichtige Anmerkung möchte ich dem evtl. entstandenen Eindruck entgegenarbeiten, das ein lokal installierte Virenscanner oder eine Desktop-Firewall mit einer solchen Lösung unsinnig wären.

Dies ist nicht so, allerdings lässt sich der Umfang der lokal installierten Sicherheitslösungen deutlich verringern (evtl. reicht z.B. ein kostenloser Virenscanner oder Firewall).

Interne Links:

Teil 1 – UTM-Komplette Sicherheit aus einer Box: dieser Bericht

Teil 2 – UTM-Funktionen, Kriterien und Übersicht: http://www.security-dome.eu/UTM-Appliance_Teil_2.html

Teil 3 – UTM-Anti-Virus Scanmethoden: http://www.security-dome.eu/UTM-Appliance_Teil_3.html

Teil 4 – UTM-Erweiterte Funktionen und technische Möglichkeit: http://www.security-dome.eu/UTM-Appliance_Teil_4.html

Teil 5 – UTM-Software-Lösung als Alternative: http://www.security-dome.eu/UTM-Appliance_Teil_5.html

Erklärung Paketfilter / Routergrundlagen: http://www.security-dome.eu/Router_Grundlagen_Teil_1.html

Klassische Malware – Teil 1: http://www.security-dome.eu/Klassische_Malware_-_Begriffserklaerung_Teil_1.html

Erweiterte Malware - Teil 2: http://www.security-dome.eu/Erweiterte_Malware_-_Begriffserklaerung_Teil_2.html

Erweiterte Malware - Teil 3: http://www.security-dome.eu/Erweiterte_Malware_-_Begriffserklaerung_Teil_3.html

Neue Angriffsformen – Teil 4: http://www.security-dome.eu/Neue_Angriffsformen_-_Begriffserklaerung_Teil_4.html

Neue Angriffsformen – Teil 5: http://www.security-dome.eu/Neue_Angriffsformen_-_Begriffserklaerung_Teil_5.html

IDS/IPS Grundlagen: http://www.security-dome.eu/IDS-IPS_Grundlagen.html

Veranstaltungskalender: http://www.security-dome.eu/Veranstaltungskalender.html

Weitere Informationen bzw. zur Diskussion dieses Beitrags besuchen Sie unser Forum unter --> http://www.security-dome.eu/forum/pA/

Autor: Frank Richter

Copyright: Frank Richter – securITy-dome.eu

Erstellungsdatum: 01.08.06

Letzte Aktualisierung: 01.08.06

<-- Zurück zu den News