Traditionelle Firmen-Netzwerke sind nicht mehr sicher genug
Traditionelle Firmen-Netzwerke sind nicht mehr sicher genug
Bis vor Kurzem lag der Fokus beim Aufbau von Netzwerken hauptsächlich auf deren Performance und Verfügbarkeit. Realisiert wurden diese Netze in der Vergangenheit mit einer Campus Fabric bei der die Layer-3-Switche das Routing übernahmen und am Übergang zum Internet (Perimeter) eine Firewall die Sicherheit gewährleistet.
Angreifer haben leichtes Spiel
Aus Sicht der IT-Security funktioniert das Konzept aber nur, wenn alle Bedrohungen von außen kommen. Traf dies vor einigen Jahren noch auf die meisten Angriffe zu, so ist der Angriffsvektor heute wesentlich größer. Es genügt nicht mehr, das Netzwerk nur an der Schnittstelle zum Internet zu schützen! Es muss davon ausgegangen werden, dass eine Erstinfektion eines Gerätes in einem Netzwerk kaum zu vermeiden ist, dann aber müssen Schaden und Ausbreitung auf ein Minimum begrenzt werden. Dies kann durch Segmentierungs-Firewalls gelingen.
Prominente Einfallstore
- Diebstahl von VPN- oder anderen Zugangsdaten verschaffen Angreifern einen regulären Zugang zum Netz
- Fehlkonfigurationen öffentlicher Zugangspunkte ermöglichen Zugriff auf interne Komponenten
- Programmbestandteile eigentlich sicherer Software erlauben Angreifern den Zugang (z. B. log4j)
- Nicht ausreichend gesicherte Wartungszugänge machen kritische Systeme erreichbar
- Schwachstellen von Geräten mit geringeren Sicherheitsfähigkeiten wie Druckern, Kameras und IoT- Geräten
- Physikalischen Angriffe durch USB-Sticks oder ungesicherte Netzwerk-Anschlüsse
- Dazu kommt aus Sicht der Angreifer weiterhin eine hohe Erfolgsquote beim Phishing: Bis zu 20% von eigentlich mit der Materie vertrauten IT-Mitarbeitern sind laut Studien anfällig dafür (siehe hier).
Das Fazit: Ausbreitung verhindern
Eine Infektion eines Arbeitsplatzes oder Accounts ist auf so vielen Wegen möglich, dass man nicht guten Gewissens von einem „sauberen Netz“ ausgehen kann. Da jedes infizierte Gerät potenziell eine große Zahl weiterer Geräte schädigen kann, ist eine Ausbreitung so früh wie möglich zu verhindern.
Das skizzierte traditionelle Firmen-Netzwerk bietet dafür jedoch kaum Ansatzpunkte: Ist ein Arbeitsplatz kompromittiert, so sind alle anderen Arbeitsplätze nur einen Switch-Port „entfernt“. Selbst wenn sich der Domain Controller in einem anderen VLAN befindet, so kann trotzdem ein infizierter Arbeitsplatz versuchen eine Management-Verbindung zur Ausführung von Schadcode dorthin aufbauen, da es keine Filter oder Regelwerke bestehen.
Netzwerk segmentieren
Als Resultat muss das moderne Netzwerk stärker segmentiert werden. Wenn sich verwundbare Geräte wie z. B. Drucker im selben Segment befinden wie der Administrations-PC, haben Angreifer leichtes Spiel.
Zusätzlich müssen die Übergänge zwischen den Netzsegmenten gesichert werden. An dieser Stelle wird nun eine Segmentierungs-Firewall eingesetzt. So wird der Datenverkehr auf die notwendigen Verbindungen beschränkt, Endgeräte von Servern und Management getrennt und der erlaubte Verkehr durch ein auf der Firewall vorhandenes Intrusion Prevention System (IPS) auf Anomalitäten untersucht.
Vorteilhaft ist, dass die Segmentierungs-Firewall in ein bisher traditionell aufgebautes und segmentiertes Netzwerk sehr einfach integriert werden kann. Bestehende Geräte werden damit nicht obsolet, weil sie die Firewall so weit entlasten, dass diese sich auf ihre Kernfunktion – den Schutz der Übergänge – konzentrieren kann.
Ist das Thema Sicherheit damit gelöst?
Die Segmentierung und Nutzung einer Segmentierungs-Firewall bewirken bereits eine enorme Steigerung der Sicherheit gegenüber bisherigen Netzwerk-Architekturen. Trotzdem können sie nur Basis eines umfassenden Sicherheitskonzepts sein. Mit weiten Schritten wie Netzwerkzugangskontrolle, Endgeräte-Schutz und intelligente Auswertung von Sicherheitsvorfällen kann erst in einer Kombination mit organisatorischen Maßnahmen ein wirksamer Schutz gegen Cyberangriffe erzielt werden.
Wünschen Sie sich einen kompetenten Partner auf dem Weg zu einem sicheren Netzwerk?
Auf diesem Weg möchten wir Sie gern begleiten und mit Rat und Tat zur Seite stehen. net-select besitzt langjährige Expertise zu Netzwerken und Sicherheit. Wir beraten Sie gerne über die aktuelle Bedrohungslage und planen gemeinsam einen für Sie passenden Weg zu mehr Sicherheit – auch weit über die angesprochenen Aspekte hinaus.
Nehmen Sie gerne Kontakt mit uns auf! Wir freuen uns auf Sie!
