Firewall-Lösung für Ihr sicheres Netzwerk in Würzburg
Moderne Firewall-Lösungen sorgen für sichere Netzwerke
Unternehmensnetzwerke brauchen Schutz. Eine Firewall-Lösung muss deshalb sein. Doch welche? Hardware, Software, NextGen, Cloud? Die Auswahl fällt mit Sicherheit nicht leicht. Holen Sie sich Expertenrat, wenn Sie sichergehen wollen, dass Sie die Firewall-Lösung kriegen, die Sie wirklich brauchen. So kann Ihr Netzwerk nicht nur sicherer, sondern auf effizienter und produktiver gemacht werden.
Die Firewall-Lösung, die wirklich zu Ihnen passt
Ist Ihre Firewall noch gut oder brauchen Sie wirklich die Neuste mit bahnbrechenden Features? Lassen Sie es uns gemeinsam herausfinden.
Gerne sichten wir zunächst den Status quo Ihrer bestehenden Lösung und zeigen Ihnen, wenn nötig, Optimierungsmöglichkeiten auf: Das kann eine neue Firewall sein, aber auch ein Update oder eine Ergänzung der bestehenden.
Zusammen beleuchten wir auch Ihr IT-Sicherheitskonzept im Detail. Neben einer Firewall gibt es möglicherweise noch mehr Potenzial für mehr Netzwerksicherheit.
Beste Unterstützung für optimale Netzwerksicherheit
Cyberkriminelle werden immer raffinierter und deswegen ist die passende Firewall, auch nur ein Baustein hin zur optimalen Netzwerksicherheit. Damit diese gewährleistet werden kann, muss sichergestellt sein, dass die Firewall optimal implementiert und konfiguriert wird. Selbstverständlich sollte die Lösung auch auf dem aktuellen Stand sein und laufend Updates unterzogen werden.
Sie brauchen Unterstützung dabei? Dann freuen wir uns auf Ihre Kontaktaufnahme!
So finden wir die beste Firewall für Sie
Persönliche Beratung : Bei uns erhalten Sie eine individuelle Beratung, bei der wir Ihre Anforderungen analysieren, um die passende Firewall-Lösung für Sie zu finden.
: Bei uns erhalten Sie eine individuelle Beratung, bei der wir Ihre Anforderungen analysieren, um die passende Firewall-Lösung für Sie zu finden. Betreuung : Wir begleiten Sie sowohl während der Testphase (PoC) als auch dauerhaft.
: Wir begleiten Sie sowohl während der Testphase (PoC) als auch dauerhaft. Nachsorge: Auch nach dem Kauf, können Sie auf unsere Expertise zählen. Unser Support ist für Sie erreichbar.
Jetzt Kontakt aufnehmen!
Firewall: Die Zukunft der Netzwerksicherheit?
Die Netzwerksicherheit. Das Arbeitspferd dieser Welt war bis vor kurzen immer noch die gute alte „on premise“ Firewall. Die Netzwerksegmente miteinander verdrahtete und die individuellen, definierten Firewall-Regeln durchsetzte und überwachte.
In der Zwischenzeit hat sich einiges verändert, rund um die Firewall. Die meisten Anwendungen haben sich in die „Public Cloud“ verlagert und viele User das Bürogebäude in Richtung Homeoffice verlassen. Hybrides Arbeiten stellt plötzlich das gesamte WAN-Konzept der Unternehmen in Frage. Was bedeutet das alles für die Netzwerksicherheit in Unternehmen? Und was ist die Zukunft der Firewall?
Spezialisten für Netzwerksicherheit / Cybersecurity finden
Unter Netzwerksicherheit (oder Netzsicherheit; englisch network security) wird in der Informationstechnologie die Sicherheit von Rechnernetzwerken verstanden.
Allgemeines
In seiner allgemeinen Form betrifft der Begriffsinhalt der Netzwerksicherheit auch andere Netzwerke wie beispielsweise das Verkehrsnetz, bei dem von Verkehrssicherheit gesprochen wird, oder das Energienetz, bei dem es um Energiesicherheit geht. In Stromnetzen wird davon ausgegangen, dass der Ausfall eines beliebigen Netzwerkelements nicht zu einer Versorgungsunterbrechung führt.[1] Fallen mindestens zwei Elemente aus, ist ein Stromausfall möglich. Für Redundanz können Notstromaggregate sorgen.
Rechnernetzwerke
Sicherheit an sich ist dabei stets nur relativ zu verstehen und kein unverändert bleibender Zustand. Einerseits muss überlegt werden, wie wertvoll die Daten sind, die im Netzwerk kursieren, und andererseits ist das Netzwerk durch Ausbau und technische Weiterentwicklung permanenten Veränderungen unterworfen, die sich auch in geänderter Sicherheitsarchitektur widerspiegeln müssen. Steigerungen im Bereich der Sicherheit sind oft mit größer werdenden Hürden bei der Benutzung einhergehend.
Bei Rechnernetzwerken zielt die Netzwerksicherheit darauf ab, die durch das Internet auf Computer einwirkenden Bedrohungen durch eine geeignete Kombination des Schutzes der Endgeräte, Peripheriegeräte, Wiedergabegeräte, von Teilnetzen und der Daten auszugleichen[2] oder zu vermeiden. Netzwerksicherheit ist in Netzwerken die Gewährleistung des Netzbetreibers, Netzstörungen zu vermeiden und die Verfügbarkeit des Netzes dauerhaft aufrechtzuerhalten.[3] Netzwerksicherheit soll insbesondere vor jeder Art von Computerkriminalität und Internetkriminalität schützen.
Betroffene Netzwerkkarten
Zu unterscheiden sind nach
Diese Arten sind allesamt sicherheitsrelevant. So besitzt beispielsweise ein Broadcast-Funk-LAN mehr Angriffsrisiken als eine drahtgebundene Direktverbindung.[4]
Aspekte: Systemsoftware härtet gegen Sicherheitslücken, Passwortschutz, Verschlüsselung, Einsatz von Firewalls/DMZ, Verwendung von VPN, Einsatz drahtloser Netze oder Einbruchserkennung.[5]
Maßnahmen
Netzwerkelemente wie Proxy-Server oder Firewalls können insbesondere auch für Netzwerksicherheit sorgen. Ein Datenschutz vor Spam oder Malware kann durch Virenscanner erreicht werden, die auch fremde externe Datenträger untersuchen. Für Datensicherheit sorgt die Datensicherung, Netzstörungen interner Netzwerke sind zu vermeiden. Redundanzen wie Sicherungsdateien oder ausgelagerte Computeranlagen sind ebenfalls eine Möglichkeit der Netzwerksicherheit. Diese kann durch eine Netzwerkanalyse ermittelt werden, wobei der gesamte Datenverkehr zu überprüfen ist (vgl. Sniffer). Anwender können die Ressourcen des Netzwerks erst nach einer Identifizierung und einer anschließenden Authentifizierung und Autorisierung nutzen. Damit eine Kompromittierung eines Rechners im Netzwerk erkannt werden kann, werden Rechner oft überwacht. Dies kann intern (sind die Daten noch konsistent?, sind Veränderungen aufgetreten?) oder auch extern (sind die Dienste des Rechners noch erreichbar und funktional?) geschehen.
Unternehmen und Behörden
Die Wirtschaftsspionage hat vor allem Unternehmen und Behörden im Visier, wobei unter anderem das Know-how, Patente, Produktionstechnik, Produktionsverfahren oder sonstige Unternehmensdaten und Wissen durch die Konkurrenz oder durch Geheimdienste ausgeforscht werden (Informationskrieg).[6]
Geht es in Unternehmen oder Behörden darum, durch den Internetfilter sicherzustellen, dass Arbeitnehmer oder Mitarbeiter nicht auf Webseiten zugreifen, die sie von der Erfüllung der Arbeitspflicht abhalten, ist dies eine arbeitsrechtliche Netzwerksicherheit. Proxy Server sind in Unternehmen zwischen den Personal Computer und das Internet geschaltet und dienen dem Caching und zur Netzwerksicherheit.[7]
Im Rahmen der Arbeitssicherheit muss die Netzwerkorganisation insbesondere sicherstellen, dass die Platzierung von Computerviren durch Hackerangriffe oder Spionage vermieden wird.
Potentieller Datenverlust durch fehlerhafte Software, Fehlbedienung, Fahrlässigkeit oder Altersverschleiß der Hardware wird durch eine Datensicherung verhindert, die dann an einem anderen Ort gelagert werden soll. Sicherheitslücken in der Software kann durch das rechtzeitige Einspielen von Softwareaktualisierungen entgegengewirkt werden. Zusätzliche Sicherheit kann noch durch den Einsatz bestimmter Software erhöht werden, die als sicher gilt, weil sie z. B. einer Open-Source-Lizenz unterliegt. Auch der entgegengesetzte Fall kann vorkommen: Software, die als unsicher gilt, kann verboten werden. Durch Schulung der Anwender kann ein Sicherheitsbedürfnis oder Problembewusstsein entstehen, indem man vermittelt, dass die Daten eines Netzwerkes sehr wertvoll sind. Dadurch soll der Anwender Verständnis für die Maßnahmen aufbringen und sie nicht unterlaufen, indem er komplizierte Passwörter auf Zettel schreibt und diese an seinen Monitor klebt. Schließlich kann der physische Zugang zum Netzwerk selbst noch mit Hilfe von Zugangskontrollen beschränkt werden.
Privatpersonen
Privatpersonen können ihre Personal Computer, Laptops oder Smartphones durch Antivirenprogramme, Sicherheitssoftware, Jugendschutz, Kindersicherung oder Werbeblocker sichern. Eine wichtige Sicherungsmethode ist nach der Internetnutzung die Löschung des Verlaufs der Daten des Webbrowsers, auch um Spyware zu verhindern. Der Webbrowser legt in einem temporären Ordner (Cache) heruntergeladene Dateien auf der Festplatte ab und speichert dort von Webseiten vergebene Cookies automatisch, die sich durch Dritte ausspionieren und auswerten lassen. Der Browser führt in der Verlaufsliste penibel Buch, welche Webseiten in der jüngeren Vergangenheit besucht wurden.[8]
Schwachstellen
Die Netzwerkarchitektur befasst sich insbesondere mit Fragen zur Netzwerksicherheit gegen den Ausfall von einzelnen Netzwerkelelementen, gegen Krisen oder gegen Cyberangriffe.[9] Schwachstellen sind Betriebssysteme (Programmfehler in Betriebssystemen und Anwendungsprogrammen). Die ISO/IEC-27033 stellt Unternehmen Richtlinien zur Verfügung, um Netzwerksicherheit zu planen, entwerfen, implementieren und dokumentieren, wobei auch Netzwerkelemente einbezogen sind.[10]
Mögliche Angriffe
So vielfältig wie Netze sind, so vielfältig sind auch die Angriffsmöglichkeiten auf ein Netz. In vielen Fällen werden mehrere Angriffe kombiniert, um ein Ziel zu erreichen.
Angriffe auf Software(-implementierungen)
Da Kommunikationsnetze stets aus einer (großen) Menge von Systemen bestehen, werden sehr oft genau diese Systeme über das Kommunikationsnetz angegriffen. Hierbei zielen viele Angriffe auf Schwächen in Software(-implementierungen):
Pufferüberlauf: vor allem in Programmen in der Programmiersprache C findet man häufig den Fehler, dass über einen Puffer hinausgeschrieben wird und hierbei andere Daten oder Kontrollinformationen überschrieben werden;
Stack Smashing: hierbei überschreibt z. B. ein Pufferüberlauf den Stack eines Programmes, hierdurch können Schadroutinen eingeschleust und ausgeführt werden (Exploit);
Formatstring-Angriffe: Ausgaberoutinen, wie printf, nutzen einen Format-String um eine Ausgabe zu modifizieren. Durch die Nutzung sehr spezieller Formatierungsanweisung können hierbei Speicherbereiche überschrieben werden.
Angriffe auf Netzwerkprotokolle
Man-In-The-Middle-Angriff: falls keine gegenseitige Authentifizierung durchgeführt wird, täuscht ein Angreifer den Kommunikationspartnern jeweils den anderen vor (z. B. telnet, rlogin, SSH, GSM, Ciscos XAUTH).
Unerlaubte Ressourcennutzung: falls keine sichere Authentifizierung bzw. sichere Autorisierung vorhanden (z. B. rlogin) ist.
Mitlesen von Daten und Kontrollinformationen: alle unverschlüsselten Protokolle, wie POP3, IMAP, SMTP, Telnet, rlogin, http sind betroffen.
Einschleusen von Daten oder Informationen: alle Protokolle ohne ausreichende Nachrichtenauthentifizierung wie POP3, SMTP, Telnet, rlogin, http.
Tunnel können verwendet werden, um Datenverkehr in zugelassene Protokolle (z. B. Http) einzubetten. Dadurch können Firewallregeln unterlaufen werden. [11] Beispiel: Der SSH-Client baut über HTTPS und den Proxy eine Verbindung zu einem Server außerhalb des internen Netzes auf. Dadurch umgeht er die Regeln, die den SSH-Verkehr nach außen kontrollieren. Diese Verbindung kann auch umgedreht werden, wodurch eine Verbindung von außen in das interne Netz geschaltet wird. Die Bekämpfung erfordert entsprechende Regeln im Proxy, die eine Einschränkung der Methoden CONNECT bzw. POST bewirken. Der Url-Filter UfdbGuard ermöglicht es, Https-Tunnel zu erkennen und zu blockieren.
Angriffe auf die Netzstruktur
Die Überlastung von Diensten wird als Denial-of-Service-Angriff (DoS) bezeichnet. Besonders verteilte DoS-Angriffe werden auch als Distributed-Denial-of-Service-Angriffe (DDoS) bezeichnet. Sehr effektiv sind Angriffe, die mit nur einem Datenpaket auskommen, wie z. B. der TCP-SYN-Angriff, da hierbei die Absenderadresse und somit die Herkunft gefälscht werden kann.
Tarnung von Angriffen
Die Fragmentierung von Datenpaketen, vor allem bei überlappenden Fragmenten, kann genutzt werden, um Angriffe vor Angriffserkennern zu verstecken,
Spoofing: das Fälschen von meist Absendeadressen zum Verschleiern der Herkunft von Datenpaketen (siehe auch Firewall).
Verwandte Angriffe (werden durch die verteilte Struktur eher begünstigt)
Social Engineering wird die Vorgehensweise genannt, soziale Aspekte auszunutzen, um bestimmte Ziele, z. B. das Umgehen einer Passwortabfrage, zu erreichen.
Passwörter können erlangt werden, um Zugang zu Diensten zu erhalten. Geschieht dies durch Ausprobieren aller Möglichkeiten, spricht man von einer Brute-Force-Attacke.
Mangelhafte Installationen können einen Angriff mit Standard-Passwörtern erfolgreich machen.
Aus der Außenwelt kommende Daten werden nicht auf ihre Validität überprüft, sondern als „korrekt“ hingenommen (Tainted Data oder Cross-Site Scripting und SQL Injection).
Überflutung mit sinnlosen oder nicht angeforderten E-Mails wird als UBE ( englisch unsolicited bulk e-mail ) und insbesondere, wenn es sich um Werbung handelt, als UCE ( englisch unsolicited commercial e-mail ) bezeichnet.
) und insbesondere, wenn es sich um Werbung handelt, als UCE ( ) bezeichnet. Würmer, Trojanische Pferde, Dialer oder Viren.
Leichtgläubigkeit und die leichte technische Möglichkeit zum Vorspiegeln falscher Webseiten können durch Phishing ausgenutzt werden.
Leichtgläubigkeit lässt Anwender auch unbekannte Programme ausführen, die per Mail versandt wurden.
Vorsorge
Die Vorsorge-Maßnahmen sind ebenso vielfältig und veränderlich wie die Angriffsmöglichkeiten. Mit Hilfe einer Authentifizierung wird der Benutzer erkannt, und es werden die ihm zustehenden Rechte zugewiesen (Autorisierung). Man spricht von einem Single-Sign-On, hierbei sollte nur eine einmalige Anmeldung notwendig sein, um alle erlaubten Ressourcen zu nutzen. Sehr verbreitet ist hierbei Kerberos, welches mittlerweile die Basis für die Windows-Netze bildet. Ursprünglich wurde es vom MIT entwickelt.
Die Sicherheit von Computernetzen ist Gegenstand internationaler Normen zur Qualitätssicherung. Wichtige Normen in diesem Zusammenhang sind vor allem die amerikanische TCSEC und die europäische ITSEC-Standards sowie der neuere Common Criteria Standard. Die Zertifizierung der Sicherheit erfolgt in Deutschland in der Regel durch das Bundesamt für Sicherheit in der Informationstechnik.
Zuständigkeit
Weite Teile der öffentlichen Verwaltung, Krankenhäuser, ganze kritische Infrastrukturen und kleine und mittlere Unternehmen sind in Deutschland nicht ausreichend gegen Cyberangriffe und Spionage geschützt.
Das Bundesamt für Sicherheit in der Informationstechnik ist für die Informationssicherheit auf der Grundlage des BSI-Gesetzes zuständig. Danach sind gemäß Abs. 2 BSIG „Informationen sowie informationsverarbeitende Systeme, Komponenten und Prozesse besonders schützenswert. Der Zugriff auf diese darf ausschließlich durch autorisierte Personen oder Programme erfolgen. Die Sicherheit in der Informationstechnik und der damit verbundene Schutz von Informationen und informationsverarbeitenden Systemen vor Angriffen und unautorisierten Zugriffen im Sinne dieses Gesetzes erfordert die Einhaltung bestimmter Sicherheitsstandards zur Gewährleistung der informationstechnischen Grundwerte und Schutzziele. Sicherheit in der Informationstechnik im Sinne dieses Gesetzes bedeutet die Einhaltung bestimmter Sicherheitsstandards“. Die Aufgaben des Bundesamtes sind abschließend in Abs. 1 BSIG geregelt.
Protokolle, Architekturen und Komponenten
Kerberos – für Authentifizierung, Autorisierung und Abrechnung
X.509 – Standard für Zertifikate und deren Infrastruktur
IPsec – mächtigstes (und komplexes) Protokoll zum Schutz von Verbindungen
SSL/TLS – das am meisten verbreitete Sicherheitsprotokoll. Schützt beispielsweise http, welches dann mit https bezeichnet wird.
S/MIME, PGP – Standards für den Schutz von E-Mails
EAP – eine modulares Protokoll zur Authentifizierung in z. B. WPA, TLS und IPsec.
Firewalls – zum Filtern von Paketen. Hierbei können gezielt gefälschte Pakete verworfen werden.
IDSe erkennen Angriffe.
Honeypots – zur schnellen Auffindung von bekannten Sicherheitslücken und Angriffsvektoren.
Zahlungsverkehrsnetze
Am Beispiel der Zahlungsverkehrsnetze (insbesondere Echtzeit-Bruttoabwicklungssystem, SWIFT, TARGET2) kann deren Vulnerabilität erklärt werden.[12] Gerät ein Netzteilnehmer (etwa ein Zahlungspflichtiger als Netzwerkelement) wegen einer allgemeinen Finanzkrise in Zahlungsunfähigkeit, so erleidet der Zahlungsempfänger einen Forderungsausfall (Gegenparteiausfallrisiko) und wird möglicherweise selbst zahlungsunfähig. Dadurch kann sich über den Contagion-Effekt die Zahlungsunfähigkeit eines Einzelnen auf den gesamten Zahlungsverkehr erstrecken; das Zahlungsnetz kann zusammenbrechen.
Gegen eine derartige Netzstörung wird im Interbankenhandel und Zahlungsverkehr beim Clearing das Prinzip des Zug-um-Zug-Verfahrens (englisch matching) eingesetzt, wobei ein Clearinghaus eine Zahlung nur dann an den Zahlungsempfänger weiterleitet, wenn dieser seine Gegenleistung an den Zahlungspflichtigen über das Clearinghaus erbracht hat. Der Zahlungsverkehr zwischen Nichtbanken kann von dieser Netzwerksicherheit jedoch nicht profitieren, weil die Zahlung meist eine Gegenleistung für den Kauf von Gütern und Dienstleistungen auf dem Gütermarkt darstellt und auf diesem der Schutz vor einem Ausfallrisiko vom Gläubiger selbst übernommen werden muss. Das kann geschehen insbesondere durch Verminderung oder Ausschaltung des Zahlungsrisikos beim Lieferanten und durch Verminderung oder Ausschaltung des Erfüllungsrisikos beim Kunden.
Abgrenzung
Die Netzwerksicherheit ist Teil der umfassenderen Informationssicherheit, welche bei technischen oder nicht-technischen Systemen zur Informationsverarbeitung, -speicherung und -lagerung, die Schutzziele Vertraulichkeit, Verfügbarkeit und Integrität sicherstellen soll.
Siehe auch
Literatur
