Antivirenlösungen für Unternehmen und die Netzwerksicherheit

T 07141 - 4 888 660 | E hello@becklyn.com

Antivirenlösungen für Unternehmen und die Netzwerksicherheit

Antivirenlösungen für Unternehmen sind vielfältig. Ebenso können es die Kosten dafür sein. Ein kleiner Einstieg in diese Thematik soll meine Zusammenfassung bieten.

Antivirenlösungen für Unternehmen

Antivirenlösungen für Unternehmen – mal angedacht wir haben nichts:

Sehen wir uns den Fall mal in umgekehrter Reihenfolge an. Wir setzen in einem Domänennetzwerk – sagen wir 100 Clients, ein paar Server – KEINE Sicherheitssoftware oder -hardware ein. Lediglich der oder die Router schützen mit Ihrer Firewallfunktion davor, nackt dem Internet gegenüberzustehen. Gehen wir weiter davon aus ein User erhält via E-Mail eine virenbehaftete E-Mail und führt diese aus. Der Rechner ist infiziert, wenn wir ganz viel Pech haben ist es einer, der sich in dem Netzwerk verbreitet und schlussendlich auch die Server befällt. Ich brauche gar nicht weiter zu erklären, der Supergau ist passiert. Und wenn es auch nicht unbedingt – im vielleicht doch nicht allerschlimmsten Fall – erforderlich ist ALLE Hardwareelemente frisch aufzusetzen, so haben wir als Sysadmin Tage über Wochen die wir benötigen die IT wieder sauber zu kriegen. Vom finanziellen Verlust der Firma ganz abgesehen, die Ausfälle und so weiter zu verzeichnen hat.

Was also tut ein tüchtiger IT’ler der dieses Szenario vermeiden will? Genau, er schützt seine “Schäfchen” indem er verschiedene Mittel der Sicherung einsetzt.

Wie schützt man Unternehmen korrekt?

Ich gehe in diesem Blogbeitrag auf Proxyserver, Virenschutzsoft- und Hardware und Intrusion Detection-Systeme ein. Das sind die drei Komponenten, die in 99% aller Unternehmen eingesetzt werden.

Bei einem Proxyserver haben wir eine erhöhte Netzwerksicherheit durch die verschiedenen Möglichkeiten, wie dieser Server eingesetzt werden kann. Abgesehen von (in den meisten Fällen) Performancesteigerungen handelt der Proxy als Zwischenstück von Webserver und Webclient. Sprich: Es findet kein direkter Paketfluss zwischen Clients und externen Rechnern statt. Dies ist einer der Themen in Punkto Sicherheit.  Mit Hilfe des Proxyservers kann ein Administrator strenge Regeln definieren, die Filtertechniken in der gewünschten Form anwenden. Beispielsweise können Webadressen gesperrt oder Dienste wie FTP blockiert werden. Die Clients liegen also bei einem Proxyserver unsichtbar hinter ihm, geschützt im Netzwerk. Nach ordentlicher Konfiguration des Servers erhalten die lokalen Stationen also nur noch die Netzwerkpakete, die der Administrator explizit freigegeben hat.

Nichts desto trotz haben wir E-Mails die evtl. mit gefährlichen (Phising)links gespickt sind oder Dateianhänge die einen Virus / Trojaner enthalten. Hier greift am besten ein Virenschutz, der dafür seinen Job erledigt. Dabei gilt es ganz viele Faktoren zu beachten. Soll es Ressourcensparend sein? Dann kaufen wir einen eigenen Viren Security-Server, zum Beispiel bei der Firma Sophos. Der Server arbeitet rein für den Virenschutzdienst, keine anderen Systemressourcen werden beansprucht – dafür aber der Geldbeutel.

Bei einem Virenschutzsystem gilt es diverse “nice to haves” und auch “must haves” zu berücksichtigen:

  • Einem Systemadministrator hilft es bei einer großen Anzahl an zu verwaltenden Geräten die Client-Installationsroutine mittels eines Installationsscriptes beim Logon auszuführen
  • Ein Warnungsmanager vereinfacht die Übersicht aller positiven Prüferergebnisse
  • Für Serverscanner ist ein schnelles Updateverfahren lebenswichtig. Es gibt Virenscansysteme die alle 30 Minuten nach Updates anfragen, es gibt aber auch vom Hersteller verwaltete Pushs, die sofort anstehende Definitionsänderungen auf die Kundenserver verteilt. Hierbei sind wieder verschiedene Kosten oftmals Entscheidend für die Auswahl des Updateverfahrens bzw. dessen Intervall
  • In Hinblick auf Lizenkosten sind alle “Katzen grau”. Es ist in der Sache notwendig Lizenzmodelle zu vergleichen und das für die Firma sinnvollste herauszufischen
  • Zum Thema Systembelastung habe ich oben schon etwas geschrieben. Allerdings ist der Punkt nicht unerheblich. Deshalb nochmals: Unterschied eigenständiger Virenserver, der nur dafür zuständig ist, oder in die bestehende Systemlandschaft integrierte Antivierensicherheit > Kostenfaktor beachten
  • Interoperabilität. Auf welchen Systeme läuft der Scanner? Im Grunde ist der Punkt insofern unerheblich, weil alle großen Virenhersteller – wie Symantec, McAfee, F-Secure, Sophos, Bitdefender etc… – Ihre Systemvoraussetzungen im Grunde immer auf dem neuesten Stand haben. Hier kann es aber einen Unterschied von Monaten geben, ob der Scanner für das neueste Betriebssystem sofort funktionstüchtig ist oder ob der liebe Admin schwitzend auf ein Update warten darf
  • Mobile Security – ein immer wichtigerer Punkt vor allem bei Android-Systemen. Aber auch iOS-Devices wollen geschützt werden und nicht zu vergessen Notebooks, die in der Arbeitswelt nicht mehr wegzudenken sind. Smartphones und Tablets werden immer mehr und wem das Prinzip des BYOD bekannt ist (Bring Your Own Device) dem grauts da wie mir. Jeder schleppt sein Device mit sich herum und gefährdet damit die geschützte Systemlandschaft. Ohne um den heißen Brei reden zu wollen: Bezieht das Schützen mobiler Geräte bitte mit in Eure Planungen ein.

Antivierenlösungen für Unternehmen – Was kann eigentlich passieren?

Wenn wir unser obiges Szenario ändern und uns schlimme Dinge, die passieren können ausdenken, gibt es viele verschiedene Möglichkeiten des Angriffs auf ein System / Netzwerk. Als bekannteste und auch gefährlichste Varianten gelten:

  • DoS-Angriffe (oder auch DDoS): Denial of Service-Attacken sind derzeit kaum abwehrbar. Meist werden hier durch Flooding-Attacken, also tausendfachen Anfragen an zum Beispiel einen Webserver, diese durch Überlastung stillgelegt. DDos bedeutet “Distributet”. Hier ist die Quelle des Floodings nicht ein einzelner Rechner, sondern viele die gleichzeitig die Anfragen absenden. Es können auch durch einen Virus oder Trojaner verseuchte private PCs sein, von deren neuen Aufgabe der Besitzer gar nichts weiß
  • Lauschangriffe oder Man-in-the-Middle-Attacken (MITM) Nachrichten, also Pakete, die zwischen zwei Partnern die sich unterhalten, ausgetauscht werden, können abgehört werden. Hier schaltet sich also jemand zwischen die beiden und hört die Nachricht nur ab (passiver Lauschangriff) oder er verändert die Pakete / Nachricht und wird so zum aktiven Lauscher. Dabei kann sich der MITM entweder im selben LAN befinden und beispielsweise die Kontrolle über einen im Netzwerk befindlichen Router erlangt haben oder er hat beispielsweise durch DNS Cache Poisoning dem Opfer falsche Zieladressen vorgegeben. Es gibt weitere Methoden für MITM, diese sind auf Wikipedia nachzulesen.
    • Gegen MITM-Angriffe kann man sich schützen indem man in Intervallen sein Passwort ändert (zum Beispiel alle zwei Monate). Zudem sollte über einen Proxy der Webtraffic analysiert werden. Wissen ist Macht! Schule deine Mitarbeiter, halte sie informiert, zeige Fehler auf. Userprävention im Kampf gegen Malware! Sichere deinen E-Mail-Verkehr. Lasse beispielsweise den Exchange nur mit gültigen Zertifikaten arbeiten. Nutze VPN-Verbindungen für externe Mitarbeiter, die auf das Firmennetz zugreifen müssen oder richte ein VPN für dein Smartphone ein um Mails abrufen zu können
  • Maskerade- bzw. IP-Spoofing-Attacken: Mittels Fälschung der eigenen Absende E-Mail Adresse oder durch fälschen der eigenen Absende-IP versucht der Angreifer seinem Opfer Informationen zu entlocken. So gibt es oft als Absender die Adresse “administrator@FIRMA.de” oder ähnliches. Mit einem gut formulierten Text werden viele Anwender beispielsweise Ihr Passwort preisgeben.
  • Vertraulichkeitsverletzung: Wie so oft greift auch in den Sicherheitsthemen das Faktum “PEBCAC” -> Problem Exists Between Chair And Computer. Das bedeutet, dass beispielsweise unbeabsichtigt ein E-Mail Adressat falsch angeschrieben wird. Oft weil der Anwender nicht weiß wie die E-Mail-Adresse korrekt geschrieben wird.
  • Integritätsverletzungen: Der Angreifer hat die Möglichkeit eine E-Mail zu ändern, zu löschen oder Absendedaten anders anzugeben. Zum Beispiel in (Exchange)Stellvertretersituationen.
  • Tunnelling-Attacken: Zwei Angreifer schaffen die Übernahme der IP-Verbindung in ein Unternehmen und können so einer genehmigten “guten” Leitung falsche Pakete unterschieben.

Was gibts neben Antivirenlösungen für Unternehmen und Proxyservern noch?

Wir sprechen neben Proxys und Virenscannern auch noch von Intrusion-Detection Systemen (IDS). Professionelle ID-Systeme arbeiten in einer Art Hybridsystem. Es handelt sich um eine Hard- und Softwarekomponente die sich ins System integriert (Überwachung der Registry, der Kerneldaten, des Systems insgesamt) als auch ins Netzwerk und versucht Angriffe zu erkennen und abzuwehren. Auch unter anderem indem es dem Angreifer falsche Daten liefert. Das IDS meldet die Veränderungen am System oder im Netzwerk, woraufhin ein Sysadmin sofort agieren kann. Informationen zu Intrusion Detection Systems findet Ihr auf der deutschen Wikipedia-Seite.

Zusammengefasst kann man beaupten, dass unternehmerische IT-Sicherheit von vielen Faktoren abhängt. Allein eine Komponente reicht nicht aus um ein großs Firmennetzwerk zu schützen sowie alle Systeme zusammen sicherlich auch nicht hilfreich sind, wenn sie nicht korrekt konfiguriert worden sind. Außerdem ist es eine Geldfrage. Im Zusammenspiel mit Unwissenheit des Anwenders sind Systeme ungeschütz einfach nicht lebensfähig.

So haben wir als Administratoren die Pflicht unsere Anwender entsprechend zu informieren, Ihen Wissen zu vermitteln, dass dazu führt beispielsweise E-Mails kritischer zu betrachten, wenn man nicht weiß von wem der Anhang ist und die Mail beispielsweise in schlechtem Englisch verfasst wurde. Nur im korrekten Zusammenspiel aller Komponenten können wir als Admin einigermaßen sicher sein das Möglichste getan zu haben um die Firma sicher zu machen und zu halten. Aber es endet nie und wir werden ständig mit Neuem konfrontiert. Gutem wie Schlechtem 😉

Tags: , , , , , , , , ,