Server-Security
TOP1: IT-Sicherheit

IT-ManagementIT-ProjekteNetzwerk-ManagementNetzwerkeSicherheitSicherheitsmanagement

Technologischer Fortschritt und die Überarbeitung von
Internet-Protokollen sollten es Unternehmen erleichtern, Angriffe
abzuwehren.

Server-Security

Technologischer Fortschritt und die Überarbeitung von
Internet-Protokollen sollten es Unternehmen erleichtern, Angriffe
abzuwehren.

Die jüngste Spam-Schwemme, die Verbreitung von
Würmern und Viren und diverse Software-Sicherheitslücken haben dazu
geführt, dass Sicherheitsfragen in vielen Unternehmen an die Spitze der
IT-Agenda gelangt sind.

Das schnelle Patchen von Servern ist
mittlerweile von so hoher Bedeutung, dass es bei vielen
Software-Kaufentscheidungen zum ausschlaggebenden Faktor geworden ist.
In den letzten Jahren haben Linux-Anbieter wie Red Hat und Suse ihr
Geschäftskonzept dahingehend umgestellt, dass Linux-Basis-Software wie
Fedora Core gratis angeboten wird, während Firmen für die rechtzeitige
Lieferung von gründlich getesteten Patches für ihre
Linux-Betriebssysteme bezahlen müssen. Gleichzeitig aktualisieren viele
Unternehmen ihre alte Windows-Software erst dann, wenn Microsoft keine
Service-Packs mehr anbietet, die Sicherheitslücken stopfen.

Bei der Entwicklung und Implementierung von Firewalls findet ebenfalls
eine gewaltige Veränderung statt. Die meisten Firmen haben zwar bereits
Firewalls installiert, um den Umkreis ihrer Netzwerke zu schützen; es
gibt jedoch noch viel zu tun, um andere Schlupflöcher zu schließen.
Experten warnen davor, dass Außendienstmitarbeiter unwissentlich Würmer
einschleppen könnten, wenn sie mit ihren Laptops oder PDAs außerhalb des
Firmennetzes arbeiten, wo kein Firewall-Schutz vorhanden ist. Wird ein
solches infiziertes Gerät an das Firmen-LAN angeschlossen, könnte ein
Wurm bereits ganz einfach andere Systeme im LAN infizieren.

Auf
den ersten Blick mag es so erscheinen, als seien manche Anwendungen eine
gute Lösung, um spezifische Funktionen wie Firewalls oder Router zu
implementieren, da sie leicht vorzukonfigurieren sind und dann an
Remote-Standorte ausgeliefert werden können. Die Experten sind sich
allerdings einig, dass sichere Systeme mehrere Verteidigungsschichten
besitzen sollten. So wird beispielsweise daran gearbeitet,
Betriebssysteme zu Bollwerken gegen Angriffe zu machen. Gleichzeitig
werden neue Architekturen entwickelt, die es angreifender Software
erschweren sollen, auf Daten anderer Anwendungen zuzugreifen.

Solche Systeme werden noch einige Jahre benötigen, um sich auf dem Markt
durchzusetzen, es gibt jedoch bereits Technologien, die die
Server-Sicherheit erhöhen. Mehrere Anbieter haben unlängst
Netzwerkgeräte vorgestellt, die nach feindlicher Software suchen und sie
zerstören, sobald so im Netzwerk auftaucht.

Sowohl
InterSpect von Check Point als auch Proventia M von ISS funktionieren
nach dem Prinzip, dass der Traffic im Netzwerk überwacht wird und dass
die Regeln durchgesetzt werden, die die verschiedenen
Internet-Protokolle bestimmen. Den HTTP-Spezifikationen zu Folge sollte
beispielsweise nur ein spezifischer Teil der verfügbaren Zeichen bei
einer HTTP-Seitenabfrage benutzt werden. Viele Web-Server-Würmer bauen
ungültige Zeichen in eine scheinbar gültige HTTP-Seitenabfrage ein. Die
meisten derzeit eingesetzten Web-Server-Systeme überprüfen solche
ungültigen Zeichen bei der Bearbeitung von Seitenabfragen nicht, was zu
Problemen führt, wenn sie eingesetzt werden.

Die neuen
Firewalls, die die Einhaltung von Protokollen erzwingen, finden solche
Fälle von Protokollmissbrauch und setzen die dazugehörige
TCP/IP-Verbindungen zurück, bevor die feindliche Software ihr Ziel
erreicht. Ähnlich ließe sich auch ein Großteil der Spam-Mail stoppen,
wenn einige Vorgaben der vorhandenen Protokolle auch tatsächlich von
Mail-Servern geprüft würden, bevor die Mail von Clients verarbeitet
wird. In diesem Fall dürfte eine vollständige Überarbeitung des
relevanten Protokolls erforderlich sein, um alle Probleme zu lösen.

Auch im Kampf gegen Distributed-Denials-of-Service (DDoS)-Attacken ist
Hoffnung in Sicht. DDoS-Angriffe zu stoppen, ist besonders schwierig, da
sie von einer so großen Anzahl von Computern betrieben werden können,
dass die angegriffenen Systeme überwältigt werden. Bei solchen Angriffen
belegen die unzähligen Packets in dem ersten spezifischen Netzwerkgerät,
auf das sie treffen, alle Ressourcen, vor allem RAM. Bei diesem Gerät
handelt es sich oft um den Router des betroffenen Unternehmens, und
sobald dieses Problem behoben ist, entstehen neue Probleme an der
Firewall der Firma.

Bemerkenswert ist der Umstand, dass diese
Packets in den meisten Fällen gefälschte IP-Adressen haben, wodurch sie
nicht zurückverfolgt werden können. Außerdem stehen die Computer, die
sich an dem Angriff beteiligen, in der Regel unter dem Befehl eines
Virus oder eines Wurms, der als Plattform für solche Attacken entwickelt
wurde.

Die Berichte über den erfolgreich koordinierten Angriff
des Wurms MyDoom.A auf die Site von SCO belegen, dass es sich nicht um
abstrakte Probleme aus der Forschung handelt. Eine mögliche Lösung
besteht darin, mehrere Router und Firewalls so zusammen zu bündeln, dass
sie gemeinsam über genügend Ressourcen verfügen, um den Angriff
abzuwehren. Einige Unternehmen benutzen als Alternative eine so sichere
Server-Software, dass sie die Firewalls und andere potenzielle
Engstellen aus ihren Systemen entfernen können.