Hard- und Software im Team
Kombinierte Verteidigungmaßnahmen blocken Zombies und Spione

IT-ManagementIT-ProjekteNetzwerk-ManagementNetzwerkeSicherheitSicherheitsmanagement

Security-Anbieter entwickeln eine neue Generation von Schutzsystemen für das Internet, um Zweigniederlassungen von Unternehmen zentral verwaltet besser zu schützen. Trotz immer besserer kombinierter Soft- und Hardware-Lösungen sehen die Anbieter noch einige Herausforderungen, um die betriebsweiten Netze richtig abzusichern.

Trend: All-in-one-Hardware

Hard- und Software im Team

Spricht man mit Experten über die Art und Weise, wie die Filiale eines Unternehmens in Zukunft IT-mäßig gehandhabt werden soll, so scheint es, dass der Trend zur All-in-One Hardware für die Verteidigung nicht aufzuhalten ist.

Das Marktforschungsunternehmen IDC sagt voraus, dass bis 2008 die alten Methoden von Firewall/VPN-Router durch All-in-One Hardware abgelöst sein werden und die Unternehmen dafür 3,5 Milliarden Dollar jährlich ausgeben werden. Die Akronyme oder Kurzwörter, auf die sich die Anbieter geeinigt haben sind UTM (Unified Threat Management) und USG (Unified Services Gateway).

Außer Firewall und VPN-Fähigkeiten werden diese Systeme in der Lage sein, auch Funktionalitäten wie Antivirus, Anti-Spam, Anti-Spyware, Content Filtering (Inhaltsfiltern) und Intrusion Detection and Prevention Systeme (IDS/IPS) (Einbruchserkennungs- und -verhinderungssysteme) bereitzustellen. Die meisten Anbieter werden diese Funktionen als Module vertreiben und eine Jahresgebühr für das entsprechende Abonnement erheben. Wenn man also alle diese Optionen abonniert, könnte das allersdings teurer werden als die Kosten für die nötige Hardware.


Wege gegen Zombienetze

Hard- und Software im Team

Die Entwicklung von UTM-Systemen ist eine Reaktion auf die immer mehr ineinander verwobene Natur der heutigen Bedrohungen. So kann beispielsweise Spyware, die nach Aufsuchen einer fragwürdigen Webseite heruntergeladen wurde, eine Hintertür öffnen und es einem Angreifer ermöglichen, eine Zombiemaschine herzustellen. Anti-Spyware Funktionen im Gerät sollten in der Lage sein, die ursprüngliche Spyware zu enttarnen, falls aber nicht, so kann die IPS/IDS Funktion die Pakete aufspüren, die den Zombie steuern.

Wenn man in einem Zweig des Unternehmens nicht über die Fähigkeit verfügt, UTM-Systeme einzurichten, wäre es begrüßenswert, wenn die Anbieter ein vorkonfiguriertes System auf Lager hätten. Auch ein System, das schnell von den IT-Mitarbeitern in der Firmenzentrale per Fernsteuerung konfiguriert werden könnte, wäre wünschenswert. Natürlich kann es sein, dass Sie vor der UTM-Ära vielleicht mehrere der besten dieser Einrichtungen managen mussten, um Hacker abzuwehren. Wer hat wohl das Wissen, die Richtlinien für Firewall, IPS, Antivirus, Anti-Spyware, Anti-Spam und URL-Filter für ein Unternehmen zu schreiben? Ich nehme mal an, dass es da draußen ein paar von solchen Göttern gibt – aber wahrscheinlich hinter Schloss und Riegel.

Kevin Thiele von Array Networks meint, dass UTM-Systeme gut für Zweigniederlassungen sind, aber sie haben nicht das Leistungsvermögen für den Hauptsitz des Unternehmens und könnten sich als echte Schwachstelle herausstellen. Wenn man Layer 7-Service in seine Hardware integrieren will, braucht es ein sehr hohes Leistungsvermögen. Einige Anbieter verwenden einen handelsüblichen Intel- oder AMD-Prozessor und andere wiederum entwerfen ihren eigenen Asic-Chip für diese Aufgabe (application-specific integrated circuit).

Dieser ist im Allgemeinen für bestimmte Zwecke optimiert – oder sollte es zumindest sein – um die Hardware schnell zu machen.


Hardwareprobleme und schwere Kaliber

Hard- und Software im Team

Das Problem mit den Prozessoren von der Stange ist natürlich: Was macht man, wenn der Anbieter den Typ des Prozessor-Slots verändert? Oder wenn er sich für zweikernige Chips, die ein Upgrade des Motherboards erfordern, um das Beste aus diesen Chips herauszuholen, entscheidet? Hier sind die Hardware-Security-Lösungen schnell wieder unfähig, ihren Dienst zu verrichten – wenn sie nicht schleunigst angepasst werden.

Da wir gerade von Neuentwicklungen sprechen: Juniper Networks hat sich einen Nato-Vertrag an Land gezogen, um deren Zweigstellen mittels Intrusion Detection and Prevention Systemen des Typs IDP 200 und 600 zu sichern.

Allerdings erstreckt sich dies wahrscheinlich nicht auf die einzigartigen mobilen Zweigstellen der Nato: die Panzer, die normalerweise hardwarebasierte Intrusion Prevention Systeme eines ganz anderen Kalibers verwenden – nämlich 120 mm.