Leistungsstarker Schutz am Netzwerk-perimeter - geeignete Konzepte und ihre Umsetzung - Softline Solutions GmbH
←
→
Transkription von Seiteninhalten
Wenn Ihr Browser die Seite nicht korrekt rendert, bitte, lesen Sie den Inhalt der Seite unten
Leistungsstarker Schutz am Netzwerk-
perimeter – geeignete Konzepte und ihre
Umsetzung
Da Lightweight-Hardware am Netzwerkperimeter immer mehr leisten muss, um ein ideales Maß an
Schutz und Konnektivität bereitzustellen, ist ein neuer hybrider Ansatz erforderlich, der vereinfachte
Malware-Erkennungsverfahren mit URL-Filterung kombiniert und proaktiven Schutz liefert, ohne
Hardware oder Administrator zu überlasten.
Autor: Artur Kocharyan, Product Manager, Sophos
Sophos White Paper November 2009Sophos White Paper Leistungsstarker Schutz an der äußeren Grenze des Netzwerks – geeignete Konzepte und ihre Umsetzung
Leistungsstarker Schutz am Netzwerkperimeter –
geeignete Konzepte und ihre Umsetzung
Zusammenfassung verbunden. Selbst Großunternehmen, die
Da Lightwight-Hardware am Netzwerkperimeter umfangreiche Appliances einsetzen, haben mit
immer mehr leisten muss, um ein ideales Maß an Leistungseinbußen zu kämpfen.
Schutz und Konnektivität bereitzustellen, ist ein
neuer hybrider Ansatz erforderlich, der vereinfachte Ein neues Konzept ist erforderlich, um schnellen,
Malware-Erkennungsverfahren mit URL-Filterung akkuraten Bedrohungsschutz bereitzustellen,
kombiniert und proaktiven Schutz liefert, ohne der problemlos auf Hardware mit begrenzten
Hardware oder Administrator zu überlasten. Speicherressourcen und beschränkter Prozessor-
Leistung ausgeführt werden kann und praktisch
Solidität und Wirksamkeit kombinieren – der keine lokalen Updates benötigt. Erfolg versprechend
Schutzkompromiss
ist eine einfache, flexible und doch äußerst
Malware ist weltweit immer noch auf dem wirkungsvolle Kombination aus leistungsstarkem
Vormarsch. Sobald neue technologische Schutz und minimaler Ressourcenbelastung:
Errungenschaften an Beliebtheit gewinnen, werden Tatsächlich die einzig praktikable Lösung,
sie auch schon von Cyberkriminellen missbraucht. effizienten und wirksamen Bedrohungsschutz in
Da Netzwerke und Arbeitsweisen einer stetigen einer Umgebung bereitzustellen, in der Ressourcen
Weiterentwicklung unterworfen sind, um mit den knapp sind und die durch den Durchsatz
Vorzügen der neuesten Technologien Schritt zu verursachte Latenzzeit hohe Kosten verursacht.
halten, müssen neue Schutzstrategien entwickelt
werden, die auch auf längere Sicht ein stabiles Ein Internet voller Bedrohungen – der moderne
Angriffsvektor für Malware
Schutzniveau gewährleisten. Für einige Zeit
galt das Überwachen von Gateways und Links Früher war der vorrangige Vektor für Malware-
auf schädlichen Traffic als Standardpraxis. Mit Infektionen die Diskette, denn über dieses
steigenden Traffic-Anforderungen und erhöhter Medium wurden Daten von einem Computer zum
Komplexität des Netzwerks erwies sich eine nächsten übertragen und Malware folgte zu ihrer
Umleitung des Traffics über einen Proxyserver Verbreitung diesem Beispiel. Als die E-Mail sich
und ein Filtern mittels traditioneller Hardware als zum allgegenwärtigen Kommunikationsmedium
zunehmend kostenintensive und unzureichende entwickelte und wir begannen, Daten per
Option. Attachment auszutauschen, anstatt uns greifbarer
Datenträger zu bedienen, war auch die Malware
Der ideale Punkt zur Erkennung und Entfernung nicht weit und machte infizierte Attachments in
von Bedrohungen ist der Netzwerkperimeter selbst, Windeseile zur Übertragungsmethode Nummer
aber die Geräte, die sich dort befinden, haben oft 1. Hinzu kamen Würmer, die zu ihrer Verbreitung
mit begrenzten Ressourcen zu kämpfen und sind im Gegensatz zu Viren kein Wirtsprogramm
ungeeignet für die Ausführung konventioneller mehr benötigten und durch geschickte Social
Scan-Techniken, die auf lokalen Datenbanken und Engineering-Techniken Computer in aller Welt
spezifischen und generischen Kennungssignaturen überschwemmten. Heutzutage ist die Bedrohung
basieren. In modernen Unternehmen mit mehreren über den E-Mail-Vektor rückläufig und beschränkt
Standorten sind die einzelnen Niederlassungen sich auf Methoden, mit denen versucht wird,
oft über Lightweight-Router oder UTMs (Unified den tatsächlichen Dateityp eines Attachments zu
Threat Management) mit begrenzten Ressourcen verschleiern. Denn wachsame Administratoren
1Sophos White Paper Leistungsstarker Schutz an der äußeren Grenze des Netzwerks – geeignete Konzepte und ihre Umsetzung
wissen längst, wie sie ausführbare Attachments werden auch die Tricks, mit denen der gesunde
ganz einfach automatisch blockieren können. Die Menschenverstand unbedarfter User ausgeschaltet
echte Gefahr heutiger E-Mails lauert in den Links, wird, immer hinterlistiger. Jeder Schwachpunkt
die in solchen Nachrichten enthalten sein können der menschlichen Natur, von Habgier über Angst
und zu schädlichen Inhalten führen, die irgendwo bis hin zu simpler Neugier, wird ausgenutzt, um
in den Weiten des Internets gehostet werden. den User zum Klick auf einen Link zu bewegen,
über den dann ein Schadskript ausgeführt wird.
Heutzutage spielt sich alles im Internet ab. Wir Nachdem der arglose User dann auch noch sein
speichern nicht nur unsere eigenen Daten online Kennwort eingegeben hat, ist den Malware-
und tauschen Informationen mit Kollegen und Entwicklern einmal mehr Tür und Tor geöffnet.
Kunden über das Internet aus, sondern benötigen Besonders beunruhigend für Unternehmen ist
auch Zugriff auf gemeinschaftlich genutzte die Tatsache, dass Malware und die mit ihr
Daten, die von Dritten im Internet gepostet einhergehenden Infektionstechniken zunehmend
wurden. Dem Internet-Browsing Beschränkungen gezielt entwickelt werden, um speziell ausgewählte
aufzuerlegen, ist für die meisten Unternehmen Unternehmen und User anzugreifen und
jedoch nicht mehr das geeignete Mittel zur Unternehmensdaten von hohem Wert zu stehlen.
Abhilfe, da jeder User, der beim Zugriff auf Zwar sind Schutzmaßnahmen auf Endpoint-
erforderliche Daten behindert wird, seine Arbeit Ebene effektiv. Jedoch wünschen sich die meisten
nicht mit maximaler Effizienz ausführen kann. Unternehmen maximale Sicherheit bei minimalen
Ein simples Überwachen der Gateways an der Auswirkungen auf die Produktivität der Mitarbeiter,
Außengrenze der Unternehmensnetzwerke ist auch indem sie den Großteil aller Bedrohungen bereits
zum Scheitern verurteilt, da Unternehmen mit am Netzwerkperimeter und an strategischen
mehreren Standorten längst die Norm geworden Punkten zwischen Netzwerkknoten filtern.
sind und Remote-Mitarbeiter oder Dienstreisende
genau wie alle übrigen Unternehmensangehörigen Eine Mauer voller Löcher – der moderne
Netzwerkperimeter von Unternehmen
Zugriff sowohl auf interne Unternehmensnetzwerke
als auch auf das gesamte Internet einfordern. Der Als sich Unternehmensnetzwerke noch in den
Netzwerkperimeter hat sich zu einem porösen und Kinderschuhen befanden, war das LAN wie eine
kaum mehr greifbaren Gebilde entwickelt. Burg, die sicher von der Außenwelt abgeschirmt
war und nur einen Ein- und Ausgang besaß, der
Malware ist diesem Trend natürlich gefolgt. bestens geschützt und überwacht werden konnte.
Inzwischen wird das Internet förmlich von Heutzutage ist ein solcher Ansatz unmöglich
gefährlichen Inhalten überschwemmt. Der geworden, da User auch von außerhalb auf
Prozentsatz infizierter Websites, ob speziell zu das Netzwerk zugreifen und sich innerhalb der
Infektionszwecken entwickelt oder aber zum Netzwerkgrenzen mit Kollegen unter Verwendung
Hosten von Malware missbraucht, steigt stetig. zahlreicher Methoden verbinden möchten. Interne
Gleichzeitig werden die Social Engineering-Tricks, E-Mail-Systeme und Datenspeicher müssen für
mit denen User zu den Angriffspunkten gelotst externe Mitarbeiter und Dienstreisende nicht nur
werden, immer hinterhältiger und nutzen jeden über traditionelle Computer, sondern auch über
neuen Kommunikationstrend von E-Mail bis Smartphones, PDAs und viele andere moderne
Social Networking, um die User-Community mit Geräte verfügbar sein. Kunden und Partner
Spam-Links zu schädlingsbefallenen Websites zu benötigen Zugriff auf Online-Ressourcen. Und
locken, sobald das jeweilige Internet-Medium sich zwar nicht nur, um Texte einzusehen, sondern
ausreichender Beliebtheit erfreut. auch, um interaktiv Inhalte und Daten zu posten
und zahlreiche Formen von Traffic auf Internet-
Während bei der Entwicklung von Malware äußerst Server zu übertragen bzw. von diesen abzurufen.
geschickte Methoden zum Einsatz kommen, Auch innerhalb des Unternehmensnetzwerks gilt
die eine Erkennung verhindern und wertvolle es, verschiedene Knotenpunkte und Standorte
Daten von infizierten Systemen ergaunern, nahtlos und transparent miteinander zu verbinden
2Sophos White Paper Leistungsstarker Schutz an der äußeren Grenze des Netzwerks – geeignete Konzepte und ihre Umsetzung
und gleichzeitig ausreichend vor Bedrohungen die sich gegenseitig ergänzen und Sicherheitslücken
von außerhalb und innerhalb des Unternehmens stopfen, kann Angriffe zuverlässig abschirmen.
zu schützen. In vielen Situationen sind teure, Dies jedoch nur, wenn die einzelnen Ebenen
monolithische Appliance-Lösungen außer Stande, sich in perfekter Weise überschneiden, was nur
den erforderlichen Schutz bereitzustellen, ohne erreicht werden kann, wenn Geräte an der äußeren
die Flexibilität des Unternehmens ernsthaft zu Grenze des Netzwerks einen Großteil der Filterung
gefährden. übernehmen.
In einem solchen Fall erweist sich der Einsatz Die meisten Lightweight-Geräte am
zahlreicher günstiger Lighweight-Geräte am Netzwerkperimeter verfügen jedoch nicht über
Netzwerkperimeter und zwischen Netzwerkknoten derartige Ressourcen und Updates stellen eine
als ideale Lösung. Firewalls werden bereits oft mit noch schwerer zu bewältigende Hürde dar.
Routern kombiniert und Lightweight-UTMs erfüllen Aktualisierungen der Firmware auf einem UTM
immer komplexere Anforderungen. Warum also oder einem Router sind ein arbeitsintensives
nicht auch Mechanismen zur Malware-Erkennung Unterfangen, das mit zahlreichen manuellen
in Lightweight-Geräte am Netzwerkperimter Arbeitsschritten und Risiken verbunden ist.
integrieren? Schließlich stellen diese einen idealen Sämtliche solcher Updates können Probleme
Punkt für das Herausfiltern von Bedrohungen hervorrufen und ihre Konnektivität negativ
aus dem Traffic dar. Einziger Nachteil: Solche beeinflussen. Daher sollten solche Aufgaben im
Geräte sind nicht für traditionelle Verfahren zur Gegensatz zu konventionellen Malware-Updates
Bedrohungserkennung konzipiert. Denn übliche so selten wie möglich durchgeführt werden.
Verfahren zur Malware-Erkennung benötigen viel Zwar müssen Engine-Updates weit seltener
Prozessorleistung und Arbeitsspeicher und bedürfen einspielt werden als Erkennungsupdates, die
zudem einer regelmäßigen Aktualisierung, um meist stündlich oder gar häufiger bereitstehen.
zuverlässig vor neuen Bedrohungen schützen zu Um eine zuverlässige Erkennung neuester
können. Sicherungsmaßnahmen auf Desktop- Bedrohungsgenerationen zu gewährleisten, sind
Ebene dienen als letzte Schutzinstanz, welche dank monatliche Aktualisierungen des Funktionsumfangs
einer Kombination aus modernem, wirksamem der Engine jedoch unerlässlich. Ein solcher Zeitplan
Scanning und leistungsstarker Hardware mit sprengt den Rahmen für Updates Firmware-
minimalem Einfluss operiert. Diese letzte Instanz basierter Geräte.
sollte jedoch durch zusätzliche Schutzebenen von
potenziellen Angriffen abgeschirmt werden, um Auf den ersten Blick scheinen die Anforderungen
User vor dem Einfluss von Malware zu bewahren, an diese Geräte schier unrealistisch: Schneller
sie nicht unnötig mit Erkennungsmeldungen zu Durchsatz hoher Datenvolumen auf unregelmäßig
belästigen sowie ihre Systeme und ihre Arbeitszeit aktualisierter und bescheiden ausgestatteter
sowohl sicher als auch effizient und wirtschaftlich Hardware. Eine unlösbare Aufgabe für
zu gestalten. Viele moderne Geräte fungieren konventionelle Anti-Malware-Lösungen.
bereits als Computer-Ersatz im Kompaktformat.
Kleiner Unterschied: Solche Mobile Devices Kompromiss und Vermeidung – wie das UTM-
Problem angegangen wurde
verfügen über weit weniger Ressourcen als übliche
Computer und benötigen daher Schutz, der den Zahlreiche Lösungen, die Anti-Malware-Schutz
begrenzten Arbeitsspeicher und die eingeschränkte in Lightweight-Geräte am Netzwerkperimeter
Prozessorleistung nicht überlastet: Eine zusätzliche integrieren, wurden bereits mit unterschiedlichem
Herausforderung bei der Gestaltung moderner Erfolg erprobt und implementiert. Wie sich
Schutzlösungen und klarer Beweis dafür, dass herausstellte, haben vor allem die einfachsten und
traditionelle IT Security-Konzepte überdacht und naheliegendsten Lösungen mit vorhersehbaren
an moderne Anforderungen angepasst werden Schwächen zu kämpfen. Zunächst wurde versucht,
sollten. Eine Kombination aus leistungsstarkem ein Scanning am Netzwerkperimeter vollständig
Endpoint-Schutz und zusätzlichen Schutzebenen, zu umgehen, indem der Traffic vom Lightweight-
3Sophos White Paper Leistungsstarker Schutz an der äußeren Grenze des Netzwerks – geeignete Konzepte und ihre Umsetzung
Gerät an einen Proxyserver umgeleitet und in Die komplette Lösung – ein hybrider Ansatz
einem konventionellen Scanner-System eines Wägt man die Vor- und Nachteile der bisher
zweiten Computers geprüft wurde. Ein solches beschriebenen Konzepte gegeneinander ab, stellt
Vorgehen kann beste Erkennungsraten verzeichnen sich schnell heraus, über welche Eigenschaften
und ermöglicht einen ungehinderten Zugriff auf eine ideale Lösung verfügen sollte:
erforderliche Ressourcen wie etwa regelmäßige »» Um die Wirtschaftlichkeit und Effizienz der
Updates. Kehrseite der Medaille sind hohe Lösung zu gewährleisten, sollte das Filtern auf
Betriebs- und Hardwarekosten sowie eine im Malware auf dem Lightweight-Gerät stattfinden.
Die Proxy-Methode scheidet daher aus.
Vergleich zu den Durchsatzraten von Lightweight-
Geräten eher enttäuschende Latenz.
»» Um den erforderlichen Durchsatz aufrecht
zu erhalten, muss die Scanning Engine
Andere Implementierungen setzen auf eine einfach gestaltet sein und mit begrenzten
Standard-Datei-Scanning Engine mit abgespeckten Arbeitsspeicher- und CPU-Ressourcen große
Erkennungsdefinitionen, welche akzeptable Datenvolumen verarbeiten können.
Durchsatzraten verzeichnen kann und die
Update-Anforderungen entscheidend einschränkt. »» Um den Arbeitsspeicher-Footprint auf niedrigem
So werden allerdings nur die verbreitetesten Niveau zu halten, sollten Erkennungsdaten nicht
Bedrohungen aufgespürt. Etwas erfolgreicher ist der im größeren Umfang auf dem Gerät gespeichert
Einsatz einer vereinfachten Engine, die Lightweight- werden. Gleichzeitig ist es unerlässlich,
Geräte passierende Datenströme mit angemessener Funktionsupdates der Engine remote und
Geschwindigkeit verarbeitet und auf regulären ohne Zeitverzögerung vorzunehmen, um
Ausdrücken basierende Erkennungsmethoden Aktualisierungen der Firmware zu vermeiden
und die fest programmierten, in die Geräte-
zur Identifizierung bekannter Bedrohungstypen
Firmware integrierten Komponenten in ihrem
verwendet. Bei einigen Varianten konnten sogar auf
Zustand zu belassen.
dem Gerät selbst Updates vorgenommen werden.
Dennoch ist dieser Ansatz nicht der Weisheit letzter »» Komplexe Remote-Abfragen für einzelne
Schluss, da auch die ausgefeiltesten Systeme Dateien sollten vermieden werden, um Latenz
nur einen Bruchteil des Schutzes bieten, der von und Traffic auf möglichst niedrigem Niveau zu
traditionellen Signatur-Scannern geleistet wird. halten. Hierfür ist die Anwendung eines zweiten
Denn der proaktive Schutz vor neuen Bedrohungen Erkennungsmechanismus erforderlich, der eine
ist unzureichend, Ressourcen werden über alle Filterung auf URI-Basis im Gegensatz zu der
Maßen belastet und für Updates ist ein physischer sonst üblichen Dateifilterung vorsieht.
Zugriff erforderlich. Ein hochentwickeltes System zur Internet-
Überwachung, das infizierte Websites katalogisiert,
Eine weitere Option ist die Verwendung von kann einem Bedrohungslabor ferner als Grundlage
Online-Ressourcen. In diesem Fall bedient für die Entwicklung einer umfangreichen Datenbank
sich das Scanning-System Erkennungs- und bekanntermaßen schädlicher URIs dienen, damit
Bedrohungsdaten, die im Internet gespeichert neue Malware-Ausbrüche unmittelbar erkannt
werden. Einige dieser webbasierten Systeme werden und eine schnellst mögliche Reaktion auf
beanspruchen viel Traffic-Volumen, da sie diese gewährt werden kann. Diese Datenbank
detaillierte Datei- und Erkennungsinformationen sollte ohne Zeitverzögerung vom Erkennungssystem
hin- und zurückübertragen. Dies kann sich des Lightweight-Geräts abgefragt werden können,
verheerend auf die Latenz auswirken, besonders, da dieses den passierenden HTTP-Datentraffic
wenn viele Dateien das Gerät passieren und Daten verarbeitet.
außerhalb des Systems abgefragt werden müssen.
Auch ein Konzept, bei dem Informationen zu jeder
Datei einzeln abgerufen werden, erweist sich als
wenig hilfreich, da so das Traffic-Volumen extrem
erhöht, der Durchsatz des Gerätes gemindert und
die Privatsphäre einzelner sowie die Vertraulichkeit
von Daten aufs Spiel gesetzt wird.
4Sophos White Paper Leistungsstarker Schutz an der äußeren Grenze des Netzwerks – geeignete Konzepte und ihre Umsetzung
Nur so kann eine Blockierung schädlicher ausgedehnt werden – sogar auf Mobilgeräte
Websites in Echtzeit gewährleistet werden. Ein wie Smartphones, deren Verbindungskosten in
Filtern der Malware-Quelle spart im Gegensatz jüngster Vergangenheit in den Keller gefallen sind.
zur Identifizierung schädlicher Dateien Zeit und In Kombination erreichen diese beiden Ebenen
Mühen. Denn Verschleierungstechniken, wie sie Schutz, der in Gründlichkeit und Präzision
einige Cyberkriminelle einsetzen (z.B. Server- zu 95% mit der üblicherweise Ressourcen-
seitiger Polymorphismus), um Dateien regelmäßig vergeudenden Einzeldatei-Überprüfung vergleichbar
zu modifizieren und so einer Erkennung durch ist und in vielen Fällen bessere Erkennungsraten
Malware-Scanner zu entgehen, werden in diesem verzeichnet als Techniken zum Datei-Scanning, da
Fall komplett umgangen. Da schädlicher Code Problemfelder wie Server-seitiger Polymorphismus
zunehmend über das Internet verbreitet wird und bereits im Vorfeld vermieden werden. Auch die
Code und Skripts über infizierte oder missbrauchte Reaktionszeiten auf neue Angriffe sind äußerst
Webseiten in Netzwerke gelangen, fließt durch schnell, Ressourcen werden minimal beansprucht
Gateway-Geräte vor allem HTTP-Traffic. Wie seine und physische Updates der Firmware drastisch
Leistung in umfangreichen Appliances beweist, reduziert. Ein hybrides Konzept kommt all diesen
deckt dieser Ansatz jedoch nur einen Bruchteil Anforderungen nach. Es wird den begrenzten
aller übertragenen Daten ab und reduziert somit Ressourcen von Lightweight-Umgebungen gerecht,
die Belastung anderer, in dieser Infrastruktur ohne Kompromisse beim Schutz einzugehen.
eingebetteter Erkennungsverfahren.
Parallel zu diesem System wird eine Datei-Abfrage
im Internet für Dateien von nicht klassifizierten
Websites und für Protokolle ohne URI-Daten
durchgeführt. Diese hat dank der bereits erfolgten
URI-Filterung minimalsten Einfluss auf Ressourcen
und Performance. Da es sich bei den meisten über
HTTP-fremde Protokolle übertragenen Malware-
Samples um simple statische Dateien handelt,
können diese mittels einfacher Prüfsummen
identifiziert werden. Ein Zusammentragen und
Gegenprüfen komplexer Dateiinformationen im
Internet wird somit überflüssig.
Diese beiden sich überschneidenden Schutzebenen
können mittels bestehender Universal-Technologien
realisiert werden – mit dem DNS-Abfragesystem
für das Internet, welches Ergebnisse von
Internet-Abfragen unmittelbar bereitstellt. Die
nachgeordneten Datenbanken können eingehende
Abfrageergebnisse außerdem auf Trends und
Muster hin überwachen und die gesammelten
Daten effektiv zur Verbesserung der Echtzeit-
Reaktion auf neue Ausbrüche nutzen. Der gelieferte
Schutz ergänzt das dateibasierte Konzept, welches
auf leistungsstarken Desktop-Lösungen zum Einsatz
kommt, und kann auf zahlreiche weitere Geräte
mit begrenzten Ressourcen und hohem Durchsatz
5Sophos White Paper Leistungsstarker Schutz an der äußeren Grenze des Netzwerks – geeignete Konzepte und ihre Umsetzung
Boston, USA | Oxford, UK
© Copyright 2009 Sophos GmbH
Alle Rechte vorbehalten. Alle hier aufgeführten Marken sind Eigentum der jeweiligen Inhaber. Kein Teil dieser
Publikation darf ohne schriftliche Genehmigung des Copyright-Inhabers in jeglicher Form vervielfältigt, gespeichert
oder übertragen werden.Sie können auch lesen
