English

Entwicklung eines ganzheitlichen Sicherheitskonzepts für Remote Access: Netzwerkstabilität und Vertrauen

von VPNHaus | 13.11.2013 |Endpoint Management, IPsec, IT policy, VPN

Wie notwendig ein ganzheitliches Sicherheitskonzept für Remote Access ist, kann nicht genügend betont werden. Diejenigen, die einen Beweis dafür suchen, brauchen sich nur den jüngsten Hacker-Angriff auf Adobe und die damit verbundenen unerquicklichen Folgen für die Netzwerksicherheit ansehen. In unseren letzten beiden Blog-Artikeln zu diesem Thema haben wir uns damit beschäftigt, warum die Verbreitung von mobilen Geräten die Netzwerke von Unternehmen empfänglicher für bösartige Angriffe macht. Außerdem haben wir erläutert, inwieweit unwissende Nutzer mit ihren Endgeräten eine ernsthafte Gefahr für die Netzwerksicherheit darstellen und wie die Einführung von Identitäten und Rollen zum Schutz vor Sicherheitslücken beitragen kann.

Aber was wäre, wenn Cyber-Kriminelle Identitäten und Rollen so fälschen könnten, dass diese als legitim durchgehen? Traurige Wahrheit ist, dass dieses Szenario in der Realität gut möglich ist. Die von Cyber-Kriminellen am häufigsten verwendete Methode für den Netzwerkzugriff ist das Spoofing von Media Access Control (MAC)-Adressen von Endgeräten.

Die MAC-Adresse ist die einzigartige Hardwarenummer eines Geräts. Wenn Mitarbeiter sich mit ihren Netzwerken verbinden, bringt eine entsprechende Tabelle ihre IP-Adresse mit der physikalischen MAC-Adresse ihres Computers in Verbindung. Wie zuvor erläutert, können Geräte in einem Beziehungsregister mit User-Identitäten basierend auf einer speziellen User-/Gerätekombination verbunden werden. Sobald dies erfolgt ist, können Regeln implementiert werden, nach welchen der Netzwerkzugriff gestattet oder verweigert wird. Idealerweise sondert dieses Verfahren Nutzer aus, welche versuchen, mit ungültigen Anmeldeinformationen auf das Netzwerk zuzugreifen. Wenn jedoch eine MAC-Adresse gefälscht worden ist, ist eine weitere Schutzschicht notwendig.

Es gibt verschiedene Möglichkeiten eine falsche MAC-Adresse aufzuspüren. Dennoch ist es am besten, einfach ein Protokoll direkt in einen IPsec VPN Client einzubauen. Dies würde dem Client den Aufbau einer sicheren, verschlüsselten Verbindung mit dem Zielnetzwerk ermöglichen. Außerdem können auf diese Weise Informationen zum Gerätezustand übermittelt werden. So würde der Client beispielsweise anzeigen, ob eine MAC-Adresse legitim ist oder ob sie möglicherweise manipuliert oder gefälscht wurde. Nur wenn die Zugangsdaten von User und Gerät zusammenpassen, wird der Netzwerkzugriff mittels der voreingestellten Kriterien gestattet.

Es ist erwähnenwert, dass die Trusted Computing Group (TCG) ein zweckmäßiges Sicherheitskonzept für die richtlinienbasierte Netzwerkzugriffskontrolle entwickelt: Trusted Network Connect (TNC). TNC verfügt über ein festgelegtes Protokoll, ein Interface für Metadata Access Points (IF-MAP). Damit können Geräte sicherheitsrelevante Metadaten über den Metadata Access Point (MAP) veröffentlichen oder abfragen. Dieser Ansatz integriert einen der Hauptaspekte eines ganzheitlichen Sicherheitskonzepts für Remote Access: die Etablierung von Vertrauensebenen. Die Etablierung von Vertrauensebenen funktioniert am einfachsten durch die Bewertung der Zugangselemente, wie zum Beispiel jener zuvor diskutierten Elemente.

Angefangen von einleitenden Auswahlverfahren zur Bestimmung legitimer Geräte und User über die Durchsetzung von eingeführten Richtlinien bis hin zur Querreferenzierung von User-/Geräte-Kombinationen – ein ganzheitliches Remote Access-Konzept kann hinsichtlich der Sicherung von Unternehmensnetzwerken vor bösartigen Angriffen viel bewirken. Ist das Konzept absolut sicher? Keinesfalls. Cyber-Kriminelle werden weiterhin versuchen, die Verteidigungsmechanismen – welcher Art diese auch sein mögen – zu durchbrechen. Und sie werden weiterhin Wege finden, wie ihnen das gelingt. Allerdings können Unternehmen zumindest Schritte in die richtige Richtung unternehmen. Dazu gehört, dass sie vorausschauend agieren und Vorsichtsmaßnahmen ergreifen, wie etwa jene, welche wir auf VPN Haus beschrieben haben.

Diese Webseite verwendet Cookies

Wir verwenden Cookies, um Inhalte zu personalisieren und die Zugriffe auf unsere Website zu analysieren. Weitere Informationen finden Sie in unserer Datenschutzerklärung.

OK