|
|
Rubrik: Produkte/Hintergrund Enterasys Networks: Risikominimierung durch "User Personalized Network" Verteilte Firewall-Funktionalitäten schützt Intranet und LAN-WAN-Schnittstelle (16.09.03) - Um Unternehmensnetze ganzheitlich zu sichern, müssen Lösungen angeboten werden, die nicht die Arbeit im Inter- sondern auch im Intranet sichern. Schutzverletzungen in Unternehmensnetzen treten in den meisten Fällen an der Schnittstelle zwischen Netzwerk-Infrastruktur und Internet auf. Dazu gehören Angriffe durch Würmer, wie "Code Red", Computerviren, die von der Firewall oder dem Content-Scanner nicht erkannt werden sowie so genannte "Denial of Service"-Attacs (Angriffe durch Ausnutzung der Schwachstellen im Betriebssystem). Der Einsatz neuer Breitbandanschlüsse sowie fehlende Firewall-Technologien zum Schutz von PC-Systemen sind oftmals der Grund für die Zunahme von derartigen Angriffen. Nicht nur die IT-Sicherheitslösungen entwickeln sich weiter sondern auch Hacking-Tools. Diese sind zunehmend in der Lage, selbsttätig Schwachstellen in fremden Netzen zu finden und automatisch anzugreifen. Die eingesetzten Algorithmen infizieren weitere IP-Adressen und sorgen so für eine schnelle Ausbreitung des Wurms. Durch die gestiegene Verkehrslast entstehen auf dem System so genannte "Broadcast Storms". Die Folge ist eine extreme Verlangsamung der Arbeitsgeschwindigkeit bis hin zum völligen Stillstand der Systeme. Dies kann insbesondere für den E-Commerce fatale wirtschaftliche Folgen haben.
Anzeige
Sicherheitslösungen konzentrieren sich aufgrund dieser Gefahrenpotentiale auf die Schnittstelle zwischen "gefährlichem" Internet und "vertrauenswürdigem" Intranet. Unterschätzt werden aber die Risiken der "hausgemachten", häufig unbeabsichtigten Sicherheitsverletzungen. Verteilte Arbeitsstrukturen führen dazu, dass sich Mitarbeiter oder Geschäftspartner mobil über drahtlose Netze oder VPNs (Virtual Private Networks) in die Intranets von Unternehmen einwählen, ohne dass die Integrität dieser Netzwerke garantiert werden kann. Außerdem verfügen Laptops und Palmtops oftmals über anfällige private Software der User, wie zum Beispiel Programme zum Austausch von MP3 files. Mit neuen Technologien können nun aber direkt am LAN-Port im Intranet einer Organisation so genannte AAA-Prüfungen (Authentication, Authorization, Accounting) erfolgen. Der neue Standard IEEE 802.1X definiert dabei zum einen Mechanismen für die Authentisierung, bevor der Nutzer überhaupt das Intranet betreten darf. Zusammen mit intelligenten Switches kann IEEE 802.1X die Berechtigungsprüfung (Authorization) unterstützen oder festlegen, was der berechtigte Nutzer darf und was nicht. Unberechtigte Nutzer werden sofort abgewiesen, unerwünschte Datenpakete gelangen nicht in das Unternehmensnetz. Durch derartige Systeme sind Organisationen in der Lage, durchdachte und umfassende Sicherheits-Policies auch praktisch umzusetzen. Zugriffsrechte am Netzwerkrand können dynamisch an den Nutzertyp ange-passt werden. User, die die Eingangskontrolle passiert haben, erhalten so nur Zugriff auf Ressourcen und Protokolle, die für ihre individuellen Arbeitsaufgaben notwendig sind. Unabhängig davon, von welchem Standort sich beispielsweise ein Vertriebsmitarbeiter einwählt, werden nach den festgelegten Regeln Zugriffe erlaubt oder abgewiesen. Auch können Switch-Ports die http-Einwahl (Port-80-Quell-IP-Ströme) über Ports ohne durch die Systemadministration authentifizierte (authentisierte) Web-Server ablehnen und so verhindern, dass Würmer wie Code Red über nicht berechtigte Intranet-Web-Server in das Unternehmensnetz eindringen. Verteilte "Enforcement Points" in der Netzwerk-Infrastruktur sind auch für die Zusammenarbeit mit Extranet-Partnern wichtig. Meist wird der VPN-Datenstrom mittels des verschlüsselten Protokolls SSH durch die Firewall geleitet. Durch eine Zusatz-Policy kann verhindert werden, dass der Extranet-Partner SSH verwendet. So wird die direkte logische Verbindung zwischen dem Netzwerk des Extranet-Partners und dem Netzwerk der Orga-nisation über den PC des Mitarbeiters vermieden. Darüber hinaus ist der Einsatz von MP3-Tauschsoftware (z.B. Gnotella oder Aimster) oder bandbreitenintensiver Spiele wie Quake oder Doom zwar laut Geschäfts-ordnung in den meisten Unternehmen verboten, findet aber dennoch statt. Durch die Einrichtung einer entsprechenden Policy wird dies erst gar nicht ermöglicht. Enterasys Networks stellt mit Hilfe des User Personalized Network ein System zur Verfügung, das durch verteilte Firewall-Funktionalitäten im Intranet die Sicherheit und Stabilität der Unternehmensnetze erheblich verbessert. Damit ist es möglich, einen ganzheitlichen Sicherheitsansatz bereitzustellen, der jedem Benutzer individuell entsprechende Profile zur Datennutzung zuweist. Die UPN-Lösung kann darüber hinaus für die Single Sign-On Anmeldung an SAP-Systeme genutzt werden kann. (ma) Enterasys Networks Germany Tel.
(069) 47860-305, Fax (069) 47860-309 Kontakt:
Christoph Lindner, Marketing Director Central & Eastern Europe E-Mail: christoph.lindner@enterasys.com Web: www.enterasys.com |
