Wäre es nicht leichter, alle Anwendungen zu sperren?
Auf diese Frage antwortet Achim Kraus, Senior Consultant Strategic Accounts bei Palo Alto Networks: "Das Risiko durch generelles Blocken des Zugriffs auf Anwendungsplattformen zu minimieren, ist in der Tat häufig die spontane Reaktion - falls überhaupt möglich. Eine sehr kurzsichtige Aktion, die oft das Gegenteil bewirkt. Die eigenen Mitarbeiter finden nämlich neue und kreative Wege, sich trotzdem Zugang zu Facebook, Skype und Co. zu verschaffen und das mit Technologien, die noch schwerer zu kontrollieren sind." Der Spezialist rät deshalb dazu, keinen Kompromiss zwischen Sicherheit, Leistungsfähigkeit und Administrierbarkeit einzugehen. Das gelingt aber nur, wenn eine neue Technik wie die Next Generation Firewall zur Erkennung und Abwehr von aktuellen Bedrohungen eingesetzt wird.
Was können Unternehmen tun, um sich vor Risiken zu schützen?
Foto: Thomas Bär / Frank-Michael Schlede
Auch darauf konnte uns Achim Kraus die passende Antwort geben: "Unternehmen sollten wissen, was im Unternehmensnetzwerk passiert, um daraus entsprechende Vorgehensweisen und Richtlinien abzuleiten." In diesem Zusammenhang machte er auch darauf aufmerksam, dass viele Unternehmen zwar eine komplette Sicherheitsstrategie basierend auf Technologien wie Firewall, Intrusion Prevention, Anti-Malware und so weiter besitzen, doch dass die ursprüngliche Konzeptionierung und Anschaffung leider oft schon Jahre zurückliegt. Inzwischen haben sich aber die Techniken der Angreifer enorm weiterentwickelt, was unter anderem verlangt, dass transparent ist, welche Anwendung in welcher Funktion zur Verarbeitung oder Übertragung von Inhalten stattfindet. Erst dann kann der IT-Verantwortliche Risiken einschätzen und eine adäquate Entscheidung treffen, um Risiken zu vermeiden.
Fazit: Aktuelle Technik gepaart mit Wissen bringt Schutz
Die aktuellen Produkte bieten den passenden Schutz gegen die möglichen Gefahren. Wichtiger als die aktuellste Technik ist jedoch das passende Wissen um den Netzwerkverkehr und die richtige Nutzung der Firewall-Techniken. Der regelmäßige Blick in die Protokolle ist für den IT-Profi Pflicht, ebenso muss sichergestellt sein, dass die Geräte stets auf dem neuesten Firm- oder Software-Stand sind. (sh)
- Schutz ab Werk
Die eingebaute Firewall für Microsoft Windows: Sie bietet die Definition von Regeln für den eingehenden und ausgehenden Netzwerkverkehr und unterstützt die Konfiguration mittels Assistenten. - Fixe Regeln
Vordefiniert und nicht zu ändern: Auf den Windows-Systemen können einige Regeln, beispielsweise für die Synchronisation über Microsoft Zune, vom Benutzer nicht angepasst werden. - Netsh im Einsatz
Auch ohne Active Directory sind IT-Profis in der Lage, Firewall-Regeln für Microsoft Windows über Skript-Jobs anzupassen. Bedingt durch die unterschiedliche Syntax von XP und Windows Vista/7 sind Verzweigungen leider unumgänglich (hier für den WMI-Zugriff). - Für den Profi
Zusätzliche Firewall-Lösungen, beispielsweise die Unix-IPFW, können sogar unter Microsoft Windows eingesetzt werden. - Know-how gefragt
Wichtige Voraussetzung: Bevor Anwender über eine Port-Weiterleitung Verbindungen aus dem Internet in das eigene Netzwerk zulassen, sollten sie in jedem Fall wissen, was sie da tun. - Nexpose Express
Angriff durch Software: Ungeschützte Systeme ohne Firewall sind möglicherweise ein leichtes Opfer für Vulnerability Scanner wie die hier gezeigte Lösung „Nexpose Express“. - Wer darf was?
Die Definition von Firewall-Regeln, hier auf einer CR15wi von Cyberoam, erfordern ein grundsätzliches Verständnis für Funktionsweise einer Firewall. - Next Generation
Erleichtert die Konfiguration: Glücklicherweise sind viele Firewalls der "Next Generation", hier eine Barracuda NG, bereits so vorkonfiguriert, dass sich Applikationen gezielt aussperren lassen. - Integrierter Virenscanner
Es werden nicht nur Ports gesperrt: Ein Virus-Scanner gehört heute bei vielen Firewalls bereits zur Grundausstattung. - Mitschneiden tut Not
Ist leider unumgänglich: der regelmäßige Blick in das Logging-Fenster der Firewall-Lösung. Nur so kann der IT-Profi den üblichen Netzwerkverkehr identifizieren. - Es geht auch gratis
Es muss nicht immer die teure Lösung sein: Die Basis-Variante einer Packet-Firewall bietet zum Beispiel Astaro (Sophos) sogar kostenfrei an. - Schutz ab Werk
Die eingebaute Firewall für Microsoft Windows: Sie bietet die Definition von Regeln für den eingehenden und ausgehenden Netzwerkverkehr und unterstützt die Konfiguration mittels Assistenten. - Fixe Regeln
Vordefiniert und nicht zu ändern: Auf den Windows-Systemen können einige Regeln, beispielsweise für die Synchronisation über Microsoft Zune, vom Benutzer nicht angepasst werden. - Netsh im Einsatz
Auch ohne Active Directory sind IT-Profis in der Lage, Firewall-Regeln für Microsoft Windows über Skript-Jobs anzupassen. Bedingt durch die unterschiedliche Syntax von XP und Windows Vista/7 sind Verzweigungen leider unumgänglich (hier für den WMI-Zugriff). - Für den Profi
Zusätzliche Firewall-Lösungen, beispielsweise die Unix-IPFW, können sogar unter Microsoft Windows eingesetzt werden. - Know-how gefragt
Wichtige Voraussetzung: Bevor Anwender über eine Port-Weiterleitung Verbindungen aus dem Internet in das eigene Netzwerk zulassen, sollten sie in jedem Fall wissen, was sie da tun. - Nexpose Express
Angriff durch Software: Ungeschützte Systeme ohne Firewall sind möglicherweise ein leichtes Opfer für Vulnerability Scanner wie die hier gezeigte Lösung „Nexpose Express“. - Wer darf was?
Die Definition von Firewall-Regeln, hier auf einer CR15wi von Cyberoam, erfordern ein grundsätzliches Verständnis für Funktionsweise einer Firewall. - Next Generation
Erleichtert die Konfiguration: Glücklicherweise sind viele Firewalls der "Next Generation", hier eine Barracuda NG, bereits so vorkonfiguriert, dass sich Applikationen gezielt aussperren lassen. - Integrierter Virenscanner
Es werden nicht nur Ports gesperrt: Ein Virus-Scanner gehört heute bei vielen Firewalls bereits zur Grundausstattung. - Mitschneiden tut Not
Ist leider unumgänglich: der regelmäßige Blick in das Logging-Fenster der Firewall-Lösung. Nur so kann der IT-Profi den üblichen Netzwerkverkehr identifizieren. - Es geht auch gratis
Es muss nicht immer die teure Lösung sein: Die Basis-Variante einer Packet-Firewall bietet zum Beispiel Astaro (Sophos) sogar kostenfrei an.