Bring Your Own Device
Probleme durch BYOD vermeiden
Die Erlaubnis, eigene mobile Geräte im Unternehmen zu nutzen (Bring Your Own Device, BYOD), führt bei Mitarbeitern häufig zu positiver Resonanz und möglicherweise sogar zu proaktiverem Verhalten. Allerdings birgt sie auch neue Gefahren für die Netzwerksicherheit. Disziplinen wie das Monitoring des Netzwerks und das IP-Adress-Management gewinnen deshalb im BYOD-Umfeld an Bedeutung.
Nach einer Studie von Gartner erfassen Unternehmen nur 80 Prozent der Geräte, die an ihr Netzwerk angeschlossen sind, die restlichen 20 Prozent sind unbekannte Geräte. Diese befinden sich innerhalb des Netzwerks, sind aber nicht verwaltet und verschaffen Benutzern Zugriff. Sie sind klein, vielfältig und sehr mobil - und sie bringen ihre eigenen Apps mit, können als WLAN Access Points fungieren und enthalten oft veraltete Firmware oder gar Jailbreaks. Dies kann den Gefährdungsgrad für Netzwerke deutlich erhöhen.
IT-Unternehmen sehen sich deshalb mit einer Reihe von Herausforderungen konfrontiert, wenn es zum Beispiel darum geht, die Datensicherheit zu garantieren, den Zugriff zu überwachen und IP-fähige Geräte zu kontrollieren. Im Folgenden wird aufgezeigt, wie Unternehmen Sicherheitsrisiken, die aus BYOD entstehen können, am besten angehen.
Überwachung und Patches
Die Überwachung ist einer der wichtigsten Faktoren, um Sicherheitsbedrohungen - auch durch BYOD - zu verringern. Hier gibt es verschiedene Optionen. Ein SIEM-Werkzeug (Security-Information- and Event-Management) zur Verwaltung sicherheitrelevanter Informationen und Ereignisse sollte die erste Wahl sein, um Sicherheitsprobleme im Netzwerk zu erkennen. SIEM-Tools überwachen das Netzwerk, indem sie Ereignisprotokolle von Netzwerk-Equipment, Endgeräten, Anwendungen und Datenbanken abrufen. Sie analysieren und korrelieren die gesammelten Daten anschließend in Echtzeit, um Informationen bereitzustellen, die das Security-Team in der Praxis umsetzen kann. Anspruchsvollere SIEM-Tools können potenzielle Netzwerkanomalien erkennen, bevor sie sich zu einem größeren Problem entwickeln, und sogar entsprechende Gegenmaßnahmen auslösen: Erkennt das Tool eine verdächtige Aktivität, kann es zum Beispiel Verbindungen blockieren, Benutzerzugänge deaktivieren oder Geräte herunterfahren.
Der nächste Punkt ist Netflow. Die meisten Switches und Router unterstützen Netflow (andere Flow-Formate sind zum Beispiel Sflow, Junipers J-Flow oder IPFIX). Damit lassen sich Anomalien im Netzwerkverhalten erkennen, zudem kann es bei der Kapazitätsplanung hilfreich sein. Mit Netflow sieht der Administrator IP-Adressen oder Endpunkte, die in den Netzwerkdatenverkehr involviert sind, die Anwendung, den Port und das verwendete Protokoll, Start- und Endzeit einer IP-Verbindung, Paketgröße und -anzahl, ToS-Felder und mehr. Tiefgehende Netflow-Informationen können dazu beitragen, die Ursache einer Verschlechterung der Netzwerkleistung aufzuzeigen und die Auswirkungen privater Geräte auf die Netzwerkbandbreite festzustellen.
Ob es nun offiziell erlaubt ist oder nicht, für die meisten Benutzer ist BYOD bereits Realität: Sie bringen ihre privaten Smartphones und Tablets mit zur Arbeit und verbinden sie mit dem Unternehmensnetzwerk. Betreibt ein Unternehmen ein Campus-Netzwerk mit offenem WLAN-Zugriff, kann die die Anzahl unbekannter Geräte recht hoch sein. Hier kann ein Tool zur Benutzer- und Geräteverfolgung helfen. Mit einem solchen Tracker lässt sich herausfinden, wo nicht-autorisierte Laptops, Tablets oder Smartphones im Netzwerk vorhanden sind, wo sich mögliche ungenehmigte Access Points befinden oder an welchem Port des Access-Switchs ein NAS-Gerät (Network Attached Storage) angeschlossen ist.
Zusätzlich lassen sich die MAC-Adressen der angeschlossenen Geräte identifizieren, Positiv- oder Negativlisten für Geräte erstellen und Verlaufsdaten über Zeitpunkt und Ort einer Geräteverbindung sowie über die Switch-Port-Auslastung bereitstellen. So lässt sich sogar der Port, an den ein nicht autorisiertes Gerät angeschlossen ist, herunterfahren. Dies stellt sicher, dass sich kein unerwünschtes Gerät an der Positivliste vorbeimogelt.
Auch mobile Geräte und mobile Anwendungen (Apps) haben Sicherheitslücken. Deshalb veröffentlichen Hersteller aktualisierte Versionen, um vorhandene Probleme zu beheben. Unternehmen sollten darauf achten, dass die mobilen Geräte im Netzwerk möglichst stets auf dem neuesten Firmware-Stand sind und für alle Apps die neuesten Updates installiert sind. Mit einer Management-Lösung für mobile Geräte (Mobile-Device-Management, MDM) hat die IT-Organisation mehr Kontrolle über BYOD und kann verhindern, dass das Netzwerk mobilen Clients ausgeliefert ist.
BYOD hat zu einer Zunahme von WLAN-Clients geführt. Dabei ist die Datenübertragungsrate für die einzelnen Clients von der Anzahl der Access Points (APs) im Netzwerk abhängig. Die IT muss also dafür sorgen, dass genügend APs verfügbar sind, um die bestmöglichen Datenübertragungsraten und maximale Abdeckung zu bieten. Gleichzeitig muss sie darauf achten, dass möglichst wenige Störungen auftreten. Das bedeutet jedoch auch, dass sie zahlreiche APs verwalten und überwachen muss. Möglicherweise muss sie sich auch um "Rogue APs" (unerlaubte Zugriffspunkte) kümmern, die für Datendiebstahl oder sogar Man-in-the-Middle-Angriffe zum Einsatz kommen könnten.
Idealerweise verwendet die IT-Organisation deshalb ein Überwachungs-Tool, mit dem sie eine Funkumgebung mit Geräten verschiedener Hersteller von einer zentralen Konsole aus verwalten und überwachen kann und außerdem in der Lage ist, Rogue APs im Netzwerk zu erkennen. Zu beachten sind bei der Auswahl eines solchen Tools Optionen zum Verwalten von "Thick"- und "Thin"-APs hinsichtlich Client-Details, Signalstärke, IP- und MAC-Adressen, Eingangs- und Ausgangsgeschwindigkeiten usw. Zusätzlich erforderlich sind Informationen zur WLAN-Verfügbarkeit, zur durchschnittlichen Anzahl von Clients sowie zur Anzahl von Rogue APs im Zeitverlauf. Dies gibt der IT-Organisation mehr Kontrolle über ihre WLAN-Infrastruktur, hilft bei der Kapazitätsplanung und trägt vor allem dazu bei, das Netzwerk zu schützen.
Wenn die IT die Bandbreitennutzung mit Netflow überprüft hat und das Bereitstellen von mehr Bandbreite nicht in Frage kommt, sollte man auf QoS (Quality of Service, Dienstgüte) zurückgreifen. QoS hilft, die vorhandene Bandbreitennutzung über Queues und Bandbreitenlimitierung zu verwalten, um unerwünschte Anwendungen auszufiltern und Geschäftsanwendungen zu priorisieren.
BYOD führt zu einer erhöhten Nachfrage nach IP-Adressen und ist eine der Hauptursachen für IP-Adresskonflikte. Heutzutage haben die meisten Benutzer mindestens zwei Geräte bei sich, was bedeutet, dass beim DHCP-Server entsprechend mehr IP-Adressen angefordert werden. Manche Geräte sind zudem so konfiguriert, dass sie eine statische IP-Adresse besitzen. Wenn sie nun mit dem Unternehmensnetzwerk verbunden werden, kann dies zu einem IP-Konflikt und unter Umständen zum Ausfall einer wichtigen Ressource führen.
Dies ist an sich zwar kein Sicherheitsproblem, birgt aber das Risiko schwerwiegender Netzwerkausfälle. Ein Tool für die IP-Adressenverwaltung verschafft der IT einen umfassenden Überblick über die IP-Adressenstruktur des Netzwerks. Mit einem IP-Adressen-Manager lassen sich mehrere DHCP- und DNS-Server besser und schneller von einer zentralen Konsole aus verwalten. So wird der Netzwerkadministrator über den IP-Adressverbrauch pro Subnetz benachrichtigt und IP-Konflikte fallen auf, bevor es zu Beschwerden kommt.
Lesen Sie mehr zum Thema
