Grundlagen für effektive Netzwerküberwachung
Transparenz schafft Sicherheit im Netzwerk
Eindringlinge im Unternehmensnetz: Wenn man sie bemerkt, ist es meist zu spät. Es vergehen mitunter Monate oder gar ein Jahr, bis Unternehmen feststellen, dass ein Angriff auf ihr Netzwerk stattgefunden hat. Und in dieser Zeit kann viel passieren: Vertrauliche Konzepte, persönliche Daten der Mitarbeiter oder sensible E-Mails können an die Öffentlichkeit gelangen. Auf der Basis eines transparenten und nahezu in Echtzeit automatisch aktualisierten Netzwerks können Unternehmen vorbeugen und für Sicherheit sorgen.
Ausgangspunkt für mehr Sicherheit im Netzwerk ist, dass die Verantwortlichen wissen, was im Netzwerk tatsächlich passiert. Doch wie sollte ein effektives und vor allem sicheres Netzwerk-Monitoring aussehen? Entscheidend ist, dass das Netzwerk-Monitoring dem Administrator die für ihn relevanten Informationen zeitnah zur Verfügung stellt, damit er die Situation schnell erfassen und die richtigen Entscheidungen treffen kann. Für Transparenz im gesamten Netzwerk sorgt die Echtzeitintegration von DNS- (Domain Name System), DHCP- (Dynamic Host Configuration Protocol) und IPAM-Daten (IP-Address-Management) zusammen mit Informationen zur Netzwerkinfrastruktur. Die Erfassung und Korrelation dieser Daten erlaubt es dem Netzwerkadministrator, Probleme schnell zu beheben, Entwürfe zu prüfen, Kapazitäten bereitzustellen und Netzwerkdienste anzubieten.
Mithilfe einer grafischen und einfach zu handhabenden Benutzeroberfläche lassen sich alle verfügbaren Netzwerkinfrastrukturdaten rasch analysieren, inklusive der zusätzlich angeschlossenen Netzwerke, Infrastrukturgeräte ("Devices") und IP-Endgeräte ("End Hosts") - unabhängig davon, ob sie tatsächlich verwaltet sind oder nicht. So stehen alle Informationen zu Port-Verwaltung, Betriebsstatus, Schnittstellen, Trunk-Status und zugewiesenen virtuellen lokalen Netzwerken (VLANs) zur Verfügung. End-Host-Daten bieten Einblick in die von Layer-2- und Layer-3-Devices bereitgestellten IP-Endgeräte. Außerdem sind der Anlagetyp und die verbundene Schnittstelle, MAC- und IP-Adresse sowie VLANs, denen die Anlage zugewiesen ist, verfügbar. IP-Konflikte und überlappende IP-Adressbereiche lassen sich identifizieren, nichtverwaltete beziehungsweise nichtberechtigte Netzwerke, Devices und Endgeräte sind optisch hervorgehoben, um die richtigen Aktivitäten zu ermöglichen. Dank intelligenter Ordner kann der Administrator bereichsübergreifende Datenansichten erstellen, wobei sich die dargestellten Daten durch Filter und Logik eingrenzen lassen.
Autoritative Datenbank als Basis für Sichtbarkeit
Basis eines effektiven Netzwerk-Monitorings ist eine umfassende, autoritative Datenbank. Wo früher verschiedenste Netzwerkdaten aus unterschiedlichen Datenbanken einzeln zu exportieren waren, lassen sich heute alle Layer-2- und Layer-3-Devices wie zum Beispiel Router, Switches, Firewalls und Load Balancer, die mit dem Netzwerk verbunden sind, zentral erfassen, in einer einzigen Datenbank integrieren und automatisch dokumentieren. Noch einen Schritt weiter gehen Lösungen, die IP-Adressen der Endgeräte automatisch kategorisieren, sortieren und klassifizieren können und damit Ordnung ins System bringen. Mit Techniken wie SNMP, Port-Scans, intelligentem IPv4, Subnetz- und vollständigen "Ping Sweeps", NetBIOS-Scans, automatischer ARP-Aktualisierung vor dem Switch-Port-Abruf sowie Switch-Port-Datenerfassung lassen sich Netzwerkinfrastruktur-Geräte- und -Schnittstellendaten ebenso wie etwa VMware-ESXi-Daten ordnungsgemäß sammeln.
Wichtig ist die Dokumentation der Daten in einer Art und Weise, die es dem Netzwerkadministrator erlaubt, Fehler, Engpässe und Schwachstellen schnell erkennen und beheben zu können. Grundlegende Fragen zum Unternehmensnetzwerk wie beispielsweise, welche IP-Adressen inaktiv sind oder welcher Nutzer zu welchem Datum und zu welcher Uhrzeit mit einer bestimmten IP-Adresse, an welchem Switch-Port, in welchem Gebäude, mit welchen Host/Domain-Namen, mit welcher MAC-Adresse und unter welcher AD-Kennung eingeloggt war, sollten sich beantworten lassen.
So kann der Administrator auch neue Geräte im Netz, die noch keine feste IP-Adresse haben, ausfindig machen. Zudem erhält er Angaben über die Art der Geräte, ihr Betriebssystem und die im Einsatz befindlichen virtuellen Maschinen. Wichtig ist, dass der Netzwerkadministrator durch intelligente Ordner bereichsübergreifende Datenansichten erhält, um nichtverwaltete Geräte schnell zu erkennen. Da diese ein Einfallstor für Eindringlinge sein können, gilt es, sie schnell zu ermitteln, zu untersuchen und zu isolieren. Stellt sich beispielsweise heraus, dass der DHCP-Port auf einem Gerät geöffnet ist, wurden wahrscheinlich DHCP-Leases aus falschen IP-Subnetzen ausgegeben, womit der Client nicht auf die Unternehmensressourcen zugreifen kann.
Netzwerke sind heute keine ausschließlich statischen Konstrukte aus Kupfer, Glasfaser und Hardware mehr, sondern zusätzlich dynamische Gebilde in virtuellen und Cloud-Umgebungen. Dies macht die Verwaltung, Transparenz und Sicherheit um einiges komplexer als in der Vergangenheit. Durch den Einsatz von Netzwerk-Monitoring-Lösungen wie etwa der "Network Insight Appliance" von Infoblox ist der Netzwerkadministrator jedoch in der Lage, die tatsächlich angeschlossenen Systeme im Netzwerk zu ermitteln und mit dem Namenverzeichnis abzugleichen. Dies ermöglicht es ihm, den Unterschied zwischen Theorie und Praxis zu erkennen, den Unregelmäßigkeiten auf den Grund zu gehen und so beide Seiten in Einklang zu bringen. Darin liegt eine der größten Herausforderungen beim Netzwerk-Monitoring.
Betriebssilos vermeiden
In der IT-Abteilung großer Unternehmen finden sich häufig "Betriebssilos". Diese sind das Ergebnis eines überaus hohen spezifischen Informationsniveaus, das in bestimmten Bereichen erforderlich ist, um die entsprechend komplexen Aufgaben zu erledigen. Die heutigen dynamischen Netzwerke benötigen Stabilität über sämtliche IT-Dienste hinweg, was wiederum gemeinsame Datennutzung und verlässliche Informationen erfordert. Oft gibt es innerhalb oder zwischen diesen Silos veraltete Prozesse und umständliche, manuelle Methoden, die die Kommunikation und Zusammenarbeit zwischen den Silos erschweren und unnötige Kosten verursachen.
Um solche Datensilos zu beseitigen, gilt es, DNS-, DHCP-, IPAM- und Netzwerkinfrastrukturdaten zu integrieren und über eine rollenbasierende und granulare Administration zu verwalten, sodass mehrere Teams gleichzeitig auf dasselbe Tool und die gleichen Datensätze zugreifen können. Beispielsweise lässt sich dem Server-Team ein Bereich an IP-Adressen zuweisen, wenn die Mitglieder eine projektbezogene Entwicklungsumgebung für notwendig erachten. Dabei hat der Netzwerkadministrator, der für IPAM zuständig ist, den vollständigen Überblick über die Verwendung dieser IP-Adressen.
Transparenz als Grundlage
Generell ist das Thema Netzwerksicherheit eng mit Netzwerk-Monitoring verknüpft. Die Überwachung von IP-Adressen ist für die Sicherheit von großer Bedeutung, denn die Herkunft und Reputation von IP-Adressen können Hinweise auf außergewöhnliche Aktivitäten im Netzwerk liefern. Die Lokalisierung einer IP-Adresse kann Auskunft darüber geben, ob es auffälligen Traffic aus Regionen gibt, die nicht geschäftsrelevant sind, und damit auf mögliche Sicherheitsrisiken hinweisen. Ein Beispiel: Stellt ein IT-Administrator fest, dass der größte Teil des Netzwerkverkehrs bei einem verteilten Denial-of-Service-Angriff aus einer bestimmten geografischen Region stammt, lässt sich vorübergehend eine Access Control List implementieren, um den kompletten Netzwerkverkehr aus diesem Gebiet zu blocken. Sperrt der Administrator den Netzwerkverkehr von bekannten bösartigen IP-Adressen, lässt sich das Risiko von Sicherheitsverletzungen wie Firewall-Port-Scans, Botnets und Malware erheblich senken.
Monitoring-Systeme, die Informationen aus den IT-Komponenten sammeln (zum Beispiel Logdaten oder Verkehrsfluss-Daten), diese zueinander in Beziehung setzen und Alarm schlagen, sobald eine verdächtige Aktivität entdeckt wird, entsprechen den aktuellen Anforderungen. Ein intelligenter Verzeichnisdienst kann letztendlich auch die Unternehmensinfrastruktur schützen. Wenn er nur "wohlgesonnene" Dienste beantwortet, erstickt er Malware-Angriffe schon im Keim. Intelligente Monitoring Tools können Angriffe frühzeitig entdecken und in Verbindung mit Netzwerkautomatisierungs- und -Management-Tools isolieren.
Die hohe Schule des Monitorings ist es, automatisiert verwertbare Informationen zur Verfügung zu stellen, um auf Probleme und Security-Vorfälle angemessen reagieren zu können. Die heute erhältlichen Programme ermöglichen dank der Verwendung von Schwellenwerten, Triggern und Variablen eine relativ leichte Einbindung von Befehlen. Bevor eine Netzwerküberwachungs-Software von sich aus eingreifen darf, muss der Netzwerkadministrator jedoch die Eckdaten genau kennen und in der Lage sein, diese richtig zu interpretieren.
Lesen Sie mehr zum Thema
