Secure Access Switches
Türsteher in das Netzwerk eingebaut
Im gleichen Maß, wie Nachrichten von Viren, Würmern, Bots und unberechtigten Zugriffen die Runde machen, werfen zahlreiche Hersteller immer neue Sicherheitstechniken auf den Markt. Insbesondere die Strategien zur Sicherung des Zugriffs auf das LAN eines Unternehmens unterscheiden sich stark. Sie verfolgen das gemeinsame Ziel, unberechtigte Zugriffe von vornherein zu unterbinden. Im Optimalfall ist auch eine Reaktion auf Angriffe Teil des Konzepts.
Generell lassen sich die Szenarien zur Absicherung des LAN-Zugriffs je nach Art der
Implementierung in drei Segmente unterteilen: in Lösungen auf der Basis von Appliances, Servern
oder Switches. Eine Appliance-basierte Lösung ist aufgrund von Performance-, Netzdesign-,
Redundanz- und Skalierungsproblemen nur bei kleinen, einfachen und homogenen Netzinfrastrukturen
sinnvoll nutzbar. Da die IT-Abteilung solche Appliances nah am abzusichernden Netzwerkrand
(Security Perimeter) positionieren muss, steigen recht schnell die Kosten stark an. Generell sollte
ein Unternehmen die Anzahl benötigter Security-Geräte aus Gründen der Investitions- und
Betriebskosten möglichst gering halten.
Für größere Netzwerke eignen sich eher server- oder Switch-basierte Lösungen. Die Serverlösungen
bergen den Nachteil, dass sie heterogene Endsysteminfrastrukturen nur sehr schlecht unterstützen
und dann die Wirksamkeit stark eingeschränkt ist. Es zeichnet sich der Trend ab, diese Lösungen
mehr und mehr in Switch-basierte zu integrieren.
Da gerade der Endgerätebereich stark in Bewegung ist und dort das Wachstum der Netze entsteht,
eignet sich eine Switch-basierte Absicherungslösung besser als die vorher genannten. Erstens
skaliert sie mit dem Wachstum des Netzes. Zweitens sind keine separaten Geräte zu beschaffen und zu
betreiben. Drittens steht die Sicherheitsfunktion direkt am Security Perimeter – am Access-Port –
zur Verfügung. Viertens lässt sich eine heterogene Endgerätelandschaft je nach Implementierung sehr
gut unterstützen. Und fünftens arbeitet eine solche Lösung wahlweise ohne oder mit Client auf dem
Endsystem.
Insbesondere die organisatorische Divergenz (Servicetechniker, Gäste, Kunden, Vertragspartner
benötigen Zugriff auf die Infrastruktur) wie auch die technische Divergenz (diverse Geräteypen mit
unterschiedlichen Betriebssystemen) machen es unbedingt erforderlich, auf eine offene und flexible
Switch-basierte Sicherheitslösung zu setzen.
Sicherheitsarchitektur
Für die Auswahl der richtigen Switch-Serie muss ein Unternehmen die gesamte
Sicherheitsarchitektur eines Herstellers betrachten: Bietet diese für die genannten Anforderungen
eine Lösung? Dazu muss man sich die funktionellen Bausteine einer sicheren Switch-Infrastuktur vor
Augen führen und die jeweilige Implementierung im Detail analysieren. Generell sind vier Bausteine
von Bedeutung:
Authentication und Policy-Management,
proaktive Quarantänemöglichkeiten,
Angriffserkennung und
reaktive Quarantänemöglichkeiten.
Hinzu kommen traditionelle Entscheidungskriterien wie die sichere Verwaltung mittels SNMPv3, SSL
und SSHv2, die Integration in Netzwerkmanagementsysteme jenseits bloßen Monitorings, die DoS-"Härte"
(Denial of Service) der Switches selbst, die Flexilibiliät in den Connectivity-Optionen von Fast
Ethernet bis hin zu 10 Gigabit Ethernet, Standardkonformität und offene Schnittstellen sowie
Investitions- und Servicekosten. Die Port-Dichten und die Performance hingegen sollten heute nur
noch geringe Relevanz für die Auswahl haben. Denn was nutzt das schnellste Netz, wenn alle
angeschlossenen Systeme mit einem Wurm infiziert sind und nicht mehr arbeiten können?
Wichtig ist die Fähigkeit, mehrere Benutzer oder Geräte gleichzeitig am Port zu authentisieren
und unterschiedliche Policies zuzuweisen. Dies ist insbesondere in Voice-Umgebungen (Voice over IP)
ein entscheidender Faktor, falls ein PC hinter einem IP-Phone angeschlossen ist. Von Bedeutung ist
dies auch bei Migrationen, wenn ein Unternehmen nicht alle Access-Switches gleichzeitig austauschen
kann, und bei der Verwendung von Fiber to the Office, so in diesem Szenario: Kabelkanal- oder
andere Mini-Switches setzen auf Kupfer um, beherrschen aber die Authentisierung nicht oder nur mit
erheblichem Finanz- und Verwaltungsaufwand.
Authentication und Policy-Management
Da nicht alle Geräte im Netz IEEE 802.1x (Port-based Authentication) beherrschen, muss der
Access-Switch zudem direkt an jedem Port verschiedene Authentisierungsverfahren unterstützen:
802.1x für hauseigene PCs und Laptops, künftig teilweise auch IP-Phones,
MAC-Adresse für Drucker, IP-Phones und andere Netzgeräte wie
Sicherheitskameras, Produktionssteuerungen, Sensoren etc.,
Webportal für Gäste, Consultants oder Servicetechniker,
automatische Erkennung von Endsystemen anhand der Verkehrsstruktur,
Default-Eigenschaften zum Beispiel für TFTP/Bootp, damit Diskless-Stationen
booten können und Wake on LAN funktioniert.
Ein Switch unterstützt optimalerweise alle Verfahren gleichzeitig pro Port, um den
Administrationsaufwand niedrig zu halten. Denn sonst müsste die IT-Abteilung bei jedem Umzug eines
Anwenders das Authentisierungsverfahren anpassen. Bei der gleichzeitigen Authentisierung
verschiedener Benutzer und Geräte an einem Port ist davon auszugehen, dass an diesem Port je nach
Benutzer und Gerät unterschiedliche Gruppenregeln koexistieren müssen. Für einen PC sollen zum
Beispiel andere Regeln gelten als für das IP-Phone am selben Port, für einen Gast andere Regeln als
für eigene Mitarbeiter etc. Die Authentisierung aller eingesetzten Verfahren sollte über einen
beliebigen Radius-Server funktionieren. Die vom Radius-Server zugewiesenen Policies sollten auf dem
Switch vorgehalten werden. Sonst können Verzögerungen bei der Anmeldung sowie Skalierungs- und
Redundanzprobleme beim Policy-Manager entstehen.
Oft unterstützen Access-Switches nur einfache VLAN-Policies (Virtual LAN), während innerhalb
eines VLANs keine Kont-rolle mehr gegeben ist. Das führt zu kritischen Fragen: Was passiert, wenn
jemand einen unautorisierten DHCP-Server (Dynamic Host Configuration Protocol) an das VLAN
anschließt und sich dann mit passenden Credentials anmeldet? Wie unterscheidet man bei einem
Softphone auf dem PC zwischen VoIP- und Datenverkehr? Wie lässt sich eine Wurmausbreitung innerhalb
eines VLANs stoppen? Eine Policy sollte also mehr beeinhalten – optimalerweise VLAN-,
Access-Control-, Priority- und Rate-Limiting-Regeln, die für spezifischen Verkehr des
authentisierten Benutzers oder Geräts gelten.
Proaktive Quarantäne
Es ist für Security-Entscheidungen nicht nur interessant, wer auf das Unternehmensnetz zugreift,
sondern auch, welches Sicherheitsniveau die verwendete Hardware dieses Anwenders aufweist – falls
es überhaupt ein Anwender im herkömmlichen Sinne ist und nicht nur eine Maschine oder ein Sensor.
Hieraus sollten sich entsprechende Zugriffs- oder Quarantäneeigenschaften ableiten. Zu den häufig
auftretenden Sicherheitslücken bei Endsystemen zählen:
das korrekte Service-Pack oder die aktuellen Patches sind nicht
installiert,
der Virenscanner ist nicht aktiv oder die Signaturdateien sind nicht
aktuell,
Routing ist nicht deaktiviert (ein VPN- oder RAS-Client mit aktiviertem
Routing kann ein Sicherheitsrisiko darstellen),
für die Internet- und/oder Wireless-Schnittstelle ist keine Firewall
installiert, oder diese ist nicht aktiv,
ein Bildschirmschoner mit Passwortschutz und geringer Aktivierungszeit
fehlt.
Mit einer Netzwerkqarantänetechnik lässt sich ein Client-System auf derartige Lücken prüfen und
der Zugriff auf das Unternehmensnetz in Abhängigkeit vom Ergebnis unterbinden oder einschränken.
Dies wirft aber neue Fragen auf: Wie überwacht oder patcht eine IT-Abteilung IP-Phones mit Embedded
Linux, Symbian, Embedded Windows oder einem proprietären Betriebssystem? Wie überwacht oder patcht
sie Equipment wie ein Röntgengerät, eine Industriesteuerungsanlage, eine Überwachungskamera oder
einen Drucker? Wie überwacht sie Geräte – insbesondere Laptops – von Gästen oder
Servicetechnikern?
Mit oder ohne Agententechnik
Einen Agenten zu installieren, der alle Probleme löst, wie mitunter propagiert, ist bei keiner
dieser Fragestellungen möglich – entweder aus technischen oder aus organisatorischen Gründen. Daher
sollte eine Quarantänelösung agentenlose und agentenbasierte Optionen bieten, ohne Änderungen an
der Gesamtarchitektur zu erfordern. Es gibt hier gerade bei SSL-VPN-Appliances die Technik des
agentenlosen Scans per Java oder Activex. Dies könnte in Zukunft auch für Switch-basierte Lösungen
von Interesse sein.
Bei den agentenbasierten Ansätzen konkurrieren offene Lösungen wie die von Zonelabs (Checkpoint)
oder Sygate (Symantec) und die Trusted Computing Group (TCG) mit geschlossenen Lösungen von Cisco
oder Microsoft. Eine offene Architektur ist hier vorzuziehen. Ein Unternehmen sollte prüfen, ob die
verwendeten Access-Switches mit einer offenen Lösung zusammenarbeiten. Typischerweise bestehen hier
viele Kooperationen. Agentenbasierte Lösungen haben den Vorteil, dass sie sehr präzise und
funktionsreich, dabei aber unflexibel sind.
Auch agentenlose Lösungen ohne Appli-ance-Ansatz sind verfügbar und können ein wichtiges
Entscheidungskriterium bei der Switch-Auswahl darstellen. Als Kern der Lösung fängt zum Beispiel
ein Radius-Proxy die Authentisierungsanfragen ab und leitet die reine Benutzerauthentisierung
durch, nimmt danach aber auf der Basis beliebiger Parameter eine Modifikation der Radius-Antwort
und der vorhandenen Policy vor. Als Parameter dient hier zum Beispiel das Ergebnis eines
Vulnerability Scans. Es sind aber auch andere Parameter wie der Ursprung der
Authentisierungsanfrage möglich (Location-Based Policy). Damit modifiziert der Access-Switch die
Zugriffsrechte des Systems/Nutzers auf das Netz in Abhängigkeit davon, ob ein Benutzer oder ein neu
anschlossenes Endsystem bestimmten Vorgaben genügt. Das Ganze geschieht von außen, es ist also
keine Modifikation des Endsystems notwendig. Vor allem greift der Ansatz, bevor das Client-System
vollen Netzwerkzugriff erlangt. Agentenlose Lösungen sind sehr flexibel, können aber nicht alle
Sicherheitsprobleme im Vorfeld erkennen. So bieten sie nicht die maximale Präzision beim
Vulnerability-Scanning.
Angriffsserkennung
Ein weitere guter Anhaltspunkt für eine Kaufentscheidung ist die Frage, ob der Switch-Hersteller
Expertise in generellen Sicherheitstechniken wie Intrusion Detection und Firewalling besitzt und
diese sinnvoll in die Switches integriert. Ein bloßer Firewall- oder Intrusion-Dectection-Einschub
in einem Switch fällt nicht zwangsläufig in diese Kategorie.
Mehr und mehr sind auch rudimentäre Angriffserkennungen auf dem Switch selbst möglich, zum
Beispiel die Analyse von Layer-3- und Layer-4-Flows, um Wurm-ausbreitungen frühzeitig zu erkennen
und Reaktion einzuleiten. Zu den Reaktionsoptionen zählen unter anderem Flow Setup Throttling (FST)
und Packet-per-Second-Rate-Limiting für bestimmten Verkehr wie ICMP oder TCP-Sessions mit Setzung
von TCP SYN oder ACK. Dieser Bereich befindet sich im Ausbau, und tiefer gehende Analyse- und
Intrusion-Prevention-Möglichkeiten tun sich auf. Der präferierte Anbieter sollte hier eine
Strategie und Lösungen aufweisen können.
Reaktive Quarantäne
Wie jede Sicherheitslösung sollte auch die Switch-basierte mehrstufig sein. Man kann nicht immer
davon ausgehen, dass Präventivmaßnahmen wie Authentisierung, Policy-Management und proaktive
Quarantäne alle Probleme beheben. Daher sollte der Switch-Hersteller Funktionen bereitstellen, in
der Fläche direkt an jedem Access-Port Angriffe, Viren- und Wurmausbreitungen direkt zu stoppen.
Diese Verfahren sollten universell einsetzbar zu sein, also unabhängig von der Art der Endsysteme
(PC, Laptop, IP-Phone, Drucker, Überwachungskamera etc.). Die Methoden greifen bestenfalls für
bekannte wie unbekannte oder neue Geräte. Auch hier sollten sich die Benutzer sinnvoll gruppieren
lassen (eigene Mitarbeiter, Gäste, Consultants, Partnerunternehmen etc.). Eine solche reaktive
Quarantänefunktion auf dem Switch bietet eine Ergänzung zu tradtionellen
Intrusion-Prevention-Systemen, die eher im Bereich des Internet-Access sowie bei dedizierten
Servern oder Servernetzen sinnvoll sind.
Ein solches System sollte offen für andere Hersteller sein – sowohl bezüglich Input (Event) als
auch Output (Aktion) sowie der Art der Funktion (Policy-Änderung, Benachrichtungsoptionen etc.). Um
den Angreifer anhand von MAC- oder IP-Adresse aufzuspüren, sollte der Access-Switch Auto-Learning
von MAC-zu-IP-Mapping unterstützen. Die Ergebnisse liegen dann in einer indexierten Tabelle
(Management Information Base, MIB). Diese MIB sollten dann auch Anti-Spoofing-Lösungen nutzen, zum
Beispiel zur Vermeidung von Man-in-the-Middle-Attacks mittels Ettercap.
Zusammenfassung
Vor einer Auswahl einer Secure-Access-Switching-Lösung sollte ein Unternehmen sich genau
Gedanken über die eigenen Anforderungen machen und diese auch dokumentieren. Insbesondere gilt es,
die Entwicklung der eigenen Netzinfrastruktur und der zu erwartenden Endsysteme am Netz im Blick zu
behalten. Vor diesem Hintergrund sollte ein Unternehmen nach einer offenen, flexiblen und
skalierbaren Switch-basierten Sicherheitslösung Ausschau halten.
Lesen Sie mehr zum Thema
