Wildfire, Teamwork und eine Sicherheitsstrategie Ganzheitliche Abwehr für das Rechenzentrum

Autor / Redakteur: Thorsten Henning* / Ulrike Ostler

Komplexität reduzieren – Sicherheit erhöhen: Wie lassen sich Cyber-Attacken im Rechenzentrum vorab erkennen und rechtzeitig verhindern? Ein Leitfaden von Palo Alto Networks, unter anderem anhand der hauseigenen Firewall.

Firmen zum Thema

Egal welche Strategie die Gegener spielen wollen, die Abwehr im Rechenzentrem sollte geschlossen sein.
Egal welche Strategie die Gegener spielen wollen, die Abwehr im Rechenzentrem sollte geschlossen sein.
(Bild: Fisher Photostudio/ Fotolia.com)

Im Idealfall wissen und kontrollieren wir, was in unserem Rechenzentrum geschieht: Unsere Sicherheitsmaßnahmen sind effektiv und wir sind PCI- oder mit anderen Standards konform. Unsere Web-Server werden in einer DMZ betrieben und das Sicherheitsbewusstsein der Benutzer im Unternehmen ist so ausgeprägt, dass sie nie auf verdächtige Links klicken. Für Sicherheit bei der Internet-Nutzung sorgt eine Firewall. Soweit die Theorie.

Risikominimierung ist die Devise

Doch das Risiko eines Cyber-Angriffs lässt sich noch erheblich weiter minimieren – und muss weiter minimiert werden. Klar ist, Daten sind das, was die bösen Jungs wollen. Und um an die Beute zu kommen, bleiben ihnen selbst im Idealfall noch einige Schlupflöcher und Taktiken. So wird etwa durch eine seitliche Bewegung im Netzwerk und Rechenzentrum versucht, einen Exfiltrationspunkt zu finden, um Daten abzuzapfen.

Hier ist zu klären, ob interne Sichtbarkeit besteht, wo die Daten hingehen. Auch die richtige Segmentierung des Netzwerks nach Geschäftseinheiten, nach deren Daten und Anwendungen, kann helfen, kostspielige Fehler zu vermeiden. Nicht zu vergessen ist der Aspekt, dass, auch wenn das eigene Unternehmen auf ein geringes IT-Risiko getrimmt wurde, die Geschäftspartner ein hohes Sicherheitsrisiko darstellen können. Der Leitfaden soll aufzeigen, wie eine solche Strategie für das Rechenzentrum aussehen kann.

Wie lässt sich die Wirksamkeit der Sicherheitsmaßnahmen erhöhen?

Es ist unmöglich, das ganze Rechenzentrum auf einmal nach optimalen Sicherheitskriterien umzukrempeln.

  • Ein erster Schritt wäre es, eine geeignete Firewall im Leitungsmodus zu installieren, um Sichtbarkeit zu bekommen.
  • Als nächstes müssten „Proofs of concept“ folgen, die eine Segmentierung des Rechenzentrums mit einbeziehen.
  • Ebenso müssen „neue“ Bereiche wie virtualisierte Systeme und die Cloud berücksichtigt werden.
  • Für die jeweiligen Einsatzbereiche gilt es mit Fokus auf finanzielle Risiken und Auswirkungen, privilegierte und besonders wertvolle Systeme und die Exposition durch Partner, Risikomodelle zu erstellen.
  • Bei der Bereitstellung der IT-Dienste sind einfache physikalische Überlegungen, wie sich Routing, VLAN und Load Balancing auswirken, sinnvoll. Die Verteilungsschicht und auch die Zugriffsschicht werden überwacht und zu gefiltert.
  • Außerdem geht es darum, die Sicherheitsüberlegungen möglichst früh in das Netzwerkdesign einfließen zu lassen. Je früher der Datenverkehr durch eine Sicherheitsvorrichtung im Netz fließt, desto leichter ist es, später die Sicherheit aufrechtzuerhalten.

Umsetzung von Sicherheitsrichtlinien in fünf Schritten

Ein wichtiger Aspekt bei der Umsetzung einer ganzheitlichen Sicherheitsstrategie ist die Einführung und Umsetzung von Sicherheitsrichtlinien. Dies ist nach dem folgenden Modell in fünf Schritten möglich:

In fünf Schritten zu mehr Sicherheit
In fünf Schritten zu mehr Sicherheit
(Bild: Coloures-pic/Fotolia.com)

Der erste Schritt betrifft die Firewall-Policy-Administration. Hier ist eine zentrale Verwaltung, wie sie über „Panorama“, die Administrationsoberfläche von Palo Alto Networks, möglich ist, sinnvoll. Neben der Erarbeitung von Policies ist die Reihenfolge der Regelverarbeitung festzulegen, etwa Shared- versus lokale Gruppen. Jetzt wird ebenso festgelegt, welcher Administrator Zugang zu welchen Systemen, Fähigkeiten und Richtlinien haben sollte.

Im zweiten Schritt folgt die Überwachung und Protokollierung des Verkehrs über die Firewall. Der Zweck dabei ist zu lernen und zu verstehen, was legitim ist oder nicht. Dies ist mittels einer Strategie zur Datenverkehrsklassifizierung möglich. Eine sofortige Blockierung am ersten Tag birgt allerdings ein hohes Risiko, dass harmloser Netzwerkverkehr lahmgelegt wird.

Die erfassten App-IDs sollten in drei Gruppen unterteilt werden: Statische/gemeinsame (Common) Port-Anwendungen, Dynamische Port-Anwendungen und unbekannte App-IDs. Den entscheidenden Aha-Moment erleben Anwender bei der Bewertung riskanter Protokolle bei Tunnels, Datenübertragung und Exfiltration sowie generischer Internetnutzung.

Im dritten Schritt geht es darum, zusätzliche Daten zu bekommen. Bei statischen/gemeinsamen Port-Anwendungen (zum Beispiel SSH – Secure Shell) müssen alle anderen Ports, die abseits der Norm im Einsatz sind, berücksichtigt werden. Für dynamische Port-Anwendungen sind „Quell“-Serverinformationen zu notwendig. Bei unbekannten App-IDs werden vollständige Informationen zu Anwendung, Geschäftszweck, Port und System benötigt. Daneben sollten Port- und Schwachstellen-Scanner identifiziert werden, um sicherzustellen, dass sie legitim sind. Zu guter Letzt müssen Drittanbieter-Netze/IPs, die nicht zum allgemeinen Internetverkehr gehören, identifiziert werden.

Der vierte Schritt sieht die Konstruktion von ersten Filterrichtlinien vor. Dabei haben Administratoren die Freiheit, bei Bedarf dynamische Listen zu verwenden, die es aber gesichert werden müssen. Nun werden Gruppen für den Verkehr, der immer abgeblockt wird, aufgebaut - also App-IDs wie Tor, BitTorrent und Dropbox oder IP-Bereiche, auch mittels Geo-Lokalisierung (Besteht etwa die Notwendigkeit, dass das Rechenzentrum mit dem Internet in China kommuniziert?).

Gruppen richtet man ebenso für nicht standardmäßige „gutartige“ Anwendungen ein und IPs für dynamische Port-Anwendungen. Jetzt können Administratoren die Policies nach Gruppen für App-ID nach Funktion/Zweck, statischem und dynamischem Port und App-ID bezüglich IPS und/oder Bedrohung festlegen.

Im fünften und letzten Schritt geht es um etwaige Sperrungen. Es empfiehlt sich, die Richtlinien umzusetzen, aber keine Sperrung nach dem ersten Durchlauf zu veranlassen. Erst einmal empfiehlt es sich zu überwachen, was überhaupt alles gefiltert wird.

Wenn eine Sperrung erfolgen soll, sollte eine weniger riskante unidirektionale oder eine geschäftlich akzeptable Sperrung in Erwägung gezogen werden. Dann kann die entsprechende Sperrung aktiviert und damit unerwünschter Datenverkehr verhindert werden. Im letzten Schritt können die vorherigen Schritte für den Aufbau von Sicherheitsrichtlinien rund um verschiedene Segmente wiederholt werden, um die Richtlinien dynamisch zu aktualisieren.

Was passiert mit unbekanntem Traffic?

In einigen Bereichen des Netzwerks könnte es unmöglich sein, sämtlichen „unbekannten“ Verkehr zu beseitigen. Was geschieht damit? Handelt es sich um eine nicht-interne Anwendung, wird die App-ID-Anforderung unterdrückt. Bei einer internen App schreibt man eine individuelle App-ID und nutzt ein Application Override, um sich unbekannter Protokolle zu entledigen. Dabei ist es wichtig, darauf zu achten, dass Ports und IP-Adressen in Override so dynamisch wie möglich sind.

Bedrohungserkennung und –prävention

Generell ist das Einschalten der Bedrohungserkennung ein Kinderspiel. Etwaige Bedenken sind nicht nötig, da durch Alarmierung „False Positives“ reduziert werden können. Hinzu kommen das File Blocking, um die Bewegung von Schadcode oder nicht benötigten Dateitypen zu verhindern und das Aktivieren des IPS (Intrusion Prevention System). Bei sensiblen oder sehr anfälligen Dienstleistungen müssen spezifische Schwachstellen lokalisiert werden. Es ist es ratsam, auch bei Fehlalarmen für den internen Traffic vorsichtig zu sein.

Die Rolle der User-ID

Eine seitliche Bewegung erfolgt oft mit gestohlenen, eskalierten oder sogar selbst erstellten Anmeldeinformationen. Windows-Logs sind gut, aber im Rechenzentrum können Linux- und andere Syslog-Anmeldeinformationen sehr wertvoll sein.

User-IDs sind wichtig, besonders wenn Terminal-Dienste für Anwendungen betrieben werden oder „VMware ESX“ eingesetzt wird, um Benutzer zu identifizieren. Dabei hat es Priorität, die Skalierbarkeit zu sondieren und eine potenzielle Fehlkonfiguration im Auge zu behalten. Die User-ID stellt eine ganze Reihe von für die Integration in die jeweilige Umgebung APIs zur Verfügung.

Bedrohungsabwehr mit Wildfire

Hochentwickelte Cyber-Angriffe nutzen heute gut getarnte und besonders hartnäckige Methoden, um traditionelle Sicherheitsmaßnahmen zu umgehen. Palo Alto Networks setzt diesem Trend mit „Wildfire“ eine Erweiterung für die Firewall-Plattform entgegen. Wildfire identifiziert unbekannte Malware, Zero-Day-Attacken und Advanced Persistent Threats (APTs), indem diese direkt in einer skalierbaren, Cloud-basierten, virtuellen Sandbox-Umgebung ausgeführt werden.

Die Wildfire-Cloud kann entweder als öffentliche Cloud (Standard) oder als private Cloud (lokale Implementierung auf einer WF-500 Appliance) bereitgestellt werden. Mit der Software wird die virtuelle Malware-Analyse-Umgebung über alle Firewalls hinweg gemeinsam verwendet, anstatt an jedem Ein- und Ausgangspunkt und Netzwerkpräsenzpunkt separate Hardware zu nutzen.

Dieser Ansatz garantiert die maximale gemeinsame Nutzung gewonnener Informationen, bei gleichzeitig minimalen Hardwareanforderungen. Die Security-Erweiterung versorgt die Benutzer mit Protokollen, Analysen und Einsichten in alle registrierten Ereignisse auf der Administrationsoberfläche Panorama oder auf dem Wildfire-Portal. Sicherheitsteams sind so in der Lage, schnell die Daten zu lokalisieren, die sie für frühzeitige Untersuchungen und Reaktionen auf Vorfälle benötigen.

Blockade und Kommunikation

Das Erkennen einer Bedrohung ist der erste Schritt, doch entscheidend ist der Schutz der Benutzer und des Netzwerks. Wird eine unbekannte Bedrohung erkannt, generiert die Palo-Alto-Networks-Anwendung automatisch eine Schutzwand, um die Bedrohung zu blockieren, und teilt dies allen Teilnehmern weltweit in maximal 30 Minuten mit. Dank dieser schnellen Updates kann die rapide Ausbreitung von Malware gestoppt und außerdem die Verbreitung aller zukünftigen Varianten – ohne weitere Aktionen oder Analysen – erkannt und blockiert werden.

In Verbindung mit dem Schutz vor schädlichen Dateien und Exploits bietet Wildfire eine tiefgehende Analyse schädlicher abgehender Kommunikation, störender Command-and-Control-Aktivitäten mit Anti-C2-Signaturen und DNS-basierter Callback-Signaturen. Diese Informationen fließen auch in die Datenbank des Herstellers ein, wo neu entdeckte bösartige URLs automatisch blockiert werden. Diese Korrelation von Daten und In-Line-Schutzmaßnahmen sind der Schlüssel zur Identifizierung und Abwehr von Einbruchsversuchen und zukünftigen Angriffen auf ein Netzwerk.

Mit der richtigen Strategie, einer effektiven Software – und Teamarbeit – zum Ziel

Der Weg zu einer ganzheitlichen Abwehrstrategie, die dem gefährlichen Bedrohungsbiotop von heute gewachsen ist, erfordert einen Einblick in die Anwendungen im Netzwerk. Die Firewall-Anwendungen von Palo Alto Networks arbeiten innerhalb des Netzwerks im Leitungsmodus ohne Unterbrechung des täglichen Produktivbetriebs.

Mit den gewonnen Erkenntnissen lassen sich die Cyber-Risiken für das Unternehmen mittels einer einfachen, vielfältig nutzbaren Darstellung bewerten. Sobald der Umfang der – möglicherweise im Netzwerk bereits vorhandenen – unbekannten Malware erfasst ist, werden Gegenmaßnahmen gestartet, um bösartige oder unnötige Netzwerkaktivitäten gezielt zu blockieren.

Die Erstellung und Umsetzung von Richtlinien und die Einrichtung einer Lösung für die Bedrohungserkennung und -prävention sind wesentliche Bestandteile einer ganzheitlichen Abwehrstrategie. Eine nicht weniger wichtige Komponente ist die Teamarbeit. Die Sicherheitsverantwortlichen müssen mit den Netzwerkspezialisten im Unternehmen gemeinsam an der Umsetzung arbeiten. Dabei sind gegebenenfalls auch Virtualisierungsspezialisten für virtuelle Setups mit einzubeziehen.

Der Autor ist Thorsten Henning, Senior Systems Engineering Manager, Central & Eastern Europe, CISSP, bei Palo Alto Networks.
Der Autor ist Thorsten Henning, Senior Systems Engineering Manager, Central & Eastern Europe, CISSP, bei Palo Alto Networks.
(Bild: Palo Alto Networks)

Unterstützung ist nicht zuletzt auch von der Management-Etage gefragt. Übersichtliche Reports können helfen, das Bewusstsein für die Notwendigkeit einer verbesserten Netzwerksicherheit und -segmentierung zu erhöhen. Um das Verständnis für die geplanten Maßnahmen zu erhöhen, sollte das Team auch den dahinter stehenden Strategiewechsel von reinem Monitoring zum präventiven Blockieren bösartiger Aktivitäten energisch kommunizieren.

* Thorsten Henning ist Senior Systems Engineering Manager, Central & Eastern Europe, CISSP, bei Palo Alto Networks

(ID:43115745)