Strategien zur Steigerung der Netzwerksicherheit

DNS-, DHCP- und IP-Adress-Management (DDI) im Fokus

| Autor / Redakteur: Carolina Kleinken / Andreas Donner

Mit DDI, also dem DNS-, DHCP- und IP-Adress-Management lassen sich wichtige Netzwerkbereiche absichern.
Mit DDI, also dem DNS-, DHCP- und IP-Adress-Management lassen sich wichtige Netzwerkbereiche absichern. (Bild: Andrea_Danti - Fotolia.com)

Die Ansprüche an die IT-Infrastrukturen in Unternehmen wachsen durch Virtualisierung, BYOD und IPv6 rasant. Mit dem Anspruch und der Komplexität steigen auch die Herausforderungen in Sachen Verfügbarkeit und Sicherheit. Ein DDI-Konzept bestehend aus DNS-, DHCP- und IP-Adress-Management gehört deshalb zur Basis eines stabilen Netzes.

Neben den klassischen Sicherheitsvorkehrungen wie Firewall, Virenschutz und Datensicherung werden von den Unternehmen weitere, nicht minder wichtige Bereiche, oft nicht ausreichend beachtet. Dazu gehören vor allem der Schutz des Domain Name Service (DNS) und des Dynamic Host Configuration Protocol (DHCP) sowie das IP-Adress-Management (IPAM), zusammengefasst unter der Abkürzung DDI. Die diesbezüglichen Gefahren und wie man sich dagegen schützt, zeigen die folgenden Methoden und Strategien.

Die DNS-Firewall

Der Domain Name Service (DNS) ist verantwortlich für das Routing zu den Seiten im Internet. Dabei werden die einfach zu merkenden Domainnamen wie www.efficientip.com in Maschinenadressen (87.98.255.16) übersetzt und umgekehrt. Die DNS-Firewall ist damit ein zentrales Bollwerk gegen das Eindringen von Malware und zum Schutz gegen Datenverluste von innen durch den Besuch von gefährlichen Internetseiten.

Bei Angriffen von außen stellen Malware-Programme eine Verbindung durch den DNS her, um schädliche Programme herunterzuladen oder Informationen zu entwenden. Dies beinhaltet typischerweise auch sensible Informationen oder vertrauliche Daten einschließlich Passwörter. Wenn eine DNS-Firewall verwendet wird, können Unternehmen diesen Betrugsversuch identifizieren und unterbinden, bevor das infizierte Gerät Informationen übermitteln kann. Umgekehrt kann eine DNS-Firewall den Zugang zu gefährlichen und verbotenen Internetseiten blockieren.

DNS Best Practices

Eine Sicherheitsstrategie ist ähnlich der Struktur eines Netzwerkes niemals statisch. Grundlage ist in beiden Fällen eine stabile und zuverlässige Infrastruktur. DNS Best Practices liefern den IT-Verantwortlichen gewisse Konzepte, die eine hohe Sicherheit im Netzwerk liefern und eine kontinuierliche Anpassung ermöglichen.

Um eine sichere DNS-Struktur zu gewährleisten, bietet es sich an, mit zwei DNS-Servern zu arbeiten. Dabei wird der Primäre-Server abgeschottet und ist nach außen hin nicht sichtbar. Hierfür kann sowohl eine Stealth-Architektur eingesetzt werden, um die Identität des Primär-Servers zu verschleiern, oder ein Load-Balancer und Network Handler verwendet werden. Die zweite Lösung hat den Vorteil, dass bei Last-Spitzen der Netzwerk-Verkehr besser verteilt werden kann.

Eine weitere elementare und sehr wichtige Strategie ist das kontinuierliche Einspielen von Updates auf dem DNS-Servern und allen anderen Systemen im Netzwerk. Dies sollte eigentlich selbstverständlich sein, wird aber oftmals nicht konsequent eingehalten. Nur so kann aber die Sicherheit gewährleistet werden.

Zuletzt sei noch das Thema Domain Name System Security Extensions (DNSSEC) erwähnt, die Nutzung eines verschlüsselten DNS-Protokolls. DNSSEC verhindert die Umleitung des Datenverkehrs über unberechtigte Server von Hackern, indem ein Schlüssel auf jedem Server hinterlegt wird, der sicherstellt, dass die Informationen aus einer gesicherten Quelle stammen und nicht verfälscht sind. Damit der Kommunikationsfluss gewahrt bleibt, können Unternehmen die Signaturmechanismen automatisieren.

Schlüsselfaktor konsistente IP-Topologie

Je stärker Unternehmen sich globalisieren, desto wichtiger wird die Nutzung einer konsistenten IP-Topologie. Eine Möglichkeit dazu ist, die Verwaltung von DDI, virtuellen LANs (VLANs) und Netzwerkschnittstellen zusammenzuführen. Die Zusammenführung des IP-Adress- und VLAN-Managements ermöglicht die optimale Strukturierung und Segmentierung des Netzwerkdatenflusses, um die Sicherheit der Infrastruktur zu erhöhen. Zudem wird das Risiko der Fehlkonfiguration ausgeschlossen und die Netzwerksicherheit gestärkt. Die Einbeziehung der Netzwerkschnittstelle ermöglicht die präzise Definition von Switches, Ports und VLANs, mit denen ein Server im Netzwerk verbunden ist. Diese Herangehensweise eines ganzheitlichen Netzwerkdesigns liefert eine noch nie dagewesene effiziente Kontrolle und eine genaue Sichtbarkeit der Verteilung der Infrastruktur.

Richtlinien- und Abstimmungsmanagement

Ein Richtlinien- und Abstimmungsmanagement baut auf dem Konzept einer konsistenten Topologie für noch größere Effizienz in Sachen Sicherheit auf. Durch die Befolgung konsequenter Richtlinien kann die IT ein hohes Maß an Granularität erreichen. Wenn jemand absichtlich oder unabsichtlich versucht, ein nicht autorisiertes Gerät zu einem bestimmten Subnetz oder nicht autorisierten Port eines Switches hinzuzufügen, wird dieser Versuch augenblicklich erkannt. Heute ist es erstaunlich einfach für Angestellte, WLAN-Geräte in ihren Büros hinzuzufügen, sodass es zunehmend wichtig wird, solche Geräte zu identifizieren.

Captive Web Portal

IT-Abteilungen nutzen in verstärktem Maße das Konzept von Captive Portals, um das Problem zu lösen, Anwendern Zugang zu gewähren und gleichzeitig die Netzwerk-Sicherheit aufrechtzuerhalten. Dies ist insbesondere in Situationen hilfreich, in denen bestätigte Anwender sich mit verschiedenen Geräten anmelden. Dabei wird der Anwender automatisch über ein Portal (durch eine persönliche Identifikation) erkannt, auch wenn er sich von einem neuen unbekannten Geräte anmeldet. IP-seitig wird dem Gerät eine Adresse zugeordnet und dieses authentifiziert.

Die Lösungen von EfficientIP

Durch Anwendung dieser Taktiken können IT-Abteilungen ihre Sicherheitsstrategie sofort erheblich verbessern. EfficientIP hat eine Reihe von Anwendungen zur Netzwerksicherheit entwickelt, die die Bemühungen von IT-Abteilungen zur Vereinfachung und Festigung der IT-Sicherheit unterstützen. Mit der Appliance-Lösung SOLIDserver bietet EfficientIP die nachfolgenden Schlüsselmerkmale:

  • DNS-Firewall: Diese umfassende DNS-Sicherheitslösung verhindert selbsttätig und vorbeugend neue Angriffe. Sie schützt die SOLIDserver-Appliance und andere Linux-basierte Geräte innerhalb der DNS-Infrastruktur, indem Malware-Aktivitäten entdeckt und blockiert sowie infizierte Geräte erkannt werden.
  • Stealth-Architektur für die DNS- und Verwaltungsautomatisierung: Durch Verbergen des Master-DNS-Servers vor allen anderen Servern ist es Hackern unmöglich, den DNS- Server zu entdecken und zu infiltrieren. EfficientIP bietet hierfür SmartArchitecture mit der auf intelligente Weise die Entwicklung, die Einsetzung und die Verwaltung der Stealth-Architektur für das DNS vereinfacht und automatisiert werden kann.
  • Anwender-Mobilitätskontrolle: Unternehmen, die sich Gedanken um die BYOD-Sicherheit machen, bietet SOLIDserver das Captive Web Portal & Device Connection Tracking. Dies erlaubt der IT, unbekannte Geräte temporär so lange zu isolieren, bis sie bestätigen können, dass ihre Anwender sich authentifiziert haben und autorisiert sind, neue Geräte online zu schalten.
  • Signaturmechanismen: Die EfficientIP-Appliance ermöglicht der IT, ein Template zu erstellen, durch das neue Netzwerke und VLANs eingerichtet werden können.
  • Richtlinienmanagement: SOLIDserver erlaubt der IT, Abstimmungen vorzunehmen, die nur so granular wie nötig sind, und stellt damit sicher, dass sich Geräte und Anwender an festgelegte Richtlinien halten. Für den Aufbau eines sicheren IT-Netzwerks ist es wichtig, ein Werkzeug an der Hand zu haben, das in allen Phasen der Netzwerkeinrichtung Unterstützung bietet. SOLIDserver stellt für die IT-Abteilungen eine Appliance dar, die eine großflächige Automatisierung für die Entwicklung, Konfiguration, Einrichtung und Verwaltung des Netzwerks bietet.

Weitere Informationen zum Thema Netzwerksicherheit finden Sie im Whitepaper „Fünf Schlüsselmethoden zur Erhöhung der Netzwerksicherheit“.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 42400248 / LAN- und VLAN-Administration)