Viren-Schutz im Unternehmen
Von Magnus Kalkuhl, Senior Virus-Analyst bei Kaspersky Lab in Ingolstadt
Um Attacken bereits am Gateway abzufangen, lohnt es sich, Firewalls sowie Intrusion-Detection- und Intrusion-Prevention-Systeme einzusetzen. Ob Appliance oder ein dedizierter Server, oftmals finden sich hier Linux- oder Unix-Derivate als erster Schutzwall für das interne Netzwerk im Gateway-Bereich.
Neben der Definition benutzbarer Dienste und der ersten Verteidigung gegen „Cracker“ kann eine gut konfigurierte Firewall auch zur Abwehr von sich selbst verbreitenden Malicious Codes über Netzwerkverbindungen – umgangssprachlich als Würmer bekannt – eingesetzt werden. So kann z.B. der Netzwerk-Wurm „Lovesan.a“ abgewehrt werden, indem die TCP-Ports 135 und 4444 dicht gemacht werden.
Eine Firewall kann aber auch Schadensbegrenzung leisten: Wenn sich im internen Netzwerk bereits infizierte Clients befinden, kann durch geschickte Port-Blockierung die Verbindungsaufnahme und somit das Ausnutzen des befallenen Systems verhindert werden.
Bei der Firewall-Konfiguration sollten deshalb verschiedene Szenarien berücksichtigt und die zulässigen Dienste/Ports gut definiert werden, um auch das Gesamtrisiko zu minimieren.
Findige Programmierer haben natürlich trotzdem Möglichkeiten gefunden, solche einfachen Sicherheitsfunktionen zu umgehen. Durch getunnelte Verbindungen über erlaubte Dienste (etwa DNS, HTTP) lassen sich Pakete hinaus schmuggeln. Als Zusatz zur klassischen Firewall bieten sich deshalb intelligente Zusatz-Module wie Intrusion-Detection- oder Intrusion-Prevention-Systeme an, ebenso wie Application Level Firewalls.
Anstatt die Mitarbeiter direkt ins Internet durchzuschleusen, gibt es noch die Möglichkeit, einen Proxy dazwischenzuschalten – das spart nicht nur Traffic, sondern kann auch der Sicherheit dienen, denn viele Schädlinge verbreiten sich über bösartige Web-Seiten.