Perimeter-Sicherheit
Stets sicher verbunden
Die Otto Dunkel GmbH, ein Anbieter von Steckverbindungssystemen, setzte bei der Modernisierung seiner Perimeter-Security am Unternehmenssitz in Mühldorf am Inn auf die Networkers AG. Die neue Sicherheitsarchitektur vereint nun Next Generation und Web Application Firewalls mit Remote Access und Zwei-Faktor-Authentisierung.
Als Industrieunternehmen mit elf Standorten weltweit ist die Otto Dunkel GmbH (ODU) auf eine stabile und vor allem sichere Online-Kommunikation angewiesen. Eine Schlüsselrolle kommt dabei der Absicherung des Perimeters zu. Doch gerade in diesem Bereich hat sich die Bedrohungslage in den letzten Jahren verschärft: Weltweit versuchen Cyberkriminelle immer öfter, mit maßgeschneiderten Angriffen auf Anwendungsebene, im Web-Traffic verborgene Threats und großangelegten volumetrischen DDoS-Attacken, die Netzwerke der Unternehmen zu kompromittieren.
Bedrohungssituation beobachtet
"Unser Team beobachtet die Bedrohungslandschaft sehr genau - und warnte uns, dass die Zahl mehrstufiger Layer-7-Angriffe rasant steigt. Daher entschieden wir uns, unsere klassische, auf Port-basierten Firewalls aufsetzende Perimeter-Security gemeinsam mit der Networkers AG auf ein neues Fundament zu stellen", erklärt Michael Ottenthaler, Leiter Globale IT-Infrastruktur bei ODU. "Unser Ziel war es, die vorhandenen Firewalls weltweit durch zentral administrierte Next Generation Firewalls (NGFW) und Web Application Firewalls (WAF) abzulösen - und die Weichen für eine zeitgemäße und hochsichere Anbindung unserer externen Standorte und Mitarbeiter zu stellen."
Perimeter modernisiert
Im ersten Projektschritt nahm die Networkers AG die Modernisierung des Perimeters am ODU-Hauptsitz in Mühldorf am Inn in Angriff. Im Mittelpunkt des Lösungskonzepts steht ein hochverfügbares Cluster mit zwei redundant aufgesetzten Palo Alto NGFWs. Die High-End-Plattformen binden das Unternehmensnetzwerk über eine DMZ (Demilitarisierte Zone) und mehrere ISP (Internet Service Provider) Leitungen an das öffentliche Internet an. Der Leistungsumfang reicht dabei über den klassischer Firewalls hinaus: Neben leistungsfähiger Deep Packet Inspection unterstützen die NGFWs die Identifizierung von Applikationen, Benutzern und Inhalten sowie das Sandboxing unbekannter Dateien. Das Security-Team hat so durchgehend volle Transparenz und Kontrolle über die Vorgänge am Perimeter. "Im Projekt war es ausschlaggebend, dass bei Palo Alto das gesamte Regelwerk für das Firewalling, die Threat Prevention und die URL-Filter in der Hardware verankert ist. Das sorgt dafür, dass der Durchsatz unabhängig von den aktivierten Filtern stabil bleibt - und ermöglicht ein akkurates und adäquates Sizing der Lösung", erklärt Dr. Thomas Kretzberg, Vorstand der Networkers AG.
Angriffe über
Webanwendungen
Viele Angreifer nehmen heute gezielt die Web-Anwendungen der Unternehmen ins Visier - zum Beispiel, indem sie Metadaten in Web-Formulare injizieren, um die Kontrolle über die dahinterliegenden Datenbanken zu erhalten. Daher empfahlen die Networkers-Experten, an jedem Standort zusätzlich zum Firewall-Cluster auch eine dedizierte Web Application Firewall zu installieren, mit der sich die Zustandsdaten der Web-Applikationen überwachen und Web-basierte Attacken unterbinden lassen. Im Zusammenspiel von NGFW und WAF wurde ein lückenloser Perimeter-Schutz realisiert. Produktseitig entschied sich das Projektteam hierbei für die Plattform Citrix Netscaler VPX. Die multifunktionale Lösung ließ sich nahtlos in die bestehende Application-Delivery-Infrastruktur - unter anderem auf der Basis von Citrix XenApp - eingliedern und bündelt drei zentrale Funktionalitäten in einer flexiblen virtuellen Appliance:
- • Als ICSA-zertifizierte Web Application Firewall schützt Citrix NetScaler die Web-Dienste von ODU zuverlässig vor einer Vielzahl von Angriffen. Die Plattform sorgt dafür, dass ausschließlich korrekt formulierte Requests bearbeitet werden, und identifiziert und stoppt automatisch alle bekannten Schwachstellen, selbst in SSL-verschlüsseltem Traffic.
- • Als Application Delivery Controller NetScaler sorgt zudem für eine stabile und sichere Bereitstellung der Web-Anwendungen von ODU.
- • Als harter Reverse Proxy ermöglicht das System den Zugriff auf geschäftskritische Dienste wie Microsoft ActiveSync und Outlook Web Access. Dabei werden sämtliche Client-Zugriffe aus dem Internet über den Citrix Netscaler in der DMZ geroutet, der die Identität der Benutzer verifiziert und ausschließlich autorisierte Benutzer weiterleitet.
Sichere Filialvernetzung
Die Palo Alto-Plattformen unterstützen standardmäßig VPN-Gateway-Funktionalitäten. So kann ODU eine zuverlässige und sichere Filialvernetzung implementieren. Für zusätzliche Sicherheit wird dabei an allen Standorten eine redundante Internet-Anbindung realisiert sowie ein Backup-VPN als Ausfallsicherung gespannt. Die Firewalls überwachen durchgehend den Status der beiden Verbindungen und stellen bei einem Ausfall des primären Links einen unterbrechungsfreien Failover auf das Fallback-System sicher.
Sicherer Zugriff
außerhalb des Büros
Neben der Site-to-Site-Vernetzung über IPSec bieten die Firewalls zudem eine SSL-VPN-Technologie, mit der die mobilen Mitarbeiter von ODU abseits des Büros sicher auf E-Mails und Anwendungen zugreifen können. Der Client kann dabei vor jedem Zugriff einen Security-Check des externen Rechners durchführen. Zugriff wird nur gewährt, wenn sämtliche Sicherheitseinstellungen aktuell sind.
Zwei-Faktor-Authentisierung
Die Einwahl per SSL-VPN erfolgt durch eine Zwei-Faktor-Authentisierung - RSA gesichert. Sobald sich ein Mitarbeiter mit seinen Zugangsdaten anmeldet, generiert der Server für die Session ein Einmalpasswort und leitet dieses an die hinterlegte Telefonnummer des Benutzers weiter. Dieser Code muss im Browser eingegeben werden.
Administration über
zentrale Software
Die Palo Alto-Plattformen lassen sich zentralisiert über eine Management-Software administrieren. Auf diese Weise ist es ODU beispielsweise möglich, IP-Adressobjekte einmalig anzulegen und automatisiert auf die abgesetzten Firewalls zu verteilen, sowie ein Standardregelwerk zu definieren und automatisiert auszurollen. Um im Alltag effiziente Abläufe sicherzustellen, unterstützt die Management-Konsole ein rollenbasiertes Administratorenkonzept, bei dem jedem Mitarbeiter nur die für ihn relevanten Funktionen und Steueroptionen angezeigt werden. So haben aus Datenschutzgründen nur ausgewählte Mitarbeiter Einsicht in die Log-Files der Firewalls, um Nachfragen zu Verbindungsabbrüchen schneller beantworten zu können. In der Praxis trägt die Management-Plattform somit zur Ergonomie als auch zur Sicherheit der Infrastruktur bei. Das System kann die Gefahr von Flüchtigkeitsfehlern beim manuellen Einpflegen reduzieren uns mit zentralisiertem Logging und Reporting die Fehlersuche und das Troubleshooting im Netzwerk beschleunigen.
Weitere Unterstützung
Um eine reibungslose Migration auf die neuen Systeme sicherzustellen, begleiteten die Experten von Networkers das ODU-Team nach der Implementierung der Security-Architektur bei der schrittweisen Einführung der neuen NGFW-Funktionalitäten sowie bei der Optimierung der Konfiguration und der Regelwerke zu unterstützen. Zudem zeichnen die Networkers-Mitarbeiter für die Versionierung der Werkzeuge verantwortlich, überprüfen die Konfiguration periodisch auf Optimierungspotenziale und unterstützen das Team bedarfsgerecht bei der Behebung von Störungen.
Weitere Standorte ausrüsten
In Zukunft sollen vier weitere ODU-Standorte - in China, Rumänien, den Vereinigten Staaten und Mexiko - mit neuen Perimeter-Security-Architekturen ausgerüstet werden. Auch bei diesen Projekten wird die Networkers AG die Modernisierung federführend begleiten und auf das bewährte Lösungskonzept und die Erfahrungen aus dem Pilotprojekt aufsetzen. "Die neue Lösung wurde unseren Erwartungen vom ersten Tag an in jeder Beziehung gerecht und hat sich am Hauptsitz als ergonomisch und wirtschaftlich erwiesen. Der Rollout an unseren übrigen Standorten wird uns darüber hinaus ganz neue Möglichkeiten bei der Automatisierung und Verschlankung unserer Prozesse erschließen. Da sich sämtliche Komponenten zentral administrieren lassen, können wir unsere lokalen Teams nachhaltig entlasten und wertvolle Freiräume für andere Aufgaben schaffen. Wir freuen uns sehr darauf, das Projekt global voranzutreiben", sagt Michael Ottenthaler.
Next Generation Firewalls
Noch vor einigen Jahren wurden im Internet relativ stringent für verschiedene Dienste verschiedene Ports verwendet. Firewalls konnten sich somit darauf beschränken, Datenströme anhand der IP-Header-Informationen - Quelladresse, Zieladresse, Dienste-Port - zu reglementieren. Inzwischen werden aber immer mehr Dienste über die Web-Protokolle HTTP und HTTPS transportiert und bleiben für klassische Firewalls damit unsichtbar. Sie analysieren den Inhalt der Datenpakete, identifizieren davon ausgehend die Applikationen und blockieren alle unerwünschten oder gefährlichen Anwendungen oder Komponenten. Ergänzend dazu kommt oft noch ein zweites Regelwerk zum Einsatz, das für jeden registrierten Benutzer im Unternehmen individuelle Rechte definiert. In der Summe lassen sich die Zugriffe somit äußerst granular steuern, ohne dass die Komplexität und die laufenden Kosten aus dem Ruder laufen.
Die Otto Dunkel GmbH, ein Anbieter von Steckverbindungssystemen, setzte bei der Modernisierung seiner Perimeter-Security am Unternehmenssitz in Mühldorf am Inn auf die Networkers AG. Die neue Sicherheitsarchitektur vereint nun Next Generation und Web Application Firewalls mit Remote Access und Zwei-Faktor-Authentisierung.
Als Industrieunternehmen mit elf Standorten weltweit ist die Otto Dunkel GmbH (ODU) auf eine stabile und vor allem sichere Online-Kommunikation angewiesen. Eine Schlüsselrolle kommt dabei der Absicherung des Perimeters zu. Doch gerade in diesem Bereich hat sich die Bedrohungslage in den letzten Jahren verschärft: Weltweit versuchen Cyberkriminelle immer öfter, mit maßgeschneiderten Angriffen auf Anwendungsebene, im Web-Traffic verborgene Threats und großangelegten volumetrischen DDoS-Attacken, die Netzwerke der Unternehmen zu kompromittieren.
Bedrohungssituation beobachtet
"Unser Team beobachtet die Bedrohungslandschaft sehr genau - und warnte uns, dass die Zahl mehrstufiger Layer-7-Angriffe rasant steigt. Daher entschieden wir uns, unsere klassische, auf Port-basierten Firewalls aufsetzende Perimeter-Security gemeinsam mit der Networkers AG auf ein neues Fundament zu stellen", erklärt Michael Ottenthaler, Leiter Globale IT-Infrastruktur bei ODU. "Unser Ziel war es, die vorhandenen Firewalls weltweit durch zentral administrierte Next Generation Firewalls (NGFW) und Web Application Firewalls (WAF) abzulösen - und die Weichen für eine zeitgemäße und hochsichere Anbindung unserer externen Standorte und Mitarbeiter zu stellen."
Networkers AG
Dieser Artikel erschien in IT&Production Mai 2019 - 10.05.19.Für weitere Artikel besuchen Sie www.it-production.com