Infrastruktur-Sicherheit

Copyright © Shutterstock / jijomathaidesigners

Was ist die Infrastruktur-Sicherheit?

Die Infrastruktur-Sicherheit betrifft Maßnahmen zur Sicherung von IT-Infrastruktur (Systeme, Netzwerke und Daten) vor unbefugter Nutzung und Missbrauch.

Laut dem Verizon Business Data Breach Investigations Report 2012 könnten 97 Prozent aller Datensicherheitsverletzungen durch einfache Kontrollmaßnahmen der IT-Administration verhindert werden. Die Infrastruktur-Sicherheit wird häufig untergraben durch Einsatz veralteter Software-Versionen, nachlässige Konfigurationen und schwache Passwörter.

Grundlegende Sicherheitsmaßnahmen für Infrastruktur-Sicherheit

• neue Sicherheits-Patches zeitnah installieren
• Konfigurationen von Sicherheitskomponenten auf hohe Wirksamkeit hin einstellen
• Rechte für Nutzer genau abwägen
• 2-Faktor-Authentifizierung für Remote-Zugriffsdienste verwenden
• das voreingestellte Administratorkennwort ändern
• Surfen im Web mit Admin-Konten unterbinden

Komponenten für Infrastruktur-Sicherheit

Eine Firewall ist eine Sicherheitskomponente zwischen dem Internet und einem internen Rechnernetzwerk. Bei einer guten Sicherheitsstrategie mit mehreren Schutzschichten ist die Firewall üblicherweise die erste Verteidigungslinie. Firewalls lassen sich in drei Hauptkategorien unterteilen: Paketfilterungs-, Proxy-Service- und Stateful-Packet-Inspection-Firewalls.

Paketfilter-Firewalls sind die grundlegendste Firewall-Typen. Anhand von Kriterien (zum Beispiel IP-Adressen, Ports und Protokolle) wird darüber entschieden, welche Datenpakete die Firewall passieren dürfen. Paketfilter-Firewalls sind normalerweise in Router integriert und können über eine Software konfiguriert werden.

Eine Proxy-Service-Firewall fungiert als Vermittler zwischen Internet und internem Rechnernetzwerk. Mit einem Proxy-Service stellen interne Rechner keine direkte Verbindung zu externen Ressourcen im Internet her. Die Verbindung läuft über einen Proxy-Server, so dass die IP-Adresse des Netzwerkcomputers nach außen unsichtbar bleibt. Alle Antworten der externen Ressourcen werden vom Proxy-Service verarbeitet, der sie an den internen Rechner weiterleitet, der die Daten angefordert hat.

Stateful Packet Inspection

Stateful Packet Inspection (zustandsbasierte Paketüberprüfung) ist eine dynamische Paketfiltertechnik. Dabei wird über die Weiterleitung eines Paket abhängig vom Zustand der Datenverbindungen, zu der das Paket gehört, entschieden. Durch diesen Kontext können Angriffe leichter erkannt werden.

Router bilden das Rückgrat des Internets. Als Netzwerkknotenpunkte überprüfen sie jedes empfangene Datenpaket und ermitteln anhand von Routingtabellen den optimalen Weg, über den die Daten ihr endgültiges Ziel erreichen können. Router bieten Sicherheitsfilter in Form von Access Control Lists (ACLs), die Datenpakete basierend auf Regeln, Stateful-Inspection und Paketfilterung löschen können.

Das größte Sicherheitsrisiko für Router ist der Fernzugriff auf interne Funktionen und Konfigurationsoptionen. Es ist daher wichtig, dass strikte Kennwortkonventionen implementiert werden und dass verschlüsselte Kommunikation verwendet wird, um sich bei einem Remote-Router anzumelden.

Virtuelles privates Netzwerk (VPN)

Ein virtuelles privates Netzwerk (VPN) ist ein Weg, um über Verschlüsselung einen sicheren Remote-Zugriff zwischen einem Client und einem Server über ein öffentliches Netzwerk (meist das Internet) bereitzustellen.

Intrusion Detection Systems (IDSs)

Intrusion Detection Systems (IDSs) ergänzen eine Firewall, um Netzwerkdaten und Host-Aktivitäten in Echtzeit zu analysieren und unautorisierte Aktivitäten zu erkennen und darauf zu reagieren.

Zur Überwachung von Netzwerken und zur Diagnose von Problemen der Infrastruktur-Sicherheit gibt es Tools wie Ping, Traceroute, nslookup, netstat und ifconfig / ipconfig.

FAQ