Netzwerkdaten für Security richtig nutzen
Autor/Redakteur: Steffen Eid, Senior Solutions Architect bei Infoblox/gg
Immer wieder hören wir bei Infoblox die Frage „Wie zahlt DDI – sprich DNS, DHCP- und IP-Adress-Management – als Bündel aus Netzwerkbasisdiensten überhaupt auf Security-Themen ein?“ Während sich viele Security-Verantwortliche häufig schnell erschließen können, warum das Domain-Name-System (DNS) für die Sicherheit des Netzwerks ein wichtiger Bestandteil ist, braucht die Verknüpfung von IP-Adress-Management (IPAM) und Security meist etwas mehr Erklärung. Dabei kann man nicht deutlich genug sagen: IPAM ist ein entscheidender Faktor für sichere Netzwerke und eine zentrale Komponente des Zero-Trust-Konzepts. Durch die Implementierung von IPAM können Unternehmen ihre Threat Intelligence verbessern und ihre Netzwerke besser vor Cyber-Angriffen schützen.
Fundgrube IPAM: leicht zugängliche interne Informationen für mehr Sicherheit
Im Bereich von DNS-Security ist die Nutzung von sorgfältig aufbereiteten Reputations-Intelligence-Feeds und sogenannten Newly-Observed-Domain-Feeds für Response-Policy-Zones (RPZs) notwendig und sehr wichtig. Doch viel zu häufig ignorieren Security- und Netzwerkexperten die mindestens genauso relevanten und zudem leicht zugänglichen internen Informationen. Ein gut gepflegtes IPAM enthält alle Daten, die Sec-Ops-Teams benötigen, um zu bestimmen, wann, was und wo etwas im eigenen Netzwerk passiert. Es ist damit eine wahre Fundgrube an sicherheitsrelevanten Informationen und eine unerlässliche Grundlage für die Erkennung und rasche Eindämmung von Gefahren.
IPAM hilft jedoch nicht nur bei der Klärung der Frage, wer sich wann an welchem System und an welchem Port authentifiziert hat. Durch automatisierte Abläufe, die es ermöglichen, dass bestimmte Ereignisse entsprechende Folgeprozesse in Gang setzen, wird die Sicherheit auf ein noch höheres Niveau gehoben. Wird beispielsweise ein neues Gerät zum ersten Mal entdeckt, kann das System ein Tool zur Schwachstellenbewertung anstoßen, CMDB-Informationen senden oder sogar ein NAC-System starten, um einen Port auf Grund eines sicherheitsrelevanten Ereignisses zu isolieren.
IPAM für Security nutzbar machen – ein Blick in die Praxis
Unternehmen, die beispielsweise Microsoft DNS/DCHP verwenden, können mit einem sorgfältig verwalteten und eingerichteten IPAM-System neben der Active-Directory-User-ID auch alle DNS- und DHCP-Informationen von den Microsoft-Servern abrufen. Dieser Prozess wird mit einem Service-Account sowie einer Login-Authentifizierung für Zeitpunkt und Endgerät durchgeführt. Zusätzlich werden bei einer ordentlichen Einrichtung des Systems auch sämtliche Layer-2- und Layer-3-Informationen aus der Infrastruktur ermittelt – wie beispielsweise zu Routern, Switches, Firewalls oder Wireless-Controllern. Auch sollten alle MAC- und Port-Informationen den IP-Adressen zugeordnet werden. Abschließend werden die Informationen aus virtuellen Systemen, wie beispielsweise Public- und Private-Cloud sowie SDN/SDWAN-Informationen, beispielsweise über eine API erfasst. Durch diese Art der Einrichtung und Erkennung erhalten die Sicherheitsexperten eine zentrale Anlaufstelle für topaktuelle Telemetriedaten über das interne Netzwerk.
