zurück zur Übersicht

Netzwerkpakete: Teilchen auf der Reise

Dank Netzwerkonitor mit SIEM ergibt sich aus der Überwachung der Netzwerkpakete ein Gesamtbild.Netzwerkphysik

Sie sind blitzschnell und reisen mit annähernd Lichtgeschwindigkeit durch fast alle Computersysteme der Welt. Die Rede ist nicht von einem neu entdeckten Teilchen der Physik, sondern von klassischen Netzwerkpaketen. Eines muss man der Physik jedoch lassen: von der heisenbergschen Unschärfe einmal abgesehen wissen die Physiker meistens sehr genau, welche Teilchen sich gerade auf den Weg machen und wie sie aussehen.

Doch wie sieht das im Netzwerk aus? Können Sie zu jedem Zeitpunkt exakt bestimmen, welche Datenpakete sich in Ihrem Unternehmensnetzwerk bewegen? Wissen Sie genau, was in Ihrem Switch passiert? Wenn Sie nur eine Frage mit „Nein“ beantworten dann geht es Ihnen wie vielen. Die meisten Unternehmen wissen gar nicht, welche Kommunikationsverbindungen aufgebaut werden. Vielmehr gibt es nur Mutmaßungen oder Annäherungswerte.

Kein Platz für Heisenberg im Netzwerk

Doch wie kann man den Netzwerkverkehr sichtbar machen und die Sicherheit durch automatische Regeln erhöhen? Es kann zum Beispiel ein speziell entwickelter Netzwerk Monitor eingesetzt werden. So ein System wertet alle Netzwerkpakete, die beispielsweise einen Switch passieren, aus und bewertet den Inhalt der Pakete mit Hilfe von vordefinierten Regeln oder Filtern. Dabei ist es möglich, die Auswertungsergebnisse oder die Pakete selber an ein SIEM (Security Information and Event Management) weiterzuleiten, um so noch detailliertere Regeln und Alarme zu erstellen. Diese Analyse kann z.B. Angriffe erkennen oder auf die Aktivitäten von Malware oder Botnet-Infektionen hindeuten. Ein SIEM kann nicht nur alarmieren, sondern stellt meistens auch gleich Methoden für die Implementierung automatisierter Abwehrmaßnahmen zur Verfügung.

Vorschriften verlangen Transparenz

Werden die Daten gespeichert ist es zudem möglich, Kommunikationsdaten der Vergangenheit zu analysieren und Auswertungen zu erstellen. Diese Funktionen werden beispielsweise benötigt, um nach erkannten Incidents den Infektionsweg von Malware zurückverfolgen zu können. Dadurch ergeben sich nicht nur Hinweise auf bestehende Sicherheitslücken, die dringend geschlossen werden müssen. Verbrechen im Cyberspace sind immer noch Verbrechen. Sie sollten angezeigt und mit gerichtsverwertbaren Beweisen belegt werden. In manchen Fällen müssen sie das sogar: gesetzliche Vorgaben wie das GDPR (eine Übersicht finden Sie hier) verlangen das, insbesondere im Unternehmensumfeld.

Fazit: Wer den Datenfluss beherrschen will, sollte seine Netzwerkpakete überwachen

Ein Netzwerkmonitor in Kombination mit einem SIEM ist eine der Grundlagen einer modernen Sicherheitsarchitektur. Ergänzt sollte das Konzept durch eine moderne Endpoint-Protection werden (mehr dazu hier). Übrigens: Die Überwachung von Datenpaketen im Netzwerk ist wichtig – eine paketbasierte Firewall hingegen ist definitiv ein Relikt der Vergangenheit und sollte baldigst gegen eine Next-Generation Firewall ersetzt werden.

 


Bild: ©iT-CUBE SYSTEMS AG 2017

Schreibe einen Kommentar