Wer neue Wege geht, lernt neue Dinge kennen!

SIWA Bürotechnik IT GmbH +++NEWS und TIPP des Monats (Februar 2012)+++
-------------------------------------------------- -------------------------------------------------- -------------------------

++++++++++++++++++++++++++++++++++++++++++++++++++ +++++

Schnelltest für sichere Seiten

Zscaler stellt unter dem Namen Zulu ein Webportal vor, mit dem Webseiten auf ein potenzielles Sicherheitsrisiko durch schädliche Inhalte geprüft werden können. Zulu unterzieht Webseiten einen umfangreichen Sicherheitscheck durch Analyse von Inhalt, URL und Host.

Der Webservice Zulu überprüft Webseiten und ihre Hoster auf Sicherheitsrisiken
Mit Zulu [1] haben die Zscaler ThreatLabZs einen Service entwickelt, der ein einfach zu bedienendes Webportal mit der Sicherheitsintelligenz aus dem globalen Cloud-Service, Partner-Ressourcen und öffentlich verfügbarem Wissen vereinen soll. Die Kombination ermöglicht laut Anbieter eine umfangreiche Risikobewertung einer Webseite. Der Ansatz erlaube das Identifizieren von schädlichen Inhalten, auch wenn die abgefragte Seite nicht mehr verfügbar ist. So lasse sich die Historie der Infektion oder Säuberung einer Webseite nachvollziehen.

Die durch Zulu durchgeführte Analyse beruht auf einer Reihe von proprietären Testmethoden und kontinuierlich aktualisierten Daten, die Inhalt, URL und Host einbeziehen. Die Auswertung der einzelnen Komponenten einer Webseite soll so sicherstellen, dass alle Charakteristiken, die ein Sicherheitsrisiko bedeuten können, erfasst werden. Nicht nur fremde Webseiten lassen sich mit dem Dienst scannen. Auch können Admins ihre eigene Domain unter die Lupe nehmen und sich anzeigen lassen, welche möglichen Sicherheitsrisiken bestehen.
Weitere Infos:

[1] http://zulu.zscaler.com

++++++++++++++++++++++++++++++++++++++++++++++++++ +++++

Sicherheits-Vorteile einer konsolidierten Netzwerkinfrastruktur

Ein eigenes Netzwerk für fast jede IT-Aufgabe – viele Unternehmen sind von diesem Horrorszenario nicht weit entfernt. In einem derart heterogenen Netz muss auch der Kampf gegen Sicherheitsbedrohungen stets an mehreren Fronten ausgetragen werden. Die Konsolidierung der verschiedenen Netze bringt in Sachen Security gleich mehrere Vorteile. Im Beitrag auf unserer Webseite erklären wir, wie neben der reinen Malware-Abwehr gerade Aspekte wie Datenschutzrichtlinien, Archivierung und Datenintegrität von einem konsolidierten Netz profitieren.

Allein durch den Faktor Unified Communication wachsen bisher getrennte Netzwerke zusammen - diese Konsolidierung hat auf mehreren Ebenen Vorteile
Trotz guter Argumente stehen viele IT-Manager dem Umbau zu einem konsolidierten System eher skeptisch gegenüber. Denn Probleme wie das Bandbreitenmanagement, geänderte Einfallstore für Hacker sowie Fragen der Zuverlässigkeit werden keineswegs von allen Lösungen am Markt adressiert. Hinzu kommen die Bedenken von einzelnen Systemverantwortlichen, die sich vor dem Hoheitsverlust über "ihr" Netz fürchten. Noch mehr Verwirrung stiften die zum Teil recht weit ausgelegten Begriffsdefinitionen. So verkauft manch ein Anbieter sein Server-Konsolidierungsprodukt als Universallösung für eine Vielzahl von Netzwerkproblemen.

Tatsächlich aber steckt das wahre Spar- und Effizienzpotenzial eher in einer vollständigen Zusammenfassung sämtlicher Netze. Ein "echtes" Konsolidierungsprojekt fasst die komplette Kommunikationsinfrastruktur zusammen und betrifft lokale wie über VPN eingebundene Standorte gleichermaßen. Damit geht die Konsolidierung weit über die Möglichkeiten der Virtualisierung hinaus. Netzwerkschutzmechanismen, eine robuste Architektur, ein sicheres VLAN-QoS-Management und nicht zuletzt VLAN-Stacking-Fähigkeiten sind deshalb elementare Bestandteile eines guten Konsolidierungssystems.

Netzwerkabsicherung durch Tri-Authentication
Der Schutz im konsolidierten Netzwerk umfasst erheblich mehr als eine strenge und konsequente Zugriffsregelung von außen über eine Firewall. Vielmehr gilt es, das Netz auch nach innen sicher abzuschotten. Die Diskussion um die sogenannten Innentäter zeigt schließlich, dass jeder LAN-Port mindestens genauso kritisch ist wie eine Verbindung nach außen.

State of the Art-Zugangslösungen für Geräte sind bei einer derartigen, nach innen gerichteten Absicherung derzeit Tri-Authentication-Lösungen. Dabei kann der Zugang zum Netzwerk über IEEE-802.1x-Abfragen, Web-basiert oder klassisch via MAC-Adresse erfolgen. Sobald für ein entsprechendes Device der Authentisierungs- und Identifikationsprozess abgewickelt wurde, wird der verwendete LAN-Port automatisch einem festgelegten VLAN zugewiesen. Dadurch lassen sich Gäste, deren Geräte als extern identifiziert werden, einem VLAN zuweisen, das den Zugriff ins Internet, nicht aber auf firmeninterne Daten freigibt.

In einer konsolidierten Umgebung bietet eine solche Tri-Authentisierung weit mehr als nur einen Schutzmechanismus gegen unberechtigte Zugriffe. Durch die automatisierte Zuordnung von Geräten zum einmal definierten und zuständigen VLAN ist die Verkabelung ein problemloser Vorgang. Eine Überwachungskamera beispielsweise landet stets automatisch im Sicherheits-VLAN, egal welcher Port benutzt wird. Als positiver Nebeneffekt entstehen weniger Verkabelungsfehler.

Ebenso wichtig ist der Schutz vor sogenannten Loops. Ein einziges, versehentlich oder absichtlich in zwei Ports gestecktes Kabel kann einen "Packet Accelerator" in Gang setzen, der Pakete unendlich oft durch das Netz kreisen lässt und es dadurch überlastet. Nur ein geeigneter Access Switch identifiziert Loops innerhalb von Millisekunden und kann solche Kurzschlüsse verhindern.

Auch DHCP-Router, wie sie in Heimgeräten stecken, können in konsolidierten Umgebungen leicht zu großen Problemen führen. Einmal ins Unternehmensnetz gebracht, weisen sie jedem Gerät, das einen DHCP-Request aussendet, eine IP-Adresse zu. Schnell gerät auf diese Weise der IP-Adressplan durcheinander. Gute Switches lassen sich von solchen Störungen nicht aus dem Takt bringen.


Daten, Sprache, Video, Sicherheit: Ein hochverfügbares Netzwerk für alle Dienste

Robuste Active-Active-Architektur
Dass ein konsolidiertes Netzwerk auch auf dem Gebiet der Robustheit höchsten Ansprüchen genügen muss, versteht sich von selbst. In der Praxis führen jedoch gerade Hardwarefehler oft zu den aufwändigsten Fehlersuchen. Während viele Anbieter versuchen, entsprechende Mechanismen auf Basis von Interaktionen zwischen Layer 2 und 3 umzusetzen, gehen intelligente Lösungen wesentlich geschickter vor: Moderne Geräte nutzen allein Layer 2 in Verbindung mit der Link-Aggregation-Technologie und dem Virtual Chassis Stacking (VCStack). Die Link-Aggregation-Technik aggregiert zwei physische zu einer einzigen virtuellen Verbindung. Die resultierende Bandbreite wiederum ist so hoch wie die Summe der beiden einzelnen Verbindungen.

Viele Hersteller werben für ihre auf Redundanz basierenden Lösungen mit vermeintlich verlockenden Argumenten. Tatsächlich aber hat dieser Ansatz eine Reihe von Nachteilen. So werden die Ersatzkomponenten kontinuierlich im Hot-Standby-Modus betrieben und verbrauchen dabei wertvolle Energie, ohne zusätzliche Netzwerkressourcen bereit zu stellen. Außerdem fallen Fehlfunktionen oder fehlerhafte Konfigurationen im Ersatzsystem leider oft erst dann auf, wenn es zu einem Ausfall des Primärsystems kommt.

Der Vorteil einer modernen Active-Active-Architektur dagegen liegt gerade darin, dass alle physischen Verbindungen und Netzwerkkomponenten stets aktiv sind und damit die Gesamtperformance steigern. Da kein Teil des Systems im Standby-Modus operiert, treten Fehler jeder Art sofort zu Tage und lassen sich ohne Downtime-Risiko beheben.

Kostenersparnis durch Konsolidierung
Grundsätzlich arbeiten die meisten Netzwerke lediglich bei rund fünf Prozent der insgesamt möglichen Last und verursachen dadurch unnötige laufende Kosten für Strom, Kühlung, die eigentliche Infrastruktur, die Verkabelung und das Administrationspersonal. Gerade deshalb ist eine Konsolidierung mit intelligenter, aktueller Technologie ein sinnvoller Schritt. Ein Active-Active-Netzwerk verbraucht nur etwas mehr als die Hälfte des Stroms, der bei einer klassischen Architektur mit redundanten Komponenten anfällt. Hinzu kommen wesentlich geringere Kosten für die Kühlung der unterschiedlichen Elemente.

Wesentliche Einsparungen sind auch durch erheblich gesenkte Provisionierungskosten möglich. Nach Expertenmeinung lassen sich alle Arten von Services in einem konsolidierten Netz mit rund 70 Prozent weniger Aufwand bereitstellen. Ähnlich unkompliziert gestaltet sich die Zusammenführung von bislang getrennten Netzen, etwa bei Restrukturierungen oder Firmenübernahmen. Besonders im Zusammenhang mit solchen Projekten sind allerdings Anbieter, die sowohl Microsofts Network Access Protection als auch Symantecs Network Access Control unterstützen, deutlich im Vorteil.

Gute Argumente für die Konsolidierung
Eine wesentlich vereinfachte und trotzdem performantere Infrastruktur bringt zahlreiche Vorteile: Niedrigere Kosten für Switches, Router, Adapter und Verkabelung und ein somit niedrigerer Energieverbrauch durch zahlreiche eingesparte Komponenten sind gewichtige Pluspunkte. Ebenso deutlich zeigen sich Vorteile in Sachen vereinfachte Wartung, zentrale Absicherung des Systems, Verfügbarkeit und Performance.

++++++++++++++++++++++++++++++++++++++++++++++++++ +++++

Desktop-Virtualisierung – IT-Sparbüchse oder Fass ohne Boden?

Eine der teuersten und aufwändigsten Komponenten in der IT-Infrastruktur sind die PCs. Deren Verlagerung in den Server-Raum durch Virtualisierung verspricht große Vorteile: Weniger Hardware, weniger Administration, mehr Sicherheit. Was ist wirklich dran?

Die Anwendungslogik wird auf einen Server verschoben, die Hardware am Arbeitsplatz nimmt nur noch die Benutzereingaben entgegen und zeigt auf dem Bildschirm die Oberfläche von Betriebssystem und Applikation an. Daraus ergeben sich wichtige Veränderungen für den IT-Betrieb: Kein Service-Mitarbeiter muss mehr zum Arbeitsplatz sprinten und die neuesten Patches und Software-Versionen auf den PC aufspielen. Die Betreuung verzweifelter PC-Benutzer mit einer verkorksten Softwarekonfiguration verliert ihren Schrecken für den Administrator, denn das Aufspielen eigener Programme und das Herumfummeln an der Konfiguration ist nicht mehr nur einfach verboten (woran sich eh kaum jemand hält) – es ist ganz schlicht nicht mehr möglich.

Nicht einmal der Crash einer Festplatte mit den Projektdaten für das nächste Quartal bringt den IT-Leiter mehr ins Schwitzen. Denn in einer solcherart virtualisierten Welt sind alle Daten auf dem Server abgelegt – und zwar ausschließlich, denn virtualisierte Desktops haben einen Massenspeicher allenfalls noch zum Booten des rudimentären Betriebssystems, in den meisten Fällen aber nicht einmal das. Damit ist auch Schluss mit dem verbreiteten Übel des Datenklaus – die Zugriffsrechte auf die Daten, die Speicher und ebenso auf die verräterischen USB-Schnittstellen, vergibt der Administrator. Und der kann die Zugriffsrechte nach den Interessen des Betriebs festlegen.

Der eigene PC ist überall...

Noch ein Vorteil: Im Zeitalter der digitalen Nomaden, wo die Mitarbeiter öfter mal im Home Office produktiv werden und auch im Betrieb keinen fest zugewiesenen Arbeitsplatz-PC mehr haben, ist es von Vorteil, wenn man sich von jedem beliebigen Client aus in den Rechner einloggen kann und dort dank Virtualisierung sofort seine gewohnte persönliche Arbeitsumgebung vorfindet. Dabei spielt die Art des Clients keine oder höchstens eine untergeordnete Rolle. Sogar Smartphones und Tablets sollen sich, zumindest vom Ansatz her, für die Unternehmens-Applikationen nutzen lassen. Vor dem Hintergrund des Siegeszuges von iPhone und iPad dürfte das ein echtes Argument sein – auch wenn sich auf einem Smartphone die Arbeitsumgebung eines PC-Users natürlich nur behelfsmäßig darstellen lässt.

Last but not least steigert die Desktop-Virtualisierung die Verfügbarkeit der gesamten IT-Landschaft, denn Server sind von ihrem betrieblichen Konzept und der Auslegung ihrer Hardware nun einmal um Längen zuverlässiger als das Heer von Arbeitsplatz-PCs. Auch die Hardware am Arbeitsplatz wird tendenziell billiger, denn was dort noch auf dem Schfreibtisch steht, benötigt keine Festplatte, keinen aufgemotzten Arbeitsspeicher und keinen Hochleistungsprozessor der jüngsten Generation mehr - seinen Platz nimmt jetzt ein preisgünstiges Endgerät ein, dessen Rechenleistung auf jeden Fall deutlich niedriger ist als die eines PC und im Extremfall nicht viel höher liegt als die der früher üblichen "dummen" Terminals.


Die Argumente sind bestechend...

Das alles vereinfacht die IT-Abläufe im Betrieb und hilft Kosten senken. Schon allein die zentrale Bereitstellung von Betriebssystem und Anwendungssoftware und der Verzicht auf den "Turnschuh-Support" bringen echte Einsparungen. Schwieriger in Heller und Pfennig auszudrücken, aber in jedem Fall positiv zu bewerten, ist der Gewinn an Sicherheit und Verfügbarkeit, der durch die zentrale Zugriffskontrolle und die Verlagerung der Daten ins Serverzentrum erreicht wird.


++++++++++++++++++++++++++++++++++++++++++++++++++ +++++