Für gewöhnlich sichern Unternehmen ihre Netzwerke, indem sie sie in kleinere Segmente unterteilen zwischen denen sich Perimeter befinden. Der Hauptgrund dafür ist, dass konventionelle Firewalls nur am Perimeter zwischen den Netzwerksegmenten arbeiten.

 

Deshalb haben wir unser Konzept erweiterter Netzwerkobjekte entwickelt, die Policy-Regeln auf den Datenverkehr anwenden, der von Geräten im Netzwerk gesendet und empfangen wird.
Mit statischen und dynamischen Netzwerkobjekten erstellt Threat Defender ein Overlay-Netzwerk. Mit den Netzwerkobjekten wird die Netzwerksegmentierung dynamisch und zur Laufzeit an das Netzwerkverhalten angepasst. Dafür sind keine Änderungen der bestehenden Netzwerktopologie notwendig. Die Segmente können sich dabei überlappen.

Netzwerkobjekte können in mehreren Regeln gleichzeitig verwendet werden. Das bedeutet:

  • Sie können einen komplexen Regelsatz auf eine Gruppe von Geräten anwenden, ohne die Gruppe für jede Regel neu definieren zu müssen.
  • Wenn ein Gerät Bestandteil mehrerer Netzwerkobjekte ist, können mehrere Policies darauf angewendet werden.


Das folgende einfache Beispiel zeigt wie die Netzwerksegmentierung mit statischen und dynamischen Netzwerkobjekten durchgeführt werden kann:

  1. Statische Netzwerkobjekte (SNO) segmentieren das Netzwerk nach dem Zweck der Geräte. Das dynamische Netzwerkobjekt (DNO) „RC“ isoliert Hosts, auf die aus der Ferne zugegriffen wird. So können spezielle Regeln auf sie angewendet werden, zum Beispiel um ihnen den Zugriff auf interne Ressourcen zu verweigern.
  2. Mittels Regeln überwacht der cognitix Threat Defender das Kommunikationsverhalten im Netzwerk, um unerwünschtes oder verdächtiges Verhalten aufzuspüren.

    https://s3.amazonaws.com/cdn.freshdesk.com/data/helpdesk/attachments/production/33031531211/original/YDz1dNDt-2XDyb9B_JSgWsB0pFNPU7O0Hg.png?1570438032Abb. 1: cognitix Threat Defender erkennt unerwünschtes Verhalten bei einem der Clients.

  3. Mit einer Regel wird der jeweilige Client dem DNO hinzugefügt.

https://s3.amazonaws.com/cdn.freshdesk.com/data/helpdesk/attachments/production/33031531274/original/Qip43896uMq7HStC5igIcHK-o7JWigQgeA.png?1570438134
    Abb. 2: Eine Regel fügt den betroffenen Client zu dem dynamischen Netzwerkobjekt hinzu.

  1. Eine weitere Regel blockiert die Kommunikation von Geräten im dynamischen Netzwerkobjekt zu den internen Servern.    

https://s3.amazonaws.com/cdn.freshdesk.com/data/helpdesk/attachments/production/33031531337/original/PE9nXWooczY8J9Xcc4ytUwTeyQmMC_HfYw.png?1570438206
    Abb. 3: Traffic von Geräten im dynamischen Netzwerkobjekt zu den internen Servern wird blockiert.


Statische Netzwerkobjekte

Statische Netzwerkobjekte dienen der Gruppierung von Hosts und Geräten. Sie werden global verwendet, sind also für alle Regeln verfügbar. Geräte können über mehrere Attribute einem Netzwerkobjekt zugeordnet werden:

  • Ein- oder Ausschließen individueller IP-Adressen und ganzer IP-Netze in CIDR-Format, sowohl für IPv6 als auch IPv4.
  • Ein- oder Ausschließen individueller MAC-Adressen und ganzer MAC-Adressbereiche.
  • VLAN-Tags

Sie können statische Netzwerkobjekte über eines oder eine Kombination dieser Attribute definieren. 

Zum Beispiel kann es ein Netzwerkobjekt für alle Geräte in VLAN 21 geben.
 Aber Sie können auch sehr spezifische Bedingungen festlegen, z.B. nur Geräte im IP-Netz 10.10.10.0/27 in VLAN 5 werden dem Netzwerkobjekt hinzugefügt.

 

Dynamische Netzwerkobjekte

Dynamische Netzwerkobjekte überwachen den Zustand von Hosts und erstellen Gruppen für Hosts mit gemeinsamem Verhalten. Die Hosts einer Gruppe haben eine bestimmte Eigenschaft gemeinsam, die nicht statisch ist, sondern von dynamischen Ereignissen im laufenden System abhängt. Basierend auf diesem Verhalten, wird ein spezieller Regelsatz auf sie angewendet. So kann sich die Policy Engine an sich ändernde Gegebenheiten anpassen. Sie steuert dynamisch und in Echtzeit welche Regeln auf unterschiedliche Host-Gruppen angewendet werden.

Dynamische Netzwerkobjekte sind Listen von IPv6- bzw. IPv4-Adressen oder MAC-Adressen. IP- oder MAC-Adressen können einem DNO dynamisch hinzugefügt werden und werden entweder explizit durch eine Regel oder einen automatischen Timeout wieder entfernt.

cognitix Threat Defender fügt Policy-Regeln eine neue Aktion hinzu, mit der die Quell- oder Ziel-IP eines Flows einem dynamischen Netzwerkobjekt hinzugefügt wird. Diese dynamischen Netzwerkobjekte bilden dann Quelle und Ziel von Flows in anderen Regeln ab, so dass Policy-Regeln dynamisch auf den gesamten Traffic eines Geräts angewendet werden - abhängig von dessen Verhalten. So kann das Netzwerk automatisiert geschützt werden, ohne dass lange, ungeordnete Netzwerkobjektlisten manuell gepflegt werden müssen.

In Verbindung mit der Korrelation-Engine ermöglichen dynamische Netzwerkobjekte eine Reaktion auf sich änderndes oder unerwünschtes Verhalten, indem Regeln auf das Gerät und nicht nur einen einzelnen Flow angewendet werden.

Dynamische Netzwerkobjekte können global (für alle Regeln verfügbar) sein oder innerhalb eines Korrelationsszenarios definiert und verwendet werden.

Dynamische Netzwerkobjekte ermöglichen zum Beispiel Folgendes:

  • Es lässt sich einfach eine Policy erstellen, die alle Hosts im Netzwerk, die eine bestimmte Anzahl von Zwischenfällen auslösen, zu einem dynamischen Netzwerkobjekt hinzufügt. Für dieses DNO können dann verschiedene Zugriffsbeschränkungen mittels Regeln implementiert werden.
  • Mit der Timeout-Funktion von dynamischen Netzwerkobjekten können Hosts für eine bestimmte Zeit gesperrt werden.

  

Weitere Informationen

Weiterführende Informationen finden Sie in der Benutzerdokumentation für cognitix Threat Defender oder kontaktieren Sie uns.