Bundesamt für Sicherheit in der Informationstechnik

M 4.226 Integration von Virenscannern in ein Sicherheitsgateway

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT

Verantwortlich für Umsetzung: Administrator

Schadsoftware wie Viren, Würmer und Trojanische Pferde (im Folgenden vereinfachend unter dem Begriff "Viren" zusammengefasst) können zum einen zentral auf dem Sicherheitsgateway und zum anderen verteilt auf den Arbeitsplatz-PCs und Servern (d. h. den Endsystemen von Kommunikationsbeziehungen über das Sicherheitsgateway hinweg) gefiltert werden.

Eine zentrale Filterung auf dem Sicherheitsgateway kann einen dezentralen Virenschutz nicht vollständig ersetzen, da unter Umständen Schadsoftware auch auf anderen Wegen (beispielsweise über Wechseldatenträger) auf die Systeme gelangen kann.

Eine zentrale Filterung ist derzeit in der Regel nur beim Einsatz eines Application-Level-Gateways möglich.

Filterung direkt durch das ALG

Sofern das eingesetzte ALG eine entsprechende Option anbietet ist es meist sinnvoll, die Prüfung auf Schadsoftware direkt auf dem ALG durchzuführen.

Filterung durch das Sicherheitsgateway beim Einsatz eines ALG

ALGs bieten oft eine Schnittstelle, mit denen sich Virenschutzprogramme von Drittanbietern anbinden lassen. Das Virenschutzprogramm nimmt die Daten entgegen und übergibt dem ALG eine Meldung über das Ergebnis der Virenfilterung. Das ALG verarbeitet die Daten dann in Abhängigkeit vom Ergebnis der Überprüfung.

Somit bietet sich für die Integration des Virenscanners der in der nachfolgenden Abbildung dargestellte Aufbau an, in dem der Virenscanner "neben" dem ALG in der DMZ des Sicherheitsgateway platziert wird. Bei diesem Aufbau sollten einige Punkte beachtet werden, da der Rechner mit dem Virenschutzprogramm durch diese Aufgabe besonders stark gefährdet ist:

  • Der Rechner mit dem Virenschutzprogramm muss besonders sicher konfiguriert werden, beispielsweise durch eine besonders restriktive Konfiguration des Betriebssystems ("Härten"). Die Sicherheitsanforderungen sind (mindestens) genau so hoch wie an die sonstigen Komponenten des Sicherheitsgateway.
  • Der Rechner muss durch entsprechende Paketfilterregeln möglichst gut vom Rest des Netzes getrennt werden. Insbesondere sollten von diesem Rechner keine ausgehenden Verbindungen, weder ins interne noch ins externe Netz, von den Paketfiltern erlaubt werden. Im Idealfall kann der Rechner direkt mit dem ALG kommunizieren, über den er den zu prüfenden Datenstrom erhält und an den er die gefilterten Daten zurück liefert. Darüber hinaus sind nur noch Verbindungen aus einem gesonderten Administrationsnetz zu dem Rechner erlaubt.
  • Die regelmäßige Integritätsprüfung des Systems sollte in kurzen Abständen erfolgen.
  • Eventuell sollte der Rechner mit einem host-basierten Intrusion-Detection-System ausgerüstet werden, so dass eine eventuelle Kompromittierung möglichst sofort erkannt werden kann.
  • Die Administration des Rechners muss über eine entsprechend abgesicherte Verbindung erfolgen.

Filterung auf den Endgeräten (beim Einsatz eines Paketfilters)

Da Paketfilter keine Schnittstelle zu Virenfiltern besitzen, ist beim Einsatz eines einstufigen Sicherheitsgateways, das nur aus einem Paketfilter besteht normalerweise keine zentrale Virenfilterung durch das Sicherheitsgateway möglich. In diesem Fall kann der Schutz vor Schadprogrammen nur durch den Einsatz von Virenfiltern auf den Arbeitsplatzrechnern oder den jeweiligen Servern des vertrauenswürdigen Netzes (beispielsweise E-Mail-Server, Newsserver) realisiert werden.

Zum Thema Virenschutz ist außerdem Baustein B 1.6 Schutz vor Schadprogrammen zu berücksichtigen.

Prüffragen:

  • Erfolgt zusätzlich zum dezentralen Virenschutz eine zentrale Filterung auf dem Sicherheitsgateway?

  • Betrifft die Anbindung eines Virenschutzprogramms an das Application-Level-Gateway: Ist der externe Rechner zur Virenprüfung im Vergleich zu den Komponenten des Sicherheitsgateway abgesichert?

Stand: 13. EL Stand 2013

Hinweis zur Verwendung von Cookies

Um unsere Webseite für Sie optimal zu gestalten und fortlaufend verbessern zu können, verwenden wir Cookies. Durch die weitere Nutzung der Webseite stimmen Sie der Verwendung von Cookies zu. Weitere Informationen hierzu erhalten Sie in unserer Datenschutzerklärung.

OK