Lastverteilung in Firewall-Sandwiches

Sicherheit und Performance unter einen Hut bringen

01.03.2002
HALLBERGMOOS (sra) - Oft schließen sich Sicherheit und hohe Performance aus. Eine Lösung des Dilemmas verspricht hier Internet-Traffic- und Content-Management (ITCM). Beispielsweise sorgen die Server-Appliances der "BIG-IP"-Serie von Nokia und F5 Networks für eine ausgewogenere Lastverteilung zwischen mehreren Firewalls.

Security-Fragen war ein Forum des Distributors Icon Systems in Hallbergmoos gewidmet. Ein hohes Maß an Sicherheit in einem Netz bringt oft Einbußen an Performance und Verfügbarkeit mit sich. Abhilfe sollen ITCM-Lösungen schaffen, die für kürzere Antwortzeiten sorgen, Daten an das am wenigsten ausgelastete Gerät weiterleiten und alle Elemente überwachen, um sicherzustellen, dass die Inhalte verfügbar sind. Das spart Kosten, weil der Durchsatz bestehender Firewalls und Server gesteigert wird, statt dass der Anwender neue Geräte kaufen muss.

ITCM-Produktreihe von NokiaBesondere Aufmerksamkeit widmete Nokia daher der ITCM-Produktreihe "BIG-IP", die der Hersteller aufgrund einer Allianz mit dem Anbieter F5 Networks in sein Portfolio aufnehmen konnte. Das Angebot umfasst die Server-Appliances "BIG-IP Fireguard" und "BIG-IP HA+" sowie den Application-Switch "BIG-IP 5000". Fireguard ist für das Load-Balancing zwischen zwei oder mehr Firewalls konzipiert. Wird jeweils vor und hinter den Firewalls ein solches Gerät implementiert ("Firewall-Sandwich"), kann sowohl der ein- wie der ausgehende Verkehr auf die verschiedenen Firewalls verteilt werden.

Für mittlere bis große Unternehmen, deren Traffic-Management sich neben Firewalls auf Web-Server und andere Netzapplikationen erstreckt, kommt eher HA+ in Frage. Zusätzlich zu den Funktionen des kleinen Bruders bietet HA+ Load-Balancing auf Ebene 4 bis 7. Für noch größere Ansprüche, wie sie Finanzinstitute, Großunternehmen, E-Business-Firmen und Service-Provider stellen müssen, empfiehlt sich der Application-Switch BIG-IP 5000. Die Lösung zeichnet sich laut Nokia durch integrierte SSL-Unterstützung, hohe Port-Dichte (24 Fast-Ethernet-Ports, vier Gigabit-Ethernet-Anschlüsse) und Rechenleistung aus. Ein Firewall-Sandwich aus BIG-IP-5000-Switches eignet sich für den Einsatz zwischen verschiedenen Netzsegmenten - zwischen Firewall und Internet wäre er überdimensioniert.

Zu einer umfassenden Sicherheitslösung gehören auch die Themen Firewall/VPN, Intrusion Detection und Management. Die Bereiche Firewall/VPN und Management deckt Checkpoint mit seiner "Next-Generation"-(NG-) Reihe ab. Diese besitzt eine dreistufige Architektur für Sicherheits-Management. Die erste Stufe besteht aus den Clients, an denen die Security Policies editiert werden können. Ein Management-Server sorgt als zweite Stufe für eine zentralisierte Policy-Verwaltung und Verteilung. Drittens lassen sich an den einzelnen Standorten die Regeln lokal aktivieren. Änderungen müssen so nur einmal vorgenommen werden, und es existiert eine einzige Policy für alle Absicherungspunkte.

Grafische AnsichtenUm das Management zu vereinfachen, bietet Check Point grafische Übersichten über das Netz, die "Dashboards". Ob das tatsächlich klarer ist als ein tabellarischer Überblick, hängt jedoch von der Bildschirmgröße ab: Auf einem kleinen Bildschirm kommen die Grafiken nicht richtig zur Geltung.

Für Virtual Private Networks (VPNs) sieht NG ebenfalls neue Features vor. Zum Beispiel erlaubt es die Definition einer VPN-Community, in der sich zusätzliche Standorte mit einem Klick ergänzen lassen. Mit der Definition einer VPN-Community verbunden ist die automatische Erstellung einer Verschlüsselungsregel für die Sicherheits-Policy. Nicht zuletzt können User selbst explizit festlegen, ob sie mit dem VPN verbunden sein wollen oder nicht. Einige Anwender warnen allerdings davor, zum jetzigen Zeitpunkt schon auf NG umzustellen. Die Produkte seien noch zu wenig ausgereift und bereiten deshalb Ärger, so ihre Kritik.

Ein Intrusion Detection System bietet Internet Security Systems (ISS) mit der Lösung "Real Secure". Diese verwendet Netz- und Server-Sensoren, die an kritischen Stellen den Verkehr überwachen. Das System sieht bestimmte Reaktionen auf definierte Vorfälle vor. Von Realsecure Site Protector ist derzeit die Version 1.0 verfügbar. Version 1.5 soll voraussichtlich im März auf den Markt kommen. Das Benutzer-Interface ist rollenbasiert und soll einen schnellen Überblick über die festgestellten Attacken erlauben. Das Security Fusion Module 1.0 verknüpft zudem Angriffe mit Informationen über die Verletzlichkeit. Kritik an ISS unter den Teilnehmern des Security Forums betraf die Kompatibilität mit Datenbanken von Microsoft. In einem Fall warf der Anwender das Produkt aus diesem Grund sogar wieder hinaus. Besser schnitten im Urteil der Besucher die Security Appliances von Nokia ab, auf denen die genannten Applikationen laufen (siehe CeBIT-Rundgang "Appliances liefern Sicherheit schwuppdiwupp", Seite 38). Die Teilnehmer hoben vor allem die Zeitersparnis bei der Inbetriebnahme der Appliances gegenüber herkömmlichen Produkten hervor.

Abb: Load Balancing

Vor und hinter den Firewalls installiert, können die ITCM-Produkte von Nokia den Datenverkehr auf die Firewalls aufteilen. Quelle: Nokia