SDN soll dazu führen, dass Netze ohne Zutun des Anwenders in der Lage sind, zahlreiche Bedrohungen zu erkennen und abzuwehren. Dazu müssen möglichst viele Komponenten im Netz mit der erforderlichen Intelligenz ausgestattet werden. Mit den jetzt vorgestellten Erweiterungen macht Cisco einen Schritt in diese Richtung.
Betroffen von den Änderungen ist unter anderem das Internetworking Operating System (IOS), das Herzstück von Ciscos Routern und Switches. Dessen neuestes Release wurde um "Threat Defense Services" ergänzt, wodurch sich der Zusatz bei der Release-Kennzeichnung 12.3T erklärt. Das IOS verfügt nun beispielsweise über einen reservierten Management-Kanal, der Administratoren den geschützten Zugriff auf damit ausgerüstete Komponenten erlaubt, selbst wenn diese gerade Ziel einer Denial-of-Service-(DoS-)Attacke sind.
Mit Hilfe der ebenfalls neuen Sicherheitsfunktion "IP Source Tracker" können IT-Spezialisten genau erkennen, über welche Stelle DoS-Attacken ins Netz gelangen. Sie sind dann in der Lage, diese Verbindung gezielt zu blocken, ohne das ganze Netz lahm legen und damit den Geschäftsbetrieb stören zu müssen.
Außerdem ist es laut Cisco jetzt möglich, von der Kommandozeile aus den Zugriff auf bestimmte Sicherheitsfunktionen des Systems zu beschränken. Dabei kommt ein Konzept zum Einsatz, das in Abhängigkeit von der dem jeweiligen Nutzer zugewiesenen administrativen Rolle dessen Zugriffsrechte begrenzt. Laut Cisco ist dies hilfreich, um Fehlkonfigurationen und somit auch möglichen Attacken entgegenzuwirken. Diese Funktionen stehen als Bestandteil von IOS 12.3T ohne zusätzliche Gebühren ab sofort zur Verfügung.
Tool hilft bei Konfiguration
Die neue IOS-Version soll zudem Firewalls besser unterstützen, so dass Anwender abhängig von den IP-Adressen "Vertrauensbereiche" (Trust Zones") innerhalb ihrer Netze einrichten können. Das existierende Adress-Schema bleibt davon unberührt. Außerdem hat der Hersteller "IOS Firewall for IPv6" vorgestellt. Damit ist es laut Hersteller möglich, über ein einziges Interface gleichzeitig IPv4- und IPv6-Daten zu untersuchen. Ferner bietet das IOS nun die Option, das Extended Simple Mail Transfer Protocol (ESMTP) auf Protokollanomalien zu untersuchen. Die Preise für das "IOS Firewall Feature Set" hängen von der jeweiligen Plattform ab.
Als weitere Softwareneuheit stellt Cisco den "Security Device Manager" (SDM) vor. Das Tool soll die Inbetriebnahme und Konfiguration von IOS-basierenden Sicherheitskomponenten erleichtern. Für die schnelle und einfache Aktivierung von Sicherheitsfunktionen stehen nun neue "Startup-Wizards" sowie die Option "One-Step Lockdown" zur Verfügung. Mit solchen Tools versucht Cisco, die Komplexität und den zeitlichen Aufwand zu reduzieren, die mit dem Absichern des Netzes verbunden sind. Das Tool lässt sich nun über die Router-Modelle der Serien "800", "1700", "2600" und "3700" auch mit den Geräten der 7200er Familie und dem neuen Produkt "7301" einsetzen. Anhand grafischer Darstellungen sollen Administratoren umgehend überprüfen können, wie sich Veränderungen der Sicherheitseinstellungen auf den Netzverkehr auswirken.
Auch auf der Hardwareseite gibt es Neuerungen. Das Router-Modell "7301" besitzt Virtual-Private-Network- (VPN-)Funktionen und ist laut Hersteller zudem in der Lage, über die integrierte Firewall Angriffe abzublocken sowie unterschiedliche Dienstequalitäten zu unterstützen. Das für den Einsatz in Unternehmensumgebungen konzipierte Gerät soll VPN-Durchsatzraten von bis zu 370 Mbit/s bieten. Der Router ist ab sofort zu einem Preis von rund 21000 Dollar verfügbar.
Freie VPN-WahlAls letzte Neuerung stellte Cisco den "VPN 3020 Concentrator" als Ergänzung seiner "3000"er Produktfamilie vor. Anwender müssen sich damit nicht mehr zwischen IPsec (IP Security) oder SSL (Secure Sockets Layer) als technischer Basis ihrer VPNs entscheiden, da das Gerät beide Verfahren unterstützt. Im IPsec-Betrieb können Administratoren zudem wählen, ob die Übertragungen über das Verfahren Triple Data Encryption Standard (3DES) oder den Advanced Encryption Standard (AES) verschlüsselt werden sollen. Unterschiede gibt es bei der Leistungsfähigkeit: Mit IPsec sind bis zu 750 gleichzeitige Sessions möglich, über SSL hingegen nur maximal 200. Der 3020 ist ab sofort verfügbar und kostet rund 10000 Dollar. (ave)