Security-Tools
Liebling, ich habe das Internet geschrumpft
Fortsetzung des Artikels von Teil 1
Inline Security Framework
Um die Probleme mit hintereinander geschalteten Sicherheitslösungen zu umgehen, empfiehlt es sich, ein Inline Security Framework mit einer komplett anderen Sicherheitsarchitektur einzuführen. Ein solches Framework führt eine High-Availability-Zone ein, in der Security Tools mit maximaler Verfügbarkeit, Flexibilität und Performance eingesetzt werden können. Geschaffen wird diese Zone über Bypass Switches, die den Security Tools den ausfallsicheren Zugang zum gesamten eingehenden Verkehr aus dem öffentlichen Netz ermöglichen. Die Switches leiten diesen Verkehr an Network Packet Broker weiter, die die Pakete inspizieren und an die jeweils relevanten Tools oder Toolfarmen weiterleiten. Nach Durchlaufen der Sicherheitssysteme wird der Verkehr dann über die Bypass Switches an das interne Netzwerk übergeben. Die Bypass-Funktion stellt dabei sicher, dass Verkehr auch beim Ausfall von Sicherheitssystemen sein Ziel erreicht. Allein die Tatsache, dass der Verkehr durch den Einsatz von Bypass Switches weniger Inline-Systeme durchlaufen muss, erhöht zudem die Verfügbarkeit des gesamten Netzwerks.
Sind die Packet Broker „application aware“, können sie den Verkehr anwendungsspezifisch nur an die Tools weiterleiten, die für die jeweilige Applikation benötigt werden. So werden die einzelnen Tools deutlich entlastet. Zudem fungieren die Packet Broker als Load Balancer und können daher beispielsweise E-Mail-Verkehr effizient auf mehrere Anti-Virus-Systeme verteilen. Das gewährleistet nicht nur eine hohe Verfügbarkeit und Performance, sondern erhöht auch die Skalierbarkeit, da bei Upgrades einfach die entsprechende Toolfarm um ein weiteres System ergänzt werden kann. Müssen nicht alle Pakete alle Sicherheitstools durchlaufen, kommt dies darüber hinaus der Latency zugute. Um maximale Verfügbarkeit zu erreichen, sollten sowohl die Bypass Switches als auch die Packet Broker redundant ausgelegt sein.
Der Ansatz, die verschiedenen Sicherheitssysteme parallel statt in Reihe zu betreiben, hat auch gravierende Auswirkungen auf den Betrieb und das Change Management. Upgrades oder Wartungsarbeiten an einem einzelnen Tool haben so keinen negativen Einfluss auf das Gesamtsystem, da andere Tools davon nicht beeinträchtigt werden. Da die Bypass Switches praktisch die einzigen echten Inline-Systeme sind und das Sicherheitsteam ein komplett eigenes Spielfeld erhält, kann sich sowohl das Netzwerk- als auch das Security-Team auf seine jeweiligen Prioritäten konzentrieren, ohne sich dabei gegenseitig in die Quere zu kommen. Upgrades, Patches und Erweiterungen innerhalb der Sicherheitsarchitektur haben so keine negativen Auswirkungen auf Verfügbarkeit und Performance des gesamten Netzwerks.
Verkehr schon am Edge filtern
Doch auch mit einer hochverfügbaren Sicherheitsarchitektur wie dem Inline Security Framework bleibt ein grundsätzliches Problem bestehen. Wohl niemand würde seine Zeit damit verschwenden, ein Paket von Amazon anzunehmen, zu öffnen und zu inspizieren, wenn er dort gar nichts bestellt hat. Die meisten Security Tools tun aber genau das, ob nun in einer traditionellen Inline-Konfiguration oder im Inline Security Framework. Sie verwenden einen Großteil ihrer Ressourcen für die Inspektion von Daten, die eigentlich gar keiner näheren Betrachtung bedürften, sei es, weil sie von bekannten Malwareversendern kommen oder aus Ländern, mit denen das Unternehmen keinerlei Geschäftsbeziehungen unterhält. Die Analyse dieser Daten kann die gesamte Sicherheitsarchitektur erheblich belasten und Tools wie Web Application Firewalls oder Intrusion-Detection-Systeme an die Grenze ihrer Leistungsfähigkeit bringen. Eigentlich nicht notwendige Investitionen in zusätzliche Tools sowie Load Balancer und damit eine Erhöhung der Komplexität sind fast zwangsläufige Folgen. Eines der Ziele von Sicherheitsverantwortlichen ist es daher, die Angriffsflächen des Unternehmensnetzes zu verringern und offensichtlich irrelevanten Netzwerkverkehr schon zu blockieren, bevor er die Sicherheitstools erreicht. Um die gesamte Sicherheitsarchitektur zu entlasten, empfiehlt sich daher der Einsatz spezieller Filtersysteme, die schon am Edge zuverlässig alle Pakete herausfiltern, die sich überhaupt nicht im Netzwerk befinden sollten. Das können Pakete von bekanntermaßen bösartigen IP-Adressen, aus nicht zugewiesenen oder unbenutzten IP-Bereichen oder von Adressen sein, die Opfer von IP-Hijacking geworden sind. Solche Filter werden zwischen dem externen Netz und den Sicherheitstools oder - im Falle des Inline Security Frameworks - den Bypass Switches installiert, blockieren den unerwünschten Datenverkehr und verringern so die Last auf die bestehende Security-Infrastruktur. Idealerweise können dabei komplette IP-Adressbereiche ebenso bei voller Übertragungsgeschwindigkeit blockiert werden wie einzelne IP-Adressen. Auch der Zugriff eigener Mitarbeiter auf bekannt bösartige Sites, etwa in Folge von Phishing Mails, kann unterbunden werden.
Grundsätzlich ist das Filtern von Adressen eine klassische Aufgabe der ohnehin vorhandenen Firewall-Systeme, doch wenn es um größere Adressbereiche geht, gelangen diese schnell an die Grenze ihrer Leistungsfähigkeit. Mehr als 10.000 Regeln verkraftet kaum eine Firewall, und damit können die Verantwortlichen weder den Verkehr aus einem Land wie China oder Russland noch den Angriff eines Botnets wirksam blockieren. Zudem ist die ständige Aktualisierung des Regelwerks gerade bei Botnets praktisch nicht durchführbar.
Spezialisierte Filtersysteme dagegen können über ein „Application und Threat Intelligence (ATI)“-Programm des Herstellers kontinuierlich und automatisch aktualisiert werden.
In einem solchen Programm, wie es auch von Herstellern von Sicherheitssystemen zum Testen genutzt wird, werden maschinell und durch Experten weltweit aktuelle Angriffsmuster analysiert und Quellen bösartigen Verkehrs identifiziert. Dabei wird jede bösartige Aktivität aller erfassten IP-Adressen dokumentiert - bis hin zum Datum des letzten Vorfalls. Werden die Filter kontinuierlich mit allen erfassten IP-Adressen aktualisiert, bietet das System einen permanenten und konsistenten Schutz vor Bedrohungen. Dabei entlasten sie nicht nur die Sicherheitsarchitektur, sondern auch die Security-Teams, die sich sonst mit einer Vielzahl unnötiger Alarme ihrer Sicherheitssysteme konfrontiert sehen.
Jeff Harris ist Senior Director, Solutions Marketing bei Ixia
- Liebling, ich habe das Internet geschrumpft
- Inline Security Framework
Lesen Sie mehr zum Thema
