Extreme Networks bietet API für ISS & Co.
Anabolika für Sicherheitsgeräte
Der Switch-Spezialist Extreme Networks nutzt sein offenes, modulares Betriebssystem Extremeware XOS, um über Kooperationen mit Sicherheitsanbietern seine Netzkomponenten eng mit Security-Geräten zu verbinden. Diese Kombination soll nicht zuletzt auch die Abarbeitung von Sicherheitsregeln deutlich beschleunigen. Der "Best-of-Breed"-Ansatz bietet eine Alternative zu Konzepten von Cisco, HP, Enterasys und Alcatel, die unter anderem darauf abzielen, mehr Security-Funktionalität direkt auf die Edge-Switches zu packen.
Bereits im Dezember 2003 hat der US-Hersteller Extreme Networks das modulare
Switch-Betriebssystem Extremeware XOS für seine Highend-Geräte der Serie Black Diamond 10K
vorgestellt. Auf dieser Codebasis laufen inzwischen auch der Black Diamond 8800 (vormals "Aspen")
und das neue Topmodell 12K, das der Hamburger Netzbetreiber Wilhelmtel einsetzt. Neuerdings
betreibt Extreme auch Edge-Geräte mit dem modularen OS.
Für die Kollaboration mit Security-Spezialisten setzen die Amerikaner auf ein ähnliches Konzept,
wie man es vom Application-Switching her kennt: Schnittstellen (APIs) dienen dazu, externe
Anwendungen anzusprechen und mithilfe der ASIC-Power der Switching-Plattform zu beschleunigen.
Während jedoch zum Beispiel der Anwendungsbeschleuniger F5 den Zugriff auf seine Rules Engine via
öffentlicher API ermöglicht, setzt Extreme auf Kooperationen mit ausgewählten Herstellern ("Best of
Breed"): "Unser Ansatz erlaubt es uns, schnell neue Sicherheitslösungen auf den Markt zu bringen",
so Siva Ananmalay, Vice President Engineering bei Extreme Networks. "Das Ineinandergreifen von
Switches und Security-Tools erhöht die Performance wie auch die Verfügbarkeit und senkt
gleichzeitig die Kosten für die Absicherung des Netzwerks."
Zu den Anbietern, die hier Sicherheitsfunktionalität beisteuern, zählen Internet Security
Systems (ISS), Stillsecure und Cipheroptics. Zusammen mit ISS verwirklicht Extreme eine
Swips-Architektur (Switch-enabled Intrusion Protection System): Mit seinen programmierbaren ASICs
(FPGAs, Field-Programmable Gate Arrays) filtert der Switch den Netzverkehr in Echtzeit, um
auffällige Datenströme an das IPS durchzureichen. Über das Switch-API kann das IPS wiederum zum
Beispiel den jeweiligen Switch-Port sperren oder den Datenstrom in ein Quarantäne-VLAN umleiten
lassen. Laut Ananmalay leistet der Switch dabei das Auslesen der ersten 128 Header-Bytes mit
Leitungsgeschwindigkeit und ermöglicht Intrusion Prevention mit 10-GBit/s- Wirespeed. "Damit haben
wir das Versprechen von XOS eingelöst", freut sich der Chefingenieur.
Die Partnerschaften mit Stillsecure und Cipheroptics betreffen Extremes Security-Appliance
Sentriant CE150, die im Zusammenspiel mit den hauseigenen Switches das LAN absichern soll.
Stillsecure liefert dem Sentriant integrierte Endpoint-Security-Funktionen, also den Schutz vor
infizierten oder anderweitig nicht Policy-konformen Endgeräten. Dank der Encryption-Technik von
Cipheroptics wiederum sollen die Sentriants netzwerkweit eine regelbasierte Verschlüsselung
ermöglichen, also zwischen verschlüsselungsbedürftigem und banalem Netzverkehr unterscheiden. Laut
Ananmalay eignet sich die Verhaltensanalyse des Sentriants für die schnelle Gefahrenabwehr mit ein
bis zwei Sekunden Reaktionszeit. Damit sei VoIP-Verkehr selbst bei schweren unbekannten Angriffen
nur kurzzeitig gefährdet und im Regelfall gar nicht unterbrochen.
Zudem setzt Exteme auf eine Partnerschaft mit Avaya, um im Wettbewerb mit Marktführer Cisco und
großen Anbietern wie HP und Nortel ebenfalls VoIP-Infrastrukturen aus einer Hand liefern zu können.
Avaya steuert VoIP-Equipment und -Management bei. "Das LAN der FIFA-Weltmeisterschaft lief dank der
Avaya-Partnerschaft auf unseren Geräten," so Ananmalay. "Jedes Stadion hatte BD8800er im Core,
angebunden über ein ATM-WAN. Das Netz umfasste über 20.000 Ports, mit VoIP, Security und
ausgefeiltem Netzwerk-Monitoring."
Der neue Edge-Switch Summit X450 bringt XOS nun erstmals an den Netzwerkrand – dank der
Modularität des OS sowohl als X450e-Version ("e" für Edge) wahlweise mit PoE (Power over Ethernet)
wie auch als X450a-Variante ("a" für Aggregation) mit erweiterter Verkehrsflusskontrolle inklusive
Sflow-Unterstützung. Den X450 gibt es als 24-Port-Gerät mit PoE und mit 48 Ports ohne PoE. In Kürze
sollen Geräte mit 48 PoE-Ports folgen, ebenso 24-Fiber-Port- und Gleichstrommodelle.
Lesen Sie mehr zum Thema
