Serverkonsolidierung und Datenbeschleunigung
Kompromisse bei der Sicherheit vermeiden
Datensicherheit ist ein wichtiger Grund für die Zusammenfassung von Servern. Diese Konsolidierung führt jedoch zu Performance- Problemen beim Zugriff auf Dateien über Weitverkehrsnetze. Der gemeinsame Einsatz von WAN-Beschleunigern und SMB Signing kann zu Problemen führen. Dieses Microsoft-Security-Protokoll schützt zwar die verteilten Dateien, kann die Beschleunigungslösungen jedoch unbrauchbar machen.
Appliances zur WAN-Applikationsbeschleunigung setzen häufig Wide Area File Service (WAFS) ein,
um die Performance-Beschränkungen in LAN-orientierten Protokollen wie Microsofts allgegenwärtigem
Common Internet File System (CIFS) zu überwinden. CIFS ist ein Beispiel eines sehr "geschwätzigen"
Protokolls (im Englischen "chatty protocols" genannt): Es erfordert zahlreiche bidirektionale
Quittierungen (Acknowledgements), um Aufgaben wie das Öffnen einer Datei über das Netzwerk
auszuführen. In einem lokalen Netzwerk ist dies kein Problem, da ausreichend Bandbreite zur
Verfügung steht und die Latenzzeit sehr gering ist. Öffnet ein Anwender eine Datei jedoch über eine
WAN-Verbindung, bremst die Netzwerkverzögerung – also die Zeit für die Übertragung über das WAN –
die Applikationsleistung soweit herunter, dass der Vorgang mehrere Minuten dauern kann. Diese
Verzögerungen bei Transaktionen über ein WAN kann die Anwenderproduktivität somit
beeinträchtigen.
Doch warum ist dieser langsame Dateizugriff überhaupt ein Problem? Die Antwort lautet:
Serverkonsolidierung. Die Zusammenfassung von Servern wird von der Forderung getrieben, Kosten für
Hardwareausrüstungen und Softwarelizenzen zu senken und den IT-Managementaufwand für Zweigstellen
zu minimieren. Der Hauptgrund ist jedoch das Bestreben der Unternehmen, ihre Daten vor unbefugtem
Zugriff zu schützen. EU-Datenschutzgesetze, die Sarbanes-Oxley-Gesetzgebung in den USA und das
Verständnis, dass Unternehmensdaten die Lebensader der Firmen sind, haben CIOs dazu motiviert,
Daten an zent-raler Stelle zusammenzufassen. Dort sind sie besser schützbar. Doch diese
Zentralisierung der Daten provoziert zugleich Performance-Probleme. Zudem sind andere sehr wichtige
Punkte zu bedenken. Hervorzuheben ist besonders die Datensicherheit: Eine Datei darf während der
Übertragung nicht verändert werden.
Datenvalidität und Beschleunigung
Microsoft hat die Dateisicherheit als Server Message Block (SMB) Signing eingebettet. Dieses
Verfahren schützt die Daten in den Paketen vor Veränderungen durch Man-in-the-middle-Angriffe und
Hijacking. In der Firewall eines LANs kann diese Schutzart optional zum Einsatz kommen. Doch im
WAN, besonders im Internet, ist der Schutz der Paketintegrität besonders wichtig.
SMB Signing ist eine Art Paketauthentifizierung. Nachdem Anwender einer CIFS-basierten
Applikation authentifiziert sind, fügt SMB Signing eine digitale Signatur zu jedem Paket hinzu, das
zwischen Client und Server übertragen wird. Die Signatur verifiziert, ob die Identität der Servers
mit dem Berechtigungsnachweis des Clients übereinstimmt – und umgekehrt. Die Signatur stellt die
Integrität der gesamten Kommunikation sicher, indem sie das Verifizieren jedes von einer
authentifizierten Quelle empfangenen Pakets ermöglicht.
Der Hash-Algorithmus, der zum Erzeugen der digitalen Signatur zum Einsatz kommt, erzeugt
merklichen Rechenaufwand auf dem Server und auf dem Client. In einem Hochgeschwindigkeits-LAN
schätzt Microsoft den Overhead auf zehn bis 15 Prozent; innerhalb der Schutzmechanismen eines LANs
ist der zusätzliche Security-Layer für die digitalen Signaturen jedoch meist überflüssig. Zum
Erhöhen des Durchsatzes haben viele Unternehmen daher die SMB-Signing-Funktion von CIFS
deaktiviert. Alternativ ist SMB Signing auf den Servern aktiv, wird für die Datenübertragung aber
nicht zwingend vorausgesetzt, sodass Clients mit deaktiviertem SMB Signing weiterhin mit dem Server
kommunizieren können.
Diese Konfigurationen können jedoch Probleme mit Servern über eine WAN-Verbindung hinweg
hervorrufen – also dort, wo der Datenverkehr angreifbar ist. Den Bedarf an SMB Signing im
Zusammenspiel mit WAFS-Lösungen hat aktuell die weiträumige Verfügbarkeit des Hacker-Tools Smbrelay
unterstrichen, das gegen das SMB-Protokoll gerichtete Man-in-the-middle-Angriffe automatisiert. SMB
Signing schützt vor SMB-Session-Hijacking und anderen Paketfälschungen, indem es Eingriffe in eine
bestehende Session verhindert. SMB Signing gilt als bestmögliches Verfahren zur Absicherung einer
WAFS-basierten Lösung, die CIFS über eine WAN-Verbindung nutzt.
Doch Unternehmen, die WAFS-Lösungen nutzen, stellen häufig zwei Probleme fest: Das erste Problem
ist die Nichtbeachtung der Notwendigkeit, SMB Signing für WAFS zu verwenden. Häufig tritt dieser
Nachteil erst auf, nachdem ein Unternehmen jahrelang CIFS genutzt hat, ohne die
SMB-Signing-Funktion zu aktivieren. Das zweite Problem kann auftreten, wenn SMB Signing Verwendung
findet: Es treten Session-Fehler auf, außerdem ist die WAN-Performance unbefriedigend. Der Overhead
des erhöhten Rechenaufwands ist dabei nicht einmal der Hauptgrund. Vielmehr resultiert das Problem
aus der Unfähigkeit einiger WAFS-Lösungen, digital signierten Datenverkehr voll reversibel zu
komprimieren.
WAFS und SMB Signing kombinieren
Einige Beschleunigungslösungen, die ausschließlich auf Datenverkehrs-Überwachungstechniken für
Funktionen wie Protokoll-Spoofing und Paketkompression setzen, können mit SMB Signing Ärger
bereiten. Beispielsweise ist es möglich, dass sie die komprimierten Daten nicht korrekt
wiederherstellen. Ein falsches Bit reicht aus, um das Ergebnis des Hash-Algorithmus zu ändern, der
wiederum die digitale Signatur berechnet. Diese Beschleunigungslösungen stellen Unternehmen also
vor die Wahl: entweder WAN-Sicherheit oder WAN-Performance.
Ein verträglicherer Weg, um WAFS für CIFS zu implementieren, ist ein Proxy, der den
CIFS-Austausch auf beiden Seiten der Kommunikationsstrecke terminiert. Der Proxy übernimmt die
Verifizierung der digitalen Signaturen an der Quelle im LAN, überträgt die Pakete über das WAN und
stellt die CIFS-Session inklusive SMB Signing am Ziel wieder her. Proxy-basierte Lösungen müssen
garantieren, dass die über das WAN übertragenen Pakete entweder signiert und/oder verschlüsselt
sind, um die für SMB Signing erforderliche Sicherheit zu gewährleisten.
Der Proxy-Ansatz bietet Unternehmen, die WAFS-Appliances einsetzen, den zusätzlichen Nutzen,
dass die Kompatibilität mit anderen CIFS-Security- und Integrationsfunktionen gewährleistet ist.
Dazu zählen die Authentifizierung mit Challenge-/Response-Handshake, Layer-übergreifender Schutz
und verteilte Dateisicherung, Read-/Write-Caching sowie Wiederherstellungsfunktionen. Durch native
CIFS-Unterstützung brauchen Unternehmen nicht zugunsten der WAN-Performance auf WAN-Security zu
verzichten.
Lesen Sie mehr zum Thema
