Performance- und Security-Monitoring
Zwei auf einen Streich
Performance und Sicherheit eines IT-Netzwerks sind heute entscheidende Kriterien für Geschäftsprozesse. Umso wichtiger ist es, beides zu überwachen. Zudem wachsen die Bereiche Netzwerk-Performance und -sicherheit immer mehr zusammenwachsen. Eine gesamtheitliche Performance- und Security-Monitoring-Lösung verspricht daher Synergieeffekte.
Security- und Performance-Monitoring gehören heute zu den elementar wichtigen Aufgaben in einem IT-Netzwerk. Selbst wenn beide einen unterschiedlichen Fokus haben, so verfolgen sie doch dasselbe Ziel: einen stabilen und effizienten Netzbetrieb. Doch jede Art von Monitoring muss sich den neuen marktbedingten Herausforderungen stellen: So führt zum Beispiel die Integration privater mobiler Endgeräte in das Unternehmensnetzwerk (BYOD) dazu, dass nicht länger nur das (End-)Gerät selbst im Blickpunkt von Performance und Sicherheit steht. Vielmehr geht es heute darum, die Betrachtung auf den Benutzer und die von ihm genutzten Applikationen auszuweiten.
Doch damit nicht genug: BYOD heißt auch, eine Anzahl zusätzlicher Endgeräte nicht nur netzwerktechnisch zu verkraften, sondern auch deren Betriebssysteme und spezifische Applikationen als weitere Quelle für Schadsoftware in die Monitoring-Strategie aufzunehmen. Nicht alle auf dem Markt verfügbaren Performance-Monitoring-Lösungen erfüllen gleichzeitig auch die Anforderungen an eine Security-Monitoring-Lösung - und umgekehrt.
Performance Monitoring trifft Security Monitoring
Für das Performance Monitoring und das zugehörige Troubleshooting sind normalerweise keine Nutzdaten erforderlich, da sich die Performance-spezifischen Kenndaten wie Auslastung, Protokollverteilung, Lauf- und Antwortzeiten, Retransmissions oder Nutzungsprofile auf der Basis der Protokoll-Header ermitteln lassen. Ginge es nur um diese Performance-Werte, wäre zu vermuten, dass Flow-basierende Monitoring-Systeme für diese Aufgabe prädestiniert seien: Diese fungieren als Flow-Kollektor und sammeln aus dem Protokoll-Header gewonnene Performance-Indikatoren von Flow-fähigen Netzwerkkomponenten (Router, Switches, Firewalls etc.), um diese zu analysieren. Allerdings sind nicht alle Netzwerkkomponenten Flow-fähig, was dazu führt, dass verlässliche Performance-Analysen nur dann zu erzielen sind, wenn die Lücken durch zusätzliche Hilfsmittel wie Flow-Generatoren geschlossen werden.
Die Übertragung der Performance-Informationen an die Flow-Kollektoren erfolgt über Flow-Protokolle wie Netflow, Cflow, Sflow, Jflow, Netstream etc. Diese sind aber herstellerspezifisch, was zu Inkompatibilitäten und deshalb zu inkonsistenten Aussagen führen kann. Beispielsweise generiert das nicht zu Netflow kompatible Sflow seine Daten auf statistischer Basis, wodurch Microbursts nicht zu erkennen sind. Bei Letzteren handelt es sich um speziell in Web-2.0- und Finanzumgebungen auftretende Verkehrsmuster, bei denen eine schnelle Paketfolge im Mikrosekundenbereich kurzfristig zu einem Buffer Overflow und in dessen Folge zum Verwerfen von Paketen führen kann. Ein Performance Monitoring basierend auf Sflow würde überhaupt kein Indiz für solch ein fehlerhaftes Verhalten liefern.
Im Gegensatz zu Flow-basierenden Monitoring-Systemen speichern paketbasierende Monitoring-Lösungen jedes einzelne Datenpaket. Um den Speicherbedarf zu minimieren, kann der Anwender die Länge der aufzuzeichnenden Pakete auf eine konfigurierbare Anzahl Bytes beschränken. Diese speicheroptimierte Erfassung wird als Packet Slicing bezeichnet. Der Vorteil paketbasierender Systeme besteht darin, dass sie sämtliche Pakete aufzeichnen und somit unabhängig von Netzwerkkomponenten oder Flow-Protokollen arbeiten. Sofern paketbasierende Monitoring-Systeme zusätzlich über eine Port-unabhängige Applikationserkennung verfügen und in der Lage sind, jedes Paket mit einem präzisen Zeitstempel im Nanosekundenbereich zu versehen, lassen sich Performance-"Fresser" und Fehlerverursacher schonungslos entlarven.
Security Monitoring trifft Performance Monitoring
Doch auch im Sicherheitsbereich spielen Burst-artige Ereignisse eine Rolle. Was sich beim Netzwerk-Monitoring als Burst-artige Verbindungsversuche darstellt, weist womöglich auf eine DoS- beziehungsweise DDoS-Attacke (Denial of Service, Distributed DoS) hin. Oder wenn beim Performance Monitoring viele Punkt-zu-Mehrpunkt-Verbindungen auffallen, kann es sich dabei um ein Botnet handeln. Für das Security Monitoring sind grundsätzlich zwei Aspekte zu betrachten: die Erkennung von sicherheitsrelevanten Ereignissen auf der Basis erstens eines spezifischen Netzwerkverhaltens (Anomalie) oder zweitens eines unauffälligen Netzwerkverhaltens, das aber dennoch Gefahrenpotenziale in sich trägt. Malware und Data Loss, aber auch Application Tunneling und Port Hopping sind Beispiele für letztere Sicherheitsvorfälle.
Während sich Anomalien auch von Flow-basierendem Monitoring erkennen lassen, funktioniert dort die Identifikation von Gefährlichem bei unauffälligem Netzwerkverhalten nicht mehr. Denn um dies zu entlarven, bedarf es einer vollständigen Paketanalyse (DPI - Deep Packet Inspection). Nur paketbasierende Monitoring-Systeme meistern auch diese Aufgabe. Da sie alle Pakete vollständig aufzeichnen und Applikationen unabhängig vom verwendeten Port anhand ihres protokollspezifischen Verhaltens identifizieren können, enttarnen sie Application-Tunneling- und Port-Hopping-Ereignisse. Die Port-unabhängige Applikationserkennung identifiziert nicht nur die Anwendungen, die sich getarnt und unerlaubt in das Unternehmen einschleichen, sondern auch grundsätzlich nicht erlaubte Applikationen, die Ressourcen vom IT-Netzwerk abziehen und so die Performance negativ beeinflussen.
Paketbasierende Monitoring-Systeme lassen sich durchaus mit Intrusion-Detection-Systemen (IDS) vergleichen. Gegenüber IDS weisen paketbasierende Monitoring-Systeme einen entscheidenden Vorteil auf: Der Anwender kann mit ihnen - da diese sämtliche Pakete über ein langen Zeitraum speichern - nicht nur den Angriff, sondern im Rahmen einer forensischen Analyse auch die daraus resultierenden Folgen erkennen (Wer war wann wie und in welchem Umfang betroffen?).
Von solch einer intelligenten paketorientierten Lösung profitieren Unternehmen auf vielfältige Weise. Diese Performance-/Security-Monitoring-Systeme sorgen auf der Basis fundierter Datenanalyse durch proaktive Überwachung sowie gezieltes Troubleshooting für die erforderliche Qualität (QoS und QoE - Quality of Service/Experience) und sie bestätigen sicherheitsrelevante Ereignisse. Die Port-unabhängige Applikationserkennung sorgt zudem für ein Plus an Sicherheit, da sich mit ihr auch Sicherheitsereignisse erkennen lassen, die von den Perimeter-Schutzeinrichtungen unentdeckt bleiben (BYOD-Thematik).
Ganzheitliche Spezialisten
Bei den organisatorischen Gesichtspunkten kann das ganzheitliche Performance-/Security-Montoring mit einheitlichem Patch-, Alarm- und Benutzer-Management sowie klarer aufgabenbezogener Rollenverteilung punkten. Das gleiche "Look and Feel", die Konsistenz in Bedienung und Analyse sorgen für einen hohen Wiedererkennungswert, erhöhen die Transparenz sowie Akzeptanz und minimieren den Schulungsbedarf. Wichtig ist außerdem, dass sich die Analyse- und Reportfunktionen anwenderspezifisch an die Anforderungen beider Aufgabengebiete, also des Performance- und Sicherheits-Monitorings, anpassen lassen. Umfangreiche Expertensysteme sowohl für Performance- als auch Security-Themen legen die Basis für einen bestmöglichen Workflow. Durch ein übergeordnetes Monitoring-Management-System lassen sich die Analysen von mehreren unternehmensweit verteilten Performance- und/oder Security-Monitoring-Probes auf einer Plattform korrelieren.
Lesen Sie mehr zum Thema
