Will man die gleich hohe Verfügbarkeit bei einer herkömmlichen Installation erreichen, müssen acht Geräte installiert werden.

Die Anforderungen an Netzwerke wachsen stark, da neue Kommunikationsformen, wie Instant-Messaging, Web-Conferencing oder IP-Telefonie, gerade erst vom Massenmarkt entdeckt und eingeführt werden. Diese Technologien erfordern ein hohes Maß

an Integration unterschiedlicher Dienstmerkmale, wie Sicherheit, Routing, Switching, Telefonie, Quality-of-Service (QoS), Caching, Streaming oder Multicast-Unterstützung, die zugleich die Performance des Netzwerks aber nicht beeinträchtigen sollen. Parallel zum Vernetzungsgrad steigen außerdem die Sicherheitsanforderungen. IT-Verantwortliche erwarten eine vollständige Palette von Schutzmaßnahmen, wie Firewall, Virtual-Private-Network, Intrusion-Detection/ Prevention und Antivirus-Funktionen.

Netzwerkhersteller haben sich bislang darauf konzentriert, solche Kundenanforderungen mit dedizierten Produkten je Problem zu lösen. Ergebnis dieses Vorgehens sind hohe Managementaufwände und mangelnder Investitionsschutz für bestehende Infrastrukturen. Jedes weitere Produkt mit eigenem Management und eigener Funktionsweise macht Betrieb, Verwaltung, Wartung und Netzwerkoptimierung komplexer und teurer. Hersteller wie Cisco haben dies zum Anlass genommen, einen neuen Weg bei der Gestaltung von IT-Infrastrukturen zu gehen. Die Umsetzung dieser neuen Strategie beginnt auf der Netzwerkebene, weil das Netzwerk alles verbindet: Anwendungen, Middleware und Endgeräte, wie Server, PCs, IP-Telefone oder PDAs. Ziel ist ein konvergentes, universelles Netzwerk, in dem jedes Gerät herausragende Leistung bietet und gleichzeitig als integrierte Komponente in einem System dient: das Intelligent-Information-Network, kurz IIN.

Netzwerkweite Sicherheit

In der Evolution zum Intelligent-Information-Network läuft derzeit die Phase der Konvergenz von Daten, Sprache und Video auf einem Netzwerk. Das Netzwerk bewegt sich im Security-Bereich von Insellösungen zu netzwerkweiten Sicherheitsrichtlinien, von verbindungsspezifischer Leistung zur Betrachtung der Gesamtleistung des Systems, von der Hochverfügbarkeit auf Leitungsebene zur Hochverfügbarkeit auf Dienstebene und vom Management einzelner Geräte zum systemweiten Management. Dies bedeutet geringere Betriebskosten, verbesserte Netzwerkleistung und -verwaltung sowie kostengünstige Skalierbarkeit. Darüber hinaus werden weiterführende Technologien wie Wireless, Storage, IP-Sprachverkehr und Security nahtlos eingebunden.

Das Netzwerk verteidigt sich selbst Mit der »Self-Defending Network«-Strategie bietet beispielsweise Cisco ein umfassendes Sicherheitskonzept. Kerngedanke ist die Integration von Sicherheitsfunktionen in alle Netzwerkkomponenten und die Einbindung der Endgeräte. Auf der Produktebene sind die neuen Integrated-Services-Router (ISR) der Serien Cisco-1800, -2800 und -3800 das Herzstück des sich selbst verteidigenden Netzwerks. Sie unterstützen die ganze Reihe der Sicherheitsfunktionen, die in den drei Bausteinen der SDN-Strategie definiert werden: sichere Konnektivität, Bedrohungsabwehr und Identititätsmanagement. Darüber hinaus bieten die Router integrierte Telefoniefunktionen und eine neue Hardware-Architektur, um alle Dienste gleichzeitig in Wirespeed zu unterstützen. Damit erfüllen sie die aktuellen Anforderungen von Kunden, wie sie eingangs beschrieben wurden.

Der Baustein »Sichere Konnektivität« konzentriert sich auf die Absicherung der Kommunikationskanäle für Sprach-, Video- und Datenverkehr. Neben Sicherheitsfunktionen, die in die zentralen Netzwerkkomponenten wie Router oder Switches integriert sind, dienen IPSec und SSL-VPNs der Verschlüsselung leitungsgebundener und drahtloser Verbindungen.

Die ISR bieten sichere und skalierbare Netzwerk-Konnektivität für verschiedene Arten von Datenverkehr. Sie unterstützen unter anderem Multi-VPN-Routing-and-Forwarding (VRF) und MPLS-Secure-Contexts, Dynamic-Multipoint-VPN (DMVPN) und Voice-and-Video-Enabled-VPN (V3PN). Darüber hinaus verfügen solche Router über eingebaute VPN-Hardware-Beschleunigung, die den Durchsatz im Vergleich zu früheren Modellen vervierfacht. Die eingebauten Module unterstützen eine Vielzahl von Protokollen: AES, DES, 3DES, GRE (Generic-Routing-Encapsulation), L2F (Layer-Two-Forwarding) und L2TP (Layer-2-Tunneling-Protocol).

Integration von VPNs

V3PN ist ein gutes Beispiel dafür, dass die alleinige Bereitstellung von VPN-Merkmalen in einem Router noch keine wirkliche Integration darstellt. Wenn die IPSec-Implementierung im Gegensatz zur Basisfunktion des Routers das QoS-Konzept nicht unterstützt, kann die Crypto-Engine innerhalb der Gesamtarchitektur einen Flaschenhals bilden. Der Grund dafür ist, dass sie als Half-Duplex-Device nur ein Datenpaket je Zeiteinheit ver- oder entschlüsseln kann. Vor der Crypto-Engine mischen sich also mehrere Datenströme: zu verschlüsselnder Verkehr outbound und zu entschlüsselnder Verkehr inbound. So kann weder die Richtung des Datenpaketes noch dessen Wichtigkeit in Bezug auf QoS-Merkmale unterschieden werden. Um dieses Problem zu lösen, wurden mehrere Queues vor der Crypto-Engine eingerichtet und die IPSec-Implementierung so QoS-fähig gemacht. Jetzt können Voice-Datenpakete von Anwendungsdaten oder Web-Traffic unterschieden und bevorzugt verschlüsselt werden. Damit wird das QoS-Konzept auf dem gesamten Datenpfad im Router durchgängig umgesetzt und Service-Level-Agreements (SLAs) können garantiert werden.

Ein weiteres Beispiel für die Integration sind Dynamic-Multipoint-VPNs. DMVPNs reduzieren die Komplexität der Verwaltung von voll vermaschten VPNs. Bisher mussten bei voll vermaschten VPNs alle Endpunkte in jedem Router eingetragen werden. Bei einer Änderung der Topologie oder Ersatz eines einzelnen Gerätes bedeutete dies, dass die Konfigurationsdateien aller VPN-Router angepasst werden mussten. DMVPN reduziert den Verwaltungsaufwand eines voll vermaschten VPNs auf den eines sternförmigen (Hub-Spoke-) VPNs. Alle Außenstellenrouter werden mit einem einzigen statischen Tunnel zum zentralen VPN-Router konfiguriert – was eine Reduzierung auf den linearen Aufwand bedeutet. Die fehlenden Querverbindungen zwischen den Außenstellenroutern werden dynamisch und nur bei Bedarf vom Netzwerk etabliert.

Im Änderungsfall müssen lediglich der zentrale VPN-Router und der Spoke neu konfiguriert werden.Ein weiterer Vorteil der Integration liegt darin, dass sich V3PN und DMVPN auch gemeinsam betreiben lassen.

Schädlingsbekämpfung

Der Baustein »Bedrohungsabwehr« zielt auf die Verringerung von Schäden durch die steigende Verbreitung von Würmern und Viren. Abwehrmaßnahmen sind Firewalls und Intrusion-Detection-/Intrusion-Prevention-Systeme (IDS/IPS). Diese sind beispielsweise im IOS des ISR und als Hardwaremodul verfügbar. Das IPS des Cisco IOS bietet mehr als 740 Signaturen mit zehn IPS-Protokoll-Engines. Darunter sind auch die Antivirus-Signaturen des Sicherheitspartners Trend Micro, die Cisco im Rahmen einer Kooperation vom Partner bezieht.

Für die Absicherung eines Netzwerkes gegenüber dem Internet stellt der ISR eine vollständige Application-Aware-Stateful-Firewall bereit. Hier ist insbesondere die Unterstützung der für die IP-Telefonie wichtigen Protokolle H.323 (bis Version 4), MGCP, SIP und Skinny erwähnenswert. Die Unterstützung von Protokollen, die von der Firewall durchgelassen werden, lässt sich zusätzlich durch URL-Filtering und Content-Inspection, beispielsweise mit Websense oder Smartfilter, über ein Cache-Hardware-Modul realisieren.

Du kommst hier nicht rein

Beim »Identitätsmanagement« kommt es darauf an, den Zugang zu Daten nur berechtigten Benutzern zu ermöglichen. Auf der Ebene der Netzwerkkomponenten bedeutet dies, nur Geräte zuzulassen, die über das erforderliche Sicherheitsniveau verfügen. Oft werden infizierte Systeme erst bei der Anmeldung an die Domain auf Sicherheit überprüft. Dies ist jedoch zu spät, da die Geräte bereits Kontakt zum Netzwerk haben und Viren und Würmer einschleppen können. Grundregel muss sein, dass ein Gerät nur am Netzwerk teilnehmen kann, wenn es zweifelsfrei identifiziert wurde. Der Industriestandard 802.1x sorgt im LAN dafür, dass nur Endgeräte mit gültigem digitalem Zertifikat in das Netzwerk gelassen werden.

Modulare Architektur

Kernstück der Architektur der ISR ist der modulare Aufbau, der die Zusammenführung der verschiedensten Funktionen und den gleichzeitigen Betrieb verschiedener Services ermöglicht. Neben den bereits angesprochenen Funktionen wie eingebauter VPN-Beschleunigung, sicherer Sprachübertragung durch PVD-Module (Packet-Voice-DSP) und der Unterstützung von SRTP (Secure-Real-Time-Transport-Protocol) sowie den hochleistungsfähigen Advanced-Integration-Modulen, verfügen die ISR über einen USB-Port, der ebenfalls Sicherheitsfunktionen übernimmt. Über den USB-Port können Konfigurationen sicher eingespielt werden, VPN-Credentials sicher gespeichert und verteilt werden und es steht zusätzlicher Speicher zur Verfügung.

Redundanz

Für Unternehmen ist Business-Continuity unter den ständig umfangreicher werdenden rechtlichen Rahmenbedingungen – Sabanes-Oxley, Basel II, KontraG – immer wichtiger. Auch hier lassen sich durch Integration von Diensten Kosten sparen. Werden Firewall, VPN, Telefonie und Routing in einer Geschäftsstelle in einem der neuen ISRs zusammengefasst, kann volle Redundanz der Installation durch die Bereitstellung eines zweiten, identischen Routers erreicht werden. Automatisches Failover zwischen den Geräten sorgt für die unterbrechungsfreie Umschaltung im Fehlerfall. Will man die gleich hohe Verfügbarkeit bei einer herkömmlichen Installation erreichen, müssen acht Geräte installiert werden: zwei Firewalls, zwei Telefonanlagen, zwei VPN-Gateways und zwei Router. Ausfallsicherheit kann mit Hilfe der ISRs zu einem Bruchteil der Anschaffungs- und Betriebskosten realisiert werden.

Tests und Zertifizierungen

Dass die Integration verschiedener Dienste und deren gleichzeitige Abwicklung in einem Router tatsächlich gelingen kann, haben unabhängige Tests bereits bestätigt. Current Analysis stellte fest, dass »der Cisco-2821 eine Vielzahl von IP-Services gleichzeitig ausführen kann, ohne dass die Performance darunter leidet.« Die Tester von Miercom kamen zu dem Ergebnis, dass der 2811 zwei T1 in bidirektionalem WAN-Datenverkehr aufrecht erhält, während alle anderen Services laufen. Cisco legt darüber hinaus Wert auf die Zertifizierung der Produkte. Die unabhängige Sicherheitszertifizierung nach Common-Criteria EAL4 wurde für die Firewall der ISR bereits erteilt.

Klaus Lenssen, Business Development Manager Security und Government Affairs, Cisco Systems