Neue Aufgaben für Netzbetreiber
Sicherheit und Konvergenz
Der richtige Transport und die Kontrolle von Daten im Hinblick auf unerwünschten Traffic ist eine der größten Herausforderungen bei der Konvergenz der Netze in Richtung IP. Netzbetreiber sehen sich hier neuen Aufgaben gegenüber - aber auch neuen Chancen.
Einige Netzbetreiber, aber auch die Hersteller von Netzwerkkomponenten haben erkannt, dass sie
im Bereich Sicherheit aufgrund des Trends zur Konvergenz der Netze alte Wege verlassen müssen und
neue Aufgaben zu definieren und zu erledigen haben. Sie müssen ihr eigenes Netz optimieren und
schützen und investieren deshalb in geeignete Plattformen. Dabei besteht gleichzeitig die
Möglichkeit, zahlreiche alte und neue Dienste auf diese Plattformen zu integrieren und – wenn
gewünscht – auch als Mehrwert-dienste den Kunden anzubieten.
Zwei Arten von Aufgaben stehen dabei zur Debatte: Solche, die es früher in den einzelnen
Teilnetzen gab (siehe linke Seite von Bild 1) und neue Aufgaben, die mit der Konvergenz täglich
zunehmen (siehe roter Kasten rechts in Bild 1).
Der Begriff "Deep Packet Inspection" (DPI) hat sich dabei zu einer Art Gütesiegel der
Sicherheitsmaßnahmen entwickelt. Gemeint ist die Fähigkeit, auf den ISO/OSI Ebenen 2 bis 7 Pakete
in einer bisher nicht da gewesenen Weise zu monitoren und zu kontrollieren.
Auf Performance-Probleme, insbesondere bei hohen Geschwindigkeiten, reagierte die Industrie
zuerst mit der Verlagerung von Fähigkeiten aus dem Bereich der Software in Hardware (ASICs, FPGAs
und so weiter). Dieser Lösungsansatz ist aber im Hinblick auf Performance-Aspekte sehr restriktiv,
sobald es um die Anpassung an sich schnell ändernde Märkte und damit verbundene Aufgaben geht.
Auf den ersten Blick betrachtet könnte man nun die eingangs erwähnten neuen und alten Aufgaben
der Sicherheit den ohnehin notwendigen Netzwerkkomponenten aus den drei Bereichen Transport,
Service Control und Security zuordnen. Wer genauer hinschauen will (oder muss) stellt jedoch fest,
dass – insbesondere bei hohen Leitungsgeschwindigkeiten – die heutigen Komponenten wie Router,
Switches und auch viele Security-Komponenten sehr schnell an ihre Leistungsgrenzen stoßen (siehe
grüner Bereich in Bild 2). Genau an diesen Stellen entscheidet es sich allerdings, ob ein modernes
IP-Netz leistungsfähig, sicher und flexibel genug ist oder nicht.
Um DPI und dessen flexiblen Einsatz – beides unabdingbar für ein vielfältiges Serviceangebot –
zu unterstützen und dies bei gleichzeitiger höchster Leistungsfähigkeit mit minimalen Latenzen im
Netz zu schaffen, bedarf es einer Reihe von Leistungsmerkmalen:
Vollständige Analyse der Pakete auf Schicht 2 bis 7,
hochperformante, programmierbare Netzwerkverarbeitung mit
Hardwarebeschleunigung,
flexible Interfacegeschwindigkeiten 100 Mbit, Gigabit Ethernet, STM-1/-4/-16
und 10 Gigabit Ethernet,
Parallelverarbeitung für die gleichzeitige Unterstützung von multiplen
Diensten,
offene, integrierte Entwicklungsumgebung für schnellste
Anwendungs-/Serviceentwicklungen,
offene APIs für OSS und die Integration des Policy Managements und
weit reichende Erfahrungen mit Carrier-Anwendungen und aus dem Behörden- und
militärischen Umfeld.
Vollständige Paketanalyse auf Schicht 2 bis 7
Ein gutes System sollte so entworfen sein, dass jedes Bit eines jeden Bytes in jedem Paket
untersucht und, wenn erforderlich, neu geschrieben werden kann, was die Einführung oder
Verbesserung von Diensten in der Schicht 2 (Datalink) über die Schichten 2,5 (MPLS VLAN), 3 und 4
bis zu Schicht 7 (zum Beispiel Firewall oder VoIP und Video on Demand/IPTV QoS unter Nutzung von
SIP und RTP, Viruserkennung und viele andere Aufgaben) gewährleistet.
Die Untersuchung der niedrigeren Schichten 2 bis 4 wird in einer geeigneten Architektur "Network
Processing" genannt und umfasst Switching, Routing und einige DoS-Erkennungsmethoden. Dies bringt
weniger Last auf die Prozessoren und wird oft von Herstellern genutzt, um ihren Datendurchsatz zu
berechnen. Es ist außerdem der Level, auf dem die Hersteller von Firewalls, URL-Filtern oder
DoS-Erkennungen arbeiten. Die Untersuchung der höheren Schichten, so wie es mit modernen
Plattformen möglich ist, wird üblicherweise den Schichten 4 bis 7 zugerechnet und mit dem Begriff "
Content Processing" beschrieben. Diese höhere – oder, besser ausgedrückt, tiefer gehende – Analyse
ist Grundvoraussetzung für vieles andere, um die neuesten Angriffsmethoden wie etwa durch Malware,
Spam und Phishing sowie unerwünschte Inhalte (Jugendschutz) überhaupt zu entdecken. Auch
Peer-to-Peer-Datenverkehr (zum Beispiel Bit Torrent oder Limewire) ist auf dieser Ebene zu
monitoren und zu kontrollieren, damit ein individueller Teilnehmer-QoS wirkungsvoll durchgesetzt
werden kann.
Da Service-Provider und auch Betreiber von Enterprise-Netzen ständig nach verbesserten Diensten
und Einkommensmöglichkeiten suchen, ist es unumgänglich, die volle Sichtbarkeit des gesamten
Datenverkehrs und somit dessen vollständige Kontrolle herzustellen, damit neue Dienste und Services
geschaffen und auch garantiert werden können. Sichtbarkeit geht also weit über die heute üblichen
Fähigkeiten von Netzwerkkomponenten hinaus.
Programmierbares "Network Processing"
Im Rahmen von Messaufgaben an innovativen Netzen hatte ich in den vergangenen Monaten die
Gelegenheit, mehrere moderne Plattformen miteinander zu vergleichen. Die Art und Weise, wie die
Verarbeitung der Informationen umgesetzt wird, ist absolut kritisch für die Skalierbarkeit der
Services. Ein gutes Produkt basiert auf der Prämisse: "Was, wenn man jedes Bit eines Datenpakets
mit Leitungsgeschwindigkeit und minimaler Latenzzeit untersuchen und neu schreiben möchte, wenn es
die Sicherheit oder die Wirtschaftlichkeit erfordert?". Diese Vorgabe macht es notwendig, dass jede
Tätigkeit, die bei Ankunft eines Datenpakets durchgeführt werden muss, in einer wirklichen
Echtzeitumgebung auf der Datenebene geschehen muss. Wer dies präzise und zeitnah genug garantieren
will, muss von bisher verwendeten Soft- und Hardwarearchitekturen Abstand nehmen und völlig neu
ansetzen. Eine der von uns getesteten Plattformen (CS 2000) basiert auf einer patentierten "
Intelligent Packet Architecture" (IPA). Die Möglichkeiten einer solchen Architektur sollen hier
beschrieben werden.
"IPA" bezieht sich auf das, was manche Anwender als DPPM (Deep Packet Processing Module) kennen.
Enthalten ist ein Motherboard-Design, das Industriestandardnetzwerkprozessoren (NPUs),
Field-Programmable Gate Arrays (FPGAs), Ternary Content-Adressable Memory (TCAM), Classifier und
RAM benutzt, um Paketanalysen mit Ende-zu-Ende-Latenzen im Bereich von 30 bis 90 Mikrosekunden
beziehungsweise 0,03 bis 0,09 Millisekunden durchzuführen.
DPPM stellt innerhalb des Systems die Datenverarbeitungsebene mit Echtzeitpaketverarbeitung zur
Verfügung. Der Hersteller hat diese Funktion getrennt von denen der Kontrolle und des Managements
auf einem eigenen Hardware-Blade innerhalb des Systems untergebracht. Diese segmentierte
Architektur bewirkt eine extrem hohe Sicherheit. Durch die Auslagerung der Managementfunktionen auf
eine eigene HW-Platine und durch konsequente Umsetzung der Verbindungen zwischen der Daten- und der
Kont-rollebene in Hardware können viele traditionelle Angriffe wie zum Beispiel Buffer-Overflows
effizient verhindert werden.
Dies machte es notwendig, Dinge wie etwa die Silicon Database und ein vollständig neues Modell
der Hardwareunterstützung, der Performance und der Skalierbarkeit zu implementieren, und zwar ohne
die bisherigen Managementprobleme wie Statussynchronisierung und Ausfallsicherung. Diese
Architektur überschreitet bei weitem das, was bisher durch Komponenten von
Netzwerkgeräteherstellern erreicht wird. Sie ist vergleichbar mit einem komplexen PC-Motherboard,
jedoch mit fundamentalen Unterschieden hinsichtlich der Firmware und dem "Wo" und "Wie" der
Datenverarbeitung, da dies für den hier beschriebenen Anwendungsfall die kritischen Faktoren
sind.
Beispielanwendungen
Die Flexibilität, die eine solche Architektur bietet, hat zur Folge, dass eine Menge von
Anwendungen und Umgebungen für diese Lösungen existieren. Deshalb hat man "C-Sentry" entwickelt:
Eine Content-Control-Anwendung, die stand-alone als Snort-basierte Kontrollsoftware oder in
Kombination mit der Software einiger Marktführer (zum Beispiel Arbor für DDoS, Kaspersky für
Antivirus) genutzt werden kann.
In der Stand-alone-Fassung der Content-Control-Suite stellt diese Funktionen für
signaturbasierte Erkennung und Kontrolle auf der Plattform bereit und ist somit die
Basispaketverarbeitungssoftware für eine große Zahl verschiedener Kont-rollanwendungen. Zu diesen
Anwendungen gehören die Highspeed-Inhaltsanalyse und Kontrolle mit offenem, snort-kompatiblen und
vom Hersteller erweiterten Regelsatz. Signaturen ermöglichen außerdem die Klassifizierung des
IP-Verkehrs basierend auf IPv4- und IPv6-Adressen, Anwendungstypen, QoS-Klassen und
benutzerdefinierten Anwendungssignaturen.
Die Content-Control-Suite stellt außerdem ein Hilfsmittel dar, um komplexe, textbasierte
Protokolle zu entdecken und darauf zu reagieren, und sie bietet Virenentdeckung und Erkennung von
Schadprogrammen innerhalb der Payload.
Wenn Signaturen erkannt werden, lassen sich mithilfe der Suite verschiedene Vorgehensweisen dazu
definieren, wie etwa Alarm, "Weiterleitung wie beabsichtigt", Verwerfen, Umleiten des
Pakets/Datenstroms, Kopieren des Pakets/Datenstroms, Bandbreitenbegrenzung, TOS-Bits (DSCP) setzen
und Log von Trigger-Werten mit/ohne Kopie der Pakete + Offset der Pakete. Zum erforderlichen
Funktionumfang einer entsprechenden Software gehören außerdem Zähler für jeden Zustand, um
Klassifizierungen und zugehörige Bandbreiten zu verfolgen, paket- und flussgestützte Intrusion
Detection und Mitigation, Monitoring über integrierte Webservices (SOAP/XML) und die Bereitstellung
eines direkten Mechanismus zur Bandbreitenzuordnung mit Schwellwerten für gleichzeitige Datenflüsse
oder Datendurchsätze von definierten Anwendungen oder Servicearten sowie gleichzeitige Datenflüsse
oder Datendurchsätze von bestimmten Anwendern (IP-Adresse). Zusätzlich muss eine Funktion zum
Markieren des Datenverkehrs vorhanden sein, um gezielt Prioritäten zur Regelung des
Netzwerkverkehrs setzen zu können, sowie Paket-DSCP-Re-Klassifizierung zum Aufbau eines
hierarchischen QoS. Schließlich ist neben vielen anderen Aufgaben die gleichzeitige Abwicklung von
gesetzlichen Auflagen wie die Unterstützung von Ermittlungsbehörden bei der Verbrechensbekämpfung
(TKÜV) erforderlich.
All dies liegt im Fall der CS-2000-Lösung auf der Basis einer offenen, integrierten
Entwicklungsumgebung vor. Die Programmierbarkeit ist ein zentrales Merkmal eines solchen Systems.
Sie war neben vielen anderen auch der entscheidende Grund dafür, dass sich führende europäische
Service-Provider dafür entschieden haben, Plattformen dieser Art für Ihre "Deep-Packet-Inspection"
-Lösung einzusetzen. Mit einer solchen Plattform wird an sämtlichen Internet-Peering-Points der
Datenverkehr überwacht und das Netzwerk gegen Angriffe geschützt.
Das Leistungsmerkmal der Programmierbarkeit gewährleistet die Flexibilität, wie sie alle Carrier
fordern wird, wenn DPI genutzt werden soll, um mehrere neue, "carrier-spezifische" Dienstmerkmale
zu realisieren. Die Programmierbarkeit erlaubt es, neue Ideen zu testen und zu implementieren, ohne
die Notwendigkeit, hohe Investitionen tätigen zu müssen. Zusätzlich erlaubt sie dem Kunden, schnell
auf Kundenwünsche, Markttrends sowie auf Herausforderungen durch den Mitbewerb zu reagieren
beziehungsweise selbst proaktiv tätig zu werden.
Wichtig ist, dass die Programmierumgebung einfach in Handhabung und Implementierung ist. Diese
Anforderungen wurden zu einer der Hauptforderungen bei Projekten europäischer Service-Provider,
damit deren Systemintegratoren und Entwicklungsingenieure schnell ausgebildet werden können, um
Anwendungen innerhalb kürzester Zeit zu definieren und zu schreiben.
Lesen Sie mehr zum Thema
