Sicherheit – Die XWall stellt dem Simple-Object-Access-Protocol (Soap) und dessen Anhängen XML-Firewall-Funktionen und Virus-Scans zur Verfügung. Soap-Anhänge werden damit zu einem realisierbaren Transfermechanismus, zumindest für Organisationen, die vor dem gesalzenen Preis des Produkts nicht zurückschrecken.

Unternehmen nutzen zunehmend SOA/Web- Services-Standards, darunter Soap. Die aktuelle Spezifikation,Version 1.2, transportiert sogar Mime- und Dime-codierte Anhänge. Aber mit der erhöhten Nutzung geht die Bedrohung durch mit Viren verseuchte Anhänge einher. Die Xwall von Forum Systems verteidigt gegen diese Bedrohung,indem sie XML-Firewall- Funktionen und Antivirus-Scanning für Soap und dessen Anhänge zur Verfügung stellt. Mit zusätzlichen Modulen für WS-Sicherheit und XML-Anhang-Ver- und -Entschlüsselung bietet die Xwall vollständige Sicherheit für XML und Soap-Messaging, dies aber zu einem Preis von mehr als 20000 Dollar für die Basisversion. Network Computing testete die erste 64-Bit- Version der Xwall (5.3) in den Real-World Labs. Die Software läuft auf fast jeder Plattform, darunter 32- und 64-Bit-Versionen von Windows, IBM AIX, Linux und Solaris (x86 und Sparc).

Die Testversion kam vorinstalliert auf einer 64- Bit-Linux-Appliance halber Länge mit einer Höheneinheit. Die Appliance verfügte über Dual- AMD-64-Bit-Prozessoren, 4 GByte RAM, Dual- Gigabit-Ethernet-Schnittstellen und einen 10/100-Ethernet-Management-Port. Über die Befehlszeile wurde die grundlegende Netzwerkkonfiguration der Xwall durchgeführt, um die administrative Web-Konsole im Netzwerk verfügbar zu machen. Anschließend ließ sich die Xwall mit aufgabenbezogener Navigation (mit Assistenten vergleichbar) für den Schutz von Backend-Web-Diensten konfigurieren.

Das Dienste-Setup der Xwall gleicht dem anderer, auf Proxies basierender Soap-Sicherheitsprodukte: Der Administrator greift auf die Web-Service-Definition-Language (WSDL) zu und sichert entweder alle oder ausgewählte Operationen, die der jeweilige Dienste aufdeckt. Die Xwall, die infizierte Nachrichten zurückweist, kommt mit einem Antivirus-Gateway – standardmäßig mit dem Open-Source-Produkt Clam. Der Administrator kann das System aber auch für die Zusammenarbeit mit anderen Produkten, beispielsweise CAs Antitrust, konfigurieren. Die Xwall-Antivirus-Dienste sind global einzuschalten und dann auf Dienst- oder Operationsebene auszuschließen. Dieses Setup vermeidet, dass schlecht konfigurierte Updates das System lahm legen.

Den Grad der Sicherheit wählen

Fast jede Sicherheitskonfiguration ist auf Dienstsowie auf Operations- und Nachrichtenebene verfügbar. Das bedeutet, dass der Administrator Optionen global zuweisen oder Ausnahmen zulassen kann. Nützlich ist dies in einem Szenario, in dem nur ein oder zwei Dienste große Anhänge akzeptieren müssen – der Administrator kann global eine Standardgrößeneinschränkung für Nachrichten zuweisen, die dann auf Dienst- oder Operationsebene für den spezifischen Dienst überschrieben wird. Diese Option schützt vor DoS-Attacken und verbessert die Gesamtperformance. Getestet wurden Operationen, die Nachrichtenüberprüfungen, Schutz vor auf SQL basierenden Attacken und Dienst-Autorisierungen durch Verwendung von WS-Security- Headern erforderten. Die Performance der Xwall war akzeptabel, jedoch nicht so beeindruckend wie die von Forums Sentry.

Beeindruckend sind hingegen die administrative Schnittstelle und die Steuerungsoptionen des Systems. Die umfangreichen Firewall-Einstellungen lassen sich global, pro Dienst, pro Operation und selbst auf Basis einzelner Nachrichten (Eingang und Ausgang) zuweisen.Um einem Dienst IDP-Regeln zuzuweisen, reicht ein Klick auf das Kontrollkästchen neben der gewünschten Regel. Administratoren können die Xwall auch so konfigurieren, dass sie automatisch Verkehr ablehnt, der von einer IP-Adresse stammt, die innerhalb einer ausgewählten Periode gegen eine Regel verstoßen hat. Über die Admin-Konsole lässt sich blockierter Verkehr manuell wieder freigeben. Auf Grundlage von Unternehmensrichtlinien lassen sich auch Aktionen konfigurieren. Der Administrator wählt aus, ob Zugriff blockiert oder durch Ratenlimitierung gesteuert wird.Diese Aktionen nutzt das System dann in IDP-Richtlinien, die wiederum mit Diensten, Operationen oder Nachrichten verknüpft sind.

Die Xwall von Forum Systems ist zweifellos teuer, aber wenn es um den Schutz des Netzwerks geht, dann ist Vorbeugen den doppelten Preis einer Kur wert.

dj@networkcomputing.de