Wallanlagen Entscheidungshilfe für komplexe Firewall-Systeme

Ordnungsmerkmale

erschienen in: <kes> 2004#3, Seite 70

Rubrik: Systeme und ihr Umfeld

Schlagwort: Firewalls

Zusammenfassung: Die Zeiten, da eine Firewall bildlich gesprochen ein einzelnes Burgtor war, sind längst vorbei. Heute sind vielmehr komplexe Wallanlagen gefragt, die etliche Funktionen umfassen und auch "im Innern" noch Verteidigungslinien bilden. Verschiedene Implementierungen haben dabei spezifische Vor- und Nachteile, die es zu einem performanten Ganzen zu integrieren gilt.

Autor: Von Bernhard Rehermann, Paderborn

Mit der gewachsenen Bedrohung von innen und außen werden auch die Firewall-Installationen immer komplexer, zumal zunehmend Unternehmenszentralen gleich drei Firewall-Systeme hintereinander platzieren: die zweite Firewall, um eine demilitarisierte Zone (DMZ) herauszubilden, die dritte, um einzelne Abteilungen vor Angriffen besonders zu schützen. Dazu kommt die Anforderung der doppelten Auslegung dieser Systeme für eine hochverfügbare Gesamtinstallation.

Diesen komplexen Wall gilt es zu beherrschen, damit durch Fehlkonfiguration und -administration keine Sicherheitslöcher entstehen. Und auch die Durchsatzleistung der Firewall-Konstellation sollte stimmen, denn verzögerungsempfindliche Kommunikationsströme wie Echtzeitdaten, Telefonie und Online-Video werden ihr eine immer höhere Datenrate abverlangen, ohne dass dabei Verluste oder Prüflücken auftreten dürften. Für dieses komplexe Hochleistungsszenario die passende, investitionssichere Lösung zu finden, ist alles andere als eine einfache Entscheidung.

Die Vielfalt der im Markt angebotenen Firewall-Systeme macht es nicht leichter. Hersteller von Switch- und Router-Systemen haben ihre Lösungen meist mit Firewall-Funktionen ausgestattet, allerdings in der Regel ohne über Application-Proxies Prüfintelligenz auf Anwendungsebene zu offerieren.

Die "eigentlichen" Firewall-Anbieter warten zu etwa 60 Prozent mit Appliances auf, also einem Komplettpaket aus Firewall-Software und Server-Hardware, bei dem beide Systeme mehr oder weniger exakt auf den Firewall-Einsatz abgestimmt sind. Die übrigen 40 Prozent offerieren reine Softwarelösungen, die teilweise ihr "eigenes" Betriebssystem mitbringen oder auf verschiedenen Betriebssystemplattformen in unterschiedlichen Derivaten lauffähig sind. Die Plattformunabhängigkeit erkauft sich der Anwender dann allerdings mit einem weniger gut auf den Firewall-Einsatz abgestimmten Gesamtsystem und dem Verzicht auf ein von Haus aus gehärtetes und damit gegen Angriffe besser gefeites Betriebssystem. Zudem bezieht sich gegebenenfalls die Service-Leistung des Anbieters nur auf die Software und nicht die komplette Firewall-Lösung, was für den Anwender ein leidiges Kompetenzgerangel beziehungsweise "Schwarzer-Peter-Verschieben" zwischen den Anbietern bedeuten kann.

Extras erwünscht

Nicht zuletzt sehen sich Unternehmen bei den unterschiedlichen Firewall-Offerten mit einem mehr oder weniger großen Angebot an Zusatzdiensten konfrontiert, welche die Gesamtlösung erst komplett machen. Dazu gehören:

Die Zusatzdienste Content- und Viren-Scanner sowie IDS/IPS kommen meist von anderen Herstellern als die Firewall-Basis. Sie sollten sich aber dennoch im Sinne einer Gesamtlösung in puncto Betrieb, Administration und Service nahtlos in die Firewall-Installation einfügen.

Nicht fehlen darf darüber hinaus für zentrale Firewall-Systeme eine integrierte Hochverfügbarkeits-Lösung, idealerweise ergänzt um dynamisches Load-Balancing zur gleichmäßigen Lastverteilung des Prüfverkehrs im laufenden Betrieb. Nur bei voller Integration lassen sich diese Dienste effizient über die zentrale Firewall-Administrationsoberfläche konfigurieren, überwachen und verwalten. Alteingesessene Firewall-Anbieter haben dies Firewall-nah in Software meist besser gelöst als Netzwerkhersteller, die dazu in der Regel auf zusätzliche externe Hardware zurückgreifen müssen.

Flaschenhals vermeiden

Recht unterschiedlich fällt auch die Leistung der Firewall-Plattform als mehr oder weniger guter Beschleuniger der Prüfdurchläufe aus: In Zeiten verzögerungsempfindlicher Kommunikationsströme sollte ein solches System dazu in der Lage sein, als Paket-Filter respektive bei "Stateful Inspection" den Verkehr in beiden Richtungen ohne Geschwindigkeitsverlust mit 1 GBit/s zu verarbeiten. Firewall-Lösungen von Netzwerkherstellern, die auf leistungsstarken Router- oder Switch-Systemen basieren, haben in dieser Hinsicht durchaus Vorteile. Auch Appliances sind in puncto Durchsatz in der Regel sehr gut aufgestellt: Die Feinabstimmung zwischen Firewall-Software und der darunter liegenden Hardware macht das möglich, sofern der Server dazu die notwendige Leistungsstärke mitbringt.

Auch Hochverfügbarkeit und dynamisches Load-Balancing sind Nutznießer eines hohen Firewall-Durchsatzes. Vor allem, wenn die dazu notwendigen Funktionen per Software in die Firewall-Lösung integriert sind und dadurch stärker als zusätzliche Hardware-Boxen von der Feinabstimmung innerhalb der Firewall-Appliance profitieren. Die Umschaltung (Fail-over) auf ein Ersatzsystem geht so im Sekundenbereich über die Bühne, und zwar ohne Risiko, dass zwischenzeitlich durch Datenverluste Prüfaufträge verloren gehen und dadurch Sicherheitslöcher entstehen. Ist die Ausgangs-Firewall wieder voll betriebsbereit, kann sie ebenso nahtlos die Prüfarbeit wieder übernehmen (Fall-back).

Entsprechend kurz ist mit einer hohen Durchsatzleistung auch die Umschaltzeit, um im laufenden Betrieb per dynamischem Load-Balancing die anstehenden Prüflasten gleichmäßig auf mehrere Firewall-Systeme zu verteilen. Dadurch können Prüfaufträge auch zu Stoßzeiten ohne Verzug abgearbeitet werden. Die Umsetzung von Hochverfügbarkeit und dynamischer Lastverteilung in Software hat für den Betreiber einen weiteren Vorteil: Die Anschaffungskosten fallen dann üblicherweise erheblich geringer aus als bei Hardware-Lösungen.

Wichtig ist zudem eine ausreichende Prozessorleistung für Application Proxies. Erst dadurch können Header und Datenteile von Anwendungsprotokollen wie HTTP, FTP, Telnet, SMTP, POP-3, IMAP und auch Real Audio/Video in Fast-Echtzeit auf verdächtige Ungereimtheiten sowie gefährliche Bitmuster und Kommandostrukturen examiniert werden.

Viele Teile – ein Guß

Generell kommt man zur Ausgestaltung einer kompletten Firewall-Lösung wohl nicht daran vorbei, sich dafür Produkte unterschiedlicher Hersteller zu bedienen. Die Lösung "4 your Safety" von Siemens Business Services umfasst beispielsweise einen Fujitsu-Siemens-Server Primergy RX300 mit Corrent Turbo Card zusammen mit Check Points VPN- und Firewall-Software, Content- und Viren-Scanner von Aladdin sowie Hochverfügbarkeit und Load-Balancing per Software von Rainfinity – das Ganze auf Basis von Red Hat Linux.

Eine sorgsam erarbeitete Vorab-Integration aller Systemteile einschließlich der notwendigen Zusatzdienste durch einen "Komplettsystem-Anbieter" kann den Firewall-Auftritt erheblich erleichtern und dem Betreiber im Sinne eines wohl abgestimmten Ganzen die heterogene Last von den Schultern nehmen. Eine solches Komplettsystem stellt sich dem Unternehmen bei der Projektierung sowie im anschließenden Betrieb quasi wie "eine" Firewall dar. Und im Problemfall muss man sich nicht mit mehreren Herstellern auseinandersetzen. Bei Bedarf lässt sich zudem der Service für solche Gesamtlösungen einfacher an einen Dienstleister übertragen.

Wo auch immer die Integration stattfindet: Die hohe Firewall-Kunst besteht heutzutage darin, die leistungsstärksten Systeme und Dienste des Marktes zu einer hoch performanten, homogenen Gesamtlösung zusammenzufassen.

Bernhard Rehermann (bernhard.rehermann@siemens.com) ist Service Line Manager Security bei Siemens Business Services.