![[Foto: Klaus Lenssen]](06-3-054-1-400.jpg)
Klaus Lenssen, Cisco Systems: Ein "intelligenter" Switch ermöglicht, dass Sicherheit auf der Ebene der Geschäftsprozesse voll greifen kann.
Ob IT-Sicherheit besser über spezielle Systeme oder doch gleich im Switch behandelt werden sollte, darüber gehen die Meinungen auseinander. Hersteller so genannter Application-Switch-Systeme sehen die Integration von Sicherheitsfunktionen innerhalb ihrer Lösungen naturgemäß als sinnvoll an. Andere Hersteller warnen davor, den Switch-Systemen zu viele Sicherheitsaufgaben aufzubürden und sehen darin gegebenenfalls sogar eine zusätzliche Gefährdung.
Wie sieht der generelle Steckbrief eines Application-Switch-Systems aus? Es identifiziert und prüft den Anwendungsdatenverkehr im Netz, sortiert "falsche" Pakete aus, registriert Verfügbarkeitsprobleme und Performance-Engpässe, verlagert beziehungsweise verteilt Anwendungsströme und priorisiert sie. Der ausgeprägte Trend zu Voice-over-IP (VoIP) pusht die "intelligenten" Switche zusätzlich, da hiermit zunehmend zeitkritische Datenströme wie Telefonie und Echtzeit-Videos im LAN Einzug halten, die schnell umgesetzt werden müssen.
Laut dem Analystenhaus Forrester buhlen nach einer kräftigen Marktkonsolidierung noch zwei Secure-Application-Switch-Arten für den Einsatz in den lokalen Netzwerken um die Gunst potenzieller Kunden: so genannte Data-Center-Beschleuniger, vertreten durch Hersteller wie Cisco Systems, F5 Networks, Radware und Foundry Networks, sowie asymmetrisch aufgebaute Applikations-Beschleuniger mit integriertem Load-Balancer, die als so genannter Application Delivery Controller (ADC) direkt der Server-Farm vorgeschaltet werden. In diesem Feld bieten, neben den Vorgenannten, Hersteller wie Citrix Systems, Juniper Networks, Nortel Networks, Array Networks und Akamai Technologies ihre Switching-Offerten an.
Allen Angeboten ist gemeinsam, dass sie über die Zeit kräftig mit Sicherheitsfunktionen aufgerüstet worden sind. Diese reichen mittlerweile vom Malware-Scanner, Intrusion Prevention System (IPS) und Application-Level-Firewalls über Content-Filtering, die Abwehr von (Distributed)-Denial-of-Service-Attacken bis hin zur Terminierung verschlüsselter Secure-Sockets-Layer-Verbindungen (SSL). Vor allem der Markt für ADCs hat in den letzten Quartalen deutlich an Schwung gewonnen, glaubt man dem Marktforschungsinstitut Gartner.
Für Michael Frohn, General Manager für Central Europe bei F5 Networks, steht außer Frage: "Sicherheit und Applikationen gehören zusammen. Deshalb sollten auch wichtige Sicherheitsfunktionen in Hochgeschwindigkeit direkt vom Application-Switch-System absolviert werden." Nur diese können seiner Meinung nach über Anschlussgeschwindigkeiten von 1–10 GBit/s und per Einblick in die Applikationsebene trotz vielfältiger Sicherheitsprüfungen eine hohe Zugriffs- und Geschäftsprozess-Performance durchhalten. Die hardwarebasierte Verarbeitung sei ein zusätzlicher Garant dafür, dass es auch bei umfangreichen Sicherheitschecks zu "keinen spürbaren Delays" komme, so Frohn weiter. Als integrierten Sicherheitsschirm führt F5 Networks für seine Layer-4/7-Switch-Plattform das Application-Security-Modul Traffic Shield ins Feld, das zudem eine Web-Application-Firewall umfasst: "Geschäftsdaten und -anwendungen sind dadurch vor Hackern, bösartigem Code, Buffer-Overflows, Day-Zero-Attacken, SQL-Injektionen und Cross-Site-Scripts weitgehend sicher", ist der General Manager überzeugt. Auch Eingaben der Benutzer und die zurückgegebenen Inhalte würden geprüft – auf diese Weise, so Frohn, können nur zulässige Datenbank- und Anwendungstransaktionen den Switch passieren. Ebenso hält er eine Zugriffskontrolle mit Quarantäne-Option und das Sammeln von Analysedaten und Anhaltspunkten für ein späteres Vorgehen gegen Angreifer durch Switch-Funktionen für sinnvoll.
Klaus Lenssen, Cisco Systems: Ein "intelligenter" Switch ermöglicht, dass Sicherheit auf der Ebene der Geschäftsprozesse voll greifen kann.
Klaus Lenssen, Business Development Manager Security bei Cisco Systems, sieht den eigentlichen Sicherheits-Mehrwert von Application-Switch-Systemen hingegen weniger in integrierten Standard-Schutzsystemen wie Application Firewalls und IPS: "Ihre Aufgaben werden ohnehin in den Unternehmen von bereits bestehenden, externen Security-Systemen absolviert." Viel wichtiger sei für die Unternehmen die "Switch-Intelligenz", die es ermöglicht Syntax und Semantik von Business-Objekten zu durchdringen: "Nur so kann Sicherheit voll auf der Ebene der Geschäftsprozesse greifen", ist Lenssen überzeugt. Integrierte Sicherheitsvorkehrungen könnten dadurch eine neue Security-Dimension erreichen. Die entsprechende Architektur nennt Cisco Application-Oriented Network (AON). Die Möglichkeit DoS-Angriffe wie beispielsweise SYN-Flood-Attacken über Application-Switch-Systeme – etwa auf Basis von Catalyst 6500- oder der 2800er/3800er-Plattformen mit Erweiterungsmodulen der dDoS-Guard-Familie – abzuwehren, ohne dass Datenbankzugriffe oder Geschäftsabläufe spürbar ausgebremst werden, sieht Lenssen ebenfalls als bedeutend an. Und nicht zu vergessen seien die Vorteile von Switch-Security beim Durchgriff ins WLAN – am Beispiel der eigenen Systeme: "Über die Wireless LAN Solution Engine (WLSE), Teil von Ciscos Structured Wireless Aware Network (SWAN)", so der Cisco-Manager, "greifen die Switch-integrierten IPS-Funktionen auch gegenüber drahtlosen 802.11-Verbindungen."
Die Kombination aus Fluss-Kontrolle, -Beschleunigung und IT-Security haben sich Foundry Networks auf ihren Application-Switch-Systemen der Iron-Familie auf die Fahnen geschrieben – konkret mit Traffic Works und der Total Content Inspection Engine. Stefan Schweizer, bei Foundry Networks in Deutschland als Account Manager für Application Switching zuständig, verweist zudem auf die Sicherheitsfunktionen gegenüber webbasierten wie klassischen Applikationen: "Prüfung der Persistenz von Applikationen, Virus- und Wurmschutz, Blocken von Spam-Attacken, Application-Level-Firewall, Abwehr von DoS-Angriffen", zudem auf "tiefgehende Analysefähigkeiten". Als Beispiel für die Leistungsfähigkeit der Sicherheit im Switch nennt Foundry mit besonderem Stolz die mögliche Abwehr von 1,5 Millionen DoS-Attacken pro Sekunde über das Iron-System, attestiert durch die Tolly Group. Dennoch fährt das Unternehmen "zweigleisig": Schweizer kann mit Secure Iron auch eine dedizierte Hardware als Unified-Threat-Management-(UTM)-System ohne Application-Switch-Funktionalität anbieten, falls die geballte Ansammlung von Sicherheitsmechanismen auf dem Switch einem Kunden zuviel ist.
Das sei genau das Grundproblem von Secure Application Switching, nimmt Holger Preckel, Leiter Sales Support Mehrwertdienste und Applikationen bei Alcatel, die indirekte Vorlage von Schweizer auf: "Darauf sind mittlerweile zu viele Sicherheitsmechanismen angesiedelt. Das wiederum macht diese Switch-Systeme hoch komplex, äußerst aufwändig in der Administration, fehler-, damit störanfällig und für Angreifer zu einem lohnenden Ziel." Und bei einem erfolgreichen Angriff sei unmittelbar die Kommunikation im Netz betroffen, warnt er die Entscheider. Außerdem sieht Preckel wenige Gründe, wieso ein Unternehmen bereits bestehende, dedizierte Sicherheitssysteme wie Application-Level-Firewalls, IPS, Content- und Viren-Filter abschaffen sollte, um deren Funktionen über einen Switch abzubilden. Auch der Zugewinn an Applikations-"Intelligenz" und damit die Möglichkeit, Sicherheitsfilter auf Teile von Applikationen oder Datenbeständen auszurichten, rechtfertige kaum die beträchtlichen Neuinvestitionen in Secure-Application-Switch-Systeme.
![[Foto: Holger Preckel]](06-3-054-2-400.jpg)
Holger Preckel, Alcatel: Umfassende Sicherheitssysteme machen einen Switch komplex, anfällig und angreifbar.
Auf die Zusammenarbeit von Alcatel mit F5 Networks angesprochen, stellt Preckel klar: "Wir nutzen zwar die Produkte des Herstellers bei Kundenprojekten zur Optimierung und Beschleunigung von Kommunikationsprozessen – in der Regel aber ohne die integrierten Sicherheitsmechanismen." Stattdessen greift Alcatel zur Lösung spezifischer Security-Anforderungen unter anderem auf das Produktportfolio von Check Point zurück, mit dem Alcatel eine strategische Partnerschaft verbindet. Preckel sieht sogar den Stern von Application-Switch-Systemen mit ihren Grundfunktionen wie Flow Control und Traffic-Management auf lange Sicht sinken: "Über hohe Ethernet-Bandbreiten im lokalen Netz von 1 GBit/s und bald 10 GBit/s wird beides in den Unternehmen immer weniger nachgefragt sein." Nur an den Weitverkehrsschnittstellen mit weiterhin relativ knappen Bandbreiten sähe die Ausgangssituation für Application Switching besser aus. Der Blick in die LAN-Einsatzpraxis scheint die Ansicht des Alcatel-Managers zu bestätigen: Hier übernehmen bisher Application-Switch-Systeme meist nur Aufgaben wie Hochverfügbarkeitsauslegung und Lastverteilung, häufig nicht einmal das Verkehrsmanagement.
Alexander Waska, Produktmanager Data Solutions bei Avaya und zuständig für Deutschland, sieht ebenfalls mehr Nachteile als Vorzüge, wenn Application-Switch-Systeme mit Sicherheitsfunktionen überfrachtet werden. Er hält mehr davon, solche Prüfaufgaben an eine separate UTM-Appliance zu delegieren: "Diese Lösung ist nicht nur für das Unternehmen wirtschaftlicher, sondern auch einfacher in der Handhabung – zudem stabiler", sagt er. Sinnvoll sei dagegen eine SSL-VPN-Funktion auf Switch-Systemen: "Weil SSL-VPNs auf gleicher Ebene wie die Web-Zielapplikationen operieren, sind durchgehende, verschlüsselte Sitzungstunnel möglich, ohne dass Teilnehmer oder Anwendungen spürbare Performance-Einbußen bei den Zugriffen hinnehmen müssen", erklärt er. Für die herstellereigene SSL-VPN-Lösung verweist Waska auf eine parallele Verarbeitung von bis zu 11 000 Sitzungen pro Sekunde.
Waska plädiert aus einem weiteren Blickwinkel heraus dafür, nur wenige, ausgewählte Sicherheitsmechanismen auf Application-Switch-Systemen einzusetzen: "Anders als SSL-VPN sind alle anderen Sicherheitsmechanismen nicht standardisiert." Die Konsequenz für das Unternehmen sei, dass sich mit jedem zusätzlichen integrierten Sicherheitswerkzeug die Bindung an den Hersteller verstärke, dessen Systeme man einsetzt. Daneben sprechen nach seiner Einschätzung organisatorische Gründe dagegen, Flussoptimierung und Sicherheit in einem System zu bündeln: "In vielen Unternehmen sind beide Zuständigkeiten in Form separater Abteilungen getrennt." Müssten sich fortan beide Bereiche auf ein System konzentrieren, wären internes Kompetenzgerangel und Reibungsverluste schon programmiert. Außerdem, so Waska weiter, sei es wenig sinnvoll, in den Unternehmen sicherheitsstrategische Überlegungen, die sich eng an den Geschäftszielen orientieren, mit der Kommunikationskontrolle im Netz zu vermischen.
So oder so: Der Markt für Secure Application Switching ist in Bewegung geraten, davon zeugen – zumindest auf Anbieterseite – auch zahlreiche Firmen-Übernahmen: F5 Networks hat sich 2005 Swan Labs einverleibt, Juniper hat Peribit und Redline gekauft, Cisco Systems haben (schon 2004) Actona übernommen, 2005 kam Fineground hinzu und der Serverbased-Computing-Anbieter Citrix hat, ebenfalls im vorigen Jahr, Netscaler gekauft. Und wie viel Sicherheit in Application-Switches tatsächlich gefragt ist, wird wohl letztlich erst die Nachfrage der nächsten Jahre entscheiden.
Hadi Stiel ist freier Journalist und PR-Berater in Bad Camberg.
© SecuMedia-Verlags-GmbH, 55205 Ingelheim (DE),
<kes> 2006#3, Seite 54
| 