Grundlagen: Unified-Threat-Management:
Welche Funktionen Unified-Threat-Management-Systeme bieten

von Thomas Rottenau, bre

Share
19.11.2008

Unified-Threat-Management-Systeme sollen IT- und Telekommunikationssysteme vor Bedrohungen von außen und innen schützen. Besonders wichtig sind bei UTM-Appliances nach wie vor die Firewall und VPN-Funktionen (virtuelles privates Netz).

(Fortsetzung des Artikels von Seite 1)

Unified-Threat-Management-Systeme (UTM) sollen den sicheren und schnellen Übergang zwischen internen und externen Netzen ermöglichen. Solche UTM-Systeme vereinen Funktionen wie Firewall, VPN, IDS/IPS (Instrusion-Detection / Intrusion-Prevention), Anti-Virus, Content-Filter oder Anti-Spam auf einer Hardware-Plattform.

Eine UTM-Appliance ist zugleich aber auch eine aktive Netzwerkkomponente wie ein Switch oder ein Router, welche die Kommunikation zwischen zwei Netzwerken oder Netzwerksegmenten ermöglicht. Auf der »internen« Seite handelt es sich zumeist um Ethernet-basierte Netze, »extern« können neben Ethernet auch unterschiedliche WAN-Techniken wie ISDN, xDSL, Mietleitungen, Datendirektverbindungen, Standleitungen oder X.25 angeschlossen sein.

Platziert werden Security-Appliances in der Regel zwischen dem abzusichernden Netz oder Netzsegment und einem entsprechenden Remote-Access-System oder einer anderen aktiven Komponente. Diese ermöglicht die WAN- oder LAN-Anbindung an das externe Netz oder das benachbarte LAN-Segment.

Hierfür bieten solche Appliances heute dank des Preisverfalls zumeist Gigabit-Ethernet-Ports an. Manche Systeme stellen darüber hinaus auch eigene WAN-Anschlüsse wie ISDN oder xDSL zur Verfügung.

Schutz vor Gefahren von innen

Häufig lässt sich über einen der LAN-Ports zusätzlich eine »demilitarisierte Zone «, kurz DMZ, einrichten. In ihr stehen beispielsweise Web-Server, die von außen und innen erreichbar sein sollen.

Heutige Unternehmensnetze werden immer komplexer und das Gros der virtuellen Gefahren droht heute aus dem eigenen Unternehmensnetz, und nicht aus dem Internet. Daher gehen Netzwerkdesigner mehr und mehr dazu über, auch das interne Unternehmensnetz in einzelne Segmente zu parzellieren, die durch Security-Appliances gesichert werden.

Durch die Integration dieser Systeme in das Unternehmensnetz muss nun aber nicht nur der Datenverkehr von innen nach außen, sondern auch ein Großteil des internen Datenverkehrs UTM-Systeme passieren.

Wegen der Datenmengen, der Qualitätsanforderungen in heutigen konvergenten Netzen mit ihren Voice- und Video-Applikationen und der Leistungsfähigkeit der übrigen Komponenten im Unternehmensnetz erhöht dieses Anwendungsszenario deutlich die Anforderungen an Security-Systeme. Und zwar im Hinblick auf Performance und Funktionsumfang.

Deshalb machen Durchsatzraten im Gigabit-Bereich durchaus Sinn, und die Implementierung von Gigabit-Ethernet ist eine logische Konsequenz. Die Anforderungen an die Leistungsfähigkeit solcher Firewalls entsprechen logischerweise denen, die auch an andere Komponenten des Unternehmensnetzes wie LAN-Switches gestellt werden.

Firewall-Systeme

Unabhängig vom individuellen Konzept arbeiten Firewall-Systeme auf den Appliances generell auf den Ebenen 2 bis 7 des OSI-Referenzmodells. Funktional ist zwischen Paket-Filtern, Stateful-Inspection-Firewalls und Application-Gateways zu unterscheiden.

Paket-Filter-Systeme lesen die ein- und ausgehenden Datenpakete auf den Ebenen 2 bis 4 und gleichen sie mit einer Tabelle ab. Unerwünschte Daten werden so herausgefiltert.

Stateful-Inspection-Firewalls sind im Vergleich zu einfachen Paketfiltern »intelligenter« und arbeiten als zustandsabhängige Paket- Filter, die auch die Status- und Kontextinformationen der Kommunikationsverbindungen analysieren und protokollieren.

Application-Level-Gateways oder -Proxys stellen aufwändige Sicherheitsmechanismen über mehrere Schichten hinweg zur Verfügung. Sie entkoppeln die Netzwerke physikalisch wie logisch und können beispielsweise von jedem User eine Authentifizierung verlangen.

Mehrere Techniken in einem Gerät

Komplexere Firewall-Systeme kombinieren in der Praxis häufig verschiedene Firewall-Konzepte in einer Lösung. Application-Level-Gateways oder -Proxys analysieren den Inhalt der Datenströme, und nicht nur die Header der Datenpakete, wie das Paket-Filter- und Stateful-Inspection-Firewalls tun. Das hat zur Folge, dass ihr Rechenaufwand deutlich größer ist und das Mehr an Sicherheit zu Lasten der Performance gehen kann.

Das bedeutet, dass für die gleiche Performance – beispielsweise Gigabit-Ethernet-Leitungsgeschwindigkeit – eine deutlich leistungsfähigere Hardware erforderlich ist.

Um die Tests von UTM-Systemen trotzdem fair und vergleichbar zu halten, hat Network Computing an alle Geräte, die zum Vergleichstest antraten, die gleichen Anforderungen gestellt und ein Standard-Rule-Set definiert. Dieses mussten die Hersteller zunächst konfigurieren.

Universelle Sicherheitssysteme auf dem Vormarsch

Firewalls bestehen aus Hard- und Softwarekomponenten, die häufig von unterschiedlichen Herstellern stammen und individuell kombiniert werden. Bei den Security-Appliances, die unter anderem Firewall- und VPN-Funktionen bieten, handelt es sich um Komplettlösungen. Sie werden in diversen Leistungsklassen angeboten und sind für unterschiedliche Einsatzszenarien konzipiert.

Neben der Firewall integrieren die Hersteller weitere Eigenschaften in ihre Boxen. Deshalb werden immer mehr universelle Security-Appliances angeboten, die neben der Firewall Virtual-Private-Networks, Intrusion-Detection/Prevention und andere Security- und Kommunikationsfunktionen enthalten.

Andererseits statten die Hersteller von »klassischen« aktiven Komponenten wie Switches oder Routern diese zunehmend mit Firewall-und anderen Security-Funktionen aus. Das hat zur Folge, dass derzeit ein heterogenes Feld von Systemen auf dem Markt ist.

Diverse Klassen von Security-Systemen

Die Hersteller teilen Security-Appliances in Leistungsklassen ein, die für die entsprechenden Anwendungsszenarien entwickelt werden und sich deutlich in Leistungsvermögen und Preis unterscheiden. Die preisgünstigsten Geräte bilden die Gruppe der Small-Office/Home-Office-Systeme. Dann folgt das breite und heterogene Feld der Mittelklasse, häufig Medium-Business genannt.

Die leistungsfähigen High-End-Systeme bilden dann die Enterprise- und Carrier-Klasse. Durch den Preisverfall der Gigabit- Ethernet-Adapter sind inzwischen fast alle aktuellen Systeme unabhängig von der Leistungsklasse mit Gigabit-Ethernet-Adaptern ausgestattet. Eine Unterscheidung zwischen Fast- und Gigabit-Ethernet-Geräte ist daher nicht mehr sinnvoll.

VPN inklusive

Neben der klassischen Firewall gehört der Aufbau von VPNs zur Standardfunktion von Security-Appliances. Virtuelle private Netzwerke (Virtual-Private-Networks oder kurz VPNs), sollen einer geschlossenen Gruppe von Rechnern eine geschützte Kommunikation über ein potenziell unsicheres Netz hinweg erlauben.

Die logisch geschlossene Verbindung, auch VPN-Tunnel genannt, wird durch kryptografische Algorithmen ermöglicht. Diese verschlüsseln die zu schützenden Datenströme und entschlüsseln sie wieder an der Gegenstelle.

Für diese Verschlüsselung gibt es eine ganze Reihe von Standards wie DES, 3DES oder AES. Über die Sicherheit solcher Verbindungen entscheidet wie bei anderen kryptografischen Verfahren nicht zuletzt die Länge der eingesetzten Schlüssel. Mechanismen wie Authentifizierung und Autorisierung sorgen zusätzlich dafür, dass keine unerwünschten User in das private Netz eindringen.

Technisch bauen Unternehmen ein solches VPN auf, indem sie an den Übergangsstellen zwischen sicherem und unsicherem Netzwerk ein VPN-System installieren. Die wesentliche Verschlüsselungsfunktion ist zumeist in Software abgebildet. Das bedeutet, dass die Funktionalität sehr rechenintensiv ist und eine gute Performance eine entsprechend leistungsfähige Hardware voraussetzt.

Es gibt aber auch VPN-Lösungen, die Hardware-näher realisiert sind und dann entsprechend leistungsfähiger sein können.
Verwandte Artikel