Vergleichstest Security-Appliances:
Sicherheit trifft Quality-of-Service

von Werner Veith (werner.veith@networkcomputing.de), Thomas Rottenau, Prof. Dr. Bernhard Stütz

Share
11.05.2009

Security-Appliances schützen mittlerweile nicht nur das Unternehmensnetz, sondern auch einzelne Segmente. Damit stellen sich an diese Geräte ähnliche Anforderungen bei Quality-of-Service wie bei Switches.

Unified-Communcations bedeutet für viele Unternehmen, alle ITK-Datenströme zwischen den Unternehmensstandorten über eine technische Infrastruktur zu lenken. Um diese sensiblen Datenströme im unsicheren WAN zu schützen, werden VPN-Tunnel zwischen den Standorten etabliert. Durch diese Tunnel laufen alle Datenströme des Unternehmens, also auch Real-Time-Anwendungen wie VoIP oder Video-over-IP. Hierzu setzen die IT-Verantwortlichen in den Unternehmen Security-Appliances ein. Solche Systeme vereinen Firewall, VPN sowie diverse weitere Funktionen auf einer Hardware-Plattform. Um den zuverlässigen Betrieb auch für echtzeitfähige Anwendungen wie die IP-Telefonie zu garantieren, müssen diese Systeme einige Voraussetzungen erfüllen. Dazu gehören die Datenpriorisierung sowie ein intelligentes Bandbreitenmanagement.

Analysen der Verteilung der Framegrößen haben beispielsweise für das MCI-Backbone oder Business-DSL-Links ergeben, dass rund 50 Prozent aller Datenrahmen in realen Netzwerken 64 Byte groß sind.

Eine Security-Appliance ist im Grunde eine aktive Netzwerkkomponente, wie ein Switch oder ein Router. Sie ermöglicht einmal die Kommunikation zwischen zwei Netzwerken oder Netzwerksegmenten. Weiter hat sie aber auch eine Überwachungs-, Kontroll- und Schutzfunktion, um die Unternehmenskommunikation beispielsweise vor unerwünschtem Datenverkehr oder Zugriffen zu schützen.

Bei der Netzseite im Unternehmen handelt es sich zumeist um auf Ethernet basierende Netze. Auf der externen Seite existieren neben Ethernet-Netzen auch die unterschiedlichsten WAN-Verbindungen wie xDSL, Mietleitungen, Datendirektverbindungen, Standleitungen oder X.25. Die Security-Appliances stehen in der Regel zwischen dem abzusichernden Netz oder Netzsegment und einem entsprechenden Remote-Access-System oder einer anderen aktiven Komponente.

Diese realisieren die WAN- oder LAN-Anbindung ins externe Netz oder zum benachbarten LAN-Segment. Hierfür bieten solche Appliances Fast-Ethernet- und häufig auch Gigabit-Ethernet-Ports an. Manche Systeme stellen darüber hinaus auch eigene WAN-Anschlüsse wie ISDN oder xDSL zur Verfügung. Bei vielen Appliances lässt sich über einen der LAN-Ports zusätzlich eine demilitarisierte Zone (DMZ) einrichten. In dieser stehen beispielsweise Web-Server, die von außen und innen erreichbar sein sollen.

Die Komplexität der heutigen Unternehmensnetze nimmt zu. Hinzu kommt die Erkenntnis, dass das Gros der virtuellen Gefahren aus dem eigenen Unternehmensnetz und nicht aus dem Internet droht. Daher gehen Netzwerkdesigner mehr und mehr dazu über, auch das interne Unternehmensnetz in einzelne Segmente einzuteilen. Security-Appliances sichern diese gegeneinander ab. Dies hat zur Folge, dass nicht nur der Datenverkehr intern – extern, sondern auch ein Großteil des internen Datenverkehrs entsprechende Systeme passieren muss.

Die Anforderungen an Security-Systeme im Hinblick auf Performance und Funktionen haben sich deutlich erhöht. Dies liegt an den Datenmengen und den Qualitätsanforderungen von konvergenten Netzen mit Voice- und Video-Applikationen. Außerdem ist auch die Leistungsfähigkeit der übrigen Komponenten im Unternehmensnetz gewachsen.

In Anbetracht dieser Situation sind Durchsatzraten auch im Gigabit-Bereich durchaus sinnvoll. Die Implementierung der Gigabit-Ethernet-Technologie ist eine logische Konsequenz. Die Anforderungen an die Leistungsfähigkeit solcher Appliances entsprechen dann logischerweise denen, die auch an andere Komponenten des Unternehmensnetzes wie LAN-Switches gestellt werden.

VPN inklusive

Neben der klassischen Firewall ist der Aufbau von VPNs eine Standardfunktion von Security-Appliances. Den VPN-Tunnel realisieren kryptografische Algorithmen, die die zu schützenden Datenströme verschlüsseln und an der Gegenstelle wieder entschlüsseln. Für diese Verschlüsselung gibt es eine ganze Reihe von Standards wie DES, 3DES oder AES.

Über die Sicherheit solcher Verbindungen entscheidet – wie bei anderen kryptografischen Verfahren auch – nicht zuletzt die Länge der verwendeten Schlüssel. Mechanismen wie Authentisierung oder Autorisierung sorgen zusätzlich dafür, dass keine unerwünschten User in das private Netz eindringen.

Die wesentliche Verschlüsselungsfunktionalität ist zumeist in Software abgebildet. Dies ist sehr rechenintensiv: Eine gute Performance setzt daher eine entsprechend leistungsfähige Hardware voraus. Es gibt aber auch VPN-Lösungen, die Hardware-näher realisiert sind und dann entsprechend schneller sein können.

Auswirkungen von Datenverlusten

Die Systeme im Testfeld wurden mit sehr unterschiedlichen Frame-Formaten belastet. Dabei ist es von besonderem Interesse, welche Lasten und Frame-Größen in realen Netzen vorkommen. Bei klassischen Dateitransfers arbeitet das Netzwerk mit möglichst großen Datenrahmen. Bei Echtzeit-Applikationen teilt sich das Feld. Video-Übertragungen nutzen ähnlich den Dateitransfers relativ große Datenrahmen. Voice-over-IP bewegt sich dagegen im Feld kleiner und mittelgroßer Frames.

Messungen mit Ethernet-LAN-Phones der ersten Generation in den Real-World Labs haben beispielsweise ergeben, dass diese Voice-over-IP-Lösung die Sprache mit konstant großen Rahmen von 534 Byte überträgt. Ein aktuelles SIP-Phone verwendet 214 Byte große Frames. Derzeitige Lösungen überlassen es dem IT-Verantwortlichen selbst festzulegen, mit welchen Frame-Größen die Systeme arbeiten sollen.

Dabei sollte der IT-Verantwortliche berücksichtigen, dass der Paketierungs-Delay mit kleiner werdenden Datenrahmen kleiner wird. Dagegen wächst der Overhead, der zu Lasten der Nutzdatenperformance geht, je kleiner die verwendeten Pakete sind. Generell kann man bei der IP-Sprachübertragung davon ausgehen, dass kleine Frames verwendet werden. Die meisten Web-Anwendungen nutzen mittelgroße Datenrahmen. Die kleinstmöglichen Frames von 64 Byte lassen sich dagegen beispielsweise bei den TCP-Bestätigungspaketen oder interaktiven Anwendungen wie Terminalsitzungen messen.

Dass es erst gar nicht zu spürbaren Datenverlusten im Netzwerk kommt, ist Aufgabe der Priorisierungsmechanismen. Bei entsprechender Überlast im Netz sind Datenverluste unvermeidbar, jedoch sollen sie durch die Priorisierungsmechanismen in der Regel auf nicht echtzeitfähige Applikationen verlagert werden. Arbeitet diese Priorisierung nicht ausreichend, kommt es auch im Bereich der höher priorisierten Daten zu unerwünschten Verlusten. Dieses Verhalten ist daher auch für Security-Appliances wichtig, die in entsprechenden Netzen zum Einsatz kommen. Weitere Informationen zu Quality-of-Service im Netz finden sich im Artikel »Warum Quality-of-Service heute wichtig ist [1]«.

[1] warum-quality-of-service-heute-wichtig-ist/

Verwandte Artikel