Sichere Netze durch intelligente Edge-Switches
Grenzposten
Wenn IT-Verantwortliche nach einem neuerlichen Wurm-Angriff oder einem Sicherheitsleck nach mehr Sicherheit verlangen, kommt das Gespräch unvermeidlich auf das Thema Prävention. Ein Netzwerk lässt sich von vornherein so auslegen, dass Angriffe oder Nachlässigkeiten von Anwendern keine Schäden nach sich ziehen. Intelligente Edge-Switches spielen dabei eine wichtige Rolle.
Führende Hersteller von Netzwerkgeräten favorisieren immer stärker eine Architektur, bei der
Sicherheits- und Managementfunktionen nicht wie bisher im Netzwerkkern (Core), sondern direkt in
Edge-Switches angesiedelt sind. Der Edge ist der Bereich des Netzwerks, an dem die Anwender sich
einloggen. Er besteht also im Wesentlichen aus den Switches in den Verteilerräumen, die die
Informationen direkt zum Benutzer weiterleiten, und den Schnittstellen zum Internet. Diese
Netzwerkgeräte sollen nicht länger nur dumme Knotenpunkte im Netz sein, sondern dank integrierter "
intelligenter" Funktionen eine aktive Sicherheitsrolle im Netzwerk übernehmen. Je nach
implementiertem Funktionsumfang sind sie so in der Lage, Buffer Overflows zu erkennen, Viren und
Würmer abzuwehren, unbekannte oder unsichere Clients zu isolieren oder die Patch-Verteilung zu
unterstützen. Eindringlinge sowie infizierte Dateien und Clients erhalten so gar nicht erst Zugriff
auf das Netz und können sich nicht weiter verbreiten oder Schaden anrichten.
Unterschiedliche Ansätze
Auch wenn die Grundidee dieselbe ist, so verfolgen die verschiedenen Hersteller sehr
unterschiedliche Ansätze. Manche setzen teilweise auf proprietäre Lösungen, um diese Schutzfunktion
zu ermöglichen, andere bevorzugen offene Sicherheits- und Managementstandards. Diese sollen auch im
Folgenden den Fokus bilden, um eine möglichst breite und herstellerneutrale Betrachtung zu
ermöglichen.
Entscheidend bei allen Ansätzen ist, dass die Identität des Anwenders die Basis für die
Entscheidungen am Edge liefert. Der Anwender erhält Zugriffsrechte zentral über Managementsoftware
und Datenbanken oder Verzeichnisdienste entsprechend seiner Rolle im Unternehmen. Beim Login
stellen die Edge-Geräte anhand dieses Profils eine individuelle Arbeitsumgebung zur Verfügung. So
legen die Administratoren Rechte einmal zentral fest. Deren Einhaltung kontrollieren die
Edge-Switches dann an allen Anknüpfungspunkten der Anwender am Netz.
Funktionsvielfalt
Der Layer-2-Transport mittels Ethernet ist traditionell in den meisten Unternehmen die
bevorzugte Technik für den LAN-Zugriff. Die meisten Hersteller haben ihren Edge-Switches
mittlerweile eine Reihe von Layer-2- bis Layer-4-Funktionen für Sicherheit und Management
hinzugefügt. Die Switches können so die IP-Adressen (Layer 3) und TCP/IP-Ebene (Layer 4) ein- und
ausgehender Datenpakete inspizieren. Außerdem verfügen viele Layer-2-Switches über Funktionen, um
Datenpakete anhand ihrer Layer-2- bis Layer-4-Daten zu steuern und weiterzuverarbeiten. So
unterstützen sie eine höhere Quality of Service (QoS, Dienstgüte), regelbasierte Administration und
Sicherheitsmerkmale.
Zu den gängigsten Sicherheits-Features zählen Access Control Lists (ACL). Sie nutzen die
Layer-3- und Layer-4-Informationen, um den Netzwerkzugriff anhand der IP-Adresse eines Servers oder
Clients zu blockieren oder zu gestatten. Zusätzlich können Administratoren den Anwendern anhand
ihrer benötigten Ressourcen mithilfe von ACLs Rollen zuweisen und ihnen Zugriffe auf bestimmte
Applikationen, Subnetze und Server gestatten. ACLs ermöglichen ein sehr fein abgestuftes
Zugriffsmanagement, bedürfen jedoch sorgfältiger Pflege, um immer auf dem aktuellen Stand zu sein.
Besonders in Wireless LANs (WLANs) kommen ACLs für die Zugriffskontrolle auf MAC-Ebene zum Einsatz.
Verfügen die Edge-Switches, an welche die WLAN Access Points angeschlossen sind, über integrierte
ACL-Sicherheitsfunktionen, so kann ein Edge-Switch einen Eindringling bereits beim Zugriffsversuch
direkt am Netzwerkrand abfangen.
Eine weitere Technik, die in vielen LAN-Switches Einzug gehalten hat, sind Virtual LANs (VLANs)
gemäß dem Standard IEEE 802.1Q. Sie dienen dazu, Anwender in Gruppen aufzuteilen, die jeweils
Zugriff auf ein bestimmtes VLAN erhalten. Innerhalb "ihres" VLANs haben die Anwender nur Zugriff
auf die Ressourcen, die sie wirklich benötigen. Administratoren können so innerhalb des LANs
voneinander abgeschottete VLANs für spezielle Aufgaben und Benutzergruppen einrichten. So lassen
sich sehr sensible Bereiche wie die Forschungs- und Entwicklungsabteilung sauber von
Netzabschnitten trennen, die für Gäste und Partner zur Verfügung stehen, zum Beispiel Infoterminals
oder WLANs in der Unternehmenslobby. Ohne weitere Autorisierung ist ein Zugriff von einem VLAN auf
das andere nicht möglich. Die Unternehmensinformationen sind so besser geschützt.
Viele Switches unterstützen mittlerweile die IEEE-802.1x-Authentifizierung. Sie ermöglicht
zusammen mit VLANs bereits einen sehr effektiven Zugriffsschutz. 802.1x sorgt für eine
standardisierte Port-basierte Zugriffskontrolle: Das Verfahren erzwingt vom Anwender eine
Authentifizierung beim Einloggen, bevor er überhaupt Geräte oder Ressourcen nutzen kann. Dies
verhindert, dass sich unautorisierte Clients an öffentlich zugänglichen Ports mit dem Netz
verbinden. Die Authentifizierung erfolgt im Regelfall gegenüber einem Radius-Server (Remote
Authentication Dial-in User Service). Dieser überprüft die entsprechenden Credentials
(Login-Nachweise) und gibt erst dann den Zugriff frei. 802.1x ersetzt die Authentifizierung
gegenüber einem Verzeichnisdienst wie zum Beispiel Microsoft Active Directory oder Novell
Edirectory. Der Sicherheitsvorteil von 802.1x liegt darin, dass der Switch bei fehlerhafter
Authentifizierung den Netzzugriff ganz verwehren oder aber nur auf ein unbedenkliches VLAN
freigeben kann. Clients, die sich gegenüber einem Verzeichnisdienst nicht korrekt authentifizieren,
können hingegen oft noch auf einzelne Netzwerkressourcen zugreifen. Dazu gehören beispielsweise
Drucker, ungesicherte Verzeichnisse und Dateien oder die Internetverbindung.
Manche Unternehmen standen der Einführung von 802.1x skeptisch gegenüber. Der Grund hierfür war,
dass das Protokoll ursprünglich auf Microsoft-Windows-XP-Clients angewiesen war. Clients mit
anderen Betriebssystemen trafen so zunächst auf verschlossene Netzwerktüren. Manche
Netzgerätehersteller gingen deshalb dazu über, in ihre Geräte eine zusätzliche Browser-basierte
Authentifizierung zu implementieren, die auch nicht-802.1x-fähigen Clients eine problemlose
Anmeldung ermöglicht. Zusammen mit zusätzlichen Funktionen wie der Sperrung von MAC-Adressen oder
Source-Port-Filtern steht so für alle Clients ein umfassendes Sicherheitspaket bereit.
Schutz der Infrastruktur
Anwender- und Client-basierte Sicherheitsfunktionen sind jedoch nur die eine Seite der Medaille.
Zusätzlich sollte ein Unternehmen auch die Netzwerkinfrastruktur selbst schützen, um ein Umgehen
der Sicherheitsfunktionen zu verhindern. Auch hierzu müssen die Edge-Switches über zusätzliche
Features verfügen. Nur autorisierte Netzwerkadministratoren sind dann in der Lage, die
Netzkonfiguration zu ändern. Dies lässt sich auf verschiedene Art und Weise bewerkstelligen: zum
Beispiel durch das Speichern von Anwendernamen und Passwörtern für Administratoren mit
Managementrechten und solchen mit rein operativen Zugriffsbefugnissen in einer verschlüsselten
Datenbank im Flash-Speicher des Switches. Zusätzlich besteht die Option, die Administratoren noch
gegenüber einer zweiten, externen Sicherheitsdatenbank zu authentifizieren, um ein noch höheres
Sicherheitsniveau zu erreichen.
Zum Schutz der Kommunikation zwischen dem Switch und der Managementkonsole setzen die meisten
Hersteller auf offene Standards. Das Secure-Shell-Protokoll (SSH) hat sich hier auf breiter Front
durchgesetzt. Die ebenfalls von vielen Herstellern angebotenen Web-Frontends für die Administration
setzen Secure Sockets Layer (SSL) ein, um den Datenverkehr vom und zum Switch zu verschlüsseln. So
lässt sich zum Beispiel das Abfangen von Passwörtern verhindern.
Ein ebenso einfaches wie effektives Mittel, um den Missbrauch des eigenen Netzes zu verhindern,
ist die Bandbreitenbegrenzung für einzelne Anwender oder Benutzergruppen. Auch diese Funktion
stellen immer mehr LAN-Geräte integriert bereit. Der Administrator weist so Anwendern oder
Benutzergruppen festgelegte Bandbreiten zu, um eine rollengerechte Bandbreitennutzung für alle
Teilnehmer im Netz zu erreichen. Vorteilhaft ist diese Funktion besonders in Netzen mit sehr
Download-freudigen Benutzern, wie zum Beispiel an Universitäten. Der Netzverwalter kann auch
bestimmte Verkehrstypen von vornherein im Umfang begrenzen beziehungsweise sperren, zum Beispiel
Peer-to-Peer-Daten oder Datenmuster, die für Denial-of-Service-Attacken typisch sind.
Zukunft der Edge-Switches
Die Verlagerung höherer Netzwerkfunktionen an den Edge hat gerade erst begonnen. Dieser Prozess
wird sich auch in Zukunft fortsetzen und zu einer neuen Funktionsvielfalt direkt am Edge führen.
Die weitere Entwicklung wird heutige zentralisierte Netzwerkinfrastrukturen und Core-Router oder
Routing-Switches langsam verschwinden lassen. An ihre Stelle werden intelligente Edge-Netze treten,
deren Geräte durch Interconnects zu einer leistungsfähigen Edge-Fabric (vermaschte Verbindungen
zwischen Edge-Switches) vernetzt sind. Ein einfacher Core-Backbone mit hoher Bandbreite ersetzt
dann heutige komplexe Core-Netze und -Router. Edge-Switches werden direkt an den Ports eine breite
Auswahl von Diensten und Funktionen bereitstellen. Hierzu gehören einerseits explizite Netzwerk-
und Sicherheitsservices wie Verschlüsselung und eine Deep Packet Inspection direkt durch den
Switch. Aber auch leistungssteigernde Funktionen wie Load Balancing und Caching werden direkt am
Edge zur Verfügung stehen.
Ein weiterer Vorteil liegt in der besseren Skalierbarkeit der intelligenten Edge-Switches.
Traditionelle Core-Routing-Switches sind durch die maximale Bandbreite ihrer Prozessorsubsysteme in
ihrer Skalierbarkeit begrenzt. Intelligente Edge-Fabric-Switches benötigen im Gegensatz dazu nicht
mehr die volle Funktionspalette traditioneller Core-Switches, da diese Funktionen bereits am Edge
zur Verfügung stehen. Fügt ein Administrator neue Switches am Netzwerkrand hinzu, so bringen diese
die benötigten Funktionen direkt mit. Ein Upgrade im Core ist somit nicht automatisch
notwendig.
Durch die höhere Intelligenz und Leistungsfähigkeit der Netzinfrastruktur werden außerdem
verteilte Applikationen deutlichen Auftrieb bekommen. Spezielle Funktionen für verteilte
Anwendungen ermöglichen beispielsweise das Load-Balancing für Applikationen am Edge. Andere
Anwendungsgebiete sind die Bekämpfung von Viren und Würmern direkt am Rand des Netzwerks, sodass
sie gar nicht erst in das Netz eindringen und Schaden anrichten. Anwender, die sich beispielsweise
mit einem virusinfizierten Notebook ins Netz einklinken, isoliert der Edge-Switch dann in einem
speziellen Quarantäne-Bereich des LANs. Der Virus kann sich dann nicht weiter verbreiten. Dem
Benutzer stehen automatisch Lösungen für das Problem zur Verfügung, zum Beispiel eine aktualisierte
Version seiner Antivirensoftware. Hier laufen bereits erste Bestrebungen verschiedener Hersteller.
Künftige Gerätegenerationen werden jedoch noch deutlich mehr Möglichkeiten bieten. Die höhere
Leistungsfähigkeit der Edge-Geräte wird auch zu neuen mobilen Anwendungen sowie zu einer
Weiterentwicklung des Voice- und Media-Routings führen.
Zielrichtung: Multiservice am Edge
Durch den deutlich erweiterten Funktionsumfang entwickeln sich die Edge-Switches so zu
Multiservicegeräten, die an jedem Port eine regelrechte Application-Hosting-Umgebung bereitstellen.
Neben den notwendigen Netzwerk- und Traffic-Services können die Switches durch ein intelligentes
Zugriffsmanagement direkt festgelegte Dienste starten oder auf dem Client Applikationen aufrufen.
Diese Dienste stellt das Netzwerk gemäß der Identität des sich einloggenden Anwenders individuell
bereit. Möglich macht dies zum Beispiel die Benutzerauthentifizierung über 802.1x. Dieser
Funktionsumfang reicht weit über heutige Möglichkeiten hinaus und wird Unternehmen vollkommen neue
Perspektiven im Netzwerk aufzeigen. Die zentrale Steuerung der Sicherheitsrichtlinien in
Kombination mit der Kontrolle am Edge werden ein flexibleres und kostengünstigeres Arbeiten im Netz
ermöglichen – und das bei gesteigerter Sicherheit und Benutzerfreundlichkeit.
Lesen Sie mehr zum Thema
