Switches übernehmen mehr Sicherheitsaufgaben

Zusätzlicher Sheriff im Netzwerk

8. März 2005, 23:55 Uhr | Dr. Wilhelm Greiner

Gehobene LAN-Switches glänzen heute nicht nur durch Leistungskraft, Port-Dichte und schier endlose Listen von Forwarding-, Routing- und Management-Features: Zunehmend rücken Security-Aspekte in den Blickpunkt der Switch-Hersteller. Praktisch alle namhaften Anbieter verweisen heute auf Strategien zur Netzwerk-Security. Diese Strategien befinden sich in unterschiedlichen Stadien der Umsetzung. In der Praxis dominieren aber punktuelle Maßnahmen.

In den letzten Jahren haben die Switch-Hersteller ihre Geräte für anspruchsvolle Aufgaben wie
die Übernahme paketbasierten Sprachverkehrs (Voice over IP, VoIP) gerüstet: durch Einführung von
Funktionen für Hochverfügbarkeit, Priorisierung, VLAN- (Virtual LAN) und Bandbreitenmanagement
sowie Stromversorgung (Power over Ethernet, PoE). Neben Highend- und Midrange-Switches bieten heute
auch schon zahlreiche Angebote aus dem unteren Marktsegment Management-Features und
PoE-Fähigkeit.

Ein hochverfügbares konvergentes LAN benötigt aber auch schlüssige, ineinander greifende
Sicherheitsmechanismen. Schließlich gilt es, Horrorszenarien zu vermeiden, etwa dass
Denial-of-Service-(DoS-)Angriffe neben dem Datenverkehr auch die Sprachkommunikation eines
Unternehmens lahmlegen. Entsprechend verweisen heute praktisch alle bekannten Switch-Anbieter auf
eigene Sicherheitsstrategien und -konzepte. Egal ob unter dem Namen "Self-Defending Network"
(Cisco), "Edge Fabric" (Hewlett-Packard) oder "Crystalsec" (Alcatel) – Einigkeit herrscht in der
Einsicht, dass die Netzwerkinfrastruktur der Zukunft inhärent sicher sein muss, damit die
Konvergenzstrategien nicht ins Leere laufen.

Ziel: inhärente Sicherheit

"Sicherheitsfunktionen werden immer stärker von zentralen Punkten der Infrastruktur nach außen,
näher zum angeschlossenen Endgerät verlagert", so Klaus Lenßen, Security-Spezialist bei Cisco. Denn
bei mangelhafter Sicherheit oder fehlerhaftem Patch-Management könnten Endgeräte der Verfügbarkeit
des Netzes und damit den Geschäftsprozessen schaden. Es sei heute "zwingend erforderlich", stimmt
Martin Krausch, Senior Systems Engineer bei Alcatel, zu, dass LAN-Switches nach der Identifikation
eines potenziellen Angriffs den Angreifer isolieren und unerwünschten Datenverkehr unterbinden
können. Bezüglich der Fähigkeit, potenzielle Angreifer in Quarantäne zu setzen, sehen die
Marktfortscher von Forrester in einer Studie vom Herbst 2004 allerdings große Unterschiede zwischen
den Herstellern: "Die erste Phase der Netzwerkquarantäne nutzt einen Client-basierten Ansatz. Mit
der Ausnahme von Enterasys und Alcatel werden die meisten Anbieter eine zweite Phase benötigen, um
das Niveau von Ausgereiftheit zu erreichen, auf dem die Netzwerk-Router und -Switches aktiv an der
Quarantäne von Hosts mit potenziellen Viren oder Würmern teilnehmen können." (Bild 1)

Ein treibender Faktor bei der Verlagerung von Sicherheitsfunktionen auf die Netzwerkgeräte ist
der Umstand, dass das klassische Modell einer Absicherung nach außen (Perimeter Security) zu kurz
greift. Oft verstoßen Mitarbeiter im Unternehmen gegen Sicherheitsrichtlinien – absichtlich oder
versehentlich. "Die Mitarbeiter nehmen Laptops mit nach Hause und fangen sich dort eine
Virusinfektion ein – und wieder im Unternehmen verbreiten sie den Virus im ganzen Netz", nennt Gary
Hemminger, Foundrys Director Edge Product Marketing, ein Beispiel. Sicherheitsfunktion auf
LAN-Switches erlauben es hier laut Markus Nispel vom Office of the CTO bei Enterasys, "eine
Kontrollmöglichkeit direkt am Netzzugang zu etablieren, die weit über eine einfache
Firewall-Funktion hinausgeht".

Die Umsetzung des hohen Anspruchs inhärenter Netzwerksicherheit erfordert eine Reihe teils
komplexer Maßnahmen. Die Basis bildet eine auf Hochverfügbarkeit ausgelegte Switch-Architektur und
ein Betriebssystemcode, der anspruchsvollen Qualitätssicherungsstandards genügt. Daran schließt
sich die Absicherung des Admin-Zugriffs auf den Switch an. Je nach Ansatz eines Herstellers kommen
den Edge-, Distribution- und Core-Switches unterschiedlich gewichtete Rollen zu: Sie reichen von
der Erkennung und Blockierung unberechtigter Zugriffe über die Interaktion mit Security-Equipment
bis hin zum Begrenzen oder Sperren auffälliger, eventuell schädlicher Datenströme. Über
Schnittstellen im Betriebssystem leitet der Switch dazu gespiegelten Traffic zur Analyse an ein IDS
oder IPS (Intrusion Detection/Prevention System) weiter und reagiert auf dessen Analyse.

Diese Interoperabilität zwischen Netzwerkgeräten, Security-Equipment und Client-seitigen
Endgeräten ist mit Blick auf die Sicherheit sehr bedeutsam – aber bislang häufig nur punktuell und
herstellerbezogen umgesetzt. Ein wichtiger Baustein für bessere Interoperabilität sind
herstellerübergreifende Initiativen wie Network Access Control (NAC), das NAP-Framework (Network
Access Protection) oder auch die Trusted Computing Group. Die Cisco-Initiative NAC zielt darauf ab,
Client-Endgeräte auf ihren Softwarestand hin überprüfen zu können. Mit NAP will Microsoft einen
De-facto-Standard für Client-Integritätsprüfungen schaffen. Zusammen mit Branchengrößen wie HP,
IBM, Intel und AMD verfolgen die Redmonder dieses Ziel schon seit geraumer Zeit im
Branchenkonsortium Trusted Computing Group. Jüngst gesellte sich mit Voipsa (Voice over IP Security
Alliance) eine Gruppe hinzu, zu der neben Avaya und Siemens auch Alcatel gehört.

Mehrstufige Sicherheitskonzepte

Ein umfangreiches, schlüssiges Sicherheitskonzept ist Alcatels "Crystalsec Information Security
Framework". Der Ansatz unterteilt den Sicherheitsbedarf in drei Segmente: Security "of the Device"
(des Switches selbst), "to the Device" (der Verbindung zum Switch) und "through the Device" (des
Datenverkehrs). Unter "Security of the Device" fallen die Resistenz des Switches gegen DoS-Attacken
sowie das Ausschließen von Backdoors (Hintertüren). Zu "Security to the Device" zählen sichere
Managementverbindungen über verschlüsselte Kommunikationspfade via SNMPv3, SSL oder SSH, aber auch "
Partitioned Management", also die zeitliche oder qualitative Einschränkung der Zugriffsrechte
verschiedener Administratoren bis hinunter zum Ausführen oder Einsehen einzelner Befehlsgruppen auf
bestimmten Ports. "Security through the Device" schließlich umfasst die Authentifizierung der
Anwender anhand von Benutzername und Passwort oder durch Maschinendaten (MAC- oder IP-Adresse,
Bit-Signaturen etc.). Dazu gesellen sich Standardmechanismen wie ACLs (Access Control Lists) und
das Zuweisen authentifizierter Benutzer zu Arbeitsgruppen mittels VLANs.

"Über die einfache Port-Authentifizierung via IEEE 802.1x hinaus ist es bei Alcatel-Systemen
möglich, weitere Maschinendaten wie die Aktivierung eines Virenscanners oder das erfolgreiche
Update der Virendateien auf den PCs abzuprüfen", so Krausch. "Entspricht ein PC nicht dem
Sicherheitsprofil des Unternehmens, wird der Anwender automatisch in ein Quarantäne-Umfeld
umgelenkt, wo er selbstständig sicherheitsrelevante Updates durchführen kann." Sobald sein System
wieder dem zentral definierbaren Sicherheitsprofil entspricht, lasse es der Switch vollautomatisch
zu seinem VLAN zu. Als potenzielle Angreifer erkannte Benutzer könne das Gerät lokalisieren und
jeglichen Datenverkehr auf Port-Ebene unterbinden.

Dieses Ziel verfolgt auch Marktführer Cisco mit dem "Self-Defending Network". Das Konzept
umfasst vier Bereiche: sichere Übertragung, Netzwerkabsicherung, Content Inspection und
Endgeräteschutz. Zur Verwirklichung setzt Cisco auf die hauseigenen Switches, Router und Firewalls
sowie im Rahmen von NAC auf Client-seitige Agenten (Cisco Security Agent, CSA 4.5). Ciscos
Switch-Managementmodul Supervisor 32 kommt ab Werk mit zahlreichen Sicherheitsfunktionen wie
hardwarebasiertem Layer-2/3-Rate-Limiting, IP Source Guard (DHCP-Snooping), Port-ACLs,
MAC-basiertem QoS (Quality of Service), Control-Plane Protection (Rate Limiting zur Control-Plane)
und 802.1x einschließlich spezieller Extensions (siehe den Beitrag "Gralshüter" auf Seite 82). Laut
Cisco wehrt der Catalyst mit Supervisor Engine 32 und Policy Feature Card 3 (einer
Supervisor-Tochterkarte) mehr als 20 DoS-Varianten ab. Für Ausfallsicherheit mit Stateful Failover
in unter einer Sekunde sorgt Nonstop Forwarding (NSFO) mit Stateful Switchover (SSO).

Zum Schutz vor unerwünschten Endgeräten (Rogue Devices) bietet Enterasys ähnlich Cisco einen
Client-basierten, zudem aber auch einen Client-losen Ansatz. Letzterer nutzt eine bidirektionale
Kommunikation mit externen Vulnerability-Scannern wie Nessus oder Bindview. "Dynamic Intrusion
Response" unterbindet schädliche Zugriffe dann laut Enterasys gleich am Access-Port. Der Check des
Virenscanner-Status auf PCs erfordert aber Agenten.

Markus Nispel von Enterasys weist darauf hin, dass die reine 802.1x-Authentifizierung zu kurz
greift: "In Zukunft werden Konvergenzlösungen mehr heterogene Endsysteme ans Netz bringen, die auch
authentisiert werden müssen." Hier seien MAC- und Web-Authentication sowie LLDP-MED (Link Layer
Discovery Protocol – Media Endpoint Discovery) wichtige Bausteine. Enterasys-Switches unterstützen
diverse Authentifizierungsverfahren sowie mehrere Benutzer und Policies pro Port. Alcatel will
derlei noch im ersten Quartal 2005 einführen. Mit User-based Provisioning sowie Multi-MAC-basiertem
802.1x wartet Nortel auf: Jeder Anwender erhalte so gemäß 802.1x-Login an jedem Switch-Port
identische Security- und QoS-Eigenschaften.

Sicherheit ist aber nicht nur eine Frage der Zugriffssicherung, sondern erstreckt sich – je nach
Herstellerkonzept in unterschiedlichem Maße – bis zum Core. Extremes Switch-Router Black Diamond
10.000 zum Beispiel bietet die Carrier-Funktion des Virtual Routings: Er kann für erhöhte
Sicherheit einen Core in mehrere logische Layer-3-Netze unterteilen.

Viele Roadmaps, ähnliche Ziele

Ciscos Netzwerkstrategie "Intelligent Information Network" (IIN) zielt auf zunehmende
Integration: Nach einer Phase mit Fokus auf Integration des Transports von Daten, Sprache und Video
soll mittels Virtualisierung von Netzwerkressourcen die Phase integrierter Services folgen. Ziel
und dritte Stufe sind integrierte Applikationen mit direkt applikationsbezogenen Netzwerkdiensten.
Als Marktführer gibt Cisco damit den Referenzwert vor. Die Hauptlast der Sicherheitsaufgaben fällt
hier dedizierten Einschüben in Core-Switches zu: "Switches sind heute durch Security-Blades mit
Funktionen wie Firewall, VPN, IDS/IPS, DDoS-Erkennung und -Verhinderung (Distributed DoS) etc.
ausrüstbar", betont Lenßen von Cisco. "Hochverfügbarkeitsmechanismen bieten Inter- wie
Intra-Chassis-Redundanz und machen die Switches zu Hochleistungs-Sicherheits-Appliances."

Auf den Ausbau des herstellerübergreifenden Ansatzes der Netzwerksicherheit hat Alcatel sein
Augenmerk gerichtet. Bis April will der Hersteller die neue Automated Quarantine Engine (AQE) in
das Omnivista-Managementsystem integrieren. Die AQE wird es laut Alcatel-SE Krausch anhand
standardisierter Syslogs "nahezu beliebiger" IDS und Firewall-Systeme erlauben, Angriffe zentral zu
erfassen und Switches für Abwehrmaßnahmen zu instruieren.

Externe Geräte einbinden

Ähnliche Wege beschreitet Enterasys. "Wir können heute beliebige Events von Drittsystemen
aufnehmen und mittels unseres Dragon-IDS normalisieren", so Enterasys-Fachmann Nispel. "Diese
lassen sich in wiederum beliebige Events wie das Ändern des Port-Status oder Port-VLANs am Switch
umsetzen." In Kürze sollen Lösungen zur Integration fremder Endsysteme in den
Authentisierungsprozess hinzukommen. "Außerdem werden in der zweiten Jahreshälfte noch mehr
IPS-Funktionen direkt in die Access-Switches wandern", so Nispel.

Durch den Einsatz von Sygate-Tools kann auch Extreme Networks automatische Host- und
benutzerbezogene Integritäts-Checks durchführen. Extremes Core-Switch-Router Black Diamond 10.000
verfügt über programmierbare ASICs sowie unter dem Namen "Clearflow-Technologie" über Werkzeuge für
die Datenverkehrsanalyse in Echtzeit. Mehrstufige Filtermechanismen berücksichtigen nicht nur
Pakete, sondern auch Flows. Über eine Schnittstelle im Betriebssystem Extremeware XOS leitet der
Switch zum Beispiel bei Auffälligkeit im Packet Sequencing eine Datenstromkopie an ein IDS. Noch in
der ersten Jahreshälfte will Extreme die bidirektionale Kommunikation ermöglichen, sodass ein IDS
Switch-Ports schließen kann (Remediation). Dies soll mit Geräten verschiedener Hersteller
funktionieren.

Foundry stößt ins gleiche Horn und rückt das Echtzeit-Monitoring der hauseigenen Switches
mittels Sflow in den Vordergrund: "Wir planen für 2005, unser Framework um
Threat-Detection-Fähigkeiten (Bedrohungsanalyse) zu erweitern," so Marketing-Direktor Hemminger. "
Wir arbeiten an einem Framework, das es zahlreichen Anbietern erlauben wird, unser eingebettetes
Sflow-Monitoring zu nutzen, um Eindringlinge zu entdecken und Alarm zu schlagen, wenn gefährliche
Events die IT-Infrastruktur bedrohen. So können wir sowohl signatur- als auch anomaliebasierte
Systeme unterstützen." Gegenwärtig verweist Foundry für Abschottungsfunktionen auf die
Application-Switches der Serveriron-Familie. Derlei Layer-7-Switches, ursprünglich für die
Lastverteilung in Serverfarmen konzipiert, übernehmen immer mehr Sicherheitsaufgaben wie
DoS-Abwehr, Rate-Limiting oder SSL-Beschleunigung. Foundrys Application Switches sind zusammen mit
den L2/L3-Switches des Herstellers via Ironview Network Manager (INM) steuerbar. Ab Ende 2005 soll
INM Remediation-Funktionalität erhalten.

Nortel bietet im Rahmen einer gestaffelten Sicherheitsarchitektur eine Interaktion zwischen dem
IDS (bei Nortel Thread Protection System oder TPS genannt) und der Firewall. TPS reicht auffällige
Signaturen an die Firewall weiter, die dann den entsprechenden Flow blockiert. Auch Nortel will es
in naher Zukunft ermöglichen, über die vom TPS erkannten Signaturen Ports an Switches abzuschalten.
Zunächst aber wird im zweiten Quartal 2005 der Ethernet Routing Switch 8600 eine neue integrierte
Checkpoint-Firewall erhalten.

Gestützt durch eine Kooperation mit dem chinesischen Hersteller Huawei zielt heute auch 3Com
wieder auf den Enterprise-Markt. Der Anbieter hat neben Partnerschaften bisher auf dedizierte
Security-Switches gesetzt, so auf die Ende 2004 vorgestellten Geräte 7245 und 7280. 3Coms
Pervasive-Network-Security-Strategie zielt ebenfalls auf ein selbstverteidigendes Netz. Durch die
jüngst erfolgte Akquisition des IPS-Herstellers Tippingpoint sieht 3Com sich nun in der Lage,
Angriffe echtzeitnah abzuwehren. Laut CEO Bruce Claflin liegt die Entwicklungsarbeit für
Infrastrukturprodukte, wie schon beim kürzlich vorgestellten Core-Switch 8800, bei Huawei. Die
Entwicklung von Applikationen wie VoIP und Diensten wie Security verbleibe aber in 3Com-Hand. Das
schließt laut Claflin aber ein künftiges Tippingpoint-Blade für Huawei-Switches nicht aus.

Fokus auf den Netzwerkrand

HPs Switch-Abteilung Procurve treibt die Konzentration auf intelligente Edge-Switches am
weitesten: Mit dem Konzept der "Edge Fabric" möchte HP gleich die gesamte Intelligenz am
Netzwerkrand versammeln. Im Core soll sich nur noch ein leistungsstarker Switch befinden, der mit
großer Bandbreite und hoher Port-Dichte den bereits am Edge geprüften und qualifizierten
Datenverkehr durchreicht (siehe den Beitrag "Grenzposten" auf Seite 84). Entsprechend siedelt HP
sämtliche Aufgaben wie Deep Packet Inspection, Lastverteilung und Infektionsabwehr am Edge an. In
diesem Halbjahr will der aufstrebende Switch-Anbieter dazu die Funktionalität seiner 5300er- und
3400er-Switches um Virus-Throttling ergänzen, also um die Datenstromanalyse mit
Bandbreitenbegrenzung im Virenalarmfall.

Da heutzutage viele Angriffe auf IPv4 gerichtet sind, sieht die Branche der Umstellung von IPv4
auf IPv6 auch unter Sicherheitsgesichtspunkten gespannt entgegen. Mechanismen wie Prüfsummen werden
laut Aussagen der Fachleute die Sicherheit im Datenverkehr wesentlich erhöhen. Manche argumentieren
sogar, IPv6 mache Konzepte wie selbstverteidigende Netzwerke erst realistisch.

Fluchtpunkt sicheres Netz

Die Ansätze und Umsetzungsstadien der Switch-Anbieter mögen variieren – doch alle streben nach
möglichst weitreichender Integration von Security-Funktionen ins Netz. Das Security-Monitoring soll
dabei mit dem Netzwerk- und Client-Management eng verzahnt werden, damit der Administrator
Sicherheit, Performance und Endgerätestatus gleichzeitig im Blick behält. Dabei darf die
Performance nicht unter der Security-Analyse leiden. Über standardisierte Schnittstellen müssen
Netzwerkgeräte mit Security-Equipment kommunizieren. Nur so lässt sich netzwerkweit ein effektiver
Angriffsschutz umsetzen, ohne im Portfolio eines einzigen Anbieters gefangen zu bleiben.
D-Link-Produktmanager Michael Seipp merkt zurecht an, dass angesichts wachsender Listen von
Security-Features "auch die Gebäudesicherheit insgesamt" im Fokus stehen muss.

Switches erhalten laut Nortels Support-Leiter Martin Ruoff immer stärker die Rolle eines "
Security Operators und Accelerators" – also eines Umsetzers und Beschleunigers von
Sicherheitsmaßnahmen. Enterasys-Experte Nispel sieht hier rapide Fortschritte: "Lokale
Beschleuniger ermöglichen heute L7-Intelligenz in den LAN-Switches. L7-Lookup-Engines mit
10-GBit/s-Performance sind schon am Horizont und in den nächsten zwölf bis 24 Monaten weiter
verbreitet. In der Folgegeneration werden diese Funktion zu erschwinglichen Preisen in fast allen
Access-Switches der führenden Hersteller zu finden sein."

Doch nicht jede Sicherheitsaufgabe lässt sich auf Switches verlagern. So wird wohl die
Überprüfung der Datenströme auf Viren, Trojaner und Co. auf dedizierten Geräten verbleiben. "Ein
Grund hierfür liegt in der Verarbeitungsgeschwindigkeit der heute erhältlichen ASICs, die beim
Switch auf hohe Durchsatzraten bei Switching und Routing ausgelegt sein müssen und beim IDS auf
effizientes Content Filtering der Datenströme spezialisiert sind", so Krausch von Alcatel. Auch
Fragen der Verwaltbarkeit verhindern eine Konsolidierung aller Sicherheitsaufgaben auf Switches:
Diese sind nicht dafür ausgelegt, bei jedem neuen Viren-Pattern Updates zu erhalten. Selbst mit im
Betrieb upgradebaren Switches würde dies den Administrationsaufwand unvertretbar erhöhen. Da sind
die Unternehmen wohl besser bedient, wenn sie solche Spezialaufgaben – selbstverteidigendes Netz
hin oder her – weiterhin Spezialgeräten überlassen.


Lesen Sie mehr zum Thema


Jetzt kostenfreie Newsletter bestellen!

Weitere Artikel zu Lampertz GmbH & Co. KG

Matchmaker+