Cyberkriminelle greifen die Netzwerke vieler Unternehmen an und stehlen Informationen. Die Frage lautet wann, nicht ob ein Netzwerk angegriffen wird. Eine Inline-Security-Überwachung inklusive Bypass-Switches und Netzwerkpaket-Vermittlungen kann helfen.

Durch den Einsatz einer Inline-Security ergeben sich neue Funktionen zum Schutz von Netzwerken. Dies geschieht am einfachsten, wenn man die Security-Tools tatsächlich in den zentralen Datenfluss des Netzwerks eingefügt. Die Daten müssen dann durch ein oder mehrere Tools laufen, bevor diese sie weiter in die Tiefe leiten. Firewalls sind ein Beispiel für diese Technik. Security-Tools wie ein Intrusion Protection System (IPS), eine Web Application Firewall (WAF), Firewalls der nächsten Generation (NGFW), SSL/TLS-Entschlüsselung und forensische Tools lassen sich ebenfalls inline einsetzen.

Die meisten IT-Mitarbeiter sind mit Inline-Tools vertraut, insbesondere mit den bereits erwähnten Firewalls und dem IPS. Aber wie sieht es mit einem externen Bypass-Switch aus? Oder einer Inline-Netzwerk-Paketvermittlung (Network Packet Broker, NPB)? Diese beiden Elemente sind Beispiele für eine Netzwerktransparenz-Infrastruktur. Im Wesentlichen ermöglichen sie den Einsatz von Security-Tools. Netzwerktransparenz-Geräte sind ein Set aus Netzwerküberwachungstechnologien, die helfen, die Anbindung und die Effizienz der Tools zu verbessern sowie die Netzwerkverfügbarkeit und Betriebszeit zu erhöhen.

Der Bypass-Switch leitet den gesamten Verkehr auf der Verbindung um und gibt ihn an die Überwachungs-Ports weiter. Der Switch verändert den Dateninhalt dabei nicht. Er lässt sich auf „Fail Open“ oder „Closed“ stellen. Fail Open bedeutet, dass der Datenverkehr zwischen den Netzwerkgeräten weiter fließt, wenn eine Überwachungsvorrichtung entfernt oder die Stromversorgung des Bypass-Switches unterbrochen wird. Der Bypass-Switch verwendet im Allgemeinen ein Heartbeat-Paket, um die Netzwerkverbindung vor Anwendungs-, Verbindungs- oder Stromausfällen auf dem angeschlossenen Überwachungsgerät zu schützen. Wenn das Heartbeat-Paket unterbrochen wird, entfernt der Bypass-Switch diese Fehlstelle, indem er den Datenverkehr automatisch um das Security-Tool herumleitet, wenn das Tool nicht in der Lage ist, den Datenverkehr weiterzuleiten.

Gute Inline-Lösungen verwenden Bypass-Switches, die mehr als ein Tool unterstützen. Bild: Keysight

Ein weiterer wichtiger Vorteil des externen Bypass-Switches ist die Failover-Fähigkeit bei Upgrades. Bestimmte Inline-Security-Tools beinhalten einen internen Bypass-Switch. Das wird jedoch zu einem Problem, wenn der IT-Verantwortliche das Security-Tool ersetzen will. Selbst einige Software-Upgrades können dazu führen, dass der interne Bypass ein Problem darstellt, falls das Upgrade einen Neustart erfordert. Die einfache Lösung besteht darin, einen externen Bypass zu verwenden. So entfallen die Sorgen bei zukünftigen Upgrades.

Eine Paketvermittlung bietet die Möglichkeit, den SSL/TLS-Datenverkehr zu bündeln, zu filtern, zu deduplizieren, zu verteilen sowie zu entschlüsseln und die Security-Tools zu inventarisieren. Inline-Versionen von NPBs enthalten auch Heartbeat- und Failover-Funktionen, um Datenkontinuität und Hochverfügbarkeitssituationen richtig zu handhaben. Der Hauptzweck dabei ist die Optimierung des Datenflusses zu den Security-Tools.

Ausfall eines Sicherheits-Tools

Bei der Inline-Security-Überwachung gibt es mehrere Anwendungsmöglichkeiten. Die erste ist natürlich, sie einfach inline einzufügen. Dies bietet den Vorteil, Bedrohungen zu erkennen und die entsprechenden Pakete zu löschen, bevor diese Bedrohungen es zu den Core-Switches schaffen. Diese Situation funktioniert für ein oder zwei Geräte recht gut, da man sie einfach seriell in den Haupt-Traffic-Pfad einpflegen kann. Ein Problem, das die IT-Abteilung in dieser Situation beunruhigen kann, ist die Frage, was bei einem Ausfall des Security-Tools passiert.

Inline-Security-Tools können Fehlerstellen für das gesamte Netzwerk darstellen, denn wenn das Gerät einen Stromausfall hat, ein Softwareproblem aufweist oder für Wartungs- oder Upgrade-Arbeiten entfernt wird, kann der Datenverkehr nicht mehr über die Verbindung fließen. Security-Tools haben oft einen Failover-Mechanismus. Ist dies der Fall, muss man die Art des Failover (Open oder Closed) und die Geschwindigkeit der Failover-Funktion überprüfen.

Eine Inline-Netzwerk-Paketvermittlung bietet wertvolle Funktionen. Bild: Keysight

Aus diesen beiden Gründen kommt die Verwendung eines Bypass-Switches in Betracht. Der Bypass-Switch wird inline eingesetzt und das Security-Tool hat eine Verbindung zum Bypass-Switch und nicht zum Netzwerk. Auf dem Markt gibt es Bypass-Schalter, die konfigurierbare Fail-over-Optionen mit einer Ausfallzeit von weniger als 300 Nanosekunden bieten. Darüber hinaus lässt sich die Heartbeat-Signalisierung zwischen dem Bypass-Schalter und dem Security-Tool verwenden, um zu erkennen, ob das Tool Probleme hat, und so bei einem Ausfall so schnell wie möglich wieder in das Netzwerk zurückzukehren. Diese Heartbeats sollten in der Größenordnung von wenigen Mikrosekunden Auflösung liegen.

Das einfache Hinzufügen der Überwachungsgeräte reduziert die Komplexität der Inline-Security-Lösung und erhöht gleichzeitig die Funktionalität. Der Bypass-Switch bietet neue Flexibilität bei der Wartung und Prüfung der Security-Tools. Es gibt keine Ausfallzeiten im Netzwerk beim Hinzufügen, Entfernen oder Aktualisieren von Security-Lösungen. Auch der Alltag wird einfacher. So sollten beispielsweise Change-Board-Genehmigungen nicht mehr erforderlich sein, wenn das IT-Team Wartungsarbeiten wie Upgrades der Security-Tools durchführt. Der Bypass-Switch kann einfach den Datenverkehr um das Tool herum verlagern, sodass der Administrator bei Bedarf mit dem Update oder Upgrade der Tools beginnen kann. Gute Inline-Lösungen verwenden Bypass-Switches, die mehr als ein Tool unterstützen. Auf diese Weise benötigt man nicht für jedes Tool einen ­eigenen Bypass-Switch.

Die zweite Anwendungsmöglichkeit ist die Erweiterung der Inline-Überwachungsfunktionen über das bloße Einfügen von Werkzeugen inline hinaus. Damit entstehen Fähigkeiten, um auf Bedrohungen auf gründlichere Art und Weise zu reagieren. Anstatt den verdächtigen Datenverkehr zu löschen, ist es vielleicht sinnvoll, diesen spezifischen Verkehr zu nehmen und ihn zur Analyse an ein forensisches Tool weiterzuleiten. Schließlich könnte es sich doch um unkritischen Traffic handeln. Hier bietet ein Inline-NPB wertvolle Funktionen. Der NPB ermöglicht es, diese spezifischen Datenströme zu manipulieren (das heißt, alle erforderlichen Deduplizierungen oder Filterungen durchzuführen) und diese spezifischen Daten dann an ein bestimmtes Tool zu senden.

Der Einsatz des NPB ermöglicht eine Vielzahl neuer Inline-Funktionen innerhalb ­einer Security-Architektur im Unternehmen, einschließlich einer verbesserten Verfügbarkeit, die Möglichkeit, Echtzeitentscheidungen zu treffen, umfangreichere Failover-Optionen, die Umleitung von unzulässigem Datenverkehr in einen Honey Pot, Kosteneinsparungen durch Lastausgleich über mehrere Tools hinweg sowie integrierte Wiederherstellungsoptionen.

Der erwähnte Datenumleitungsprozess lässt sich bei Bedarf wiederholen, was bedeutet, dass man einen Satz von spezifischem Datenverkehr zur Analyse an mehrere Inline-Tools senden kann, bevor dieser Traffic entweder gelöscht oder an das Kernnetzwerk zur Verteilung an das zugewiesene Ziel zurückgegeben wird. Anstatt den schädlichen Traffic zu löschen, lässt er sich auch an die Tools zur Bedrohungsanalyse zur weiteren Untersuchung oder an einen Honey Pot schicken, um festzustellen, wo die Bedrohung herkam.

Der NPB kann Daten herauszufiltern, die keine IPS-Inspektion benötigen. Bild: Keysight

Der letzte Anwendungsfall bietet die Möglichkeit, hochverfügbare Lösungen zu erstellen, die besser sind als bisher. Beispielsweise haben einige Unternehmen bis zu acht IPS für ihre Hochverfügbarkeitslösung eingesetzt. Jeweils vier benötigt man zur Bewältigung der Verkehrslast sowie für das Failover, um die hohe Verfügbarkeit der Lösung zu gewährleisten.

Mit dem Bypass-Switch und dem NPB unterstützen diese Komponenten Heartbeat- und Failover-Funktionen nativ in den Geräten. Wenn diese Tools in die Security-Lösung integriert sind, lässt sich die Anzahl der benötigten IPS reduzieren, da keine n+n Lösungen mehr erforderlich sind. Das IT-Team kann die Anlage auf eine n+1- oder vielleicht n+2-Lösung (um wirklich vorsichtig zu sein) reduzieren. Der NPB erkennt den Ausfall eines IPS mit dem Heartbeat-Signal und leitet den Traffic auf das Ersatz-IPS um. Außerdem muss man das Ersatz-IPS gar nicht erst aussparen. Es lässt sich in einer Lastverteilungssituation mit den anderen IPS im Normalbetrieb einsetzen.
Ein Unternehmen kann den NPB ebenso verwenden, um Daten herauszufiltern, die nicht einmal eine IPS-Inspektion benötigen. Dazu gehört typischerweise Video- und Audio-Traffic. Diese Daten lassen sich wieder an die Netzwerk-Switches zurückleiten, um den IPS zu umgehen. Dies kann die Belastung des IPS um 25 bis 50 Prozent reduzieren und zu einer erheblichen Einsparung von IPS-Investitionen und Analysezeit führen.

Keith Bromley ist tätig als Senior Solutions Marketing Manager bei Keysight Technologies, www.keysight.com.