F5 Networks hat zwei neue Familien dedizierter Sicherheits-Appliances vorgestellt: Unter dem Namen Herculon bietet der Application-Delivery- und Security-Spezialist Geräte für die TLS-Verarbeitung (Transport Layer Security, vormals SSL), um Firewalls und IDS/IPS-Lösungen (Intrusion Detection/Prevention System) von dieser rechenintensiven Aufgabe zu entlasten, zudem Appliances für die Abwehr von DDoS-Angriffen (Distributed Denial of Service), die im Fall hochvolumiger Angriffe das Hinzuziehen externer DDoS-Mitigation-Services ermöglichen.

Wie alle namhaften ADC-Anbieter (Application Delivery Controller), so hat auch Marktführer F5 Networks seit geraumer Zeit diverse Lösungen für applikationsbezogene Sicherheitsaufgaben im Portfolio. Doch F5s Sicherheitsangebote nutzten bislang optionale Zusatzmodule zur ADC-Plattform Big-IP oder zur Highend-Plattform Viprion (abgesehen von den Cloud-basierten Application-Security-Services namens Silverline). Nun offeriert F5 erstmals Appliances für die lokale Installation, die speziell auf die IT-Security-Abteilung zielen (welche für Netzwerkaufgaben und damit auch für ADCs gar nicht zuständig ist).

Herculon SSL Orchestrator dient dazu, Firewalls und IDS/IPS einschließlich deren „Next-Generation“-Geschwistern (NGFW, NGIPS) von der rechenintensiven Aufgabe der TLS/SSL-Ent-/Verschlüsselung zu entlasten. Der Grund: „Die Performance von Next-Generation Firewalls bricht um bis zu 80 Prozent ein, wenn die TLS/SSL-Verarbeitung freigeschaltet wird“, so Ralf Sydekum, Technical Manager DACH bei F5 Networks, gegenüber LANline. Ein TLS-Offload sei damit eine sehr sinnvolle Ergänzung.

Der Herculon SSL Orchestrator liefert dazu eine hochperformante TLS-Ent-/Verschlüsselung in einer Forward-Proxy-Architektur. Es gibt die Appliance in drei Ausbaustufen: i2800, i5800 und i10800. Die Hardwareausstattung reicht von einem Dual-Core Intel-Xeon-Prozessor und 16 GByte RAM (i2800) bis zu einem Octo-Core-Xeon und 128 GByte RAM (i10800), die Connectivity von 4xGbE und 2x10GbE bis hin zu 8x10GbE und 6x40GbE. Die SSL-Performance erreicht laut Ralf Sydekum 48.000 TPS (Transactions per Second) bei ECC (Elliptic Curve Cryptography).

Die Geräte lassen sich auf Layer 2 und 3 inline nutzen. Zudem unterstützen sie Lastverteilung und intelligentes Service-Chaining (also die applikationsspezifische Weiterleitung des Datenverkehrs an die jeweils zuständigen Hosts oder Security-Appliances). Damit ähnelt ihr Aufgabenspektrum sehr dem eines ADCs. Dennoch sind die Geräte nicht einfach ADCs im neuen Gewand: Laut F5-Mann Sydekum verwaltet man die Geräte über ein eigens entwickeltes Interface, das auf Security-Teams ausgelegt ist. Diese müssten sich somit nicht mit den Tiefen des Scriptings von Application-Delivery-Regeln auskennen, um die Geräte bedienen zu können.

Herculon DDoS Hybrid Defender wiederum dient zur DDoS-Abwehr vor Ort beim Anwenderunternehmen. Als hochperformantes Schutzschild wird die Appliance laut Sydekum am besten noch vor der Firewall positioniert. Das Gerät bietet laut F5-Angaben eine umfassende DDoS-Erkennung durch Verhaltensanalysen, Abwehr in Sekundenbruchteilen sowie Einblick in intelligente Angriffe auf Anwendungsebene. Auch in dieser Gerätefamilie gibt es die Varianten i2800, i5800 und i10800. Der maximale Layer-4- und Layer-7-Durchsatz der Appliances reicht von 10GBit/s (L4) und 5 GBit/s (L7) beim i2800-Gerät bis zu 160 GBit/s (L4) und 80 GBit/s (L7) beim Highend-Modell.

Eine „hybride“ DDoS-Abwehr bieten die Geräte insofern, als sie bei einem DDoS-Angriff die Bedrohung an das SOC (Security Operations Center) von F5 melden. Das SOC-Personal kann damit bei einem drohenden hochvolumigen und/oder langanhaltenden Angriff dem Unternehmen anbieten, den Datenverkehr auf die hochperformante Hardware in F5s Offsite Cloud Scrubbing Center umzuleiten, um die Internetanbindung des Unternehmens für echten Datenverkehr freizuhalten.

F5s Herculon DDoS Hybrid Defender bietet ein „hybride“ DDoS-Abwehr: Bei einem DDoS-Angriff meldet das Gerät die Bedrohung an das SOC von F5. Dieses nimmt Kontakt zum Kunden auf, sodass dieser bei Bedarf DDoS-Mitigationsdienste aus der Cloud hinzuziehen kann. Bild: F5 Networks

Mit Silverline WAF Express (WAF: Web Application Firewall) führt F5 außerdem ein Self-Service-Angebot ein für die Cloud-basierte Silverline-Plattform ein. Ein Anwender kann damit laut F5 auf einfache Weise signaturbasierte WAF-Services freischalten: Er müsse dazu lediglich den DNS-Eintrag ändern und den Proxy einrichten. Im Hintergrund verwalte dann F5 die Sicherheitsrichtlinien, um Anwendungen vor Bedrohungen auf Applikationsebene zu schützen. Laut F5-Mann Sydekum erreicht man allein schon auf Signaturbasis einen 90-prozentigen Schutz der Applikationen, die übrigen zehn Prozent blieben dann den Managed Services durch F5 vorbehalten.

Seit zirka einem halben Jahr unterhält F5 zudem ein eigenes SIRT (Security Incident Response Team) zur Identifikation von Bedrohungen. Dieses Team ergänzt F5s Lösungsportfolio um Monitoring, Analysen und Incident Reports sowie Best Practices, um effektiv auf Angriffe zu reagieren. Der Service ist für alle F5 Security-Kunden im Rahmen des Wartungsvertrags kostenlos verfügbar.

Unter dem Namen „F5 Labs“ bietet der Hersteller – der in seinen Anfangsjahren selbst als „F5 Labs“ firmierte, bevor er zu „F5 Networks“ wechselte – ein Security-Portal für den Informationsaustausch zu Sicherheitsthemen mit F5-Experten und Partnern. Die Community-Plattform ist ebenfalls ein kostenloser Service.

Die Herculon-Gerätefamilie, Silverline WAF Express, F5 Labs und die SIRT-Services sind ab sofort verfügbar. Weitere Informationen finden sich unter www.f5.com.

Die offiziellen US-Listenpreise für die F5-Geräte der Herculon-Familie. Bild: F5 Networks

Dr. Wilhelm Greiner ist freier Mitarbeiter der LANline.