Fachartikel

Verkehrsmonitoring in geswitchten Netzumgebungen (4)

Je komplexer Netzwerke werden, desto wichtiger wird ein detaillierter Einblick in die übermittelten Daten – auch aus Sicherheitsgründen. Ein Verkehrsmonitoring in modernen Highspeed-Netzwerken auf Basis von Switchen und Routern ist mit den gängigen Technologien nicht mehr zu leisten. Die Konsequenz: Viele Netzverbindungen werden als Black Box betrieben. Daher ist für ein kostengünstiges Management aller Netzressourcen eine Monitoring-Technologie notwendig.
Um die Kontrolle über den Datenfluss nicht zu verlieren, ist für ein kostengünstiges Management aller Netzressourcen eine Monitoring-Technologie notwendig.
Aktive Sicherheit dank Sichtbarkeit der Daten
Die Sicherheitsbedrohungen werden immer komplexer und es scheint, dass die traditionellen Lösungen zur Abwehr dieser Gefahren immer häufiger versagen. Dabei bieten die neuesten Generationen von Firewalls, Intrusion Prevention- und Detection-Systeme, Malware-Schutz und Data Loss Prevention mehr Schutz gegen komplexe Bedrohungen als frühere Systeme. Wichtig bei diesen Lösungen ist jedoch, dass die zugehörigen Daten im Netzwerk sichtbar werden. Dabei sollten Sie auf mehreren Ebenen und auf parallelen Wegen versuchen, die Sicherheit zu erhöhen, etwa durch Out-of-Band-Tools zur Analyse von Datenpaketen über SPAN-Ports (Switch Port Analyser) und/oder Test Access Points (TAPs).

Die meisten Switche unterstützen eine Spiegelung von Switch-Ports mit Hilfe der Mirror-Port-Funktion. Dadurch wird der jeweils zu untersuchende Link auf einen anderen Port des Switch, an dem der Analysator angeschlossen ist, gespiegelt. Die Weiterleitung der zu analysierenden Daten auf den SPAN-Port sollten Sie nur nutzen, wenn dieser die Datenmengen der gespiegelten Ports auch verkraftet. Ist dies nicht der Fall, gehen Pakete verloren. Auf der sicheren Seite sind Sie, wenn der SPAN-Port dieselbe Bandbreite aufweist wie der Quell-Port. Darüber hinaus beeinträchtigt das Mirroring die Switch-Performance, da der Switch für die Spiegelung alle Pakete duplizieren muss.

Für die genaue Erfassung der zu überprüfenden Daten bieten sich auch TAPs (manchmal "Link-Splitter" genannt) ein. Diese Geräte werden direkt in die zu überwachende Netzverbindung aktiv eingeklinkt. TAPs arbeiten in der Regel passiv, erzeugen keine Fehler und funktionieren auch bei einem Stromausfall. Ein TAP dupliziert alle Pakete, die über eine Verbindung übertragen werden. Daher werden SPAN-Ports in der Praxis nur als ergänzende Messstellen für Ad-hoc-Analysen genutzt. Möchten Sie einen vollen Datenzugriff und keine Daten verlieren, dann sollten Sie nur TAPs nutzen.
Inline-Tools sind dagegen entweder in andere Geräte integriert oder werden in Reihe in eine Netzwerkverbindung eingeklinkt. Das garantiert, dass Pakete auch analysiert werden. Die Werkzeuge sperren den Durchfluss sofort, wenn ein verdächtiges Datenpaket ermittelt wird. Durch komplexe Filterfunktionen können sie jedoch die Anwendungsleistung erheblich beeinträchtigen und die Verkehrsflüsse deutlich verlangsamen. Ohne entsprechende Bypass-Mechanismen stellen diese Werkzeuge auch eine erhebliche Fehlerquelle im Netzwerk dar.

Auf Basis von NetFlow oder verwandter Technologien versuchen Flow-basierte Tools derweil, anhand der Nutzungsmuster gewisse Anomalien zu erkennen. Diese unterscheiden sich daher von der reinen Analyse auf der Paketebene. Da die NetFlow-Werkzeuge und-Mechanismen dafür bekannt sind, die Leistung ihrer Trägersysteme zu beeinträchtigen, bleiben diese in der Praxis auf Switch und Router oft deaktiviert. Darüber hinaus kann die Generierung von NetFlow-Informationen auf Links mit höheren Geschwindigkeiten zu einer Reduzierung der Sichtbarkeit der Daten führen.

Egal, für welche Art der Sicherheitsanalyse Sie sich entscheiden: Bei der Integration einer Sicherheitsplattform müssen Sie auf jeden Fall die folgenden Herausforderungen berücksichtigen:

  • Beseitigen der durch die Inline-Sicherheitswerkzeuge verursachten Probleme und Risiken eines Single Point-of-Failures.
  • Beseitigen der Blindstellen (vor allem in der Cloud) im Netzwerk, die sich einer Sicherheitsüberwachung entziehen.
  • Anpassen der Sicherheitsfunktionen an die steigenden Netzwerkgeschwindigkeiten und der Anzahl der Benutzer.
  • Beseitigen des Konflikts zwischen möglichst hoher Netzwerksicherheit und Anwendungsleistung.
Flaschenhälse vermeiden
Die Sicherheitswerkzeuge entwickeln sich zwar ständig weiter, lassen sich aber nicht in allen Fällen problemlos aktualisieren beziehungsweise an die neuen Herausforderungen anpassen. Die zur Erkennung und Behandlung von Sicherheitsbedrohungen notwendigen Analysen erfordern immer höhere Geschwindigkeitsgrenzen und versuchen mit den ständig steigenden Netzwerkgeschwindigkeiten (10 GBit/s, 40 GBit/s und darüber hinaus) Schritt zu halten. Obwohl viele Sicherheitswerkzeuge 10 GBit/s-Schnittstellen unterstützen, sind viele dieser Komponenten nicht in der Lage, mehr als ein paar GBit/s an Verkehr zu bearbeiten. Die Sicherheitslösungen müssen deshalb so geplant werden, dass die darin zur Verfügung gestellten Werkzeuge so effizient wie möglich eingesetzt werden können:

  • Eine intelligente Weiterleitung der Verkehrsströme sorgt für die Übermittlung der Daten zu den für den jeweiligen Datentyp optimierten Werkzeugen.
  • Die Manipulation beziehungsweise die Anpassung der Pakete an die Zielwerkzeuge erspart nicht nur Verarbeitungsleistung und Speicherplatz, sondern sorgt auch für eine gesetzeskonforme Verarbeitung der Nutzdaten und den Schutz der Privatsphäre der Nutzer.
  • Die Kombination der Rechenleistung mehrerer Werkzeuge und die Verteilung der Datenströme auf mehrere Monitoring-Stationen garantiert die Skalierung der Sicherheitssysteme bei steigenden Netzlasten.
  • Zusätzliche Redundanz- und Ausfallsicherheitsmechanismen sorgen dafür, dass die Sicherheitsfunktionen in den Netzen auch in kritischen Situationen bereit stehen

Mit Hilfe einer Visualisierungsplattform in den Netzwerken lassen sich die Verkehrsflüsse gezielt zu den für die Sicherheitsfunktion optimierten Anwendungen weiterleiten und somit entsprechende Kosten einsparen beziehungsweise die Werkzeuge besser ausnutzen. Darüber hinaus sorgt eine Visualisierung auf Netzwerkebene für die Beseitigung von blinden Flecken im Netzwerk.

Seite 1: Flaschenhälse vermeiden
Seite 2: Integration einer Netzvisualisierung


Seite 1 von 2 Nächste Seite >>
23.12.2017/dr/ln/Mathias Hein

Nachrichten

TeamViewer goes IoT [19.01.2018]

TeamViewer bringt TeamViewer IoT auf den Markt. Die Software kombiniert die Fernzugriffs- und Fernsteuerungsfunktionen von TeamViewer mit Monitoring-Funktionen. TeamViewer IoT unterstützt Raspbian, kann aber laut Hersteller problemlos auf andere Linux-Distributionen portiert werden. An der Unterstützung weiterer IoT-Plattformen würde bereits gearbeitet. [mehr]

Alles unter einem Dach [30.11.2017]

Von Hewlett Packard Enterprise kommt mit 'HPE OneSphere' eine Multi-Cloud-Management-Lösung für Public Cloud, Private Cloud und Software-definierte Infrastrukturen. Das SaaS-Portal gibt Kunden einen einheitlichen Zugang zu einem Pool von IT-Ressourcen, der sowohl externe Cloud-Plattformen als auch die eigene, lokal betriebene IT-Umgebung umfasst. [mehr]

Tipps & Tools

WLAN-Controller von Cisco mit PRTG monitoren [21.12.2017]

In vielen Unternehmen kommen im drahtlosen Netzwerk unter anderem WLAN-Controller von Cisco zum Einsatz. Wer außerdem den PRTG Network Monitor zur Netzwerküberwachung nutzt, hat das Problem, dass es keine fertigen Sensoren für die Cisco-Controller gibt und das Aufsetzen eigener Sensoren anhand der Cisco-MIBs nicht gerade trivial ist. Es existiert jedoch eine einfachere Möglichkeit, Cisco-Appliances mit PRTG zu überwachen. [mehr]

Mit der Fritz!Box feste IP-Adressen zuteilen [12.11.2017]

DHCP-Server teilen dem Netzwerk angeschlossene Clients eine IP-Adresse zu. Diese ändert sich in der Regel nicht, sofern sich das entsprechende Gerät von Zeit zu Zeit am Server anmeldet. Doch gerade Systemen, die stets unter der gleichen Adresse erreichbar sein sollen, etwa einem NAS-Server, sollten Sie auf Nummer sicher gehen und stets die gleiche IP-Adresse zuteilen. Wie das mit der Fritz!Box geht, zeigt diese Anleitung. [mehr]

Buchbesprechung

Software Defined Networking

von Konstantin Agouros

Anzeigen