Fachartikel

Verkehrsmonitoring in geswitchten Netzumgebungen (4)

Je komplexer Netzwerke werden, desto wichtiger wird ein detaillierter Einblick in die übermittelten Daten – auch aus Sicherheitsgründen. Ein Verkehrsmonitoring in modernen Highspeed-Netzwerken auf Basis von Switchen und Routern ist mit den gängigen Technologien nicht mehr zu leisten. Die Konsequenz: Viele Netzverbindungen werden als Black Box betrieben. Daher ist für ein kostengünstiges Management aller Netzressourcen eine Monitoring-Technologie notwendig.
Um die Kontrolle über den Datenfluss nicht zu verlieren, ist für ein kostengünstiges Management aller Netzressourcen eine Monitoring-Technologie notwendig.
Aktive Sicherheit dank Sichtbarkeit der Daten
Die Sicherheitsbedrohungen werden immer komplexer und es scheint, dass die traditionellen Lösungen zur Abwehr dieser Gefahren immer häufiger versagen. Dabei bieten die neuesten Generationen von Firewalls, Intrusion Prevention- und Detection-Systeme, Malware-Schutz und Data Loss Prevention mehr Schutz gegen komplexe Bedrohungen als frühere Systeme. Wichtig bei diesen Lösungen ist jedoch, dass die zugehörigen Daten im Netzwerk sichtbar werden. Dabei sollten Sie auf mehreren Ebenen und auf parallelen Wegen versuchen, die Sicherheit zu erhöhen, etwa durch Out-of-Band-Tools zur Analyse von Datenpaketen über SPAN-Ports (Switch Port Analyser) und/oder Test Access Points (TAPs).

Die meisten Switche unterstützen eine Spiegelung von Switch-Ports mit Hilfe der Mirror-Port-Funktion. Dadurch wird der jeweils zu untersuchende Link auf einen anderen Port des Switch, an dem der Analysator angeschlossen ist, gespiegelt. Die Weiterleitung der zu analysierenden Daten auf den SPAN-Port sollten Sie nur nutzen, wenn dieser die Datenmengen der gespiegelten Ports auch verkraftet. Ist dies nicht der Fall, gehen Pakete verloren. Auf der sicheren Seite sind Sie, wenn der SPAN-Port dieselbe Bandbreite aufweist wie der Quell-Port. Darüber hinaus beeinträchtigt das Mirroring die Switch-Performance, da der Switch für die Spiegelung alle Pakete duplizieren muss.

Für die genaue Erfassung der zu überprüfenden Daten bieten sich auch TAPs (manchmal "Link-Splitter" genannt) ein. Diese Geräte werden direkt in die zu überwachende Netzverbindung aktiv eingeklinkt. TAPs arbeiten in der Regel passiv, erzeugen keine Fehler und funktionieren auch bei einem Stromausfall. Ein TAP dupliziert alle Pakete, die über eine Verbindung übertragen werden. Daher werden SPAN-Ports in der Praxis nur als ergänzende Messstellen für Ad-hoc-Analysen genutzt. Möchten Sie einen vollen Datenzugriff und keine Daten verlieren, dann sollten Sie nur TAPs nutzen.
Inline-Tools sind dagegen entweder in andere Geräte integriert oder werden in Reihe in eine Netzwerkverbindung eingeklinkt. Das garantiert, dass Pakete auch analysiert werden. Die Werkzeuge sperren den Durchfluss sofort, wenn ein verdächtiges Datenpaket ermittelt wird. Durch komplexe Filterfunktionen können sie jedoch die Anwendungsleistung erheblich beeinträchtigen und die Verkehrsflüsse deutlich verlangsamen. Ohne entsprechende Bypass-Mechanismen stellen diese Werkzeuge auch eine erhebliche Fehlerquelle im Netzwerk dar.

Auf Basis von NetFlow oder verwandter Technologien versuchen Flow-basierte Tools derweil, anhand der Nutzungsmuster gewisse Anomalien zu erkennen. Diese unterscheiden sich daher von der reinen Analyse auf der Paketebene. Da die NetFlow-Werkzeuge und-Mechanismen dafür bekannt sind, die Leistung ihrer Trägersysteme zu beeinträchtigen, bleiben diese in der Praxis auf Switch und Router oft deaktiviert. Darüber hinaus kann die Generierung von NetFlow-Informationen auf Links mit höheren Geschwindigkeiten zu einer Reduzierung der Sichtbarkeit der Daten führen.

Egal, für welche Art der Sicherheitsanalyse Sie sich entscheiden: Bei der Integration einer Sicherheitsplattform müssen Sie auf jeden Fall die folgenden Herausforderungen berücksichtigen:

  • Beseitigen der durch die Inline-Sicherheitswerkzeuge verursachten Probleme und Risiken eines Single Point-of-Failures.
  • Beseitigen der Blindstellen (vor allem in der Cloud) im Netzwerk, die sich einer Sicherheitsüberwachung entziehen.
  • Anpassen der Sicherheitsfunktionen an die steigenden Netzwerkgeschwindigkeiten und der Anzahl der Benutzer.
  • Beseitigen des Konflikts zwischen möglichst hoher Netzwerksicherheit und Anwendungsleistung.
Flaschenhälse vermeiden
Die Sicherheitswerkzeuge entwickeln sich zwar ständig weiter, lassen sich aber nicht in allen Fällen problemlos aktualisieren beziehungsweise an die neuen Herausforderungen anpassen. Die zur Erkennung und Behandlung von Sicherheitsbedrohungen notwendigen Analysen erfordern immer höhere Geschwindigkeitsgrenzen und versuchen mit den ständig steigenden Netzwerkgeschwindigkeiten (10 GBit/s, 40 GBit/s und darüber hinaus) Schritt zu halten. Obwohl viele Sicherheitswerkzeuge 10 GBit/s-Schnittstellen unterstützen, sind viele dieser Komponenten nicht in der Lage, mehr als ein paar GBit/s an Verkehr zu bearbeiten. Die Sicherheitslösungen müssen deshalb so geplant werden, dass die darin zur Verfügung gestellten Werkzeuge so effizient wie möglich eingesetzt werden können:

  • Eine intelligente Weiterleitung der Verkehrsströme sorgt für die Übermittlung der Daten zu den für den jeweiligen Datentyp optimierten Werkzeugen.
  • Die Manipulation beziehungsweise die Anpassung der Pakete an die Zielwerkzeuge erspart nicht nur Verarbeitungsleistung und Speicherplatz, sondern sorgt auch für eine gesetzeskonforme Verarbeitung der Nutzdaten und den Schutz der Privatsphäre der Nutzer.
  • Die Kombination der Rechenleistung mehrerer Werkzeuge und die Verteilung der Datenströme auf mehrere Monitoring-Stationen garantiert die Skalierung der Sicherheitssysteme bei steigenden Netzlasten.
  • Zusätzliche Redundanz- und Ausfallsicherheitsmechanismen sorgen dafür, dass die Sicherheitsfunktionen in den Netzen auch in kritischen Situationen bereit stehen

Mit Hilfe einer Visualisierungsplattform in den Netzwerken lassen sich die Verkehrsflüsse gezielt zu den für die Sicherheitsfunktion optimierten Anwendungen weiterleiten und somit entsprechende Kosten einsparen beziehungsweise die Werkzeuge besser ausnutzen. Darüber hinaus sorgt eine Visualisierung auf Netzwerkebene für die Beseitigung von blinden Flecken im Netzwerk.

Seite 1: Flaschenhälse vermeiden
Seite 2: Integration einer Netzvisualisierung


Seite 1 von 2 Nächste Seite >>
23.12.2017/dr/ln/Mathias Hein

Nachrichten

Paketanalyse mit Wireshark-Funktionen [19.11.2019]

Allegro Packets rollt für seine Analyse- und Monitoring-Software "Allegro Network Multimeter" ein umfassendes Upgrade aus. Highlight der Firmware 2.5 ist laut Hersteller das Feature Webshark, das Funktionen von Wireshark direkt im Browser bereitstellt. [mehr]

Besser im Blick [18.10.2019]

Axis Communications, Anbieter netzwerkbasierter Video-, Audio- und Zutrittskontrolllösungen, kündigt mit der "AXIS Companion version 4" die neueste Version seiner Software zur Verwaltung von Sicherheitssystemen an. Das Produkt bietet einige erweiterte Funktionen, unter anderem lassen sich Warnmeldung direkt an ein mobiles Gerät senden und die Systemverwaltung per Fernzugriff tätigen. [mehr]

Tipps & Tools

Vorschau Januar 2020: LAN, WAN & SDN [16.12.2019]

Die Netzwerkinfrastruktur gehört wahrscheinlich nicht zu den heißesten Themen im IT-Bereich, nimmt jedoch einen enormen Stellenwert für Administratoren ein. Denn ohne stabile Grundlage kommt es schnell zu Engpässen im Datendurchsatz und Ausfällen von Applikationen. IT-Administrator startet das neue Jahr deshalb mit dem Schwerpunkt "LAN, WAN & SDN". Darin zeigen wir unter anderem, wie Sie Netzwerkgeräte mit rConfig, Jinja2 und Netdisco verwalten. Außerdem lesen Sie, wie Sie Anmeldungen mit dem Microsoft Network Policy Server unter Kontrolle behalten. In den Tests werfen wir einen Blick auf die NetBrain Integrated Edition 8.0. [mehr]

Fernzugriff auf PRTG Core Server [24.11.2019]

PRTG Network Monitor wird in vielen Unternehmen für das Monitoring der IT-Infrastruktur verwendet. Nicht selten kommt die Frage auf, wie der Zugriff auf den PRTG Core Server auch von außerhalb des Unternehmensnetzwerks möglich ist. Was der Admin hier beachten muss und welche Vorkehrungen wichtig sind, um Zugriffe durch unautorisierte Dritte zu verhindern, zeigt dieser Tipp. [mehr]

Buchbesprechung

Technik der IP-Netze

von Anatol Badach und Erwin Hoffmann

Anzeigen