Fachartikel

Seite 2 - Verkehrsmonitoring in geswitchten Netzumgebungen (4)

Integration einer Netzvisualisierung
Die korrekte Bereitstellung der notwendigen Datenströme zum richtigen Zeitpunkt ist der Schlüssel zu einer umfassenden Sicherheitsarchitektur und der Minimierung der Sicherheitsrisiken. Doch Sicherheit erfordert die Sichtbarkeit der zu überprüfenden Daten. Im Umkehrspruch bedeutet diese Aussage: Lassen sich die Daten nicht abgreifen, ist eine Überprüfung nicht möglich und die Sicherheit kann nicht mehr garantiert werden. Die Bereitstellung von TAP-Ports in Kombination mit SPAN-Ports an mehreren Stellen im Netz sorgt für den Abgriff der für das Sicherheitsmanagement notwendigen Daten. Bei SPAN-Ports ist jedoch zu beachten, dass diese unter Umständen nur einen Bruchteil des gesendeten Verkehrs übermitteln oder bei Verkehrsspitzen Pakete verlieren. Dies kann dazu führen, dass die im Netzwerk auftretenden Bedrohungen unbemerkt bleiben.

Viele Sicherheitswerkzeuge sind in virtuellen Umgebungen nutzlos. Das Ausleiten beziehungsweise das Kopieren der zwischen virtuellen Maschinen übermittelten Informationsströme ist mit Hilfe von TAPs und SPAN-Ports nicht möglich und erfordert Lösungen, die in Hypervisoren und virtuellen Switchen integriert sind. Zwischen der IT-Infrastruktur und den Sicherheits- beziehungsweise Monitoringtools arbeitet die Visualisierungsebene. Diese sorgt für den transparenten Zugriff der Sicherheitswerkzeuge auf die notwendigen Unternehmensdaten. Die Visualisierungsebene erlaubt eine Anpassung der Datengeschwindigkeiten an vorhandene Sicherheitstechnologien und die Skalierung der Systeme, wenn neue Tools hinzugefügt beziehungsweise vorhandene Tools aufgerüstet werden.

Durch die Netzwerkvisualisierung können Sie die Daten replizieren, aggregieren, filtern und intelligent an die angeschlossenen Sicherheitswerkzeuge weiterleiten lassen. Dies bietet Ihnen eine umfängliche Sicht auf das gesamte Netzwerk, einschließlich der physikalischen zu virtuellen Verbindungen, Kostenreduzierung durch die Vereinfachung und Zentralisierung der Überwachungswerkzeuge sowie Optimierung der Performance der Sicherheits-Tools und kontrollierter Zugriff auf die Unternehmensdaten.
Um noch schneller auf Bedrohungen reagieren zu können, entwickelten sich viele Werkzeuge von einem reinen Out-of-Band-Werkzeug zum passiven Verkehrsmonitoring zu einer Inline-Variante. Natürlich stellt ein Inline-Einsatz eine potenzielle Fehlerquelle dar, aber diese Risiken lassen sich durch Bypass-Techniken ausschalten.

Physikalische Bypass-TAPs sorgen dafür, dass die Managementwerkzeuge im Inline-Modus arbeiten, ohne dabei tatsächlich einen Inline-Betrieb bereitzustellen. Bei einem Fehler, beispielsweise dem Ausfall der Netzspannung, ist der TAP als logischer Bypass konfiguriert, damit die Netzverbindung aufrechterhalten bleibt und nur sehr wenige Daten beim Umschaltvorgang verlorengehen. Der logische Bypass bezieht sich dabei auf eine Reihe von Software-Funktionen, die von den Sicherheitswerkzeugen benötigt werden:

  • Bidirektionale Heartbeat-Pakete werden in den Verkehrsstrom eingefügt, um kontinuierlich die Verfügbarkeit der angeschlossenen Werkzeuge zu überprüfen. Sollte der Heartbeat oder die Verbindung verloren gehen, wird der Datenverkehr nicht mehr über den logischen Bypass weitergeleitet, sondern es wird eine vom Administrator festgelegte Aktion ausgeführt.
  • Zu den festgelegten Bypass-Aktionen gehören beispielsweise die Aufrechterhaltung der Verbindung ins Netzwerk oder die Umleitung der Daten über eine andere Netzwerkverbindung (Redundanz).
  • Um den höheren Leistungsanforderungen beziehungsweise Netzgeschwindigkeiten gerecht zu werden, lassen sich die zu überwachenden Datenverkehrsströme auf mehrere Inline-Tools verteilen. Versagt eines der angeschlossenen Sicherheitswerkzeuge, wird der von diesem Gerät verarbeitete Datenverkehr auf die verbleibenden Geräte aufgeteilt oder an ein Backup-System weitergeleitet.
  • Die zu überwachenden Datenverkehrsströme lassen sich auf unterschiedliche Inline-Tools aufteilen und die Stärken der jeweiligen Sicherheitsanwendungen werden dadurch optimiert.
  • Interner Verkehr oder solche Verkehrsströme die als sicher gelten, können die Inline-Werkzeuge vollständig umgehen und die sicherheitsbedingten Latenzzeiten minimieren.
Im Idealfall erhalten die Sicherheitswerkzeuge vollen Zugriff auf alle über das Netzwerk übermittelten Datenverkehrsströme. Dadurch können bösartige Daten nicht nur im Perimeter, sondern auch im Netzwerkkern erkannt und beseitigt werden. Darüber hinaus haben die Sicherheitswerkzeuge die Möglichkeit zur Auswahl spezifischer Datenströme. Ist beispielsweise ein Tool auf die Überwachung von E-Mails spezialisiert, muss sich dieses nicht mit anderen Verkehrstypen auseinandersetzen. Dies hat eine spürbare Performance-Verbesserung zur Folge. Im Umkehrschluss erhalten Anwendungen, die auf das Web- oder Datenbankmonitoring spezialisiert sind, nur die für diesen Verarbeitungstyp notwendigen Daten. Das sogenannte Flow Mapping ermöglicht die Aufteilung der spezifischen Datenverkehrsströme auf ein oder mehreren Werkzeuge auf Basis der vom Administrator definierten Regeln.

Auf der Visualisierungsebene lassen sich zudem die Datenpakete und Datenströme mit Leitungsgeschwindigkeit verändern, ergänzen oder manipulieren. Hierzu gehören folgende Funktionen:

  • Deduplizierung,
  • Veränderung/Manipulierung der Header
  • Filterung auf Anwendungsebene
  • Maskierung und - Lastverteilung
Fazit
Das Überwachen des Netzwerks in seinen vielfältigen Aspekten bedeutet eine Menge Arbeit. Die Sicherheit wird dabei noch lange Zeit unsere Agenda dominieren. Mit jeder neuen Anwendung, mit jeder neuen Technologie oder neuem Endgerät werden die Herausforderungen noch komplexer. Sicherheit erfordert klare Definitionen, Richtlinien und Umsetzungskompetenzen und muss die über das Netzwerk übermittelten Daten sichtbar machen.

Seite 1: Flaschenhälse vermeiden
Seite 2: Integration einer Netzvisualisierung


Im ersten Teil drehte sich alles um sFlow und NetFlow. Im zweiten Teil haben wir uns dann angesehen, inwieweit Überlast zu Netzwerkausfällen führen kann. Der dritte Teil hat erklärt, warum es wichtig ist, die Anforderungen des eigenen IT-Betriebs genau zu kennen. Und im vierten Teil gingen wir schließlich auf die Vermeidung von Flaschenhälsen und die Integration einer Netzwerkvisualisierung ein.

<< Vorherige Seite Seite 2 von 2
23.12.2017/dr/ln/Mathias Hein

Nachrichten

Kleiner WLAN-Administrator [9.04.2020]

D-Link bringt den "Nuclias Connect Hub DNH-100" auf den Markt. Der Netzwerk-Controller ist mit der mandantenfähigen Nuclias-Connect-Software ausgestattet. Mit Hilfe des rund 500 Gramm leichten DNH-100 lassen sich kleine bis mittlere WLAN-Umgebungen zentral administrieren. [mehr]

Paketanalyse mit Wireshark-Funktionen [19.11.2019]

Allegro Packets rollt für seine Analyse- und Monitoring-Software "Allegro Network Multimeter" ein umfassendes Upgrade aus. Highlight der Firmware 2.5 ist laut Hersteller das Feature Webshark, das Funktionen von Wireshark direkt im Browser bereitstellt. [mehr]

Besser im Blick [18.10.2019]

Tipps & Tools

Vorschau Januar 2020: LAN, WAN & SDN [16.12.2019]

Die Netzwerkinfrastruktur gehört wahrscheinlich nicht zu den heißesten Themen im IT-Bereich, nimmt jedoch einen enormen Stellenwert für Administratoren ein. Denn ohne stabile Grundlage kommt es schnell zu Engpässen im Datendurchsatz und Ausfällen von Applikationen. IT-Administrator startet das neue Jahr deshalb mit dem Schwerpunkt "LAN, WAN & SDN". Darin zeigen wir unter anderem, wie Sie Netzwerkgeräte mit rConfig, Jinja2 und Netdisco verwalten. Außerdem lesen Sie, wie Sie Anmeldungen mit dem Microsoft Network Policy Server unter Kontrolle behalten. In den Tests werfen wir einen Blick auf die NetBrain Integrated Edition 8.0. [mehr]

Fernzugriff auf PRTG Core Server [24.11.2019]

PRTG Network Monitor wird in vielen Unternehmen für das Monitoring der IT-Infrastruktur verwendet. Nicht selten kommt die Frage auf, wie der Zugriff auf den PRTG Core Server auch von außerhalb des Unternehmensnetzwerks möglich ist. Was der Admin hier beachten muss und welche Vorkehrungen wichtig sind, um Zugriffe durch unautorisierte Dritte zu verhindern, zeigt dieser Tipp. [mehr]

Buchbesprechung

Technik der IP-Netze

von Anatol Badach und Erwin Hoffmann

Anzeigen