11-11-2016 Gedruckt am 25-05-2017 aus www.monitor.co.at/index.cfm/storyid/17028

Gastartikel - Donatus Schmid, Ixia

Parallel geht’s besser: Security Framework optimiert Einsatz von Inline Security Tools

Die heutige Bedrohungslandschaft erfordert eine Vielzahl proaktiver Sicherheitssysteme im gesamten Netzwerk, um Daten und Anwendungen zu schützen und ihre Verfügbarkeit sicherzustellen. Allerdings wirft der Betrieb multipler Inline-Sicherheitssysteme eine Reihe von Fragen zu Netzwerk-Uptime, Performance, Flexibilität und Betriebskosten auf. Zudem leidet die Effizienz solcher Systeme in der Regel daran, dass sie zu unterschiedlichen Zeitpunkten und unabhängig voneinander eingeführt werden. Jede dieser Einführungen ist ein eigenes Projekt mit eigenen Verantwortlichkeiten, und auch im laufenden Betrieb kommen sich das Sicherheitsteam und das Netzwerkteam mit ihren unterschiedlichen Schwerpunkten und Anforderungen immer wieder in die Quere. Mit einem Security Framework kann man die Inline-Sicherheitssysteme weitgehend vom Rest des Netzwerks entkoppeln, effizienter einsetzen und die Einführung zusätzlicher Systeme deutlich vereinfachen.

CC0 Public Domain - pixabay.com

 Sicherheit ist einer der am schnellsten wachsenden Aspekte der IT, seit Ende der 80er Jahre die ersten Firewalls entstanden. Diese Systeme entwickelten sich schnell von der reinen Paketfilterung hin zu Stateful Inspektion, und in den frühen 1990ern kam Application Awareness hinzu. Heute verlassen wir uns immer noch auf solche Firewalls, von denen viele heute als Next Generation Firewalls (NGFW) bezeichnet werden, da sie tiefer in die Anwendungen schauen und so ein höheres Maß an Sicherheit bieten. Sie werden typischerweise an kritischen Punkten des Netzwerks eingesetzt, wo die Datensicherheit am wichtigsten ist, meist an Übergängen zwischen internen und externen Netzwerken, Campus- und Rechenzentren oder privaten und öffentlichen Clouds.
 
Wenngleich moderne Firewalls sehr zuverlässig gegen Angriffe schützen, die über Policies sowie Anwendungs- und Session-Informationen erkannt werden können, hebeln viele aktuelle Angriffsmethoden diesen Schutz einfach aus. Im stetigen Wettlauf mit immer professionelleren Hackern benötigen Netzwerkbetreiber heute zusätzliche Sicherheitstools, von denen viele inline eingesetzt werden müssen, um den Netzwerkverkehr filtern zu können. Üblicherweise werden diese Systeme seriell betrieben, also vom zu überwachenden Netzwerkverkehr nacheinander durchlaufen.
 
  • Firewall: Das Sicherheits-Tool, mit dem die meisten IT-Generalisten vertraut sind. Firewalls steuern den eingehenden und ausgehenden Datenverkehr basierend auf Regelsätzen, Signaturen und Sicherheitsrichtlinien. Dies geschieht oftmals auf Basis von Header-Informationen. Wegen der Ubiquität und der hohen Vertrautheit mit dem Begriff "Firewall" integrieren viele Firewall-Unternehmen zusätzliche Funktionen in ihre Systeme, die ansonsten von spezialisierten Tools zur Verfügung gestellt werden.
  • Web Application Firewall (WAF): Die WAF wendet definierte Regeln auf eine HTTP-Konversation an, die viele Angriffe auf Web-Anwendungen abdeckt, wie z. B. Cross-Site Scripting (XSS) und SQL Injection, bietet jedoch nicht den allgemeinen Schutz einer herkömmlichen Firewall.
  • Intrusion Prevention System (IPS): Ein IPS überwacht und blockiert schädliche Aktivitäten im Netzwerk und überwacht bei der Suche nach Signaturen oder bekannten Ereignissen häufig sowohl Header- als auch Payload-Informationen in Paketen.
  • Intrusion Detection System (IDS): Das IDS überwacht Netzwerk- oder Systemaktivitäten auf böswillige Aktivitäten oder Richtlinienverstöße und meldet diesen Verkehr, blockiert ihn aber nicht. IDS überwachen sowohl Header- als auch Nutzdaten. Solche Systeme werden meist out-of-band eingesetzt, sie können unter Umständen aber auch inline funktionieren.
  • Data Loss Prevention Systeme (DLP): Ein DLP überwacht die Kommunikation auf vorsätzlichen oder unbeabsichtigten Datenverlust oder die Offenlegung vertraulicher Informationen. Diese Systeme werden oft mit E-Mail oder anderen Kommunikationssystemen integriert und suchen vertrauliche Informationen wie z.B. Kreditkartendaten oder Gehaltsinformationen.
  • Anti-Virus und Anti-Malware: Diese Sicherheitsgeräte zentralisieren die Durchsetzung von IT-Richtlinien und blockieren verdächtige oder nicht genehmigte ausführbare Dateien. Gleichzeitig überprüfen sie den gültigen Anwendungsdatenverkehr auf bekannte Viren- und Malware-Signaturen, bevor der Datenverkehr Clients oder Server erreicht.
  • SSL/TLS-Entschlüsselung: Ein Großteil der Daten, die eine Inline-Sicherheitslösung durchlaufen, ist verschlüsselt, und viele dieser Sicherheitstools benötigen Zugriff auf die unverschlüsselten Daten, um wirksam zu sein. Entschlüsselungsvorrichtungen können den Verkehr entschlüsseln und durch die obigen Werkzeuge senden, bevor die Daten für einen weiteren Transport über das Netzwerk erneut verschlüsselt werden.
 
Zusätzlich zu solchen Inline-Tools nutzen viele Unternehmen Out-of-Band-Lösungen, etwa für Intrusion Detection, das Performance Monitoring oder die Forensik, für die sie den Netzwerkverkehr über Taps oder SPAN Ports duplizieren. Alle diese Tools werden dann über eine SIEM-Lösung (Security Information and Event Management) koordiniert, um kompletten Einblick in den Sicherheitsstatus zu erlangen. Insgesamt kann die Vielzahl der verfügbaren Tools die Netzwerksicherheit deutlich erhöhen, doch die Vielfalt bringt auch Herausforderungen mit sich.
 

Serieller Betrieb reduziert die MTBF

Muss der Netzwerkverkehr mehrere Sicherheitssysteme nacheinander durchlaufen, kann dies die Verfügbarkeit des Netzes deutlich reduzieren, da sich leider nicht die Mean Times Between Failure (MTBF)addieren, sondern deren Reziprokwerte. Setzt man nur zwei Anwendungen mit MTBFs von 10.000 bzw. 30.000 Stunden an, muss man innerhalb von 30.000 Stunden daher mit 4 Ausfällen rechnen - die MTBF der Gesamtlösung beträgt also nur noch 7.500 Stunden. Und mit zwei Sicherheitstools kommt heute niemand aus; der Effekt wird also gravierender sein als in diesem Beispiel. Hat man beispielsweise vier Tools mit einer MTBF von 10.000, 15.000, 20.000 bzw. 30.000 Stunden, so beträgt die MTBF der gesamten Lösung gerade noch 4.000 Stunden. Zudem benötigt jedes dieser Systeme Wartung, Updates und Neukonfigurationen, was sich ebenfalls auf die Verfügbarkeit der gesamten Struktur auswirkt. Das Change Management wird weiter kompliziert durch die Tatsache, dass Netzwerk- und Sicherheitssysteme von unterschiedlichen Teams mit ebenfalls unterschiedlichen Prioritäten, etwa Sicherheit vs. Performance, betreut werden.
 

Bypass Switches ermöglichen eine parallele und weitestgehend ausfallsichere Inline Security Architektur. (c) Ixia

Werden alle Inline-Tools nacheinander durchlaufen, ergeben sich auch schnell Performance-Probleme. Das langsamste Tool bestimmt die Performance der gesamten Sicherheits-Infrastruktur, und schon geringe Geschwindigkeits-Upgrades bei der Internet-Verbindung können zusätzliche Investitionen in die Sicherheitssysteme erfordern - ebenso wie der Einsatz neuer Applikationen mit entsprechenden Policies. Zudem müssen die Tools an neue Angriffsprofile angepasst werden, um auch modernen DDoS- und Pipe-Saturation-Attacken widerstehen zu können. Dies führt nicht selten zu einer verkürzten Lebensdauer und vorzeitiger Neuinvestition, da viele Systeme nicht ausreichend skalierbar sind. Verstärkt wird dieser Effekt oft dadurch, dass die Tools auch den gesamten Verkehr aus unerwünschten Quellen inspizieren müssen, etwa aus bekannten Botnets oder aus Ländern, die für Hacking-Angriffe bekannt sind, mit denen das Unternehmen aber keinerlei Geschäftsbeziehungen unterhält.
 

Security Framework parallelisiert und entkoppelt Sicherheitssysteme

Um die Probleme mit hintereinander geschalteten Sicherheitslösungen zu umgehen, empfiehlt es sich, ein Inline Security Framework mit einer komplett anderen Sicherheitsarchitektur einzuführen. Ein solches Framework führt eine High-Availability-Zone ein, in der Security Tools mit maximaler Verfügbarkeit, Flexibilität und Performance eingesetzt werden können. Geschaffen wird diese Zone über Bypass Switches wie etwa iBypass von Ixia, die den Security Tools den ausfallsicheren Zugang zum gesamten eingehenden Verkehr aus dem öffentlichen Netz ermöglichen. Die Switches leiten diesen Verkehr an Network Packet Broker weiter, die die Pakete inspizieren und an die jeweils relevanten Tools oder Toolfarmen weiterleiten. Nach Durchlaufen der Sicherheitssysteme wird der Verkehr dann über die Bypass Switches an das interne Netzwerk übergeben. Die Bypass-Funktion stellt dabei sicher, dass Verkehr auch beim Ausfall von Sicherheitssystemen sein Ziel erreicht. Allein die Tatsache, dass der Verkehr durch den Einsatz von Bypass Switches weniger Inline-Systeme durchlaufen muss, erhöht zudem die Verfügbarkeit des gesamten Netzwerks.
 
Sind die Packet Broker Application Aware, können sie den Verkehr anwendungsspezifisch nur an die Tools weiterleiten, die für die jeweilige Applikation benötigt werden. So werden die einzelnen Tools deutlich entlastet. Zudem fungieren die Packet Broker als Load Balancer und können daher beispielsweise E-Mail-Verkehr effizient auf mehrere Anti-Virus-Systeme verteilen. Das gewährleistet nicht nur eine hohe Verfügbarkeit und Performance, sondern erhöht auch die Skalierbarkeit, da bei Upgrades einfach die entsprechende Toolfarm um ein weiteres System ergänzt werden kann. Müssen nicht alle Pakete alle Sicherheitstools durchlaufen, kommt dies überdies der Latency zugute. Um maximale Verfügbarkeit zu erreichen, sollten sowohl die Bypass Switches als auch die Packet Broker redundant ausgelegt sein.
 
Der Ansatz, die verschiedenen Sicherheitssysteme parallel statt in Reihe zu betreiben, hat auch gravierende Auswirkungen auf den Betrieb und das Change Management. Upgrades oder Wartungsarbeiten an einem einzelnen Tool haben so keinen negativen Einfluss auf das Gesamtsystem, da andere Tools davon nicht beeinträchtigt werden. Da die Bypass Switches praktisch die einzigen echten Inline-Systeme sind und das Sicherheitsteam ein komplett eigenes Spielfeld erhält, können sowohl das Netzwerk- als auch das Security-Team sich auf ihre jeweiligen Prioritäten konzentrieren, ohne sich dabei gegenseitig in die Quere zu kommen. Upgrades, Patches und Erweiterungen innerhalb der Sicherheitsarchitektur haben so keine negativen Auswirkungen auf Verfügbarkeit und Performance des gesamten Netzwerks.
 

Irrelevanten Verkehr schon am Edge filtern

Doch auch mit einer hochverfügbaren Sicherheitsarchitektur wie dem Inline Security Framework bleibt ein grundsätzliches Problem bestehen. Wohl niemand würde seine Zeit damit verschwenden, ein Paket von Amazon anzunehmen, zu öffnen und zu inspizieren, wenn er dort gar nichts bestellt hat. Die meisten Security Tools tun aber genau das, ob nun in einer traditionellen Inline-Konfiguration oder im Inline Security Framework. Sie verwenden einen Großteil ihrer Ressourcen für die Inspektion von Daten, die eigentlich gar keiner näheren Betrachtung bedürften, sei es, weil sie von bekannten Malwareversendern kommen oder aus Ländern, mit denen das Unternehmen keinerlei Geschäftsbeziehungen unterhält. Die Analyse dieser Daten kann die gesamte Sicherheitsarchitektur erheblich belasten und Tools wie Web Application Firewalls oder Intrusion Detection Systeme an die Grenze ihrer Leistungsfähigkeit bringen. Eigentlich nicht notwendige Investitionen in zusätzliche Tools sowie Load Balancer und damit eine Erhöhung der Komplexität sind fast zwangsläufige Folgen. Eines der Ziele von Sicherheitsverantwortlichen ist es daher, die Angriffsflächen des Unternehmensnetzes zu verringern und offensichtlich irrelevanten Netzwerkverkehr schon zu blockieren, bevor er die Sicherheitstools erreicht.
 

Irrelevanter Verkehr sollte herausgefiltert werden, bevor er die Inline Security Tools erreicht. (c) Ixia

Um die gesamte Sicherheitsarchitektur zu entlasten, empfiehlt sich daher der Einsatz spezieller Filtersysteme wie ThreatARMOR von Ixia, die schon am Edge zuverlässig alle Pakete herausfiltern, die sich überhaupt nicht im Netzwerk befinden sollten. Das können Pakete von bekanntermaßen bösartigen IP-Adressen, aus nicht zugewiesenen oder unbenutzten IP-Bereichen oder von Adressen sein, die Opfer von IP-Hijacking geworden sind. Solche Filter werden zwischen dem externen Netz und den Sicherheitstools oder - im Falle des Inline Security Frameworks - dem Bypass Switches installiert, blockieren den unerwünschten Datenverkehr und verringern so die Last auf die bestehende Security-Infrastruktur. Idealerweise können dabei komplette IP-Adressbereiche ebenso bei voller Übertragungsgeschwindigkeit blockiert werden wie einzelne IP-Adressen. Auch der Zugriff eigener Mitarbeiter auf bekannt bösartige Sites, etwa in Folge von Phishing Mails, kann unterbunden werden.
 
Grundsätzlich ist das Filtern von Adressen natürlich eine klassische Aufgabe der ohnehin vorhandenen Firewall-Systeme, doch wenn es um größere Adressbereiche geht, gelangen diese schnell an die Grenze ihrer Leistungsfähigkeit. Mehr als 10.000 Regeln verkraftet kaum eine Firewall, und damit können die Verantwortlichen weder den Verkehr aus einem Land wie China oder Russland noch den Angriff eines Botnets wirksam blockieren. Zudem ist die ständige Aktualisierung des Regelwerks gerade bei Botnets praktisch nicht durchführbar. Spezialisierte Filtersysteme dagegen können über ein Application und Threat Intelligence (ATI) Programm des Herstellers kontinuierlich und automatisch aktualisiert werden.
 
In einem solchen Programm, wie es auch von Herstellern von Sicherheitssystemen zum Testen genutzt wird, werden maschinell und durch Experten weltweit aktuelle Angriffsmuster analysiert und Quellen bösartigen Verkehrs identifiziert. Dabei wird jede bösartige Aktivität aller erfassten IP-Adressen dokumentiert - bis hin zum Datum des letzten Vorfalls. Werden die Filter kontinuierlich mit allen erfassten IP-Adressen aktualisiert, bietet das System einen permanenten und konsistenten Schutz vor Bedrohungen. Dabei entlasten sie nicht nur die Sicherheitsarchitektur, sondern auch die Security-Teams, die sich sonst mit einer Vielzahl unnötiger Alarme ihrer Sicherheitssysteme konfrontiert sehen.
 
Donatus Schmid ist Regional Sales Manager Österreich bei Ixia.