inforum 1/2006 - Stateful-Firewall-Service des ZIV
1/2006 Inhalt -
Vorheriger Artikel -
Nächster Artikel -
ImpressumStateful-Firewall-Service des ZIV
Das ZIV betreibt neue leistungsfähige Firewall-Technik.
In inforum Nr. 1/2005 wurden »netzseitige IT-Sicherheitsmaßnahmen des ZIV« vorgestellt. In diesem Beitrag wollen wir einen genaueren Abriss über den Stand und die Technik der inzwischen eingesetzten und in Pilotprojekten in Betrieb befindlichen stateful-Firewall-Technologie des ZIV geben.
Im Kernnetz der Universität werden Switch-Router vom Typ Catalyst 6509 der Firma Cisco Systems eingesetzt. Diese Systeme haben einen Gesamtdurchsatz von bis zu 400 Mio. IP-Datenpaketen/s bzw. 720 GBit/s. Die Catalyst-Switche sind modular aufgebaut und erlauben neben dem Einschub von z. B. Ethernet-Interface-Modulen (z. B. Module mit 4x10 GBit/s-Ports) auch den Einschub von so genannten Servicemodulen. Neben dem VPN-Servicemodul (siehe Beitrag »VPN-Service des ZIV« in diesem inforum) wird auch das Firewall-Servicemodul vom ZIV eingesetzt.
Für an technischen Details interessierte Leser hier einige wesentliche Betriebsparameter des Firewall-Servicemoduls:
hardware-basierte stateful Firewall,
bis zu 5,5 GBit/s bzw. 1 Mio. Pakete/s Durchsatz ohne Verluste,
bis zu 1 Mio. gleichzeitige Kommunikationsverbindungen (sog. Sessions bzw. Sitzungen),
bis zu 100.000 Sitzungsneuaufbauten pro Sekunde,
bis zu 100 Firewall-Instanzen (virtuelle Firewalls).
Somit steht dem ZIV ein vergleichsweise sehr leistungsfähiges Stateful-Firewall-System zur Verfügung. Zur Realisierung der im Netz verteilt einzubettenden Sicherheitsfunktionen sind insbesondere die Virtualsierungs-Möglichkeiten hervorzuheben: Bis zu 100 virtuelle Firewalls können pro Modul definiert werden. Jede virtuelle Firewall kann unabhängig von den anderen virtuellen Firewalls des gleichen Moduls konfiguriert und betrieben werden. Somit können viele verschiedene Netzzonen mit unterschiedlichsten Sicherheitsbedürfnissen gleichzeitig über Firewall-Sicherheitsfunktionen durch ein einziges Modul geschützt werden. Damit die Wahrscheinlichkeit einer Durchsatz-Überbuchung gering gehalten wird, hat sich das ZIV entschlossen, zunächst maximal 25 virtuelle Firewalls pro Modul zu konfigurieren. Auch ist jeweils eine genaue Analyse der Kommunikationsbeziehungen und des zu erwartenden Verkehrsflusses notwendig, bevor eine Firewall-Instanz in Übertragungswege des Kernnetzes eingeschleift wird und damit ein Firewall-Service für eine Netzzone bereitgestellt wird. Oft genügt zur Grundabsicherung von z. B. Server-Subnetzen, welche auf eine höchst-performante Netzanbindung angewiesen sind, der Einsatz von Router-Interface-basierten stateless Filter-Funktionen (Access-Listen bzw. ACLs). ACLs können auf den oben erwähnten Router-Switches Catalyst 6509 nämlich ohne Leistungseinbußen bzw. Datenverluste mit voller Interfacegeschwindigkeit abgearbeitet werden. Der Einsatz einer stateful Firewall ist aber dagegen z. B. dann einer stateless ACL-Filterung vorzuziehen oder notwendig, wenn
die benötigten Verbindungen nur »stateful« behandelt werden können, weil z. B. die benutzten Kommunikationsprotokolle TCP/UDP-Port-Nummern dynamisch aushandeln (z. B. H.323 und SIP (relevant für Voice over IP) oder FTP),
oder wenn aus Netzbereichen heraus relativ komplexe vielfältige Verbindungen nach »außen« aufgebaut werden dürfen, aber umgekehrt eine weitestgehende Abschottung gegen Zugriff von »außen« gegeben sein soll. Die »stateful«-Eigenschaft der Firewall vereinfacht solche Regelwerke ganz erheblich. Typische Einsatzszenarien sind z. B. CIP-Pool- oder Mitarbeiter-Netze, in welchen keine von außen zu erreichnde Dienste angeboten werden,
und wenn gleichzeitig das zu erwartene Durchsatzvolumen dies erlaubt.
Ein weiterer erwähnenswerter Vorteil der eingesetzten Firewall-Servicemodule ist die Mandantenfähkeit der zugehörigen Management-Software. Es kann den jeweiligen Netzzonenverantwortlichen die Möglichkeit eingerichtet werden, die Konfiguration der zugehörigen virtuellen Firewall(s) einzusehen oder auch selbständig zu ändern. Auch ist es inzwischen nach einiger Eigenentwicklung im ZIV möglich, das Monitoring der anfallenden Sicherheitsmeldungen der Firewalls mandantenfähig anzubieten, d. h. die Netzzonenverantwortlichen haben Einsicht auf die für ihren jeweiligen Bereich anfallenden Logging-Daten.
Zurzeit werden zwei Firewall-Servicemodule eingesetzt. Wird nämlich eine Netzzone durch den Stateful-Firewall-Service abgesichert, wird sie grundsätzlich von zwei virtuellen Firewalls, verteilt auf die beiden Servicemodule (in verschiedenen Gebäuden), abgesichert. Nur jeweils genau eine virtuelle Firewall ist für eine Netzzone zu einer bestimmten Zeit aktiv. Die jeweils andere (sekundäre) virtuelle Firewall ist zwar zu jeder Zeit gleich konfiguriert und betriebsbereit, wird aber nur (automatisch) aktiv, wenn der primäre Weg ausfallen sollte. Durch gleichmäßige Verteilung von primären und sekundären virtuellen Firewalls auf die Servicemodule kann eine Lastverteilung erreicht werden.
Zurzeit findet bereits ein umfangreicher Betrieb des Firewall-Services im Universitätsklinikum (UKM), Bereich Zentrums für Zahn-, Mund- und Kieferheilkunde (ZMK) als Pilotprojekt statt. Weitere Bereiche sollen in Kürze folgen, u. a. für die Videokonferenzsysteme vom Dez. 4.43, Kommunikations- und Medientechnik, insbesondere weil hier die o. g. Protokolle H.323 bzw. SIP dies notwendig machen. Gerne beraten wir weitere Interessenten über die Möglichkeiten der Absicherung ihrer Netzbereiche.
1/2006 Inhalt -
Vorheriger Artikel -
Nächster Artikel -
Impressum
Zentrum für Informationsverarbeitung (Universitätsrechenzentrum)
