Abwehr am Perimeter

Würth dreht an der Sicherheitsschraube

27.04.2015
Von 
Jan Schulze ist freier Autor in Erding bei München.

Performance und Hochverfügbarkeit

Neben der Sicherheit ist bei der Schnittstelle zwischen dem Rechenzentrum und der Außenwelt auch die Performance der Firewalls von großer Wichtigkeit. Denn diese müssen alle ein- und ausgehenden Datenströme prüfen, ohne dass es dabei zu für die Anwender spürbaren Verzögerungen kommt. Die Paketfilter sind hier weniger kritisch, da dabei nur der Header der Datenpakete überwacht wird: IP-Adresse, Art des Protokolls und Port, über den die Daten verschickt werden.

Ganz anders hingegen bei der Filterung auf Anwendungsebene. Hier müssten die einzelnen Datenpakete zunächst zwischengespeichert, zusammengesetzt, geprüft und wieder weitergeschickt werden. Das Application Level Gateway terminiert also die Verbindung zwischen den kommunizierenden Rechnern, um dann die Daten über eine neue Verbindung ans Ziel weiterzuleiten. Der Rechenaufwand dabei ist signifikant höher als bei einem Paketfilter. Gefährliche Inhalte wie Malware, Spam oder aktiver Content lassen sich jedoch nur auf diesem Weg frühzeitig aus den Datenströmen entfernen. Paketfilter sind nur in der Lage, den Datenstrom auf formale Aspekte hin zu überprüfen.

Security-Cluster im RZ

Aktuell ist das Rechenzentrum in Gaisbach mit Gigabit an das Internet angebunden. Um den benötigten Datendurchsatz und die geforderte Hochverfügbarkeit sicher zu gewährleisten, setzt Würth auf einen Cluster aus zwei Firewalls, die zusammen bis zu 3 Gbit/s über TCP und 6 Gbit/s über UDP verarbeiten können. "Die Performance wird ständig überwacht. Bislang hatten wir keine Probleme", bestätigt Sturm. "Auch Ausfälle treten nicht auf. Eigentlich sind die Firewalls nur beim Einspielen von Updates oder anderen Wartungsarbeiten kurz vom Netz."

Kapazitätsreserven sind auch dringend nötig. Denn wie in den meisten Unternehmen nimmt das Datenvolumen auch bei der Würth-Gruppe laufend zu. So sollen in nächster Zeit weitere Niederlassungen über das Gaisbacher Rechenzentrum versorgt werden. Dadurch ist nicht nur mit einem deutlich höheren Datenvolumen zu rechnen, auch die Gefahren für die IT steigen damit rasant an. Die Sicherheitsverantwortlichen in der Würth IT sind gerüstet: Neben den Firewalls sind selbstverständlich auch Malware- und Spam-Filter im Einsatz. Sturm ist davon überzeugt, dass die Strategie sich bewährt hat: "Bislang hatten wir keine Vorfälle in der IT-Sicherheit, die unserem Unternehmen Schaden zugefügt hätten."

Hintergrund: Einfallstor IPv6

Das sich nun langsam durchsetzende Protokoll IPv6 hat den zentralen Vorteil, dass es einen viel größeren Adressraum zur Verfügung stellt als das altbekannte IPv4. Daneben wurde IPv6 im Vergleich zum Vorgänger um ein neues Header-Konzept erweitert: IPv6 besitzt nicht nur den regulären, 40 Byte großen Header wie IPv4, der Ziel- und Quelladressen, Service-Typ und dergleichen beinhaltet. IPv6 verfügt daneben noch über einen erweiterten Header. Dieser Extension Header ist ein wichtiger, funktionaler Bestandteil des Protokolls. Allerdings ist heute noch nicht abschließend festgelegt, welche Möglichkeiten der Extension Header genau bietet und wie diese zu implementieren sind. Damit sind nach heutigem Stand verschiedene Angriffsszenarien möglich.

Da der Extension Header für einige grundlegende Funktionen von IPv6 notwendig ist, kann dieser Header nicht einfach aus Sicherheitsgründen an einer Paketfilter-Firewall blockiert werden. Denn damit würde aus dem Header ein Fragment werden, was wiederum in vielen Fällen selbst blockiert würde und damit seinerseits zu einem Denial of Service führen kann. Der momentan sinnvollste Ansatz ist, IPv6-Verbindungen an einem Application Level Gateway protokollkonform zu terminieren und dann mit einem neuen Header an die Zieladresse auszuliefern. (hv/sh)