Abwehr mit Schwächen
Abhilfe durch Loadbalancer
All die genannten Probleme lassen sich mit Intrusion-Detection-Tools alleine nicht lösen. Nur eine Technik, die mehrere Sensoren kombiniert, kommt mit der hohen Auslastung in geswitchten Netzen zurecht. So genannte Flow-gestützte oder "Session Aware", auf deutsch "sitzungsorientierte", Loadbalancer verteilen die Netzlast auf mehrere Leitungen, wobei sie darauf achten, dass sie einzelne Datenströme nicht auftrennen. Sie können den Gigabit-Output des Mirroring-Ports in kleine Portionen zerlegen, die von mehreren NIDS bewältigt werden. Auch asymmetrische Router-Netze lassen sich damit in den Griff kriegen. Session-gestützte Loadbalancer von F5 Networks, Nortel Networks und Foundry Nertworks oder spezielle Security-Loadbalancer wie "IDS Balancer" von Toplayer Networks oder "Fireproof" von Radware führen die Pakete einer redundanten Schaltung zusammen und ordnen sie nach Datenströmen zu verschiedenen Anwendungen.
Der Einsatz eines Loadbalancers gewährleistet nicht nur, dass das NIDS alle Datenströme von Fast- oder Gigabit-Ethernet-Links scannt. Die Geräte geben dem Anwender mehr Möglichkeiten beim Gestalten der Abwehrarchitektur. So kann er mit einem Lastenverteiler mehrere Verbindungen niedriger Bandbreite von einem NIDS kontrollieren lassen.
Die zusätzliche Flexibilität macht sich auch in geswitchten Netzen bezahlt, die ohne Loadbalancer im günstigsten Fall über einen Flow-Mirroring-Port überwacht werden, der die Performance des Switches belastet. Besser funktioniert die Beobachtung mithilfe von Taps, die, in eine Leitung geschaltet, den kompletten Verkehr kopieren. Allerdings verdoppeln sie den Sende- und den Empfangskanal einer Ethernet-Verbindung von einander getrennt und geben die Signale auf zwei Ports aus. Ein Alarmmelder ist daher überfordert, weil er immer nur die eine oder die andere Hälfte der Kommunikation zu beobachten vermag. Hier hilft ein Lastenverteiler, der beide Stromrichtungen wieder zusammenführt, und somit auf die Kontrolle durch ein oder mehrere NIDS vorbereitet.
zur Person
Simon Edwards
ist "Technical Evangelist" - auf deutsch "technischer Visionär" - bei Toplayer Networks.