Firewalls im Unternehmenseinsatz
von: Jörg Fritsch, Steffen Gundel
dpunkt, 2005
ISBN: 9783898643221
Sprache: Deutsch
369 Seiten, Download: 6886 KB
Format: PDF, auch als Online-Lesen
3 IP-Forwarding (S. 73-74)
Wir werden uns jetzt genauer anschauen, wie Netzwerkverkehr in Rechnern mit mehreren Netzwerkkarten (im Folgenden »PC-Router« genannt) und in Routern (im Folgenden »echter Router« genannt) verarbeitet wird. Dazwischen betrachten wir die Check Point SecureXL API, die die Performance steigert, ohne die Hardwarearchitektur verändern zu müssen. Abschließend werfen wir noch einen Blick auf die Stellung von Beschleunigerkarten.
In der Vergangenheit war die Basis einer Firewall systemseitig meist ein (Unix-)Rechner mit mehreren Netzwerkkarten (engl. »multihomed host«). Im Folgenden werden sie »hostbasierte Firewalls« genannt (andere Autoren sprechen auch von »softwarebasierten« Firewalls). In jüngster Zeit drängen immer mehr Appliances auf den Markt, die von außen betrachtet scheinbar ziemlich einfach aus mehreren Netzwerkkarten und ein paar Kontrolllampen aufgebaut sind.
Es sind Appliances im Handel, die neben den einschlägigen Vorteilen (siehe: »Exkurs: Appliance«) eine auf den Netzwerkverkehr zugeschnittene Architektur haben und gegenüber Hosts bessere Durchsatzraten bieten. Die Hardwarearchitektur nähert sich dabei immer mehr der von Routern an.
Stark vereinfacht ausgedrückt ist ein Router umso leistungsfähiger, je mehr Aufgaben von der Netzwerkkarte erledigt werden können, ohne Rechenzeit der zentralen CPU zu benötigen und ohne den Datenbus mit Verkehr zusätzlich zu belasten. Wie wir sehen werden, handelt es sich bei Routern in der Regel um eng umrissene Routing- bzw. Switching-Entscheidungen, die von der zentralen CPU auf die Intelligenz der Netzwerkkarte verlagert werden.
Bei Firewalls bzw. Firewall-Appliances verfolgen die Hersteller zur Entlastung der CPU zwar das gleiche Prinzip, jedoch sind die zu verlagernden Aufgaben wesentlich anspruchsvoller. Details im Paketkopf oder Datenteil müssen mit manuell erstellten Adress- und Servicelisten (Access-Listen oder Regelwerk) verglichen werden und benötigen daher CPU-Leistung. Wenn ein Paket bei der Netzwerkkarte einer Firewall ankommt, wird es entweder verworfen, geroutet oder von der zentralen CPU weiterverarbeitet (NAT, Verschlüsselung, Logging usw.). Eine Sonderstellung nehmen die so genannten Beschleunigerkarten ein, die sowohl für Router wie auch für hostbasierte Firewalls nahezu aller Betriebssysteme erhältlich sind. Diese Karten erledigen die für die Verschlüsselung von IPSec-Verbindungen notwendigen Rechnungen und befreien die zentrale CPU von dieser Aufgabe.
Exkurs: Appliance (dt. Apparat, Gerät)
Der Begriff »Appliance« bezieht sich weder auf die Größe, die Hardware und auch nicht auf den Preis einer Netzwerkkomponente. Es ist ein vom Hersteller für einen bestimmten Einsatzzweck vorkonfiguriertes Gerät, das sich vom Endanwender über ein browserbasiertes GUI administrieren lässt. Bezogen auf ein Firewall-Appliance heißt das konkret, dass die nötigen Software-Pakete vorinstalliert sind und Parameter – wie zum Beispiel IPAdressen der Netzwerkinterfaces, Hostname, DNS, statische Routen usw. – sich über ein GUI weiter konfigurieren lassen. Ein zusätzlicher, bei Firewalls ganz wichtiger Aspekt, ist, dass die Härtung des Systems schon vom Hersteller übernommen wurde und wirklich nur die für den jeweiligen Verwendungszweck allernötigsten Pakete und Dienste vorhanden sind.