30.05.2005, 10:29 Uhr
Hochverfügbare Internetanbindung
Jede Woche beantworten Sicherheitsexperten Leserfragen und geben Ratschläge, wie sich die Sicherheit in einem Unternehmen erhöhen lässt. Die heutige Frage: Für geschäftskritische Applikationen sind gesicherte Verbindungen zum Internet unabdingbar. Welche Voraussetzung muss die Infrastruktur erfüllen?
Voraussetzung für eine permanente Internetanbindung ist der Aufbau einer starken, zuverlässigen und sicheren Infrastruktur. Ein einziger Internetanschluss birgt ein hohes Ausfallrisiko und macht das Netzwerk äusserst anfällig für Störungen. Internetverbindungen über verschiedene Internet Service Provider (ISPs) bieten entsprechend höhere Sicherheit. Mit dem Netzwerk-Design «Multi-Homed» gewährleisten ISPs eine hohe Verfügbarkeit des Internetanschlusses. Mehrfach angebundene Netzwerke verfügen über zusätzliche Bandbreite, welche die Performance des Netzwerks erhöht; die einzelnen Verbindungen können optimal für den ein- und ausgehenden Datentransfer ausgelastet werden. Solche Multi-Homed-Internetanbindungen wurden bislang meistens mit Hilfe des Border-Gateway-Protokoll (BGP) realisiert. BGP ist ein Protokoll für das Routing zwischen autonomen Systemen. Es beschreibt, wie Router untereinander die Verfügbarkeit von Verbindungswegen zwischen den Netzen propagieren.
Die Stärken des BGP-Protokolls liegen darin, verschiedene optionale Routing-Pfade in einer einzigen Routing-Tabelle zu vereinen. Der Nachteil ist, dass BGP-Meldungen über freie Leitungen immer nur frühestens 30 Sekunden nach der letzten Meldung versendet werden. Damit erreicht man zwar ein wenig oszillierendes Netzwerk, jedoch kann es einige Minuten dauern, bis neue optimale Verbindungen erkannt werden. Dass sich BGP nicht durchgesetzt hat, ist auch auf die hohen Kosten und die hohe Komplexität der Lösung zurückzuführen. So kann der BGP Router zu einem «Single Point of Failure» werden, wenn nicht weitere Protokolle wie das Hot-Standby-Routing-Protokoll (HSRP) oder das Virtual-Redundant-Router-Protokoll (VRRP) verwendet werden - was zur Erhöhung der Kosten und Komplexität führt. Mit der neuen Generation von Application Layer Switches lassen sich - ohne BGP - mehrere ISP-Verbindungen zu einem hochverfügbaren Internetz ugang zusammen-fügen und gleichzeitig IP Load-Balancing unterstützen. Diese echten Multi-Homed-Konfigurationen können mittels Multilink-Switching die aus- und eingehenden Internetverbindungen auf verschiedene ISP-Leitungen verteilen. Load-Balancing und Bandbreitenmanagement garantieren, dass die geschäftsrelevanten Programme mit der erforderlichen Kapazität immer verfügbar sind. Gegenüber den herkömmlichen Lösungen bestechen diese intelligenten Switches durch einfache Implementierung, hohe Skalierbarkeit und nachweisbare Wirtschaftlichkeit.
Da diese Systeme vor der Firewall positioniert werden, sind sie allen Angriffen aus dem Internet ausgeliefert. Aus diesem Grund ist es äusserst wichtig, dass die verwendeten Application Layer Switches über entsprechende Sicherheitsvorkehrungen verfügen, um eine 100-prozentige Verfügbarkeit zu gewährleisten. Dazu gehören, neben den typischen Load-Balancing Features, wie Health Monitoring, Traffic Redirection und Bandwidth Management, vor allem Sicherheitsvorkehrungen wie DoS (Denial of Service) Protection und Intrusion Prevention.
Der Einsatz von echten Multilink-Lösungen ist der von den ISPs angebotenen BGP- oder HSRP-Routing-Konfiguration zwischen verschiedenen Internet-Standleitungen vorzuziehen. Die Vorteile für die Unternehmen liegen auf der Hand: Sie sind unabhängiger von Ihrem Serviceprovider und können günstige neue Angebote schnell nutzen. Vertretbare Anschaffungskosten, rasche und problemlose Implementation sowie geringer Betriebsaufwand sind weitere wichtige Punkte, die für eine hardwarebasierte Load-Balancing-Lösung sprechen.