Bundesamt für Sicherheit in der Informationstechnik

M 2.302 Sicherheitsgateways und Hochverfügbarkeit

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT

Verantwortlich für Umsetzung: Administrator

Ein Sicherheitsgateway sollte immer die einzige Schnittstelle zwischen dem externen und dem zu schützenden Netz darstellen. Damit stellt natürlich das Sicherheitsgateway einerseits einen potentiellen Flaschenhals und zum anderen eine mögliche Bruchstelle für den gesamten Netzverkehr einer Organisation dar. Somit werden an die Verfügbarkeit von Sicherheitsgateways häufig hohe Anforderungen gestellt.

Die wichtigsten Komponenten eines Sicherheitsgateways sollten somit redundant ausgelegt werden. Dies sind vor allem diejenigen Komponenten, die zum Abruf oder zum Versand von Informationen unbedingt überquert werden müssen. In diese Kategorie fallen in der Regel Paketfilter, Application-Level-Gateway und evtl. VPN-Komponenten. Bei anderen Komponenten (z. B. Virenscanner oder Intrusion-Detection-System) muss die Bedeutung für die Sicherheit des zu schützenden Netzes im Einzelfall betrachtet werden.

Es gibt verschiedene Möglichkeiten, die Verfügbarkeit von Komponenten eines Sicherheitsgateways zu steigern:

Cold-Standby:

Beim Cold-Standby wird neben dem eigentlichen Produktivsystem ein zweites baugleiches Ersatzsystem bereitgehalten, das aber nicht in Betrieb ist. Wenn das erste System ausfällt, kann das Ersatzsystem manuell hochgefahren und ins das Sicherheitsgateway integriert werden.

Vorteile einer Cold-Standby Lösung Nachteile einer Cold-Standby Lösung
  • Der Aufwand zur Neuinstallation bzw. zum Neuaufbau eines Sicherheitsgateways ist relativ gering.
  • Die geringe Komplexität des Sicherheitsgateways erschwert Fehlkonfigurationen.
  • Zum bestehenden System muss ein zweites System vorgehalten werden und ständig auf dem aktuellen Konfigurations- und Patch-Stand gehalten werden.
  • Das Cold-Standby-System kann Fehlfunktionen nicht selbständig erkennen und muss manuell aktiviert werden. Es liegt in der Verantwortung der Administratoren, die Funktion des Wirksystems permanent zu überwachen und im Notfall einzuschreiten.
  • Je nach eingesetztem Produkt erfordert das Hochfahren einer Komponente des Sicherheitsgateways die Anwesenheit eines Administrators, da manche Systeme ohne Benutzerinteraktion über Tastatur nicht in den Betriebszustand starten. Das Einschalten von Komponenten über eine webgesteuerte Steckdose ist in diesem Fall ausgeschlossen.

Tabelle 1: Vor- und Nachteile einer Cold-Standby Lösung

Hot-Standby:

Bei einem Hot-Standby steht ebenfalls ein Ersatzsystem (meist mit der gleichen Konfiguration wie das im Regelbetrieb befindliche System) bereit. Dieses läuft aber ständig parallel mit, wobei eine Komponenten die andere überwacht. Bei einer Fehlfunktion kann dann das Ersatzsystem unmittelbar die Funktion des Wirksystems übernehmen. Dies kann automatisiert erfolgen oder auch nach Benutzerinteraktion. Eine Benutzerinteraktion kann verhindern, dass eine Umschaltung auf das Hot-Standby-System - die zusätzliche Komplikationen mit sich bringen kann - bei extrem kurzen Ausfällen erfolgt.

Um die Ausfallzeiten möglichst gering zu halten, muss der Zustand der wichtigsten Komponenten beim Hot-Standby-Betrieb des Sicherheitsgateways in möglichst kurzen Zeitabständen überprüft werden.

Vorteile einer Hot-Standby Lösung Nachteile einer Hot-Standby Lösung
  • Es ist keine Interaktion durch den Administrator an der Konsole notwendig.
  • Da die Funktionen des ausgefallenen Systems von der Ersatzkomponenten automatisch übernommen wird, gibt es keine oder nur kurze Ausfallzeiten.
  • Gegenüber Cold-Standby wird das Sicherheitsgateway sehr komplex, da alle beteiligten Komponenten durch zusätzliche Überwachungskomponenten ständig auf korrekte Funktion überprüft werden müssen.
  • Für jede relevante Komponente des Sicherheitsgateways muss eine eigene Überwachungskomponente beschafft und betreut werden.

Tabelle 2: Vor- und Nachteile einer Hot-Standby Lösung

Parallelbetrieb:

Bei einem Parallelbetrieb arbeiten zwei oder mehr Sicherheitsgateways ständig nebeneinander im Wirkbetrieb. Durch einen Parallelbetrieb wird nicht nur eine Lastverringerung und Performancesteigerung erreicht, vielmehr verringern sich auch die Probleme bei Ausfällen. Je nach gewählter Lastverteilungsmethode kann ein System im Fehlerfall die Aufgaben des gerade nicht zur Verfügung stehenden Systems übernehmen. Daraus resultiert natürlich ein kurzfristiger Performance-Verlust, aber die Funktionalität bleibt vollständig erhalten.

Dabei muss allerdings sichergestellt sein, dass alle Systeme konsistent gehalten werden. Bei Sicherheitsgateways muss hier vor allem auf korrekte Zeitsynchronisierung und die Konsistenz der Regelbasis geachtet werden. Außerdem muss gewährleistet sein, dass ein- und ausgehende Anfragen immer von den selben Komponenten bearbeitet werden, da sonst evtl. Verbindungen abgebrochen werden. Dies betrifft besonders Application-Level-Gateways und Paketfilter mit Stateful-Inspection-Funktion.

Beim Parallelbetrieb sind zwei Varianten zu unterschieden:

Statischer Parallelbetrieb

Bei dieser Variante ändert sich die Konfiguration (insbesondere die Routing-Informationen) der Komponenten des Sicherheitsgateways nicht. Eine Variante des statischen Parallelbetriebs könnte beispielsweise darin bestehen, dass über die parallelen Komponenten des Sicherheitsgateways unterschiedliche Dienste geleitet werden, also z. B. HTTP über einen Kommunikationsstrang und SMTP über einen parallelen Kommunikationsstrang. Diese Konfiguration erhöht zwar die Performance des Gesamtsystems, ist aber beim Ausfall einzelner Komponenten problematisch, da die Komponenten unterschiedlich konfiguriert sind und nicht ohne Weiteres durch die jeweils parallele Komponente ersetzt werden können. Aus diesem Grund ist von einer solchen Struktur und Konfiguration des Sicherheitsgateways in der Regel abzuraten.

Dynamischer Parallelbetrieb/Loadbalancing

Bei dieser Betriebsart wird die Konfiguration der Komponenten des Sicherheitsgateways den Performanceanforderungen im Betrieb angepasst. Ein Beispiel hierfür ist das Loadbalancing, bei dem Datenströme in Abhängigkeit von der Auslastung der an der Kommunikation beteiligten Komponenten geroutet werden.

Unbedingt zu beachten ist beim Loadbalancing, dass sich durch die automatischen Konfigurationsänderungen auf den beteiligten Komponenten keine Änderungen des Sicherheits-Regelwerks für das gesamte Sicherheitsgateway ergeben.

Loadbalancing kann Teil einer High-Availibility-Lösung (HA-Lösung) sein. Bei einer HA-Lösung wird die Verfügbarkeit von Komponenten des Sicherheitsgateways überwacht und es werden beim Ausfall ggf. Ersatzsysteme genutzt, die den Ausfall kompensieren sollen. Das oben angesprochene Loadbalancing dient in diesem Zusammenhang eigentlich nur der Performancesteigerung und führt alleine noch nicht zu Hochverfügbarkeit, es muss zusätzlich dafür gesorgt werden, dass bei einem Systemausfall die Ersatzsysteme den Ausfall automatisch ohne Zutun des Administrators auffangen. Eine ständige Überwachung der HA-Komponenten ist dabei ebenso wichtig wie ein automatisches Fail-Over im Bedarfsfall.

Vor- und Nachteile einer HA-Lösung sind mit denen eines Hot-Standby-Systems zu vergleichen. Vorteilhaft gegenüber Hot-Standby ist zusätzlich jedoch, dass sämtliche Komponenten des Sicherheitsgateways genutzt werden und sich somit eine Lastverteilung ergibt, die die Verfügbarkeit des Sicherheitsgateways sicherstellen kann.

Anforderungen an HA-Lösungen:

An eine HA-Lösung sollten folgende Forderungen gestellt werden:

  • Auch nach einem automatischen Fail-Over muss das Sicherheitsgateway die Sicherheitsanforderungen der Sicherheitsleit- bzw. -richtlinie erfüllen ("Fail safe" bzw. "Fail secure").
  • Die HA-Realisierung darf den Betrieb des Sicherheitsgateways bzw. dessen Sicherheitsfunktionen nicht behindern.
  • Mindestens Paketfilter und Application-Level-Gateway sollten hochverfügbar ausgelegt werden, da eine Kommunikation bei einem Ausfall der Komponenten in der Regel nicht mehr möglich ist. Ähnliches gilt für VPN-Komponenten.
  • Es sollten zwei voneinander unabhängige Zugangsmöglichkeiten zum externen Netz bestehen, z. B. zwei Internetzugänge von unterschiedlichen Providern.
  • Interne und externe Router müssen redundant ausgelegt sein, z. B. unter Verwendung von Protokollen wie "Virtual Router Redundancy Protocol" (VRRP) oder das proprietäre "Hot Standby Routing Protocol" (HSRP).
  • Die Funktionsüberwachung sollte anhand einer Vielzahl von Parametern erfolgen und sich nicht auf ein einzelnes Kriterium verlassen (wie z. B. eine einfache Erreichbarkeitsprüfung durch Testen der Verfügbarkeit der Netzschnittstelle ("ping")). Ist eine Komponente mittels "ping" erreichbar, könnte beispielsweise überprüft werden, ob die konfigurierten Dienste in der intendierten Art und Weise arbeiten.
  • Fehlkonfigurationen bei Inbetriebnahme oder Fehlfunktionen einer Komponente im Wirkbetrieb werden bei HA-Lösungen evtl. nicht sofort sichtbar, da Funktionen teilweise von der parallel installierten Komponente übernommen werden. So z. B. fällt es unter Umständen nicht sofort auf, wenn auf einem ALG die Filterung auf aktive Inhalte ausgeschaltet ist und die Anfragen vom korrekt konfigurierten System bearbeitet werden. Deshalb ist eine regelmäßige Kontrolle der Protokolldateien und der Warnmeldungen der HA-Lösung wichtig.

Besonders einfach ist eine HA-Lösung dann, wenn nur ein einstufiger Aufbau bestehend aus einem Paketfilter hochverfügbar ausgelegt werden soll. Viele kommerzielle Produkte bieten hierfür eine einfache Lösung, die im Wesentlichen in der Aktivierung einer entsprechenden HA-Option in der Administrationsoberfläche besteht.

Aufwändiger ist eine HA-Lösung bei mehrstufigen Sicherheitsgateways (z. B. zusammengesetzt aus Paketfiltern und Application-Level-Gateway). Hier muss jede Komponente hochverfügbar ausgelegt sein, was einen erheblichen Mehraufwand bedeutet. In der Regel müssen hier neben der Überwachungsfunktion noch dynamische Routingprotokolle (z. B. "Open Shortest Path First", OSPF) verwendet werden, die den Netzverkehr je nach Bedarf in die richtige Richtung lenken.

Dynamische Routing-Protokolle sind jedoch aus Sicht der Sicherheit nicht unproblematisch. Zu den Problemen siehe auch G 5.51 Missbrauch der Routing-Protokolle und M 5.112 Sicherheitsaspekte von Routing-Protokollen . Sollen zur Realisierung einer HA-Lösung dynamische Routing-Protokolle eingesetzt werden, so sollte im Rahmen einer ergänzenden Sicherheitsanalyse geprüft werden, ob das erforderliche Sicherheitsniveau noch erreicht wird.

In der P-A-P-Kette eines mehrstufigen Sicherheitsgateways muss eine Komponente die Überwachungsfunktion übernehmen. Diese Komponente entscheidet, ob der P-A-P-Strang funktionsfähig ist oder nicht. Für diese Aufgabe bietet sich eine eigenständige Überwachungskomponente an, die für nichts anderes als die Funktionskontrolle zuständig ist.

Ist die Integration einer eigenständigen Überwachungskomponente nicht möglich, so bietet es sich an, dem Application-Level-Gateway diese Aufgabe zu übertragen. Dies bietet zum einen den Vorteil, dass viele Funktionen des Sicherheitsgateways auf dem ALG implementiert sind, also von der Überwachungssoftware dann lokal ausgewertet werden können. Zum anderen ist das ALG oftmals an zentraler Stelle in das Sicherheitsgateway integriert, bietet also einen direkten Zugang zu den anderen Komponenten des Sicherheitsgateways.

Problematisch ist allerdings, dass ALGs oftmals das Aufspielen von Fremdsoftware zu verhindern versuchen, um eine Kompromittierung des Systems zu verhindern. Tatsächlich ist natürlich nicht auszuschließen, dass die eingesetzte Überwachungssoftware fehlerbehaftet ist und die Sicherheit des ALGs stark herabsetzt.

Ergänzende Sicherheitsanalyse

Hochverfügbarkeitslösungen sind immer auf spezielle Anforderungen zugeschnitten und Mischformen aus den oben beschriebenen Typen sind durchaus denkbar. Grundsätzlich wird für denn Fall, dass die Anforderungen an die Verfügbarkeit des Sicherheitsgateways eine Hochverfügbarkeitslösung notwendig erscheinen lassen, eine ergänzende Sicherheitsanalyse dringend empfohlen.

Prüffragen:

  • Leitet sich die Entscheidung zur Erreichung der Hochverfügbarkeit aus der Sicherheitsrichtlinie der Organisation ab?

  • Sind alle Komponenten des Sicherheitsgateways redundant ausgelegt?

  • Ist der Anschluss des externen Netzes redundant ausgelegt?

  • Erfolgt die Funktionsüberwachung der Systeme sowohl auf Verfügbarkeit der Netzwerkschnittstellen als auch auf die konfigurierten Dienste?

  • Entspricht die Konfiguration der Ausweichsysteme der Konfiguration der Live-Systeme?

  • Ist sichergestellt, dass bei einem automatischen Fail-Over das Sicherheitsniveau nicht sinkt?

Stand: 13. EL Stand 2013