Firewall für Hochgeschwindigkeitsnetze
Transcription
Firewall für Hochgeschwindigkeitsnetze
Firewalls f ur Hochgeschwindigkeitsnetze Uwe Ellermann Carsten Benecke DFN-FWL Firewall-Labor fur Hochgeschwindigkeitsnetze Fachbereich Informatik, Universitat Hamburg fEllermann,[email protected] Zusammenfassung Der Firewall ist ein wichtiger Schutzmechanismus in IP-Netzen geworden. Der Trend zu ATM-Netzen fuhrt zu zwei wesentlichen Herausforderungen fur den Einsatz von Firewalls. Auf der einen Seite birgt die ATM-Technik durch neue Konzepte und neue Dienste zusatzliche Sicherheitsrisiken. Auf der anderen Seite lassen sich die ubertragenen Daten bei den uber ATM erreichbaren Durchsatzen nicht mehr so leicht wie bisher von einem Firewall kontrollieren. In diesem Artikel sollen Migrationswege fur den Einsatz von klassischen Firewall-Konzepten in ATM-Netzen aufgezeigt werden. Der Schwerpunkt liegt bei der Analyse der Performanz der beiden wichtigsten Firewall-Komponenten (Proxy-Server und Packet Screen), um dadurch die kritischen Engpasse beim Einsatz von Firewalls in ATM-Netzen zu identizieren. Abschlieend wird ein kurzer Ausblick auf skalierbare Firewall-Konzepte gegeben, die uber eine Migration hinausgehen und fur zukunftige Hochgeschwindigkeitsnetze benotigt werden. 1 Einleitung Firewalls sind heute ein integraler Bestandteil von Schutzkonzepten bei der Anbindung an das Internet, aber auch bei der Absicherung einzelner Subnetze innerhalb von Unternehmen. Mit der immer wichtigeren Rolle der Datenkommunikation werden hohere Durchsatze erforderlich, die durch Hochgeschwindigkeitsnetze (HSN), wie FDDI, ATM, Fast- und Gigabit-Ethernet ermoglicht werden. Da sich die wesentliche Funktionsweise bei Fast- und Gigabit-Ethernet gegenuber dem herkommlichen Ethernet nicht geandert hat, unterscheiden sich diese Netze in erste Das Projekt \Firewall-Labor fur Hochgeschwindigkeitsnetze" (DFN-FWL) wird durch den \Verein zur Forderung eines Deutschen Forschungsnetzes e. V." (DFN-Verein) aus Mitteln der Deutschen Telekom nanziert. 1 Veröffentlicht in "Deutscher Internet Kongress 1998", 5. und 6. Mai 1998, CongressCenter Messe Frankfurt. Linie durch einen hoheren maximalen Durchsatz (100 Mbit/s bzw. 1 Gbit/s). ATM (\Asynchronous Transfer Mode") als verbindungsorientiertes Netz mit einer festen Paketlange (\Zelllange") unterscheidet sich im Zugrisverfahren entscheidend von klassischen Netzen. Dadurch ermoglicht ATM eine freie Skalierung des Durchsatzes auf mehrere Gbit/s und noch hohere Datenraten. Die Leistungsfahigkeit von Firewalls ist demgegenuber in den letzten Jahren nur durch den Einsatz leistungsfahigerer Hardware gesteigert worden. Mit der Skalierbarkeit von ATM kann die Leistungssteigerung bei universeller WorkstationHardware nicht mithalten. Im folgenden Abschnitt wird untersucht, welche Moglichkeiten zur Integration von Firewalls in ATM-Netze bestehen.1 Der dritte Abschnitt untersucht die Performanz von Firewalls in einem 155 Mbit/s ATM-Netz. Die Ergebnisse dieser Untersuchungen konnen auch auf andere HSN ubertragen werden. Im vierten Abschnitt werden Ansatze fur skalierbare Firewalls skizziert. 2 Integration von Firewalls in ATM-Netze In ATM-Netzen werden heute \Classical IP" (CLIP) Laubach 94], \LAN Emulation" (LANE) oder \Multiprotocol over ATM" (MPOA) Dorling et al.96] eingesetzt, um etablierte Dienste zur Verfugung stellen zu konnen. CLIP, LANE und MPOA ist gemeinsam, da sie die Eigenschaften und die Struktur des zugrundeliegenden ATM-Netzes verdecken und das ATM-Netz auf die Eigenschaft reduziert, Dateneinheiten schnell transportieren zu konnen. Die Unterstutzung von z.B. IP durch CLIP ermoglicht so eine einfache Integration etablierter IP-basierter Konzepte wie Firewalls in ATM-Netze. Die Migrationsmoglichkeiten fur Firewalls in ATM-Netzen werden im Folgenden am Beispiel der Integration einer Packet Screen in ein CLIP-Netz diskutiert. Eine Packet Screen ist ein Filter, der anhand der in dem ProtokollHeader der Dateneinheit verfugbaren Informationen entscheidet, ob die Dateneinheit weitergeleitet werden soll. Fur die Filterung werden Quell- und ZielIP-Adressen sowie Quell- und Ziel-Ports verwendet. Eine Packet Screen kann bei der Filterung einzelner Dateneinheiten jedoch wichtige Informationen nicht erkennen, die erst im Kontext mehrerer Dateneinheiten sichtbar werden. Die bei der Integration einer Packet Screen in ein ATM-Netz gewonnenen Erkenntnisse konnen auf die ubrigen Firewall-Konzepte | Gateway-Firewalls sowie Kombinationen von Packet Screen und Bastion | direkt ubertragen werden.2 1 In diesem Artikel werden keine allgemeinen Fragen des Aufbaus von Firewalls, wie etwa die Auswahl der Sicherheitsrichtlinien, die Absicherung von Firewalls und sichere Realisierung von Proxy-Servern fur ausgewahlte Protokolle diskutiert. Diese Firewall-Aspekte sind ausfuhrlich in einschlagiger Literatur diskutiert Chapman et al. 95, Cheswick et al. 94, Ellermann 94] und sollen daher an dieser Stelle nicht wiederholt werden. 2 F ur einen ausfuhrlichen Vergleich der unterschiedlichen Firewall-Konzepte mit ihren Starken und Schwachen sei auf den DFN-Bericht Nr. 76 Ellermann 94] verwiesen. 2 Veröffentlicht in "Deutscher Internet Kongress 1998", 5. und 6. Mai 1998, CongressCenter Messe Frankfurt. 2.1 Packet Screen Integration in ein ATM-Netz Im Gegensatz zu "Legacy\-LANs wie BNC-Ethernet wo lediglich ein Kabel fur den Aufbau eines Netzes erforderlich ist, benotigen ATM-Netze eine aktive Komponente, den Switch, der Dateneinheiten zum Ziel weiterleitet. Wird fur das externe Netz (z. B. Internet) und das interne, zu schutzende Netz (z. B. LAN) jeweils ein Switch eingesetzt, so ergibt sich der in Abbildung 1 dargestellte Aufbau. Die Packet Screen kann durch einen Router oder mit geeigneter Software auch auf eine Workstation realisiert werden. Internet LAN Packet Screen ATM Switch ATM Switch Abbildung 1: Packet Screen Realisierung unter ATM mit einer Workstation als Packet Screen Durch dieses Setup wird eine klare Trennung der beiden Netze erreicht und die sichere Abgrenzung hangt, wie auch bei den klassischen Netzwerken, nur von der Sicherheit des Firewalls ab. 2.2 Flexible Losungen uber virtuelle Netze ATM ermoglicht den Aufbau sogenannter virtueller Netze, die getrennt voneinander auf demselben physikalischen ATM-Netz realisiert werden konnen. Durch den Einsatz virtueller Netze wird eine ATM-Realisierung des Packet Screen Konzeptes mit nur einem Switch moglich (siehe Abb. 2). Die Zusammenlegung der beiden ATM-Switche des internen und des externen Netzes in einem gemeinsamen Switch hat neben der Einsparung eines noch relativ teuren ATM-Switches zusatzlich den Vorteil, da "native\-ATM Verbindungen3 zu ausgewahlten ATM-Endgeraten wie Telefonanlagen oder VideoKonferenzsystemen direkt unter Umgehung des Firewalls durchgeschaltet werden konnen. Der Hauptvorteil von virtuellen Netzen ist jedoch die Flexibilitat, mit der ein Endsystem abhangig von seinen Kommunikations- und Sicherheitsanforderungen dem internen oder dem externen Netz zugeordnet werden kann. Bei klassischen Netzwerken wird die Zuordnung eines Endsystems zu einem Netz 3 Mit \nativen"-ATM Verbindungen wird die Kommunikation direkt u ber ATM ohne zusatzliche CLIP oder LANE Schichten bezeichnet. 3 Veröffentlicht in "Deutscher Internet Kongress 1998", 5. und 6. Mai 1998, CongressCenter Messe Frankfurt. Internet Packet Screen LAN ATM Switch Abbildung 2: Packet Screen Realisierung mit einem Switch bereits durch die raumlichen Gegebenheiten bestimmt. Um ein Gerat am externen Netz anzuschlieen, mu bei klassischen Netzen ublicherweise der Standort des Gerates verlagert werden, da eine A nderung der Verkabelung aufgrund von Entfernungsbeschrankungen und hohem Aufwand in der Regel nicht moglich ist. U ber die entsprechende Konguration von virtuellen Netzen kann bei ATMNetzen das gleiche Ergebnis auch ohne Topologieveranderungen erreicht werden. Durch die weitere Separierung eines Netzes in einzelne virtuelle Netze wird es moglich Sicherheits-Sektionen zu schaen, die miteinander uber Firewalls verbunden sind. Sicherheitsrisiken z. B. durch \Insider" bleiben so auf einen kleinen Teil des Netzes beschrankt und kompromittieren nicht wie bei klassischen Firewall-Konzepten ublich das gesamte interne Netz. Risiken virtueller Netze Die Sicherheit von virtuellen Netzen hangt von der strikten Trennung der Netze im Switch ab. Sollte es gelingen, direkt, ohne U berquerung des Firewalls, IPDateneinheiten von einem Netz in ein anderes zu senden, ware die Sicherheit dieses Aufbaus nicht mehr gewahrleistet. Daher mu verhindert werden, da ein Angreifer unter Umgehung des Firewalls den Switch anweist, eine Verbindung in das andere Netz aufzubauen. Zudem besteht bei virtuellen Netzen die Gefahr, da der Switch selbst angegrien wird. Mit der in Abbildung 2 vorgestellten Losung sind folgende Schwierigkeiten verbunden: Der Switch mu gegen Angrie "gehartet\ werden. Um zu verhindern, da ein Angri direkt auf den Switch erfolgt, mu der Switch gegen Angrie abgesichert werden. In erster Linie sind hierfur die Moglichkeiten der Einschrankung des administrativen Zuganges auszuschopfen. Zusatzlich mu die Moglichkeit der Rekongurierung uber 4 Veröffentlicht in "Deutscher Internet Kongress 1998", 5. und 6. Mai 1998, CongressCenter Messe Frankfurt. Netzwerkmanagement-Protokolle (SNMP oder ILMI)4 soweit wie moglich eingeschrankt werden. U berwachung von "native\-ATM Verbindungen. Wenn "native\-ATM Verbindungen zugelassen werden, dann konnen kooperierende Insider IP-Tunnel einrichten und so einen (IP-)Firewall umgehen. Die U berwachung von "nativen\-ATM Verbindungen ist ein bisher ungelostes Problem. Dieses Problem ist nicht auf ATM beschrankt, es bestand auch schon bei klassischen Firewalls, wo nach erfolgreicher Authentisierung (TCP-)Verbindungen durchgeschaltet wurden, uber die ein Angreifer anschlieend IP-Tunnel aufbauen kann. Dieses Problem wird durch die kryptographische Absicherung von Protokollen noch verscharft, da eine U berwachung von verschlusselten Daten nicht mehr moglich ist. Bei "native\-ATM Anwendungen erschweren die groen Datenmengen die U berwachung zusatzlich. Da "native\-ATM Anwendungen heute noch die Ausnahme sind, ist dies noch kein dringendes Problem. Eine Kontrolle der Endsysteme ist derzeit der einzige Weg, der auch vorerst wegen der geringen Anzahl der heute betroenen System noch akzeptabel erscheint. Trennung der virtuellen Netze im Switch. Das Hauptproblem virtueller Netze ist die gegenseitige Abgrenzung der Netze. Da mindestens zwei virtuelle Netze auf demselben ATM-Netz konguriert werden, besteht die Gefahr einer direkten Kommunikation zwischen den virtuellen Netzen, unter Umgehung des Firewalls. Zur Durchsetzung der Trennung virtueller Netze bestehen die folgenden beiden Moglichkeiten: Konguration von PVCs Um Systeme im jeweils anderen Netz an- zugreifen, mu der Angreifer zunachst eine ATM-Verbindung aufbauen. ATM unterscheidet zwischen \Permanent Virtual Circuits" (PVCs), die im Switch konguriert werden mussen, und \Switched Virtual Circuits" (SVCs), die als Wahlverbindung vom Sender geschaltet werden. Durch die feste Konguration von PVCs kann genau bestimmt werden, welcher Knoten mit welchen anderen Knoten kommunizieren darf. Damit kein Angreifer SVCs aufbaut, die gegen die Sicherheitsrichtlinien verstoen, mu die fur SVCs notwendige Signalisierung auf dem Switch unterbunden werden. Da fur jede Kommunikationsbeziehung im Switch jeweils ein PVC konguriert werden mu, steigert sich der Verwaltungsaufwand exponentiell mit dem Hinzufugen weiterer Rechner oder Switche. 4 Neben dem bekanntermaen sicherheitsproblematischen `Simple Network Management Protocol' gibt es in ATM-Netzen das `Integrated Local Management Interface' als ein weiteres Managementprotokoll mit neuen Sicherheitsrisiken Benecke et al. 98]. 5 Veröffentlicht in "Deutscher Internet Kongress 1998", 5. und 6. Mai 1998, CongressCenter Messe Frankfurt. Signalisierung einschranken A hnlich den Filterregeln bei Packet Screens besteht beim ATM-Switch die Moglichkeit, uber Regeln zu bestimmen, zwischen welchen Rechnern SVCs geonet werden durfen. Der Switch vergleicht beim Aufbau eines SVCs die Senderund Empfanger-ATM-Adressen mit einer vom Administrator vorgegebenen Regelliste. Dadurch wird es moglich, die Systeme eines virtuellen Netzes gegen andere Netze hin abzuschotten. (s. Benecke et al. 98]) 3 Performanz von Firewalls in Hochgeschwindigkeitsnetzen Arbeiten zur Messung der Performanz von Firewalls beschrankten sich bisher auf einfache Skripte zur Last-Erzeugung Molitor] und auf die Denition von Setups fur Durchsatzmessungen bei Packet Screens Bradner et al. 96]. Eine systematische Untersuchung der Performanz von Firewalls wurde bisher noch nicht vorgenommen. Im folgenden wird sich zeigen, da der meist als erstes genannte Datendurchsatz (Mbit/s) nicht das wichtigste Performanzkriterium bei Firewalls ist. 3.1 Performanz von Packet Screens Bei der Messung der Performanz von Packet Screens wurde zunachst mit einer Datendurchsatzmessung begonnen. Das ATM-Testnetz5 wird dazu in zwei virtuelle Netze aufgeteilt. Eine mit zwei ATM-Schnittstellen ausgestattete Workstation wird an beide virtuellen Netze angeschlossen und dient als Packet Screen. Die Software \IP-Filter" (Version 3.2)6 ermoglicht die Spezikation von einfachen bis zu hochst komplexen Filterregeln. Mit dem Mewerkzeug \Netperf"7 werden jeweils uber einen Zeitraum von 10 Sekunden Schreibzugrie mit der angegebenen Lange auf einer bereits geoneten TCP-Verbindung durchgefuhrt. Aus der ubertragenen Nutzdatenmenge kann der Durchsatz berechnet werden. Wichtig ist bei der Messung der Performanz von Packet Screens, da jeder Schreibzugri zur Erzeugung genau einer Dateneinheit fuhrt und nicht mehrere Schreibzugrie zu einer groeren Dateneinheit vereinigt werden, da dies zu einer Verfalschung der Meergebnisse fuhren kann. Durch die Anpassung der MTU-Groe8 an die jeweilige Schreibzugrislange wird sichergestellt, da nur Dateneinheiten der gewunschten Lange erzeugt werden. Die Performanz von Packet Screens hangt primar von der Anzahl der kongurierten Filterregeln ab. Je mehr Filterregeln von der Packet Screen aus5 Das Testnetz besteht zur Zeit aus sechs Sun Ultra Sparc 1/140 (Solaris 2.6), die u ber Sun ATM-Schnittstellen (SunATM 2.1) an einen Cisco Lightstream 1010 ATM Switch angeschlossen sind. 6 Verf ugbar u ber ftp://coombs.anu.edu.au/pub/net/ip-filter/ 7 Verf ugbar u ber ftp://ftp.cup.hp.com/dist/networking/benchmarks/netperf/ 8 Die \Maximum Transfer Unit" (MTU) gibt die maximale L ange eines IP-Datagramms an, da auf einem Netzwerk ubertragen werden kann. Groere IP-Datagramme mussen vor der U bertragung in kleinere Einheiten aufgebrochen werden. 6 Veröffentlicht in "Deutscher Internet Kongress 1998", 5. und 6. Mai 1998, CongressCenter Messe Frankfurt. gewertet werden mussen, umso mehr Zeit wird fur die U berprufung jeder einzelnen Dateneinheit benotigt. Mehrere Satze von Filterregeln wurden fur die Performanzmessungen der Packet Screen entwickelt. Die Filterregeln sind so aufgebaut, da die letzte Filterregel das Weiterleiten der Dateneinheiten der Messung erlaubt. Dadurch wird sichergestellt, da fur jede ubertragene Dateneinheit alle Filterregeln ausgewertet werden mussen. Diese Vorgehensweise orientiert sich an dem in Bradner et al. 96] vorgeschlagen Vorgehen. Abbildung 3 zeigt die erreichten Durchsatze bei drei Filterkongurationen mit 0, 100 und 250 Regeln im Vergleich zum Durchsatz auf einer direkten TCP-Verbindung und im Vergleich zum berechneten theoretischen maximalen Durchsatz.9 Zu erkennen ist, da mit der Packet Screen bereits ohne kongurierte Filterregeln unterhalb einer Schreibzugrislange von 2048 Byte nicht mehr der volle Durchsatz erreicht wird. Erst im Bereich von 2048 Byte bis zur MTU-Groe uberdecken sich die Kurven, und es wird auch durch die Packet Screen ein maximaler Durchsatz von uber 134 Mbit/s erreicht. Die Aussage, da eine Packet Screen \Wire-Speed" ermoglicht, sagt daher wenig uber die Leistungsfahigkeit einer Packet Screen aus, wenn nicht gleichzeitig die Datagrammlange mit der dieser Durchsatz erreicht wurde, angegeben wird. Vergleich von theoretischem und gemessem TCP−Durchsatz 140 theoretisch erreichbar gemessen Host zu Host Packet Screen: 0 Regeln Packet Screen: 100 Regeln Packet Screen: 250 Regeln 120 TCP−Durchsatz [Mbit/s] 100 80 60 40 20 0 4 8 16 32 64 128 256 512 Schreibzugriffslänge [Byte] 1024 2048 4096 8192 Abbildung 3: Datendurchsatz uber Packet Screen Bei den verschiedenen Packet Screen Kongurationen und bei der direkten Host zu Host Messung wird fur groe Nachrichtenlangen ein maximaler Durch9 Der f ur OC-3c ATM-Netze angegebene maximale Durchsatz von 155 Mbit/s steht nicht voll fur die U bertragung von Nutzdaten zur Verfugung, da Protokoll-Informationen, wie IPund TCP-Header, ubertragen werden mussen. Da die Protokoll-Informationen im allgemeinen unabhangig von der Nachrichtenlange eine feste Lange haben, ist der Overhead bei kurzen Datagrammen hoher. Die \Sagezahn" Funktion wird durch das Anpassen der Datenlange (Padding) an die feste Lange der ATM-Zellen verursacht. 7 Veröffentlicht in "Deutscher Internet Kongress 1998", 5. und 6. Mai 1998, CongressCenter Messe Frankfurt. satz von 134 Mbit/s erreicht, der jedoch zu den kurzeren Nachrichtenlangen hin in Abhangigkeit von der Anzahl der Filterregeln unterschiedlich fruh abfallt. Die Ursache fur diesen starken Abfall wird oensichtlich aus der Berechnung der Anzahl der Datagramme, die benotigt wird, um die an den einzelnen Mepunkten gemessenen Datendurchsatze zu erzielen. Die Ergebnisse in Abbildung 4 zeigen, da der starke Durchsatzruckgang bei den kurzeren Nachrichtenlangen auf das Erreichen des maximalen Datagrammdurchsatzes zuruckzufuhren ist. Wahrend auf einer direkten Host zu Host Verbindung knapp 16.000 Datagramme pro Sekunde von einer Workstation generiert werden konnen, verarbeitet eine Packet Screen nur maximal 8.000 Datagramme pro Sekunde. Durch Hinzufugen von Filterregeln wird dieser Wert weiter reduziert. Zum Erreichen des theoretisch moglichen Durchsatzes sind bei kurzen Nachrichtenlangen ( 40 Byte) in einem OC-3c ATM-Netz (155 Mbit/s) fast 180.000 Datagramme pro Sekunde notwendig. Durchsatz in Datagrammen/s, theoretisch, Host <−> Host und über Packet Screen 18000 theoretisch Host zu Host 0 Regeln 100 Regeln 250 Regeln 16000 Durchsatz [Datagramme/s] 14000 12000 10000 8000 6000 4000 2000 0 1024 2048 4096 8192 Schreibzugriffslänge [Byte] Abbildung 4: Datagramme/sec uber Packet Screen In der Praxis werden die zum Erreichen des maximalen Datendurchsatzes notwendigen Datagrammlangen oberhalb von 2048 Byte kaum erreicht. Dies hangt damit zusammen, da die meisten Protokolle nur kurze Nachrichten ubertragen. Im Extremfall wird ein Tastendruck (Nachrichtenlange 1 Byte) einer Telnet-Verbindung in einem Datagramm versendet. Wird das ATM-Netz als \Backbone" zur Verknupfung einer groen Zahl von Ethernet und FastEthernet Segmenten eingesetzt, so wird die Lange der meisten Dateneinheiten durch die MTU von Ethernet auf 1500 Byte begrenzt.10 Dadurch konnen auch bei Protokollen wie FTP, die zur U bertragung von groen Datenmengen die10 Bei CLIP Laubach 94] sind demgegen uber als MTU 9180 Byte vorgegeben und sogar noch groere Werte bis 64 KByte aushandelbar. 8 Veröffentlicht in "Deutscher Internet Kongress 1998", 5. und 6. Mai 1998, CongressCenter Messe Frankfurt. nen, keine Datagrammlangen oberhalb von 1500 Byte verwendet werden. Bei einer Stichprobe wurden in einem typischen Ethernet durchschnittliche Nachrichtenlangen von 500 Byte gemessen. U ber eine Packet Screen werden bei dieser Nachrichtenlange Durchsatze von 30 bis 40 Mbit/s gemessen. Theoretisch moglich waren hier jedoch um die 120 Mbit/s.11 Um diesen Wert zu erreichen, ware eine Vervierfachung des Datagrammdurchsatzes der Packet Screen auf etwa 30.000 Datagramme pro Sekunde notwendig. 3.2 Performanz von Proxy-Servern Proxy-Server sind Anwendungen, die auf einer Bastion oder einem GatewayFirewall laufen. Sie kontrollieren nicht nur die Protokoll-Header, wie Packet Screens, sondern erhalten Zugri auf den Inhalt der ubertragenen Daten und ermoglichen so eine sehr viel grundlichere Kontrolle.12 Der Proxy-Server nimmt die Verbindung des Klienten an und onet nach erfolgreicher Authentisierung eine Verbindung zum gewunschten Empfanger. Anschlieend werden die Daten zwischen diesen beiden Verbindungen kopiert und dabei gegebenenfalls der Inhalt uberpruft. Die Groe der Datenblocke, die vom Proxy-Server zwischen den Verbindungen kopiert werden, wird als Kopierlange bezeichnet. Sie bestimmt entscheidend den Datendurchsatz durch den Proxy-Server. Abbildung 5 zeigt die im Testnetz gemessenen Datendurchsatze fur ausgewahlte Kopierlangen. 70 Byte Kopierlange (Durchsatz knapp 7 Mbit/s) emuliert ein zeilenweises Kopieren. Manche Proxy-Server implementieren sogar ein byteweises Kopieren, wodurch ein maximaler Durchsatz von 0,1 Mbit/s nicht uberschritten werden kann. Erst bei der maximalen Kopierlange von 64 KByte wird fur groe Schreibzugrislangen ein Durchsatz von 134 Mbit/s erreicht. Den gemessenen Werten liegt lediglich das Kopieren der Daten zwischen den beiden Verbindungen zugrunde, aufwendige U berprufungen der ubertragenen Daten (z. B. VirenScanner) lassen deutliche Durchsatzruckgange erwarten. Wichtiger als der Datendurchsatz ist die Verbindungsaufbauzeit durch einen Proxy-Server. Da Proxy-Server die zweite Verbindung erst onen, nachdem sich der Benutzer beim Proxy-Server authentisiert hat, steigt die insgesamt benotigte Zeit, um einen entfernten Server uber eine Proxy-Server zu erreichen. Abhangig von der auf einer Verbindung zu ubertragenden Datenmenge fallt die Verbindungsaufbauzeit unterschiedlich stark ins Gewicht. Abbildung 6 zeigt die Summe aus Verbindungsaufbauzeit und Datenubertragungszeit (Gesamtdauer) fur unterschiedliche Datenmengen. Die ubertragenen Daten konnen zum Beispiel Web-Seiten oder Bilder sein. Oensichtlich ist, da die Verbindungsaufbauzeit gegenuber der Datenubertragungszeit den dominierenden Faktor darstellt. Die Transaktionslange betragt beim Standard Proxy-Server fur 11 Es spielt dabei keine Rolle, da auf einer direkten Host zu Host Verbindung nur etwa 60 Mbit/s gemessen wurden, da an der Packet Screen die Datenstrome von Verbindungen zwischen vielen verschiedenen Rechnerpaaren ankommen, deren akkumulierte Last durchaus 120 Mbit/s ausmachen kann. 12 Mit Proxy-Server k onnen zugegriene Web-Seiten und ubertragene E-Mails auf JavaApplets oder Computer-Viren uberpruft werden. Auch die Authentisierung von Zugrien uber Einmal-Paworte kann in Proxy-Servern realisiert werden. 9 Veröffentlicht in "Deutscher Internet Kongress 1998", 5. und 6. Mai 1998, CongressCenter Messe Frankfurt. Durchsatz TCP−Daten über experimentellen Proxy−Server 140 TCP−Durchsatz [Mbit/s] 120 100 80 60 40 20 0 512 1024 2048 4096 8192 Schreibzugriffslänge [Byte] Kopierlänge des Proxies: 70 Byte 1 KByte 8 KByte 64 KByte Host zu Host Abbildung 5: Durchsatz uber experimentellen Proxy-Server 16 KByte lange Nachrichten 0,03 Sekunden. Fur doppelt so lange Nachrichten (32 KByte) werden immer noch 0,03 Sekunden benotigt. Bei herkommlichen Ethernets (10 Mbit/s) mit geringem Datendurchsatz steigen die Kurven sehr viel steiler an, so da die feste Verbindungsaufbauzeit bei groeren Nachrichten kaum noch eine Rolle spielt. Gesamtverbindungslänge für unterschiedliche Nachrichtenlängen 0.1 Standard Proxy Multithreaded Proxy Host zu Host 0.09 0.08 Gesamtdauer [s] 0.07 0.06 0.05 0.04 0.03 0.02 0.01 0 16 32 64 128 256 512 1024 Nachrichtenlänge [KByte] Abbildung 6: Anteil des Verbindungsaufbaus an der U bertragung 10 Veröffentlicht in "Deutscher Internet Kongress 1998", 5. und 6. Mai 1998, CongressCenter Messe Frankfurt. Die gemessenen Durchsatze und die Verlangerung der Verbindungsaufbauzeiten orientieren sich an der Benutzersicht auf einen Proxy-Server und zeigt, welche Performanzeigenschaften der Benutzer von einem Proxy-Server in einem Hochgeschwindigkeitsnetz erwarten kann. Fur den Betreiber des Firewalls ist es jedoch mindestens ebenso wichtig, wieviele parallele Verbindungen gleichzeitig uber den Firewall gefuhrt werden konnen. Hierzu stehen noch detaillierte Messungen aus. Erste Ergebnisse zeigen bereits jetzt, da abhangig vom Typ des Proxy-Servers deutlich weniger als 100 aktive Verbindungen13 zur selben Zeit von einem Proxy-Server verarbeitet werden konnen. Die in ATM-Netzen zu erwartende Last und die steigende Komplexitat von anwendungsspezischen Analysen auf Proxy-Servern (Viren-Scanner, Verschlusselung usw.) machen eine Verteilung auf mehrere Bastionen notwendig. 4 Parallelisierungskonzepte fur Firewalls Derzeit werden im \DFN Firewall-Labor fur Hochgeschwindigkeitsnetze" (DFNFWL) verschiedene Ansatze fur Hochgeschwindigkeitsrewalls untersucht. Dabei sollen sowohl Losungen fur skalierbare Packet Screens als auch hochperformante Proxy-Server entwickelt werden. Bei Packet Screens mu als wichtigstes Ziel der Datagrammdurchsatz erhoht werden. Hierzu ist eine moglichst gleichmaige Aufteilung der Datagramme auf parallele Packet Screens ein vielversprechender Ansatz. Um auszuschlieen, da der Verteilmechanismus selbst zum Engpa und zur zentralen Fehlerquelle wird, entscheidet jede einzelne Packet Screen selbst (dezentral) fur welche Datagramme sie zustandig ist. Dafur mu jede der parallelen Packet Screens zunachst jedes Datagramm empfangen, kann aber sofort anhand von Protokollinformationen entscheiden, ob dieses Datagramm von einer anderen Packet Screen verarbeitet werden mu. In dem Fall kann die Dateneinheit schnell verworfen werden und belastet das System nicht. Fur Proxy-Server in Hochgeschwindigkeitsnetzen gibt es zwei wichtige Ziele: die Verringerung der Verbindungsaufbauzeiten und die Steigerung des Gesamtdurchsatzes bei einer groen Anzahl von parallelen Verbindungen. Die Verringerung der Verbindungsaufbauzeit erfordert eine Veranderung der verwendeten Protokolle, um unnotig hauges Auf- und Abbauen von Verbindungen zu verhindern oder um notwendige Verbindungen fruhzeitig vorauszusehen und bereits vorab zu eronen. Fur die Steigerung des Gesamtdurchsatzes werden zur Zeit mehrere Verfahren zur Lastverteilung auf parallele Proxy-Server untersucht. Ellermann et al. 98] 5 Abschlieende Bewertung Die ATM-Technologie birgt fur Firewalls sowohl Chancen als auch Probleme. Mit Hilfe von virtuellen Netzen wird es zukunftig besser moglich sein, die logische Netzstruktur an den Sicherheitsstrukturen auszurichten. U ber virtuelle 13 Eine inaktive Verbindung, etwa beim Warten auf Benutzereingaben, bindet zwar auch Betriebsmittel, z. B. Speicher, belastet den Firewall jedoch viel geringer. 11 Veröffentlicht in "Deutscher Internet Kongress 1998", 5. und 6. Mai 1998, CongressCenter Messe Frankfurt. Netze konnen selbst raumlich getrennte Hosts in einem Netz verbunden und gleichzeitig abgeschottet werden, falls dies aus Sicherheitsgrunden erforderlich ist. Der U bergang zwischen virtuellen Netzen mu dabei uber Firewalls abgesichert werden. Dies erfordert die konsequente Trennung der virtuellen Netze durch den Switch. Die hohen Datenraten in ATM-Netzen stellen ein groes Performanzproblem fur herkommliche Firewalls dar. Messungen haben zwar gezeigt, da das Umkopieren von Daten mit 134 Mbit/s bei Packet Screens und auch bei ProxyServern selbst mit herkommlichen Workstations moglich ist. Dieser Durchsatz wird aber nur mit sehr groen Dateneinheiten erreicht, die in realen Netzen kaum vorkommen. Fur Packet Screens mu der Datagrammdurchsatz entscheidend erhoht werden, um auch in ATM-Backbones den notwendigen Durchsatz zu erreichen. Bei Proxy-Servern fuhren die hohe Verbindungsaufbauzeiten und die begrenzte Anzahl der parallelen Verbindungen zu Performanzproblemen in ATMNetzen. Zukunftige Firewall-Konzepte fur Hochgeschwindigkeitsnetze durfen sich nicht allein an den Anforderungen von aktuell verbreiteten 100 Mbit/s FastEthernet oder 155 Mbit/s ATM-Netzen orientieren, sondern mussen skalierbar sein fur Netze mit sehr viel hoheren Datenraten. Hierfur sind parallele Packet Screens und parallele Proxy-Server der richtige Ansatz. Literatur Benecke et al. 98] Carsten Benecke, Uwe Ellermann. "Securing 'Classical IP over ATM Networks' \. 7th USENIX Security Symposium, 26.-29. Januar 1998, San Antonio, Texas, 1998. Bradner et al. 96] Scott Bradner, Jim McQuaid. "Benchmarking Methodology for Network Interconnect Devices\. RFC 1944, Mai 1996. (ftp://nic.nordu.net/rfc/rfc1944.txt) Chapman et al. 95] D. Brent Chapman, Elizabeth D. Zwicky. "Building Internet Firewalls\. O'Reilly & Associates, September 1995. Cheswick et al. 94] William R. Cheswick, Steven M. Bellovin. "Firewalls and Internet Security: Repelling the wily Hacker\. Addison-Wesley, 1994. Dorling et al.96] \Internetworking over ATM. An Introduction". Prentice Hall, 1996 Ellermann 94] Uwe Ellermann. "Firewalls: Isolations und Audittechniken zum Schutz von lokalen Computer-Netzen\. DFN-Bericht Nr. 76, September 1994. Ellermann et al. 98] Uwe Ellermann, Carsten Benecke. "Parallele Firewalls: skalierbare Losungen fur Hochgeschwindigkeitsnetze\. DFN-CERT Workshop 1998, 4.-5. Marz 1998, Hamburg, 1998. Laubach 94] Mark Laubach. "Classical IP and ARP over ATM\. RFC 1577, Januar 1994. (ftp://nic.nordu.net/rfc/rfc1577.txt) Molitor] Andrew Molitor. "Measuring Firewall Performance\. (http://www.clark.net/pub/mjr/pubs/fwperf/molitor.htm) 12 Veröffentlicht in "Deutscher Internet Kongress 1998", 5. und 6. Mai 1998, CongressCenter Messe Frankfurt.