Die Wahl der richtigen LAN-Security-Appliance

Auf der Suche nach einer optimalen LAN-Security-Appliance stehen Sicherheitsverantwortliche vor einer schwierigen Entscheidung: Sollen sie auf eine Inline- oder auf eine Out-of-Band-Appliance vertrauen? Eine Entscheidungshilfe.

Jeff Prince ist CTO bei Consentry Networks.

Bei der Auswahl einer LAN-Security-Appliance sollten immer auch ihre möglichen Auswirkungen auf den IT-Betrieb berücksichtigt werden.

Mehr Zugangsmöglichkeiten zum LAN schaffen, dabei aber die Sicherheit der Systeme und Daten gewährleisten. Dieser komplexen Herausforderung sehen sich viele IT-Experten gegenüber. Als Reaktion entwickelte die Industrie eine Reihe von LAN-Security-Appliances. Dabei unterscheidet man zwei Arten:

Inline-Appliances sind zwischen dem Switch im zentralen Verteilerraum (Wiring Closet) und dem Netzwerk-Kern positioniert und über ein Netzwerk verteilt nah am Nutzer. Da die Appliance mitten im Datenstrom des Netzwerkes sitzt, fungiert sie gleichzeitig als Policy Decision Point (PDP) und als Instanz zur Policy-Umsetzung.

Out-of-Band-Appliances werden zentral implementiert und sind meist mit einem Switch im Netzwerk verbunden. Da sie sich nicht innerhalb des Datenpfads befinden, dienen sie lediglich als PDP. Die Policy-Umsetzung wird anderen Infrastrukturkomponenten übertragen, in der Regel dem Wiring-Closet-Switch in der Verteilungsschicht.

Im Folgenden werden die Unterschiede der Appliance-Typen genauer erläutert.

1. Interoperabilität

Inline-Appliances sind autarke Komponenten, welche den Datenverkehr in Echtzeit auf seine Richtlinienkonformität überprüfen und entscheiden, welche Daten in das LAN gelangen. Da sie ohne separate Enforcement-Infrastruktur auskommen, entstehen keine Probleme mit der Interoperabilität.

Out-of-Band-Appliances überprüfen den Datenverkehr ebenfalls auf Einhaltung der Richtlinien, benötigen aber andere Netzwerkkomponenten für die Policy-Umsetzung. Daraus können sich Schwierigkeiten bei der Interoperabilität ergeben. Die IT-Abteilung muss sicherstellen, dass die für die Umsetzung zuständigen Switches in der Lage sind, die von der Appliance übertragenen Befehle zu empfangen und darauf zu reagieren.
Einige Out-of-Band-Lösungen sind so ausgelegt, dass sie mit verschiedenen Switches eingesetzt werden können und dass gängige Protokolle wie SNMP für die Übertragung von Policy-Decision-Daten verwendet werden können. Andere Appliances sind hingegen Bestandteil einer Single-Vendor-Lösung.