Tagged: unified threat management

Application Delivery Controller

Load Balancer werden heute primär für hohe Verfügbarkeit verwendet. In diesem Fall müssen die Load Balancer selbst auch als Cluster betrieben werden, dass die Verfügbarkeit des Dienstes gewährleistet ist, wenn ein Load Balancer ausfällt.

Load Balancer werden heute auch Application Delivery Controller genannt. Die meisten Load Balancer verfügen über mehr Funktionen als nur Lastenverteilung.

Zum Beispiel:

  • SSL Offloading
  • Reverse Proxy
  • DDoS Prevention
  • Web Application Firewall

Load Balancer sind in einem weiten Spektrum erhältlich.

Das geht von einfachen Lösungen unter Linux über VMware Appliances zu Hardwarelösungen, die auch 100 Gigabit/s locker handhaben.

Die günstigste Lösung is HAproxy mit keepalived unter Linux.

Ein anderes gutes kommerzielles Produkt, das auch auf Linux basiert, ist BlanceNG.

Eine einfach zu konfigurierende Hardware Appliance ist Coyotepoint. Dieses Produkt wurde von Fortinet aufgekauft.

Auch Fortinet verfügt über eine Produkte Linie.

Die High End Produkte, die alles abdecken: A10 Networks.

Unified Threat Management

UTMInformatik hat etwas Beständiges: Sie verändert sich konstant. Genau so verhalten sich die Gefahren und Attacken im Internet.

Bis vor 10 Jahren war das Leben relativ einfach. Die Hacker versuchten über das Internet in Server einzudringen. Stand der Server in einer DMZ, war man relativ sicher, dass dem Hacker der Weg ins interne Netzwerk verwehrt war und dass interne Systeme relativ sicher waren.

Heute sieht die Welt anders aus. Die klassischen Systeme werden immer noch attackiert, aber die grosse Angriffswelle geht nun gegen die Client-Systeme. Heute geht es um Phishing, Malware, Trojaner, Cross-Site Scripting, SQL-Injection, Spam und Denial of Service Attacken gegen Betriebssysteme und Netzwerk-Komponenten. Die Angriffstechniken werden immer ausgefeilter und ausgereifter.

Rootkits verschleiern ihre Anwesenheit auf einem System so gut, dass auch ein guter Administrator sie nicht mehr bemerkt.

Die Angriffe auf allen Ebenen zeigen, dass die reine Verwendung von Virenscanner und klassischer Firewall schon lange keinen Schutz mehr bietet. Die Hersteller haben begonnen, die Abwehr gegen alle diese Attacken unter dem Namen Unified Threat Management zu verkaufen. Es handelt sich dabei um eine Evolution der Firewall-Technik. Wurden vor langer Zeit die Firewalls in die zwei Kategorien Application Level Gateway und Packet Filter eingeteilt, gibt es heute die neue Kategorie Unified Threat Management (UTM).

UTM ist eigentlich eine Verschmelzung der verschiedenen Konzepte. Während bei den Paket Filtern nur auf Source- und Destination Adresse, sowie auf den Service geschaut wurde, wird heute bei den UTM Geräten, wie früher bei den Application Level Gateways, auch die eigentliche Applikation angeschaut, respektive die Einhaltung des Protokolls dieser Applikation.

Durch die Schnelligkeit der heutigen Geräte ist es auch möglich, den Datenstrom nach Signaturen aller Art zu durchsuchen. Diese Signaturen beschränken sich heute nicht mehr nur auf Viren, sondern gehen in alle Bereiche der Netzwerk Sicherheit. So kann man Einbruchsversuche, Malware, Spyware, Spam, Viren, Protokoll-Anomalien, etc. erkennen und blockieren. Diese Funktionen gab es zum Teil schon einzeln auf unterschiedlichen Geräten. Der grosse Vorteil der UTM-Firewalls ist nun, dass man alle Funktionen in einem Gerät vereint hat.