Abwehr am Perimeter

Würth dreht an der Sicherheitsschraube

01.10.2015
Von Jan Schulze

Security-Cluster im RZ

Aktuell ist das Rechenzentrum in Gaisbach mit Gigabit an das Internet angebunden. Um den benötigten Datendurchsatz und die geforderte Hochverfügbarkeit sicher zu gewährleisten, setzt Würth auf einen Cluster aus zwei Firewalls, die zusammen bis zu 3 Gbit/s über TCP und 6 Gbit/s über UDP verarbeiten können. "Die Performance wird ständig überwacht. Bislang hatten wir keine Probleme", bestätigt Sturm. "Auch Ausfälle treten nicht auf. Eigentlich sind die Firewalls nur beim Einspielen von Updates oder anderen Wartungsarbeiten kurz vom Netz."

Kapazitätsreserven sind auch dringend nötig. Denn wie in den meisten Unternehmen nimmt das Datenvolumen auch bei der Würth-Gruppe laufend zu. So sollen in nächster Zeit weitere Niederlassungen über das Gaisbacher Rechenzentrum versorgt werden. Dadurch ist nicht nur mit einem deutlich höheren Datenvolumen zu rechnen, auch die Gefahren für die IT steigen damit rasant an. Die Sicherheitsverantwortlichen in der Würth IT sind gerüstet: Neben den Firewalls sind selbstverständlich auch Malware- und Spam-Filter im Einsatz. Sturm ist davon überzeugt, dass die Strategie sich bewährt hat: "Bislang hatten wir keine Vorfälle in der IT-Sicherheit, die unserem Unternehmen Schaden zugefügt hätten."

Hintergrund: Einfallstor IPv6

Das sich nun langsam durchsetzende Protokoll IPv6 hat den zentralen Vorteil, dass es einen viel größeren Adressraum zur Verfügung stellt als das altbekannte IPv4. Daneben wurde IPv6 im Vergleich zum Vorgänger um ein neues Header-Konzept erweitert: IPv6 besitzt nicht nur den regulären, 40 Byte großen Header wie IPv4, der Ziel- und Quelladressen, Service-Typ und dergleichen beinhaltet. IPv6 verfügt daneben noch über einen erweiterten Header. Dieser Extension Header ist ein wichtiger, funktionaler Bestandteil des Protokolls. Allerdings ist heute noch nicht abschließend festgelegt, welche Möglichkeiten der Extension Header genau bietet und wie diese zu implementieren sind. Damit sind nach heutigem Stand verschiedene Angriffsszenarien möglich.

Da der Extension Header für einige grundlegende Funktionen von IPv6 notwendig ist, kann dieser Header nicht einfach aus Sicherheitsgründen an einer Paketfilter-Firewall blockiert werden. Denn damit würde aus dem Header ein Fragment werden, was wiederum in vielen Fällen selbst blockiert würde und damit seinerseits zu einem Denial of Service führen kann. Der momentan sinnvollste Ansatz ist, IPv6-Verbindungen an einem Application Level Gateway protokollkonform zu terminieren und dann mit einem neuen Header an die Zieladresse auszuliefern.

Zur Startseite