06.09.2007 | Redakteur: Peter Schmitz
Im Hinblick auf die vielfältigen Online-Bedrohungen bildet das Security Gateway die Grundlage für eine sichere Anbindung ans Internet. Dabei muss es sich – dank Open-Source-Entwicklungen – allerdings nicht um eine kostspielige Lösung mit hohen Support-Kosten handeln. SearchSecurity.de hat sich mit Ralf Zerres, Geschäftsführer der Networkx GmbH in Köln, über die Vor- und Nachteile von Open Source Security Gateways unterhalten.
Peter Schmitz: Sind Open Source-Lösungen für Gateway Appliances besser als proprietäre Lösungen?
Ralf Zerres: Sieht man einmal von der ideologisch geführten Diskussion „Open Source vs. Proprietäre Lösungen“ ab, so ist die Funktionalität einer Lösung wichtiger. Denn letztlich interessieren den Anwender nur Leistungsfähigkeit und Funktionalität seines Gateways, nichts anderes. Aus seiner Sicht lautet die Frage dann auch: Welche Faktoren qualifizieren Open-Source-Lösungen gegenüber den proprietärem Wettbewerb? Und hier sprechen einige Fakten für Open Source.
Oder anders gesprochen: Bei der Investition in Sicherheit sind Open-Source-Produkte keine Einbahnstraße! Der verfügbare Quellcode ermöglicht die schnelle Adaption an neue Hardware und verringert zudem die Entwicklungszeiten. Für den Anwender bedeutet dies ein schnelleres Time-to-Market aktuellster und leistungsfähigerer Produkte und preislich interessantere, da günstigere Produkte.
Im Vergleich zu proprietären Ansätzen sind Open-Source-basierte Gateways zumeist ausgereifter und stabiler. Last but not least erweist sich auch und gerade in der Security die internationale Entwicklergemeinde als Vorteil. Denn sie trägt neben dem Hersteller mit dem stetigen Know-how-Transfer für eine schnellere Diffusion des Wissens und somit zur Qualitätssteigerung der Sicherheit bei.
Beide Varianten verfügen über zentrale Vorteile. So zeichnet die Entwicklung der Produkte ein hohes, da auf der Philosophie der Open Source Community beruhendes, Potenzial aus, Stichwort „viele-Augen-Prinzip“. Die Upstream-Pakete werden auf zunehmend professionelleren Plattformen entwickelt, mit dem Resultat, dass die freigegebenen Releases eine hohe Funktionssicherheit aufweisen.
Andere Open-Source-Projekte können grundsätzlich integriert werden ohne zur Potenzierung der Komplexität beizutragen. Für den IT-Verantwortlichen offerieren pure Open-Source-Lösungen daher interessante Aspekte in der Administration. So kann er nicht nur nach eigenem Belieben und Bedarf auf neue Releasevarianten zurückgreifen, was zugegeben gerade im Sicherheitsbereich jedoch grundsätzlich erfolgen sollte. Darüber hinaus hat er auch Freiheit bei der Wahl seiner Verwaltungswerkzeuge und der Wahl der Distributionsvariante seines OS. Dies erkauft er sich aber mit einigen Nachteilen. Hier wären insbesondere die Eigenverantwortlichkeit bei der Abstimmung auf Kompatibilität und der allenfalls rudimentäre Support zu nennen.
Sind das interne Know-how in den Unternehmen und die Bereitschaft vorhanden, sich tief und umfassend mit dieser Materie auseinanderzusetzen, so spricht selbstverständlich nichts dagegen, auf pure Open-Source-Lösungen zu setzen. Doch in der Realität trifft dies auf die wenigsten Anwender zu. Diese bevorzugen eher eine Unterstützung durch einen externen Dienstleistungspartner, der selbstverständlich ein vitales Interesse an einem aktuellen Produkt hat.
Prägnant sind die Vorteile jedoch bei der Abstimmung des Hard-/Softwarepakets. Nicht nur werden alle Bestandteile des Gesamtpaketes aufeinander abgestimmt, die Werkzeuge zur Verwaltung auf ihre Funktion getestet und die Oberflächen für den jeweiligen Zielmarkt hin abgestimmt. Vielmehr bietet sich auch die Möglichkeit individuelle Service Level Agreements abzuschließen, die in der Regel beispielsweise den Produktaustausch vor Ort innerhalb eines eng gefassten Zeitfensters beinhalten.
Gerade dies ist selbstverständlich vor dem Hintergrund der Risiken, die mit einer ungesicherten IT verbunden sind für zahlreiche Anwender eine „conditio sine qua non“. Daher sprechen die Argumente aus meiner Sicht für eine Open-Source-basierte Lösung.
Ein klares und eindeutiges Ja zur Sicherheit. Auf Basis von Open Source war bereits seit langem ein breiter und umfassender Schutz der IT möglich. Die Stichworte hierzu lauten Routing, Traffic-Shaping, Firewall, Intrusion Detection und VPN. All dies war seit geraumer Zeit in Open-Source-Security-Gateways implementiert. Ebenso war die Integration kommerzieller Produkte von Drittanbietern problemlos möglich.
Und bei den Open-Source-basierenden Lösungen gehört darüber hinaus das lange Zeit als Stiefkind behandelte und einfach zu bedienende GUI mittlerweile auch zum Standard. Aktuell rücken derzeit Single-Sign-On-Mechanismen in den Vordergrund. Somit führen Open-Source-Lösungen alles im Portfolio, was von einer qualitativ hochwertigen Security-Lösung erwartet wird.
Wir haben uns bei der IPBrick ganz bewusst für die modulare Bauweise auf Basis einer Debian-Distribution entschieden. IPBrick.KAV kann als reine Security-Appliance betrieben werden. Darüber hinaus kann sie auch zu einem Komplettangebot inklusive Intranet- und Kommunikationsdienste erweitert werden, eben genau so, wie es der Anwender wünscht beziehungsweise es das individuelle Szenario erfordert. Der Skalierbarkeit wird IPBrick durch die Unterstützung von gängigen Serversystemen sowie durch eine maßgeschneiderte Appliance gerecht.
Trotz unterschiedlicher Funktionsszenarien erhält der Anwender ein System, das mit einer einheitlichen Verwaltung versehen für eine günstige Total Cost of Ownership sorgt. Module ermöglichen darüber hinaus auch das sichere Aufspielen neuer Releases einzelner Dienste ohne dabei die Stabilität der ausgetesten und bewährten anderen Releases zu gefährden. Features wie Single-Sign-On-Integration mit Active Directory, das Zusammenführen von synchroner und asynchroner Datenverarbeitung (E-Mail, Fax, Chat, VoIP, VPN) und eine abstrakte Verwaltung via GUI, die als Businesslogik auf einem USB-Stick hinterlegt wird, runden unser Angebot ab.
Gerade die Businesslogik ist in einem Worst-case besonders hilfreich. So ist nach einem totalen Systemausfall, beispielsweise nach einem Wassereinbruch im Serverraum, ein neuer Server innerhalb von 15 Minuten mit den vordefinierten Einstellungen eingerichtet – auch eine Form der Sicherheit für unsere Anwender.
Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 2007223)
