UTM – Erklärung der Scanmethoden - Teil 3

In diesem dritten Bericht möchte ich auf die verschiedenen Scanmethoden der UTM Anti-Viren Lösungen eingehen.



Themen dieses Berichts (was Sie erwartet):



Allgemein:

Die ersten beiden Berichte finden Sie hier --> „Interne Links“.

Die Scanmethode sollte ein wichtiges Kaufkriterium sein, da es doch gravierende Unterschiede gibt!



Scanmethoden:

Prinzipiell unterscheidet man:

Die Stream-based-Scanning Methode ist die neuere und somit modernere Entwicklung. Diese Funktion steht aber nicht nur hochpreisigen Enterprise-Lösungen zur Verfügung, sondern ist auch in dem Marktsegment unter 1.000 Euro zu finden.

Ein Beispiel ist die neue UTM-Appliance von Clavister. Hier bieten alle „Security Gateways“ der „50er Serie“ dieses Verfahren.



Arbeitsweise:

Store-and-Forward:

Bei diesem Verfahren werden erst alle Inhalte (Pakete) in der UTM zwischengespeichert, von dem Scanner der Anti-Malware Lösung überprüft, und erst dann an den Client-Rechner weitergeleitet.

Stream-based-Scanning:

Hier wird direkt im Datenstrom nach Bedrohungen gesucht. Die Überprüfung startet also direkt und die Inhalte (Datenpakete) werden direkt nach der Prüfung an den Client-Rechner weitergeleitet.



Unterschiede:

Die Unterschiede zwischen diesen beiden Techniken sind erheblich, deshalb möchte ich sie alle kurz nennen.

Vorteile Stream-based-Scanning:



Unterschiede im Einzelnen:

Geringere Verzögerung:

Durch den Umstand, dass die Daten direkt geprüft und weitergegeben werden, bauen sich die Informationen beim Client-Rechner wie gewohnt kontinuierlich auf. Bei der Proxy-Methode erscheint dagegen die Information mehr oder weniger verzögert (bis alle Daten geprüft wurden), dann aber schlagartig.

Geringere Speicherbelastung:

Die Speicherbelastung kann insbesondere bei grossen Mailanhängen, oder FTP-Downloads recht hoch werden, wenn alle Daten erst mal zwischengespeichert werden müssen, bevor sie geprüft werden können.

Hier liegen die Vorteile der Stream-based-Methode klar auf der Hand, da die einzelnen Paket direkt nach der Prüfung weitergeleitet werden.

Schnellere Prüfung:

Die Prüfung ist insgesamt schneller! Dabei sind mehrere Faktoren entscheidend:

Vermeidung von Spitzenbelastungen im Netzwerk:

Da die Pakete direkt nach der Prüfung weitergeleitet werden, entsteht ein kontinuierlicher Datenstrom in Netzwerk.

Keine proxyspezifischen Nachteile:

Die Store-and-Forward Methode arbeitet als Proxy. Z.B. beim Prüfen des Mailverkehrs sind sie als Mail Transfer Agent (MTA) konfiguriert. D.h. sie haben eine eigene IP-Adresse und sind somit von aussen erreichbar und auch potentiell gefährdet!

Dies gilt auch für den Webverkehr (HTTP), weshalb Änderungen in der Client-Konfiguration nötig sind.

Transparenz:

Die Stream-based-Methode fügt sich vollständig transparent in das Netzwerk ein. Somit sind keine Konfigurationsänderungen an den Clients nötig. Ausserdem hat die UTM-Appliance nach aussen keine IP-Adresse, da sie den Verkehr nach der Prüfung einfach nur durchleitet.

Bidirektionale Arbeitsweise:

Stream-based-Modelle können sowohl eingehenden wie ausgehenden Verkehr parallel bearbeiten. Hier sind Proxy-Modelle im Nachteil – zumindest was die Kapazität angeht!

Vorteile bei spezifischen Protokollen:

Proxy-Modelle haben Probleme mit verschlüsselten Protokollen (z.B. HTTPS). Wenn diese Funktion gegeben ist, besteht die Gefahr, das Pakete entschlüsselt werden und somit unverschlüsselter Verkehr ein potentielles Sicherheitsrisiko darstellen kann.

Auch haben Proxy-Modelle oftmals Probleme mit dem Internet Message Access Protocol (IMAP).

Flexible Platzierung im Netzwerk:

Stream-based-Modelle können flexibler in das Netzwerk integriert werden. Es sind keine zusätzlichen IP-Konfigurationen notwendig.

Nur die UTM-Appliance selber muss natürlich konfiguriert werden, um sie im internen Netzwerk verwalten zu können.



Sie sehen, welche Auswirkungen verschiedene Techniken haben können! Ich werde zu diesem Thema weitere Berichte veröffentlichen.

Als nächstes werde ich auf Anti-Spam-Techniken eingehen, die zwar UTM nur am Rande betreffen, aber sicherlich auch in diesem Zusammenhang wichtig sind.

Auch ist ein Bericht über Enterprise-Produkte geplant, um Ihnen die technischen Möglichkeiten aufzuzeigen und das Thema mit allen Facetten zu beleuchten.

Ebenso werde ich auf Alternativen eingehen, wie sie z.B. „Software-Appliance-Lösungen“ bieten.

Diesen Bericht möchte ich als Zusatzinformation verstanden wissen, da aktuell sehr viele Hersteller in ihren Produktbeschreibungen nicht auf die verwendete Scan-Methode eingehen. Sie sollten also vor einer Investition diesen Punkt hinterfragen, denn nur wer umfangreich informiert ist kann auch die Unterschiede beleuchten und auf den eigenen Bedarf anpassen.



Interne Links:

Teil 1 – UTM-Komplette Sicherheit aus einer Box: http://www.security-dome.eu/UTM-Appliance_Teil_1.html

Teil 2 – UTM-Funktionen, Kriterien und Übersicht: http://www.security-dome.eu/UTM-Appliance_Teil_2.html

Teil 3 – UTM-Anti-Virus Scanmethoden: dieser Bericht

Teil 4 – UTM-Erweiterte Funktionen und technische Möglichkeit: http://www.security-dome.eu/UTM-Appliance_Teil_4.html

Teil 5 – UTM-Software-Lösung als Alternative: http://www.security-dome.eu/UTM-Appliance_Teil_5.html



Externe Links:

Clavister: http://www.clavister.com/pdf/CSG-50-Series_Datasheet-firmware-release-8.70.pdf



Weitere Informationen bzw. zur Diskussion dieses Beitrags besuchen Sie unser Forum unter --> http://www.security-dome.eu/forum/pA/




Autor: Frank Richter

Copyright: Frank Richter – securITy-dome.eu

Erstellungsdatum: 25.01.07

Letzte Aktualisierung: 25.01.07



<-- Zurück zu den News