Kontrolle auf Layer sieben

Fünf ehemalige Cisco-Ingenieure sind angetreten, der klassischen Firewall am Netzwerkrand den Garaus zu machen. Sie haben zu diesem Zweck die Firma Rohati gegründet.

Das Argument des Jungunternehmens gegen die traditionelle Firewall: Die dort verwendeten Zugangskontrollisten sind unzureichend. «Leider ist es heute so, dass die IP-Adresse den User nicht mehr eindeutig und ausreichend identifiziert», meint Shane Buckley, CEO von Rohati.

Stattdessen hat die Firma die Appliance «Transaction Network System» (TNS) vorgestellt, die den Zugang zu Applikationsdaten regelt, indem es die entsprechenden Informationen in der siebten Schicht des OSI-Modells (Open Systems Interconnection) verwendet. Dabei werden die TNS-Geräte dort angesiedelt, wo ihre Schutzfunktion ist. Hier klären sie ab, ob ein Anwender das Recht besitzt, gewisse Applikationsdaten aufzurufen und zu verarbeiten. Diese Abklärungen wiederum basieren auf Anwenderbeglaubigungsverfahren wie Kerberos, VPN SSL (Virtuel Private Network - Secure Socket Layer) und das Authentifizierungsprotokoll von Microsoft NTLM (NT LAN Manager).

Wird TNS das erste Mal in Betrieb genommen, arbeitet es zunächst in einem Beobachtungsmodus. Dabei lernt es die wichtigsten Transaktionen im Netz kennen. Auf Grund dieser «Erfahrungen» werden sodann Regeln aufgestellt, die Systemadministratoren verfeinern können. Als Basis dient der OASIS-Standard Extensible Access Control Markup Language (XACML).

TNS gibt es in zwei Ausführungen: Der TNS-100 nimmt eine Geräteeinheit im Rack ein, richtet sich an mittelgrosse Unternehmen und wird ab umgerechnet gut 20000 Franken gehandelt. Der TNS 500 ist für Grossfirmen und Rechenzentren gedacht. Er wird ab 85000 Franken gehandelt.
www.rohati.com