Brandschutz fürs Firmennetz

Das von der Europäischen Union seit 2004 geförderte Projekt Diadem zur Entwicklung einer verteilten Netzwerk-Firewall zeigt erste Früchte: Am IBM-Forschungslabor in Rüschlikon, das neben der Forschungsabteilung von France Télécom, der Universität Tübingen, dem Imperial College London, der französischen Groupe des Ecoles des Télécommunications, dem slowenischen Jozef Stefan Institute und der Telekomunikacja Polska am Diadem-Projekt beteiligt ist, lässt sich ein erstes Hardware-Modul begutachten.

Die Diadem-Firewall soll vor allem den «Distributed Denial of Service»-Attacken (DDoS) den Garaus machen. Dabei werden Server oder ganze Netze mit so vielen Anfragen überflutet, bis sie kollabieren. Statt nun einzelne Komponenten eines Rechnerverbunds mit Brandschutzmauern abzuschotten, soll die Diadem das Gesamtnetzwerk - etwa auch von einem Internetprovider - vor den DDoS-Angriffen schützen. «Unser System ist eine radikale Abkehr von der jetzigen Herangehensweise, bei der die Endverbraucher für die Sicherung ihrer Rechner durch die Installation und das regelmässige Aktualisieren einer Firewall verantwortlich sind», erklärt Patricia Sagmeister, Leiterin der Rüschliker Forschergruppe.

Und so funktionierts: Die -Diadem-Firewall verteilt Überwachungselemente im ganzen Netzwerk. Diese Komponenten beobachten dann laufend den Verkehr am Rande des Netzes und rapportieren auffällige Muster an eine Systemmanagement-Software. Diese stellt Abnormalitäten fest und sorgt für Abhilfe, indem etwa die Policies in allen Firewalls des Netzes angepasst werden. So lassen sich bösartige Hosts ausschalten.

Das Hardware-Kernstück aus Rüschlikon filtert dabei am Netzwerkrand die eintreffenden Datenpakete, und zwar mit einer bislang unerreichten Geschwindigkeit von 40 GBit pro Sekunde. Dadurch kann das Modul 100 Millionen Datenpakete pro Sekunde analysieren. «Erst mit der Diadem-Firewall können Provider ihre Netze - und damit auch die ihrer Kunden - wirksam vor DDoS-Attacken schützen», ist Sagmeister überzeugt.