Industrieelektronik

Zentrale Infrastruktur ermöglicht die Fernwartung vieler Anlagen

Seite: 3/3

Firmen zum Thema

Während für eine kleine Installation die Verwaltung der Tunnel durch individuelle Konfiguration eines jeweiligen Zertifikats für einen Tunnel erfolgen kann, ist dies bei einer großen Installation nicht mehr sinnvoll. Die Verwendung einer PKI mit CA ermöglicht die Konfiguration unter Verwendung spezifischer Zertifikatseinträge.

Der IDM ermöglicht nicht nur die Konfiguration der dezentralen Appliances, sondern konfiguriert auf Wunsch auch automatisch das zentrale Gateway mit den notwendigen Tunnelparametern. Noch einfacher ist die Verwendung von Tunnelgruppen, bei denen alle von einer CA ausgestellten Zertifikate akzeptiert werden, so dass nur noch ein „Sammeltunnel“ konfiguriert werden muss, welcher für hunderte echte Tunnel reicht. Dabei entfällt aber die Möglichkeit, individuelle Firewall-Regeln für jeden Tunnel zu konfigurieren.

Bildergalerie

DPD-Funktion stellt die fehlerfreie Verbindung der Tunnel sicher

Zur Terminierung von 1000 VPN-Tunneln ist ein zentrales Gateway mit entsprechender Leitungsfähigkeit notwendig. Auch muss die Internet-Anbindung über eine entsprechende Bandbreite verfügen. Sind die Tunnel aufgebaut, sind sie ohne Nutzdaten aktiv: Zur Erkennung von Verbindungsstörungen werden in kurzen Abständen von beispielsweise 90 Sekunden DPD-Pakete verschickt, bei 1000 Tunneln sind dies etwa 10 Pakete pro Sekunde. Einmal pro Stunde werden in der Regel alle Sitzungsschlüssel erneuert, bei 1000 Tunneln also mindestens ein neuer Schlüssel alle 3 Sekunden.

Außer der Leistung der Hardware ist insbesondere die Qualität der Software von Bedeutung.

  • Sowohl die interne Struktur der verwendeten VPN-Applikationen wie auch die Einbindung in die Steuerungssoftware entscheiden über die Skalierbarkeit: Ungünstig geschachtelte Schleifen bleiben meist unbemerkt und funktionieren sehr gut bei wenigen Tunneln, zerstören aber die Gesamtleistung bei sehr vielen Tunneln.
  • Nach einem Neustart des zentralen Gateways verbinden sich die dezentralen Appliances automatisch wieder mit der Zentrale. Es werden also extrem viele Tunnelanfragen in kurzer Zeit eintreffen. Neben einer entsprechend hohen Rechenleistung muss das zentrale Gateway auch die Ablaufstrukturen haben, um diese Belastung zu bewältigen.
  • Speicherlecks in der Software erfordern besondere Beobachtung hinsichtlich der ständig vorhandenen Systemaktivität. Verliert eine Applikation etwa nur einige Byte pro Tunnel und Operation, summiert sich das sehr schnell zu großen Speicherbereichen auf, welche nach einer absehbaren Zeit zu Funktionsstörungen und schließlich zum Absturz führen können.

Hardware für mindestens 1000 VPN-Tunnel reicht für große VPN-Installationen

Mit dem Mguard Centerport (Bild 3) ergänzt das Unternehmen sein Angebot um eine Hardware für mindestens 1000 VPN-Tunnel. Die x86-basierte Hardware mit Mehrkernprozessor hat genügend Leistungsreserven für große VPN-Installationen.

Die Firmware Mguard 7.0 unterstützt die neue Hardware ebenso wie die bereits am Markt eingeführten Appliances. Bei der Entwicklung wurde besonderes Augenmerk auf die Skalierbarkeit gelegt.

Dr. Lutz Jänicke ist Chief Technology Officer bei der Innominate Security Technologies AG in 12489 Berlin.

(ID:325304)