10.06.2015
Next Generation Firewalls
1. Teil: „So sehen die Firewalls der Zukunft aus“
So sehen die Firewalls der Zukunft aus
Autor: Andreas Fischer
Rassco / Fotolia
Next Generation Firewalls (NGFWs) ermöglichen eine Kontrolle über die in Unternehmen genutzten Applikationen. Sie sind die Antwort auf immer professionellere Angriffe durch Cyber-Kriminelle.
Die Cyber-Angriffe auf Unternehmen werden immer trickreicher. Die Zeiten, als sich die Kriminellen mit vergleichsweise einfachen Methoden oder schlecht gemachten Phishing-Mails Zugang zu fremden Netzen und Rechnern verschaffen wollten, sind längst vorbei. Heute verwenden sie sogenannte Advanced Persistent Threats, eine Kombination aus mehreren aufeinander aufbauenden Techniken, um sich in fremde Systeme einzuschleichen.
Sind sie dort erfolgreich eingedrungen, dann installieren sie heimlich weiteren Schadcode und lassen sich teilweise monatelang Zeit, um die erbeuteten Daten hinauszuschleusen. Dazu betten sie kleine Datenpakete in den legitimen Datenstrom ein, der das Unternehmen verlässt. Herkömmliche Sicherheitssysteme, die nur nach Ports filtern oder einen rein signaturbasierten Ansatz verfolgen, sind überfordert, wenn sie diese und andere aktuelle Angriffe erkennen und stoppen sollen. So warnt etwa Robin Layland, President von Layland Consulting, dass „alte Unternehmens-Firewalls den aktuellen Gefahren nicht mehr gewachsen sind“.
Aktion und Reaktion in der IT-Sicherheit
Wenn aber die Angreifer kombinierte Methoden verwenden, dann ist es nur eine logische Folge, dass auch die Sicherheitsanbieter mehrere Technologien in einem Gerät kombinieren: in einer Next Generation Firewall (NGFW), wie sie etwa gateprotect, eine Tochterfirma von Rohde & Schwarz, mit der gateprotect NP-Serie anbietet.
Diese Firewalls der nächsten Generation decken im OSI-Modell (Open Systems Interconnection Model) die Schichten drei bis sieben ab, also alles von der Vermittlungsschicht über die Transportschicht, die Sitzungsschicht und die Darstellungsschicht bis hin zur Anwendungsschicht. Eine NGFW ist im Kern eine klassische Firewall, die zusätzlich Funktionen wie Intrusion Prevention (IPS) und Applikationskontrolle enthält.
2. Teil: „Funktionsumfang von NGFW“
Funktionsumfang von NGFW
Dadurch kann sie zum Beispiel eine Anwendung identifizieren, egal welchen Port, welches Protokoll oder welche Adressen sie zur Kommunikation verwendet. NGFWs von Cisco erkennen nach Herstellerangaben mehr als 1000 Applikationen beziehungsweise sogar mehr als 150.000 Mikro-Applikationen. Eine Mikro-Applikation ist eine Teilmenge einer größeren Applikation, also etwa das Spiel Farmville auf Facebook. Für jede Mikro-Applikation lassen sich eigene Regeln erstellen, zum Beispiel, sie zu blocken.
Laut Florian Malecki, International Product Marketing Director Network Security bei Dell, macht eine NGFW „das Leben von Administratoren deutlich einfacher als dies noch vor fünf oder zehn Jahren der Fall war“.
Bei einer NGFW lassen sich also Firewall-Regeln direkt auf Applikationsebene erstellen, sodass genau festgelegt werden kann, was einzelne Anwendungen dürfen und was nicht. Der dabei verwendete Decoder kann meist auch spezielle Protokolle prüfen, wie sie etwa Energieversorger verwenden. Die Visualisierung der im Unternehmen aktuell genutzten Applikationen erfolgt dabei in Echtzeit. So ist es möglich, sich anzeigen zu lassen, welche Anwendungen die Mitarbeiter nutzen oder mit welchen Ländern kommuniziert wird. Wenn dabei ungewöhnlicher Datenverkehr bemerkt wird, können Administratoren diesen Traffic unter die Lupe nehmen und so einen eventuellen Angriff aufspüren.
IT-Sicherheit auf eine höheren Stufe
Durchkommende Pakete untersucht eine NGFW mittels Deep Packet Inspection (DPI). Dabei prüft sie den Kopf und den Inhalt eines Pakets und entdeckt so Protokollverletzungen, Malware oder Spam. Klassische Firewalls analysieren nur den Header, aber nicht den Body eines Datenpakets. Eine NGFW bietet also einen tieferen Einblick in ein Datenpaket als klassische Firewalls.
Darüber hinaus verfügt sie in der Regel auch über nützliche Zusatzfunktionen wie Bandbreiten- und VPN-Management (Virtual Private Networking). So kann sie auch dazu beitragen, die Gründe für Engpässe im Netz zu finden.
Damit ist sie aber laut Robin Layland „nicht einfach eine Sammlung alter Antworten, sondern hebt die IT-Sicherheit auf eine höhere Stufe“, dank der sich auch modernste Advanced Evasion Techniques (AETs) erkennen lassen. „Die Kombination all dieser Techniken in einer Lösung erlaubt Unternehmen die Gesamtsituation besser wahrzunehmen“, so Layland weiter.
Für Florian Malecki von Dell kommt es bei der Entwicklung von NGFWs vor allem auf zwei Punkte an, „dem Kunden mehr Sicherheit zu bieten und die vorhandenen Produkte zu konsolidieren“.
3. Teil: „UTM oder doch NGFW?“
UTM oder doch NGFW?
Viele Anwender fragen sich, was die Unterschiede zwischen UTM-Firewalls (Unified Threat Management) und solchen der erwähnten „nächsten Generation“ sind. Auch UTM-Firewalls bieten ja erweiterte Funktionen wie Antivirus und Applikationsfilter.
Die UTM-Firewalls von gateprotect richten sich also vor allem an KMUs. Sie sind als Appliance oder als virtuelle Maschine erhältlich. „Der Großteil der Kunden bevorzugt Appliances. Es gibt vielen Kunden ein zusätzliches Gefühl der Sicherheit, wenn sie eine Hardware-Box in ihrem Server-Rack stehen haben“, erläutert Festag.
Die UTM-Appliances sind nach seiner Aussage besonders leicht zu bedienen: „Fehler entstehen meist nicht, weil jemand beim Firewall-Hersteller schlecht programmiert hat, sondern wegen einer falschen Bedienung.“ 90 Prozent der Fehler ließen sich darauf zurückführen. Durch die einfache Konfiguration seien die UTM-Systeme von gateprotect sicherer als schwerer einzurichtende Lösungen. Darauf aufbauend bietet der Hersteller auch Next Generation Firewalls an, die vor allem auf den Enterprise-Bereich zielen. Bei diesen Firmen gehe es stärker um Themen wie Performance und hohe Durchsatzraten.
4. Teil: „Selbe Technologie, verschiedene Namen“
Selbe Technologie, verschiedene Namen
Auch bei der eingesetzten Technik verwenden die Hersteller unterschiedliche Begriffe für ähnliche Methoden und vergleichbare Technologien. So verweist Sven Janssen, Regional Sales Manager bei Dell/Sonicwall, auf die Multicore-Architektur der vor ein paar Jahren durch eine Akquisition zu Dell gekommenen Sonicwall-NGFWs: „Die Geräte haben keine Festplatten. Durch die Verteilung des zu scannenden Datenstroms auf bis zu 96 Kerne erreichen wir eine extrem hohe Geschwindigkeit.“
gateprotect verwendet für seine Next Generation Firewalls dagegen eine sogenannte Single-Pass-Engine. Diese erledigt alle Prüfungen simultan. Die Single-Pass-Engine kopiert alle durchkommenden Pakete, sodass sie gleichzeitig in den verschiedenen Firewall-Modulen analysiert werden können. Wenn ein Paket eine der Prüfungen nicht besteht, wird es verworfen.
Klassische Firewalls arbeiten dagegen sequenziell und leiten zu untersuchende Pakete nacheinander durch die verschiedenen Filter. Dies verzögert die Verarbeitung.
5. Teil: „NGFWs made in Germany“
NGFWs made in Germany
Für gateprotect als deutschem Hersteller spricht Festag zufolge vor allem, dass man garantiert, dass in den Produkten des Unternehmens keine Hintertüren eingebaut seien. Zum einen sei man Mitglied in der Initiative „IT-Security made in Germany“, wo dies Teil der Selbstverpflichtung sei. Zum anderen sei man vom BSI mit der EAL-Stufe 4+ (Evaluation Assurance Level) zertifiziert. „Wir garantieren, dass wir keine Schlüssel bei Geheimdiensten hinterlegt und dass wir keine Backdoors in unseren Produkten haben“, so Festag. Nach seiner Aussage reagiert der Markt mit einer verstärkten Nachfrage nach heimischen Lösungen.
Letztlich liegt die Entscheidung aber beim Kunden, welche NGFW er auswählt. Einen höheren Nutzen und mehr Sicherheit als klassische Fire-walls bringen sie auf jeden Fall. Durch die Konsolidierung der Systeme sparen sie außerdem meist auch Kosten.
10 Stationen
1.500 Händler bei der AVM-Roadshow
Der Fokus der Solution Tour 2024 von AVM lag auf den Themen Glasfaser, Wi-Fi 7 und Smart Home, und mehr als 1.500 Handelspartner folgten der Einladung des Herstellers an die insgesamt 10 Standorte in Deutschland.
>>
Huawei Roadshow 2024
Technologie auf Rädern - der Show-Truck von Huawei ist unterwegs
Die Huawei Europe Enterprise Roadshow läuft dieses Jahr unter dem Thema "Digital & Green: Accelerate Industrial Intelligence". Im Show-Truck zeigt das Unternehmen neueste Produkte und Lösungen. Ziel ist es, Kunden und Partner zusammenzubringen.
>>
Teldat-Tochter
Bintec Elmeg stellt den Betrieb ein
Auf LinkedIn teilt der Hersteller mit, dass Bintec Elmeg seine Aktivitäten in der DACH-Region einstellt. Die Sanierung sein gescheitert, so heißt es offiziell.
>>
Cyberbedrohungen überall
IT-Sicherheit unter der Lupe
Cybersecurity ist essentiell in der IT-Planung, doch Prioritätenkonflikte und die Vielfalt der Aufgaben limitieren oft die Umsetzung. Das größte Sicherheitsrisiko bleibt der Mensch.
>>