So sehen die Firewalls der Zukunft aus

Die Cyber-Angriffe auf Unternehmen werden immer trickreicher. Die Zeiten, als sich die Kriminellen mit vergleichsweise einfachen Methoden oder schlecht gemachten Phishing-Mails Zugang zu fremden Netzen und Rechnern verschaffen wollten, sind längst vorbei. Heute verwenden sie sogenannte Advanced Persistent Threats, eine Kombination aus mehreren aufeinander aufbauenden Techniken, um sich in fremde Systeme einzuschleichen.

Sind sie dort erfolgreich eingedrungen, dann installieren sie heimlich weiteren Schadcode und lassen sich teilweise monatelang Zeit, um die erbeuteten Daten hinauszuschleusen. Dazu betten sie kleine Datenpakete in den legitimen Datenstrom ein, der das Unternehmen verlässt. Herkömmliche Sicherheitssysteme, die nur nach Ports filtern oder einen rein signaturbasierten Ansatz verfolgen, sind überfordert, wenn sie diese und andere aktuelle Angriffe erkennen und stoppen sollen. So warnt etwa Robin Layland, President von Layland Consulting, dass „alte Unternehmens-Firewalls den aktuellen Gefahren nicht mehr gewachsen sind“.

Wenn aber die Angreifer kombinierte Methoden verwenden, dann ist es nur eine logische Folge, dass auch die Sicherheitsanbieter mehrere Technologien in einem Gerät kombinieren: in einer Next Generation Firewall (NGFW), wie sie etwa gateprotect, eine Tochterfirma von Rohde & Schwarz, mit der gateprotect NP-Serie anbietet.

Diese Firewalls der nächsten Generation decken im OSI-Modell (Open Systems Interconnection Model) die Schichten drei bis sieben ab, also alles von der Vermittlungsschicht über die Transportschicht, die Sitzungsschicht und die Darstellungsschicht bis hin zur Anwendungsschicht. Eine NGFW ist im Kern eine klassische Firewall, die zusätzlich Funktionen wie In­trusion Prevention (IPS) und Applikationskontrolle enthält.

Dadurch kann sie zum Beispiel eine Anwendung iden­t­ifizieren, egal welchen Port, welches Protokoll oder welche Adressen sie zur Kommunikation verwendet. NGFWs von Cisco erkennen nach Herstellerangaben mehr als 1000 Applikationen beziehungsweise sogar mehr als 150.000 Mikro-Applikationen. Eine Mikro-Applikation ist eine Teilmenge einer größeren Applikation, also etwa das Spiel Farmville auf Facebook. Für jede Mikro-Applikation lassen sich eigene Regeln erstellen, zum Beispiel, sie zu blocken.

Laut Florian Malecki, International Product Marketing Director Network Security bei Dell, macht eine NGFW „das Leben von Administratoren deutlich einfacher als dies noch vor fünf oder zehn Jahren der Fall war“.

Bei einer NGFW lassen sich also Firewall-Regeln direkt auf Applikationsebene erstellen, sodass genau festgelegt werden kann, was einzelne Anwendungen dürfen und was nicht. Der dabei verwendete Decoder kann meist auch spezielle Protokolle prüfen, wie sie etwa Energieversorger verwenden. Die Visualisierung der im Unternehmen aktuell genutzten Applikationen erfolgt dabei in Echtzeit. So ist es möglich, sich anzeigen zu lassen, welche Anwendungen die Mitarbeiter nutzen oder mit welchen Ländern kommuniziert wird. Wenn dabei ungewöhnlicher Datenverkehr bemerkt wird, können Administratoren diesen Traffic unter die Lupe nehmen und so einen eventuellen Angriff aufspüren.

Durchkommende Pakete untersucht eine NGFW mittels Deep Packet Inspection (DPI). Dabei prüft sie den Kopf und den Inhalt eines Pakets und entdeckt so Protokollverletzungen, Malware oder Spam. Klassische Firewalls analysieren nur den Header, aber nicht den Body eines Datenpakets. Eine NGFW bietet also einen tieferen Einblick in ein Datenpaket als klassische Firewalls.

Darüber hinaus verfügt sie in der Regel auch über nützliche Zusatzfunktionen wie Bandbreiten- und VPN-Management (Virtual Private Networking). So kann sie auch dazu beitragen, die Gründe für Engpässe im Netz zu finden.

Damit ist sie aber laut Robin Layland „nicht einfach eine Sammlung alter Antworten, sondern hebt die IT-Sicherheit auf eine höhere Stufe“, dank der sich auch modernste Advanced Evasion Techniques (AETs) erkennen lassen. „Die Kombination all dieser Techniken in einer Lösung erlaubt Unternehmen die Gesamtsituation besser wahrzunehmen“, so Layland weiter.

Für Florian Malecki von Dell kommt es bei der Entwicklung von NGFWs vor allem auf zwei Punkte an, „dem Kunden mehr Sicherheit zu bieten und die vorhandenen Produkte zu konsolidieren“.

Viele Anwender fragen sich, was die Unterschiede zwischen UTM-Firewalls (Unified Threat Management) und solchen der erwähnten „nächsten Generation“ sind. Auch UTM-Firewalls bieten ja erweiterte Funktionen wie Antivirus und Applikationsfilter.

Nach Aussage von Reinhard Festag, CFO von gateprotect, liegen die Unterschiede hauptsächlich in der Performance. So seien NGFW-Appliances vor allem dann gefragt, wenn es um maximalen Datendurchsatz gehe. „UTM-Firewalls sind ein Rundum-sorglos-Schutz für den Kunden und zielen besonders auf die Bedürfnisse kleiner und mittelständischer Unternehmen ab“, so Festag. „Neben der Firewall enthält ein UTM-Paket Sicherheitsfeatures wie Antivirus, Antispam, Webfilter IDS/IPS und Application-Filter.“

Die UTM-Firewalls von gateprotect richten sich also vor allem an KMUs. Sie sind als Appliance oder als virtuelle Maschine erhältlich. „Der Großteil der Kunden bevorzugt Appliances. Es gibt vielen Kunden ein zusätzliches Gefühl der Sicherheit, wenn sie eine Hardware-Box in ihrem Server-Rack stehen haben“, erläutert Festag.

---

Die UTM-Appliances sind nach seiner Aussage besonders leicht zu bedienen: „Fehler entstehen meist nicht, weil jemand beim Firewall-Hersteller schlecht programmiert hat, sondern wegen einer falschen Bedienung.“ 90 Prozent der Fehler ließen sich darauf zurückführen. Durch die einfache Konfiguration seien die UTM-Systeme von gateprotect sicherer als schwerer einzurichtende Lösungen. Darauf aufbauend bietet der Hersteller auch Next Generation Firewalls an, die vor allem auf den Enterprise-Bereich zielen. Bei diesen Firmen gehe es stärker um Themen wie Performance und hohe Durchsatzraten.

Andere Hersteller machen diesen Unterschied zwischen UTM-Fire­walls für kleinere Kunden und NGFWs für größere Kunden nicht. Laut Patrick Bedwell, Vice President of Products beim Firewall-Hersteller Fortinet, geht die Unterscheidung auf eine Rivalität zwischen IDC und Gartner zurück. IDC habe den Begriff UTM geprägt, während Gartner NGFW verwendet habe. Interessierte Kunden sollten sich auf jeden Fall bei den infrage kommenden Anbietern erkundigen, was sie unter UTM und NGFW verstehen.

Auch bei der eingesetzten Technik verwenden die Hersteller unterschiedliche Begriffe für ähnliche Methoden und vergleichbare Technologien. So verweist Sven Janssen, Regional Sales Manager bei Dell/Sonicwall, auf die Multicore-Architektur der vor ein paar Jahren durch eine Akquisition zu Dell gekommenen Sonicwall-NGFWs: „Die Geräte haben keine Festplatten. Durch die Verteilung des zu scannenden Datenstroms auf bis zu 96 Kerne erreichen wir eine extrem hohe Geschwindigkeit.“

---

gateprotect verwendet für seine Next Generation Firewalls dagegen eine sogenannte Single-Pass-Engine. Diese erledigt alle Prüfungen simultan. Die Single-Pass-Engine kopiert alle durchkommenden Pakete, sodass sie gleichzeitig in den verschiedenen Firewall-Modulen analysiert werden können. Wenn ein Paket eine der Prüfungen nicht besteht, wird es verworfen.

Klassische Firewalls arbeiten dagegen sequenziell und leiten zu untersuchende Pakete nacheinander durch die verschiedenen Filter. Dies verzögert die Verarbeitung.

Die Next Generation Firewalls von gateprotect sind eine Eigenentwicklung. „Das ist das, wofür wir mit ‚IT-Security made in Germany‘‘ stehen“, so Reinhard Festag. Das Unternehmen betreibt eigene Entwicklungszentren in Leipzig und in Hamburg. Nur bei Modulen wie Antivirus arbeite man mit externen Partnern – Kaspersky Lab und Bitdefender – zu­sammen.

Für gateprotect als deutschem Hersteller spricht Festag zufolge vor allem, dass man garantiert, dass in den Produkten des Unternehmens keine Hintertüren eingebaut seien. Zum einen sei man Mitglied in der Initiative „IT-Security made in Germany“, wo dies Teil der Selbstverpflichtung sei. Zum anderen sei man vom BSI mit der EAL-Stufe 4+ (Evaluation Assurance Level) zertifiziert. „Wir garantieren, dass wir keine Schlüssel bei Geheimdiensten hinterlegt und dass wir keine Backdoors in unseren Produkten haben“, so Festag. Nach seiner Aussage reagiert der Markt mit einer verstärkten Nachfrage nach heimischen Lösungen.

Letztlich liegt die Entscheidung aber beim Kunden, welche NGFW er auswählt. Einen höheren Nutzen und mehr Sicherheit als klassische Fire-walls bringen sie auf jeden Fall. Durch die Konsolidierung der Systeme sparen sie außerdem meist auch Kosten.