So sehen die Firewalls der Zukunft aus

* Der Autor schreibt für unsere Schwesterpublikation «com-magazin.de». Der Artikel erschien ursprünglich unter «com-magazin.de».  Die Zeiten, als sich Kriminelle mit vergleichsweise einfachen Methoden oder lächerlichen Phishing-Mails Zugang zu fremden Netzen und Rechnern verschaffen wollten, sind längst vorbei. Hacker verwenden heute sogenannte «Advanced Persistent Threats», eine Kombination aus mehreren aufeinander aufbauenden Techniken, um sich in fremde Systeme einzuschleichen. Sind sie dort erfolgreich eingedrungen, dann installieren sie heimlich weiteren Schadcode und lassen sich teilweise monatelang Zeit, um die erbeuteten Daten hinauszuschleusen. Dazu betten sie kleine Datenpakete in den legitimen Datenstrom ein, der das Unternehmen verlässt. Herkömmliche Sicherheitssysteme, die nur nach Ports filtern oder einen rein signaturbasierten Ansatz verfolgen, sind überfordert, wenn sie diese und andere aktuelle Angriffe erkennen und stoppen sollen. So warnt etwa Robin Layland, President von Layland Consulting, dass «alte Unternehmens-Firewalls den aktuellen Gefahren nicht mehr gewachsen sind». Aktion und Reaktion in der IT-Sicherheit Wenn aber die Angreifer kombinierte Methoden verwenden, dann ist es nur eine logische Folge, dass auch die Sicherheitsanbieter mehrere Technologien in einem Gerät kombinieren: In einer «Next Generation Firewall» (NGFW). Diese Firewalls der nächsten Generation decken im «OSI»-Modell (Open Systems Interconnection Model) die Schichten drei bis sieben ab, also alles von der Vermittlungsschicht über die Transportschicht, die Sitzungsschicht und die Darstellungsschicht bis hin zur Anwendungsschicht. Eine NGFW ist im Kern eine klassische Firewall, die zusätzlich Funktionen wie In­trusion Prevention (IPS) und Applikationskontrolle enthält. Funktionsumfang von NGFW Durch zusätzliche Funktionen kann eine NGFW zum Beispiel eine Anwendung iden­t­ifizieren, egal, welchen Port, welches Protokoll oder welche Adressen sie zur Kommunikation verwendet. NGFWs von Cisco erkennen nach Herstellerangaben mehr als 1'000 Applikationen und mehr als 150'000 Mikro-Applikationen - eine Mikro-Applikation ist eine Teilmenge einer grösseren Applikation, also etwa das Spiel «Farmville» auf Facebook. Für jede Mikro-Applikation lassen sich eigene Regeln erstellen, zum Beispiel, sie zu blocken. Laut Florian Malecki, International Product Marketing Director Network Security bei Dell, macht eine NGFW «das Leben von Administratoren deutlich einfacher, als dies noch vor fünf oder zehn Jahren der Fall war». Bei einer NGFW lassen sich also Firewall-Regeln direkt auf Applikationsebene erstellen, sodass genau festgelegt werden kann, was einzelne Anwendungen dürfen und was nicht. Der dabei verwendete Decoder kann meist auch spezielle Protokolle prüfen, wie sie etwa Energieversorger verwenden. Die Visualisierung der im Unternehmen aktuell genutzten Applikationen erfolgt dabei in Echtzeit. So ist es möglich, sich anzeigen zu lassen, welche Anwendungen die Mitarbeiter nutzen oder mit welchen Ländern kommuniziert wird. Wenn dabei ungewöhnlicher Datenverkehr bemerkt wird, können Administratoren diesen Traffic unter die Lupe nehmen und so einen eventuellen Angriff aufspüren. Lesen Sie auf der nächsten Seite: IT-Sicherheit auf höherer Stufe IT-Sicherheit auf höherer Stufe Durchkommende Pakete untersucht eine NGFW mittels «Deep Packet Inspection» (DPI). Dabei prüft sie den Kopf und den Inhalt eines Pakets und entdeckt so Protokollverletzungen, Malware oder Spam. Klassische Firewalls analysieren nur den Header, aber nicht den Body eines Datenpakets. Eine NGFW bietet somit einen tieferen Einblick in ein Datenpaket als klassische Firewalls. Darüber hinaus verfügt sie in der Regel auch über nützliche Zusatzfunktionen wie Bandbreiten- und «VPN»-Management (Virtual Private Networking). So kann sie auch dazu beitragen, die Gründe für Engpässe im Netz zu finden. Damit ist sie aber laut Robin Layland «nicht einfach eine Sammlung alter Antworten, sondern hebt die IT-Sicherheit auf eine höhere Stufe», dank der sich auch modernste «Advanced Evasion Techniques» (AETs) erkennen lassen. «Die Kombination all dieser Techniken in einer Lösung erlaubt Unternehmen die Gesamtsituation besser wahrzunehmen», so Layland weiter. Für Florian Malecki von Dell kommt es bei der Entwicklung von NGFWs vor allem auf zwei Punkte an - «dem Kunden mehr Sicherheit zu bieten und die vorhandenen Produkte zu konsolidieren». UTM oder doch NGFW? Viele Anwender fragen sich, was die Unterschiede zwischen «UTM»-Firewalls (Unified Threat Management) und solchen der erwähnten «nächsten Generation» sind. Auch «UTM»-Firewalls bieten schliesslich erweiterte Funktionen wie Antivirus und Applikationsfilter. Nach Aussage von Reinhard Festag, CFO von Gateprotect, liegen die Unterschiede hauptsächlich in der Performance. So seien NGFW-Appliances vor allem dann gefragt, wenn es um maximalen Datendurchsatz gehe. «UTM-Firewalls sind ein Rundum-sorglos-Schutz für den Kunden und zielen besonders auf die Bedürfnisse kleiner und mittelständischer Unternehmen ab», so Festag. «Neben der Firewall enthält ein UTM-Paket Sicherheitsfeatures wie Antivirus, Antispam, Webfilter IDS/IPS und Application-Filter.» Die UTM-Firewalls von Gateprotect richten sich also vor allem an KMU. Sie sind als Appliance oder als virtuelle Maschine erhältlich. «Der Grossteil der Kunden bevorzugt Appliances. Es gibt vielen Kunden ein zusätzliches Gefühl der Sicherheit, wenn sie eine Hardware-Box in ihrem Server-Rack stehen haben», erläutert Festag. Die UTM-Appliances sind nach seiner Aussage besonders leicht zu bedienen: «Fehler entstehen meist nicht, weil jemand beim Firewall-Hersteller schlecht programmiert hat, sondern wegen einer falschen Bedienung.» 90 Prozent der Fehler liessen sich darauf zurückführen. Durch die einfache Konfiguration seien die UTM-Systeme von Gateprotect sicherer als schwerer einzurichtende Lösungen. Darauf aufbauend bietet der Hersteller auch Next-Generation-Firewalls an, die vor allem auf den Enterprise-Bereich zielen. Bei diesen Firmen gehe es stärker um Themen wie Performance und hohe Durchsatzraten. Lesen Sie auf der nächsten Seite: «Gleiche Technologie, verschiedene Namen» Gleiche Technologie, verschiedene Namen Andere Hersteller machen diesen Unterschied zwischen UTM-Fire­walls für kleinere Kunden und NGFWs für grössere Kunden nicht. Laut Patrick Bedwell, Vice President of Products beim Firewall-Hersteller Fortinet, geht die Unterscheidung auf eine Rivalität zwischen IDC und Gartner zurück. IDC habe den Begriff UTM geprägt, während Gartner NGFW verwendet habe. Interessierte Kunden sollten sich auf jeden Fall bei den infrage kommenden Anbietern erkundigen, was sie unter UTM und NGFW verstehen. Auch bei der eingesetzten Technik verwenden die Hersteller unterschiedliche Begriffe für ähnliche Methoden und vergleichbare Technologien. So verweist Sven Janssen, Regional Sales Manager bei Dell/Sonicwall, auf die Multicore-Architektur der vor ein paar Jahren durch eine Akquisition zu Dell gekommenen Sonicwall-NGFWs: «Die Geräte haben keine Festplatten. Durch die Verteilung des zu scannenden Datenstroms auf bis zu 96 Kerne erreichen wir eine extrem hohe Geschwindigkeit.» Gateprotect verwendet für seine Next Generation Firewalls dagegen eine sogenannte Single-Pass-Engine. Diese erledigt alle Prüfungen simultan. Die Single-Pass-Engine kopiert alle durchkommenden Pakete, sodass sie gleichzeitig in den verschiedenen Firewall-Modulen analysiert werden können. Wenn ein Paket eine der Prüfungen nicht besteht, wird es verworfen. Klassische Firewalls arbeiten dagegen sequenziell und leiten zu untersuchende Pakete nacheinander durch die verschiedenen Filter. Dies verzögert die Verarbeitung. Letztlich liegt die Entscheidung beim Kunden, welche NGFW er auswählt. Einen höheren Nutzen und mehr Sicherheit als klassische Firewalls bringen sie auf jeden Fall. Durch die Konsolidierung der Systeme sparen sie ausserdem meist auch Kosten.