25 Jahre Firewall
Her mit der Mauer
Fortsetzung des Artikels von Teil 1
Die sparsame Alternative
Als Alternative etablierten sich um das Jahr 1994 herum Stateful-Inspection-Firewalls. Wie die Bezeichnung bereits andeutet, bezieht ein solches System den Zustand in seine Entscheidung mit ein. Denn bereits nach kurzer Zeit kristallisierte sich heraus, dass die Paketfilterfunktionen nicht ausreichten. Im nächsten Schritt gab es Systeme, die eine Stateful-Packet-Inspection (SPI) boten. Einige Systeme bezogen bei der Überprüfung der Pakete neben den Adressdaten auch Daten mit ein, die auf der Anwendungsebene (Application-Layer) angesiedelt waren.
Eine Verbindung kann beispielsweise den Status „aktiv“ oder „neu“ aufweisen. Zudem untersuchen Stateful-Inspection-Firewalls Daten bei der Übermittlung auf der Vermittlungsschicht. Die Ergebnisse speichert das System in dynamischen Zustandstabellen (State-Tables). Auf Grundlage dieser Daten entscheidet eine SPI, ob Datenpakete weitergeleitet werden.
Allerdings weisen diese Firewalls einen Schwachpunkt auf: Je höher das Datenverkehrsaufkommen, desto komplexer wird ein solches System. Der Grund ist, dass alle Datenpakete analysiert werden müssen, um neue Regeln zu definieren. Hinzu kommt, dass diese Systeme nur Datenpaketen den Zugang zum Netzwerk einräumen, für die sie zuvor einen ausgehenden Request eines Clients registriert haben.
Solche Firewalls blockieren daher nicht nur unerwünschte Anfragen, sondern auch Requests legitimer Anwendungen, etwa von Videokonferenz-Systemen.
Tiefe Einblicke in Pakete
Ein weiterer Faktor, der modifizierte Firewall-Techniken erforderlich machte, war die steigende Nutzung von Filesharing-Diensten und Download-Portalen. Dieser Trend rief die Deep-Packet-Inspection-Technologie (DPI) auf den Plan. DPI untersucht nicht nur den Header eines Datenpakets, sondern auch dessen Nutzlast.
Doch auch DPI hat Nachteile. Ein Kritikpunkt ist, dass durch die Analyse der Paketinhalte der Datenschutz ausgehöhlt wird. Allerdings überwiegen für etliche IT-Sicherheitsfachleute die Vorteile des Verfahrens, etwa die Abwehr von Viren und Trojanern oder die Option, Echtzeitdaten Vorrang vor weniger wichtigen Daten einzuräumen (Priorisierung).
Durch die Kombination von Firewall-Systemen mit DPI und weiteren Funktionen entstand ein neuer Typus von IT-Sicherheitssystem: die Unified-Threat-Management-Lösung (UTM). Ein UTM-System ist eine Appliance, die unterschiedliche Traffic-Filterfunktionen bereitstellt. Dazu gehören eine Firewall, DPI, ein Virenschutz, Intrusion-Detection, eine Intrusion-Prevention-Funktion sowie URL-Filtering. Alle Funktionen lassen sich zentral verwalten.
- Her mit der Mauer
- Die sparsame Alternative
- Next-Generation-Firewalls
- Expertenkommentar: Die Entwicklung von Firewalls – gestern, heute und morgen
- Expertenkommentar: Die Firewall: weiterentwickelte Sicherheit
Lesen Sie mehr zum Thema
