Next Generation Firewalls
Brandmauern 2.0
Für die sichere und ortsunabhängige Nutzung des Web 2.0 und den daraus entstandenen Applikationen reichen die Schutzmethoden der herkömmlichen Firewalls nicht mehr aus. Die nächste Firewall-Generation muss Sicherheits-Policies nach einer klaren Applikationsidentifikation sowie nach den granularen Rechten des Nutzers durchsetzen können.Firewalls galten lange Zeit als eine der effektivsten Möglichkeiten, angreifbare PCs, Server und Infrastrukturen vor Angriffen von außen zu schützen und stellen traditionell den zentralen Ort für die Umsetzung der Sicherheitsrichtlinien dar. Diese auf Schutz über Port- und IP-Adressenüberprüfung sowie Stateful Inspection ausgerichteten Systeme sind sehr wirksam, so lange es nicht um Web 2.0 geht.
Neue Anwendungsarchitekturen und die daraus entstandenen Geschäftsprozesse haben das Kommunikationsverhalten der Anwender verändert. Das herkömmliche Modell des Anwenders, der am PC im LAN sitzt, auf die kritischen Geschäftsdaten und Applikationen aus dem internen Datencenter zugreift und gelegentlich im Web surft, stimmt nicht mehr. Mittlerweile werden die Geschäftsanwendungen häufig als Software-as-a-Service extern vorgehalten, und viele Web-2.0-Applikationen wie Facebook, Skype, Instant Messanger, Webmailer oder Webex sind auf die Erwartungen der User zugeschnitten, von jedem beliebigen Ort aus arbeiten zu können, in ihrem Büro, bei sich zuhause, in einen Hotelzimmer oder in einem Cafe. Dies bedeutet, diese Anwendungen können während einer Sitzung Ports oder Protokolle beliebig wechseln, sie nutzen nicht immer Standard-Ports, tunneln durch Port 80 oder verwenden Mittel wie SSL- oder SSH-Verschlüsselung. Alle diese Techniken dienen jedoch dazu, die Firewall zu umgehen. Damit ist das Konzept eines Netzwerkperimeters aber nahezu hinfällig.
Hinzu kommt, dass sich auch die Gefahren geändert und die Angriffe auf Anwendungen massiv zugenommen haben. Angreifer konzentrieren sich darauf, Nutzer dazu zu bringen, zielgerichtete, bösartige Programme zu installieren. Attacken, die Botnet-Methoden nutzen, sind für Firewalls ebenfalls transparent. Intrusion Prevention Systeme (IPSs) erkennen zwar bekannte Angriffsmethoden auf verwundbare Betriebssysteme und Software, doch können sie den Missbrauch von Anwendungen oder gar den von bestimmter Funktionalität innerhalb des Programms nicht effizient abwehren.
Ein neuer Firewall-Ansatz soll Abhilfe schaffen: Die Analysten von Gartner haben bereits 2009 dafür den Begriff "Next Generation Firewall" (NGFW) geprägt, die mehr können, als Ports und Protokolle zu kontrollieren. Diese Firewalls sollen die verschiedenen Web-Anwendungen voneinander unterscheiden können, und zwar unabhängig davon, über welchen Port der Datenverkehr ins Unternehmensnetz erfolgt. Eine NGFW prüft den Verkehrsstrom in Echtzeit und kann feinmaschigere Security Policies auch nach dem entsprechenden Benutzer durchsetzen. Die Marktforscher stellen an eine Next Generation Firewall darüber hinaus eine Reihe von Anforderungen: Zusätzliche Intelligenz ist gefragt, die durch Informationen aus Quellen außerhalb der Firewall entsteht, um besser entscheiden zu können, wer was tun darf. Dazu gehört etwa die Integration des Directorys mit den User-Identitäten oder das Einbeziehen von Black- oder White-Adresslisten.
Schließlich muss eine NGFW natürlich alle Fähigkeiten einer Standard-Firewall der ersten Generation mitbringen und dabei Network Intrusion Prevention integrieren, anstatt es nur nebenher laufen zu lassen. Während der Interaktion mit der Firewall sollte es etwa möglich sein, dass eine Firewall-Regel eine Adresse blockiert, die wiederholt das IPS mit unerwünschtem Verkehr "belästigt", anstatt diese Aufgabe dem Administrator zu überlassen.
Als erster reklamierte das kalifornische Startup-Unternehmen Palo Alto den Begriff für seine Lösungen, die laut Unternehmensangaben von Grund auf darauf ausgerichtet werden konnten. Die Produktfamilie verwendet drei Identifikationstechniken: App-ID, User-ID und Content-ID, die es vor allem Unternehmen mit sehr offenen Kommunikationsstrukturen gestatten, Web 2.0 einzubinden und die Kontrolle über die Nutzung der fraglichen Anwendungen zu behalten. Die NGFW arbeitet in einem so genannten Single-Pass-Verfahren, das heißt, dass die Überprüfungen ohne Vorsortierung parallel erfolgen.
App-ID bildet das Kernstück der Firewall und dient der Klassifizierung des Datenverkehrs. Jede App-ID setzt automatisch bis zu vier verschiedene Verkehrsklassifizierungsmechanismen ein, um die genaue Identität der Anwendung festzustellen, unabhängig von Port, Protokoll, SSL-Verschlüsselung oder möglichen Umgehungsmethoden. Dabei bedarf es keiner speziellen Einstellungen für eine bestimmte Anwendung. Der Verkehr wird stetig mithilfe der entsprechenden Identifizierungsmechanismen klassifiziert. Gleichzeitig stellt die Richtlinienprüfung fest, wie die Applikationen zu behandeln sind: blockieren, zulassen oder sicher aktivieren (auf eingebettete Bedrohungen hin überprüfen und diese blockieren, mit QoS auf unerlaubte Dateiübertragungen und Datenmuster oder -formen untersuchen).
User-ID dient der Integration der Firewalls in marktübliche Unternehmensverzeichnisse wie Active Directory, E?Directory, Open LDAP, Citrix, Microsoft Terminal Server und Xenworks. Ein netzwerkbasierender Agent kommuniziert mit dem Domänencontroller und bildet die Benutzerdaten auf die IP-Adressen ab, die die Benutzer zu einem bestimmten Zeitpunkt verwenden. Über Content-ID in Verbindung mit App-ID können Administratoren schließlich gezielt Anwendungen erlauben, denn für die über App-ID identifizierten und zugelassenen Anwendungen lassen sich anschließend mithilfe von Content-ID spezielle Richtlinien anwenden, um Angriffe zu blockieren und die Übertragung von unzulässigen Dateien und sensiblen Daten zu begrenzen.
Die von Content-ID unterstützten Steuerelemente rundet eine URL-Datenbank ab, um das Web-Surfen zu kontrollieren. Content-ID verwendet eine Stream-basierende Scan-Engine sowie ein einheitliches Signaturformat, um nach den unterschiedlichen Angriffen zu suchen und diese zu blockieren. Dies bedeutet, so Palo Alto, dass die Prävention beginnt, sobald das erste Paket gescannt wurde, während das einheitliche Signaturformat redundant Prozesse eliminiert, die in mehreren Scan-Engine-Lösungen enthalten sind (TCP-Reassemblierung, Richtliniensuche, Überprüfung etc.). Infolge der Zusammenarbeit der drei Identifikationstechniken können Firmen Richtlinien für die Zulassung von Anwendungen einrichten, die über ein Erlauben oder Verbieten hinausgehen und die Nutzung für einzelne User im Detail regeln. Kürzlich hat der Anbieter seine Lösung mit Globalprotect erweitert, einem Produkt, das die Richtlinien, die innerhalb des physischen Perimeters gelten, auf alle Benutzer unabhängig von deren Aufenthaltsort ausweitet.
Vor allem in den letzten zwölf Monaten haben viele etablierte Hersteller ihre Produkte um Funktionen einer NGFW erweitert. Sonicwall beispielsweise nutzt laut eigenen Angaben ebenfalls ein Single-Pass-Verfahren für die eigene so genannte Reassembly-Free Deep Packet Inspection. Die Inspektion des Datenverkehrs ist laut Unternehmensangaben auf Echtzeitanwendungen und auf latenzsensitiven Verkehr ausgerichtet, ohne dass Proxys für Verbindungen, Übergaben an andere Module oder wiederholte Packet-Verarbeitung erforderlich sind.
Andere Hersteller wie Check Point, Cisco, Fortinet oder Juniper haben ihre Firewalls zwar auch für die nächste Schutzgeneration aufgerüstet, doch arbeiten ihre Produkte im so genannten Multi-Pass-Verfahren. Das heißt, der Datenverkehr wird über Port- und Protokoll-Analysen vorselektiert und erst dann an ein IPS-orientiertes Modul für die Anwendungsidentifikation übergeben. Diese Methode geht jedoch auf Kosten der Geschwindigkeit.
Gartner geht davon aus, dass die Standalone-Netzwerk-IPS-Appliances in Zukunft in den Next Generation Firewalls aufgehen werden. Doch dies werde eine Weile dauern, denn die Anbieter haben zumeist eigene IPS-Lösungen in ihren Firewalls, die mit den Standalone-Produkten noch konkurrieren. Da es dennoch viele Überlappungen bei den unterschiedlichen Techniken gibt, verschmelzen laut den Analysten voraussichtlich nicht alle miteinander. So eigneten sich nach wie vor UTM-Appliances (Unified Threat Management) gut für kleine und mittelständische Betriebe oder Zweigstellen, jedoch weniger für große Unternehmen, in denen eher Next Generation Firewalls zu finden sein werden.
Lesen Sie mehr zum Thema
