Search Icon
ConnectProfessional Logo
Search Icon
Startseite > Security > Fernweh ade

Fernweh ade

26. September 2007, 16:44 Uhr |

Firewalls – Wer die Appliances der Außenstellen zentral verwaltet, kennt die Fernwehschmerzen. Falls das Troubleshooting und Monitoring im Remote-Zugriff schwächeln, muss er vor Ort. Diese Funktionen trennen schließlich die Spreu vom Weizen, obwohl die Hersteller sich lieber über Zusatzdienste im Content-Bereich von Mitbewerbern abzuheben versuchen.

Außerhalb des Netzwerks in der Firmenzentrale ist jedes System von vornherein verdächtig. Steht es doch außerhalb des starken internen Schutzschilds und ist daher weniger strikten Überwachungsroutinen unterworfen. Das trifft insbesondere auf alle Mitarbeiterrechner zu, die von Außenstellen aus auf interne Ressourcen in der Zentrale zugreifen. Sie partizipieren an kritischen Applikationen, File-Diensten und der internen E-Mail-Infrastruktur. Wichtige Elemente, deren Ausfall auf Grund von Schädlingsbefall unternehmensweiten Schaden verursacht.

Um hier mehr Sicherheit zu schaffen, ist es heute gang und gäbe, die Außenstellen per Virtual-Private-Network zu verbinden. In dieser Konstellation fast immer per IPsec, da es in der Gateway-zu-Gateway-Implementierung nichts Besseres gibt.

Damit die darüber ausgetauschten Daten und keinen Schädlingsverkehr in die interne Struktur schleusen, haben viele ein Redirection-Konzept ausgearbeitet. Darin durchsucht eine Content-Security-Farm, bestehend aus Servern mit Virenscanner- und anderen Malicios-Code-Scannern, alle diese Pakete, bevor es sie an die eigentlichen Ziele durchreicht. Es entstehen so natürlich zusätzliche Last, größere Verzögerungsfristen. Die wertvollen, weil teuren WAN-Leitungen von der Zentrale und den Außenstellen bleiben durch die Schutzpakete weiterhin belastet. Andere setzen zusätzlich Scanner in der Außenstelle auf. Je kleiner das Büro, desto unwirtschaftlicher ist dieses Konzept. Immerhin wird hier jede Internet-gerichtete Anfrage der Außenstellenmitarbeiter von den lokalen Content-Diensten durchleuchtet. Im Redirection-Konzept müsste jede dieser Anfragen ebenfalls in die Zentrale und deren Infrastruktur umgeleitet werden.

Alles in einem
Die Appliance-Hersteller sind deswegen dazu übergegangen, die Content-Dienste selbst auf ihre Boxen zu platzieren. Analysten haben für den Gerätetypen bereits den Markbegriff »All in One«-Appliance eingeführt, andere nennen das Konzept »Unified Threat Management«. Dahinter verbirgt sich, dass die Appliances ein- und ausgehende Daten zusätzlich mit Virenscanner-Engines, URL-Filtern und Content-Scannern untersuchen. Neben all den typischen Firewall- und VPN-Funktionen einer Stateful-Inspection-Engine. So wird der Verkehr lokal gesäubert.

Die Zusatzdienste haben sich die Appliance-Anbieter in der Regel über Dritthersteller an Bord geholt. Letztere sind für die essenziellen Updates der Dienste verantwortlich. Natürlich fallen, wie bei Virenscannern üblich, zusätzliche Lizenzgebühren für die Content-Dienste an. Um einen sanften Migrationspfad zu schaffen, haben die meisten Anbietet die Dienste als optionale Pakete geschnürt. So kann der Administrator Services, die er braucht, kaufen und überflüssige übergehen, ohne für sie zahlen zu müssen. Die Content-Dienste belasten die Hardware-Plattform mit weiteren Analyse-Aufgaben. Daher ist es durchaus ratsam, ihre Auswirkung auf Durchsatz und Verzögerungsfristen zu evaluieren. Vor allem, wenn zeitkritische Daten über das WAN ausgetauscht werden.

Der Charme dieses Konzepts liegt in der engen Integration der Dienste. Die Drittanbieter bleiben in der Regel für den Administrator unsichtbar. Die Firewall zeichnet im Idealfall die Ergebnisse und Aktionen deren Dienste in den eigenen Logs und Reports auf. Der Administrator hat so auf der zentralen Management-Oberfläche einen Überblick über alle kritischen Ereignisse im Netz. Die Update-Prozedur der Dienste sollte übrigens zwingend in das zentrale Verwaltungswerkzeug eingebettet sein.

Einigen Herstellern genügen die typischen Filter noch nicht. Sie wollen das Netz mit Hilfe von Intrusion-Prevention-Mechanismen (IPS) auch vor den gefürchteten Zero-Day-Attacken schützen. Zero-Day ist ein übermäßig gebrauchtes Schlagwort, das Attacken auf noch unbekannte oder jüngst veröffentlichte Software-Fehler beschreibt. Ein Großteil dieser Angriffe lässt sich auch über die Signaturen von Virenscannern abfangen. Bis diese jedoch verfügbar sind, vergehen zwischen erstem Angriff und passender frischer Virensignatur im Schnitt acht Stunden. Eine gefährlich lange Phase, in der IPS in die Bresche springen soll.

Die Hersteller kombinieren bei IPS in der Regel Angriffssignaturen mit Anomalie-Analysen auf Paket- und Protokollebene. Einige IPS-Ansätze ziehen noch Verhaltensanalysen hinzu. Ihr Ziel ist es, losgelöst von reinem Musterabgleich den Angriff anhand seiner Methodik und seines Verhaltens aufzuspüren und zu blocken. Soweit die Theorie. Tests der Real-World Labs haben jedoch gezeigt, das legale und illegale Daten einander zu sehr gleichen. Denn schon die Software-Hersteller programmieren ihre Lösungen nicht immer RFC-gerecht. Die IPS-fähige Box sieht Angriffe, wo keine sind. Wer diese und andere Fehlalarme vermeiden will, muss die Regeln des IPS-Filters feinstufig anpassen. Das erzeugt zusätzliche Arbeit. Außerdem generieren die Analysemechanismen derzeit noch recht kryptische Meldungen, die sicher nur ein Experte eindeutig versteht. Dass der Ansatz in einem geografisch verteilten, großen Netz mit zehn und mehr Außenstellen genügend skaliert, ist zu bezweifeln.

Der grundlegende Weg, sich von reaktiven Signaturen zu trennen und Attacken mehr über das Verhalten aufzufangen, ist richtig. Weil jedoch die Technik noch recht jung und fehleranfällig ist, erscheint sie für den Massenmarkt insgesamt noch nicht reif genug. Die meisten Branch-Office-Appliances unterstützen sie trotzdem. So kann jeder zumindest erste Erfahrungen mit IPS sammeln. Und den Filter abschalten, falls er zuviel Aufwand verursacht. Die Anbieter ihrerseits sind immens engagiert, ihre Algorithmen Stück für Stück zu verbessern. Der nächste Test wird zeigen, wie gut es ihnen geglückt ist.

Standarddisziplinen
Bei all den Zusatzmechanismen darf man die eigentliche Aufgabe der Firewall-Appliances nicht aus den Augen verlieren. Denn die Boxen sollen schließlich die Büronetze mit Stateful-Inspection-Filtern, NAT-Regeln und VPN-Policies schützen und sicher an die Zentrale koppeln. Daher gibt das Management mit seinen Unterdisziplinen Logging, Monitoring, Policy-Definition, Reporting und Troubleshooting immer noch den Ausschlag. Hier entscheidet sich nämlich, ob die Appliance alltagstauglich ist und der Administrator seine Aufgaben sicher und vor allem bequem erledigen kann.

Neben dem lokalen Management, das per Web-Browser, HTTP/S oder SSH und Command-Line implementiert ist, spielten das zentrale Management und die dafür zuständige Applikation die Hauptrollen. Will doch niemand bei fünf Boxen die gleiche Policy-Änderung in jeder Appliance einzeln eintragen müssen.

Bei allen Real-World-Labs-Tests von Firewalls trennte sich die Spreu vom Weizen bislang immer dann, wenn die Managementanwendung mehr als 50 Regeln zu organisieren hatte. Das ist eine Frage der Applikationsarchitektur. Ist sie von vornherein konzeptionell auf solche Mengen eingestellt? Ist die Darstellung der Policies nachvollziehbar und übersichtlich? Sind die Einstellungen und Parameter für die Firewall- und VPN-Regeln an der richtigen Stelle? Wie viele Skripts und Klicks sind nötig, um einen neuen Tunnel, eine neue Firewallregel anzulegen? Und schließlich: Kann der Administrator den gesetzten Einstellungen und Funktionen vertrauen, dass sie tatsächlich das umsetzen, was sie gemäß Konfiguration sollen? Im Sicherheitsbereich ist es gerade wegen des letzten Punkts durchaus nicht ungewöhnlich, bei dem Hersteller und seinem Portfolio zu bleiben. Der Administrator kennt das Produkt gut und vertraut ihm daher. Er weiß, wo er die Funktionen und Parameter findet und vor allem, was er bei einem bestimmten Fehler zu tun hat. Es ist aber immer gut, über den Tellerrand zu schauen und zu vergleichen, wie die anderen bestimmte Aufgaben lösen. Denn gerade wegen der Zusatzdienste und der fortschreitenden IPS-Technik sortiert sich der Firewall-Markt neu. Und vielleicht ist gerade die Box eines anderen Herstellers für ein bestimmtes Projekt viel tauglicher als die Firewall des über Jahre hinweg lieb gewonnenen Mitanbieters? Die Real-Word Labs haben sieben Appliances getestet, um einige Kandidaten und ihre Qualitäten vorzustellen.
pm@networkcomputing.de

Jetzt kostenfreie Newsletter bestellen!

Matchmaker+
sysob IT-Distribution GmbH & Co. KG

sysob IT-Distribution GmbH & Co. KG
Vodia Networks GmbH

Vodia Networks GmbH
comTeam Systemhaus GmbH

comTeam Systemhaus GmbH
WEKA MEDIA PUBLISHING GmbH

WEKA MEDIA PUBLISHING GmbH
GoTo Technologies Germany GmbH

GoTo Technologies Germany GmbH
GERMAN DATACENTER ASSOCIATION e.V.

GERMAN DATACENTER ASSOCIATION e.V.