Perimetersicherheit auf neuer Basis
Palo Alto schlägt neues Firewall-Modell vor
Der amerikanische Hersteller Palo Alto Networks will die Port-gestützte Perimetersicherheit als Grundsicherung für Netzwerke endgültig aufs Altenteil schicken und durch eine schnelle, permanente Analyse der Pakete im Netzwerk auf Applikationszugehörigkeit, Anwender und Content ersetzen. Die technische Basis ist eine spezialisierte Hardware-Appliance. Ihre Funktionen sollen neben Firewall und Proxy auch den heute üblichen Wildwuchs an spezialisierten Zusatz-Appliances und UTM-Funktionen an den Netzwerkgrenzen ersetzen, der immer aufwändiger zu managen ist und für die Unternehmen immer teurer wird.
"Eine klassische Firewall bringt heute ungefähr so viel Sicherheit wie das hier", erklärte Nir
Zuk, Geschäftsführer von Palo Alto Networks, am Morgen des 17.2.2009 in München, und hielt ein
Ethernet-Kabel hoch. Dass man ihn dabei ernster nehmen muss als all jene Vorgänger, die in den
vergangenen Jahren die konventionelle Perimetersicherheit fürs Netzwerk totgesagt haben, liegt an
seiner Vergangenheit und seinem Vorschlag, wie er die Misere beenden will. Zuk nämlich hat in
früheren Jahren unter anderem bei Netscreen und Checkpoint klassische Firewalls und
Intrusion-Prevention-Technik mit entwickelt, kennt deren Leistung und Grenzen und bietet mit seinem
Unternehmen Palo Alto nun auf dieser Grundlage eine Alternative.
Die Palo-Alto-Systeme kümmern sich nicht mehr um Ports, sondern primär um Applikationen. Sie
begnügen sich auch nicht damit, Startpakete einer Kommunikation im Netz zu untersuchen und eine
Applikation danach zu klassifizieren, sondern analysieren den Datenstrom weit genauer – so finden
sie nicht nur versteckte Kanäle wie einen Skype-Tunnel im Web-Datenverkehr, sondern auch
beispielsweise einen Dateitransfer innerhalb einer Yahoo-Messenger-Sitzung und dies auf Wunsch dann
auch noch innerhalb einer SSL-Verbindung. Da auf allen Ebenen Policy- und User-bezogen geblockt
werden kann, hat ein Unternehmen beispielsweise die Möglichkeit, die Web-Präsentationslösung Webex
freizuschalten, deren Zugriff auf die Desktops im Unternehmen aber zu unterbinden. Dies alles
findet auf spezialisierter Hardware statt und in Form eines Systems aus einem Guss – so sollen die
Bandbreitenengpässe vermieden werden, die bei UTM-Appliances auftreten, wenn zu viele Applikationen
zugleich aktiviert sind.
Palo Alto reklamiert für sich, alle wesentlichen Anwendungen in der Internetwelt unterscheiden
zu können – mehrere Hundert von SAP bis zu Bittorrent – und seine Appliances darüber hinaus
permanent mit Updates auszustatten. Hier witterten die Teilnehmer der Pressekonferenz in München
allerdings die Gefahr, ein neuer Signaturwettlauf zwischen den "Guten" und "Bösen" könne starten:
Was ist, wenn sich eine Applikation gezielt als eine harmlose maskiert? Was ist, wenn ein Angreifer
gar seine eigene Applikation mit eigenem Protokoll entwickelt, um das Sicherheitssystem zu
umgehen?
Was den ersten Fall betrifft, so glaubt Palo Alto, den Wettlauf gewinnen zu können – man
analysiert nach eigener Auskunft schnell und findet auch maskierte Applikationen. Und die extrem
böswilligen Anwender schließlich, die jede Mühe auf sich nähmen, um ein System auszuhebeln, wolle
und könne man gar nicht adressieren – diese Klientel würde die Daten ja notfalls auch auf DVD
brennen oder ganz andere Wege finden, sie aus dem Unternehmen zu schleusen. Unbekannte
Applikationen kann ein Unternehmen auf einzelne Anwenderkreise bezogen jeweils komplett blockieren
oder freigeben, die Signatur aber immerhin dem Anbieter zur Analyse zukommen lassen. Palo Alto will
eine neue, wirksamere Basissicherung bieten, kein neues Hochsicherheitssystem.
Ob das neue System tatsächlich Firewalls, Proxies, Filterapplikationen und alle anderen
möglichen Perimetersysteme ersetzen kann, wie der Hersteller durchaus glaubt, muss sich in Tests
auch an Details zeigen – etwa an der Erkennungsleistung bei Malware, die paketübergreifende
Analysen erfordert, und am Bandbreitenmanagement, die klassische Perimeterschutzsysteme mit
erledigen. Insgesamt aber ist die Idee des Herstellers äußerst interessant – sie versucht, das
Flickwerk aufzuräumen, das nach dem Aufbrechen der klassischen Unternehmensnetzgrenzen in vielen
Organisationen entstanden ist.
LANline/wj
Lesen Sie mehr zum Thema
