Search Icon
ConnectProfessional Logo
Search Icon
Startseite > Security > Tiefenrausch

Tiefenrausch

26. September 2007, 16:21 Uhr |

Firewalls – Nichts ist mehr, wie es war. Denn Angreifer haben mit Software-Fehlern eine Lücke in der Abwehrstruktur ausgespäht, der typische Firewalls nach Stateful-Inspection-Manier nicht beikommen. Als Reaktion darauf haben die Hersteller die Deep-Inspection-Firewall erfunden. Sie schaut tief in die Protokolle, um vorbeirauschenden Feindcode abzufangen.

Zu Beginn des neuen Jahrtausends schien der Wettlauf um den Firewall-Markt zumindest auf den Spitzenpositionen entschieden. Die Anteile im Enterprise-Bereich waren größtenteils auf drei, vier Hersteller verteilt, um den Rest stritten sich die Lowend-Anbieter. Das gilt heute nicht mehr. Der Markt ist in Bewegung geraten und wird in zwei bis drei Jahren völlig neu sortiert sein. Die Hilferufe der Unternehmen haben dies ausgelöst. Getrieben von der Erfahrung, schutzlos den neuen Angriffsformen ausgeliefert zu sein, fordern sie neue Abwehrkonzepte. Denn die großen Investitionen, die sie bisher tätigten, zahlen sich nicht aus. Das geltende Grundprinzip »errichtet am Perimeter ein Bollwerk, und du bist vor 80 Prozent der Gefahren sicher« ist ausgehebelt, damit ist auch gleich das rein Perimeter-zentrische Abwehrprinzip Geschichte.

Heute müssen die wichtigen Schutzmechanismen in das Netz hineinreichen und mehr beherrschen als die Adressen-und-Dienste-Restriktionen, an die alle so lange gewöhnt sind. Sicherheit ist auch kein einzelnes Produkt mehr, sondern eine Kernanforderung jedes Unternehmens. Auch hier fand eine Änderung im Denkprozess statt.

Natürlich wird es die Standalone-Firewall-Appliance weiterhin als Produkt geben. Ihre Einordnung wird sich aber ändern. Die Appliance muss sich, und das wird die Kaufentscheidung lenken, viel stärker als ein Element, eine Funktion in ein mehrstufiges, vielteiliges Abwehrkonzept eingliedern. Und sie wird zunehmend Mechanismen unterstützen, die weit über das hinausgehen, was die bisherigen Protokoll- und Dienst-zentrischen Pendants leisten. Schon heute beherrschen Firewalls die Nebendisziplinen Antivirus, Antispam, Content-Scanning, URL-Blocking und mehr. Der nächste Evolutionsschritt ist die Deep-Inspection-Firewall. Ein neuer Begriff, der im Grunde aber nur beschreibt, dass Intrusion-Prevention und Stateful-Inspection in einer Software zusammenwachsen. Der alte Mechanismus für die Netzebene, der neue für die Payload-Analyse.

Geschichte wiederholt sich
Warum ist der Typ Deep-Inspection nötig? Das hat historische Ursachen. Ende der 90er Jahre wurde die Grundlage dafür gelegt, dass die heutigen Attacken so erfolgreich sind. Damals diskutierte die Industrie hitzig, ob denn die Stateful-Inspection oder der Application-Proxy, auch Application-Gateway genannt, die bessere Firewall-Technik sei. Das Scharmützel zwischen beiden Lagern flammt heute noch an einigen Ecken auf, mit ähnlichen Argumenten. Die Proxy-Anhänger behaupten seit jeher hartnäckig, ihr Ansatz sei dank seines tieferen Applikationseinblicks und dem Forwarding-Modell sicherer, während die Gegenseite mit einem höheren Durchsatz und dem größeren Support für Netzwerkprotokolle punkten will. Jeder wird zustimmen, dass ein Proxy eine höhere Hürde für Cracker errichtet, da seine Layer-7-Protokoll-Mechanismen schwerer zu täuschen sind. Freilich wird niemand widersprechen, dass ein Proxy langsamer arbeite und weniger Protokolle unterstütze als jede Stateful-Inspection-Engine. Der Proxy-Ansatz existiert heute immer noch, hat aber eindeutig gegenüber der Stateful-Engine verloren, denn die führenden Positionen auf dem Firewall-Markt werden ausschließlich von Anhängern letzteren Designs besetzt. An der Ausgangslage hat sich also seit den 90ern wenig geändert.

Als die Entscheidung für diese Architektur Ende der 90er gefallen war, haben sich Industrie, die Kunden und auch die Tests kaum noch an den eigentlichen Abwehrfunktionen einer Firewall orientiert. So eigenartig es klingt, es spielte eine sekundäre Rolle, welches Sicherheitsniveau ein solches Produkt erreichte. Wichtiger waren Durchsatz, die Funktionsdichte und das Preis-Leistungsverhältnis.

Vor rund zwei Jahren folgte die böse Überraschung. Die Angriffsmethoden hatten sich weiter entwickelt und die Stärke der primären Abwehrreihe geschwächt. In der Praxis versuchten Verantwortliche und Hersteller, die Trojanischen Pferde, RFC-konformen Buffer-Overflows und SQL-Injection-Attacken mit den vorhandenen Layer-4-Techniken aufzuhalten. Wie konnten sie auch anders, war die Stateful-Inspection doch alles, was sie dem entgegenzusetzen hatten. Aus Angreifersicht war diese Gegenmaßnahme nur ein kleines Ärgernis, so dass die Unternehmen dringend neue, effiziente Maßnahmen verlangten.

Das ist die aktuelle Lage. Und der Kreis scheint sich zu schließen. Heute spielt das Sicherheitsniveau die wichtigste Rolle. Kein Wunder, dass die lange vernachlässigte Applikationsintelligenz wieder die dominante Rolle bei den Entwicklungen der Hersteller einnimmt.

Tiefentopologie
Als der Begriff »Deep Inspection Firewall« zum ersten Mal auftauchte, wirkte er wie ein frisches Marketing-Schlagwort. Nicht schon wieder ein Layer-4-Mechanismus, der einige moderne Tricks beherrscht. Denn im Gegensatz zur Intrusion-Prevention, die eine völlig neue Technologie einführte, wirkt die Tiefenblick-Firewall wie ein bekannter Ansatz mit frischem Anstrich. Denn auch mit einem echten Diskurs wie Stateful versus Proxy, wo einander tatsächlich zwei grundlegend verschiedene Architekturkonzepte gegenüberstehen, hat Deep-Inspection wenig gemein. Der Begriff beschreibt eine Technik, die nach Aussagen der Hersteller mehr kann als bisherige Ansätze, ohne eindeutig zu definieren, was dieses »mehr« an Sicherheit ist.

Heute beschreibt das Wort Deep-Inspection ein konventionelles Layer-4-/Session-Monitoring-Gerät – einen Stateful-Packet-Filter, der zusätzlich einige Layer-7-Analysen unterstützt. Diese Fähigkeiten beginnen bei statischen, IDS-ähnlichen Angriffssignaturen wie bei der »FortiGate« von Fortinet. Und sie enden sie enden bei Layer-7-fähigen Inspektionsmodulen für Protokolle, wie sie die »ISG-2000« von Juniper per IDP-Blade ins Spiel bringt. Unterstützt von fundamental neuen Werkzeugtypen können diese Firewalls tatsächlich einige Gefahren abwenden, denen bisherige Firewalls hilflos gegenüber stehen.

Es ist wichtig zu wissen, dass der Signaturansatz ein wenig über das hinausgeht, was die NIPS-Anbieter als Intrusion-Prevention der nächsten Generation titulieren. Denn Firewall und Signatur arbeiten eng zusammen, so dass Letztere Teil des gesamten Inspektionsprozesses ist. Die echten Layer-7-Module sind aber viel interessanter. Sie greifen ebenfalls auf Signaturen zurück, suchen mit Hilfe mehrere Analysealgorithmen gleichzeitig nach komplexen Protokoll-Anomalien, um potenziell verdächtige Daten zu markieren. Es wird immer schwieriger, die Unterschiede zwischen diesen Modulen und einem typischen Applikations-Proxy feststellen. Der Punkt aber ist: Die Unterschiede spielen im Prinzip keine Rolle. Denn am Ende sollten die Resultate und nicht der Ansatz zählen. Entweder die Firewall fängt die neuen Attacken ab oder nicht.

Es ist ohnehin schwierig, den Markt klar nach Technologien aufzuteilen. Einige Systeme vereinen mehrere Konzepte in einer Box, indem sie Stateful-Inspection und Proxy parallel aktivieren. Die »Sidewinder« von Secure Computing – ein langjähriger Anhänger der tiefen Applikationsanalyse – nutzt »Cut-Through«-Proxies, die Stateful-Filtern verdächtig ähnlich sehen. Diese verwendet die Firewall für Protokolle und Verbindungen, für die passende Proxies fehlen. Die Inspect-Befehle von Cisco bringen Layer-7-Funktionen auf ein Gerät, das jeder als Layer-4-Device interpretieren würde. Das frisch vorgestellte IDP-Modul von Juniper unterstützt mehr als 60 Protokolle und verwandelt die Legacy-Firewall in ein durchsatzstarkes Layer-7-Inspektions-Gerät.

Die Real-World Labs wollten genau wissen, was diese junge Variante der Firewall tatsächlich kann. Der Test auf den folgenden Seiten zeigt die Resultate. Eines aber sollten sich Verantwortliche vor Augen führen: Die zusätzlichen Funktionen sind keineswegs kostengünstig. Vor allem dann, wenn zusätzliche Dienste wie Antivirus auf der Box laufen. Hier sind wie bei allen Antivirus-Konzepten permanente Updates zwingend erforderlich, eine monatliche Gebühr inklusive. Wer bisher auf Gateways nach Viren suchte, wird hier einen weiteren Budgetposten einplanen müssen.

Außerdem stellt sich wieder die Performance-Frage. Deep-Inspection ist ressourcenhungrig. Wer parallel nach Viren sucht, wird die tatsächliche Leistung der Firewall unter Hochlast genau untersuchen müssen. Denn zusätzliche Funktionalität bedeutet immer auch zusätzliche Prozessorlast. Daher muss ein Administrator heute umso genauer wissen, was er mit der Firewall erreichen möchte. So könnte er auf eine leistungsfressende Zusatzdisziplin vielleicht verzichten und eine kostengünstigere, weil kleiner dimensionierte Appliance einkaufen.

pm@networkcomputing.de

Jetzt kostenfreie Newsletter bestellen!

Matchmaker+
Xelion GmbH

Xelion GmbH
WatchGuard Technologies

WatchGuard Technologies
HP Deutschland GmbH

HP Deutschland GmbH
sysob IT-Distribution GmbH & Co. KG

sysob IT-Distribution GmbH & Co. KG
ECOM Electronic Components Trading GmbH

ECOM Electronic Components Trading GmbH
Securepoint GmbH

Securepoint GmbH