Search Icon
ConnectProfessional Logo
Search Icon
Startseite > Security > Warum Stateful-Inspection-Firewalls Schnee von gestern sind

Neue Techniken für Firewalls

Warum Stateful-Inspection-Firewalls Schnee von gestern sind

22. April 2009, 12:34 Uhr | Bernd Reder
Fortsetzung des Artikels von Teil 1

Wie Stateful-Inspection funktioniert

Die Single-Pass-Technik von Palo Alto: User-, Content- und Anwendungs-ID werden zu einem Profil zusammengefasst.
Die Single-Pass-Technik von Palo Alto: User-, Content- und Anwendungs-ID werden zu einem Profil zusammengefasst.
Der Aufbau eines Firewall-Systems von Palo Alto: Control- und Data-Backplane arbeiten getrennt voneinander, um die Leistung zu erhöhen.
Der Aufbau eines Firewall-Systems von Palo Alto: Control- und Data-Backplane arbeiten getrennt voneinander, um die Leistung zu erhöhen.

IT-Abteilungen überschätzen die Effizienz der eigenen Abwehrstrukturen. Nur wenige scheinen sich bislang einzugestehen, dass ein wichtiges Element an Wirkung einbüßte: die Stateful-Inspection-Firewall. Dabei lassen sich die Ursachen technisch eindeutig belegen.

Prinzipiell wertet eine solche Firewall aus, welche UDP- oder TCP-Pakete eine Anwendung auf den OSI-Ebenen 3 und 4 austauschen. Sie zeichnet dabei in ihren lokalen Verbindungstabellen auf, in welchem zeitlichen und protokolltechnischen Zusammenhang diese Pakete stehen. Ein Regelwerk schreibt dabei vor, welche Parameter erlaubt sind.

Die Firewall blickt zudem flüchtig von außen auf die Anwendungsinformationen, um dort Zusammenhänge zwischen den Dateninhalten zu identifizieren. Sie wertet beispielsweise aus, ob die Header der Pakete oder ihre Abfolge zum Protokoll passen oder ein eingehendes Paket zu einer bereits in den Statustabellen als legal gelisteten Verbindung passt.

Sendet ein Zielsystem also Informationen, die vom internen Client nicht angefordert wurden, blockiert die Firewall den Transfer selbst bei bestehender Verbindung zwischen Client und Zielsystem.

Diese Methode wurde vor der Jahrtausendwende entwickelt. Zu einer Zeit, in der Anwendungen anhand von TCP- und UDP-Parametern eindeutig zu identifizieren waren, Netze klare Grenzen hatten und sich das Verhalten der Anwender und Programme einfacher kontrollieren ließ.

Diese Eindeutigkeiten sind passé: Die meisten geschäftskritischen Anwendungen wurden in Richtung Web umgeschrieben oder gleich auf Basis von Webdiensten und -protokollen wie SOAP, XML oder HTTP entwickelt. Das hat für die User den Vorteil, dass sie von überall aus per Browser auf ihre Anwendungsmasken zugreifen können.

Die Folgen für Stateful-Inspection-Firewalls sind dagegen dramatisch. Sie sind teilweise blind, denn die Protokolle der geschäftskritischen Applikationen verwenden mit Port 80 die gleiche Portnummer wie der Anwender, der im Web surft.

Die IT-Verantwortlichen behelfen sich damit, indem sie weitere Parameter aufgreifen, um so ein wichtiges Programm von Unwichtigem zu trennen. Ein solcher Parameter ist beispielsweise die Adresse der Applikationsserver.

Der wahren Natur der Anwendung kann sich die Stateful-Inspection-Engine auf diese Weise nur vage annähern – mit Hilfe eines komplexen Regelwerks und ohne sie ganz zu erfassen.

Das hat zur Folge, dass die Regelwerke anschwellen, weil sie immer mehr Parameter aufnehmen müssen. Sobald sich die Netzstruktur verändert, müssen zusätzliche Werte wie die Zieladressen aktualisiert werden. Der Managementaufwand wird dadurch immer größer.

Mit dem aktuellen Trend zur Virtualisierung verschärft sich die Lage noch: Virtualisierte Applikationen benutzen virtuelle Interfaces mit flexibel zugewiesenen IP-Adressen. Welchen Wert haben diese willkürlich wechselnden Destination-Adressen dann noch für eine strenge Firewall-Policy?

  1. Warum Stateful-Inspection-Firewalls Schnee von gestern sind
  2. Wie Stateful-Inspection funktioniert
  3. Die nächste Generation von Firewalls

Lesen Sie mehr zum Thema

Palo Alto Networks GmbH
Jetzt kostenfreie Newsletter bestellen!

Weitere Artikel zu Palo Alto Networks GmbH

Für Palo Alto Networks-Partner in DACH

SOC-MSSP-Lösung von Exclusive Networks

Palo Alto: Ransomware-Eskalation

Medusa schlägt professioneller zu

Security-Distribution

TD Synnex vertreibt Lösungen von Palo Alto Networks in Europa

Cybersicherheit für Unternehmenskunden

Florian Hartwig ist Vice President Germany bei Palo Alto

Bring Your Own Machine Learning

Schnellere Reaktionszeit bei Angriffen

Matchmaker+
AvePoint Deutschland GmbH

AvePoint Deutschland GmbH
Softing IT Networks GmbH

Softing IT Networks GmbH
AfB gemeinnützige GmbH

AfB gemeinnützige GmbH
Riello UPS GmbH

Riello UPS GmbH
NFON AG

NFON AG
HP Deutschland GmbH

HP Deutschland GmbH