Search Icon
ConnectProfessional Logo
Search Icon
Startseite > Security > Warum Stateful-Inspection-Firewalls Schnee von gestern sind

Neue Techniken für Firewalls

Warum Stateful-Inspection-Firewalls Schnee von gestern sind

22. April 2009, 12:34 Uhr | Bernd Reder
Fortsetzung des Artikels von Teil 2

Die nächste Generation von Firewalls

Der Sicherheitsfachmann sieht auf einer Web-Oberfläche, welcher User welche Anwendungen nutzt und kann diese freigeben oder sperren. In Deutschland müssen Teile dieser Informationen wegen des Datenschutzes allerdings anonymisiert werden.
Der Sicherheitsfachmann sieht auf einer Web-Oberfläche, welcher User welche Anwendungen nutzt und kann diese freigeben oder sperren. In Deutschland müssen Teile dieser Informationen wegen des Datenschutzes allerdings anonymisiert werden.
Für Anwendungen und Nutzer können Rollen festgelegt werden, etwa
Für Anwendungen und Nutzer können Rollen festgelegt werden, etwa
Die Firewalls von Palo Alto Networks lassen sich auf drei Arten implementieren.
Die Firewalls von Palo Alto Networks lassen sich auf drei Arten implementieren.

»Die Stateful-Inspection-Engine ist in ihrer Entwicklung stehen geblieben«, konstatiert selbst Nir Zuk, der diese Analyse-Engine für Check Point erfunden und später als Chief Technology Officer für Netscreen (später von Juniper Networks übernommen) weiter entwickelt hat. »Denn diese Technik stellt keinerlei Kontext zwischen User, Anwendung und den darüber ausgetauschten Daten her – einfach deshalb, weil sie weder den Anwender einbindet, noch die wahre Natur der Anwendung erkennt.« Doch diese Informationen seien für eine zeitgemäße Security-Struktur essenziell.

Inzwischen ist Zuk Chief Technology Officer des jungen Firewall-Anbieters Palo Alto Networks und betätigt sich dort quasi als Totengräber seiner eigenen Schöpfung. Unter seiner Federführung entstand die »Next Generation Firewall« von Palo Alto Networks.

Sie folgt einem völlig anderen Denkansatz: Der User steht im Mittelpunkt. Seine Aktionen und die von ihm verwendeten Programme werden inhaltlich geprüft. Diese Firewall-Generation befreit sich damit von der Abhängigkeit von Netzparametern zu Gunsten einer mehrstufigen Layer-7-Klassifizierung und bindet den User direkt in die Policy mit ein.

Die Firewall beobachtet die benutzten Protokolle, deren Codierung und die tatsächlich ausgetauschten Daten und kombiniert diese Werte in Echtzeit mit den Resultaten der verhaltensbezogenen Heuristik. Auf diese Weise erkennt sie den »wahren Charakter« des Programms, unabhängig davon, welche Ports, Ziel- und Sendeadressen es aktuell verwendet.

Die Analyse der Inhalte erfolgt direkt im Datenstrom und nicht erst dann, wenn die Datei oder Session komplett im Speicher zusammengesetzt ist. Dieses Verfahren ist schneller und verbraucht weniger Speicherressourcen.

Dank des vierstufigen Fingerprint-Verfahren kann der Hersteller zugleich Angriffe gegen Vulnerabilities von Anwendungen erkennen und wie ein Intrusion-Prevention-System aus dem Datenstrom herausfiltern.

Im eigenen Analyselabor entwickeln die Techniker von Palo Alto parallel dazu eigene Signaturen, um eindeutige Angriffe auf schnellem Wege als solche zu erkennen und zu blockieren. Außerdem greift der Hersteller auf die Malware-Signaturen mehrerer Dritthersteller zurück, ohne deren Engine zu verwenden. Die Firewall sucht also direkt im Stream nach bekannten Viren und Würmern.

Gleichzeitig kann für jeden einzelnen Anwender oder jede Usergruppe im gesamten Unternehmen in einem Regelwerk festgelegt werden, welche Anwendungen wer wann und wo nutzen darf. So lässt sich beispielsweise für jeden User festlegen, dass SSL-kodierte Zugriffe auf die Online-Services einer Bank während der Mittagszeit erlaubt sind, während sie zu anderer Zeit geblockt werden.

Der Administrator darf außerdem festlegen, ob er bestimmte SSL-geschützte Dienste über die Appliance terminieren und so auch deren Inhalte untersuchen möchte.

Das System befragt die typischen User-Datenbanken im Netzwerk, sei es ein Active-Directory oder andere LDAP-Stores, und gleicht dort die User-Profile und Rollendefinitionen ab. Alle Aktionen der Nutzer werden aufgezeichnet, wobei Palo Alto diese Informationen aus Gründen des Datenschutzes auch anonymisieren kann.

Die gesammelten Daten wertet die Firewall in Berichten in der Management-Konsole aus. Dort kann der Security-Verantwortliche dann zum ersten Mal sehen, welche Anwendungen in seinem Netzwerk überhaupt laufen.

»Dies ist für manche Kunden ein richtiges Aha-Erlebnis«, sagt Jan Koopmann, Geschäftsführer des IT-Dienstleisters Seceidos. Er testet die Palo-Alto-Systeme seit der Markteinführung in Deutschland im Februar 2009 intensiv im eigenen Unternehmen und bei verschiedenen Kunden.

»Der Traffic lässt sich Personen und IP-Adressen eindeutig zuordnen. Da die Geräte auch sehr schnell und einfach in ein vorhandenes System einzubinden sind, sehen die Anwender in sehr kurzer Zeit das Ergebnis«, so Koopmann.

Dafür, dass die Firewall trotz der aufwändigen Inhaltsanalysen keine Flaschenhälse verursacht, sorgt eine ausgeklügelte Hardware-Architektur. Control- und Data-Plane, also Management und Packet-Forwarding, sind voneinander getrennt. Dies ist beispielsweise bei High-End-Routern obligatorisch, um eine hohe Ausfallsicherheit zu erreichen.

Die ressourcenintensiven Analysen auf Layer 7 wurden in programmierbaren ASICs abgebildet, die im Zusammenspiel Transferraten von 10 GBit/s garantieren sollen, mit geringer Latenzzeit.

Dieses Paket aus dezidierter Hard- und Software ist in Hardware-Appliances verschiedener Größe eingebaut. So sind die kleinsten Systeme der PA-2000-Serie für größere Außenstellen und mittelständische Firmen konzipiert. Sie erreichen Durchsatzraten von 500 MBit/s bis zu 1 GBit/s. Die High-End-Appliances der PA-4000-Serie dagegen sind für Konzerne konzipiert, die Transferraten von 2 bis 10 GBit/s benötigen.

Damit Palo Alto die Effizienz ihrer Firewall-Engine belegen kann, ohne dass der IT-Verantwortliche sein Netzwerk radikal umstrukturieren oder seine existierende Firewall ausschalten muss, unterstützt der Hersteller mehrere Deployment-Konzepte.

Zum einen lässt sich die Appliance traditionell direkt an den Spam-Port eines Switches anbinden. Zum anderen beherrschen die Systeme den »Transparent-Inline-Modus«. In diesem Fall wird die Appliance direkt hinter der existierenden Firewall eingebunden, ohne dass sich etwas an der IP- oder MAC-Adressen-Struktur etwas verändert. Dank dieses Modus bleibt sie aus Topologiesicht von außen vollkommen unsichtbar, also auch nicht angreifbar.

  1. Warum Stateful-Inspection-Firewalls Schnee von gestern sind
  2. Wie Stateful-Inspection funktioniert
  3. Die nächste Generation von Firewalls

Lesen Sie mehr zum Thema

Palo Alto Networks GmbH
Jetzt kostenfreie Newsletter bestellen!

Weitere Artikel zu Palo Alto Networks GmbH

Für Palo Alto Networks-Partner in DACH

SOC-MSSP-Lösung von Exclusive Networks

Palo Alto: Ransomware-Eskalation

Medusa schlägt professioneller zu

Security-Distribution

TD Synnex vertreibt Lösungen von Palo Alto Networks in Europa

Cybersicherheit für Unternehmenskunden

Florian Hartwig ist Vice President Germany bei Palo Alto

Bring Your Own Machine Learning

Schnellere Reaktionszeit bei Angriffen

Matchmaker+
sysob IT-Distribution GmbH & Co. KG

sysob IT-Distribution GmbH & Co. KG
Zyxel Networks A/S

Zyxel Networks A/S
Panduit

Panduit

Securepoint GmbH

Securepoint GmbH
elektrofachkraft.de

elektrofachkraft.de
KONZEPTUM GmbH

KONZEPTUM GmbH