Einsatz von Application Delivery Controller Firewalls

Leistungsfähige Firewall-Infrastruktur für Web Services

| Autor / Redakteur: Frank Thias / Stephan Augsten

Klassische Firewall-Ansätze werden den Anforderugnen an Online-Dienste kaum gerecht.
Klassische Firewall-Ansätze werden den Anforderugnen an Online-Dienste kaum gerecht. (Bild: Andrea Danti - Fotolia.com)

Traditionelle Firewall-Architekturen werden den heutigen Ansprüchen an die Verfügbarkeit von Online-Diensten nur selten gerecht. Selbst Next Generation Firewalls haben diesbezüglich ihre Grenzen. Zeit für einen Paradigmenwechsel und eine Neuausrichtung der Firewall-Infrastruktur.

Viele Unternehmen vertrauen auf eine Firewall-Architektur, bei der sowohl der eingehende als auch der ausgehende Datenverkehr über dasselbe Firewall-System geleitet werden. Das hat den Nachteil, dass im Falle einer Störung des Firewall-Systems, beispielsweise hervorgerufen durch einen Denial of Services (DoS), beide Datenrichtung blockiert sind.

Sowohl die Angestellten des Unternehmens als auch die Internetnutzer können die Online bereitgestellten Dienste somit nicht mehr verwenden. Die Folgen sind u.a. Produktivitätsverlust, Reputationsschäden und finanzielle Einbußen beim Onlinehandel.

Abhilfe können hier leistungsfähigere Firewall-Systeme sein (Überpovisionierung der Firewall zum Zwecke des DoS-Schutzes). Deren Kennzahlen wie Datendurchsatz oder neue-Verbindungen pro Sekunde liegen jedoch typischerweise immer noch weit unter denen von modernen Application Delivery Controllern.

Verfügbarkeit der Dienste steigern

Im Hinblick auf die Verfügbarkeit der Services und der Sicherheit ist es sinnvoll, ein alternatives Firewall-Setup wie das Folgende zu betrachten: Muss ein Unternehmen eine sehr hohe Netzwerksicherheit gewährleisten, wie z.B. im Finanzsektor, findet man oft Firewall-Infrastrukturen vor, bei denen der ausgehende vom eingehenden Datenverkehr getrennt sind. Durch die Separierung des Netzwerkverkehrs kann es im Störfall keine Abhängigkeiten voneinander geben.

Ein Nachteil dieses Designs – auch bei der Verwendung aktueller Firewall-Technologien – liegen im Aufwand für die zusätzliche Infrastruktur. Darüber hinaus erreicht man nur niedrige Skalierungsgrenzen die ein Angreifer heutzutage leicht durch das Mieten und Betreiben von Botnetzen ausreizen kann. Zu guter Letzt fehlt ein komplettes Protokollverständnis (da kein Full Proxy).

Das DoS-Thema ist also für den eingehenden Verkehr weiterhin vorhanden und kann selbst durch den Einsatz zusätzlicher IPS-System nur begrenzt adressiert werden. Ganz abgesehen vom zusätzlichen Aufwand den man betreibt. Des Weiteren ist dieser Technologie-Mix aufwendig in der Verwaltung und es fehlen Verfahren die es einem gestatten tatsächlich den Kontext der Verbindung zu verstehen.

Dies umfasst Schutzverfahren für jeden Bereich des OSI-Modells. Als Bedrohungsszenarien sind hier exemplarisch ICMP-Floods, Syn-Floods, Layer 4 Stateful Paketfiltering, SSL-Renegotiation-Floods, Layer 7 DoS und z.B. Schutz vor Schwachstellen aus der OWASP Top-10 zu nennen. Konsolidierungsansätze, wie sie viele Führungskräfte fordern, können so ebenfalls nicht umgesetzt werden.

Inhalt des Artikels:

Kommentar zu diesem Artikel abgeben

Schreiben Sie uns hier Ihre Meinung ...
(nicht registrierter User)

Kommentar abschicken

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 37269620 / Firewalls)