Suchen

Felix Bültmann von Barracuda über Next Generation Firewalling Die nächste Generation der Firewalls

| Redakteur: Jürgen Paukner

Next Generation Firewalls, die beispielsweise eine bessere Steuerung von Anwendungen ermöglichen, ersetzen zunehmend die klassischen Firewall-Konzepte. Auf der IT-SECURITY MANAGEMENT & TECHNOLOGY Conference 2012 referiert Felix Bültmann über „Next Generation Firewalling and Beyond“.

Firma zum Thema

Felix Bültmann, Senior Consulting Security Engineer bei Barracuda.
Felix Bültmann, Senior Consulting Security Engineer bei Barracuda.

ITB: Was gibt es so Neues im Bereich Firewalls, dass man gleich von einer nächsten Generation sprechen muss?

Bültmann: Die Terminologie Next Generation Firewall ist ein von Analysten eingeführter Fachausdruck, welcher definiert, dass eingesetzte Firewall-Systeme nicht nur auf IP- und Port-Ebene Verbindungen kontrollieren.

Durch die sogenannte Deep Packet Inspection lässt sich auch der Traffic der verwendeten Applikationen steuern. Damit können Applikationen wie z. B. Salesforce oder Videostreaming erlaubt, geblockt oder in der Bandbreite limitiert werden. Hier geht die Barracuda NG Firewall noch einen Schritt weiter.

Zusätzlich zu den Security-Entscheidungen kann gewählt werden, welche Internetverbindung für die Applikationen verwendet werden soll. Dadurch können teure Leitungen für businesskritische Programme genutzt werden, und alle weiteren Programme konnektieren über günstiges DSL.

ITB: Sie weisen darauf hin, dass durch IPv6 neue Schwachstellen in den internen Netzwerken entstehen. Können Sie das bitte erläutern?

Bültmann: Das liegt an der Koexistenz von IPv4 und IPv6. Moderne Betriebssysteme präferieren bereits IPv6, auch wenn im Netzwerk nur IPv4 verwendet werden soll. Dieses Verhalten gibt Angreifern die Möglichkeit, mit einem IPv6-fähigen Router ein komplettes Netzwerk in nur wenigen Sekunden zu übernehmen.

Diese Router propagieren ihre Existenz an alle an das Netzwerk angeschlossenen Systeme. Dies führt dazu, dass mit sofortiger Wirkung der gesamte Netzwerkverkehr über den angreifenden Router gesendet wird.

(ID:35722350)