Sicheres Internet im Unternehmen

Grundlagen der Secure Web Gateways

| Autor / Redakteur: Dr. Götz Güttich / Peter Schmitz

Eine der wichtigsten Komponenten eines Secure Web Gateway (SWG) ist der Web-Filter, obwohl dieser heute oft um weitere Sicherheitsfunktionen ergänzt wird.
Eine der wichtigsten Komponenten eines Secure Web Gateway (SWG) ist der Web-Filter, obwohl dieser heute oft um weitere Sicherheitsfunktionen ergänzt wird. (© Peterfactors - stock.adobe.com)

Secure Web Gateways sind ein wesentlicher Bestandteil der Sicherheitsinfrastruktur moderner Unternehmensnetze. Sie verwenden Technologien wie Malware-Schutz, Advanced Threat Defence und URL-Filter, um die Anwender vor Gefahren aus dem Internet zu schützen und um die Internet-Policies der Unternehmen durchzusetzen.

In der Vergangenheit arbeiteten Secure Web Gateways (SWGs) vor allem als Appliances im lokalen Netz. Das ändert sich aber momentan, da die Unternehmen immer mehr dazu übergehen, SWGs auf Cloud-Basis einzusetzen, um in entfernten Niederlassungen, die direkt mit dem Internet verbunden sind, für einen sicheren Internet-Zugang zu sorgen. Damit sparen sie sich den Aufwand, sämtlichen Datenverkehr aus solchen Niederlassungen zunächst – beispielsweise über ein VPN – in die Unternehmenszentrale zu holen und dann über den SWG der Hauptniederlassung ins Internet weiter zu leiten. Hybrid-Lösungen, die On-premises-Appliances mit Cloud-Angeboten verbinden, gewinnen ebenfalls zunehmend an Popularität.

Filterung des Web-Verkehrs

Eine der wichtigsten Komponenten eines SWGs ist mit Sicherheit der Web-Filter. Auch wenn diese Technologie heute oft – zumindest in rudimentärer Form – ebenfalls in Firewall-Appliances und anderen Sicherheitslösungen zur Verfügung steht, spielt sie für Web Gateways immer noch eine sehr wichtige Rolle, da nur sehr leistungsfähige Filter dazu in der Lage sind, umfassende Compliance-Vorgaben zu erfüllen.

Die meisten Web-Filter arbeiten normalerweise mit Listen, bei denen der Administrator auswählen kann, welche Inhalte zu blockieren sind. In der Praxis werden solche Listen in verschiedene Kategorien aufgeteilt, beispielsweise "Glücksspiel", "Religion", "Malware", "Shopping", "Social Networking" oder "Violence" und es genügt, bei den auszufilternden Kategorien ein Häkchen zu setzen. Anschließend blockiert der SWG sämtliche Zugriffsversuche aus dem LAN auf die in den Kategorien erfassten URLs. Hier wird schon klar, dass die Güte der Listen eines der wichtigsten Kriterien für die Wirksamkeit des Filters ist. Wurden viele relevante URLs nicht erfasst, beispielsweise weil sie ihre Inhalte in einer Sprache publizieren, die der Hersteller des SWG nicht kennt, so bleibt der Filter wirkungslos.

Bei leistungsfähigen Filterlösungen haben die zuständigen Mitarbeiter in der Regel auch die Möglichkeit, White- und Blacklists anzulegen und so bestimmte Seiten immer zuzulassen oder dauerhaft zu blocken. Blockiert der SGW eine URL, so zeigt er dem User normalerweise eine Seite mit Informationen an. Üblicherweise steht darauf, dass die Seite geblockt wurde, warum sie geblockt wurde und an wen man sich wenden kann, um die Blockade aufzuheben. Manche Lösungen ermöglichen es den Anwendern aber auch, selbst zu sagen, dass sie trotz der Policy, die für das Blocken der URL verantwortlich ist, auf den Inhalt zugreifen möchten. In diesem Fall gibt der SWG den Zugriff frei, loggt ihn aber und informiert die Verantwortlichen über den Vorgang. Viele Produkte bringen auch die Möglichkeit mit, bestimmte Benutzer zu definieren, die auf einzelne Kategorien oder Seiten zugreifen dürfen, die anderen Anwendern verschlossen bleiben, wie etwa die "Shopping"-Kategorie für Mitarbeiter der Einkaufsabteilung.

Probleme, mit denen sich Web-Filter im laufenden Betrieb herumschlagen müssen, sind Versuche der Benutzer, die Filter zu umgehen, beispielsweise durch den Einsatz alternativer Protokolle, wie HTTPS statt HTTP. In diesem Fall läuft der Zugriff verschlüsselt ab und der SWG kann nicht erkennen, auf welche URL die Benutzeranfragen zielen. Hier hilft nur das komplette Blocken aller HTTPS-Zugriffe oder die Verwendung eines SWG, der dazu in der Lage ist, die SSL-Verbindungen zu entschlüsseln, zu untersuchen und dann selbst eine verschlüsselte Connection zum Zielsystem aufzubauen. Solche Lösungen bieten unter anderem ContentKeeper, Sangfor, Symantec und Zscaler an. Forecepoint geht mit einem anderen Ansatz an die Sache heran: Das Unternehmen hat einigen Produkten eine Funktion spendiert, die einen TLS/SSL-Verschlüsselungs-Port-Mirror umfasst. Über diesen Mirror-Port sind passive Sicherheitslösungen dazu in der Lage, verschlüsselte Daten ohne weitere Zusatzlösungen zu untersuchen.

Weitere Sicherheitsfunktionen

Wie bereits erwähnt, finden sich Web Filter heute nicht mehr nur in SWGs, sondern auch in anderen Sicherheitsprodukten. Deswegen spielen sie nicht mehr eine ganz so entscheidende Rolle, wenn es darum geht, sich für einen Secure Web Gateway zu entscheiden. In den letzten Jahren haben deshalb weitere Sicherheitstechnologien für den Auswahlprozess an Bedeutung gewonnen. So arbeiten heute viele SWG-Hersteller mit Herstellern von Antivirus-Produkten zusammen und integrieren diese in ihre Lösungen. Auf diese Weise werden die SWGs in die Lage versetzt, die Datenübertragungen direkt auf Malware-Befall hin zu überprüfen. Manche Lösungen, wie zum Beispiel die von Barracuda Networks, bieten zudem eine Sandbox, um heruntergeladene Dateien unter die Lupe zu nehmen. Es gibt auch Produkte – etwa von Cisco – die eine DNS-Redirection beherrschen und Web-Aufrufe von als schlecht klassifizierten Domänen unterbinden. Die Lösungen von Sophos analysieren zudem jeden heruntergeladenen Code, bevor er ausgeführt wird. Damit gehen sie sehr weit und bieten eine umfassende Sicherheit für das Unternehmensnetz.

Spezielle Anwendungsbereiche

Manche Anbieter konzentrieren sich auch auf spezielle Anwendungsbereiche, wie beispielsweise Forcepoint, die den Schutz von Laptops außerhalb eines Unternehmensnetzes realisieren. Andere Anbieter – wie iboss – integrieren im Gegensatz dazu NetFlow-Analysen in ihre Produkte, um Malware zu erkennen.

Ein anderer Ansatz besteht darin, die im Unternehmen verwendeten Applikationen genau im Blick zu behalten. Auf diese Weise sind die zuständigen Mitarbeiter dazu in der Lage, im Detail festzuhalten, welche Aktionen die Anwender auf Portalen wie Facebook oder Tumblr durchführen können. Bei manchen Produkten, wie etwa bei Forcepoint, können sie auch Regeln für Cloud Apps erstellen und diese komplett sperren oder zulassen. Außerdem haben die Administratoren oftmals auch die Option, Anwendungen wie BitTorrent oder Skype zu blockieren, auch wenn diese unterschiedliche Ports verwenden.

Manche Anbieter liefern mit ihren Lösungen auch noch weitere Funktionen, wie beispielsweise Mail-Filter, die sich darauf spezialisieren, Malware aus dem E-Mail-Verkehr auszufiltern. Das gleiche gilt für Data Loss Prevention-Funktionen, die dafür sorgen, dass kritische Daten, wie Unternehmensinformationen, Patientendaten oder auch Konto- und Kreditkarten-Informationen nicht über den SWG übertragen werden können.

Management und Reporting

Heutzutage werden die SWGs üblicherweise über ein zentrales Verwaltungswerkzeug administriert. Umfassende Reporting-Funktionen sorgen dabei dafür, dass die Administratoren stets über alle stattfindenden Aktionen im Bilde sind und helfen bei der Einhaltung von Compliance-Anforderungen. Das gleiche gilt auch für das Anlegen von Log-Dateien. Administratoren müssen sich also normalerweise nur mit einem Management-Tool befassen, das sowohl die Konfiguration als auch die Berichte abdeckt.

Wichtige Spieler im SWG-Markt

Gartner stuft Barracuda Networks (dieses Unternehmen bietet unter anderem relativ preisgünstige Lösungen für KMUs) als „Nischenplayer“ für SWGs ein. Das gleiche gilt für ContentKeeper, Sangfor, Sophos und Trend Micro. Der einzige „Visionär“ ist iboss, zu den „Challengers“ gehören Cisco, Forcepoint und McAfee. Die „Leaders“ sind schließlich Symantec und Zscaler.

Über den Autor: Dr. Götz Güttich ist Leiter des Institut zur Analyse von IT-Komponenten (IAIT) und verfügt über mehr als fünfzehn Jahre Branchenerfahrung als IT-Consultant und Fach- beziehungsweise Chefredakteur im IT-Umfeld. Aufgrund seiner langjährigen umfangreichen Testtätigkeit für führende deutsche Netzwerkmagazine beschränken sich seine Fähigkeiten nicht auf die Theorie des IT-Geschäfts.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 45150354 / Netzwerk-Security-Devices)