Firewall-Evolution Next Generation Firewalls – Intelligente Wächter über das Netzwerk

Autor / Redakteur: Achim Kraus, Palo Alto Networks / Stephan Augsten

Unternehmen sehen sich zunehmend mit Netzwerk-Attacken konfrontiert, die klassischen Sicherheitslösungen wie Port-basierte Firewalls ausweichen. Während sich die Bedrohungslage und der Umgang mit Informationen geändert haben, wurden passende Sicherheitstechnologien nicht konsequent vorangetrieben. Einen zeitgemäßen Ansatz liefern Next Generation Firewalls mit der Kontrolle von Applikationen, Anwendern und Inhalten.

Traditionelle Firewalls stellen für kreative Angreifer keine nennenswerte Hürde mehr dar.
Traditionelle Firewalls stellen für kreative Angreifer keine nennenswerte Hürde mehr dar.
( Archiv: Vogel Business Media )

Skype, WebEx oder Facebook sind nur einige der Anwendungen, die heutzutage in den IT-Landschaften der Unternehmen auftauchen. All diese Kommunikationslösungen entwickeln sich zunehmend zu Tools, die in den Arbeitsalltag mit einbezogen werden wie einst Telefon oder Fax.

Aktuell gibt es in Deutschland über 16 Millionen Facebook-User, das entspricht einem Viertel der Gesamtbevölkerung. Laut einer Umfrage des Statistikunternehmens Statista aus dem Jahr 2009 kontrollieren in den USA bereits 40 Prozent der Nutzer sozialer Netzwerke mehr als vier Mal am Tag ihr Postfach im Web 2.0.

Gartner sagt sogar voraus, dass die Kommunikation über soziale Netzwerke die klassische E-Mail als primäres Tool langfristig ablösen wird. Schon im Jahr 2014 würden circa 20 Prozent des Informationsaustausches über soziale Netzwerke laufen.

Facebook & Co umgehen traditionelle Firewalls

Das Web 2.0 und andere neue Applikationen bieten Unternehmen viele Möglichkeiten – bergen aber auch zahlreiche Risiken für die IT: Solche neuen Applikationen tarnen oder verstecken sich, nutzen verschlüsselte Daten (SSL oder SSH), dynamische Ports oder kommen einfach nur als Webanwendung daher.

Manche Nutzer sind auch so geschickt, dass sie Standard-Ports beispielsweise über MS RDP oder SSH umgehen. Damit entziehen sie sich jeglicher Kontrolle durch die herkömmliche Firewall-Analysetechnik, die den Datenverkehr lediglich basierend auf Ports und Protokollen reguliert.

Der daraus resultierende Verlust an Transparenz und Kontrolle stellt ein gravierendes Problem für die IT-Sicherheit eines Unternehmens dar. Die Folgen sind vielfältig: Performance-Probleme, Verstöße gegen gesetzliche oder interne Richtlinien, erhöhte Betriebskosten oder der Verlust von Daten.

Seite 2: Next Generation Firewall – ein komplett neuer Ansatz

Next Generation Firewall – ein komplett neuer Ansatz

Da durch die Firewall der komplette Datenverkehr läuft, ist sie auch der zentrale Punkt zur Durchsetzung von Sicherheitsrichtlinien. Die Firewall muss zunächst das „wahre Gesicht“ einer Applikation erkennen, unabhängig von Protokoll, Verschlüsselung oder Umgehungsmethode.

Darüber hinaus muss die Firewall dazu in der Lage sein, auch Applikationen wie Proxies, Remote Access und Tunnel durch Port 80 zu prüfen – ansonsten ist die Kontrolle über die IT-Sicherheit eines Unternehmens erheblich eingeschränkt. Ebenso wichtig ist die Entschlüsselung von SSL-Daten mit Nicht-Standard-Ports.

Mit sogenannten Next Generation Firewalls können Unternehmen auf die verstärkte Nutzung des Web 2.0 und der neuen Applikationen reagieren – und vor allem ihr Netzwerk sauber halten. Und dabei geht es nicht nur darum, dass sich die User vermehrt nicht nur vom Schreibtisch aus im Firmennetzwerk bewegen, sondern häufiger von außen darauf zugreifen.

Zudem sollten die Firewalls der neuen Generation auf völlig neu geartete Angriffe von Hackern & Co. reagieren können. Hier kommen beispielsweise traditionelle Intrusion-Prevention-Systeme (IPS) an ihre Grenzen, da sie zwar bekannten Angriffsmethoden auf Betriebssysteme und Software begegnen können. Den Missbrauch von Anwendungen oder bestimmter Funktionalitäten kann ein IPS aber nicht effizient abwehren.

Als weitere wichtige Anforderung folgt die Identifikation von Usern, nicht nur von IP-Adressen, und die Information, was welcher Nutzer wann mit welcher Anwendung macht. Dafür greift die Lösung auf in Unternehmensverzeichnissen gespeicherte Benutzer- und Gruppendaten zurück.

Ein dritter Punkt ist die Identifizierung des Inhalts in Echtzeit, um einen Schutz des Netzwerks vor Malware, Exploits oder Sicherheitslücken zu schützen. In diesem Zusammenhang bekommt der Administrator die Möglichkeit, gezielt Anwendungen zu erlauben oder zu blocken, je nach Unternehmenskultur und Aufgabenbereich des jeweiligen Nutzers.

Auf diese Weise können also IT-Verantwortliche drei extrem wichtige Komponenten – die Absicherung von Anwendungen, von einzelnen Usern und des Inhalts in Echtzeit – in einer einzigen Sicherheitsrichtlinie integrieren und so die gesamte Netzwerkkommunikation und Anwendungsnutzung kontrollieren.

Die Firewalls der neuen Generation im Einsatz

Immer mehr Unternehmen möchten ihren mobilen Mitarbeitern exakt den gleichen Zugriff auf die Geschäftsanwendungen ermöglichen, mit denen sie an ihrem Desktop-Rechner im Büro arbeiten. Bislang machte es noch einen großen Unterschied für die IT- bzw. Zugriffssicherheit, wenn mobile Mitarbeiter mit einem mobilen Rechner – oder mit einem eigenen Gerät – von unterwegs oder vom Home Office aus arbeiten.

Dreh- und Angelpunkt dabei ist der Sicherheitsstatus solcher Endgeräte, der mit herkömmlichen Firewalls oder IPS-Systemen nicht umfassend kontrolliert werden kann. Firewalls der neuen Generation hingegen sind in der Lage, dem User den Zugriff auf bestimmte Bereiche des Unternehmensnetzwerkes von außen zu erlauben oder nicht. Zusätzlich bieten sie spezielle Funktionen, beispielsweise um den Patch-Level des Betriebssystems, eingesetzte Anti-Virus-Lösungen oder die Version des Web-Browsers zu prüfen.

Insbesondere in Branchen wie der Automobilindustrie, in der eine Vielzahl an externen Mitarbeitern oder Zulieferern Zugriff auf das Netzwerk haben (möchten), zeigt sich der Vorteil eines sicheren Remote Access, der Bestandteil einer zentralen und umfassenden IT-Sicherheitsrichtlinie ist und nicht extra – mit mehr Aufwand – gewährleistet werden muss.

Achim Kraus ist Sales Engineer bei Palo Alto Networks.

(ID:2051507)