Thought Leadership
Es heißt, Next-Generation Firewalls kombinieren die Funktionalitäten herkömmlicher Firewalls. Gefolgt von einer nahezu unverständlichen Litanei an Features. Was hat dies letztendlich zu bedeuten?
Leserfrage: Im Zusammenhang mit Firewalls bzw. New Generation Firewalls heißt es: »Next-Generation Firewalls kombinieren die Funktionalitäten herkömmlicher Firewalls – darunter Paketfilterung, Network Adress Translation (NAT), URL-Blockierung und Virtual Private Networks (VPN) – mit modernen Funktionalitäten wie Quality of Service (QoS) und Optionen, die normalerweise nicht in Firewalls zu finden sind. Dazu gehören Intrusion Prevention, SSL und SSH Inspection, Deep-Packet-Inspection, Reputations-basierte Malware-Abwehr oder Applikations-Awareness.« Was hat dies letztendlich zu bedeuten?
Antwort Doc Storage:
Dies ist eine vielschichtige Frage, die ich in einzelnen Schritten beantworten möchte:
1. Quality of Service (QoS) – Hiermit ist gemeint, dass den Nutzern eines Netzes immer eine bestimmte Leistung zur Verfügung gestellt wird. In IP-Netzen geht es hier generell um den Durchsatz, also die in einer bestimmten Zeit übertragene Datenmenge, die Verlustrate, also die Menge an IP-Paketen, die während der Übertragung verloren gehen und die Übertragungszeit beim Versenden und Empfangen von Paketen. In einem QoS-System lassen sich all diese Werte nach Wunsch und Bedarf einstellen und werden dann durch eine interne Logik für alle teilnehmenden Systeme nach Möglichkeit aufrechterhalten. Dies geht in den meisten Fällen zu Lasten der nicht teilnehmenden Systeme, sollte in bestimmten Zeiträumen nicht die volle Leistung zur Verfügung stehen. In den Köpfen von IP-V4- und IP-V6-Paketen sind Hinweise auf die Art der übertragenen Daten zu finden, auf deren Basis die entsprechenden Qualitätseinstellungen bei der Übertragung automatisch vorgenommen werden können.
2. Intrusion Prevention – Diese Funktion überwacht den Datenverkehr in ein lokales Netz oder zu einzelnen lokal installierten Rechnern. Hauptsächlich werden die übertragenen Pakete hier auf eine Abweichung vom »normalen« Verkehr untersucht und Angriffe bzw. Missbrauchsversuche verhindert und gemeldet. Moderne Intrusion-Prevention-Methoden laufen direkt auf Firewalls bzw. verfügen über Module, die das Verhalten von Firewalls direkt beeinflussen können. Wird von diesen ein entsprechender Missbrauchsversuch erkannt, kann so der Datenstrom vollständig unterbrochen, nach Vorgaben verändert oder umgeleitet werden.
3. SSL und SSH Inspection – Diese Erweiterung in einer Firewall ermöglicht die Untersuchung auch verschlüsselter Verbindungen zwischen zwei Systemen, um auch dort mögliche Schad-Software oder Eindringversuche zu verhindern.
4. Deep Packet Inspection – Im Gegensatz zu »klassischen« IP-Filtern, die lediglich die Paketköpfe auf suspekte Absichten hin untersuchen, öffnet die Deep-Packet-Inspection auch den Datenteil eines Paketes und untersucht diesen ebenfalls. Hiermit ist ein wesentlich nachhaltigerer Schutz des Datenstromes in und aus einem Netzwerk möglich.
5. Reputations-basierte Malware-Abwehr – Diese Funktion nutzt bestimmte Algorithmen, um den Datenverkehr von Quellen außerhalb des lokalen Netzes als vertrauenswürdig einzuschätzen. Ist dies nicht der Fall, wird die Quelle blockiert, eine Datenübertragung von dort in das lokale Netz ist dann nicht mehr möglich.
6. Applikations-Awareness – Standard-Firewalls bieten kaum einen Einblick in die Kombination von Anwendungen, Betriebssystemen, installierter Hardware und Datenflüssen im und über das Netzwerk hinaus. Systeme mit Applikations-Awareness haben die Möglichkeit, all diese Kombinationen zu überwachen und spezifisch zuzulassen oder eben zu verbieten. Somit können beispielsweise nicht zugelassene Betriebssysteme und Anwendungen herausgefiltert und deaktiviert werden, sowohl im lokalen Netz als auch für Datenverkehr von außerhalb des Netzes.
Nach den Ereignissen des letzten Jahres sollten alle schützenswerten Netze, ob privat oder kommerziell, mit den oben beschriebenen Möglichkeiten aus- oder nachgerüstet werden. Alle namhaften Hersteller bieten inzwischen Betriebssystem-Versionen für ihre Firewalls an, die über entsprechende Funktionen verfügen. Privatpersonen, die nicht über eine Firewall verfügen, sollten sich mindestens mit einer entsprechenden Software auf jedem am Internet betriebenen Rechner ausstatten. Auch hierfür bieten die großen Anbieter nachgerüstete Versionen an.
Gruß
Doc Storage
- Firewall bricht Backup ab – was tun? – Doc Storage
- Was bedeutet Application-Awareness? – Doc Storage
- Absicherung multipler Hypervisoren in einer Umgebung – Doc Storage
- Podcast: IT-Sicherheitsgesetz mit Dr. Jens Bücking
