06.01.2017 (Doc Storage)
3.5 von 5, (4 Bewertungen)

Was ist unter Next-Generation Firewalls zu verstehen?

Leserfrage: Im Zusammenhang mit Firewalls bzw. New Generation Firewalls heißt es: »Next-Generation Firewalls kombinieren die Funktionalitäten herkömmlicher Firewalls – darunter Paketfilterung, Network Adress Translation (NAT), URL-Blockierung und Virtual Private Networks (VPN) – mit modernen Funktionalitäten wie Quality of Service (QoS) und Optionen, die normalerweise nicht in Firewalls zu finden sind. Dazu gehören Intrusion Prevention, SSL und SSH Inspection, Deep-Packet-Inspection, Reputations-basierte Malware-Abwehr oder Applikations-Awareness.« Was hat dies letztendlich zu bedeuten?

Antwort Doc Storage:

Dies ist eine vielschichtige Frage, die ich in einzelnen Schritten beantworten möchte:

1. Quality of Service (QoS) – Hiermit ist gemeint, dass den Nutzern eines Netzes immer eine bestimmte Leistung zur Verfügung gestellt wird. In IP-Netzen geht es hier generell um den Durchsatz, also die in einer bestimmten Zeit übertragene Datenmenge, die Verlustrate, also die Menge an IP-Paketen, die während der Übertragung verloren gehen und die Übertragungszeit beim Versenden und Empfangen von Paketen. In einem QoS-System lassen sich all diese Werte nach Wunsch und Bedarf einstellen und werden dann durch eine interne Logik für alle teilnehmenden Systeme nach Möglichkeit aufrechterhalten. Dies geht in den meisten Fällen zu Lasten der nicht teilnehmenden Systeme, sollte in bestimmten Zeiträumen nicht die volle Leistung zur Verfügung stehen. In den Köpfen von IP-V4- und IP-V6-Paketen sind Hinweise auf die Art der übertragenen Daten zu finden, auf deren Basis die entsprechenden Qualitätseinstellungen bei der Übertragung automatisch vorgenommen werden können.

2. Intrusion Prevention – Diese Funktion überwacht den Datenverkehr in ein lokales Netz oder zu einzelnen lokal installierten Rechnern. Hauptsächlich werden die übertragenen Pakete hier auf eine Abweichung vom »normalen« Verkehr untersucht und Angriffe bzw. Missbrauchsversuche verhindert und gemeldet. Moderne Intrusion-Prevention-Methoden laufen direkt auf Firewalls bzw. verfügen über Module, die das Verhalten von Firewalls direkt beeinflussen können. Wird von diesen ein entsprechender Missbrauchsversuch erkannt, kann so der Datenstrom vollständig unterbrochen, nach Vorgaben verändert oder umgeleitet werden.

3. SSL und SSH Inspection – Diese Erweiterung in einer Firewall ermöglicht die Untersuchung auch verschlüsselter Verbindungen zwischen zwei Systemen, um auch dort mögliche Schad-Software oder Eindringversuche zu verhindern.

4. Deep Packet Inspection – Im Gegensatz zu »klassischen« IP-Filtern, die lediglich die Paketköpfe auf suspekte Absichten hin untersuchen, öffnet die Deep-Packet-Inspection auch den Datenteil eines Paketes und untersucht diesen ebenfalls. Hiermit ist ein wesentlich nachhaltigerer Schutz des Datenstromes in und aus einem Netzwerk möglich.

5. Reputations-basierte Malware-Abwehr – Diese Funktion nutzt bestimmte Algorithmen, um den Datenverkehr von Quellen außerhalb des lokalen Netzes als vertrauenswürdig einzuschätzen. Ist dies nicht der Fall, wird die Quelle blockiert, eine Datenübertragung von dort in das lokale Netz ist dann nicht mehr möglich.

6. Applikations-Awareness – Standard-Firewalls bieten kaum einen Einblick in die Kombination von Anwendungen, Betriebssystemen, installierter Hardware und Datenflüssen im und über das Netzwerk hinaus. Systeme mit Applikations-Awareness haben die Möglichkeit, all diese Kombinationen zu überwachen und spezifisch zuzulassen oder eben zu verbieten. Somit können beispielsweise nicht zugelassene Betriebssysteme und Anwendungen herausgefiltert und deaktiviert werden, sowohl im lokalen Netz als auch für Datenverkehr von außerhalb des Netzes.

Nach den Ereignissen des letzten Jahres sollten alle schützenswerten Netze, ob privat oder kommerziell, mit den oben beschriebenen Möglichkeiten aus- oder nachgerüstet werden. Alle namhaften Hersteller bieten inzwischen Betriebssystem-Versionen für ihre Firewalls an, die über entsprechende Funktionen verfügen. Privatpersonen, die nicht über eine Firewall verfügen, sollten sich mindestens mit einer entsprechenden Software auf jedem am Internet betriebenen Rechner ausstatten. Auch hierfür bieten die großen Anbieter nachgerüstete Versionen an.

Gruß
Doc Storage


Stellen Sie Ihre Frage
Doc. tec. Storage beantwortet alle Ihre technischen Fragen zu Storage, Backup & Co.

Stellen Sie Ihre Frage an: DocStorage@speicherguide.de
Kommentare (1)
06.01.2017 - jan

Ich möchte hier noch ein wenig den Blick auf die verwendeten Techniken bezüglich der Anwender schärfen.
- "SSL und SSH Inspection"
Der Begriff bedeutet i.d.R., dass der FW-Proxy einen "Man in the Middle Angriff" auf die Verbindungen der Anwender nach draußen fährt. Das hat neben den im BDSG und TMG beschrieben Einschränkungen/Folgen - auch die Folge, dass man einen Punkt im Haus hat, an dem der gesamte Traffic nach draußen unverschlüsselt abgreifbar ist. Dazu kommt, dass die Hersteller dieser Produkte (auch) in (der jüngsten) Vergangenheit keine wasserdichten Lösungen ablieferten. Zudem muss man auf den Clients "Zertifikat pinning" abschalten, damit die Anwender "durchschaubar" werden.
Meine Verlockung das einzuführen ist sehr überschaubar.
- "Reputations-basierte Malware-Abwehr" = untaugliches Windows "security model" auch für das Außennetz - weil die Windows EndPointProtection massenweise versagt. Die "dynamisierte" Whitelist soll es richten. Auch ein Angriffspunkt (nebenbei bemerkt). Ich würde mir den Supportaufwand dafür sehr genau anschauen wollen...
- "Applikations-Awareness"
Aufgrund von kaputten (by design) (hauptsächlich) Microsoft Protokollstacks, die statische Firewalls als Schrottschußopfer hinterlassen - ist das (verbunden mit "Deep Package Inspection" der einzige Grund diesbezüglich Aktivitäten zu ergreifen. Besser wäre es man würde die betreffenden Applikationen erst gar nicht nutzen (müssen)... Bzw. anderswo physikalisch einsperren und auditieren.
- Zu dem Satz "Privatpersonen, die nicht über eine Firewall verfügen, sollten sich mindestens mit einer entsprechenden Software auf jedem am Internet betriebenen Rechner ausstatten." sage ich nur.
Besser einen fragen, der sich mit so was auskennt...
Ansonsten läuft "Placebo forte" auf jedem Rechner und wird konsequent weggedrückt.
Wenn ich mir die Protokolle meiner mehrstufigen Firewall zuhause anschaue - dann schwindet mein Glaube an die gute Wirkung einer Windowsfirewallanwendung...


Mehr von Doc. tec. Storage 17.05.2019 NAS-Caching oder Tiering für VMs multiple Zugriffe?

In einer Lehrumgebung werden virtuellen Maschinen auf einem NAS mit 10GbE-Anbindung gespeichert. Nachdem eine Erweiterung mit NVMe-Flash ansteht, stellt sich die Frage, ob eine Caching- oder eine Tiering-Konfiguration die sinnvollere Wahl ist?


10.05.2019 Wird Flash nun auch zum Backup-Medium?

Flash wird zunehmend auch für Backup interessant. Der Geschwindigkeitsvorteil soll die Dauer der Sicherung wie auch der Wiederherstellung reduzieren. Macht dies in der Praxis bereits Sinn – auch aus Kostensicht?


03.05.2019 Unterschied zwischen Active/Active und Active/Passive

Beim Thema Hochverfügbarkeit unterscheidet man zwischen Konfigurationen, die Active/Active bzw. Active/Passive agieren. Was ist genau der Unterschied und für welche Szenarien empfehlen sich die beiden Möglichkeiten? Welche Cluster-Architektur bietet hinsichtlich Skalierbarkeit mehr Spielraum für zukünftigen Lastzunahmen?


26.04.2019 Dateisysteme für den PByte-Bereich

Datenberge jenseits des PByte-Bereichs, Cloud-Anbindungen und Analytics-Szenarien stellen Dateiysteme vor neue Herausforderungen. Der Markt bietet einige Optionen wie GPFS, Gluster FS, OneFS oder QF2. Worauf gilt es zu achten? Update zu CephFS und ZFS.


05.04.2019 Neuordnung des Storage-Tiering

Nachdem sich Flash und SSDs mittlerweile auch in mehrere Leistungsklassen unterteilen, steht die Technik nicht mehr nur für Tier 0. 15k-HDDs scheinen vor dem Aus zu stehen. Gilt dies auch für alle SAS-Platten? Wie sieht die Neuordnung des Storage-Tiering aktuell aus?


15.03.2019 30 Jahre World Wide Web: Was gibt es zu feiern?

Das World Wide Web feiert seinen 30. Geburtstag. Ohne dem Internet ist unser heutiges Leben nicht mehr vorstellbar. Für Doc Storage hat das Netz aber auch genug Schattenseiten. An Regulierungen bzw. an das vom Erfinder erhoffte bessere Internet, glaubt er nicht.

powered by
Boston Server & Storage Solutions Datacore Software
Itiso GmbH Seagate Technology
N-TEC GmbH FAST LTA AG
Fujitsu Technology Solutions GmbH Pure Storage