06.01.2017 (Doc Storage)
3.5 von 5, (4 Bewertungen)

Was ist unter Next-Generation Firewalls zu verstehen?

Leserfrage: Im Zusammenhang mit Firewalls bzw. New Generation Firewalls heißt es: »Next-Generation Firewalls kombinieren die Funktionalitäten herkömmlicher Firewalls – darunter Paketfilterung, Network Adress Translation (NAT), URL-Blockierung und Virtual Private Networks (VPN) – mit modernen Funktionalitäten wie Quality of Service (QoS) und Optionen, die normalerweise nicht in Firewalls zu finden sind. Dazu gehören Intrusion Prevention, SSL und SSH Inspection, Deep-Packet-Inspection, Reputations-basierte Malware-Abwehr oder Applikations-Awareness.« Was hat dies letztendlich zu bedeuten?

Antwort Doc Storage:

Dies ist eine vielschichtige Frage, die ich in einzelnen Schritten beantworten möchte:

1. Quality of Service (QoS) – Hiermit ist gemeint, dass den Nutzern eines Netzes immer eine bestimmte Leistung zur Verfügung gestellt wird. In IP-Netzen geht es hier generell um den Durchsatz, also die in einer bestimmten Zeit übertragene Datenmenge, die Verlustrate, also die Menge an IP-Paketen, die während der Übertragung verloren gehen und die Übertragungszeit beim Versenden und Empfangen von Paketen. In einem QoS-System lassen sich all diese Werte nach Wunsch und Bedarf einstellen und werden dann durch eine interne Logik für alle teilnehmenden Systeme nach Möglichkeit aufrechterhalten. Dies geht in den meisten Fällen zu Lasten der nicht teilnehmenden Systeme, sollte in bestimmten Zeiträumen nicht die volle Leistung zur Verfügung stehen. In den Köpfen von IP-V4- und IP-V6-Paketen sind Hinweise auf die Art der übertragenen Daten zu finden, auf deren Basis die entsprechenden Qualitätseinstellungen bei der Übertragung automatisch vorgenommen werden können.

2. Intrusion Prevention – Diese Funktion überwacht den Datenverkehr in ein lokales Netz oder zu einzelnen lokal installierten Rechnern. Hauptsächlich werden die übertragenen Pakete hier auf eine Abweichung vom »normalen« Verkehr untersucht und Angriffe bzw. Missbrauchsversuche verhindert und gemeldet. Moderne Intrusion-Prevention-Methoden laufen direkt auf Firewalls bzw. verfügen über Module, die das Verhalten von Firewalls direkt beeinflussen können. Wird von diesen ein entsprechender Missbrauchsversuch erkannt, kann so der Datenstrom vollständig unterbrochen, nach Vorgaben verändert oder umgeleitet werden.

3. SSL und SSH Inspection – Diese Erweiterung in einer Firewall ermöglicht die Untersuchung auch verschlüsselter Verbindungen zwischen zwei Systemen, um auch dort mögliche Schad-Software oder Eindringversuche zu verhindern.

4. Deep Packet Inspection – Im Gegensatz zu »klassischen« IP-Filtern, die lediglich die Paketköpfe auf suspekte Absichten hin untersuchen, öffnet die Deep-Packet-Inspection auch den Datenteil eines Paketes und untersucht diesen ebenfalls. Hiermit ist ein wesentlich nachhaltigerer Schutz des Datenstromes in und aus einem Netzwerk möglich.

5. Reputations-basierte Malware-Abwehr – Diese Funktion nutzt bestimmte Algorithmen, um den Datenverkehr von Quellen außerhalb des lokalen Netzes als vertrauenswürdig einzuschätzen. Ist dies nicht der Fall, wird die Quelle blockiert, eine Datenübertragung von dort in das lokale Netz ist dann nicht mehr möglich.

6. Applikations-Awareness – Standard-Firewalls bieten kaum einen Einblick in die Kombination von Anwendungen, Betriebssystemen, installierter Hardware und Datenflüssen im und über das Netzwerk hinaus. Systeme mit Applikations-Awareness haben die Möglichkeit, all diese Kombinationen zu überwachen und spezifisch zuzulassen oder eben zu verbieten. Somit können beispielsweise nicht zugelassene Betriebssysteme und Anwendungen herausgefiltert und deaktiviert werden, sowohl im lokalen Netz als auch für Datenverkehr von außerhalb des Netzes.

Nach den Ereignissen des letzten Jahres sollten alle schützenswerten Netze, ob privat oder kommerziell, mit den oben beschriebenen Möglichkeiten aus- oder nachgerüstet werden. Alle namhaften Hersteller bieten inzwischen Betriebssystem-Versionen für ihre Firewalls an, die über entsprechende Funktionen verfügen. Privatpersonen, die nicht über eine Firewall verfügen, sollten sich mindestens mit einer entsprechenden Software auf jedem am Internet betriebenen Rechner ausstatten. Auch hierfür bieten die großen Anbieter nachgerüstete Versionen an.

Gruß
Doc Storage


Stellen Sie Ihre Frage
Doc. tec. Storage beantwortet alle Ihre technischen Fragen zu Storage, Backup & Co.

Stellen Sie Ihre Frage an: DocStorage@speicherguide.de
Kommentare (1)
06.01.2017 - jan

Ich möchte hier noch ein wenig den Blick auf die verwendeten Techniken bezüglich der Anwender schärfen.
- "SSL und SSH Inspection"
Der Begriff bedeutet i.d.R., dass der FW-Proxy einen "Man in the Middle Angriff" auf die Verbindungen der Anwender nach draußen fährt. Das hat neben den im BDSG und TMG beschrieben Einschränkungen/Folgen - auch die Folge, dass man einen Punkt im Haus hat, an dem der gesamte Traffic nach draußen unverschlüsselt abgreifbar ist. Dazu kommt, dass die Hersteller dieser Produkte (auch) in (der jüngsten) Vergangenheit keine wasserdichten Lösungen ablieferten. Zudem muss man auf den Clients "Zertifikat pinning" abschalten, damit die Anwender "durchschaubar" werden.
Meine Verlockung das einzuführen ist sehr überschaubar.
- "Reputations-basierte Malware-Abwehr" = untaugliches Windows "security model" auch für das Außennetz - weil die Windows EndPointProtection massenweise versagt. Die "dynamisierte" Whitelist soll es richten. Auch ein Angriffspunkt (nebenbei bemerkt). Ich würde mir den Supportaufwand dafür sehr genau anschauen wollen...
- "Applikations-Awareness"
Aufgrund von kaputten (by design) (hauptsächlich) Microsoft Protokollstacks, die statische Firewalls als Schrottschußopfer hinterlassen - ist das (verbunden mit "Deep Package Inspection" der einzige Grund diesbezüglich Aktivitäten zu ergreifen. Besser wäre es man würde die betreffenden Applikationen erst gar nicht nutzen (müssen)... Bzw. anderswo physikalisch einsperren und auditieren.
- Zu dem Satz "Privatpersonen, die nicht über eine Firewall verfügen, sollten sich mindestens mit einer entsprechenden Software auf jedem am Internet betriebenen Rechner ausstatten." sage ich nur.
Besser einen fragen, der sich mit so was auskennt...
Ansonsten läuft "Placebo forte" auf jedem Rechner und wird konsequent weggedrückt.
Wenn ich mir die Protokolle meiner mehrstufigen Firewall zuhause anschaue - dann schwindet mein Glaube an die gute Wirkung einer Windowsfirewallanwendung...


Mehr von Doc. tec. Storage 15.03.2019 30 Jahre World Wide Web: Was gibt es zu feiern?

Das World Wide Web feiert seinen 30. Geburtstag. Ohne dem Internet ist unser heutiges Leben nicht mehr vorstellbar. Für Doc Storage hat das Netz aber auch genug Schattenseiten. An Regulierungen bzw. an das vom Erfinder erhoffte bessere Internet, glaubt er nicht.


08.03.2019 Datenanordnung im RAID 10 mit 8 Platten

In einem Server wird ein RAID 10 mit acht Festplatten unter Windows 2008 R2 betrieben. Nun ist ein Laufwerk ausgefallen. Da sich nur wenige Daten auf den HDDs befinden, besteht die Möglichkeit, dass die defekte Platte eventuell gar keine Daten enthält?


22.02.2019 Welcher RAID-Level für welche Anwendung?

Gibt es eigentliche eine Faustregel, welches RAID-Level für welche Anwendung am besten geeignet ist? Ich denke da zum Beispiel an Datenbanken mit sehr vielen Zugriffen bei relativ kleinen Datenmengen oder an Webserver und als Extrem auf der anderen Seite Bild-Datenbanken, Audio-Server beim Rundfunk, Video-Archive mit sehr hohen Datenvolumen.


15.02.2019 Was sagt DWPD über SSDs aus?

Im Zusammenhang mit (Enterprise-)SSDs wird oft die Qualitätsgröße DWPD (Drive Writes Per Day) genutzt. Meist wird die Angabe auch für einen Zeitraum von fünf Jahren spezifiziert. Was sagt DWPD genau aus und mit welcher Standard-Lebensdauer darf man rechnen?


08.02.2019 Unterschiede der Performance-States von SSDs

Gängige Meinung: SSDs sind schnell. In der Praxis gibt es aber dann doch einige Unterschiede, so sind vielen die verschiedenen Performance-States von SSDs und Flash-Speichern nicht bekannt: FOB, steady, burst and transition. Was steckt genau dahinter?


01.02.2019 BSI empfiehlt 200-km-Distanz – 200 km ERNSTHAFT!?

Kurz vor Weihnachten veröffentlichte das BSI neue Kriterien für georedundante RZs. Darin wird der bisher empfohlene Mindestabstand von fünf auf 200 Kilometer hochgesetzt. Aus Praxissicht laut Doc Storage »vollkommener Blödsinn«.

powered by
Boston Server & Storage Solutions Datacore Software
Fujitsu Technology Solutions GmbH Seagate Technology
N-TEC GmbH FAST LTA AG