06.01.2017 (Doc Storage)
3.5 von 5, (4 Bewertungen)

Was ist unter Next-Generation Firewalls zu verstehen?

Leserfrage: Im Zusammenhang mit Firewalls bzw. New Generation Firewalls heißt es: »Next-Generation Firewalls kombinieren die Funktionalitäten herkömmlicher Firewalls – darunter Paketfilterung, Network Adress Translation (NAT), URL-Blockierung und Virtual Private Networks (VPN) – mit modernen Funktionalitäten wie Quality of Service (QoS) und Optionen, die normalerweise nicht in Firewalls zu finden sind. Dazu gehören Intrusion Prevention, SSL und SSH Inspection, Deep-Packet-Inspection, Reputations-basierte Malware-Abwehr oder Applikations-Awareness.« Was hat dies letztendlich zu bedeuten?

Antwort Doc Storage:

Dies ist eine vielschichtige Frage, die ich in einzelnen Schritten beantworten möchte:

1. Quality of Service (QoS) – Hiermit ist gemeint, dass den Nutzern eines Netzes immer eine bestimmte Leistung zur Verfügung gestellt wird. In IP-Netzen geht es hier generell um den Durchsatz, also die in einer bestimmten Zeit übertragene Datenmenge, die Verlustrate, also die Menge an IP-Paketen, die während der Übertragung verloren gehen und die Übertragungszeit beim Versenden und Empfangen von Paketen. In einem QoS-System lassen sich all diese Werte nach Wunsch und Bedarf einstellen und werden dann durch eine interne Logik für alle teilnehmenden Systeme nach Möglichkeit aufrechterhalten. Dies geht in den meisten Fällen zu Lasten der nicht teilnehmenden Systeme, sollte in bestimmten Zeiträumen nicht die volle Leistung zur Verfügung stehen. In den Köpfen von IP-V4- und IP-V6-Paketen sind Hinweise auf die Art der übertragenen Daten zu finden, auf deren Basis die entsprechenden Qualitätseinstellungen bei der Übertragung automatisch vorgenommen werden können.

2. Intrusion Prevention – Diese Funktion überwacht den Datenverkehr in ein lokales Netz oder zu einzelnen lokal installierten Rechnern. Hauptsächlich werden die übertragenen Pakete hier auf eine Abweichung vom »normalen« Verkehr untersucht und Angriffe bzw. Missbrauchsversuche verhindert und gemeldet. Moderne Intrusion-Prevention-Methoden laufen direkt auf Firewalls bzw. verfügen über Module, die das Verhalten von Firewalls direkt beeinflussen können. Wird von diesen ein entsprechender Missbrauchsversuch erkannt, kann so der Datenstrom vollständig unterbrochen, nach Vorgaben verändert oder umgeleitet werden.

3. SSL und SSH Inspection – Diese Erweiterung in einer Firewall ermöglicht die Untersuchung auch verschlüsselter Verbindungen zwischen zwei Systemen, um auch dort mögliche Schad-Software oder Eindringversuche zu verhindern.

4. Deep Packet Inspection – Im Gegensatz zu »klassischen« IP-Filtern, die lediglich die Paketköpfe auf suspekte Absichten hin untersuchen, öffnet die Deep-Packet-Inspection auch den Datenteil eines Paketes und untersucht diesen ebenfalls. Hiermit ist ein wesentlich nachhaltigerer Schutz des Datenstromes in und aus einem Netzwerk möglich.

5. Reputations-basierte Malware-Abwehr – Diese Funktion nutzt bestimmte Algorithmen, um den Datenverkehr von Quellen außerhalb des lokalen Netzes als vertrauenswürdig einzuschätzen. Ist dies nicht der Fall, wird die Quelle blockiert, eine Datenübertragung von dort in das lokale Netz ist dann nicht mehr möglich.

6. Applikations-Awareness – Standard-Firewalls bieten kaum einen Einblick in die Kombination von Anwendungen, Betriebssystemen, installierter Hardware und Datenflüssen im und über das Netzwerk hinaus. Systeme mit Applikations-Awareness haben die Möglichkeit, all diese Kombinationen zu überwachen und spezifisch zuzulassen oder eben zu verbieten. Somit können beispielsweise nicht zugelassene Betriebssysteme und Anwendungen herausgefiltert und deaktiviert werden, sowohl im lokalen Netz als auch für Datenverkehr von außerhalb des Netzes.

Nach den Ereignissen des letzten Jahres sollten alle schützenswerten Netze, ob privat oder kommerziell, mit den oben beschriebenen Möglichkeiten aus- oder nachgerüstet werden. Alle namhaften Hersteller bieten inzwischen Betriebssystem-Versionen für ihre Firewalls an, die über entsprechende Funktionen verfügen. Privatpersonen, die nicht über eine Firewall verfügen, sollten sich mindestens mit einer entsprechenden Software auf jedem am Internet betriebenen Rechner ausstatten. Auch hierfür bieten die großen Anbieter nachgerüstete Versionen an.

Gruß
Doc Storage


Stellen Sie Ihre Frage
Doc. tec. Storage beantwortet alle Ihre technischen Fragen zu Storage, Backup & Co.

Stellen Sie Ihre Frage an: DocStorage@speicherguide.de
Kommentare (1)
06.01.2017 - jan

Ich möchte hier noch ein wenig den Blick auf die verwendeten Techniken bezüglich der Anwender schärfen.
- "SSL und SSH Inspection"
Der Begriff bedeutet i.d.R., dass der FW-Proxy einen "Man in the Middle Angriff" auf die Verbindungen der Anwender nach draußen fährt. Das hat neben den im BDSG und TMG beschrieben Einschränkungen/Folgen - auch die Folge, dass man einen Punkt im Haus hat, an dem der gesamte Traffic nach draußen unverschlüsselt abgreifbar ist. Dazu kommt, dass die Hersteller dieser Produkte (auch) in (der jüngsten) Vergangenheit keine wasserdichten Lösungen ablieferten. Zudem muss man auf den Clients "Zertifikat pinning" abschalten, damit die Anwender "durchschaubar" werden.
Meine Verlockung das einzuführen ist sehr überschaubar.
- "Reputations-basierte Malware-Abwehr" = untaugliches Windows "security model" auch für das Außennetz - weil die Windows EndPointProtection massenweise versagt. Die "dynamisierte" Whitelist soll es richten. Auch ein Angriffspunkt (nebenbei bemerkt). Ich würde mir den Supportaufwand dafür sehr genau anschauen wollen...
- "Applikations-Awareness"
Aufgrund von kaputten (by design) (hauptsächlich) Microsoft Protokollstacks, die statische Firewalls als Schrottschußopfer hinterlassen - ist das (verbunden mit "Deep Package Inspection" der einzige Grund diesbezüglich Aktivitäten zu ergreifen. Besser wäre es man würde die betreffenden Applikationen erst gar nicht nutzen (müssen)... Bzw. anderswo physikalisch einsperren und auditieren.
- Zu dem Satz "Privatpersonen, die nicht über eine Firewall verfügen, sollten sich mindestens mit einer entsprechenden Software auf jedem am Internet betriebenen Rechner ausstatten." sage ich nur.
Besser einen fragen, der sich mit so was auskennt...
Ansonsten läuft "Placebo forte" auf jedem Rechner und wird konsequent weggedrückt.
Wenn ich mir die Protokolle meiner mehrstufigen Firewall zuhause anschaue - dann schwindet mein Glaube an die gute Wirkung einer Windowsfirewallanwendung...


Mehr von Doc. tec. Storage 16.10.2020 Welchen Stellenwert haben DMTF Redfish und SNIA Swordfish?

Die neuen Versionen von DMTF Redfish und SNIA Swordfish enthalten nun NVMe- und NVMe-oF-Spezifikations-Verbesserungen. Da stellt sich die Frage nach dem Stellenwert der beiden Spezifikationen. Doc Storage sieht hier aber großes Potenzial.


09.10.2020 Was ist ein Ingress- und Egress-Datenverkehr?

Der Datenverkehr unterliegt in Netzwerken und der Cloud einem definierten Regelwerk. Dabei fallen mitunter auch die Begriffe Ingress und Egress. Doc Storage erklärt die Bedeutung.


28.08.2020 Kommt mit QLC-Flash das Ende hybrider Speichersysteme?

Die ersten Arrays mit QLC-Flash-Technologie kommen auf den Markt. Einige Hersteller prophezeien durchaus vollmundig das Ende von hybriden Speichersystemen, also solchen mit Flash und Festplatten. Ist dieses Ende tatsächlich absehbar oder wie sieht die Zukunft in diesem Bereich aus?


21.08.2020 Mehr in die Zukunft agieren, weniger jammern

Jammern ist gerade irgendwie in Mode. Der Virus, der Markt, die Geschäfte – natürlich ist es aktuell schwierig. Für die Kunden gestaltet sich vieles aber positiv, braucht es doch weniger Manpower, um Produkte und Lösungen in Betrieb zu nehmen. Das macht sich im Geldbeutel bemerkbar. IT-Anbieter müssen künftig nicht nur in Studien in die Zukunft schauen, sondern sich generell schneller anpassen und auf neue Gegebenheiten reagieren.


07.08.2020 Marktstudien: Ergebnisse meist zu offensichtlich

Marktstudien belegen in der Regel bekannte Trends, mehr nicht. Wirkliche Erkenntnisse oder Neues fördern sie, laut Doc Storage, nicht zu Tage. Dies belegt er anhand zweier aktueller Beispiele: Die Analysekriterien sind schwammig, die Argumente eher fadenscheinig und die Resultate offensichtlich. Zudem sei fragwürdig, in wie weit Sponsoren die Ergebnisse beeinflussen.


31.07.2020 Business-Continuity: Zu viele Firmen unvorbereitet auf K-Fall

Jüngste Studien sprechen von einem steigenden Bewusstsein in Sachen Business-Continuity. Doc Storage kann den Zahlen allerdings wenig positives abgewinnen, denn noch nicht mal zwei Drittel aller Unternehmen besitzen einen Business-Continuity-Plan und fast die Hälfte verfügt über keine fest definierte Rückkehrmaßnahmen. Aus seiner Sicht ist es erschreckend, wie viele Firmen und IT-Abteilungen nicht auf einen Katastrophenfall vorbereitet sind.

powered by
N-TEC GmbH FAST LTA
Cloudian Tech Data IBM Storage Hub
Folgen Sie speicherguide.de auch auf unseren Social-Media-Kanälen
Folgen Sie und auf Facebook Folgen Sie und auf YouTube Folgen Sie und auf Twitter