Nach dem McAfee der Übernahme zugestimmt hat, ergeben sich schon wieder Änderungen für die ehemaligen Kunden von Securecomputing. Ende 2008 hatte McAfee seinerseits Securecomputing übernommen und versucht die Produkte und den Service zu integrieren. Jetzt wurde McAfee von Intel übernommen.

Zugegeben, die Information ist nicht ganz neu, aber wir als Partner haben erst die offiziellen Informationen von McAfee abgewartet um auch mit Fakten aufwarten zu können. Nach den ersten Informationen soll McAfee als eigenständiges Unternehmen erhalten bleiben und sich nichts ändern. Auch gelten nach wie vor alle Support- und Wartungsverträge von McAfee. Änderungen im Produktportfolio sind zurzeit keine bekannt.

Trotzdem bedeutet dieser Kauf wieder Änderungen für die ehemaligen Kunden von Securecomputing und nicht zuletzt für uns als Partner. Vom blauen Secure- zum roten McAfee- und nun zum blauen Intel-Logo und dies in gerade mal 18 Monaten. Aber Blau macht ja bekanntlich glücklich, wenn man der Werbung eines Automobilherstellers Glauben schenken möchte.

Wohin der Weg führen wird, muss sich zeigen. Es wird zwar weder kurz- noch mittelfristig direkte Auswirkungen auf die McAfee-, respektive Secure Produkte haben, aber spurlos wird es auf lange Sicht bestimmt nicht bleiben. Änderungen bedeuten ja nicht zwangsläufig negative Auswirkungen auf die Produkte. Daher bleibt nur abzuwarten, wie sich diese entwickeln werden.

Informationen über alle Änderungen der Produkte werden hier im Blog bekanntgegeben. Bei Fragen stehen wir wie gewohnt zur Verfügung.

Von Michael Schmidt in der Kategorie: Allgemein
am 27. August 2010 | Keine Kommentare »

Das Social Network Facebook wird ab dem 15. September den IE 6 nicht mehr unterstützen. Damit steht aber Facebook bei den Web 2.0 Angeboten nicht alleine. Das Video-Portal Youtube hat die Unterstützung des IE 6 schon im März eingestellt.

Der IE 6 wurde 2001 in Dienst gestellt und ist den meisten Web-Designern oder Programmieren schon lange ein Dorn im Auge, da er die modernen Techniken im Web nicht unterstützt. Dazu kommt noch die Tatsache, dass der IE 6 zu einem immer größeren Sicherheitsrisiko wird, als er ohnehin schon ist. Microsoft selbst versucht schon länger den betagten Browser los zu werden. Aber nur mit mäßigem Erfolg.

Trotz all den Maßnahmen ist der IE 6 immer noch weit verbreitet. Vor allem bei Behörden und sogar in vielen Unternehmen ist der alte Browser immer noch im Einsatz. Die britische Regierung will zum Beispiel beim IE 6 bleiben, weil zum einen der Umstieg auf einen aktuellen IE bzw. einen alternativen Browser mit einem sehr hohen Aufwand und Kosten verbunden ist. Lieber setzt sie auf Firewalls und Malware-Scanner.

Unabhängig von den Unzulänglichkeiten beim Web-Design ist es ein Risiko mit dem IE 6 im Internet unterwegs zu sein. Angefangen von den nicht vorhandenen Techniken zur Erkennung von Phishing-Webseiten bis hin zum fehlen des Protected-Mode. Der IE 6 ist technologisch völlig veraltet und ein Upgrade dringend erforderlich. Aber ein Wechsel ist in vielen Fällen nicht so einfach, wenn es auch unumgänglich ist.

Das Problem ist leider hausgemacht und liegt an der damaligen Entwicklung von Web-Applikationen die auf die proprietären Funktion des IE 6 abgestimmt wurden. Die Verwendung von Funktionen die nicht den Standards entsprochen haben rächt sich jetzt und sorgt nun dafür, dass der IE 6 immer noch so weit verbreitet ist. Trotzdem sind die Tage des IE 6 gezählt. Je mehr Windows 7 Systeme ihren Weg zu Benutzer finden, desto weniger XP mit IE 6 wird es geben. Dies ist zwar nur ein schwacher Trost, aber immerhin.

Trotzdem bleibt zu hoffen, dass der IE 6 endlich durch einen aktuellen Browser ersetzt wird. Auch wenn es zunächst Aufwand und auch Kosten verursacht. Ein Befall durch Schadcode wird aber in den meisten Fällen deutlich teurer werden. Es wird höchste Zeit für den Wechsel!

Von Michael Schmidt in der Kategorie: Allgemein
am 26. August 2010 | Keine Kommentare »

eMail gehört zu den am häufigsten genutzten Diensten in der Unternehmenskommunikation. Daher sind Faktoren wie Verfügbarkeit und Sicherheit sehr wichtig. Besonders bei dem stetig steigenden Aufkommen an Spam-, Phishing- und Malware-eMails. Kein Unternehmen kommt ohne entsprechend Schutzsysteme mehr aus. Diese sorgen dafür, dass die Anwender nicht den ganzen “Müll” in ihrem Posteingang haben. Als Ende der 80′er Jahre der Siegeszug der elektronisch Post begann, hat sich bis jetzt nicht viel an den Übertragungsmechanismen von eMail im Internet geändert. Diese Tatsache ist das grundlegende Problem an dem massiven Missbrauch des Dienstes und der Entwicklung der eMail-Security Lösungen.

Die ersten Lösungen zum Aussortieren der unerwünschten Mails hatten lokale Datenbanken mit Mustern zur Erkennung von Inhalten. Oft wurden diese Systeme mit einem Virenscanner kombiniert. Diese Systeme haben erst einmal alle Mails angenommen um diese dann zu sortieren. Mit zunehmenden Aufkommen an unerwünschten Mails nahm auch die Belastung auf den Anbindungen und der Ressourcen bei den Filtersystemen immer mehr zu. Diese Art der Filterung war nicht mehr praktikabel, da die Systeme unter der Last des Spams geradezu erstickten.

Die Systeme der neueren Generation versuchten dann über Greylisting und Absenderprüfung schon einen Teil der Mails vor der eigentlichen Annahme abzuweisen. Das führte zwar zu etwas Entlastung der aber immer noch auf lokaler Ebene arbeitenden Mustererkennung. Eine dauerhafte Lösung stellte dies jedoch nicht dar und eine andere Lösung müsste gefunden werden.

Die aktuelle Generation von eMail-Security Lösung nutzt zwei grundlegende Techniken. Eine Technik sorgt über Reputation der Gegenstelle und Absender- und Empfänger-Prüfung dafür, dass unerwünschte Mails gar nicht erst angenommen werden. Die zweite Technik nutzt sowohl lokale Musterdatenbanken und auch Online-Dienste um die angenommen Mails zu sortieren. Diese Systeme sind sehr erfolgreich in der Spambekämpfung. Aber erst die Echtzeit Online-Ressourcen haben ihnen dazu verholfen. Dies wirft jedoch die Frage auf, wo der Weg hin führt, wenn es ohne die Online Ressourcen der “Cloud” nicht mehr geht.

Aber das ist nicht die einzige Frage die beantwortet werden muss. Auch sind die Fragen nach der Verfügbarkeit und dem administrativen Aufwand ein sehr wichtiger Punkt. Alleine die Verfügbarkeit des Dienstes stellt viele IT Abteilungen vor ein großes Problem. Im einfachsten Fall bedeutet eine einfache Ausfallsicherheit ein verteilter Cluster auf zwei Rechenzentren. Aber dann ist immer noch nicht die Frage geklärt, was passiert wenn die Internet-Anbindung für eine längere Zeit ausfällt. Der administrative Aufwand steigt ebenfalls mit der Komplexität einer solchen Lösung.

Die Antwort wohin der Weg führt und den schon jetzt immer mehr Unternehmen beschreiten, ist die Auslagerung der eMail-Security Lösung zu einem SaaS-Anbieter. Realistisch betrachtet sind schon jetzt die Echtzeitabfragen der lokalen Systeme bei den online Ressourcen nichts anderes. Hier werden gegen die in der Cloud vorhanden Dienste der Hersteller alle eingehenden Mails geprüft. Wenn dies aber sowieso schon der Fall ist, warum nicht in letzter Konsequenz gleich den ganzen Dienst auslagern? So kann man von den ganzen Vorteilen der Cloud profitieren und zugleich noch deutlich eigene Ressourcen sparen.

Zwar haben aktuell die internen Systeme noch ihren Stellenwert, was sich weder kurz noch mittelfristig ändern wird. Trotzdem wird es langfristig immer mehr die Tendenz zu SaaS-Lösungen in diesem Bereich geben. Schon heute sind SaaS-Lösungen im Bereich der Verfügbarkeit jedem lokalen System weit überlegen. Trotzdem muss jeder für sich die Frage klären, ob es gewünscht ist die eigenen Mails gänzlich extern filtern zu lassen.

Welchen Charme auch immer die eigenen lokal betriebenen Systeme haben, die Zeiten haben sich geändert und die Entwicklung steht nicht still. Dienste in der Cloud zu benutzen gehört schon zum normalen Alltag. Selbst die Hersteller von eMail-Security Systemen haben die Zeichen der Zeit erkannt und bieten selbst SaaS-Lösungen an. Dazu gehört auch McAfee mit einem SaaS-Dienst als Konkurrenz zu den eigenen Appliance-Lösungen. Aber da steht McAfee nicht alleine, Hersteller wie zum Beispiel Symantec, Kaspersky oder Trendmicro bieten ebenfalls diese Dienste zusätzlich zu ihren klassischen Produkten an. Dann gibt es noch Anbieter die nur SaaS-Lösungen anbieten, einer der großen Anbieter in diesem Bereich ist Google mit seinen Postini Services.

Eine grundsätzliche Ablehnung von SaaS-Lösungen  macht keinen Sinn. Es ist vielmehr eine genaue und objektive Prüfung gefragt, bei der Überlegungen wie Verfügbarkeit, Sicherheit, Kosten, Ressourcenbedarf und Nutzen eine wichtige Rolle spielen. Hier können die reinen SaaS-Lösungen punkten und werden langfristig immer stärker genutzt werden.

Bei Fragen rund um eMail-Security Lösungen stehen wir wie gewohnt zur Verfügung.

Von Michael Schmidt in der Kategorie: IT-Sicherheit
am 9. August 2010 | Keine Kommentare »

Das Botnetz “Zeus” ist eines der größten Botnetze die es zurzeit gibt. Die Security-Unternehmen RSA und NetWitness haben zum Zeus-Trojaner vor einiger Zeit ihre Analysen und Erkenntnisse bekannt gegeben. Da dieser Trojaner vertrauliche Daten sammelt ist er umso bedenklicher, wenn Netzwerke von Unternehmen von ihm befallen sind.

Nach den Informationen von RSA sind 88 Prozent der Fortune 500 Unternehmen von diesem Trojaner befallen. Besonders häufig ist er bei Unternehmen mit weniger als 75.000 Mitarbeitern anzutreffen. NetWitness zufolge sind 74.000 Systeme bei 2.500 Unternehmen in 200 Ländern betroffen. Da diese Zahlen aus den Analysen aber schon gut drei Monate alt sind, dürfte sich die Anzahl der infizierten Systeme noch erhöht haben.

Der Trojaner Zeus sammelt nicht nur vertrauliche Daten, wie Zugangsdaten zu Unternehmensnetzwerken, Online-Banking oder eMail-Accounts, sondern kann auch noch ferngesteuert werden. So kann der Trojaner dazu benutzt werden nach bestimmten Dateien auf dem infizierten Host zu suchen oder andere Programme zu installieren. Bei gut der Hälfte bei den mit dem Trojaner Zeus befallenen Systeme findet sich auch der Peer-to-Peer Bot Waldec wieder. Dieser ist offenbar über den Trojaner Zeus nachinstalliert werden.

Die Menge an infizierten Systemen und die hohe Anzahl an betroffenen Unternehmen macht die Gefahren solcher Botnetze nur zu deutlich. Es zeigt aber auch, dass eine Infektion eines Hosts nicht immer zu verhindern ist. Daher sind nicht nur präventive Maßnahmen erforderlich, sondern auch Mechanismen die die Kommunikation von infizierten Hosts erkennen und Gegenmaßnahmen einleiten können.

Der Einsatz von IDP-Systemen und Application Control am Perimeter sind auf der technischen Seite zwingend erforderlich. Bei großen Netzwerken ist dies zusätzlich noch zwischen den einzelnen Segmenten nötig, um den Schadcode zu hindern sich auf das ganze Netzwerk auszubreiten. Auf der formalen Seite muss eine Auswertung der Audit und Log-Daten am Perimeter und der anderen Sensoren stattfinden, damit signifikante Abweichungen in der Kommunikation auch auffallen.

Sicherheitssysteme ohne Kontrolle der Audits und Protokolle sind de facto keine, da Anomalien nicht auffallen. Kontrolle und das Monitoring von Sicherheitssystemen ist ebenso wichtig, wie die Systeme selbst. Dazu kommen die Auswertung und Analysen über die Nutzung der Ressourcen. Nur so fallen Änderungen um Nutzungsverhalten auf und lassen Rückschlüsse auf eventuell kompromittierte Systeme zu.

Von Michael Schmidt in der Kategorie: Allgemein, Datenschutz, IT-Sicherheit
am 22. Juli 2010 | Keine Kommentare »

Die Daten eines Unternehmens sind sein wichtigstes Gut. Daher stellen diese Daten einen sehr hohen materiellen Wert da und wecken zunehmend das Interesse der Schattenwirtschaft in der digitalen Welt. Alleine nach den Zahlen des BSI oder des BKA ist die Wirtschaftskriminalität in den letzten zwei Jahren deutlich gestiegen.

Der Druck auf die Unternehmen wächst und eigene Entwicklungen oder eigenes Knowhow aufzubauen ist sehr teuer. Dies gilt besonders für Unternehmen die international agieren, Hochtechnologie entwickeln oder im Bereich Finanzen tätig sind. Selbst kleine und mittelständische Unternehmen sind diesen Gefahren ebenso ausgesetzt. Besonders dann, wenn es sich um sensible Daten handelt.

Es ist wichtiger denn je die eigenen Daten zu schützen und zu verhindern, dass diese Daten aus dem Unternehmen entwendet werden. Ob es nun der viel zitierte eigene Mitarbeiter ist, der Daten entwendet oder ein Angriff von extern die Ursache war, ändert nichts an der Tatsache, dass die Daten weg sind. Auch passiert der Verlust sehr schnell durch das versehentliche Senden einer eMail an den falschen Empfänger. Es gilt zu verhindern, dass sensible und wichtige Daten das Unternehmen verlassen. Da aber die Wege vielfältig sind, auf denen die Daten verschwinden können, ist die Kontrolle zu behalten nicht ganz trivial. Hier bedarf es entsprechende Maßnahmen zum Schutz dieser Daten.

Um die Daten wirkungsvoll zu schützen und trotzdem den Mitarbeitern die benötigten Zugriffe zu gewähren bedarf es einer mehrstufigen Strategie. Eine Maßnahme muss die Kontrolle der Daten am Perimeter sein. Einige Hersteller die im Enterprise-Bereich ihre Produkte platzieren, bieten entsprechende Funktionen oder Systeme an, um dort entsprechende Kontrollen einzuführen. Diese Technik erlaubt die Prüfung der Ausgehenden Daten auf bestimmte Muster und Inhalte. Durch entsprechende Richtlinien werden dann die Inhalte aus dem Datenstrom ausgefiltert, der Datenstrom komplett unterbunden oder einfach nur protokolliert. Aber eine entsprechende DLP-Lösung alleine ist noch kein Garant zum Schutz der Daten, wenn auch ein wichtiger Bestandteil im Gesamtkonzept.

Es sind zusätzlich weiterführende Maßnahmen notwendig. Es gilt ebenso die Kontrolle über mobile Datenträger wie zum Beispiel USB-Sticks oder Flash-Speicher zu behalten. Dazu ist der Einsatz einer Device-Control Lösung erforderlich. Weitere Maßnahmen sind in den ERP- und CRM-Lösungen und Intranet-Systemen zu treffen. Hier ist eine restriktive Rechtevergabe und die Einschränkung um beliebige Listen und Auswertungen zu generieren ebenfalls notwendig.

Ein weiterer wichtiger Punkt ist die Verschlüsselung von Datenträgern die das Haus verlassen. Sei es die Festplatte im Notebook oder auch wieder ein USB-Stick. Es gilt hier ebenfalls zu verhindern, dass die Daten entwendet oder von unbefugten Dritten gelesen werden können. In diesem Zusammenhang werden oft andere mobile Geräte wie Mobiltelefone und allen voran das iPhone oder andere MDA’s vergessen. Dabei werden oft sehr sensible Daten auf diesen Geräten mitgeführt. Blackberry’s bieten zwar über das zentrale Management die Option Geräte aus der Ferne zu löschen, jedoch stellen sie auch ein gewisses Gefahrenpotential da.

Nur durch die im Verbund eingesetzten Maßnahmen ist es möglich, die Daten eines Unternehmens zu schützen. Aber auch, wie so oft, bestimmte das schwächste Glied das gesamte Sicherheitsniveau. Im Gegenzug sind die Wege auf denen die Daten aus dem Unternehmen gelangen können so vielzählig, dass man sie nicht alle aufführen kann.  Daher sind aufeinander abgestimmte Maßnahmen zwingend erforderlich und Insellösungen nur bedingt geeignet die Daten effektiv zu schützen.

Bei Fragen sind wir wie bekannt zu erreichen.

Von Michael Schmidt in der Kategorie: Datenschutz, IT-Sicherheit
am 6. Juli 2010 | Keine Kommentare »

Die Chancen von Twitter, Facebook, Xing & Co.

Keine Angst vor Social Media

Die Möglichkeiten von Social Media klingen verlockend: Menschen können weltweit miteinander kommunizieren, Botschaften austauschen und in Windeseile weitergeben. Aber: Marketing im Bereich der Social Media macht nur dann Sinn, wenn die Unternehmen ihren Mitarbeitern auch das Arbeiten damit erlauben. Häufig ist aber – aus Furcht vor Missbrauch – der Zugriff auf die Angebote der Social Networks gesperrt. Damit wird aber auch das große Potenzial dieser Netze vom Unternehmen ausgesperrt. (mehr …)

Von Michael Schmidt in der Kategorie: Allgemein
am 15. Juni 2010 | Keine Kommentare »

Der Anteil der Version 6 des Internet Explorers (IE) ist bei den Benutzen mit knapp 18% noch sehr hoch. Aber der 2001 in Dienst gestellte Browser ist ein immer größeres Sicherheitsrisiko. Dies wird von vielen unterschätzt und daher nicht gehandelt.

Microsoft arbeitet derzeit an der Version 9 und die Version 8 des IE ist der Standard-Browser für Microsoft Systeme. Die Version 7 wird von Microsoft noch unterstützt und mit Patches und Updates versorgt. Hintergrund ist hier, dass nach all der Zeit immer noch nicht alle Anwendungen mit dem IE 8 zurechtkommen. Dies ist zwar ein Armutszeugnis der Hersteller von Anwendungssoftware aber trotzdem nicht zu ändern. So lange, wie sich die Kunden dies von den Herstellern der Anwendungen gefallen lassen, werden diese an diesem Zustand auch nichts ändern.

Viele https-Webseiten oder Web 2.0 Anwendungen unterstützen den IE 6 nicht mehr und funktionieren demzufolge nicht richtig oder auch gar nicht. Dazu gehört auch Google mit seinen Apps, der IE 6 wird nicht mehr von Google berücksichtigt. Der nun 9 Jahre alte Browser stellt nicht nur Webseiten nicht mehr richtig da, sondern, was viel schlimmer ist, er stellt ein großes Sicherheitsrisiko dar. Microsoft gibt daher zusätzliches Geld aus um mit entsprechenden Kampagnen den IE 6 sterben zu lassen.

Dem IE 6 fehlen alle Techniken die moderne Browser mitbringen um den Benutzer zu schützen. Wer den IE 6, vor allem im Unternehmen, noch einsetzt hat unmittelbaren Handlungsbedarf. Ein Update auf die Version 7 oder wenn möglich auf die Version 8 ist dringend notwendig. Auch wenn ein alternativer Browser verwendet wird, besteht dieser Bedarf. Der Browser ist mit dem Betriebssystem so verwoben, dass Teile zur Anzeige von anderen Komponenten verwendet werden. Daher ist auch in diesem Fall ein Update zwingend erforderlich.

Von Michael Schmidt in der Kategorie: IT-Sicherheit
am 14. Juni 2010 | Keine Kommentare »

Der Hersteller Vizioncore stellt mit dem Produkt vFoglight ein mächtiges Werkzeug zur Verfügung, um eine detaillierte Leitungsanalyse für virtuelle Infrastrukturen durchzuführen. Gartner hat in der letzten Bewertung vFoglight als Leader in diesem Bereich angegeben. Grund genug also, dem Produkt einen Artikel zu widmen.

vFoglight ist ein Werkzeug für alle Administratoren virtueller Infrastrukturen, die darauf angewiesen sind verlässliche Werte aus ihrer Umgebung zu erhalten. Denn Entscheidungen aus dem Bauch heraus zu treffen, an welchen Optionen für einzelne VM’s oder Resource-Pools Änderungen nötig sind, bringen in den meisten Fällen nicht den gewünschten Erfolg.

Ganz anders hingegen ist es mit dem Einsatz von vFoglight. Hier bekommt der Administrator verlässliche Werte aus seiner Infrastruktur und dies über einen längeren Zeitraum. So bleiben weder kurzzeitige Ereignisse, noch langsame Veränderungen verborgen. Ganz im Gegenteil, das Tool gibt entscheidende Hinweise, was in welche Richtung anzupassen oder zu verbessern ist. So lässt sich die gesamte Infrastruktur perfekt an die eigenen Ansprüche anpassen, Engpässe frühzeitig erkennen und bevor diese spürbar werden entgegenzuwirken.

Das Produkt ist für all diejenigen geeignet, die schon über das vCenter von VMware verfügen. Als Basis für das vFoglight ist ein dedizierter Windows Server ab 2008 zu empfehlen. Dieses System kann selbstverständlich eine VM sein. Eine MS SQL Express Datenbank ist ausreichend und wird von vFoglight mitgebracht, alternativ nutzt das System eine vorhandene MS SQL Datenbank.

Das Monitoring von vFoglight umfasst alle wichtigen Werte von Datacenter, Clusters, ESX-Hosts, Datastores und Ressource Pools bis zu den einzelnen VM’s. Es werden zum Beispiel Wachstumsraten erkannt und interpoliert um den Administrator frühzeitig über zur Neige gehende Ressourcen zu warnen. So lassen sich Trends erkennen und schon im Vorfeld auf kommende Probleme  reagieren bevor es zu Fehlern oder zum Ausfall kommt.

vFoglight ist ein echtes Enterprise-Produkt für virtuelle Infrastrukturen, welches zur Basisausstattung einer jeden IT-Abteilung gehört um auch die Kontrolle über alle Ressourcen der virtuellen Welt zu behalten. Besonders hilfreich ist dabei die grafische Aufbereitung der Informationen. Selbst komplexe Umgebungen sind auf einen Blick zu erfassen und der Administrator behält so den Überblick. Selbst die Integration mit Nagios ist möglich.

Wenn Sie Fragen zu vFoglight haben, dann sprechen Sie uns an. Denn die Auflistung der Funktionen mit nur kurzen Erklärungen würde den Rahmen des Artikels mehr als nur sprengen.

Von Michael Schmidt in der Kategorie: Allgemein
am 2. Juni 2010 | Keine Kommentare »

Der Artikel Next Generation Firewalls hat zu viel Feedback und Fragen der Leser geführt, daher soll dieser Artikel die neue Technologie intensiver beleuchten. Nicht zuletzt aus der Tatsache heraus, dass genau diese Technik die Kontrolle der Verbindungen am Perimeter zurück bringt, die durch die aktuellen Anwendungen “untergraben” wird.

Die Bezeichnung Next Generation Firewall oder Firewall 2.0 ist eine Abgrenzung der Technologie zu den herkömmlichen Systemen, wie sie im vorangegangenen Artikel beschrieben wurden. Die Firewall-Systeme der nächsten Generation bringen die Kontrolle über die Verbindungen am Perimeter zurück, die die herkömmlichen Systeme nicht mehr bieten können.

Zum einem liegt das an Applikationen die nicht über definierte Zielports ihre Verbindungen aufbauen oder daran, dass die Standardports wie für ftp (21), http (80) oder https (443) von diesen Applikationen “missbräuchlich” verwendet werden. Herkömmliche Firewalls können oft diesen Missbrauch noch nicht einmal erkennen. Application Level Gateways (ALG) hingeben, sind in der Lage die missbräuchliche Verwendung zu unterbinden.

Aber ab dem Moment, wo die Anwendungen ihre Datenströme in http- oder https-Daten einpacken, sind selbst ALG’s nicht mehr in der Lage dies zu verhindern. Das ist auch nicht die Aufgabe eines ALG, seine Aufgabe ist es sicherzustellen, dass zum Beispiel wirklich http oder https über die Ports 80 und 443 “gesprochen” wird. Daher können auch ALG keine Applikationen im Sinne der Next Generation Firewalls erkennen.

Diese Tatsache machen sich daher sehr viele Applikationen zu Nutze, die im Unternehmen aus Gründen der Sicherheit oder des Datenschutzes nichts zu suchen haben. Weitaus bedenklicher ist es aber, dass auch Schadcode genau diesen Schwachpunkt ausnutzt. Sei es durch die Applikationen die sich so verhalten oder durch sich selbst und direkt diesen Weg des Verbindungsaufbaus suchen. In jedem Fall bieten einfache Systeme keinen Schutz um dies zu verhindern.

Selbst WebGateway oder WebProxy Server leiten diese in http oder https verpackten Verbindungen weiter, ohne sich daran zu stören. Daher sind auch UTM-Firewalls, die für das eine oder andere Protokoll einen solchen Proxy verwenden genauso wenig geeignet die unerwünschten Verbindungen zu unterbinden.

Genau an diesem Punkt setzen die neuen Systeme an. Die Erkennung der Applikation ist losgelöst von den traditionellen Bindungen an Ports oder Protokolle. Die Technologie dahinter ist die Weiterentwicklung von DPI, IDP und SSL-Decryption. Die Datenströme werden unabhängig von den üblichen Port-Bindungen analysiert und den wirklichen Applikationen die hinter den Verbindungen stehen zugeordnet.

Auf der anderen Seite bedeutet diese tiefgehende Analyse der Datenpakete auch den Einsatz entsprechend leistungsfähiger Systeme. Eine solche Lösung benötigt zwingend spezielle Prozessoren um die erforderliche Bandbreite zur Verfügung zu stellen. Daher sind Systeme die rein auf Software basieren weniger geeignet und nicht in der Lage entsprechend hohe Leistungen anzubieten.

Mit den Next Generation Firewalls kehrt die notwendige Kontrolle über die Verbindungen an der Schnittstelle zum Internet zurück, die durch das Web 2.0 verloren gegangen ist. Die neue Kontrolle stellt dem Administrator wieder das Werkzeug zur Verfügung was dringend benötigt wird um der Applikationsflut Herr zu werden. Wo vorher Quelle, Ziel und Port konfiguriert wurde, definiert der Administrator mit den neuen Systemen einfach die gewünschten Applikationen. Die Applikationskontrolle in Verbindung mit Malware-Prüfung, IDP, URL-Filter und Bandbreiten-Management ist das Mittel den Perimeter wieder zu kontrollieren.

Für weitere Fragen stehen wir wie gewohnt und gerne zur Verfügung.

Von Michael Schmidt in der Kategorie: IT-Sicherheit
am 10. Mai 2010 | Keine Kommentare »

Die jüngsten Artikel zum “Cyberwar” haben einige Fragen aufgeworfen die mit diesem Artikel beantwortet werden sollen. “Next Generation Firewall” oder “Firewall 2.0″ haben sich viele Hersteller im Security-Segment auf die Fahnen geschrieben. Bei einigen Herstellern bedeutet es nur einen Nachfolger mit der gleichen Technologie zu haben und bei anderen bedeutet es wirklich den nächsten Schritt in die Technologie der nächsten Generation gemacht zu haben.

Um einem Einstig in das Thema zu bekommen bedarf es einer kurzen Erklärung der üblichen Firewall-Typen. Die klassischen Paketfilter die nur aus Quelle, Quellport, Ziel und Zielport bestehen, werden nicht mehr berücksichtigt, da diese im professionellen Umfeld am Perimeter keine Verwendung mehr finden.

Die einfachsten Vertreter sind Paketfilter mit Statefull Inspection, was vereinfacht gesagt nichts anderes bedeutet, dass zwischen Initiator, Protokoll und Antwortpaketen unterschieden werden kann. Der Nutzinhalt der Pakte wird nicht geprüft und ist auch für diesen Firewall-Typ nicht von Relevanz. Anzutreffen ist dieser Firewall-Typ häufig bei einfachen Zugangs-Routern. Auch arbeitet iptables unter Linux oder das Pendant unter BSD ebenfalls als Statefull Inspection Paketfilter.

Ein anderer Firewall-Typ ist das Application Level Gateway, welches genau genommen keine Firewall im klassischen Sinne ist. Denn hier werden die Verbindungen über Proxy-Dienste abgehandelt. Es besteht somit keine direkte Verbindung zwischen Client und Server. Die Proxy-Dienste auf einem Application Level Gateway sind mehr oder weniger spezialisiert. Sie reichen von generischen TCP- oder UDP-Proxies bis hin zu hochspezialisierten Anwendungs-Diensten. Diese sind in der Lage Manipulationen im zugehörigen Datenstrom zu erkennen und zu unterbinden. Echte Application Level Gateways gibt es nur wenige auf dem Markt, da man die Funktion der Application Control nicht mit den spezialisierten Proxies gleich setzen kann.

Die klassischen UTM-Firewalls stellen Funktionen zu Verfügung die teilweise in die Domäne der Application Level Gateways einbrechen. Sie bilden für bestimmte Protokolle teilweise deren Funktionsumfang ab, ohne aber echte Anwendungs-Proxies zu besitzen. Ein Beispiel ist hier die Virenprüfung. Dienste wie URL-Filter oder IDP ergänzen oft das Spektrum der Systeme. Realistisch gesehen sind UTM-Firewalls nur Paketfilter-Firewalls mit Statefull Inspection und Addons wie Antivirus oder IDP.

Die wirklichen Next Generation Firewalls gehen aber noch einen Schritt weiter. Bei ihnen handelt es sich zwar immer noch nicht um Application Level Gateways, sie bieten aber Funktionen mit denen aktuelle Application Level Gateways noch nicht aufwarten können. Zu diesen Funktionen gehören DPI und Bandbreiten-Management. Das Deep Packet Inspection (DPI) ermöglicht die Erkennung von Applikationen anhand der Kommunikationssignatur und dies auch innerhalb anderer Datenströme. Moderne Systeme in diesem Bereich erkennen mehr als 1.100 Applikationen und können diese Zugriffe entsprechend regeln. Dazu verwenden die Systeme spezialisierte Prozessoren, die für hohen Datendurchsatz sorgen ohne die System-CPU zu belasten.

“Echte” Next Generation Firewalls sind nur die Systeme, die auch wirklich den Schritt aus dem UTM-Segment in die neue Leistungsklasse geschafft haben und auch in der Lage sind die Applikation hinter dem Datenstrom zu erkennen und eine entsprechende Benutzererkennung mitbringen. Alle anderen UTM-Firewalls sind nach wie vor klassische UTM-Systeme, die immer weniger geeignet sind, die Kommunikation auch wirklich zu regeln und somit die Infrastruktur zu schützen.

Selbst Application Level Gateways sind nicht immer geeignet Datenströme innerhalb von Web 2.0 oder sonstigen http-Verbindungen zu erkennen. Aber das ist auch nicht die Aufgabe solcher Systeme. Diese Systeme wurden entwickelt um sicherzustellen, dass auch wirklich http “gesprochen” wird und nicht der Datenstrom zu anderen Zwecken missbraucht wird – um beim Beispiel von http zu bleiben. Application Level Gateways (ALG) verhindern den Missbrauch von Protokollen. Applikationen die den Port 80 nicht für http sondern für ein proprietäres Protokoll verwenden, können nicht über ein ALG hinweg zugreifen. Bei Paketfiltern mit nur Statefull Inspection hingegen schon. Bei den Next Generation Firewalls kann man hingegen den Missbrauch über die Application Control verhindern.

Die nächste Generation der Firewalls sind also Systeme die die Erkennung von Verbindungen über DPI bzw. Application Control erreichen und gleichzeitig eine Benutzeridentifikation zur Verfügung stellen sowie die klassischen UTM Funktionen in sich vereinen. Diese Systeme gewinnen zunehmend an Bedeutung, da die neue Generation von Applikationen sehr häufig keine festen Zielports haben oder zu den Web 2.0 Anwendungen gehören. Hier spielen dann die neuen Systeme ihre Vorteile aus.

Wenn Sie Fragen zu den Next Generation Firewalls haben, sind wir wie gewohnt zu erreichen.

Von Michael Schmidt in der Kategorie: IT-Sicherheit
am 21. April 2010 | Keine Kommentare »