Die Open Group hat ein visionäres Konzept aufgestellt, was gänzlich auf Firewalls am Perimeter verzichtet. Auf den ersten Blick scheint dies eher verwunderlich, wenn man sich aber näher damit beschäftigt, ist es doch nicht so weit her geholt. Trotzdem bleiben noch einige Fragen unbeantwortet und es gilt auch nur bei eng abgesteckten Rahmenbedingungen. Die Idee, die da hinter steht ist auf jeden Fall ein richtiger Ansatz.
Führt man sich ein heutiges Firewall-Konzept vor Augen, so stehen die Systeme am Perimeter des lokalen Netzwerks zum Internet. In dem Jericho-Konzept geht die Open Group von Paket-Filtern aus, die natürlich nicht in der Lage sind, Angriffe auf Applikationsebene zu erkennen oder geschweige denn zu unterbinden. Dafür sind Paketfilter auch nicht gemacht. Das gleiche gilt für Buffer-Overflows, SQL-Injection oder ähnliche Angriffe.
Hier setzt jetzt das Jericho-Konzept an, es verteilt so zu sagen die Firewall und bestimmte Schutzmechanismen auf die einzelnen Hosts und erlaubt nur die Kommunikation auf definierten, verschlüsselten Kanälen. Zusätzlich kommen Mechanismen wie Authentifizierung und Autorisierung zum Tragen. Vereinfacht kann man sich einen einzelnen Host mit einer „Firewall“ und nur IPsec und SSL verschlüsselten Datenkanälen vorstellen.
Auf Basis dieser idealisierten Umgebung kann man dann auf eine Firewall als klassischen Paket-Filter am Perimeter verzichten. Da eine solche Umgebung in der realen Welt nicht existiert, wird es wohl so schnell das Jericho-Konzept in seiner Reinform nicht geben. Anzumerken ist hier auch, dass Umgebungen im IPv4-Umfeld mit NAT und internen rfc-Adressen nicht verwendet werden können, wenn eine Kommunikation über das Internet stattfinden muss.
Trotzdem ist der Ansatz aus unserer Sicht der richtige Weg, jedoch mit Einschränkungen. Ein Verzicht auf die Firewall am Perimeter ist nur was für das idealisierte Szenario mit einem reinen Paket-Filter und gilt nicht für UTM Firewalls mit Deep Inspection, IDP oder gar echten Application Level Gateways. Diese Systeme bieten ja gerade den Mehrwert an Sicherheit den das Jericho-Konzept als Schwachpunkte einer Pakt-Filter Firewall auflistet. Daher ist es an diese Stelle wesentlich differenzierter zu sehen und auch ein Verzicht nicht ratsam. Richtig ist insofern, dass das Jericho-Konzept den Host innerhalb eines Netzwerks vor Angriffen eines anderen Hosts im gleichen Netzwerk schützt. Hier liegt auch der große Vorteil dieses Konzepts.
Der Ansatz des Jericho-Konzepts ist im Sinne eines ganzheitlichen Sicherheitskonzept ein guter Weg die gesamte IT-Infrastruktur besser zu schützen. Sie ist aber als Zusatz zu den „klassischen“ Systeme zu sehen und genau dann kommt der Gewinn an mehr Sicherheit den man sich mit dem Konzept erhofft.
Durch die zunehmende Virtualisierung von Systemen kommen einige Ansätze des Jericho-Konzept so zu sagen „frei Haus“. VMware macht es mit vSphere 4 vor, mit den darin enthaltenen Option von vShield-Zones. Diese „Zones“ schützen die VM mit Firewall- und Zugriffs-Regeln. Bei physikalischen Hosts benötigt man andere Mechanismen. Wie diese aussehen, wird in einem kommenden Artikel hier im Blog beschrieben.