Die jüngsten Artikel zum „Cyberwar“ haben einige Fragen aufgeworfen die mit diesem Artikel beantwortet werden sollen. „Next Generation Firewall“ oder „Firewall 2.0“ haben sich viele Hersteller im Security-Segment auf die Fahnen geschrieben. Bei einigen Herstellern bedeutet es nur einen Nachfolger mit der gleichen Technologie zu haben und bei anderen bedeutet es wirklich den nächsten Schritt in die Technologie der nächsten Generation gemacht zu haben.
Um einem Einstig in das Thema zu bekommen bedarf es einer kurzen Erklärung der üblichen Firewall-Typen. Die klassischen Paketfilter die nur aus Quelle, Quellport, Ziel und Zielport bestehen, werden nicht mehr berücksichtigt, da diese im professionellen Umfeld am Perimeter keine Verwendung mehr finden.
Die einfachsten Vertreter sind Paketfilter mit Statefull Inspection, was vereinfacht gesagt nichts anderes bedeutet, dass zwischen Initiator, Protokoll und Antwortpaketen unterschieden werden kann. Der Nutzinhalt der Pakte wird nicht geprüft und ist auch für diesen Firewall-Typ nicht von Relevanz. Anzutreffen ist dieser Firewall-Typ häufig bei einfachen Zugangs-Routern. Auch arbeitet iptables unter Linux oder das Pendant unter BSD ebenfalls als Statefull Inspection Paketfilter.
Ein anderer Firewall-Typ ist das Application Level Gateway, welches genau genommen keine Firewall im klassischen Sinne ist. Denn hier werden die Verbindungen über Proxy-Dienste abgehandelt. Es besteht somit keine direkte Verbindung zwischen Client und Server. Die Proxy-Dienste auf einem Application Level Gateway sind mehr oder weniger spezialisiert. Sie reichen von generischen TCP- oder UDP-Proxies bis hin zu hochspezialisierten Anwendungs-Diensten. Diese sind in der Lage Manipulationen im zugehörigen Datenstrom zu erkennen und zu unterbinden. Echte Application Level Gateways gibt es nur wenige auf dem Markt, da man die Funktion der Application Control nicht mit den spezialisierten Proxies gleich setzen kann.
Die klassischen UTM-Firewalls stellen Funktionen zu Verfügung die teilweise in die Domäne der Application Level Gateways einbrechen. Sie bilden für bestimmte Protokolle teilweise deren Funktionsumfang ab, ohne aber echte Anwendungs-Proxies zu besitzen. Ein Beispiel ist hier die Virenprüfung. Dienste wie URL-Filter oder IDP ergänzen oft das Spektrum der Systeme. Realistisch gesehen sind UTM-Firewalls nur Paketfilter-Firewalls mit Statefull Inspection und Addons wie Antivirus oder IDP.
Die wirklichen Next Generation Firewalls gehen aber noch einen Schritt weiter. Bei ihnen handelt es sich zwar immer noch nicht um Application Level Gateways, sie bieten aber Funktionen mit denen aktuelle Application Level Gateways noch nicht aufwarten können. Zu diesen Funktionen gehören DPI und Bandbreiten-Management. Das Deep Packet Inspection (DPI) ermöglicht die Erkennung von Applikationen anhand der Kommunikationssignatur und dies auch innerhalb anderer Datenströme. Moderne Systeme in diesem Bereich erkennen mehr als 1.100 Applikationen und können diese Zugriffe entsprechend regeln. Dazu verwenden die Systeme spezialisierte Prozessoren, die für hohen Datendurchsatz sorgen ohne die System-CPU zu belasten.
„Echte“ Next Generation Firewalls sind nur die Systeme, die auch wirklich den Schritt aus dem UTM-Segment in die neue Leistungsklasse geschafft haben und auch in der Lage sind die Applikation hinter dem Datenstrom zu erkennen und eine entsprechende Benutzererkennung mitbringen. Alle anderen UTM-Firewalls sind nach wie vor klassische UTM-Systeme, die immer weniger geeignet sind, die Kommunikation auch wirklich zu regeln und somit die Infrastruktur zu schützen.
Selbst Application Level Gateways sind nicht immer geeignet Datenströme innerhalb von Web 2.0 oder sonstigen http-Verbindungen zu erkennen. Aber das ist auch nicht die Aufgabe solcher Systeme. Diese Systeme wurden entwickelt um sicherzustellen, dass auch wirklich http „gesprochen“ wird und nicht der Datenstrom zu anderen Zwecken missbraucht wird – um beim Beispiel von http zu bleiben. Application Level Gateways (ALG) verhindern den Missbrauch von Protokollen. Applikationen die den Port 80 nicht für http sondern für ein proprietäres Protokoll verwenden, können nicht über ein ALG hinweg zugreifen. Bei Paketfiltern mit nur Statefull Inspection hingegen schon. Bei den Next Generation Firewalls kann man hingegen den Missbrauch über die Application Control verhindern.
Die nächste Generation der Firewalls sind also Systeme die die Erkennung von Verbindungen über DPI bzw. Application Control erreichen und gleichzeitig eine Benutzeridentifikation zur Verfügung stellen sowie die klassischen UTM Funktionen in sich vereinen. Diese Systeme gewinnen zunehmend an Bedeutung, da die neue Generation von Applikationen sehr häufig keine festen Zielports haben oder zu den Web 2.0 Anwendungen gehören. Hier spielen dann die neuen Systeme ihre Vorteile aus.
Wenn Sie Fragen zu den Next Generation Firewalls haben, sind wir wie gewohnt zu erreichen.