Wie schon der Artikel Applikationskontrolle bei Webzugriffen die Problematik beschrieben hat, mit denen heute die Sicherheitssysteme konfrontiert werden, beschreibt dieser Artikel die weitreichenden Änderungen und somit die Herausforderungen bei aktuellen Anwendungen die nicht auf definierte Ziel-Ports zugreifen. Er reiht sich auch in die Artikel-Serie zum „Cyberwar“ und der aktuellen Sicherheitsproblematik ein.
Die Probleme bei Web 2.0 Applikationen sind analog zu den Problemen der dynamischen Kommunikationswege von anderen Anwendungen zu sehen. Dazu Zählen zum Beispiel Peer-to-Peer Clients, Skype, IM oder Remote-Access. Es gibt immer mehr Applikationen die nicht mehr zu eindeutigen Zielports Verbindungen aufbauen oder Standard-Ports anderweitig verwenden. Zudem sind diese Verbindungen oft verschlüsselt und nicht ohne weiteres zu identifizieren. Damit sind die herkömmlichen Methoden, die gewünschte Kommunikation anhand definierter Zielports zu erlauben nicht mehr oder nur noch wenig praktikabel.
Dies alles stellt ganz neue Ansprüche an die Sicherheitssysteme einer IT-Infrastruktur. Zu den neuen Herausforderungen kommen zusätzlich noch Probleme mit den zur Verfügung stehenden Bandbreiten der Internetanbindung. Sehr viele Applikationen benötigen Ressourcen im Internet oder von externen Rechenzentren auf die schnell zugegriffen werden muss, damit für den Anwender die Applikation in einer zum Arbeiten ausreichenden Geschwindigkeit abläuft.
Moderne Firewall-Systeme haben daher nicht nur die Aufgabe die Infrastruktur zu schützen, sondern auch zusätzlich die zur Verfügung stehenden Ressourcen sinnvoll zu verteilen. Der Begriff Firewall-Systeme ist absichtlich im Plural gewählt, weil es sich für solche Aufgaben nicht nur um ein einzelnes System handelt. Es gibt keine Systeme die alle Funktionen in sich vereinen, hier ist vielmehr eine geeignete Kombination von Systemen gefragt, die auf die Kommunikationsbedürfnisse des jeweiligen Unternehmens zugeschnitten ist.
Um aber die Kommunikation von Applikationen zu identifizieren, die dynamisch ihre Ports allokieren, kommt die Technologie der Deep-Packet-Inspektion (DPI) zum Einsatz. Diese Technik erlaubt eine tiefgehende Analyse der Netzwerkdaten an sich, ohne eine besondere Berücksichtigung der Zielports. Wie bei einem IDP System werden hier die Daten analysiert und den entsprechenden Applikationen zugeordnet. So können diese dann ermittelt und durch die entsprechenden Richtlinien unterbunden oder erlaubt werden. Weiter werden die erlaubten Verbindungen dem Bandbreiten-Management zugeführt und die Ressourcen entsprechend verteilt.
Der Einsatz Mehrstufiger Systeme wird bei den neuen Anforderungen zwingend erforderlich. Nur so kann die Kontrolle über die gewünschten Anwendungen und Zugriffe behalten werden. Dabei kann die Mehrstufigkeit auch aus einer Kombination von zentralen und dezentralen Systemen bestehen.
Wenn Sie Fragen zu DPI oder den entsprechenden System haben, stehen wir wie gewohnt zu Verfügung.