Der Artikel Next Generation Firewalls hat zu viel Feedback und Fragen der Leser geführt, daher soll dieser Artikel die neue Technologie intensiver beleuchten. Nicht zuletzt aus der Tatsache heraus, dass genau diese Technik die Kontrolle der Verbindungen am Perimeter zurück bringt, die durch die aktuellen Anwendungen „untergraben“ wird.
Die Bezeichnung Next Generation Firewall oder Firewall 2.0 ist eine Abgrenzung der Technologie zu den herkömmlichen Systemen, wie sie im vorangegangenen Artikel beschrieben wurden. Die Firewall-Systeme der nächsten Generation bringen die Kontrolle über die Verbindungen am Perimeter zurück, die die herkömmlichen Systeme nicht mehr bieten können.
Zum einem liegt das an Applikationen die nicht über definierte Zielports ihre Verbindungen aufbauen oder daran, dass die Standardports wie für ftp (21), http (80) oder https (443) von diesen Applikationen „missbräuchlich“ verwendet werden. Herkömmliche Firewalls können oft diesen Missbrauch noch nicht einmal erkennen. Application Level Gateways (ALG) hingeben, sind in der Lage die missbräuchliche Verwendung zu unterbinden.
Aber ab dem Moment, wo die Anwendungen ihre Datenströme in http- oder https-Daten einpacken, sind selbst ALG’s nicht mehr in der Lage dies zu verhindern. Das ist auch nicht die Aufgabe eines ALG, seine Aufgabe ist es sicherzustellen, dass zum Beispiel wirklich http oder https über die Ports 80 und 443 „gesprochen“ wird. Daher können auch ALG keine Applikationen im Sinne der Next Generation Firewalls erkennen.
Diese Tatsache machen sich daher sehr viele Applikationen zu Nutze, die im Unternehmen aus Gründen der Sicherheit oder des Datenschutzes nichts zu suchen haben. Weitaus bedenklicher ist es aber, dass auch Schadcode genau diesen Schwachpunkt ausnutzt. Sei es durch die Applikationen die sich so verhalten oder durch sich selbst und direkt diesen Weg des Verbindungsaufbaus suchen. In jedem Fall bieten einfache Systeme keinen Schutz um dies zu verhindern.
Selbst WebGateway oder WebProxy Server leiten diese in http oder https verpackten Verbindungen weiter, ohne sich daran zu stören. Daher sind auch UTM-Firewalls, die für das eine oder andere Protokoll einen solchen Proxy verwenden genauso wenig geeignet die unerwünschten Verbindungen zu unterbinden.
Genau an diesem Punkt setzen die neuen Systeme an. Die Erkennung der Applikation ist losgelöst von den traditionellen Bindungen an Ports oder Protokolle. Die Technologie dahinter ist die Weiterentwicklung von DPI, IDP und SSL-Decryption. Die Datenströme werden unabhängig von den üblichen Port-Bindungen analysiert und den wirklichen Applikationen die hinter den Verbindungen stehen zugeordnet.
Auf der anderen Seite bedeutet diese tiefgehende Analyse der Datenpakete auch den Einsatz entsprechend leistungsfähiger Systeme. Eine solche Lösung benötigt zwingend spezielle Prozessoren um die erforderliche Bandbreite zur Verfügung zu stellen. Daher sind Systeme die rein auf Software basieren weniger geeignet und nicht in der Lage entsprechend hohe Leistungen anzubieten.
Mit den Next Generation Firewalls kehrt die notwendige Kontrolle über die Verbindungen an der Schnittstelle zum Internet zurück, die durch das Web 2.0 verloren gegangen ist. Die neue Kontrolle stellt dem Administrator wieder das Werkzeug zur Verfügung was dringend benötigt wird um der Applikationsflut Herr zu werden. Wo vorher Quelle, Ziel und Port konfiguriert wurde, definiert der Administrator mit den neuen Systemen einfach die gewünschten Applikationen. Die Applikationskontrolle in Verbindung mit Malware-Prüfung, IDP, URL-Filter und Bandbreiten-Management ist das Mittel den Perimeter wieder zu kontrollieren.
Für weitere Fragen stehen wir wie gewohnt und gerne zur Verfügung.