Viele Artikel im Blog haben sich mit den Next Generation Systemen beschäftigt und den neuen Ansatz im Bereich der Firewalls mehrfach beleuchtet. Die Entwicklung der Firewall-Systeme schreitet immer weiter fort und bringt dadurch ganz neue Ideen zur Absicherung der Infrastrukturen hervor.
Es ist also Zeit um einen kleinen Ausblick auf die Firewall-Technologien zu nehmen. Der Schutz des Perimeters ist nach wie vor das Kernstück einer jeden Sicherheitsstruktur. Zunehmend kommen aber die Ideen der Jericho-Group auf, die primär den Schutz des einzelnen Hosts sehen. Dazu kommen die virtuellen Infrastrukturen, die ja ihrerseits nicht weniger an Sicherheit bedürfen als ihr physikalisches Pendant.
Dieser Strukturwandel sorgt natürlich auch in den Bereichen der Firewall-Systeme für Änderungen. Auf der einen Seite muss nach wie vor der Perimeter geschützt werden und auf der anderen Seite benötigt man innerhalb der konsolidierten Netze und den virtuellen Strukturen entsprechende Schutzmechanismen. Traditionelle Systeme sind da weniger geeignet, um den gewünschten Schutz zu realisieren. Die neuen Systeme müssen daher in der Lage sein, mit den aktuellen Technologien und Anforderungen umzugehen.
Die Entwicklung von Firewall-Systemen ist aus diesem Grund nicht losgelöst von Techniken wie dem Cloud-Computing zu sehen, sondern vielmehr ist diese eng damit verwoben. Die kommenden Firewall-Systeme werden sich in drei Bereiche aufteilen. Ein Bereich sind die physikalischen Systeme, die auf spezialisierter Hardware betrieben werden und ihrerseits virtuelle Instanzen erlauben. Ein anderer Bereich ist innerhalb der virtuellen Strukturen zu finden. Hier kommen die Systeme als virtuelle Appliances direkt auf den ESX-Servern zum Einsatz. Den dritten Bereich bilden die Host-Firewalls, die auch zunehmend an Bedeutung gewinnen. Diese werden in Zukunft eine wesentliche Schutzfunktion übernehmen und gehören dann ebenso zum Standard, wie aktuell die Firewalls am Perimeter.
Traditionelle physikalische Paket-Filter Firewalls werden hingegen gänzlich vom Markt für Unternehmenslösungen verschwinden. Port Filter mit Statefull Inspection bieten nicht mehr den geringsten Schutz am Perimeter. Sie werden von den Systemen der „Next Generation Firewalls“ verdrängt werden. Auch Application Level Gateways bieten ohne echte Applikationserkennung keine Kontrolle und somit auch keinen Schutz mehr.
Selbst sehr restriktive Regelwerke können der Flut an Applikationen die über Standard-Ports kommunizieren nichts mehr entgegensetzen wenn das Firewall-System nicht die Applikation hinter dem Datenstrom erkennen kann. In diesem Bereich werden grundlegende Änderungen kommen. Realistisch betrachtet bedeutet heute ein offener Standard-Port, wie zum Beispiel http oder https eine komplett offene Firewall. Alle Web 2.0 Applikationen entziehen sich jeglicher Kontrolle.
Die Komplexität von Regelwerken am Perimeter wird zurück gehen. Die Kontrolle der Verbindungen ist nicht mehr abhängig von den Ziel-Ports. Diese Art der Regelung wird daher nicht mehr benötigt. Die Applikationskontrolle in Verbindung mit URL-Filter, Schadcode-Erkennung, IDP und Data Leakage Prevention werden zur Kontrolle der Verbindungen herangezogen. Was aber, so paradox es klingt, zu deutlich weniger Regeln führen wird.
Der Bereich der Host-Firewalls wird für den Schutz des einzelnen Systems immer wichtiger werden. Jeder Host muss sich auch vor dem eigenen Netz schützen. Bei den aktuellen Bedrohungen in der IT muss man davon ausgehen, dass es durch Schadcode infizierte Systeme im eigenen Netzwerk gibt. Die Host-Firewalls werden und müssen aber über zentrales Management administriert. In einer Windows 7 / Server 2008(R2) Umgebung kann die Windows-Firewall über die AD gesteuert werden. Auch ist der Einsatz einer Schutzsoftware aus Kombination Antivirus, Host-Intrusion und Firewall eine mögliche Option um diese Anforderung zu realisieren. Für den Einsatz einer Host-Firewall spielt es keine Rolle, ob dieser Host physikalisch oder virtuell ist. Aber hier ist die Entwicklung noch nicht abgeschlossen. Es werden nicht nur eingehende, sondern immer stärker ausgehende Verbindungen zu kontrollieren sein. Die Kontrolle des Kommunikationsverhaltens der jeweiligen Applikation wird in das Regelwerk der Host-Firewalls immer stärker einfließen.
Als Fazit ist die Aussage gültig, dass es ohne Applikationskontrolle, weder am Perimeter noch bei den Host-Firewalls möglich sein wird, einen effektiven Schutz aufzubauen. Trotzdem gilt im Besonderen, dass ohne ein zentrales Monitoring bzw. Audit jeglicher Schutz seinen Sinn verliert, wenn dieser nicht kontrolliert wird.