Alle Hersteller von Firewall Systemen bieten, wenn auch nur manche im Marketing, so genannte Next Generation Firewalls (NGFW) an. Aber was kommt nach der Hauptfunktion „Application Control“ einer NGFW?
Die Themen mit der sich eine IT Abteilung in der Zukunft auseinander setzen muss, umfassen auch BYOD (Bring Your Own Device). Auch wenn viele jetzt antworten, das lassen wir nicht zu, so tut man es doch schon. Denn alle Gäste bringen ja schon seit Jahren ihr eigenes Gerät mit. Dies wirft natürlich die Frage auf, wie man diese Geräte kontrolliert, wenn eine Kapselung durch ein Gastsegment nicht möglich ist. Dies ist insbesondere der Fall, wenn es um Systeme von externen Dienstleistern im IT Umfeld oder für spezielle Industrie-Maschinen oder Steuerungen geht.
Weiter kommt hinzu, dass bei der immer höheren Komplexität an Systemen, Anwendungen und Kommunikationsprotokollen andere Wege gefunden werden müssen, weiterhin die Kontrolle am Perimeter zu behalten.
Was ist also der nächste logische Schritt in Sachen NGFW 2.0? Die zukünftige Generation der Firewall Systeme umfasst die Kontrolle auf Basis von Verhalten und die Erkennung von Geräten. Mit den neuen Erkennungsmethoden lassen sich dann Regeln anhand des Verhaltens erstellen. Weicht ein Client vom üblichen Verhalten oder der Nutzung seiner Internetverbindung ab, so lassen sich Maßnahmen ergreifen um das unübliche Verhalten zu unterbinden.
Die kommenden Systeme werden eine Art Anomalie-Erkennung mitbringen, um schneller und effektiver die Aktivitäten von Schadsoftware zu erkennen und dann auch zu unterbinden. Zu einer solchen Anomalie-Erkennung gehört auch eine Detektion des Geräts welches die Verbindung aufgebaut hat. Das Verhalten eines Windows Systems unterscheidet sich in dem eines MacOS-X und Linux-Systems. Weiter zeigen gerade mobile Geräte ein gänzlich anderes Verhalten in der Kommunikation.
Hier werden dann Systeme benötigt, die nicht nur den Datenstrom an sich, sondern auch das Endgerät, nach Möglichkeit die Applikation und vor allem das Verhalten als normal oder unnormal erkennen.
Was in Zukunft weniger von Bedeutung ist, sind traditionelle AV Scanner mit Muster-Datenbanken. Wie schon mehrfach hier im Blog geschrieben, sind diese Systeme einfach zu träge, bis aktueller Schadcode sicher erkannt wird. Hier muss man jedoch Differenzieren. Dies gilt weniger für das Überprüfen von Emails auf Schadcode. Hier haben diese Systeme trotz ihrer Trägheit noch eine gewisse Berechtigung. Wenn sie auch bei neuen Schadcode ebenso versagen. Bei Webzugriffen jedoch, sind AV Scanner mit Muster-Datenbanken gänzlich nutzlos. Gerade dann, wenn es sich um Angriffe handelt, die so genannte Zero-Day Lücken ausnutzen. Hier zeigt sich jetzt schon, dass URL/IP Reputations-Filter gegen Echtzeit-Datenbanken und auch IPS Systeme mit Push-Updates mehr ausrichten können.
Auch ist die Nutzung des Browsers mittlerweile von entscheidender Bedeutung, ob ein Client infiziert wird oder nicht. Aber dies ist ein anderes Thema.
Bei Fragen stehen wir wie immer gerne zur Verfügung.