Einsatz transparenter Firewalls

Der Einsatz transparenter Firewalls in immer komplexeren Umgebung oder zur Erfüllung von Vorgaben ist ein adäquates Mittel zur Umsetzung, ohne eine wirkliche Änderung der Netzwerktopologie durchführen zu müssen. Dies gilt für kleine bis hin zu großen Umgebungen und uneingeschränkt auch für Datacenter. Insbesondere bei Datacentern machen je nach Szenario transparente Firewalls Sinn und dies auch gerade im Zusammenspiel mit VMware’s NSX.

Es gibt sehr viele Anwendungsfälle bei denen der Einsatz transparenter Firewalls wesentlich einfacher ist, als ein gewachsenes Netzwerk in kurzer Zeit umbauen zu müssen. Ein gutes Beispiel hierfür sind Produktionsumgebungen, die durch den Einsatz von Firewalls und IPS besser geschützt werden sollen. Das Cyber Risiko von vernetzten Produktionsanlagen ist in der Vergangenheit gegenüber dem der Office IT überproportional gestiegen. Heute haben immer mehr Angriffe auch oder teilweise nur zum Ziel in Produktionsanlagen einzubrechen. Noch vor ein paar Jahren waren solche Angriffe selten und die Anlagen nicht unbedingt im Fokus der Kriminellen. Dies hat sich aber massiv geändert und nicht zuletzt wurde der Gesetzgeber aktiv und KRITIS verabschiedet, dass kritische Infrastrukturen entsprechend geschützt werden müssen. Der jüngste Lagebericht des BSI zur aktuellen Bedrohungslage zeigt deutlich die immer aggressiveren Angriffe auf die digitale Infrastruktur in Deutschland. Unabhängig davon, ob die Produktionsanlage eine kritische Infrastruktur der Allgemeinheit darstellt, sie ist es aber für die Existenz des jeweiligen Unternehmens und dessen muss sich jeder Anlagenbetreiber bewusst sein. Aus diesem Grund stellt sich die Frage auch nicht, ob eine solche Anlage geschützt werden muss oder nicht. Die Antwort ist ja, natürlich muss eine Produktionsanlage unter allen Umständen geschützt werden. Die Anlage und die vorhandene Netzwerktopologie existiert in den meisten Fällen schon sehr lange. Daher ist eine Restrukturierung oft nur mit hohem Aufwand möglich und hier schließt sich der Kreis – mit einer transparenten Firewall kann eine solche Anlage geschützt werden, ohne die Netzwerktopologie ändern zu müssen. Natürlich kommt eine Komponente mehr hinzu, aber aus Sicht der Kommunikation der vorhandenen Teilnehmer ändert sich nichts, für diese ist die Firewall unsichtbar aber der Schutz trotzdem vorhanden. Ein weitere Vorteil dieses Szenario ist die Möglichkeit die Kommunikation erst einmal zu analysieren, denn in den meisten Fällen, wissen die Betreiber der Anlage oft gar nicht, wie die Kommunikationsmatrix tatsächlich aussieht. Auch wenn erst die Kommunikation analysiert werden muss, kann durch IPS, FlowAV und Botnet Erkennung im ersten Schritt die Sicherheit wesentlich erhöht werden. Bei der Auswahl des richtigen Produkts bzw. Hersteller stehen spezielle IPS Musterdatenbanken für die Protokolle der Prozessleittechnik zur Verfügung. Zum einem gibt es eine Protokollierung der Kommunikation, die in Analysewerkzeuge wie ein SIEM, andere Analyzer oder zumindest in einen Syslog erfolgen kann. Zum anderen die schon angesprochen Schutzfunktionen modernen NextGen Firewall Systeme. Diese Art der Implementierung kann uneingeschränkt für alle Szenarien empfohlen werden, um eine Anlage, Anlagenteile oder einzelne physikalische Systeme zeitnah und ohne Änderung der Topologie zu schützen. Grundsätzlich bietet sich diese Implementierung auch an, wenn es zum Beispiel darum geht den Übergang zu einem MPLS Netz wieder unter die eigene Kontrolle zu bringen. Häufig findet man die CPE Router mehr oder weniger direkt im LAN vor, ohne jeglich Kontrolle der Datenflüsse. Dieses potentielle Risiko ist definitiv zu hoch, um sich hier nicht passend zu schützen. Hier geht es nicht nur um Fehlkonfigurationen des Providers oder um Cyber Angriffe auf seine Infrastruktur, sondern auch um Angriffe auf der Services der eigenen Rechenzentren aus den Niederlassungen. In der Regel sind die Hauptstandort deutlich besser gesichert als es in vielen Fällen die Niederlassungen sind. Trotzdem werden den Datenströmen aus den Niederlassungen mehr oder weniger uneingeschränkt vertraut. Dies wissen natürlich die Angreifer auch und greifen zuerst die Niederlassung an, um dann von hier aus den Angriff auf den Hauptstandort durchzuführen. In der Regel dürften diese Angriffsvariante von sehr viele Unternehmen erst bemerken, wenn es schon zu spät ist oder noch deutlich später. Ein Schutz ist ohne Probleme möglich, die Technologie schon seit Jahren in kleinen und großen Varianten am Markt vorhanden und somit ist dies für alle “Stand der Technik”. Ob IT Grundschutz, DSGVO, PCIDSS, andere Zertifizierungen oder Industrieanlagen bzw. Prozessleittechnik – eine glaubhafte Begründung, warum ein Schutz nicht implementiert wurde, lässt sich nur sehr schwer und auch nur in Ausnahmefällen führen.

Transparente Firewall eignen sich auch im sehr gut für den Einsatz in Datacentern und hier im Besonderen in Verbindung mit VMware NSX. Die von VMware vorgesehene Schnittstelle zwischen der physikalischen und virtuellen Netzwerkwelt sind die NSX Edge Gateways. Dieses Gateway vereint mehrere Funktionen: Dynamisches und statisches Routing, Firewall und NAT, LoadBalancer L4-7 mit SSL Offload und VPN. Kurzum, es ist für den Nord/Süd Traffic gemacht. Im Normalfall “spricht” das Edge Gateway direkt mit den Core Routern im Datacenter. Grundsätzlich macht dieses Szenario auch Sinn, direkt via BGP die Routen austauschen und die zur Verfügung stehenden Services zum Bereitstellen von Diensten nutzen. Damit sind aber die ESX Hosts, auf denen die Service Gateways betrieben werden direkt mit dem Internet über die Core Router verbunden. Dieser Aufbau hat den großen Vorteil, dass auf dem Edge Gateway die offiziellen IP’s vorhanden sind, was in Anbetracht der zur Verfügung stehen Dienste auch Sinn ergibt. Es macht aber ebenfalls Sinn, sich durch eine vorgelagerte Firewallebene zu schützen, ohne die Vorteile der transparenten Kommunikation von Edge Gateway und Core Routern zu unterbrechen. Um auch hier nicht das Design beliebig komplex zu machen, bietet sich der Einsatz transparenter Systeme für diese zweite Firewall Linie geradezu an. Damit behält das Konzept alle Vorteile, es ist weniger Komplex und bietet gleichzeitig ein hohes Maß an Sicherheit, da alle zum Schutz des Datacenters wichtigen Maßnahmen, wie IPS, (D)DoS Schutz, Botnet Erkennung usw. zur Verfügung stehen. Die hierfür einzusetzenden Firewall Systeme basieren auf spezieller Hardware in Form von hochspezialisierten Netzwerk- und Analyseprozessoren mit sehr geringer Latenz bei gleichzeitig sehr hoher Anzahl verarbeiteter Netzwerkpakete pro Sekunde in der Datenverarbeitung. Denn genau dies sind die Schlüsselwerte im Datacenter, Bandbreite können viele – bei großen Paketen, aber darauf kommt es im Datacenter nicht an. Hier sind die Latenz und packets per second (pps) das Maß der Dinge, die Bandbreite ergibt sich daraus von alleine. Schaut man hier bei den verschiedenen Herstellern nur auf die Bandbreite, kann es zu Problemen kommen, denn oft wird diese nur für große Pakete angegeben, denn so erreicht man im Datenblatt auch mit einem System, welches eine höhere Latenz hat und weniger Pakete pro Sekunde verarbeiten kann, einen hohen Wert in der Bandbreite. Aber so sehen die Datenströme in der realen Welt nur mal nicht aus und daher ist dieses bei der Auswahl des Herstellers zu berücksichtige.

Wie immer, wenn Sie Fragen haben, stehen wir wie gewohnt zur Verfügung.