Next-Generation Firewall Dell SonicWALL SuperMassive 9000-Serie. (Bild: Dell SonicWALL)
Von Dell SonicWALL.
München – IT-Verantwortliche in grossen und mittleren Unternehmen müssen heute Kompromisse schliessen, wenn sie Performance und Sicherheit ihrer Netzwerke unter einen Hut bringen wollen. Zwar spielt die Sicherheit eine extrem wichtige Rolle für Unternehmen, doch Organisationen sollten nicht zugunsten der Sicherheit auf Durchsatz und Produktivität verzichten müssen. Eine elegante Lösung für dieses Dilemma bieten Next-Generation Firewalls (NGFWs).
Veraltete Firewalls früherer Generationen stellen heute ein erhebliches Sicherheitsrisiko für Unternehmen dar. Mit ihrer überholten Technologie sind sie nicht in der Lage, die vielen schädlichen Datenpakete zu durchleuchten, die von Internetkriminellen in Umlauf gebracht werden. Für viele Hersteller sind Stateful Packet Inspection (SPI)-Geschwindigkeiten das Mass aller Dinge. Ein hoher Grad an Sicherheit und Leistung lässt sich allerdings nur mit dem Durchsatz und der Wirksamkeit der Deep Packet Inspection-Technologie garantieren. Um die Schwächen der SPI-Technologie zu kompensieren, setzten viele Firewall-Hersteller auf die Malware-Prüftechnik traditioneller Desktop-Virenschutzprogramme, bei der die heruntergeladenen Dateien zwischengespeichert und geprüft werden. Diese Methode erzeugt nicht nur hohe Latenzzeiten, sie birgt auch erhebliche Sicherheitsrisiken, weil durch das temporäre Speichern die maximale Dateigrösse begrenzt werden kann.
Was sind Next-Generation Firewalls?
Next-Generation Firewalls (NGFW) nutzen die Vorteile der Deep Packet Inspection (DPI) Firewall-Technologie für zentrale Funktionen wie z. B. Intrusion-Prevention-Systeme (IPS) sowie Application Intelligence und Anwendungskontrolle, um den Inhalt der Daten zu visualisieren.
Gartner definiert NGFWs als „integrierte Wirespeed-Netzwerkplattformen, die den Datenverkehr gründlich überprüfen und Angriffe blockieren“ (1). Laut Gartner sollte eine NGFW mindestens folgende Features bieten:
- Unterbrechungsfreie Inline Bump-in-the-Wire-Konfiguration
- First-Generation Firewall-Standardfunktionen, wie beispielsweise Network Address Translation (NAT), Stateful Packet Inspection (SPI), Virtual Private Networking (VPN) etc.
- Integriertes signaturbasiertes IPS
- Application Awareness, Full Stack Visibility und granulare Kontrolle
- Nutzung externer Informationen, wie z. B. Directory-basierte Regeln, Blacklists, Weisse Listen etc.
- Upgrade-Möglichkeiten für künftige Informations-Feeds und Sicherheitsbedrohungen
- ssL-Entschlüsselung zur Identifizierung unerwünschter verschlüsselter Anwendungen
Die Entwicklung der Next-Generation Firewalls
SPI-Firewalls wurden für Netzwerkumgebungen konzipiert, in denen Malware kein schwerwiegendes Problem darstellte und Webseiten einfach nur Dokumente waren, die man lesen konnte. Die Verwaltung beschränkte sich vor allem auf Ports, IP-Adressen und Protokolle. Neue Internettechnologien ermöglichten die Verbreitung dynamischer Inhalte über Server und Client-Browser und brachten eine Vielzahl neuer Anwendungen hervor, die heute als Web 2.0 bekannt sind.
Anwendungen wie Salesforce.com, SharePoint und Farmville laufen heute alle über TCP-Port 80 bzw. über verschlüsselte SSL-Verbindungen (TCP-Port 443). Next-Generation Firewalls durchsuchen blitzschnell die Datenpakete mittels Signaturen nach schädlichen Aktivitäten wie z. B. bekannte Schwachstellen, Exploits, Viren und Malware. Mit DPI können Administratoren zudem granulare Regeln erstellen, um bestimmte Anwendungen und Webseiten freizugeben oder zu sperren. Da der Inhalt von Paketen überprüft wird, lassen sich auch alle Arten von statistischen Informationen exportieren. Administratoren können somit Verkehrsdaten auf einfache Weise analysieren, um Kapazitätsplanungen durchzuführen, Fehler zu beheben oder die Aktivitäten von Angestellten zu überwachen. Moderne Firewalls arbeiten auf den Schichten 2, 3, 4, 5, 6 und 7 des OSI-Modells.
Die Bedürfnisse von Unternehmen
In den Unternehmen herrscht Anwendungschaos. Ein Grund dafür sind die vielen neuen Möglichkeiten bei der Netzwerkkommunikation. Beschränkte sich diese früher weitgehend auf Anwendungen zum Speichern und Weiterleiten von Nachrichten, wie z. B. E-Mail, so werden mittlerweile auch Tools zur Echtzeit-Zusammenarbeit, Web 2.0-Anwendungen, Instant Messaging (IM)-Dienste, Peer-to-Peer-(P2P)-Anwendungen, Voice over IP (VoIP), Streaming Media und Telekonferenzen eingesetzt. Jede dieser Anwendungen indes stellt ein potenzielles Einfallstor für Netzwerkangriffe dar. Viele Unternehmen können nicht zwischen Anwendungen für legitime Geschäftszwecke und unproduktiven Bandbreitenfressern oder gar gefährlichen Anwendungen unterscheiden.
Für Unternehmen ist es heute wichtig, geschäftskritische Anwendungen zur Verfügung zu stellen und dabei gleichzeitig die Nutzung unproduktiver und oftmals sicherheitskritischer Web-Anwendungen durch die Mitarbeiter zu kontrollieren. Das geht nur, wenn die Bandbreite für unternehmenskritische Anwendungen priorisiert und der Zugriff auf Social Media-Anwendungen oder Spiele eingeschränkt oder komplett gesperrt wird. Bei Nichteinhaltung von Sicherheitsanforderungen und -richtlinien riskieren Unternehmen Umsatzverluste bzw. empfindliche Geldbussen und Strafen.
Sicherheit und Leistung sind heute in jedem Unternehmen eng miteinander verbunden. Keine Organisation kann sich die mangelhafte Sicherheit veralteter SPI-Firewalls noch die Netzwerkengpässe leisten, die bei manchen NGFWs auftreten. Verzögerungen in der Firewall- oder Netzwerk-Performance können sich qualitätsmindernd auf latenzkritische oder kollaborative Anwendungen auswirken, was wiederum nachteilige Folgen für Service Levels und Produktivität haben kann. Erschwerend kommt hinzu, dass einige IT-Abteilungen ihre Netzwerksicherheits-Funktionen teilweise deaktivieren, um eine Beeinträchtigung der Netzwerkperformance zu vermeiden.
Schwachstellen in gängigen Anwendungen bedrohen heute grosse und kleine Unternehmen im öffentlichen und privaten Sektor. Die schöne Welt der sozialen Netzwerke und allgegenwärtigen Vernetzung birgt ein kleines, unschönes Geheimnis: Sie ist eine Brutstätte für Malware und ein Tummelplatz für Internetkriminelle, die auf ihre ahnungslosen Opfer lauern. Angestellte nutzen heute ihren Computer zu Hause und im Unternehmen für Online-Blogs, soziale Netzwerke, Messaging, Videos, Musik, Spiele, Online-Shopping und E-Mails. Anwendungen wie z. B. Streaming Video, Peer-to-Peer (P2P) sowie hostbasierte und Cloud-basierte Applikationen erhöhen das Risiko von Eindringversuchen, Datenlecks und Ausfallzeiten im Unternehmen. Diese Anwendungen stellen nicht nur eine Gefahr für die Sicherheit dar, sie reduzieren auch die verfügbare Bandbreite und die Produktivität und konkurrieren ausserdem mit den geschäftskritischen Anwendungen um wertvolle Netzwerkbandbreite. Unternehmen benötigen Werkzeuge, um die erforderliche Bandbreite für geschäftskritische Anwendungen zu priorisieren, und sie brauchen Application Intelligence and Control, um den ein- und ausgehenden Verkehr zu schützen. Gleichzeitig müssen Geschwindigkeit und Sicherheit aufrechterhalten werden, um eine produktive Arbeitsumgebung zu garantieren.
Die Vorteile von NGFWs
Next-Generation Firewalls bieten Application Intelligence and Control, Intrusion Prevention, Malware-Schutz und ssL-Prüfung mit Geschwindigkeiten von mehreren Gigabits und können selbst in Ultrahochleistungsnetzwerken eingesetzt werden.
Optimal ausgestattete NGFWs bieten Funktionen, um sowohl geschäftsrelevante als auch nicht geschäftsrelevante Anwendungen zu kontrollieren und zu verwalten, und gewährleisten so eine hohe Netzwerk- und Benutzer-Produktivität. Ausserdem lassen sich beliebig grosse Dateien ohne Sicherheits- bzw. Performance-Einbussen auf jedem Port überprüfen. Grosse Mengen von zeitgleichem Daten- oder Netzwerkverkehr stellen kein Problem für High-End-NGFWs dar. Infizierte Dateien können auch dann nicht unbemerkt durch das Sicherheitsnetz schlüpfen, wenn die Firewall stark beansprucht wird. Zusätzlich können NGFWs alle Sicherheits- und Kontrollfunktionen auf ssL-verschlüsselten Datenverkehr anwenden, um neue Einfallstoren für Malware zu vermeiden.
Wenn es um die Wahl einer Deep Packet Inspection-Firewall geht, sollten IT-Administratoren bedenken, dass es verschiedene Ansätze für die Prozessorarchitektur bei NGFWs gibt. Einige Anbieter setzen Universalprozessoren und separate Sicherheitskoprozessoren ein. Andere wiederum bevorzugen ASIC (Application-Specific Integrated Circuits)-Plattformen. Wir bei Dell SonicWALL haben uns für eine Multi-Core-Architektur entschieden, damit der Netzwerkverkehr schneller verarbeitet werden kann. Bei der Wahl einer NGFW-Lösung sollten IT-Administratoren sicherstellen, dass die Lösung auch zukünftige Anforderungen an die Netzwerkperformance erfüllen kann. Dabei sollte sie äusserst robust sein, hilfreiche Analysen und Einblicke in das Netzwerk liefern und die Implementierung und Verwaltung vereinfachen.
(1)„Defining the Next-Generation Firewall“, Gartner RAS Core Research Note G00171540, John Pescatore, Greg Young, 12. Oktober 2009, R3210 04102010