valentint - Fotolia
Das Wichtigste zu Next-Generation Firewalls
Mike Villegas erklärt, wieso integrierte Security-Plattformen wie NGFW das Unternehmensnetzwerk besser vor Attacken und Eindringlingen schützen.
Aktuelle Meldungen über Sicherheitslücken in als äußerst sicher bekannten Netzwerkumgebungen werfen eine Frage auf: Reichen die derzeitigen Schutzmechanismen aus, um unautorisierte Zugriffe auf unternehmenskritische Ressourcen aufzudecken? In unserer Reihe über Next-Generation Firewalls beschäftigen wir uns mit grundsätzlichen Eigenschaften, Kaufkriterien, den Unterschieden von Produkten am Markt sowie Installationsmerkmalen und einzelnen Produkten.
Manchen Anwender mag es so vorkommen, als hätten traditionelle Firewalls, Antivirus-Software und Intrusion Prevention Systeme (IPS) ihren Nutzen verloren, aber diese Security-Technologien werden nach wie vor benötigt und eingesetzt. Trotzdem brauchen Anwender häufig robustere, effektive und insbesondere integrierte Produkte, um den heutigen Netzwerkbedrohungen zu begegnen.
Next-Generation Firewalls (NGFW) sind integrierte Security-Plattformen, die aus inline DPI-Firewalls (Deep Packet Inspection), IPS, Application Inspection und Kontrolle, SSL/SSH-Inspektion, Webseiten-Filtern sowie aus Quality of Service (QoS) und Bandbreiten-Management bestehen, um Netzwerke gegen hoch entwickelte Attacken und Eindringlinge abzusichern.
NGFW sind keine traditionellen Firewalls
Traditionelle paketfilternde Firewalls schützen nur die Layer 3 (Netzwerk) und Layer 4 (Transport) des OSI-Modells. Sie umfassen Metriken, die Pakete ablehnen oder zulassen, je nach Quelle der IP-Adresse, der Ziel-IP-Adresse, dem Internetprotokolltyp und den Routing-Features. ZU den Internetprotokolltypen gehören unter anderem IP-Pakete mit normalen Daten, Internet Control Message Protocol (ICMP), Address Resolution Protocol (ARP), Reverse Address Resolution Protocol (RARP), Bootstrap Protocol (BOOTP) und Dynamic Host Configuration Protocol (DHCP).
Obwohl Firewalls zwischen dem Internet und dem internen Netzwerk im DMZ residieren, haben Angreifer Methoden gefunden, diese Kontrollen zu umgehen und nachhaltige Schäden anzurichten, bevor sie entdeckt werden. Bei traditionellen Firewalls müssen oft zusätzliche Komponenten separat installiert werden. Dazu gehören:
- separate IPS
- Web Application Firewalls (WAFs)
- Sichere Coding-Standards (basierend auf der Open Web Application Security Project's (OWASP) Top-10-Vulnerabilities-Liste)
- Verschlüsselung auf dem Web-Layer (SSL/TLS)
- Antivirus- und Malware-Prävention
Natürlich ist es schwierig, all diese zahlreichen Netzwerksicherheitsprodukte zu installieren, verwalten und überwachen, um multiple, heterogene Angriffsvektoren zu adressieren. Darüber hinaus kann diese Vielzahl an Produkten dazu führen, dass sie sich gegenseitig in ihrer Funktionalität behindern, was zu Lasten der Breitbandauslastung, Antwortzeiten, des Monitorings und der Wartung geht.
NGFWs umgehen diese Probleme, da sie ein einziges Produkt darstellen, das über einen einfachen Management-Prozess verfügt, der verschiedene Security-Services umfasst. Dies ist ein kosteneffizienter und pragmatischer Ansatz, Netzwerksicherheit zu garantieren.
NGFWs sind keine UTMs
UTM-Systeme (Unified Threat Management) sind all-in-one Netzwerk-Security-Plattformen, die einfache Installation und Bedienung bieten sollen sowie die Möglichkeit, alle Security-Funktionen gleichzeitig zu aktualisieren. Diese Systeme – wie NGFWs auch – haben einen Vorteil gegenüber dem Installieren einzelner Security-Technologien, da hier die Wartung und Aktualisierung einzelner Komponenten entfällt und der Administrator nicht herausfinden muss, wie alle optimal miteinander funktionieren können.
UTMs wurden ursprünglich für kleine und mittelgroße Unternehmen (KMU) konzipiert und nicht für große Firmenumgebungen. NGFWs hingegen sind umfassender und schützen jede Netzwerkumgebung– sei es die von kleinen, mittelständischen oder großen Unternehmen. Anders als UTMs offerieren NGFWs Threat Intelligence, Security für mobile Geräte, Data Loss Prevention (DLP) sowie eine offen Architektur, die es Anwendern ermöglicht, mit regulären Ausdrücken (regular expressions/RegEx) Applikations-Kontrollen anzupassen und einige Firewall-Regeldefinitionen zu verändern.
Oftmals unterscheiden sich Hersteller in ihren Definitionen zu UTM und NGFWs. Dies wird sich sicher ändern, aber der Trend zu multifunktionalen Security-Produkten sicher nicht.
Ein Ratgeber für optimale NGFW-Funktionalität
Optimale NGFW-Produkte sollten drei wichtige Charakteristika mitbringen: Sie müssen umfassend, flexibel und einfach zu nutzen sein.
Zunächst muss eine NGFW umfassend sein. Das heißt, dass sie IPS, Antivirus/Malware-Prävention, Applikations-Kontrolle, DPI und Stateful Firewalls, Verschlüsselung, Komprimierung, QoS und andere Funktionen enthalten sollte. Allerdings müssen Anwender hier ihre Furcht vor dem Single-Point-of-Failure in ihrem Netzwerk ablegen.
Zudem muss der Anwender Flexibilität von seiner NGFW erwarten können. Das bedeutet, sie sollte skalierbar sein, so dass sie modular aufgebaut und je nach Bedarf aktiviert werden kann.
Nicht zuletzt ist eine einfache Bedienung wichtig. Dazu gehört ein intuitives Management-Interface, das ein übersichtliches und einfach zu verstehendes Dashboard sowie Funktionsaktivierung, Konfigurationsanalyse, Schwachstellenbewertung, Aktivitätsreports, Warnmeldungen und Regel-Sets offeriert.
Moderne NGFWs fassen zahlreiche Security-Produkte zusammen und bieten diese drei Eigenschaften. Obwohl NGFWs über bekannte Funktionen verfügen, zeigen sich Unterschiede zwischen den Produkten verschiedener Hersteller. Eine NGFW, die Security für mobile Endgeräte bietet, ist beispielsweise kein MDM-Produkt (Mobile Device Management) und wird auch nicht als solches angeboten. Sie identifizieren mobile Geräte und Betriebssysteme, stellen Policys zur Verfügung, die auf Apps, Nutzern und Inhalten basieren, und können einen VPN-Tunnel erweitern, um vor Malware zu schützen. Sie verfügen aber nicht über die Services eines reinen MDM-Produktes.
Des Weiteren sind einige NGFW-Funktionen stabiler und weiter entwickelt als die von anderen. Es liegt also an den Kunden, sich die einzelnen NGFWs genau anzusehen und zu bestimmen, welches Produkt sich am besten für das Unternehmensnetzwerk eignet. Anwender, die mobile Endgeräte sichern wollen oder auf Zwei-Wege-Authentifizierung bestehen, müssen die Funktionen auf ihrem Fragekatalog haben. Ebenso ist es eine Überlegung wert, eventuell solche „Extra“-Funktionen durch zusätzliche Module bereitzustellen und eine andere NGFW zu wählen.
Wie sich NGFWs erwerben lassen
Die meisten NGFWs sind Appliance-basierend, andere als virtuelle Produkte (Software, die auf firmeneigenen Servern läuft) erhältlich und wiederum andere werden über die Cloud als Software-as-a-Service (SaaS) angeboten. Die meisten sind modular aufgebaut, so dass das Unternehmen die Funktionen kaufen und aktivieren kann, die es entsprechend den Anforderungen und Risiken benötigt.
Ein weiterer wichtiger Punkt ist, NGFWs nie im Einzelhandel zu erwerben. Da die Hersteller hier Geschäft machen wollen, ist es an ihnen zu demonstrieren, wo und wie sie sich vom Wettbewerb unterscheiden.
Unternehmen sollten am besten auch nie das neuste und technologisch am weitesten entwickelte Produkt kaufen. Anwender müssen ihre Kaufentscheidung aufgrund ihrer Anforderungen, den bestehenden Risiken und dem erwarteten Wachstum entsprechend treffen.
Die Zukunft der NGFWs
Es ist momentan eine aufregende und interessante Zeit in der IT. Spricht man mit führenden NGFW-Herstellern, so lässt sich feststellen, dass viele Funktionen auf der Roadmap stehen, die das IT-Leben vereinfachen und die Netzwerksicherheit verstärken sollen. Darüber hinaus sollen die NGFW-Produkte auch die Netzwerksicherheitsanforderungen von Unternehmen jeglicher Größe besser bedienen.
Die Hersteller investieren Zeit und Geld in ihren R&D-Abteilungen, um mit den modernen Angriffsmethoden Schritt halten zu können und umfassende, flexible sowie einfach zu nutzende Lösungen zum Schutz davor zur Verfügung zu stellen. Ein Großteil der Unternehmen gibt an, an Threat Intelligence zu arbeiten, die aktuell, offen, adaptive und automatisiert ist. Somit versuchen alle Anbieter, funktionsreiche NGFWs anzubieten, die die Performance nicht beeinträchtigen.
Folgen Sie SearchNetworking.de auch auf Twitter, Google+ und Facebook!