Autor / Redakteur: Dr. Goetz Guettich / Peter Schmitz
Bei Next Generation Firewalls (NGFW) handelt es sich um Sicherheitslösungen, die über die Protokoll- und Port-Inspection klassischer Firewalls hinausgehen und Datenanalysen auf Anwendungsebene ermöglichen. Security-Insider zeigt, welche Technologien in diesem Zusammenhang zum Einsatz kommen, welchen Funktionsumfang die Next Generation Firewalls heutzutage üblicherweise haben und welche Hersteller im Enterprise-Segment eine wichtige Rolle spielen.
Anbieter zum Thema
Eine typische Next Generation Firewall (NGFW) bietet viel mehr als die Untersuchung des Datenverkehrs auf Basis von Ports und Protokollen. Früher war es bei der Firewall-Konfiguration üblich, Regelsätze zu erstellen, die der Sicherheitslösung sagten, welche Protokolle in welche Richtung übertragen werden durften und welche Ports für diese Übertragungen zulässig waren. Diese Regeln sahen üblicherweise so aus: „Erlaube eingehenden Datenverkehr mit SSH auf Port 22 auf den Server Eins“, „Erlaube Datenübertragungen über die Protokolle SMTP und POP3 auf den Exchange Server in der DMZ“ oder auch „Erlaube allen Datenverkehr aus dem LAN ins Internet“. Die Firewall arbeitete diese Regeln dann in Form eine Liste ab, bei Konflikten griff üblicherweise die Regel, die in der Liste am weitesten oben stand.
Dieses Vorgehen reicht inzwischen nicht mehr aus, um Unternehmensnetze sinnvoll gegen moderne Bedrohungslagen abzusichern. Ein Grund dafür liegt in modernen Angriffsszenarien, wie beispielsweise verschlüsselten Datenübertragungen und APTs (Advanced Persistent Threats), die mit speziell an die jeweiligen Umgebungen angepassten Attack-Tools arbeiten. Ein weiterer Grund ergibt sich daraus, dass heute ein Großteil der Datenübertragungen per HTTP über Port 80 beziehungsweise per HTTPS über Port 443 abgewickelt wird. Dieser kommt sowohl zum Browsen im Internet zum Einsatz, als auch zum Übertragen von Daten zu Cloud-Diensten wie Dropbox, zum Social Networking, zum Kommunizieren über WhatsApp und Skype oder auch zum Zugriff auf Office 365. Diese Datenübertragungen dienen alle völlig unterschiedlichen Zwecken, sehen für eine traditionelle Firewall aber alle gleich aus: Existiert die Regel, Datenübertragungen via HTTPS und Port 443 zuzulassen, so erlaubt die Firewall alles, also auch die Übertragung infizierter Inhalte.
An dieser Stelle kommen Next Generation Firewalls ins Spiel. Diese untersuchen nicht nur das verwendete Protokoll und den eingesetzten Port, sondern nehmen auch den Inhalt des Datenstroms unter die Lupe, erkennen ungewöhnliches Verhalten, filtern infizierte Dateien aus und so weiter. In der Regel erkennen sie auch die Aktivitäten der im Netz vorhandenen User und entscheiden abhängig von Policies, was diese dürfen und was nicht. Der Paketfilter wird also in einer Next Generation Firewall eng mit einem Intrusion Protection System (IPS) kombiniert.
Darüber hinaus verfügen sie üblicherweise auch noch über weitere Funktionen, wie Antivirus- und Antispam-Funktionen, einen Content-Filter und ähnliches. Damit integrieren sie einen deutlichen Zusatznutzen in das Firewall-Produkt und machen oftmals andere Sicherheitslösungen wie Mail-Security-Gateways, spezielle IPS-Systeme, Proxies und ähnliches überflüssig.
Derzeit in Next Generation Firewalls integrierte Technologien
Momentan gehört es bei Next Generation Firewalls wie gesagt zum Standard, neben den bereits erwähnten Paketfiltern und IPS-Lösungen, die eng zusammenarbeiten, um den Netzwerkverkehr auf Anwendungsebene zu überwachen und abzusichern, auch diverse andere Funktionalitäten in das Produkt zu integrieren. Diese sind oft optional und müssen getrennt lizenziert werden. An erster Stelle sind in diesem Zusammenhang VPN-Features zu erwähnen, die es externen Mitarbeitern und Außenstellen ermöglichen, über verschlüsselte Datenverbindungen auf das Unternehmensnetz zuzugreifen. Die Lizenzierung erfolgt hier in der Regel über die Zahl der gleichzeitig zulässigen Verbindungen und die meisten Produkte unterstützen sowohl IPSec- als auch SSL-VPNs. VPNs sind sowohl für kleinere und mittelgroße Unternehmen, als auch für große Umgebungen von großer Bedeutung. Fast alle Next Generation Firewall-Hersteller haben Produkte in ihrem Portfolio, die VPN-Verbindungen unterstützen, so zum Beispiel auch die von Gartner als Marktführer im Bereich „Enterprise Network Firewalls“ eingestuften Unternehmen Check Point, Fortinet und Palo Alto Networks.
Außerdem umfassen typische Next Generation Firewalls wie bereits angesprochen Anti-Virus- und Anti-Spam-Funktionen, um die Datenübertragungen von Viren und Spam zu befreien und Phishing zu unterbinden. Diese kommen in der Regel auf Abonnement-Basis zum Einsatz, das bedeutet, die Anwender müssen ihre Lizenzen regelmäßig erneuern. Auch diese Funktionalitäten sind für alle Unternehmensgrößen relevant. Die Next Generation Firewall-Hersteller entwickeln zu diesem Zweck in der Regel keine eigenen Antivirus-Produkte, sondern gehen Partnerschaften mit Antivirus-Herstellern wie Avira und Kaspersky ein, um deren Lösungen in ihre Firewalls zu integrieren. Der Open Source-Antivirus ClamAV gehört oft ebenfalls zum Leistungsumfang der Firewall-Produkte.
Spezielle Schutzfunktionen gegen DoS-Angriffe, Cross-Site-Skripting, SQL-Injections, schädlichen Web-Code und Skripts erhöhen das Sicherheitsniveau im täglichen Betrieb, da die Firewalls solche Komponenten nach der Analyse einfach ausfiltern können. In diesem Zusammenhang erkennen die Produkte häufig auch Trojaner und interaktive Verbindungen, wie sie beispielsweise bei Botnetzen Verwendung finden. Die Firewalls von Stormshield bieten beispielsweise diesen Leistungsumfang. Stormshield gehört, genau wie Ahnlab, Hillstone und Juniper zu den Unternehmen, die Gartner in seinem Magic Quadrant als Nischen-Player einstuft.
Die eben genannten Features finden sich zur Zeit vor allem in Enterprise-Firewalls, sie ziehen aber zunehmend auch in "kleinere" Lösungen ein. Der Grund dafür liegt darin, dass leistungsfähige Hardware immer erschwinglicher wird und es deswegen in der Regel kein Problem mehr darstellt, den kompletten Funktionsumfang einer Sicherheitslösung auch schon auf der kleinsten Appliance der Serie anzubieten. Sonicwall, ein weiteres Unternehmen, das Gartner als Nischen-Player einstuft, macht dieses Vorgehen – also das Bereitstellen der Schutzmechanismen großer Umgebungen für kleine Unternehmen – sogar zu einem Teil seiner Geschäftspolitik.
Viele Produkte haben außerdem noch Funktionalitäten an Bord, die den Umgang mit fragmentierten Paketen regeln. Sandboxing-Technologien, Funktionen zum Entschlüsseln und Analysieren von SSL- und SSH-Verbindungen und Features zum Schutz von VoIP-Übertragungen gehören ebenso oft zum Leistungsumfang von Next Generation Firewalls. Der VoIP-Schutz gewinnt momentan immer mehr an Bedeutung, da die VoIP-Telefonie die klassischen Sprachverbindungen zunehmend verdrängt.
Leistungsfähige Produkte bieten darüber hinaus auch URL-Filter (meist ebenfalls auf Subskriptionsbasis) oder eine Advanced Threat Detection, die dazu in der Lage ist, heruntergeladene Dateien vor oder während der Auslieferung an die Anwender zu scannen. Eine Anwendungskontrolle, die bestimmte Aktionen bestimmter Applikationen zulassen oder blockieren kann, gehört oftmals genau wie Network-Access-Control-Funktionen (NAC) zum Funktionsumfang einer Next Generation Firewall. Diese Funktionalitäten bietet beispielsweise Barracuda Networks an, genau wie die New H3C Group, Sangfor und Watchguard nach Meinung von Gartner ein weiterer Nischen-Player im Enterprise Firewall Markt. Auch hier gilt wieder, dass die genannten Features momentan hauptsächlich bei den Firewalls für große Umgebungen zur Verfügung stehen, aber immer mehr auch den Weg in kleinere Appliances finden.
Gehen wir an dieser Stelle noch kurz auf die eben erwähnte Anwendungskontrolle ein. Da eine Next Generation Firewall den Datenverkehr auf der Anwendungsschicht untersucht, kann sie die Datenströme bestimmter Anwendungen überwachen und regel- und ereignisabhängig Aktionen anstoßen. So sind beispielsweise Szenarien denkbar, in denen die Administratoren Policies anlegen, die aktiv werden, wenn Dateien mit einem bestimmten Namen übertragen werden sollen, oder wenn ein Benutzer versucht, bestimmte FTP-Befehle auf einem externen Server auszuführen. Findet die Firewall-Appliance eine Entsprechung zu einer solchen Regel im Datenstrom, so ist sie – wie manche Produkte von Sonicwall – dazu in der Lage, Aktionen wie „Drop“ oder „Monitor“ durchzuführen, was das Sicherheitsniveau der Unternehmensdaten deutlich erhöht.
Es gibt sogar Firewalls, die anhand der über sie übertragenen Daten erkennen, welche Anwendungen und Betriebssysteme im lokalen Netz zum Einsatz kommen und dabei gleich deren Verwundbarkeiten feststellen. Erkennen diese Systeme folglich eine Vulnerability auf einem der geschützten Rechner, so informieren sie unverzüglich die Administratoren und ermöglichen es ihnen so, die Gefährdung zeitnah zu entfernen, was in Enterprise-Netzen große Vorteile bringen kann. Diese Funktion stellen beispielsweise manche Produkte von Stormshield zur Verfügung. Manche Lösungen bringen auch Quality-of-Service-Funktionen mit, die dazu in der Lage sind, bestimmte Datenströme, beispielsweise VoIP-Verkehr, zu priorisieren.
Reports und Analyse
Alle genannten Features nutzen aber nur bedingt etwas, wenn die Administratoren keine Informationen über die von der Security-Lösung durchgeführten Aktionen erhalten. Deswegen spielen im praktischen Einsatz der Produkte die verfügbaren Report- und Analysefunktionen ebenfalls eine sehr große Rolle. Leistungsfähige Next Generation Firewalls sind nicht nur dazu in der Lage, übersichtliche Informationsseiten zu den Top Anwendungen im Netz, den blockierten URL-Kategorien und Webseiten sowie den im LAN vorhandenen Top Talkern zu erstellen, sondern können auch die Aktivitäten bestimmter Anwender oder Stationen im Netz genau darstellen. Die Source IP-Adressen müssen aus Datenschutzgründen dabei jederzeit anonymisierbar sein, wie das beispielsweise bei den Produkten von Barracuda Networks der Fall ist.
Zum Schluss wollen wir als Beispiele für relevante Hersteller von Next Generation Firewalls noch die Unternehmen aus dem Gartner Magic Quadrant für Enterprise Network Firewalls nennen, die bisher noch keine Erwähnung gefunden haben. Dabei handelt es sich die "Herausforderer der Marktführer" Cisco und Huawei und die "Visionäre" Forcepoint und Sophos. Selbstverständlich gibt es noch eine ganze Reihe weiterer Firewall-Anbieter, für diese Übersicht haben wir uns aber bewusst auf den genannten Magic Quadrant beschränkt.
Über den Autor: Dr. Götz Güttich ist Leiter des Institut zur Analyse von IT-Komponenten (IAIT) und verfügt über mehr als fünfzehn Jahre Branchenerfahrung als IT-Consultant und Fach- beziehungsweise Chefredakteur im IT-Umfeld. Aufgrund seiner langjährigen umfangreichen Testtätigkeit für führende deutsche Netzwerkmagazine beschränken sich seine Fähigkeiten nicht auf die Theorie des IT-Geschäfts.
(ID:44911621)
