Sie sind auf Seite 1von 22

Security

eBook

Firewall – von A bis Z


Moderne Implementierungen einer Next-Generation Firewall
Forschung und Berichte über Sicherheitslücken
Integrierte Lösungen gegen die aktuellen Bedrohungen

Powered by:

Security
Eine Publikation von
Insider
Inhalt


3 Firewall – die nächste Generation


4 Die Aufgaben einer Firewall
6 Aufgaben eines Intrusion
Detection & Prevention Systems
10
Next-Generation Firewalls
13 Moderne Implementierungen
einer Next-Generation Firewall
17 Forschung & Berichte über
Sicherheitslücken
20 Nur integrierte Lösungen sind
effektiv und effizient nutzbar

Powered by: Vogel IT-Medien GmbH Haftung: Für den Fall, dass Beiträge oder Informa­ tionen
unzutreffend oder fehlerhaft sind, haftet der Verlag nur beim
August-Wessels-Str. 27, 86156 Augsburg
Nachweis grober Fahrlässigkeit. Für Beiträge, die namentlich
Telefon +49 (0) 821/2177-0 gekennzeichnet sind, ist der jeweilige Autor verantwortlich.
E-Mail redaktion@security-insider.de Copyright: Vogel IT-Medien GmbH. Alle Rechte vorbehalten.
Web www.Security-Insider.de Nachdruck, digitale Verwendung jeder Art, Vervielfältigung nur
Geschäftsführer: Werner Nieberle mit schriftlicher Genehmigung der Redaktion.
Hewlett-Packard GmbH Nachdruck und elektronische Nutzung: Wenn Sie Beiträge
Chefredakteur: Peter Schmitz, V.i.S.d.P.
Herrenberger Str. 140 dieses eBooks für eigene Veröffent­li­chun­gen wie Sonderdru-
Autor: Michael Matzer
71034 Böblingen cke, Websites, sonstige elektroni­sche Medien oder Kunden-
Erscheinungstermin: März 2015 zeitschriften nutzen möchten, erhalten Sie Informationen so-
Telefon 07031/14-0
Titelbild: Absemetov - Fotolia.com wie die erforderlichen Rechte über www.mycontentfactory.de,
Telefax 07031/14-2999 Tel. +49 (0) 931/418-2786.
E-Mail firmen.kunden@hp.com
Web www.hp.com/de

2 Security-Insider.de | Firewall – die nächste Generation


Einleitung

Firewall – die nächste


Generation
Eine Firewall bildet den zentralen Baustein für Datensicherheit. Im
Netzwerk kontrolliert sie den Datenaustausch hinter der Firewall,
aber natürlich auch mit dem meist unsicheren Internet. Firewalls
haben sich rasch weiterentwickelt, stehen aber heutzutage wohl
ihren größten Herausforderungen gegenüber. Dieses eBook
beschreibt sowohl die Bedrohungen und Risiken als auch die
Gegenmaßnahmen, die ergriffen werden können.

Next-Generation Firewalls (NGFW) erwei­ Kapitel 5 argumentiert, dass eine NGFW


tern den Funktionsumfang der traditio- stets durch eine in der Unternehmensorga-
nellen Firewalls erheblich um Applika- nisation verankerte Informationspolitik un-
tions- und Nutzerkontrolle. Heute sind terstützt werden muss: Rasche Updates,
entsprechende Angebote für jede Unter- Reports und Patches sind eine Grundbe-
nehmensgröße zu finden – als Hardware, dingung für die Effektivität einer NGFW.
virtuelle Appliance und in der Cloud. Sie Diese Aspekte werden in Kapitel 6 durch
unterscheiden sich hinsichtlich ihrer Kapa­ das Argument ergänzt, dass nur integrier-
zität und ihres Funktionsumfangs und te Sicherheitslösungen wirklichen Schutz
bedienen so die Bedürfnisse aller Firmen- bieten können.
größen vom Kleinunternehmen bis zum
Telekommunikations-Carrier und Managed
Service Provider (MSP).
Die sechs Kapitel dieses eBooks bauen
aufeinander auf. Nach der Evolution der
Firewall stellt Kapitel 2 die zentrale Kompo-
nente des Eindringschutzes (IDS/IPS) vor,
bevor die Rede auf die Next-Generation
Firewall (NGFW) kommt. Kapitel 4 versucht
einen Weg durch das Dickicht der mögli-
chen Implementierungen einer modernen
NGFW zu bahnen.

3 Security-Insider.de | Firewall – die nächste Generation


Kapitel 1

Die Aufgaben einer


Firewall
Eine Firewall – wörtlich „Brandmauer“ – ist der zentrale Baustein
in den Schutzmaßnahmen eines Netzwerks. Die Evolution der
Firewall bis zu den heutigen Next-Generation Firewalls war lang.

Evolution: Der Anfang


Die Evolution der Firewall bis zu den heu-
tigen Next-Generation Firewalls war lang.
Sie begann bei den einfachen Firewall-
Funktionen wie Packet Filtering, NAT
(Network Address Translation), Stateful
Inspection und VPN-Support (VPN: Virtual
Private Network).
Das Packet Filtering wurde bereits 1988
für die erste Generation von Firewalls kon-
zipiert. Die Filter inspizieren die Daten-
Pakete, die zwischen den Rechnern des
Internet ausgetauscht werden. Bei der
Inspektion wendet die Firewall ihre vorher
Das OSI-Schichten­
eingestellten Regeln an. Entspricht ein Da-
modell beschreibt alle
Ebenen eines Netz- Am Anfang ihrer Entwicklungsgeschichte tenpaket den Regeln, darf es die Schranke
werks. (Bild: Wikipedia) diente eine Firewall lediglich dazu, den passieren, beim Gegenteil erhält der Ab-
hereinkommenden und ausgehenden sender eine Fehlermeldung. Die Regel wird
Datenver­kehr anhand eines angewandten nur auf den Inhalt und seinen Header, nicht
Regelsatzes zu kontrollieren. Damit er- auf die Verbindung angewandt.
richtet sie eine Schranke zwischen einem Die wichtigsten Protokolle, die im Header
vertrauenswürdigen Netzwerk und einem eines Datenpakets genannt werden, sind
anderen Netzwerk, wie etwa dem Internet, TCP und UDP. Sie benutzen wohlbe-
das als nicht vertrauenswürdig und als un- kannte Ports – beispielsweise Port 80 –
sicher angenommen wird. im Netzwerk für bestimmte Zwecke, wie
Firewalls existieren als Software, als Hard- etwa Web-Browsing, Email-Übertragung,
ware (meist als dedizierte Appliance) oder Dateiübertragung usw. Auf diese Weise
als Managed Service in der Cloud. Viele kann ein „Stateless“-Filter zwischen ihnen
Appliances vereinen inzwischen die Funk- unterscheiden und den Datenverkehr auf
tion als Firewall mit der eines Intrusion diese Weise steuern, es sei denn, beide
Protection Systems (IPS), eines Antiviren­ Maschinen würden die gleichen, nicht
scanners und eines DHCP-Servers. Darauf standardmäßigen Ports verwenden. Solche
geht Kapitel 4 näher ein. Firewalls arbeiten auf den ersten drei

4 Security-Insider.de | Firewall – die nächste Generation


Kapitel 1

Schichten des OSI-Referenzmodells, also Die dritte Generation:


auf der Grundstufe. Der Filter arbeitet mit Schutz der Anwendungsebene
Protokollen und Portnummern. Soll also Die dritte Generation der Firewalls wurde
beispielsweise Telnet blockiert werden, so 1994 konzipiert und führte IP-Filter und
sperrt die Firewall einfach Port 23 für das Socket-Transparenz ein. Auf dieser Ebene
TCP-Protokoll. werden Anwendungen relevant. Der
Hauptvorteil des Filterns auf der Anwen-
Die zweite Generation: dungsebene besteht darin, dass es be-
Stateful Filter stimmte Anwendungen und Protokolle wie
Schon 1989/90 wurde die nächste Gene- FTP, DNS und HTTP quasi „verstehen“
Gufw ist eine grafische ration konzipiert: Stateful Filter. Diese Filter kann. Das ist nützlich, um zu entdecken,
Benutzeroberfläche für arbeiten nicht nur auf den OSI-Schichten ob ein unerwünschtes Protokoll versucht,
Uncomplicated Firewall, 1 bis 3, sondern auch auf Ebene 4, der die Firewall an einem erlaubten Port zu
welche wiederum eine Transportschicht. Dabei werden Daten- überwinden. Auch lässt sich feststellen, ob
Umgebung für Netfilter
pakete solange zurückgehalten, bis die ein Protokoll auf schädigende Weise miss-
ist. (Bild: Wikipedia)
Firewall beurteilen kann, welchen Status braucht wird.
(„state“) sie innehaben: Sind sie der Start-
punkt einer neuen Verbindung, Teil einer Next-Generation Firewalls
bestehenden Verbindung oder nicht Teil Doch die Bedrohungen haben inzwischen
irgendeiner Verbindung? Diese Zustände die höchsten OSI-Schichten erreicht. Die
lassen sich nun als Regelkriterium anwen- Next-Generation Firewall (NGFW) erweitert
den. Bestimmte Denial-of-Service-Angriffe und vertieft die vorhandene Funktionalität.
(DoS) bombardieren nämlich die Firewall Die tiefergehende Inspektion der Daten-
pakete, Applikationskontrolle und der sig-
naturbasierte Vergleich mit Bedrohungen
sowie deren Blockierung gehören heute
ebenfalls zum Funktionsumfang. Diese
Aufgaben werden u.a. von einer IPS Engine
(vgl. Kapitel 2) erfüllt.
Eine Next-Generation Firewall sollte also
auch die Nutzeridentität verifizieren kön-
nen, indem sie IP- und MAC-Adressen hin-
sichtlich ihrer Reputation identifiziert, und
eine rollenbasierte Policy umsetzen kön-
nen. Eine Web Application Firewall (WAF),
die Web-spezifische Gefahren abwehrt,
gehört ebenfalls dazu.
Next-Generation Firewalls (NGFW) erwei-
Beispiel für die tern den Funktionsumfang der traditionel-
Platzierung einer mit großen Mengen gefälschter Verbin- len Firewalls erheblich um Applikations-
Firewall in einem
dungspakete, um sie sozusagen in die und Nutzerkontrolle. Heute sind für jede
Unternehmens-Netz-
werk. (Bild: Wikipedia)
Knie zu zwingen, wenn ihr Speicher für Unternehmensgröße Angebote zu finden,
Verbindungszustände „überläuft“. Aus die- als Hardware, virtuelle Appliance und in der
sem Grund ist der technische Aspekt der Cloud. Mehr dazu in den Kapiteln 2 und 4.
Kapazität einer Firewall von großer Bedeu-
tung. Darauf geht Kapitel 4 näher ein.

5 Security-Insider.de | Firewall – die nächste Generation


Kapitel 2

Aufgaben eines
Intrusion Detection &
Prevention Systems
Selbst eine Firewall ist ohne ein Intrusion Detection/Prevention System
(IDS/IPS) nur bedingt als Bollwerk gegen Bedrohungen tauglich, denn
so lassen sich im Grunde nur einige Ports und Protokolle blockieren.
Auf den übrigen Zugängen könnten Eindringlinge unbehelligt das
System entern.

A) Host-basierte IDS
(HIDS)
Ein HIDS muss auf jedem
zu überwachenden System
installiert werden. In diesem
Kontext ist als „Host“ jedes
System gemeint, auf wel-
chem ein IDS installiert ist,
und nicht lediglich ein Groß-
Beispiel für eine rechner.
IPS-Appliance, hier das Das Intrusion Detection/Prevention System Ein HIDS muss das Betriebssystem unter-
IPS S5200 NX von HP scannt jedoch den Netz-Traffic auf zuläs- stützen. Es erhält seine Informationen aus
sige beziehungsweise unzulässige oder Log-Dateien, Kernel-Daten und anderen
gar schädliche Aktivitäten – beispielsweise Systemdaten wie etwa der Registrierungs-
unzulässige Protokolle – und kann diese datenbank des Betriebssystems. Es löst
unterbinden. Als Grundlage dienen dabei einen Alarm aus, sobald es in den über-
meist Signaturen für Schadcode, die mög- wachten Daten einen vermeintlichen An-
lichst schnell erzeugt, verbreitet und ein- griff erkennt. Eine Unterart der HIDS sind
gespielt werden müssen, um effektiv sein sogenannte „System Integrity Verifiers“,
zu können. Moderne IPS-Typen sind ver- die mit Hilfe von Prüfsummen (Checksums)
haltensbasiert und können Anomalien auf bestimmen, ob Veränderungen am System
den OSI-Schichten 7 (Application) und 8 vorgenommen wurden.
(Individual User) detektieren. Ein HIDS bietet Vor- und Nachteile. Es
liefert sehr spezifische Aussagen über
Intrusion Detection System (IDS) den Angriff und kann ein System um-
Man unterscheidet drei Arten von IDS: fassend überwachen. Allerdings lässt es
• Host-basierte IDS sich durch einen Denial-of-Service-Angriff
• Netzwerk-basierte IDS außer Gefecht setzen und auf diese Weise
• Hybride IDS lahmlegen.

6 Security-Insider.de | Firewall – die nächste Generation


Kapitel 2

B) Netzwerk-basierte IDS (NIDS) ckung bei der Erkennung von aufgetrete-


NIDS versuchen, alle Pakete im Netzwerk nen Angriffen gewährleisten zu können.
aufzuzeichnen, zu analysieren und ver- Man spricht in diesem Zusammenhang
dächtige Aktivitäten zu melden. Diese Sys- von netz- und hostbasierten Sensortypen,
teme versuchen außerdem, aus dem Netz- die an ein zentrales Managementsystem
werkverkehr Angriffsmuster zu erkennen. angeschlossen sind. Viele heute eingesetz-
Da in der heutigen Zeit überwiegend das te IDS verfügen über eine solche hybride
Internetprotokoll (IP) eingesetzt wird, dürfte Funktionsweise.
auch ein Angriff über dieses Protokoll erfol- Grundsätzlich gibt es zwei Verfahren zur
gen. Mit nur einem Sensor kann ein ganzes Einbruchserkennung: den Vergleich mit
Netzsegment überwacht werden. Jedoch bekannten Angriffssignaturen und die so-
kann die Datenmenge eines modernen genannte statistische Analyse. Die meisten
1-GBit-LANs die Bandbreite des Sensors IDS arbeiten mit Filtern und Signaturen, die
übersteigen. Dann müssen Daten-Pakete spezifische Angriffsmuster beschreiben.
verworfen werden, was keine lückenlose Der Nachteil dieses Vorgehens ist, dass
Überwachung mehr garantiert. nur bereits bekannte Angriffe erkannt wer-
den können.
Der komplette Prozess unterteilt sich dabei
in drei Schritte. Die Wahrnehmung eines
IDS wird durch Sensoren ermöglicht, die
Log-Daten (HIDS) oder Daten des Netz-
werkverkehrs (NIDS) sammeln. Während
der Mustererkennung überprüft und ver-
arbeitet das Intrusion Detection System
die gesammelten Daten und vergleicht sie
mit Signaturen aus der Musterdatenbank.
Treffen Ereignisse auf eines der Muster zu,
so wird ein Alarm ausgelöst. Dieser kann
in einer Nachricht an den Systemverwalter
bestehen, aber auch eine Sperrung oder
Isolierung des vermeintlichen Eindringlings
Das Dashboard des IPS zur Folge haben. Das hängt vom Funk­
HP TippingPoint zeigt
Ein NIDS bietet Vor- und Nachteile. Ein ein- tionsumfang ab.
an, welche und wie
viele Angriffe registriert ziger Sensor kann ein ganzes Netz über- Andere IDS verwenden heuristische Metho­
worden sind. wachen, und durch Ausschalten eines Ziel- den, um auch bisher unbekannte Angriffe
systems ist die Funktion des Sensors nicht zu erkennen. Das Ziel besteht darin, nicht
gefährdet. Wird jedoch die Bandbreite des nur bereits bekannte Angriffe, sondern
NIDS überlastet, erfolgt die Überwachung auch ähnliche Angriffe oder ein Abweichen
nicht mehr lückenlos. Es erfolgt auch keine von einem Normalzustand zu erkennen. In
lückenlose Überwachung in geswitchten der Praxis haben signaturbasierte Syste-
Netzwerken (nur durch Mirror-Port auf ei- me mit Abstand die größte Verbreitung. Ein
nem Switch). Hauptproblem beim praktischen Einsatz
von IDS ist, dass sie entweder viele falsche
C) Hybride IDS Warnungen (falsch positiv) generieren oder
Hybride IDS verbinden die Prinzipien von einige Angriffe nicht entdecken (falsch
HIDS und NIDS, um eine höhere Abde- negativ).

7 Security-Insider.de | Firewall – die nächste Generation


Kapitel 2

Intrusion Prevention System (IPS) Wie bei den Intrusion-Detection-Systemen


Im Unterschied zu Intrusion-Detection- unterscheidet man nach ihrer Funktions-
Systemen (IDS), die von außen auf eine weise verschiedene Arten von IPS:
Leitung „blicken“, sind Netzwerk-basierte • Das HIPS (Host-based IPS) wird auf dem
IPS (NIPS) in-line platziert, inspizieren also Rechner ausgeführt, in den ein Eindrin-
allen Traffic, der durch sie hindurchfließt. gen verhindert werden soll.
Im Fall des Falles können IPS daher schnell • Das NIPS (Network-based IPS) hinge-
reagieren. Sie senden einen Alarm aus, gen überwacht den Netzwerkverkehr, um
„droppen“ die schädlichen Datenpakete, angeschlossene Computer vor Eindring-
setzen die Verbindung zurück und/oder lingen zu schützen.
blockieren den Traffic, der von der regel- - Das CBIPS (Content-based IPS) unter­
verletzenden IP-Adresse stammt. sucht hierbei den Inhalt der übertra-
Eine IPS kann darüber hinaus CRC-Feh- genen Daten auf potentiell gefährliche
ler korrigieren, indem sie eine zyklische Komponenten.
Redun­danzprüfung (englisch cyclic redun- - Das Protocol Analysis IPS analysiert
dancy check, daher meist CRC) ausführt. die Übertragungen auf Protokollebene
und sucht dabei nach eventuellen An-
griffsmustern.
- Das RBIPS (Rate-based IPS) überwacht
Art und Menge des Datenverkehrs, um
netzwerktechnische Gegenmaßnah-
men einleiten zu können.

Kritik am IPS-Konzept
Eine Reihe von IDS & IPS-Produkten ist
aus zwei Gründen nicht ausreichend: Sie
sind signaturbasiert und daher nicht in
der Lage, aktuellste Bedrohungen zu er-
kennen. Außerdem verursachen sie viel zu
viele Fehlalarme, so dass Kunden viel Zeit
in das Management ihres Systems inves-
tieren müssen.
Im Dashboard des IPS
„Obwohl Intrusion-Detection-Technologie
HP TippingPoint werden
die Top-Attacken aufge-
Es ist ihr möglich, Paketströme zu de- schon länger eine fortgeschrittene Threat
listet. fragmentieren, TCP-Sequenzierungspro- Detection verspricht, konnte dieses Ver-
bleme zu verhindern und unerwünschte sprechen bisher nicht gehalten werden,
Transport- und Netzwerkschichtoptionen da sich diese Technologie noch immer zu
zu bereinigen. Das IPS verfügt in der sehr auf Signaturen verlässt. Das ist ein
Regel über Module, die aktiv die Regeln Faktor, der die Bewegung im Markt hin
von Firewall-Systemen beeinflussen. So- zu alternativen Detection-Produkten, wie
mit kann indirekt der Datenstrom unterbro- Specialized Threat Analysis and Prevention
chen oder verändert werden. Kurzum: Eine (STAP), getrieben hat“, so John Grady,
IPS-Appliance ist extrem nützlich. Deshalb Research Manager Security Products
ist eine IDS/IPS als Standardkomponente beim Marktforschungs- und Beratungs-
in praktisch jeder Next-Generation Firewall unternehmen IDC. „Das Problem ist in
zu finden. den meisten Fällen, dass die konsolidierte

8 Security-Insider.de | Firewall – die nächste Generation


Kapitel 2

IPS-Funktionalität immer noch sehr signa-


turorientiert ist, so dass die Sicherheit nur
marginal verbessert wird. Die Integration
von STAP-Technologie in die IPS-Techno-
logie bietet einen effizienteren und effek­
tiveren Ansatz, um Advanced Targeted
Attacks zu entdecken und die IT-Sicherheit
in Unternehmen generell zu verbessern.“

Auf der nächsten Ebene


des Dashboards werden Eine moderne IPS-Architektur bietet eine
die Angriffe nach Typen Bewertung der Angriffe, die durch IPS
aufgeführt.
identifiziert wurden. Damit werden Alarm-
meldungen deutlich reduziert, und die
Sicherheits-Teams können sich deshalb
auf die wirklichen Bedrohungen konzen-
trieren. IPS-Systeme arbeiten heute eng
im Verbund mit anderen Sicherheitsfunk-
tionen wie Firewalls, Virenscannern und
SIEM-Suiten (SIEM: System Information
and Event Management) zusammen. Dazu
muss die entsprechende Architektur eine
Orchestrierung aller Schutzmaßnahmen
vornehmen und durchsetzen. Nähere Infor­
mationen dazu finden Sie in Kapitel 6.

9 Security-Insider.de | Firewall – die nächste Generation


Kapitel 3

Next-Generation Firewalls
Die bisherige Firewall-Technologie, die nur den Perimeter des inneren
Netzwerks schützt, reicht nicht mehr aus, denn die Bedrohung kommt
nicht nur von außerhalb des Unternehmens, sondern auch von innen.
Next-Generation Firewalls (NGFW) erweitern den Funktionsumfang der
traditionellen Firewalls erheblich um Applikations- und Nutzerkontrolle.

eine erste Definition und hat sie seither


verfeinert. Es handle sich um eine integ-
rierte Netzwerkplattform, die eingehende
Inspek­tionen des Datenverkehrs vornehme
und Angriffe abwehre oder stoppe. Wichtig
ist der von Gartner erwähnte Zusatz­aspekt
der „wire-speed“, das heißt, dass die
Firewall mit der gleichen Geschwindigkeit
arbeiten muss wie die Leitungen, die sie
überwacht. Handelt es sich um 1-Gbps-
Netzwerk mit Ethernet, so muss auch die
Firewall (und die integrierte IDS/IPS) mit
1 Gbps arbeiten. Je nachdem, wie viele
Verbindungen (Sessions) zu überwachen
sind, muss die Kapazität der Firewall aus-
Im Dashboard von HP gelegt sein. Näheres dazu in Kapitel 4.
TippingPoint NGFW Bedrohungen von innen treten dann auf, Die Mindestbedingungen, die eine NGFW
wird eine ungewöhnli- wenn Unbefugte sich bereits Zugriffsberech- erfüllen muss, sind folgende:
che Aktivität angezeigt.
tigungen erschlichen haben, sei es durch 1) eine nicht störende In-line-Konfiguration;
Sie trägt die Farbe Rot,
um Gefahr zu signali- Social Engineering oder durch Phishing. Der 2) standardmäßige Firewall-Merkmale der
sieren. Sicherheitsbeauftragte muss deshalb auch ersten Generation, so etwa Network
wissen, welche Applikation sich außerhalb Address Translation (NAT) und Stateful
der dafür festgelegten Regeln verhält und Protocol Inspection (SPI) sowie Virtual
ob ein Nutzer unbefugte Tätigkeiten an den Private Networking (VPN);
Tag legt. Next-Generation Firewalls (NGFW) 3) eine signaturbasierte IPS-Engine;
erweitern den Funktionsumfang der traditi- 4) Überwachung von Anwendungen, Ein-
onellen Firewalls erheblich um Applikations- blick in den vollständigen Technologie-
und Nutzerkontrolle. stapel (siehe OSI-Schichtenmodell in
Kapitel 1) und feingranulare Steuerung;
NGFW – die Definition der 5) d
 ie Fähigkeit, Informationen von außer-
Gartner Group halb der Firewall aufzunehmen und zu
Was macht eine Next-Generation Firewall verarbeiten, so etwa verzeichnisbasierte
(NGFW) aus? Schon 2009 veröffentlichte Richtlinien (Policies), Verbotslisten (Black-
das Beratungsunternehmen Gartner Group lists), Freigabelisten (Whitelists) usw.

10 Security-Insider.de | Firewall – die nächste Generation


Kapitel 3

6) Upgrade-Möglichkeit, um künftige Infor- diese Arbeit niemals enden wird. Nichts


mationseingaben und Bedrohungen zu schätzen die Angreifer so sehr wie Zero-
verarbeiten; Day Exploits, also Schwachstellen, die
7) Entschlüsselung des SSL-Protokolls, um gerade bekannt geworden und noch nicht
unbefugte verschlüsselte Anwendungen gepatcht worden sind. Endet die War-
identifizieren zu können. tungszeit für ein Betriebssystem wie Win-
Anno 2009 sah die IT-orientierte Welt noch dows XP oder 2003, so stehen die Besitzer
ganz anders aus als heute. Deshalb sind von Zero-Day Exploits Gewehr bei Fuß, um
seitdem auch die Anforderungen an eine ihr Wissen meistbietend zu verkaufen.
NGFW gewachsen. Auch haben die Sicher- Deshalb fordern Experten wie die der
Gartner Group, dass die Kontrolle, die
eine NGFW ausübt, auf Applikations­ebene
möglichst feingranular ist. Denn dann kann
der Sicherheitsbeauftragte in der Firewall
nutzerspezifische Richtlinien (Policies) für
jede einzelne Anwendung anlegen und
durchsetzen. Eine NGFW sollte in der
Lage sein, selbst „gute“ Applikationen auf
eine breite Palette von Bedrohungen und
Schwachstellen hin abzutasten, sogar und
ganz besonders wenn es um vertrauliche
Datenlecks geht.

Sicherheitsrisiko mobile und


Cloud-Anwendungen
Im Dashboard von HP
Mittlerweile verfügen nicht nur Privatan-
TippingPoint NGFW las-
heitsbeauftragten inzwischen Herausfor- wender, sondern auch Firmenmitarbeiter
sen sich die wichtigsten
Applikationen gestaffelt derungen entdeckt, die sich verschärfen: über jeweils mindestens ein Mobilfunk-
nach ihrer Bandbreite steigende Kosten, wachsender Personal- und Internet-fähiges Endgerät, sei es ein
im Netzwerk anzeigen. mangel und immer weiter fortgeschrittene Smartphone, Tablet oder ein Dualsystem
Technologie der Angreifer. aus Notebook und Tablet-PC. Sie nutzen
darauf stets ganz bestimmte Applikatio-
Schutz von Anwendungen nen, sei es Whatsapp, Facebook oder eine
Die professionellen Angreifer verwenden Google-Office-App. Das wäre alles kein
heute mehrere Angriffsvektoren gleichzei- Problem, wenn es beim Anstieg der Pro-
tig. Die Ziels sind häufig entweder Daten- duktivität bliebe. Doch jede Anwendung,
banken oder Verzeichnisse mit Zugriffs- jeder Mobil-Browser weist Sicherheits­
berechtigungen, also Applikationen, auf lücken auf, so dass Schadcode ausgeführt
die nur Mitarbeiter zugreifen dürfen, die werden kann. Im Cyber Risk Report 2012
bestimmte, ausreichende Rechte dafür ha- von HP wiesen drei von vier Mobil-Apps
ben. Dagegen richten sich heute 80 Prozent Schwachstellen auf, die zu Datenabfluss
der Angriffe, denn zahlreiche Applikationen führen könnten. Deutsche Tests haben die-
weisen in ihrem Code Schwachstellen auf. se hohe Rate bestätigt.
Die Hersteller sind zwar bemüht, diese Für die Kontrolle der rasant steigenden
Sicherheitslücken zu schließen, doch jeder Zahl von mobilen Endgeräten müssen die
Microsoft Patch Day belegt erneut, dass Sicherheitsbeauftragten entsprechende

11 Security-Insider.de | Firewall – die nächste Generation


Kapitel 3

Ressourcen bereitstellen, d.h. sie müs- mengen im Zuge von Big Data rasch an-
sen entweder in leistungsfähigere Geräte, wachsen.
in mehr Personal und/oder in wesentlich Solange die rechtlichen Vorgaben (nach
mehr Zeit investieren – alles Ausgaben, die Bundesdatenschutzgesetz usw.) erfüllt
das eh schon schmale IT-Budget abde- werden, gibt es auch mit der Auslagerung
cken muss. der „Kronjuwelen“ kein Problem. Banken
Die Lage verschärft sich zunehmend, weil sind sowieso per Gesetz verpflichtet, in
immer mehr Anwendungen in die Cloud bestimmter Maximalentfernung ein Ersatz-
verlagert werden, weil sie dort wirtschaft- rechenzentrum zu betreiben, für den Fall,
licher zu betreiben und skalierbarer sind, dass ihr eigenes ausfällt.

Kollaboration mit SIEM-Lösungen


Das Netzwerk ist also durch Mobilnutzung
und die Cloud mittlerweile grenzenlos ge-
worden. Herkömmliche Firewalls, die dafür
nie ausgelegt waren, sind nicht in der
Lage, damit zurechtzukommen. Eine Next-
Generation Firewall mit entsprechender
Kapazität kann jedoch in Kollaboration mit
System Information and Event Management
(SIEM) Aktivitätsdaten sammeln, speichern
und auswerten, insbesondere Logfiles und
Ereignismeldungen. Die SIEM-Lösung hat
dann die Aufgabe, die Ereignisse miteinan-
der zu korrelieren.
Im Dashboard von HP
Weil Angreifer oft mehrere Vektoren nut-
TippingPoint NGFW
lassen sich die be- meist auch sicherer. Doch viele Firmen zen, um ein Abwehrsystem zu verwirren
rechtigten Nutzer der halten ihre Kronjuwelen, die Kundendaten, und zu infiltrieren, ist die Korrelation von
Firewall eintragen. weiterhin in den eigenen Mauern unter entscheidender Bedeutung. Wenn ein Mit-
Jeder Verwalter muss Verschluss. Wenn also mobile Mitarbeiter arbeiter, der in Rom angemeldet ist, sich
authentifiziert werden. eine Cloud-App wie etwa Salesforce.com gleichzeitig aus Athen am System anmel-
nutzen, müssen die kostbaren Kunden­ den will, ist offensichtlich etwas faul. Weil
daten weiterhin den mitunter weiten Weg SIEM-Lösungen solche Unstimmigkeiten
aus der Firma selbst machen, um beim aufdecken können, sind sie die ideale
mobilen Mitarbeiter entsprechenden Nut- Ergänzung zu NGFWs. Näheres dazu in
zen zu liefern. Das gleiche gilt natürlich für Kapitel 6.
Heimarbeiter.
Für das Unternehmen bedeutet es aber,
dass es sowohl für die interne Sicherheit
als auch für den Sicherheitsservice des
Rechenzentrums, das seine Cloud-App
betreibt, zahlen muss. Immer mehr Unter­
nehmen sehen diese Doppelbelastung
nicht mehr ein. Sie lagern ihre IT ganz aus,
um ihre IT und Security zu konsolidieren,
insbesondere dann, wenn auch die Daten-

12 Security-Insider.de | Firewall – die nächste Generation


Kapitel 4

Moderne Implemen­
tierungen einer
Next-Generation Firewall
Heute sind für jede Unternehmensgröße NGFW-Angebote zu
finden – als Hardware-Appliance, virtuelle Appliance und in der
Cloud als Managed Service bzw. Virtual Private Cloud.

nicht immer Blech sein, in dem sich eine


Appliance befindet, denn mittlerweile
lassen sich die Funktionen der Firewall-­
Appliance als Virtual Machine (VM) bereit-
stellen. Diese virtualisierte Software erlaubt
eine leichtere lokale Bereitstellung und fle-
xiblere Verschiebung, etwa auf eine leis-
tungsfähigere Server-Plattform.

Das Dashboard
Eine grafische Benutzeroberfläche für ein
Dashboard der Managementkonsole er-
laubt die produktive Nutzung der Next-
Generation Firewall durch den Sicherheits-
beauftragten (Chief Security Officer oder
Das Dashboard von HP
Die einzelnen Implementierungen der Chief Information & Security Officer). Ge-
TippingPoint liefert dem
Sicherheitsverantwort- Next-Generation Firewalls unterscheiden rade bei weniger erfahrenen Mitarbeitern
lichen ein umfassendes sich hinsichtlich ihres Datendurchsatzes kann das Dashboard nicht nur die Effekti-
Bild von der Lage. und Funktionsumfangs und bedienen so vität der Sicherheitsmaßnahmen erhöhen,
die Bedürfnisse aller Firmengrößen vom sondern auch davor bewahren, durch fal-
Kleinunternehmen bis zum Telekommu- sche Einstellungen Schwachstellen zu öff-
nikations-Carrier und Managed Service nen. Leistungsfähige Dashboards erlauben
Provider (MSP). die Echtzeitüberwachung der wichtigsten
Funktionen, etwa der Firewall und des IDS/
A) Appliance & Virtual Appliance IPS sowie der Richtlinien.
Eine Appliance ist ein Gerät, das auf ei-
nen ganz bestimmten Zweck zugeschnit- Kapazität und Verfügbarkeit
ten ist. Eine Datenbank-Appliance sorgt Von großer Bedeutung für die Effektivität
für Höchstleistung der Datenbank, eine einer Firewall ist bei einer Appliance nicht
Firewall-­
Appliance für die maximale Per- zuletzt die Kapazität. So gibt es beispiels-
formance der Firewall. Es muss jedoch weise Firewalls, die einen Datendurchsatz

13 Security-Insider.de | Firewall – die nächste Generation


Kapitel 4

Von Bedeutung ist auch die Handhabung


gleichzeitiger Sessions. Wenn eine Firewall
beispielsweise 2,8 Millionen gleichzeitige
Sessions oder 160.000 neue Sessions pro
Sekunde überwachen kann, dann sind das
sehr gute Werte, doch sie reichen für einen
Managed Service Provider unter Umstän-
den nicht aus. Hinzukommen Werte für die
Handhabung gleichzeitiger VPN-Sessions,
von denen jede einzeln verschlüsselt wer-
den muss.

B) Software & Cloud Services


Firewall-Appliances werden an bestimmten
Stellen im Netzwerk platziert, um Angrei-
Der Sicherheitsverant-
wortliche kann mit Hilfe
von 22,2 Gbps und einen VPN-Durchsatz fer abzuwehren. Doch die Philosophie des
des Dashboards von HP von 7,6 Gbps in der IPS erlauben. Das sind Perimeterschutzes ist bereits seit einigen
TippingPoint umfangrei- sehr gute Werte, die aber nicht jedes Un- Jahren als unzureichend kritisiert worden.
che Berichte erstellen. ternehmen benötigt. Ein Spitzenwert wäre Angreifer lassen sich nicht mehr an der
etwa 30 Gbps in der IPS und ein Firewall- Grenze des Firmennetzwerks aufspüren,
Durchsatz von 40 Gbps. Dafür sind jedoch geschweige denn aufhalten.
Hochleistungsprozessoren mit einem ent- Der Schutz einer NGFW muss sich auf alle
sprechenden Betriebssystem vonnöten, Komponenten des Netzwerks, die kabel-
das sie steuert. und funkgestützten Verbindungen sowie

Maximaler Funktionsumfang einer Firewall-Appliance


Nicht jede Firewall passt zu jedem • Web Proxy
Unternehmen, und nicht jedes Unter- • SSL Inspection
nehmen braucht jede Funktion. Deshalb • Netzwerkzugriffskontrolle (NAC) /
wird im hier beschriebenen Funktions- Endpunktkontrolle
umfang nur das Maximum an Leis- • Integriertes Schwachstellenmanage-
tungsumfang aufgezeigt. ment
• Firewall für Port- und Protokollüber- • 2-Faktor-Authentifizierung (mit Token)
wachung • Device- und OS-Erkennung
• VPN (SSL und IPsec) • IPv6 UTM Security
• Layer 2 & 3 Routing • Virtuelle Systeme (Virtual Domains,
• IPS/IDS VDOMs)
•A  nti-Virus einschließlich Sandboxing • Bandbreitenmanagement & Quality of
• Anti-Spam Service
• URL-Filter • Server Load Balancing
•A  pplikationskontrolle auf OSI-Ebene 7 • Hochverfügbarkeit & Cluster-Funktio-
• Data Loss Prevention (DLP) nalität
• WAN-Optimierung • Wireless Controller (für Funknetze mit
• WLAN Security 802.11a/b/g/n)
• WLAN Controller • Logging
• Switch Controller • Reporting

14 Security-Insider.de | Firewall – die nächste Generation


Kapitel 4

auf die Anwendungen erstrecken. Hinzu- defined Networking, SDN) wechselt die
kommt das immer häufiger anzutreffende „Intelligenz“ einer Architektur in die Soft-
Phänomen der DDoS-Angriffe (Distributed ware, die jeweils an den Netzwerkkompo-
Denial of Service). Diese Angriffe beschäf- nenten wie Router, Switches und Applian-
tigen Server und Appliances solange mit ces implementiert wird.
sinnlosen Anfragen, bis de- Beim SDN sind die Kontroll- und die
ren Kapazität erschöpft ist Daten­ebene voneinander entkoppelt. Da-
und sie ihren eigentlichen her kann die IT auf einer hohen Ebene Kon-
Dienst nicht mehr verse- figurations- und Policy-Vorgaben machen,
hen können. Dann ist die die dann in der Infrastruktur mit Hilfe des
Bahn für die eigentlichen OpenFlow-Protokolls über- und umgesetzt
Angreifer frei, es sei denn, werden. Eine OpenFlow-basierte SDN-­
ein DDoS-Angriff dient ei- Architektur macht es überflüssig, jedes
nem anderen Zweck, etwa einzelne Netzwerkgerät neu zu konfigurie-
der Erpressung und Nöti- ren, sobald sich ein Endpunkt, ein Service
gung eines Unternehmens. oder eine Anwendung ändert, indem sie
Um die Kapazität möglichst hinzugefügt oder verlegt wird, oder wenn
skalierbar zu machen, geht sich eine Policy ändert.
der Trend deutlich zur Be- Weil SDN-Controller der IT die vollständige
reitstellung entsprechen- Kontrolle über das Netzwerk in die Hand
der Funktionen als virtu- geben, lassen sich Merkmale wie Zugangs-
alisierte Ressource oder kontrolle und Datensicherheit über gan-
gleich zur Miete eines ze heterogene Netzwerk-Infrastrukturen
Cloud Services. Neben der hinweg einheitlich realisieren und nutzen.
besseren Verteidigungsfä- Damit kann die Netzwerkverwaltung die
higkeit und den wegfallen- Ebenen der Session, des Benutzers, des
Die Sicherheitsarchitek-
den Anschaffungskosten Geräts und der Anwendung automatisiert
tur Software-Defined hat dies zudem auch den Vorteil, die Lö- steuern. Eine NGFW kann mehrere hundert
Protection (SDP) verfügt sung leichter mit anderen Lösungen integ- Virtual Domains einrichten und verwalten,
über drei Funktions- rieren zu können. jede mit ihren eigenen Schutzfunktionen.
ebenen: Durchsetzung, Es gibt Firewalls, die nur Teil einer größeren Somit stellt sie ein kleines Rechenzentrum
Kontrolle und Verwal-
Lösung sind, die neben IDS/IPS und Anti- dar.
tung. (Bild: Check Point)
malware auch Integritätsüberwachung und Mit dieser Technologie gelingt es, zwi-
Log-Analysen anbietet. Maximaler Schutz schen den einzelnen Schutzzonen (Virtual
und Früherkennung von bislang nicht be- Domains) bzw. Netzwerksegmenten
kannten Angriffsvektoren sind entschei- Schranken und Filter einzurichten, die die
dende Vorteile. Funktionen der Next-Generation Firewall
und ihre Richtlinien auf den drei Ebenen
C) SDN, Architektur und Kontrolle, Durchsetzung und Verwaltung
Betriebssystem eines Unternehmensnetzwerks umfassend
Führende Sicherheitsanbieter haben nicht etwa vor Advanced Persistent Threats
nur ihr eigenes Betriebssystem für ihre (APTs) schützen können. Denn APTs ver-
Firewalls implementiert. Sie setzen auch suchen, sich von einem Punkt über das
eine jeweils eigene Systemarchitektur um. ganze Netzwerk auszubreiten und dabei
Im Hinblick auf das Software-definierte zunehmend umfassendere Zugriffsrech-
Rechenzentrum und Netzwerk (Software- te zu erlangen. Ein Hersteller hat diese

15 Security-Insider.de | Firewall – die nächste Generation


Kapitel 4

fallen zusätzlich Energiekosten für das


Kühlen an. Ein Rechenzentrum, das sich
nicht ausdehnen kann, muss auch darauf
achten, dass Geräte einen möglichst gerin-
gen Bedarf an Platz in den Server-Racks
benötigen.
Obwohl Appliances nach dem Prinzip
des Plug & Play gebaut sind, gibt es bei
NGFWs doch auch Anforderungen an die
Einrichtung, besonders bei den Policies.
Die Einfachheit der Konfiguration und ein
effektiv gestaltetes Dashboard können
sich als sehr vorteilhaft erweisen, um Per-
sonalkosten zu dämpfen. Mehr dazu in den
weiteren Kapiteln.

Die Durchsetzungs-
Schutztechnologie als „Software-Defined
ebene ist eine komple-
xe Funktionsschicht Protection“ (SDP) bezeichnet.
der Architektur für
Software-Defined Tests und TCO
Protection (SDP), die Nur wenige Hersteller lassen ihre Firewall-
als intelligenter Pfört-
Produkte von unabhängiger Seite testen
ner und Wächter dient.
(Bild: Check Point) und beurteilen. Manche Testberichte las-
sen sich von der Webseite eines solchen
Herstellers gratis herunterladen. Ein Bei-
spiel sind die NSS Labs. Sie attestieren
den besten Produkten eine Schutz-Erfolgs­
quote von über 99% – unter Real-World-
Bedingungen.
Für jedes Unternehmen spielt es eine Rol-
le, wie viel der laufende Einsatz von Sicher-
heits-IT kostet. Doch nur die wenigsten
Firewall-Hersteller brüsten sich damit, ei-
nen sehr niedrigen TCO-Wert aufzuweisen,
also günstige Gesamtbetriebskosten. Na-
türlich müssen diese niedrigen Betriebs-
kosten einer hohen Gesamtleistung ent-
sprechen.
So kann es einen Unterschied ausma-
chen, ob das Scannen eines Terabits an
Daten aufgrund der Anschaffungskosten
und des hohen Strombedarfs, sagen wir
mal, 10 Euro kostet oder 100 Euro. So eine
Appliance will auch gekühlt werden. Dann

16 Security-Insider.de | Firewall – die nächste Generation


Kapitel 5

Forschung & Berichte


über Sicherheitslücken
Da sich die Fähigkeiten und Kapazitäten der Cyberkriminellen
weltweit rasch weiterentwickeln, empfiehlt es sich, auch die eigenen
Sicherheitsmaßnahmen stets auf dem aktuellsten Stand zu halten.
Eine IPS/IDS ist beispielsweise häufig signaturbasiert und benötigt
deshalb ständige Updates dieser Signaturen, um Bedrohungen
erkennen zu können. Bei den übrigen Firewall-Komponenten wie
Antivirus, Antispam oder URL-Filter sieht es genauso aus.

Das Filtern von Ge- meisten Ziele anfangs nur zehn Angriffe er-
fahrenquellen, das fahren, wohingegen drei von 1.000 Kunden
auf der Reputation anfangs über hundert Angriffen ausgesetzt
von Dateien und An- waren. Danach gehen die Angriffe abge-
wendungen beruht, schwächt weiter.
ist abhängig von ak- Wichtig ist der Zeitpunkt: Wenn die früh-
tuellen Erkenntnis- zeitig angegriffenen Unternehmen ihre
sen des jeweiligen Alarmmeldungen mit entsprechenden In-
Anbieters aus einer formationen rasch weitergegeben hätten,
Anwender-Commu- dann wären die anderen Kunden relativ
nity, die Datenquel- zeitig gewarnt gewesen. Angemessene
len nach Gefährlich- Maßnahmen hätten anhand dieses Angrei-
keit bewertet. fer-Profils ergriffen werden können und der
So lassen sich Frei- Schaden hätte sich in Grenzen gehalten.
gabelisten (White- Deshalb sind Vulnerability Reports über
lists) und Verbots- Sicherheitslücken wie etwa von HP Security
listen (Blacklists) Research von größter Bedeutung: Die
Der Lebenszyklus eines
Advanced Persistent erstellen – mit einer hoffentlich schrump- Reports fassen aktuelle Forschungsergeb-
(Targeted) Threats fenden Grauzone dazwischen. nisse zusammen und verteilen die Erkennt-
ist umfangreich und nisse an Anwender und Experten.
komplex, genau wie die Advanced Persistent Threats Eine Art Agentur, die solche Erkenntnisse
Bedrohung, die ein APT
All diese Verfahren sind mittlerweile über in Echtzeit sammelt und umgehend Ab-
darstellt. (Bild: Dell)
sieben Jahre alt und somit den Angrei- wehrmaßnahmen wie etwa Virensignaturen
fern bestens bekannt. Ihre gezielten Atta- und Reports an ihre Service-Abonnenten
cken (Advanced Targeted bzw. Persistent verteilt, wäre daher eine sehr nützliche Sa-
Threats, APTs) finden deshalb mehrfach che. Zum Glück gibt es diese „Agenturen“
über einen längeren Zeitraum statt. Eine bereits. Große Security-Dienstleister wie
Untersuchung von 2012, die über fünf Jah- IBM, Symantec, Microsoft, HP oder Trend
re hinweg geführt wurde, ergab, dass die Micro stellen diesen Dienst für Gebühren

17 Security-Insider.de | Firewall – die nächste Generation


Kapitel 5

tale Räuber verloren hat. Aber sie möchte


sicherlich helfen, Angreiferprofile rechtzei-
tig und sicher zu verteilen, so dass alle ihre
anderen Niederlassungen von vernetzten
Cyberabwehrzentren geschützt werden.
Die Effektivität dieser Cyberabwehrzent-
ren, wie es sie auch in Deutschland gibt,
beruht auf der Zusammenarbeit und dem
Vertrauen der Kunden.
Diese bekommen im Austausch dafür ge-
eignete, wirksame Mittel für die Abwehr
von Bedrohungen. Diese Mittel kann das
Die HP-Sicherheits­ Cyberabwehrzentrum – für einen gewissen
organisation ist global zur Verfügung. Millionen von Unternehmen Obolus – auch selbst einsetzen, sofern der
aufgestellt. (Bild: HP) nutzen diese Schutzmaßnahmen. Kunde es wünscht. Ein solches Szenario
ist beispielsweise bei einer DDoS-Attacke
Vertrauen als zentrale Bedingung sehr empfehlenswert: Wenn Server mit
Der Punkt, auf den es dabei besonders einer Wucht von 100 Gbit/s angegriffen
ankommt, ist die Vertraulichkeit der sicher­ werden, dann hilft nur eine spezialisierte
heitsrelevanten Informationen. Nicht nur Infrastruktur, einen solchen massiven An-
sollen Cyberkriminelle nichts davon mit- griff abzuwehren.
bekommen, sondern es geht bei den Mel-
dungen seitens der angegriffenen Kunden Erfahrungsaustausch in Branchen
häufig um sehr schützenswerte Informa- Defensive Zusammenarbeit hat sich bei
tionen, die direkt mit einem potentiellen zwei Organisationen erfolgreich verwirk-
Risiko für die Reputation des meldenden lichen lassen: das Financial Services-
Unternehmens verknüpft sind. Information Sharing and Analysis Center
(FS-ISAC) und das Information Technology-­
Information Sharing and Analysis Center
(IT-ISAC). Es gibt in vielen Branchen ent-
sprechende ISAC-Organisationen, in de-
nen man nur Mitglied werden kann, wenn
man eine Prüfung bestanden hat. So wird
sichergestellt, dass keine verkappten An-
greifer in den Genuss privilegierter Infor-
mationen gelangen können, um so den
Schutz zu unterlaufen. Durch das so ge-
sicherte Vertrauen sind Kollaboration und
Informationsaustausch gewährleistet, was
in entsprechend geschützten Foren inten-
siv von statten geht.
Dennoch sind diese ISACs nicht die end-
Das HP-Cyberabwehr- gültige Lösung des Problems, denn der
zentrum in Böblingen Eine Bank möchte beispielsweise nicht un- Informationsaustausch erfolgt meist noch
bei Stuttgart. (Bild: HP)
bedingt an die große Glocke hängen, dass manuell und daher nicht schnell genug, um
sie gerade das Geld ihrer Kunden an digi- Angriffe in Echtzeit abwehren zu können.

18 Security-Insider.de | Firewall – die nächste Generation


Kapitel 5

Einer der Bildschirme


im HP-Cyberabwehr- Cyberabwehrzentren, die automatisierte derer Anbieter, bringen die Vulnerability
zentrum zeigt in Echt- Technik einsetzen und Richtlinien anwen- Research direkt zu den jeweiligen Kunden.
zeit, welche Angriffe in den, sind in der Regel schneller. Damit weitere Plattformen für den sicheren
aller Welt über das In- und schnellen Austausch über Gefahren­
ternet geführt werden. Zero Day Initiative von HP infos etabliert werden, entwickeln Experten
Die Darstellung lässt
sich bei Norse-IP-Viking Ein weiteres Beispiel ist die Zero Day Initia- weitere Leitlinien und Strukturen.
finden. (Bild: Michael tive (ZDI) des Herstellers Hewlett-Packard
Matzer) (HP). Diese Plattform für den Informations-
austausch verknüpft seit 2005 die Erkennt-
nisse der HP Digital Vaccine Labs (HP
DVLabs) über Sicherheitslücken mit den
aktuellsten (Zero-Day) Erkenntnissen ex-
terner Sicherheitsexperten. Informationen
über neue, nachprüfbare Schwachstellen
bekommt das ZDI so im Austausch für
finanzielle Anreize. Danach wird ein Patch
für die Schwachstelle entwickelt und an
den betroffenen Hersteller übergeben, der
den Patch testet, einspielt und an befug-
te Empfänger verteilt. Man denke etwa an
den monatlichen Microsoft Patch Day.
HP ZDI entwickelt auch Patches für seine
eigenen Produkte. Diese Filter – es sind
mittlerweile über 7.400 – kommen Nutzern
von HPs TippingPoint Next-Generation
Firewall zugute. Lokale Cyberabwehr-­
Zentren, etwa von HP, aber auch die an-

19 Security-Insider.de | Firewall – die nächste Generation


Kapitel 6

Nur integrierte Lösungen


sind effektiv und effizient
nutzbar
Die Bereitstellung von Einzellösungen wie etwa einem Intrusion-
Prevention-System oder einer Anti-Virus/Anti-Malware-Lösung
erweist sich als unzureichend, wenn es darum geht, die Wirksamkeit
der First-Generation Firewall zu steigern. Solange die Firewall
nur Ports und Protokolle kontrolliert, nicht aber Applikationen
und Nutzer, bleibt auch die Effektivität der anderen Insellösungen
begrenzt. Angreifer umgehen diese Insellösungen einfach.

gibt keine NGFW, die jedem optimal passt,


und jeder Nutzer sollte die NGFW entspre-
chend konfigurieren. Auf lange Sicht sind
es jedoch vor allem die wirtschaftlichen
Aspekte des Einsatzes einer NGFW, die es
bei einer Lösungsauswahl zu beachten gilt.
Lohnt sich der Betrieb einer NGFW? Die
Verwaltungsmöglichkeiten, die Einfach-
heit und Schnelligkeit der Bereitstellung,
Lizenz- und Wartungskosten, die Möglich-
In einem Prozess, der
die Funktionen der Selbst wenn man in leistungsfähige Hard- keiten des Supports durch die IT-Abteilung
Firewall mit den ware investiert, führt dies nicht zu mehr sind wichtige Aspekte, die die Gesamt-
Informationen des Wirksamkeit und Schutz, sondern lediglich betriebskosten (Total Cost of Ownership,
IT-Betriebs zusam- zu mehr Verwaltungs- und Wartungsauf- TCO) einer NGFW beeinflussen.
menführt, lassen sich
wand und weniger Platz im Serverraum Wenn das Personal zeitlich zu sehr bean-
Gefahren im Kontext
besser erkennen und
bzw. im Rechenzentrum. Die wichtigste Al- sprucht wird, um die NGFW zu verwalten,
bekämpfen ... ternative sind, wie beschrieben, integrierte dann ist das ein wichtiger Faktor, der sich
Next-Generation Firewalls (NGFW) als All- zu einem Sicherheitsrisiko auswachsen
round-Lösungen. Sie sollten mit aktuells- kann. Das Problem besteht offenbar nicht
ten Informationsdiensten und, wo nötig, in der Soft- oder Hardware, sondern vor
durch weitere Produkte ergänzt werden. allem im Mangel an geschultem Perso-
nal mit höherwertigen Fachkenntnissen,
Auswahlkriterien für eine NGFW um die Konfiguration korrekt und optimal
Nicht jedes Unternehmen kann die glei- vorzunehmen. Ein leicht verständliches
chen Vorteile aus einer NGFW ziehen. Es und vollständig anpassbares Dashboard

20 Security-Insider.de | Firewall – die nächste Generation


Kapitel 6

unterstützt beispielsweise die Akzeptanz Wer diesen Aufwand scheut oder nicht
und intensive Nutzung der NGFW-Funk­ aufbringen kann, hat die Möglichkeit, die
tionen durch das Personal. Dienste eines Cyberabwehrzentrums in
Anspruch zu nehmen. Es verfügt durch die
Steigerung der Effektivität Vernetzung mit anderen Cyberabwehrzen-
einer NGFW tren und eine globale Forschungsorganisa-
Die Effektivität der NGFW ergibt sich be- tion wie die HP Security Labs über global
sonders aus ihrer Integrierbarkeit in die eingeholtes Wissen zu Schwachstellen,
vorhandene Infrastruktur für Sicherheit und Sicherheitslücken und Zero-Day Exploits.
Netzwerke. Ihre Zuverlässigkeit ist eines Die Echtzeit-Überwachung von Angriffs-
der Schlüsselkriterien für ihren Einsatz. Je wellen stärkt die Schutzmaßnahmen,
höher die Ausfallsicherheit, desto besser und selbst DDoS-Attacken lassen sich
der Schutz. Die IPS von HP beispielsweise abwehren.
kann mit einer Bereitschaft von 99,99999 Ein weiterer Vorteil: Dem erwähnten
lokalen Mangel an geschultem Personal mit
Fachkenntnissen lässt sich durch Nutzung
von regional wirksamen Cyberabwehr­
zentren abhelfen, die global miteinander
vernetzt sind.

Vollständig integriert: HP-Lösungen


für Enterprise Security
1) HP TippingPoint: Gezielte Angriffs-
methoden, ausgefeilte Bedrohungen und
APTs (Advanced Persistent Threats) fahren
fort, die herkömmlichen Lösungen für die
Netzwerksicherheit, also etwa Firewalls
der ersten Generation, mit Ausweichma-
... Dieser Prozess zeitigt növern zu durchdringen. Zu diesen Takti-
nach Angaben der Prozent der Betriebszeit aufwarten. ken gehören ein sich langsam entfaltender
HP DVLabs eine höhere
Schnelle Reaktionszeit, wöchentlich auf- Schadcode, infizierte Mobilgeräte und gut
Effektivität als ver-
gleichbare Lösungen.
gefrischte Filter – es sind über 7.400 – aus versteckte Malware-Fracht, die mit einem
den HP Digital Vaccine Labs und natürlich IDS/IPS schwer zu entdecken ist.
der Schutz von verkabelten wie auch funk- Mit Hilfe der Software des Sicherheitsspe-
basierten Endgeräten gehören zu den Vor- zialisten Trend Micro ist die Produktfami-
teilen, die die TippingPoint NGFW von HP lie der HP TippingPoint Advanced Threat
bietet. Appliance (ATA) in der Lage, Schadcode
Des Weiteren können Next-Generation zunächst auf sein Verhalten zu unter-
Firewalls nur so effektiv sein wie die Infor- suchen, weil er sich in einer „Sandbox“
mationen, die sie erhalten. Um aktuellste (wörtlich: Sandkasten), einem geschützten
und relevante Informationen zu erhalten, Speicherbereich, befindet. Sollte Schad-
sind Vulnerability Reports nötig. Der Aus- code dennoch das Netzwerk infiltrieren,
tausch in den Webforen von branchen- kann die verfeinerte Aufspürtechnologie
orientierten ISAC-Organisationen ist ein der ATA die verdächtige Verhaltensweise
möglicher Weg, um die Effektivität des identifizieren. Diese Sichtbarkeit gibt dem
Schutzes zu steigern. Kunden ausreichend Gelegenheit, schnell

21 Security-Insider.de | Firewall – die nächste Generation


Kapitel 6

HP bietet eine Reihe


aufeinander abge- zu reagieren, bevor die Malware Schaden Diese vier Lösungen sind nicht nur mitein-
stimmter und integrier- anrichten kann. ander integrierbar, sie bilden auch Baustei-
barer Lösungen zur Un- ne innerhalb der HP Security Intelligence
ternehmenssicherheit.
2) Mit HP ArcSight lassen sich zusätzlich and Risk Management Platform (SIRM).
sicherheitsrelevante Systemereignisse Die Plattform unterstützt ein Unterneh-
überwachen, korrelieren und bei Gefahr men dabei, das Sicherheitsrisiko, dem es
unterbinden. Die SIEM-Lösung ArcSight ausgesetzt ist, herauszufinden, zu eva-
Express lässt sich entweder als Hardware- luieren und es einzudämmen – und zwar
Appliance oder als Virtuelle Appliance in- zu Kosten, die vertretbar sind. Mit Risk
stallieren. Je nach Kundenanforderungen Management lassen sich auch zuverlässi-
bietet die jeweilige Produktfamilie – es ge Entscheidungen treffen, die das Wohl
gibt sechs Ausführungen mit jeweils unter- oder Wehe des Unternehmenskapitals –
schiedlicher Kapazität – mehr Vorteile. Finanzen, Patente, Kundenvertrauen und
Aufrechterhaltung der Geschäftstätigkeit –
3) HP Atalla sorgt durch Verschlüsselung betreffen.
für die Absicherung des Datenverkehrs in
bzw. mit der Cloud sowie im Zahlungs­
verkehr.

4) HP Fortify dient dem Aufspüren und


dem Beseitigen von Sicherheitslücken in
unternehmens- bzw. kundeneigenen Appli­
kationen, seien diese nun im eigenen Haus,
mobile Apps oder Web-Anwendungen.

22 Security-Insider.de | Firewall – die nächste Generation

Das könnte Ihnen auch gefallen