Security

eBook

Firewall – von A bis Z

Moderne Implementierungen einer Next-Generation Firewall
Forschung und Berichte über Sicherheitslücken
Integrierte Lösungen gegen die aktuellen Bedrohungen

Powered by:

Security
Eine Publikation von
Insider
 Inhalt


3 Firewall – die nächste Generation


4 Die Aufgaben einer Firewall
6 Aufgaben eines Intrusion
Detection & Prevention Systems
10
Next-Generation Firewalls
13 Moderne Implementierungen
einer Next-Generation Firewall
17 Forschung & Berichte über
Sicherheitslücken
20 Nur integrierte Lösungen sind
effektiv und effizient nutzbar

Powered by: Vogel IT-Medien GmbH
August-Wessels-Str. 27, 86156 Augsburg
Telefon +49 (0) 821/2177-0
E-Mail redaktion@security-insider.de
Web www.Security-Insider.de
Geschäftsführer: Werner Nieberle
Hewlett-Packard GmbH
Chefredakteur: Peter Schmitz, V.i.S.d.P.
Herrenberger Str. 140
Autor: Michael Matzer
71034 Böblingen
Erscheinungstermin: März 2015
Telefon 07031/14-0
Titelbild: Absemetov - Fotolia.com
Telefax 07031/14-2999
E-Mail firmen.kunden@hp.com
Web www.hp.com/de
Haftung: Für den Fall, dass Beiträge oder Informa­ tionen
unzutreffend oder fehlerhaft sind, haftet der Verlag nur beim
Nachweis grober Fahrlässigkeit. Für Beiträge, die namentlich
gekennzeichnet sind, ist der jeweilige Autor verantwortlich.
Copyright: Vogel IT-Medien GmbH. Alle Rechte vorbehalten.
Nachdruck, digitale Verwendung jeder Art, Vervielfältigung nur
mit schriftlicher Genehmigung der Redaktion.
Nachdruck und elektronische Nutzung: Wenn Sie Beiträge
dieses eBooks für eigene Veröffent­li­chun­gen wie Sonderdru-
cke, Websites, sonstige elektroni­sche Medien oder Kunden-
zeitschriften nutzen möchten, erhalten Sie Informationen so-
wie die erforderlichen Rechte über www.mycontentfactory.de,
Tel. +49 (0) 931/418-2786.

2 Security-Insider.de | Firewall – die nächste Generation

Einleitung

Firewall – die nächste

Generation
Eine Firewall bildet den zentralen Baustein für Datensicherheit. Im
Netzwerk kontrolliert sie den Datenaustausch hinter der Firewall,
aber natürlich auch mit dem meist unsicheren Internet. Firewalls
haben sich rasch weiterentwickelt, stehen aber heutzutage wohl
ihren größten Herausforderungen gegenüber. Dieses eBook
beschreibt sowohl die Bedrohungen und Risiken als auch die
Gegenmaßnahmen, die ergriffen werden können.

Next-Generation Firewalls (NGFW) erwei­ Kapitel 5 argumentiert, dass eine NGFW

tern den Funktionsumfang der traditio- stets durch eine in der Unternehmensorga-
nellen Firewalls erheblich um Applika- nisation verankerte Informationspolitik un-
tions- und Nutzerkontrolle. Heute sind terstützt werden muss: Rasche Updates,
entsprechende Angebote für jede Unter- Reports und Patches sind eine Grundbe-
nehmensgröße zu finden – als Hardware, dingung für die Effektivität einer NGFW.
virtuelle Appliance und in der Cloud. Sie Diese Aspekte werden in Kapitel 6 durch
unterscheiden sich hinsichtlich ihrer Kapa­ das Argument ergänzt, dass nur integrier-
zität und ihres Funktionsumfangs und te Sicherheitslösungen wirklichen Schutz
bedienen so die Bedürfnisse aller Firmen- bieten können.
größen vom Kleinunternehmen bis zum
Telekommunikations-Carrier und Managed
Service Provider (MSP).
Die sechs Kapitel dieses eBooks bauen
aufeinander auf. Nach der Evolution der
Firewall stellt Kapitel 2 die zentrale Kompo-
nente des Eindringschutzes (IDS/IPS) vor,
bevor die Rede auf die Next-Generation
Firewall (NGFW) kommt. Kapitel 4 versucht
einen Weg durch das Dickicht der mögli-
chen Implementierungen einer modernen
NGFW zu bahnen.

3 Security-Insider.de | Firewall – die nächste Generation

Kapitel 1

Die Aufgaben einer

Firewall
Eine Firewall – wörtlich „Brandmauer“ – ist der zentrale Baustein
in den Schutzmaßnahmen eines Netzwerks. Die Evolution der
Firewall bis zu den heutigen Next-Generation Firewalls war lang.

Evolution: Der Anfang

Das OSI-Schichten­
modell beschreibt alle
Ebenen eines Netz-
werks. (Bild: Wikipedia)
Am Anfang ihrer Entwicklungsgeschichte
diente eine Firewall lediglich dazu, den
hereinkommenden und ausgehenden
Datenver­kehr anhand eines angewandten
Regelsatzes zu kontrollieren. Damit er-
richtet sie eine Schranke zwischen einem
vertrauenswürdigen Netzwerk und einem
anderen Netzwerk, wie etwa dem Internet,
das als nicht vertrauenswürdig und als un-
sicher angenommen wird.
Firewalls existieren als Software, als Hard-
ware (meist als dedizierte Appliance) oder
als Managed Service in der Cloud. Viele
Appliances vereinen inzwischen die Funk-
tion als Firewall mit der eines Intrusion
Protection Systems (IPS), eines Antiviren­
scanners und eines DHCP-Servers. Darauf
geht Kapitel 4 näher ein.
Die Evolution der Firewall bis zu den heu-
tigen Next-Generation Firewalls war lang.
Sie begann bei den einfachen Firewall-
Funktionen wie Packet Filtering, NAT
(Network Address Translation), Stateful
Inspection und VPN-Support (VPN: Virtual
Private Network).
Das Packet Filtering wurde bereits 1988
für die erste Generation von Firewalls kon-
zipiert. Die Filter inspizieren die Daten-
Pakete, die zwischen den Rechnern des
Internet ausgetauscht werden. Bei der
Inspektion wendet die Firewall ihre vorher
eingestellten Regeln an. Entspricht ein Da-
tenpaket den Regeln, darf es die Schranke
passieren, beim Gegenteil erhält der Ab-
sender eine Fehlermeldung. Die Regel wird
nur auf den Inhalt und seinen Header, nicht
auf die Verbindung angewandt.
Die wichtigsten Protokolle, die im Header
eines Datenpakets genannt werden, sind
TCP und UDP. Sie benutzen wohlbe-
kannte Ports – beispielsweise Port 80 –
im Netzwerk für bestimmte Zwecke, wie
etwa Web-Browsing, Email-Übertragung,
Dateiübertragung usw. Auf diese Weise
kann ein „Stateless“-Filter zwischen ihnen
unterscheiden und den Datenverkehr auf
diese Weise steuern, es sei denn, beide
Maschinen würden die gleichen, nicht
standardmäßigen Ports verwenden. Solche
Firewalls arbeiten auf den ersten drei

4 Security-Insider.de | Firewall – die nächste Generation

Kapitel 1
Gufw ist eine grafische
Benutzeroberfläche für
Uncomplicated Firewall,
welche wiederum eine
Umgebung für Netfilter
ist. (Bild: Wikipedia)
Beispiel für die
Platzierung einer
Firewall in einem
Unternehmens-Netz-
werk. (Bild: Wikipedia)
5 Security-Insider.de | Firewall – die nächste Generation
Schichten des OSI-Referenzmodells, also
auf der Grundstufe. Der Filter arbeitet mit
Protokollen und Portnummern. Soll also
beispielsweise Telnet blockiert werden, so
sperrt die Firewall einfach Port 23 für das
TCP-Protokoll.
Die zweite Generation:
Stateful Filter
Schon 1989/90 wurde die nächste Gene-
ration konzipiert: Stateful Filter. Diese Filter
arbeiten nicht nur auf den OSI-Schichten
1 bis 3, sondern auch auf Ebene 4, der
Transportschicht. Dabei werden Daten-
pakete solange zurückgehalten, bis die
Firewall beurteilen kann, welchen Status
(„state“) sie innehaben: Sind sie der Start-
punkt einer neuen Verbindung, Teil einer
bestehenden Verbindung oder nicht Teil
irgendeiner Verbindung? Diese Zustände
lassen sich nun als Regelkriterium anwen-
den. Bestimmte Denial-of-Service-Angriffe
(DoS) bombardieren nämlich die Firewall
mit großen Mengen gefälschter Verbin-
dungspakete, um sie sozusagen in die
Knie zu zwingen, wenn ihr Speicher für
Verbindungszustände „überläuft“. Aus die-
sem Grund ist der technische Aspekt der
Kapazität einer Firewall von großer Bedeu-
tung. Darauf geht Kapitel 4 näher ein.
Die dritte Generation:
Schutz der Anwendungsebene
Die dritte Generation der Firewalls wurde
1994 konzipiert und führte IP-Filter und
Socket-Transparenz ein. Auf dieser Ebene
werden Anwendungen relevant. Der
Hauptvorteil des Filterns auf der Anwen-
dungsebene besteht darin, dass es be-
stimmte Anwendungen und Protokolle wie
FTP, DNS und HTTP quasi „verstehen“
kann. Das ist nützlich, um zu entdecken,
ob ein unerwünschtes Protokoll versucht,
die Firewall an einem erlaubten Port zu
überwinden. Auch lässt sich feststellen, ob
ein Protokoll auf schädigende Weise miss-
braucht wird.
Next-Generation Firewalls
Doch die Bedrohungen haben inzwischen
die höchsten OSI-Schichten erreicht. Die
Next-Generation Firewall (NGFW) erweitert
und vertieft die vorhandene Funktionalität.
Die tiefergehende Inspektion der Daten-
pakete, Applikationskontrolle und der sig-
naturbasierte Vergleich mit Bedrohungen
sowie deren Blockierung gehören heute
ebenfalls zum Funktionsumfang. Diese
Aufgaben werden u.a. von einer IPS Engine
(vgl. Kapitel 2) erfüllt.
Eine Next-Generation Firewall sollte also
auch die Nutzeridentität verifizieren kön-
nen, indem sie IP- und MAC-Adressen hin-
sichtlich ihrer Reputation identifiziert, und
eine rollenbasierte Policy umsetzen kön-
nen. Eine Web Application Firewall (WAF),
die Web-spezifische Gefahren abwehrt,
gehört ebenfalls dazu.
Next-Generation Firewalls (NGFW) erwei-
tern den Funktionsumfang der traditionel-
len Firewalls erheblich um Applikations-
und Nutzerkontrolle. Heute sind für jede
Unternehmensgröße Angebote zu finden,
als Hardware, virtuelle Appliance und in der
Cloud. Mehr dazu in den Kapiteln 2 und 4.
Kapitel 2

Aufgaben eines
Intrusion Detection &
Prevention Systems
Selbst eine Firewall ist ohne ein Intrusion Detection/Prevention System
(IDS/IPS) nur bedingt als Bollwerk gegen Bedrohungen tauglich, denn
so lassen sich im Grunde nur einige Ports und Protokolle blockieren.
Auf den übrigen Zugängen könnten Eindringlinge unbehelligt das
System entern.

Beispiel für eine
IPS-Appliance, hier das
IPS S5200 NX von HP
Das Intrusion Detection/Prevention System
scannt jedoch den Netz-Traffic auf zuläs-
sige beziehungsweise unzulässige oder
gar schädliche Aktivitäten – beispielsweise
unzulässige Protokolle – und kann diese
unterbinden. Als Grundlage dienen dabei
meist Signaturen für Schadcode, die mög-
lichst schnell erzeugt, verbreitet und ein-
gespielt werden müssen, um effektiv sein
zu können. Moderne IPS-Typen sind ver-
haltensbasiert und können Anomalien auf
den OSI-Schichten 7 (Application) und 8
(Individual User) detektieren.
Intrusion Detection System (IDS)
Man unterscheidet drei Arten von IDS:
• Host-basierte IDS
• Netzwerk-basierte IDS
• Hybride IDS
A) Host-basierte IDS
(HIDS)
Ein HIDS muss auf jedem
zu überwachenden System
installiert werden. In diesem
Kontext ist als „Host“ jedes
System gemeint, auf wel-
chem ein IDS installiert ist,
und nicht lediglich ein Groß-
rechner.
Ein HIDS muss das Betriebssystem unter-
stützen. Es erhält seine Informationen aus
Log-Dateien, Kernel-Daten und anderen
Systemdaten wie etwa der Registrierungs-
datenbank des Betriebssystems. Es löst
einen Alarm aus, sobald es in den über-
wachten Daten einen vermeintlichen An-
griff erkennt. Eine Unterart der HIDS sind
sogenannte „System Integrity Verifiers“,
die mit Hilfe von Prüfsummen (Checksums)
bestimmen, ob Veränderungen am System
vorgenommen wurden.
Ein HIDS bietet Vor- und Nachteile. Es
liefert sehr spezifische Aussagen über
den Angriff und kann ein System um-
fassend überwachen. Allerdings lässt es
sich durch einen Denial-of-Service-Angriff
außer Gefecht setzen und auf diese Weise
lahmlegen.

6 Security-Insider.de | Firewall – die nächste Generation

Kapitel 2
Das Dashboard des IPS
HP TippingPoint zeigt
an, welche und wie
viele Angriffe registriert
worden sind.
7 Security-Insider.de | Firewall – die nächste Generation
B) Netzwerk-basierte IDS (NIDS)
NIDS versuchen, alle Pakete im Netzwerk
aufzuzeichnen, zu analysieren und ver-
dächtige Aktivitäten zu melden. Diese Sys-
teme versuchen außerdem, aus dem Netz-
werkverkehr Angriffsmuster zu erkennen.
Da in der heutigen Zeit überwiegend das
Internetprotokoll (IP) eingesetzt wird, dürfte
auch ein Angriff über dieses Protokoll erfol-
gen. Mit nur einem Sensor kann ein ganzes
Netzsegment überwacht werden. Jedoch
kann die Datenmenge eines modernen
1-GBit-LANs die Bandbreite des Sensors
übersteigen. Dann müssen Daten-Pakete
verworfen werden, was keine lückenlose
Überwachung mehr garantiert.
Ein NIDS bietet Vor- und Nachteile. Ein ein-
ziger Sensor kann ein ganzes Netz über-
wachen, und durch Ausschalten eines Ziel-
systems ist die Funktion des Sensors nicht
gefährdet. Wird jedoch die Bandbreite des
NIDS überlastet, erfolgt die Überwachung
nicht mehr lückenlos. Es erfolgt auch keine
lückenlose Überwachung in geswitchten
Netzwerken (nur durch Mirror-Port auf ei-
nem Switch).
C) Hybride IDS
Hybride IDS verbinden die Prinzipien von
HIDS und NIDS, um eine höhere Abde-
ckung bei der Erkennung von aufgetrete-
nen Angriffen gewährleisten zu können.
Man spricht in diesem Zusammenhang
von netz- und hostbasierten Sensortypen,
die an ein zentrales Managementsystem
angeschlossen sind. Viele heute eingesetz-
te IDS verfügen über eine solche hybride
Funktionsweise.
Grundsätzlich gibt es zwei Verfahren zur
Einbruchserkennung: den Vergleich mit
bekannten Angriffssignaturen und die so-
genannte statistische Analyse. Die meisten
IDS arbeiten mit Filtern und Signaturen, die
spezifische Angriffsmuster beschreiben.
Der Nachteil dieses Vorgehens ist, dass
nur bereits bekannte Angriffe erkannt wer-
den können.
Der komplette Prozess unterteilt sich dabei
in drei Schritte. Die Wahrnehmung eines
IDS wird durch Sensoren ermöglicht, die
Log-Daten (HIDS) oder Daten des Netz-
werkverkehrs (NIDS) sammeln. Während
der Mustererkennung überprüft und ver-
arbeitet das Intrusion Detection System
die gesammelten Daten und vergleicht sie
mit Signaturen aus der Musterdatenbank.
Treffen Ereignisse auf eines der Muster zu,
so wird ein Alarm ausgelöst. Dieser kann
in einer Nachricht an den Systemverwalter
bestehen, aber auch eine Sperrung oder
Isolierung des vermeintlichen Eindringlings
zur Folge haben. Das hängt vom Funk­
tionsumfang ab.
Andere IDS verwenden heuristische Metho­
den, um auch bisher unbekannte Angriffe
zu erkennen. Das Ziel besteht darin, nicht
nur bereits bekannte Angriffe, sondern
auch ähnliche Angriffe oder ein Abweichen
von einem Normalzustand zu erkennen. In
der Praxis haben signaturbasierte Syste-
me mit Abstand die größte Verbreitung. Ein
Hauptproblem beim praktischen Einsatz
von IDS ist, dass sie entweder viele falsche
Warnungen (falsch positiv) generieren oder
einige Angriffe nicht entdecken (falsch
negativ).
Kapitel 2
Im Dashboard des IPS
HP TippingPoint werden
die Top-Attacken aufge-
listet.
8 Security-Insider.de | Firewall – die nächste Generation
Intrusion Prevention System (IPS)
Im Unterschied zu Intrusion-Detection-
Systemen (IDS), die von außen auf eine
Leitung „blicken“, sind Netzwerk-basierte
IPS (NIPS) in-line platziert, inspizieren also
allen Traffic, der durch sie hindurchfließt.
Im Fall des Falles können IPS daher schnell
reagieren. Sie senden einen Alarm aus,
„droppen“ die schädlichen Datenpakete,
setzen die Verbindung zurück und/oder
blockieren den Traffic, der von der regel-
verletzenden IP-Adresse stammt.
Eine IPS kann darüber hinaus CRC-Feh-
ler korrigieren, indem sie eine zyklische
Redun­danzprüfung (englisch cyclic redun-
dancy check, daher meist CRC) ausführt.
Es ist ihr möglich, Paketströme zu de-
fragmentieren, TCP-Sequenzierungspro-
bleme zu verhindern und unerwünschte
Transport- und Netzwerkschichtoptionen
zu bereinigen. Das IPS verfügt in der
Regel über Module, die aktiv die Regeln
von Firewall-Systemen beeinflussen. So-
mit kann indirekt der Datenstrom unterbro-
chen oder verändert werden. Kurzum: Eine
IPS-Appliance ist extrem nützlich. Deshalb
ist eine IDS/IPS als Standardkomponente
in praktisch jeder Next-Generation Firewall
zu finden.
Wie bei den Intrusion-Detection-Systemen
unterscheidet man nach ihrer Funktions-
weise verschiedene Arten von IPS:
• Das HIPS (Host-based IPS) wird auf dem
Rechner ausgeführt, in den ein Eindrin-
gen verhindert werden soll.
• Das NIPS (Network-based IPS) hinge-
gen überwacht den Netzwerkverkehr, um
angeschlossene Computer vor Eindring-
lingen zu schützen.
- Das CBIPS (Content-based IPS) unter­
sucht hierbei den Inhalt der übertra-
genen Daten auf potentiell gefährliche
Komponenten.
- Das Protocol Analysis IPS analysiert
die Übertragungen auf Protokollebene
und sucht dabei nach eventuellen An-
griffsmustern.
- Das RBIPS (Rate-based IPS) überwacht
Art und Menge des Datenverkehrs, um
netzwerktechnische Gegenmaßnah-
men einleiten zu können.
Kritik am IPS-Konzept
Eine Reihe von IDS & IPS-Produkten ist
aus zwei Gründen nicht ausreichend: Sie
sind signaturbasiert und daher nicht in
der Lage, aktuellste Bedrohungen zu er-
kennen. Außerdem verursachen sie viel zu
viele Fehlalarme, so dass Kunden viel Zeit
in das Management ihres Systems inves-
tieren müssen.
„Obwohl Intrusion-Detection-Technologie
schon länger eine fortgeschrittene Threat
Detection verspricht, konnte dieses Ver-
sprechen bisher nicht gehalten werden,
da sich diese Technologie noch immer zu
sehr auf Signaturen verlässt. Das ist ein
Faktor, der die Bewegung im Markt hin
zu alternativen Detection-Produkten, wie
Specialized Threat Analysis and Prevention
(STAP), getrieben hat“, so John Grady,
Research Manager Security Products
beim Marktforschungs- und Beratungs-
unternehmen IDC. „Das Problem ist in
den meisten Fällen, dass die konsolidierte
Kapitel 2
Auf der nächsten Ebene
des Dashboards werden
die Angriffe nach Typen
aufgeführt.
9 Security-Insider.de | Firewall – die nächste Generation
IPS-Funktionalität immer noch sehr signa-
turorientiert ist, so dass die Sicherheit nur
marginal verbessert wird. Die Integration
von STAP-Technologie in die IPS-Techno-
logie bietet einen effizienteren und effek­
tiveren Ansatz, um Advanced Targeted
Attacks zu entdecken und die IT-Sicherheit
in Unternehmen generell zu verbessern.“
Eine moderne IPS-Architektur bietet eine
Bewertung der Angriffe, die durch IPS
identifiziert wurden. Damit werden Alarm-
meldungen deutlich reduziert, und die
Sicherheits-Teams können sich deshalb
auf die wirklichen Bedrohungen konzen-
trieren. IPS-Systeme arbeiten heute eng
im Verbund mit anderen Sicherheitsfunk-
tionen wie Firewalls, Virenscannern und
SIEM-Suiten (SIEM: System Information
and Event Management) zusammen. Dazu
muss die entsprechende Architektur eine
Orchestrierung aller Schutzmaßnahmen
vornehmen und durchsetzen. Nähere Infor­
mationen dazu finden Sie in Kapitel 6.
Kapitel 3

Next-Generation Firewalls
Die bisherige Firewall-Technologie, die nur den Perimeter des inneren
Netzwerks schützt, reicht nicht mehr aus, denn die Bedrohung kommt
nicht nur von außerhalb des Unternehmens, sondern auch von innen.
Next-Generation Firewalls (NGFW) erweitern den Funktionsumfang der
traditionellen Firewalls erheblich um Applikations- und Nutzerkontrolle.

eine erste Definition und hat sie seither

Im Dashboard von HP
TippingPoint NGFW
wird eine ungewöhnli-
che Aktivität angezeigt.
Sie trägt die Farbe Rot,
um Gefahr zu signali-
sieren.
Bedrohungen von innen treten dann auf,
wenn Unbefugte sich bereits Zugriffsberech-
tigungen erschlichen haben, sei es durch
Social Engineering oder durch Phishing. Der
Sicherheitsbeauftragte muss deshalb auch
wissen, welche Applikation sich außerhalb
der dafür festgelegten Regeln verhält und
ob ein Nutzer unbefugte Tätigkeiten an den
Tag legt. Next-Generation Firewalls (NGFW)
erweitern den Funktionsumfang der traditi-
onellen Firewalls erheblich um Applikations-
und Nutzerkontrolle.
NGFW – die Definition der
Gartner Group
Was macht eine Next-Generation Firewall
(NGFW) aus? Schon 2009 veröffentlichte
das Beratungsunternehmen Gartner Group
verfeinert. Es handle sich um eine integ-
rierte Netzwerkplattform, die eingehende
Inspek­tionen des Datenverkehrs vornehme
und Angriffe abwehre oder stoppe. Wichtig
ist der von Gartner erwähnte Zusatz­aspekt
der „wire-speed“, das heißt, dass die
Firewall mit der gleichen Geschwindigkeit
arbeiten muss wie die Leitungen, die sie
überwacht. Handelt es sich um 1-Gbps-
Netzwerk mit Ethernet, so muss auch die
Firewall (und die integrierte IDS/IPS) mit
1 Gbps arbeiten. Je nachdem, wie viele
Verbindungen (Sessions) zu überwachen
sind, muss die Kapazität der Firewall aus-
gelegt sein. Näheres dazu in Kapitel 4.
Die Mindestbedingungen, die eine NGFW
erfüllen muss, sind folgende:
1) eine nicht störende In-line-Konfiguration;
2) standardmäßige Firewall-Merkmale der
ersten Generation, so etwa Network
Address Translation (NAT) und Stateful
Protocol Inspection (SPI) sowie Virtual
Private Networking (VPN);
3) eine signaturbasierte IPS-Engine;
4) Überwachung von Anwendungen, Ein-
blick in den vollständigen Technologie-
stapel (siehe OSI-Schichtenmodell in
Kapitel 1) und feingranulare Steuerung;
5) d
 ie Fähigkeit, Informationen von außer-
halb der Firewall aufzunehmen und zu
verarbeiten, so etwa verzeichnisbasierte
Richtlinien (Policies), Verbotslisten (Black-
lists), Freigabelisten (Whitelists) usw.

10 Security-Insider.de | Firewall – die nächste Generation

Kapitel 3
Im Dashboard von HP
TippingPoint NGFW las-
sen sich die wichtigsten
Applikationen gestaffelt
nach ihrer Bandbreite
im Netzwerk anzeigen.
11 Security-Insider.de | Firewall – die nächste Generation
6) Upgrade-Möglichkeit, um künftige Infor-
mationseingaben und Bedrohungen zu
verarbeiten;
7) Entschlüsselung des SSL-Protokolls, um
unbefugte verschlüsselte Anwendungen
identifizieren zu können.
Anno 2009 sah die IT-orientierte Welt noch
ganz anders aus als heute. Deshalb sind
seitdem auch die Anforderungen an eine
NGFW gewachsen. Auch haben die Sicher-
heitsbeauftragten inzwischen Herausfor-
derungen entdeckt, die sich verschärfen:
steigende Kosten, wachsender Personal-
mangel und immer weiter fortgeschrittene
Technologie der Angreifer.
Schutz von Anwendungen
Die professionellen Angreifer verwenden
heute mehrere Angriffsvektoren gleichzei-
tig. Die Ziels sind häufig entweder Daten-
banken oder Verzeichnisse mit Zugriffs-
berechtigungen, also Applikationen, auf
die nur Mitarbeiter zugreifen dürfen, die
bestimmte, ausreichende Rechte dafür ha-
ben. Dagegen richten sich heute 80 Prozent
der Angriffe, denn zahlreiche Applikationen
weisen in ihrem Code Schwachstellen auf.
Die Hersteller sind zwar bemüht, diese
Sicherheitslücken zu schließen, doch jeder
Microsoft Patch Day belegt erneut, dass
diese Arbeit niemals enden wird. Nichts
schätzen die Angreifer so sehr wie Zero-
Day Exploits, also Schwachstellen, die
gerade bekannt geworden und noch nicht
gepatcht worden sind. Endet die War-
tungszeit für ein Betriebssystem wie Win-
dows XP oder 2003, so stehen die Besitzer
von Zero-Day Exploits Gewehr bei Fuß, um
ihr Wissen meistbietend zu verkaufen.
Deshalb fordern Experten wie die der
Gartner Group, dass die Kontrolle, die
eine NGFW ausübt, auf Applikations­ebene
möglichst feingranular ist. Denn dann kann
der Sicherheitsbeauftragte in der Firewall
nutzerspezifische Richtlinien (Policies) für
jede einzelne Anwendung anlegen und
durchsetzen. Eine NGFW sollte in der
Lage sein, selbst „gute“ Applikationen auf
eine breite Palette von Bedrohungen und
Schwachstellen hin abzutasten, sogar und
ganz besonders wenn es um vertrauliche
Datenlecks geht.
Sicherheitsrisiko mobile und
Cloud-Anwendungen
Mittlerweile verfügen nicht nur Privatan-
wender, sondern auch Firmenmitarbeiter
über jeweils mindestens ein Mobilfunk-
und Internet-fähiges Endgerät, sei es ein
Smartphone, Tablet oder ein Dualsystem
aus Notebook und Tablet-PC. Sie nutzen
darauf stets ganz bestimmte Applikatio-
nen, sei es Whatsapp, Facebook oder eine
Google-Office-App. Das wäre alles kein
Problem, wenn es beim Anstieg der Pro-
duktivität bliebe. Doch jede Anwendung,
jeder Mobil-Browser weist Sicherheits­
lücken auf, so dass Schadcode ausgeführt
werden kann. Im Cyber Risk Report 2012
von HP wiesen drei von vier Mobil-Apps
Schwachstellen auf, die zu Datenabfluss
führen könnten. Deutsche Tests haben die-
se hohe Rate bestätigt.
Für die Kontrolle der rasant steigenden
Zahl von mobilen Endgeräten müssen die
Sicherheitsbeauftragten entsprechende
Kapitel 3
Im Dashboard von HP
TippingPoint NGFW
lassen sich die be-
rechtigten Nutzer der
Firewall eintragen.
Jeder Verwalter muss
authentifiziert werden.
12 Security-Insider.de | Firewall – die nächste Generation
Ressourcen bereitstellen, d.h. sie müs-
sen entweder in leistungsfähigere Geräte,
in mehr Personal und/oder in wesentlich
mehr Zeit investieren – alles Ausgaben, die
das eh schon schmale IT-Budget abde-
cken muss.
Die Lage verschärft sich zunehmend, weil
immer mehr Anwendungen in die Cloud
verlagert werden, weil sie dort wirtschaft-
licher zu betreiben und skalierbarer sind,
meist auch sicherer. Doch viele Firmen
halten ihre Kronjuwelen, die Kundendaten,
weiterhin in den eigenen Mauern unter
Verschluss. Wenn also mobile Mitarbeiter
eine Cloud-App wie etwa Salesforce.com
nutzen, müssen die kostbaren Kunden­
daten weiterhin den mitunter weiten Weg
aus der Firma selbst machen, um beim
mobilen Mitarbeiter entsprechenden Nut-
zen zu liefern. Das gleiche gilt natürlich für
Heimarbeiter.
Für das Unternehmen bedeutet es aber,
dass es sowohl für die interne Sicherheit
als auch für den Sicherheitsservice des
Rechenzentrums, das seine Cloud-App
betreibt, zahlen muss. Immer mehr Unter­
nehmen sehen diese Doppelbelastung
nicht mehr ein. Sie lagern ihre IT ganz aus,
um ihre IT und Security zu konsolidieren,
insbesondere dann, wenn auch die Daten-
mengen im Zuge von Big Data rasch an-
wachsen.
Solange die rechtlichen Vorgaben (nach
Bundesdatenschutzgesetz usw.) erfüllt
werden, gibt es auch mit der Auslagerung
der „Kronjuwelen“ kein Problem. Banken
sind sowieso per Gesetz verpflichtet, in
bestimmter Maximalentfernung ein Ersatz-
rechenzentrum zu betreiben, für den Fall,
dass ihr eigenes ausfällt.
Kollaboration mit SIEM-Lösungen
Das Netzwerk ist also durch Mobilnutzung
und die Cloud mittlerweile grenzenlos ge-
worden. Herkömmliche Firewalls, die dafür
nie ausgelegt waren, sind nicht in der
Lage, damit zurechtzukommen. Eine Next-
Generation Firewall mit entsprechender
Kapazität kann jedoch in Kollaboration mit
System Information and Event Management
(SIEM) Aktivitätsdaten sammeln, speichern
und auswerten, insbesondere Logfiles und
Ereignismeldungen. Die SIEM-Lösung hat
dann die Aufgabe, die Ereignisse miteinan-
der zu korrelieren.
Weil Angreifer oft mehrere Vektoren nut-
zen, um ein Abwehrsystem zu verwirren
und zu infiltrieren, ist die Korrelation von
entscheidender Bedeutung. Wenn ein Mit-
arbeiter, der in Rom angemeldet ist, sich
gleichzeitig aus Athen am System anmel-
den will, ist offensichtlich etwas faul. Weil
SIEM-Lösungen solche Unstimmigkeiten
aufdecken können, sind sie die ideale
Ergänzung zu NGFWs. Näheres dazu in
Kapitel 6.
Kapitel 4
Das Dashboard von HP
TippingPoint liefert dem
Sicherheitsverantwort-
lichen ein umfassendes
Bild von der Lage.
13 Security-Insider.de | Firewall – die nächste Generation
Moderne Implemen­
tierungen einer
Next-Generation Firewall
Heute sind für jede Unternehmensgröße NGFW-Angebote zu
finden – als Hardware-Appliance, virtuelle Appliance und in der
Cloud als Managed Service bzw. Virtual Private Cloud.
Die einzelnen Implementierungen der
Next-Generation Firewalls unterscheiden
sich hinsichtlich ihres Datendurchsatzes
und Funktionsumfangs und bedienen so
die Bedürfnisse aller Firmengrößen vom
Kleinunternehmen bis zum Telekommu-
nikations-Carrier und Managed Service
Provider (MSP).
A) Appliance & Virtual Appliance
Eine Appliance ist ein Gerät, das auf ei-
nen ganz bestimmten Zweck zugeschnit-
ten ist. Eine Datenbank-Appliance sorgt
für Höchstleistung der Datenbank, eine
Firewall-­
Appliance für die maximale Per-
formance der Firewall. Es muss jedoch
nicht immer Blech sein, in dem sich eine
Appliance befindet, denn mittlerweile
lassen sich die Funktionen der Firewall-­
Appliance als Virtual Machine (VM) bereit-
stellen. Diese virtualisierte Software erlaubt
eine leichtere lokale Bereitstellung und fle-
xiblere Verschiebung, etwa auf eine leis-
tungsfähigere Server-Plattform.
Das Dashboard
Eine grafische Benutzeroberfläche für ein
Dashboard der Managementkonsole er-
laubt die produktive Nutzung der Next-
Generation Firewall durch den Sicherheits-
beauftragten (Chief Security Officer oder
Chief Information & Security Officer). Ge-
rade bei weniger erfahrenen Mitarbeitern
kann das Dashboard nicht nur die Effekti-
vität der Sicherheitsmaßnahmen erhöhen,
sondern auch davor bewahren, durch fal-
sche Einstellungen Schwachstellen zu öff-
nen. Leistungsfähige Dashboards erlauben
die Echtzeitüberwachung der wichtigsten
Funktionen, etwa der Firewall und des IDS/
IPS sowie der Richtlinien.
Kapazität und Verfügbarkeit
Von großer Bedeutung für die Effektivität
einer Firewall ist bei einer Appliance nicht
zuletzt die Kapazität. So gibt es beispiels-
weise Firewalls, die einen Datendurchsatz
Kapitel 4
Der Sicherheitsverant-
wortliche kann mit Hilfe
des Dashboards von HP
TippingPoint umfangrei-
che Berichte erstellen.
14 Security-Insider.de | Firewall – die nächste Generation
von 22,2 Gbps und einen VPN-Durchsatz
von 7,6 Gbps in der IPS erlauben. Das sind
sehr gute Werte, die aber nicht jedes Un-
ternehmen benötigt. Ein Spitzenwert wäre
etwa 30 Gbps in der IPS und ein Firewall-
Durchsatz von 40 Gbps. Dafür sind jedoch
Hochleistungsprozessoren mit einem ent-
sprechenden Betriebssystem vonnöten,
das sie steuert.
Maximaler Funktionsumfang einer Firewall-Appliance
Nicht jede Firewall passt zu jedem
Unternehmen, und nicht jedes Unter-
nehmen braucht jede Funktion. Deshalb
wird im hier beschriebenen Funktions-
umfang nur das Maximum an Leis-
tungsumfang aufgezeigt.
• Firewall für Port- und Protokollüber-
wachung
• VPN (SSL und IPsec)
• Layer 2 & 3 Routing
• IPS/IDS
•A  nti-Virus einschließlich Sandboxing
• Anti-Spam
• URL-Filter
•A  pplikationskontrolle auf OSI-Ebene 7
• Data Loss Prevention (DLP)
• WAN-Optimierung
• WLAN Security
• WLAN Controller
• Switch Controller
Von Bedeutung ist auch die Handhabung
gleichzeitiger Sessions. Wenn eine Firewall
beispielsweise 2,8 Millionen gleichzeitige
Sessions oder 160.000 neue Sessions pro
Sekunde überwachen kann, dann sind das
sehr gute Werte, doch sie reichen für einen
Managed Service Provider unter Umstän-
den nicht aus. Hinzukommen Werte für die
Handhabung gleichzeitiger VPN-Sessions,
von denen jede einzeln verschlüsselt wer-
den muss.
B) Software & Cloud Services
Firewall-Appliances werden an bestimmten
Stellen im Netzwerk platziert, um Angrei-
fer abzuwehren. Doch die Philosophie des
Perimeterschutzes ist bereits seit einigen
Jahren als unzureichend kritisiert worden.
Angreifer lassen sich nicht mehr an der
Grenze des Firmennetzwerks aufspüren,
geschweige denn aufhalten.
Der Schutz einer NGFW muss sich auf alle
Komponenten des Netzwerks, die kabel-
und funkgestützten Verbindungen sowie
• Web Proxy
• SSL Inspection
• Netzwerkzugriffskontrolle (NAC) /
Endpunktkontrolle
• Integriertes Schwachstellenmanage-
ment
• 2-Faktor-Authentifizierung (mit Token)
• Device- und OS-Erkennung
• IPv6 UTM Security
• Virtuelle Systeme (Virtual Domains,
VDOMs)
• Bandbreitenmanagement & Quality of
Service
• Server Load Balancing
• Hochverfügbarkeit & Cluster-Funktio-
nalität
• Wireless Controller (für Funknetze mit
802.11a/b/g/n)
• Logging
• Reporting
Kapitel 4
Die Sicherheitsarchitek-
tur Software-Defined
Protection (SDP) verfügt
über drei Funktions-
ebenen: Durchsetzung,
Kontrolle und Verwal-
tung. (Bild: Check Point)
15 Security-Insider.de | Firewall – die nächste Generation
auf die Anwendungen erstrecken. Hinzu-
kommt das immer häufiger anzutreffende
Phänomen der DDoS-Angriffe (Distributed
Denial of Service). Diese Angriffe beschäf-
tigen Server und Appliances solange mit
sinnlosen Anfragen, bis de-
ren Kapazität erschöpft ist
und sie ihren eigentlichen
Dienst nicht mehr verse-
hen können. Dann ist die
Bahn für die eigentlichen
Angreifer frei, es sei denn,
ein DDoS-Angriff dient ei-
nem anderen Zweck, etwa
der Erpressung und Nöti-
gung eines Unternehmens.
Um die Kapazität möglichst
skalierbar zu machen, geht
der Trend deutlich zur Be-
reitstellung entsprechen-
der Funktionen als virtu-
alisierte Ressource oder
gleich zur Miete eines
Cloud Services. Neben der
besseren Verteidigungsfä-
higkeit und den wegfallen-
den Anschaffungskosten
hat dies zudem auch den Vorteil, die Lö-
sung leichter mit anderen Lösungen integ-
rieren zu können.
Es gibt Firewalls, die nur Teil einer größeren
Lösung sind, die neben IDS/IPS und Anti-
malware auch Integritätsüberwachung und
Log-Analysen anbietet. Maximaler Schutz
und Früherkennung von bislang nicht be-
kannten Angriffsvektoren sind entschei-
dende Vorteile.
C) SDN, Architektur und
Betriebssystem
Führende Sicherheitsanbieter haben nicht
nur ihr eigenes Betriebssystem für ihre
Firewalls implementiert. Sie setzen auch
eine jeweils eigene Systemarchitektur um.
Im Hinblick auf das Software-definierte
Rechenzentrum und Netzwerk (Software-
defined Networking, SDN) wechselt die
„Intelligenz“ einer Architektur in die Soft-
ware, die jeweils an den Netzwerkkompo-
nenten wie Router, Switches und Applian-
ces implementiert wird.
Beim SDN sind die Kontroll- und die
Daten­ebene voneinander entkoppelt. Da-
her kann die IT auf einer hohen Ebene Kon-
figurations- und Policy-Vorgaben machen,
die dann in der Infrastruktur mit Hilfe des
OpenFlow-Protokolls über- und umgesetzt
werden. Eine OpenFlow-basierte SDN-­
Architektur macht es überflüssig, jedes
einzelne Netzwerkgerät neu zu konfigurie-
ren, sobald sich ein Endpunkt, ein Service
oder eine Anwendung ändert, indem sie
hinzugefügt oder verlegt wird, oder wenn
sich eine Policy ändert.
Weil SDN-Controller der IT die vollständige
Kontrolle über das Netzwerk in die Hand
geben, lassen sich Merkmale wie Zugangs-
kontrolle und Datensicherheit über gan-
ze heterogene Netzwerk-Infrastrukturen
hinweg einheitlich realisieren und nutzen.
Damit kann die Netzwerkverwaltung die
Ebenen der Session, des Benutzers, des
Geräts und der Anwendung automatisiert
steuern. Eine NGFW kann mehrere hundert
Virtual Domains einrichten und verwalten,
jede mit ihren eigenen Schutzfunktionen.
Somit stellt sie ein kleines Rechenzentrum
dar.
Mit dieser Technologie gelingt es, zwi-
schen den einzelnen Schutzzonen (Virtual
Domains) bzw. Netzwerksegmenten
Schranken und Filter einzurichten, die die
Funktionen der Next-Generation Firewall
und ihre Richtlinien auf den drei Ebenen
Kontrolle, Durchsetzung und Verwaltung
eines Unternehmensnetzwerks umfassend
etwa vor Advanced Persistent Threats
(APTs) schützen können. Denn APTs ver-
suchen, sich von einem Punkt über das
ganze Netzwerk auszubreiten und dabei
zunehmend umfassendere Zugriffsrech-
te zu erlangen. Ein Hersteller hat diese
Kapitel 4
Die Durchsetzungs-
ebene ist eine komple-
xe Funktionsschicht
der Architektur für
Software-Defined
Protection (SDP), die
als intelligenter Pfört-
ner und Wächter dient.
(Bild: Check Point)
16 Security-Insider.de | Firewall – die nächste Generation
fallen zusätzlich Energiekosten für das
Kühlen an. Ein Rechenzentrum, das sich
nicht ausdehnen kann, muss auch darauf
achten, dass Geräte einen möglichst gerin-
gen Bedarf an Platz in den Server-Racks
benötigen.
Obwohl Appliances nach dem Prinzip
des Plug & Play gebaut sind, gibt es bei
NGFWs doch auch Anforderungen an die
Einrichtung, besonders bei den Policies.
Die Einfachheit der Konfiguration und ein
effektiv gestaltetes Dashboard können
sich als sehr vorteilhaft erweisen, um Per-
sonalkosten zu dämpfen. Mehr dazu in den
weiteren Kapiteln.
Schutztechnologie als „Software-Defined
Protection“ (SDP) bezeichnet.
Tests und TCO
Nur wenige Hersteller lassen ihre Firewall-
Produkte von unabhängiger Seite testen
und beurteilen. Manche Testberichte las-
sen sich von der Webseite eines solchen
Herstellers gratis herunterladen. Ein Bei-
spiel sind die NSS Labs. Sie attestieren
den besten Produkten eine Schutz-Erfolgs­
quote von über 99% – unter Real-World-
Bedingungen.
Für jedes Unternehmen spielt es eine Rol-
le, wie viel der laufende Einsatz von Sicher-
heits-IT kostet. Doch nur die wenigsten
Firewall-Hersteller brüsten sich damit, ei-
nen sehr niedrigen TCO-Wert aufzuweisen,
also günstige Gesamtbetriebskosten. Na-
türlich müssen diese niedrigen Betriebs-
kosten einer hohen Gesamtleistung ent-
sprechen.
So kann es einen Unterschied ausma-
chen, ob das Scannen eines Terabits an
Daten aufgrund der Anschaffungskosten
und des hohen Strombedarfs, sagen wir
mal, 10 Euro kostet oder 100 Euro. So eine
Appliance will auch gekühlt werden. Dann
Kapitel 5
Der Lebenszyklus eines
Advanced Persistent
(Targeted) Threats
ist umfangreich und
komplex, genau wie die
Bedrohung, die ein APT
darstellt. (Bild: Dell)
17 Security-Insider.de | Firewall – die nächste Generation
Forschung & Berichte
über Sicherheitslücken
Da sich die Fähigkeiten und Kapazitäten der Cyberkriminellen
weltweit rasch weiterentwickeln, empfiehlt es sich, auch die eigenen
Sicherheitsmaßnahmen stets auf dem aktuellsten Stand zu halten.
Eine IPS/IDS ist beispielsweise häufig signaturbasiert und benötigt
deshalb ständige Updates dieser Signaturen, um Bedrohungen
erkennen zu können. Bei den übrigen Firewall-Komponenten wie
Antivirus, Antispam oder URL-Filter sieht es genauso aus.
Das Filtern von Ge- meisten Ziele anfangs nur zehn Angriffe er-
fahrenquellen, das fahren, wohingegen drei von 1.000 Kunden
auf der Reputation anfangs über hundert Angriffen ausgesetzt
von Dateien und An- waren. Danach gehen die Angriffe abge-
wendungen beruht, schwächt weiter.
ist abhängig von ak- Wichtig ist der Zeitpunkt: Wenn die früh-
tuellen Erkenntnis- zeitig angegriffenen Unternehmen ihre
sen des jeweiligen Alarmmeldungen mit entsprechenden In-
Anbieters aus einer formationen rasch weitergegeben hätten,
Anwender-Commu- dann wären die anderen Kunden relativ
nity, die Datenquel- zeitig gewarnt gewesen. Angemessene
len nach Gefährlich- Maßnahmen hätten anhand dieses Angrei-
keit bewertet. fer-Profils ergriffen werden können und der
So lassen sich Frei- Schaden hätte sich in Grenzen gehalten.
gabelisten (White- Deshalb sind Vulnerability Reports über
lists) und Verbots- Sicherheitslücken wie etwa von HP Security
listen (Blacklists) Research von größter Bedeutung: Die
erstellen – mit einer hoffentlich schrump- Reports fassen aktuelle Forschungsergeb-
fenden Grauzone dazwischen. nisse zusammen und verteilen die Erkennt-
nisse an Anwender und Experten.
Advanced Persistent Threats Eine Art Agentur, die solche Erkenntnisse
All diese Verfahren sind mittlerweile über in Echtzeit sammelt und umgehend Ab-
sieben Jahre alt und somit den Angrei- wehrmaßnahmen wie etwa Virensignaturen
fern bestens bekannt. Ihre gezielten Atta- und Reports an ihre Service-Abonnenten
cken (Advanced Targeted bzw. Persistent verteilt, wäre daher eine sehr nützliche Sa-
Threats, APTs) finden deshalb mehrfach che. Zum Glück gibt es diese „Agenturen“
über einen längeren Zeitraum statt. Eine bereits. Große Security-Dienstleister wie
Untersuchung von 2012, die über fünf Jah- IBM, Symantec, Microsoft, HP oder Trend
re hinweg geführt wurde, ergab, dass die Micro stellen diesen Dienst für Gebühren
Kapitel 5
Die HP-Sicherheits­
organisation ist global
aufgestellt. (Bild: HP)
Das HP-Cyberabwehr-
zentrum in Böblingen
bei Stuttgart. (Bild: HP)
18 Security-Insider.de | Firewall – die nächste Generation
zur Verfügung. Millionen von Unternehmen
nutzen diese Schutzmaßnahmen.
Vertrauen als zentrale Bedingung
Der Punkt, auf den es dabei besonders
ankommt, ist die Vertraulichkeit der sicher­
heitsrelevanten Informationen. Nicht nur
sollen Cyberkriminelle nichts davon mit-
bekommen, sondern es geht bei den Mel-
dungen seitens der angegriffenen Kunden
häufig um sehr schützenswerte Informa-
tionen, die direkt mit einem potentiellen
Risiko für die Reputation des meldenden
Unternehmens verknüpft sind.
Eine Bank möchte beispielsweise nicht un-
bedingt an die große Glocke hängen, dass
sie gerade das Geld ihrer Kunden an digi-
tale Räuber verloren hat. Aber sie möchte
sicherlich helfen, Angreiferprofile rechtzei-
tig und sicher zu verteilen, so dass alle ihre
anderen Niederlassungen von vernetzten
Cyberabwehrzentren geschützt werden.
Die Effektivität dieser Cyberabwehrzent-
ren, wie es sie auch in Deutschland gibt,
beruht auf der Zusammenarbeit und dem
Vertrauen der Kunden.
Diese bekommen im Austausch dafür ge-
eignete, wirksame Mittel für die Abwehr
von Bedrohungen. Diese Mittel kann das
Cyberabwehrzentrum – für einen gewissen
Obolus – auch selbst einsetzen, sofern der
Kunde es wünscht. Ein solches Szenario
ist beispielsweise bei einer DDoS-Attacke
sehr empfehlenswert: Wenn Server mit
einer Wucht von 100 Gbit/s angegriffen
werden, dann hilft nur eine spezialisierte
Infrastruktur, einen solchen massiven An-
griff abzuwehren.
Erfahrungsaustausch in Branchen
Defensive Zusammenarbeit hat sich bei
zwei Organisationen erfolgreich verwirk-
lichen lassen: das Financial Services-
Information Sharing and Analysis Center
(FS-ISAC) und das Information Technology-­
Information Sharing and Analysis Center
(IT-ISAC). Es gibt in vielen Branchen ent-
sprechende ISAC-Organisationen, in de-
nen man nur Mitglied werden kann, wenn
man eine Prüfung bestanden hat. So wird
sichergestellt, dass keine verkappten An-
greifer in den Genuss privilegierter Infor-
mationen gelangen können, um so den
Schutz zu unterlaufen. Durch das so ge-
sicherte Vertrauen sind Kollaboration und
Informationsaustausch gewährleistet, was
in entsprechend geschützten Foren inten-
siv von statten geht.
Dennoch sind diese ISACs nicht die end-
gültige Lösung des Problems, denn der
Informationsaustausch erfolgt meist noch
manuell und daher nicht schnell genug, um
Angriffe in Echtzeit abwehren zu können.
Kapitel 5
Einer der Bildschirme
im HP-Cyberabwehr-
zentrum zeigt in Echt-
zeit, welche Angriffe in
aller Welt über das In-
ternet geführt werden.
Die Darstellung lässt
sich bei Norse-IP-Viking
finden. (Bild: Michael
Matzer)
19 Security-Insider.de | Firewall – die nächste Generation
Cyberabwehrzentren, die automatisierte derer Anbieter, bringen die Vulnerability
Technik einsetzen und Richtlinien anwen- Research direkt zu den jeweiligen Kunden.
den, sind in der Regel schneller. Damit weitere Plattformen für den sicheren
und schnellen Austausch über Gefahren­
Zero Day Initiative von HP infos etabliert werden, entwickeln Experten
Ein weiteres Beispiel ist die Zero Day Initia- weitere Leitlinien und Strukturen.
tive (ZDI) des Herstellers Hewlett-Packard
(HP). Diese Plattform für den Informations-
austausch verknüpft seit 2005 die Erkennt-
nisse der HP Digital Vaccine Labs (HP
DVLabs) über Sicherheitslücken mit den
aktuellsten (Zero-Day) Erkenntnissen ex-
terner Sicherheitsexperten. Informationen
über neue, nachprüfbare Schwachstellen
bekommt das ZDI so im Austausch für
finanzielle Anreize. Danach wird ein Patch
für die Schwachstelle entwickelt und an
den betroffenen Hersteller übergeben, der
den Patch testet, einspielt und an befug-
te Empfänger verteilt. Man denke etwa an
den monatlichen Microsoft Patch Day.
HP ZDI entwickelt auch Patches für seine
eigenen Produkte. Diese Filter – es sind
mittlerweile über 7.400 – kommen Nutzern
von HPs TippingPoint Next-Generation
Firewall zugute. Lokale Cyberabwehr-­
Zentren, etwa von HP, aber auch die an-
Kapitel 6

Nur integrierte Lösungen

sind effektiv und effizient
nutzbar
Die Bereitstellung von Einzellösungen wie etwa einem Intrusion-
Prevention-System oder einer Anti-Virus/Anti-Malware-Lösung
erweist sich als unzureichend, wenn es darum geht, die Wirksamkeit
der First-Generation Firewall zu steigern. Solange die Firewall
nur Ports und Protokolle kontrolliert, nicht aber Applikationen
und Nutzer, bleibt auch die Effektivität der anderen Insellösungen
begrenzt. Angreifer umgehen diese Insellösungen einfach.

gibt keine NGFW, die jedem optimal passt,

In einem Prozess, der
die Funktionen der Selbst wenn man in leistungsfähige Hard-
Firewall mit den ware investiert, führt dies nicht zu mehr
Informationen des Wirksamkeit und Schutz, sondern lediglich
IT-Betriebs zusam- zu mehr Verwaltungs- und Wartungsauf-
menführt, lassen sich
wand und weniger Platz im Serverraum
Gefahren im Kontext
besser erkennen und
bzw. im Rechenzentrum. Die wichtigste Al-
bekämpfen ... ternative sind, wie beschrieben, integrierte
Next-Generation Firewalls (NGFW) als All-
round-Lösungen. Sie sollten mit aktuells-
ten Informationsdiensten und, wo nötig,
durch weitere Produkte ergänzt werden.
Auswahlkriterien für eine NGFW
Nicht jedes Unternehmen kann die glei-
chen Vorteile aus einer NGFW ziehen. Es
und jeder Nutzer sollte die NGFW entspre-
chend konfigurieren. Auf lange Sicht sind
es jedoch vor allem die wirtschaftlichen
Aspekte des Einsatzes einer NGFW, die es
bei einer Lösungsauswahl zu beachten gilt.
Lohnt sich der Betrieb einer NGFW? Die
Verwaltungsmöglichkeiten, die Einfach-
heit und Schnelligkeit der Bereitstellung,
Lizenz- und Wartungskosten, die Möglich-
keiten des Supports durch die IT-Abteilung
sind wichtige Aspekte, die die Gesamt-
betriebskosten (Total Cost of Ownership,
TCO) einer NGFW beeinflussen.
Wenn das Personal zeitlich zu sehr bean-
sprucht wird, um die NGFW zu verwalten,
dann ist das ein wichtiger Faktor, der sich
zu einem Sicherheitsrisiko auswachsen
kann. Das Problem besteht offenbar nicht
in der Soft- oder Hardware, sondern vor
allem im Mangel an geschultem Perso-
nal mit höherwertigen Fachkenntnissen,
um die Konfiguration korrekt und optimal
vorzunehmen. Ein leicht verständliches
und vollständig anpassbares Dashboard

20 Security-Insider.de | Firewall – die nächste Generation

Kapitel 6
... Dieser Prozess zeitigt
nach Angaben der
HP DVLabs eine höhere
Effektivität als ver-
gleichbare Lösungen.
21 Security-Insider.de | Firewall – die nächste Generation
unterstützt beispielsweise die Akzeptanz
und intensive Nutzung der NGFW-Funk­
tionen durch das Personal.
Steigerung der Effektivität
einer NGFW
Die Effektivität der NGFW ergibt sich be-
sonders aus ihrer Integrierbarkeit in die
vorhandene Infrastruktur für Sicherheit und
Netzwerke. Ihre Zuverlässigkeit ist eines
der Schlüsselkriterien für ihren Einsatz. Je
höher die Ausfallsicherheit, desto besser
der Schutz. Die IPS von HP beispielsweise
kann mit einer Bereitschaft von 99,99999
Prozent der Betriebszeit aufwarten.
Schnelle Reaktionszeit, wöchentlich auf-
gefrischte Filter – es sind über 7.400 – aus
den HP Digital Vaccine Labs und natürlich
der Schutz von verkabelten wie auch funk-
basierten Endgeräten gehören zu den Vor-
teilen, die die TippingPoint NGFW von HP
bietet.
Des Weiteren können Next-Generation
Firewalls nur so effektiv sein wie die Infor-
mationen, die sie erhalten. Um aktuellste
und relevante Informationen zu erhalten,
sind Vulnerability Reports nötig. Der Aus-
tausch in den Webforen von branchen-
orientierten ISAC-Organisationen ist ein
möglicher Weg, um die Effektivität des
Schutzes zu steigern.
Wer diesen Aufwand scheut oder nicht
aufbringen kann, hat die Möglichkeit, die
Dienste eines Cyberabwehrzentrums in
Anspruch zu nehmen. Es verfügt durch die
Vernetzung mit anderen Cyberabwehrzen-
tren und eine globale Forschungsorganisa-
tion wie die HP Security Labs über global
eingeholtes Wissen zu Schwachstellen,
Sicherheitslücken und Zero-Day Exploits.
Die Echtzeit-Überwachung von Angriffs-
wellen stärkt die Schutzmaßnahmen,
und selbst DDoS-Attacken lassen sich
abwehren.
Ein weiterer Vorteil: Dem erwähnten
lokalen Mangel an geschultem Personal mit
Fachkenntnissen lässt sich durch Nutzung
von regional wirksamen Cyberabwehr­
zentren abhelfen, die global miteinander
vernetzt sind.
Vollständig integriert: HP-Lösungen
für Enterprise Security
1) HP TippingPoint: Gezielte Angriffs-
methoden, ausgefeilte Bedrohungen und
APTs (Advanced Persistent Threats) fahren
fort, die herkömmlichen Lösungen für die
Netzwerksicherheit, also etwa Firewalls
der ersten Generation, mit Ausweichma-
növern zu durchdringen. Zu diesen Takti-
ken gehören ein sich langsam entfaltender
Schadcode, infizierte Mobilgeräte und gut
versteckte Malware-Fracht, die mit einem
IDS/IPS schwer zu entdecken ist.
Mit Hilfe der Software des Sicherheitsspe-
zialisten Trend Micro ist die Produktfami-
lie der HP TippingPoint Advanced Threat
Appliance (ATA) in der Lage, Schadcode
zunächst auf sein Verhalten zu unter-
suchen, weil er sich in einer „Sandbox“
(wörtlich: Sandkasten), einem geschützten
Speicherbereich, befindet. Sollte Schad-
code dennoch das Netzwerk infiltrieren,
kann die verfeinerte Aufspürtechnologie
der ATA die verdächtige Verhaltensweise
identifizieren. Diese Sichtbarkeit gibt dem
Kunden ausreichend Gelegenheit, schnell
Kapitel 6
HP bietet eine Reihe
aufeinander abge-
stimmter und integrier-
barer Lösungen zur Un-
ternehmenssicherheit.
22 Security-Insider.de | Firewall – die nächste Generation
zu reagieren, bevor die Malware Schaden
anrichten kann.
2) Mit HP ArcSight lassen sich zusätzlich
sicherheitsrelevante Systemereignisse
überwachen, korrelieren und bei Gefahr
unterbinden. Die SIEM-Lösung ArcSight
Express lässt sich entweder als Hardware-
Appliance oder als Virtuelle Appliance in-
stallieren. Je nach Kundenanforderungen
bietet die jeweilige Produktfamilie – es
gibt sechs Ausführungen mit jeweils unter-
schiedlicher Kapazität – mehr Vorteile.
3) HP Atalla sorgt durch Verschlüsselung
für die Absicherung des Datenverkehrs in
bzw. mit der Cloud sowie im Zahlungs­
verkehr.
4) HP Fortify dient dem Aufspüren und
dem Beseitigen von Sicherheitslücken in
unternehmens- bzw. kundeneigenen Appli­
kationen, seien diese nun im eigenen Haus,
mobile Apps oder Web-Anwendungen.
Diese vier Lösungen sind nicht nur mitein-
ander integrierbar, sie bilden auch Baustei-
ne innerhalb der HP Security Intelligence
and Risk Management Platform (SIRM).
Die Plattform unterstützt ein Unterneh-
men dabei, das Sicherheitsrisiko, dem es
ausgesetzt ist, herauszufinden, zu eva-
luieren und es einzudämmen – und zwar
zu Kosten, die vertretbar sind. Mit Risk
Management lassen sich auch zuverlässi-
ge Entscheidungen treffen, die das Wohl
oder Wehe des Unternehmenskapitals –
Finanzen, Patente, Kundenvertrauen und
Aufrechterhaltung der Geschäftstätigkeit –
betreffen.