Sie sind auf Seite 1von 15

Security

eBook

Next Generation
Firewalls
Abwehr neuer, komplexer Bedrohungen –
moderne Netzwerksicherheit – Datenschutz
Powered by:

Security
Eine Publikation von
Insider
Inhalt
3 Warum klassische Firewalls nicht
mehr ausreichen
Abwehr neuer, komplexer Bedrohungen

6 Worauf es bei Next Generation


Firewalls ankommt
Anforderungen an eine moderne Netzwerksicherheit

8 Netzwerke kontrollieren, nicht die


einzelnen Nutzer
Datenschutz im Blick behalten

10 Next Generation Management für


Next Generation Firewalls
Verwaltung der Firewall-Funktionen

12 Ausfallsicherheit und Hochverfügbarkeit


mit McAfee Multi-Link
Bessere Bandbreitennutzung und optimierte VPN-Performance

14 RWTH schützt Infrastruktur und


Daten mit McAfee
Anwenderbericht: McAfee Next Generation Firewall bei der RWTH

Powered by: Vogel IT-Medien GmbH Haftung: Für den Fall, dass Beiträge oder Informa­tionen
unzutreffend oder fehlerhaft sind, haftet der Verlag nur beim
August-Wessels-Str. 27, 86156 Augsburg
Nachweis grober Fahrlässigkeit. Für Beiträge, die namentlich
Telefon +49 (0) 821/2177-0 gekennzeichnet sind, ist der jeweilige Autor verantwortlich.
E-Mail redaktion@security-insider.de Copyright: Vogel IT-Medien GmbH. Alle Rechte vorbehalten.
Web www.Security-Insider.de Nachdruck, digitale Verwendung jeder Art, Vervielfältigung nur
McAfee GmbH Geschäftsführer: Werner Nieberle mit schriftlicher Genehmigung der Redaktion.
Nachdruck und elektronische Nutzung: Wenn Sie Beiträge
Ohmstr. 1, 85716 Unterschleißheim Chefredakteur: Peter Schmitz, V.i.S.d.P.,
dieses eBooks für eigene Veröffent­li­chun­gen wie Sonderdru-
Telefon +49 (0)89 37 07-0 peter.schmitz@vogel-it.de cke, Websites, sonstige elektroni­sche Medien oder Kunden-
E-Mail Info_Deutschland@McAfee.com Erscheinungstermin: Juli 2014 zeitschriften nutzen möchten, erhalten Sie Informationen so-
Web www.mcafee.com/de Titelbild: Khorzhevska - Fotolia.com wie die erforderlichen Rechte über www.mycontentfactory.de,
Tel. +49 (0) 931/418-2786.

2 Security-Insider.de | Next Generation Firewalls


Abwehr neuer,
komplexer
Bedrohungen

Warum klassische Firewalls


nicht mehr ausreichen
Angriffe auf die Netzwerksicherheit haben eine neue Qualität
erreicht. Die neuen Bedrohungen erfordern auch eine neue
Generation von Firewall-Lösungen.

Die Risiken für Netzwerke und


IT-Systeme haben sich eben-
so geändert wie der Grad der
Vernetzung. So ist eine kom-
plette Trennung vom Internet
in vielen Unternehmensbe-
reichen kaum noch möglich.
Gleichzeitig haben sich neu-
artige Online-Bedrohungen
entwickelt.

Angriffe erfolgen
zunehmend gezielt
Das Bundesamt für Sicher-
heit in der Informations-
technik (BSI) berichtet zum
Beispiel in dem Lagebe-
richt „Fokus IT-Sicherheit“
© sheelamohanachandran - Fotolia.com
von einer gestiegenen Ziel­
Klassische Firewall- orientierung, Professionalität
Lösungen sind mit der Netzwerkrisiken verändern sich und Qualität der Attacken auf Unterneh-
Abwehr neuartiger Viele Unternehmen haben noch die Vor- mensnetzwerke. Die Angriffe erfolgen über
Bedrohungen wie APTs
stellung, ihre Netzwerke seien massenhaf- einen langen Zeitraum, kombinieren ver-
überfordert.
ten, breitgefächerten Attacken aus dem schiedene Wege und Verfahren und sind so
Internet ausgesetzt. Besonders kritische raffiniert in der Planung und Durchführung,
Netzwerkbereiche und IT-Systeme sollten dass sie mit herkömmlichen Sicherheits-
deshalb im Idealfall komplett vom Inter- verfahren leicht übersehen werden. Man
net getrennt werden, um sie vor diesem spricht von Advanced Persistent Threats
Ansturm zu bewahren. Diese Art von Si- (APTs). Die APTs sind keine Ausnahme,
cherheitskonzept ist aber nicht mehr zeit- sondern werden zur Regel. Das BSI geht
gemäß, weder aus Sicht der Geschäfts- davon aus, dass heute mindestens jedes
prozesse noch aus Sicht der aktuellen international aufgestellte Unternehmen in
Bedrohungssituation. Deutschland ein potenzielles APT-Ziel ist.

3 Security-Insider.de | Next Generation Firewalls


Abwehr neuer,
komplexer
Bedrohungen

Vielfalt der Datenströme nimmt zu sichtlich der Nutzer genau unterschieden


Das Aufspüren der intelligenten, fortge- werden. Was für die eine Applikation und
schrittenen Angriffe wird unter anderem den einen Anwender erlaubt sein muss,
dadurch erschwert, dass die Überwachung kann für einen anderen Nutzer und eine an-
dere Anwendung durchaus blockiert wer-
den, um unnötige Risiken zu vermeiden.
Die neue Netzwerksicherheit erfordert bei
Netzwerkverbindungen eine genaue Unter-
scheidung zwischen Benutzern, zwischen
Endgeräten und zwischen Anwendungen
und nicht nur eine Freigabe oder Blockade
auf der Ebene von Ports und Protokollen.

Klassische Netzwerksicherheit
wird getäuscht
Die Angreifer tarnen die APT-Attacken,
indem sie zum Beispiel ihre Angriffswerk-
zeuge stückweise über verschiedene
Kommunikationskanäle und -protokolle in
das Netzwerk des Zielunternehmens ein-
schleusen. Die Einzelteile erscheinen den
klassischen Sicherheitssystemen harmlos.

Die Vielfalt der Bedro-


hungen und neuen der Datenströme in das Netzwerk und aus
Technologien macht dem Netzwerk heraus sehr komplex wer-
neue Sicherheitskon-
den kann: Der „Application Usage and
zepte erforderlich. Für
den Schutz der Netz-
Threat Report“ (AUT-Report) von Palo Alto
werke sollten klassi- Networks zum Beispiel identifiziert rund
sche Firewalls um neue 1.400 verschiedene Anwendungen in den
Funktionen ergänzt Unternehmensnetzwerken, die bei einem
werden. (Bild: ENISA) Monitoring des Datenverkehrs berücksich-
tigt werden müssen.
Ein einfaches Erlauben oder Verbieten von
Das BSI geht davon aus, dass zumindest je-
Internetverbindungen reicht nicht. Vielmehr des international aufgestellte Unternehmen
müssen die Datenströme hinsichtlich der in Deutschland ein potenzielles APT-Ziel ist.
genutzten Anwendungen, aber auch hin- (Bild: BSI „Fokus IT-Sicherheit“)

4 Security-Insider.de | Next Generation Firewalls


Abwehr neuer,
komplexer
Bedrohungen

Nach der Passage der Netzwerkkontrolle tisch eingeschränkt werden, denn dies
werden die Teile zusammengefügt und würde viele Geschäftsprozesse hemmen
ergeben eine mächtige Waffe hinter den und könnte die Produktivität im Unterneh-
men senken. Vielmehr sind neue Firewall-
Funktionen gefragt, die deutlich feiner als
bisher die Datenströme unterscheiden.
So sollten die Netzwerkzugriffsberechti-
gungen abhängig von der jeweiligen An-
wendung, dem Nutzer, seiner Rolle, dem
Endgerät und dem Sicherheitsstatus des
Endgerätes gemacht werden. Zusätzlich
sollten Firewall-Funktionen auch zeitab-
hängige Netzwerkzugriffe unterstützen,
die angefragte Netzwerkbandbreite prüfen
und die zugestandenen Netzwerkberech-
tigungen von bestimmten Funktionen der
genutzten Anwendung abhängig machen.
Mit solch feinen Kontrollen werden die gut
getarnten Angriffe mit deutlich größerer
Wahrscheinlichkeit entdeckt, da dann Ano­
malien im Datenverkehr eher auffallen.
Die genannten, neuen Firewall-Funktionen
werden durch sogenannte Next Genera-
tion Firewalls (NGFW) angeboten, die im
Folgenden näher betrachtet werden.
 Oliver Schonschek

Advanced Evasion
Techniques (AETs) teilen Verteidigungslinien. Diese Angriffstechnik
böswillige Inhalte in wird Advanced Evasion Technique (AET)
kleine Teile auf, tarnen genannt. Eine klassische Netzwerkvertei-
sie und versenden sie digung mit Firewalls ist hier überfordert,
über unterschiedliche
denn der Netzwerkverkehr muss nach in-
Protokolle. Sobald die
böswilligen Inhalte in telligenten Regeln hin untersucht werden. Tipp: kostenloses Test-Tool
das System eingedrun- Die Abwehr muss ebenso fortschrittlich
gen sind, setzen sie sich sein wie die neuen Angriffsformen. Laden Sie sich das kostenlose Test-
wieder zusammen, um Tool „McAfee Evader“ herunter und
anschließend Malware Eine neue Generation von Firewalls testen Sie Ihre Sicherheitsprodukte
zum Einsatz zu bringen. erhöht das Abwehrpotenzial auf ihr Verhalten bei realen AET-
(Bild: McAfee) Stealth-Angriffen.
Die steigende Vielfalt an Angriffsmethoden
Weitere Details finden Sie unter:
und -wegen darf nicht dazu führen, dass http://evader.mcafee.com/
die erlaubten Internetverbindungen dras-

5 Security-Insider.de | Next Generation Firewalls


Anforderungen an
eine moderne Netz-
werksicherheit

Worauf es bei Next Generation


Firewalls ankommt
Die neue Generation der Firewall-Lösungen ermöglicht eine regelbasierte,
bedarfsabhängige Netzwerkkontrolle. Wie der genaue Bedarf ist, hängt
aber von den benötigten Anwendungen und Diensten des einzelnen
Unternehmens ab.

© Andrea Danti - Fotolia.com Next Generation Firewalls


(NGFW) unterscheiden Nut-
zer, Endgeräte und Anwen-
dungen (wie zum Beispiel
soziale Netzwerke) und nicht
nur Ports. Sie können den
erlaubten Datenverkehr zum
Beispiel vom einzelnen Nutzer
sowie von einem bestimmten
Endgerät (z.B. privates oder
betriebliches Smartphone)
abhängig machen.
NGFW unterstützen damit
die Durchsetzung von Sicher-
heitsrichtlinien auf der Ebe-
ne von Protokollen, Ports,
Geräten, Anwendungen und
Nutzer. Sie vereinen in sich
Firewall-Funktionen, Leistun-
gen eines Intrusion Prevention
Systems (IPS), Malware-Er-
Next Generation Was Next Generation Firewalls kennung, Nutzeridentifikation
Firewalls unterscheiden möglich machen und Applikationskontrolle. Entsprechend
Nutzer, Endgeräte und
Anwendungen (wie zum Viele Unternehmen sind sich der Risiken können sie auch raffinierte Attacken auf
Beispiel soziale Netz- durch den Einsatz sozialer Netzwerke be- verschiedenen Ebenen erkennen und ab-
werke) und nicht nur wusst, doch ein Verzicht darauf und die wehren.
Ports. vollständige Blockade entsprechender
Dienste kommen nicht in Frage. Zu wichtig Wie sich Next Generation Firewalls
sind inzwischen die Vorteile von Facebook einsetzen lassen
& Co., wie zum Beispiel die BITKOM-Um- Die Vorteile der neuen Firewall-Generation
frage „Social Media im Unternehmensein- zeigen sich, wenn man verschiedene Ein-
satz“ zeigt. satzszenarien betrachtet:

6 Security-Insider.de | Next Generation Firewalls


Anforderungen an
eine moderne Netz-
werksicherheit

• Einschränkung der sozialen Netzwerke, • Blockade des Internetzugangs für be-


Web-Mail- und Chat-Programme auf die stimmte Endgeräte (wie IT-Systeme, de-
betrieblich erlaubten Anwendungen an- ren Sicherheitsstatus als unzureichend
stelle eines kompletten Verbots von so- eingestuft wird)
zialen Netzwerken, Web-Mail und Chats
• Begrenzung der Internetbandbreite für Breites Angebot an NGFW auf
den Datei-Transfer abhängig vom Nutzer dem Markt verfügbar
und der betrieblichen Aufgabe oder Rolle Der Bedarf für eine regelbasierte, detaillier-
• Priorisierung der Datenverbindungen für te Netzwerkkontrolle wurde von den IT-Si-
bestimmte Dienste, z.B. für Internet-Tele- cherheitsanbietern bereits vor einiger Zeit
fonie (VoIP) erkannt, so dass es inzwischen eine ganze
• Beschränkung der verfügbaren Internet- Reihe von Next Generation Firewalls gibt,
bandbreite bei einer ggf. erlaubten Pri- darunter Barracuda Networks NG Firewall,
vatnutzung des Internets Check Point Next Generation Firewall,
• Freigabe des Online-Zugriffs auf be- Cisco Sourcefire NGFW, Cyberoam
stimmte Web-Plattformen (z.B. Einkaufs- Next-Generation Firewall, Dell SonicWall
portal) je nach Nutzer und Nutzerrolle Next-Gen Firewall, Fortinet FortiGate, HP
(z.B. Einkauf) Tipping Point, McAfee Next Generation
Firewall, Palo Alto Networks PA 5000 Se-
Auswahlkriterien für Next Generation Firewalls ries und Sophos Next-Generation Firewall.
•a  usreichende Kapazität (Throughput) der Firewall für den zu
Die Suche nach der passenden
erwartenden Datenverkehr über die verschiedenen Netzwerkver-
Next Generation Firewall
bindungen und für die verschiedenen Anwendungen
•Z  ahl der maximal möglichen parallelen Netzwerkverbindungen Unternehmen, die eine Next Generation
(Netzwerk-Sessions, Concurrent Connections) ausreichend für den Firewall einführen wollen, haben somit eine
aktuellen und vorgesehenen Bedarf große Auswahl. Neben den speziellen Si-
•U  nterstützung von VPN-Verbindungen cherheitsfunktionen sollte die NGFW der
•P  rüfung von SSL-verschlüsselten Verbindungen Wahl auch hinsichtlich Firewall-Manage-
•T  estumgebung zur Kontrolle neuer Einstellungen/Regeln ment, Verfügbarkeit und Skalierbarkeit
•P  riorisierung der Bandbreite je Nutzer, Endgerät und Anwendung
überzeugen. Eine NGFW, die nicht den
•Z  wei-Faktor-Authentifizierung für Firewall-Administratoren
notwendigen Datendurchsatz, die erfor-
•U  nterscheidung von Anwendungen (Anwendungen im Netzwerk
derliche Ausfallsicherheit und eine hohe
und Online-Applikationen, Application Awareness)
•m  ögliche Zeitabhängigkeit bei der Definition von Firewall-Regeln Eigensicherheit besitzt, kann der Netz­
•m  ögliche Whitelist (erlaubte Anwendungen) passend zu den einge- werksicherheit nicht zuverlässig dienen.
setzten Anwendungen Zudem müssen sich die internen Sicher-
•U  nterstützung mobiler Endgeräte (wie Smartphones und Tablets) heitsrichtlinien entsprechend mit der
•a  utomatischer Wiederanlauf bei Ausfall der Firewall NGFW umsetzen lassen, damit die Netz-
•U  nterscheidung der Endgeräte im Netzwerk (NAC, Network Access werksicherheit wirklich dem Bedarf des
Control) Unternehmens entspricht.
• r egelmäßige Firmware-Updates für die Firewall  Oliver Schonschek
•S  upport durch den Anbieter (Administratorschulung, Hotline)
•U  nterscheidung Nutzerrollen und Berechtigungen bei der Kontrolle
des Datenverkehrs (Identity Awareness)
•V  orlagen für die Konfiguration und für Berichte
•A  udit-Funktionen
•M  anipulationssicherheit der Protokolle

7 Security-Insider.de | Next Generation Firewalls


Datenschutz im
Blick behalten

Netzwerke kontrollieren,
nicht die einzelnen Nutzer
Next Generation Firewalls ermöglichen eine Netzwerkkontrolle
auf Anwendungs- und Nutzerebene. Die Protokolle und Berichte
der NGFW könnten deshalb zum Datenschutz-Problem werden.

© DOC RABE Media - Fotolia.com Ebene von Anwendungen,


Nutzer und Geräten, auf wel-
chem IT-System welche An-
wendung für welchen Nutzer
einen bestimmten Netzwerk-
zugriff durchgeführt hat.
Wenn Unternehmen den Mit-
arbeiterinnen und Mitarbeitern
erlauben, das Internet oder
die E-Mail-Anwendung auch
privat zu nutzen, müssen die-
se privat motivierten Aktivi-
täten aus der Protokollierung
genommen beziehungsweise
anonymisiert werden (Fern-
meldegeheimnis). Das Unter-
nehmen darf also nicht ohne
weiteres aufzeichnen, welche
Web-Applikation durch einen
Beschäftigten genutzt und
welche Webseite geöffnet
wurde, wenn diese im Rahmen
Eine erlaubte private
Vorsicht bei erlaubter Privatnutzung der privaten Internetnutzung am Arbeits-
Internet- und E-Mail-
Nutzung der Mitarbeiter des Internets platz verwendet wird.
muss aus der Protokol- Next Generation Firewalls bieten tiefe Nur in einem konkreten Verdachtsfall ist
lierung gelöscht bzw. Einblicke in Netzwerkaktivitäten und sind eine entsprechende Überwachung er-
anonymisiert werden.
deshalb so hilfreich bei der Abwehr von laubt, wenn also zum Beispiel ein Mit-
Advanced Persistent Threats (APTs). Um arbeiter als Innentäter und Datendieb
verdächtige Vorgänge besser von den enttarnt werden soll. Solche Verdachts­-
Standardprozessen im Netzwerk unter- momente sollten jedoch nur in Abstimmung
scheiden zu können, wird der Netzwerk- mit der Mitarbeitervertretung und dem
verkehr in der Regel fortlaufend proto- betrieblichen Datenschutzbeauftragten
kolliert. Die Protokolle enthalten dann auf überprüft werden.

8 Security-Insider.de | Next Generation Firewalls


Datenschutz im
Blick behalten

Kontrolle privater Anwendungen eines ordnungsgemäßen Betriebes dür-


vermeiden fen mittels Next Generation Firewall fort-
Werden private Geräte betrieblich ge- laufend stattfinden. Die entsprechenden
nutzt (BYOD-Programme, Bring Your Own Protokolle unterliegen der sogenannten
Device), muss sichergestellt werden, dass besonderen Zweckbindung. Eine Verwen-
die umfängliche Netzwerküberwachung dung der Protokolle insbesondere zur Ver-
nur den betrieblichen Anwendungen auf haltensanalyse oder Leistungskontrolle der
den privaten Geräten gilt. Eine Überwa- Beschäftigten darf so nicht vorgenommen
chung des privaten Daten- und Anwen- werden. Next Generation Firewalls dienen
dungsbereichs auf den Geräten ist nicht eben der Kontrolle der Netzwerkaktivitäten
gestattet. Dies muss durch entsprechende und nicht der Mitarbeiterüberwachung.
Einstellungen bei der NGFW sichergestellt  Oliver Schonschek
werden.

Nur stichprobenartige Prüfungen


vorsehen
Auch die Nutzung betrieblicher Anwen-
dungen, Geräte und Dienste darf nicht
ohne Anlass auf der Ebene des einzelnen

© goodluz - Fotolia.com

Einzelne Nutzer dürfen


nicht dauerhaft über- Nutzers dauerhaft überwacht werden. Er-
wacht werden. Erlaubt laubt sind Stichproben, um festzustellen,
sind nur Stichproben.
ob die internen Richtlinien eingehalten
werden. Nur die generellen Kontrollen zu
Zwecken der Datenschutzkontrolle, der
Datensicherung oder zur Sicherstellung

9 Security-Insider.de | Next Generation Firewalls


Verwaltung der
Firewall-Funktionen

Next Generation Management


für Next Generation Firewalls
Mit Next Generation Firewalls kann der Netzwerkverkehr sehr
detailliert überwacht und geregelt werden. Für die Netzwerksicherheit
entscheidend ist, dass die Firewall-Regeln stimmig und aktuell sind.
Hier sind gute Firewall-Management-Funktionen gefragt.

Anti-Spam und Anti-Malware


ist. Die einzelnen Sicherheits-
leistungen sind aufeinander
abgestimmt und arbeiten
gemeinsam und nicht nur
parallel. Doch die Abstim-
mung der einzelnen Funktio­
nen auf die aktuelle Netz-
werksituation kann durchaus
anspruchsvoll sein.

Laufende Änderungen
sind erforderlich
Nicht nur die Bedrohungslage
ändert sich ständig. Auch das
Netzwerk selbst unterliegt
dynamischen Änderungen,
zum Beispiel durch neue Ge-
© pressmaster - Fotolia.com
räte, die eingebunden werden
Eine intelligente müssen, neue Anwendungen,
Management-Lösung Passgenaue Netzwerksicherheit die im Netzwerk laufen, durch neue oder
sollte die Administra- Next Generation Firewalls sind klassischen ausscheidende Mitarbeiter und veränderte
toren in ihrer Arbeit
Firewalls insbesondere dadurch überlegen, Aufgaben im Unternehmen.
unterstützen und sie
nicht mit Warnmeldun- dass sich ihre Sicherheitsfunktionen dem Man kann davon ausgehen, dass die
gen überhäufen. aktuellen Schutzbedarf des jeweiligen Un- Administratoren alleine im Bereich der
ternehmensnetzwerkes entsprechend an- IPS-Signaturen zur Erkennung von Atta-
passen lassen. Möglich wird dies durch ein cken jeden Monat einige Hundert oder gar
ausgefeiltes Regelsystem und eine tiefe In- Tausend Anpassungen vornehmen müs-
tegration der einzelnen Funktionen, so dass sen. Diese Aktualisierungen sind aufwän-
eine NGFW nicht einfach die Summe aus dig und letztlich auch fehleranfällig, wenn
klassischer Firewall, Intrusion Preven­tion manuelle Einstellungen vorgenommen
System (IPS), Web-Filter, DDoS-Schutz, werden müssen.

10 Security-Insider.de | Next Generation Firewalls


Verwaltung der
Firewall-Funktionen

Firewall-Regeln müssen regelmäßig matisch prüfen, Änderungen daran simu-


überprüft werden lieren und geprüfte Einstellungen ausrollen
Bevor eine neue Next Generation Firewall- lassen. Die Management-Lösung sollte
Regel aktiv wird, sollte diese auf ihre Aus- auch die Aktualisierung des Firewall-Be-
wirkungen hin kontrolliert werden. Das galt triebssystems übernehmen, die Firewall-
bereits für die klassischen Firewalls und gilt Einstellungen regelmäßig sichern und
umso mehr für Next Generation Firewalls, Administratoren bei der Suche nach wider-
da hier weitaus mehr Funktionen und Ein- sprüchlichen Firewall-Regeln unterstützen.
stellungsmöglichkeiten berücksichtigt wer- Zudem sollte das Management-Tool die
den müssen. Administratoren über erkannte Bedrohun-
gen und mögliche Netzwerk-
probleme informieren. War-
nungen sollten auf definierten
Wegen den zuständigen
Administratoren übermittelt
werden, zum Beispiel mittels
SMS oder E-Mail. Damit die
Administratoren nicht von
Warnmeldungen überhäuft
werden, empfiehlt es sich,
ein Management-System zu
nutzen, das die Definition
von Warnschwellen anbietet.
Automatische, vordefinierte
Management-Berichte pas-
send zu Compliance-Vorga-
ben sollten ebenso verfügbar
Der erfolgreiche Einsatz
einer NGFW hängt stark Geprüft werden muss insbesondere, ob sein wie individuelle Abfragen zum Netz-
vom Firewall-Manage- aktuelle Bedrohungslagen in die Regeldefi- werksicherheitsstatus aus Administrato-
ment ab. Im Idealfall nition eingeflossen sind, ob die Netzwerk­ rensicht.
sollte die Management- änderungen berücksichtigt wurden und Im Idealfall sollte die Management-Platt-
Plattform der Wahl alle
ob die internen Sicherheitsrichtlinien auch form der Wahl nicht nur die Next Genera­
Netzwerksicherheits­
weiterhin ihren Niederschlag finden. Ohne tion Firewall verwalten können, sondern
lösungen des Unter­
nehmens verwalten die Unterstützung durch intelligente Ma- alle Netzwerksicherheitslösungen des Un-
können. (Bild: McAfee) nagement-Funktionen wird es kaum mög- ternehmens. Wenn dies auch für Lösungen
lich sein, die Vorteile einer NGFW wirklich von Drittanbietern möglich ist, dann wird
zu nutzen, also dynamisch die Produktivi- die Next Generation Firewall durch ein Next
tät im Netzwerk und gleichzeitig die Netz- Generation Management ergänzt. Diese
werksicherheit aufrecht zu erhalten. Kombination versetzt die Netzwerksicher-
heit dann in die Lage, mit den fortschritt-
Firewall-Management braucht lichen Netzwerkangriffen nicht nur Schritt
Unterstützung zu halten, sondern ermöglicht eine präven-
Zu einer NGFW sollte deshalb auch tive Netzwerksicherheit auf Basis aktueller
eine intelligente Netzwerk- und Firewall-­ Bedrohungsdaten und -vorhersagen.
Management-Lösung gehören, mit der  Oliver Schonschek
sich die Firewall-Regeln weitgehend auto­

11 Security-Insider.de | Next Generation Firewalls


Bessere Band­
breiten­nutzung
und optimierte
VPN-Performance

Ausfallsicherheit und
Hochverfügbarkeit mit
McAfee Multi-Link
Eine Möglichkeit bei einem Höchstmaß an Sicherheit, Hochverfügbarkeit
sicherzustellen, bietet die sogenannte Multi-Link-Technologie. Unternehmen
können mit ihr außerdem ihre vorhandene Bandbreite besser nutzen,
gegebenenfalls auch teure MPLS-Leitungen durch Internetanbindungen
ersetzen und so erhebliche Kosteneinsparungen realisieren.

Bei der Organisation ihrer Netzwerksicher- Die meisten Unternehmen sind hoch-
heitsinfrastruktur müssen Unternehmen gradig von einem funktionierenden Netz
einerseits ihren Sprach- und Datenverkehr abhängig. Eine Stunde offline kann den
schützen bzw. in vielen Fällen sogar ab- gesamten Geschäftsbetrieb lahmlegen
hörsicher übertragen. Andererseits müs- und erhebliche Folgekosten verursachen.
sen sie die Verfügbarkeit, Sicherheit und Bisher haben Unternehmen dafür vor
Bandbreitenoptimierung ihrer verschiede- allem auf Multi-Protocol-Layer-Switching
nen, vernetzten Standorte sicherstellen. (MPLS)-Verbindungen zurückgegriffen und
an wichtigen Standorten parallele MPLS-
Anbindungen mit verschiedenen Providern
Die Vorteile von Multi-Link im Überblick
realisiert. MPLS ist aber teuer und zudem
•H
 ochverfügbarkeit und Ausfallsicherheit: Mit Multi-Link können auch nicht hundertprozentig ausfallsicher.
Unternehmen hohe Verfügbarkeit und Redundanz selber realisieren
und steuern. Ausfallsicherheit verbessern
•P
 riorisierung: Geschäftskritische Daten können priorisiert werden
McAfee Multi-Link ermöglicht es nun, bei
und erhalten immer Vorrang.
niedrigeren Kosten die Ausfallsicherheit
•L
 oad Balancing: Die verfügbare Bandbreite wird optimal genutzt.
des Netzwerks und gleichzeitig die Sicher-
•Q
 uality of Service: Die optimale Anbindungsart kann gemäß indi­
viduellen Anforderungen und lokalen Vorraussetzungen flexibel heit zu erhöhen. Mit ihr können mehrere
gewählt werden. VPN-Verbindungen über verschiedene An-
•S
 icherheit erhöhen: In Kombination mit einem zentralen Manage- bindungsmöglichkeiten wie beispielsweise
ment Center sowie durch Verschlüsselung ermöglicht die Multi- MPLS, ADSL, xDSL oder Funknetze kom-
Link-Technologie höchste Sicherheit. biniert werden. Wie der Name der Tech-
•P
 erformance: Stand-by-/back-up-Verbindungen können bei nologie sagt, wird dadurch nicht mehr nur
Bedarf aktiv genutzt werden. eine Verbindung für das gesamte Netzwerk
•L
 eitungskosten sparen: Teure Verbindungen (Leased Lines, MPLS) genutzt, sondern mehrere Verbindungen
können durch günstigere abgelöst werden.
parallel in einer VPN-Verbindung zusam-
•L
 ink Aggregation: Mit Multi-Link lässt sich über Internet oder GSM
mengefasst. Auf diese Art und Weise wird
die Bandbreite bestehender Leased Lines, MPLS- oder IPS-Verbin-
automatisch die jeweils schnellste ver-
dungen kostengünstig dynamisch erweitern.
fügbare Verbindung ausgewählt und der

12 Security-Insider.de | Next Generation Firewalls


Bessere Band­
breiten­nutzung
und optimierte
VPN-Performance
Verkehr somit optimal über das gesamte eingesetzt wird und somit die vorhandenen
Netzwerk verteilt. Für den Fall, dass eine Verbindungen optimal nutzen.
Verbindung wegbricht, übernehmen die
verbleibenden Netzanbindungen automa- Optimale Steuerung mithilfe eines
tisch und nahtlos den Datenverkehr der zentralen Management-Systems
ausgefallenen Leitung. Integrierte Verfah- Die Vorteile von McAfee Multi-Link kom-
ren stellen des Weiteren beim Ausfall eines men am Besten zum Tragen, wenn Unter-
Servers sicher, dass die zuständigen DNS- nehmen für die Steuerung ihrer Netzwerk-
Server automatisch informiert werden sicherheitsinfrastruktur auf ein zentrales
und darauf reagieren. Dadurch Management-Center zurückgreifen. Damit
ermöglicht es Multi-Link, dyna- können Administratoren an zentraler Stelle
misch auf Last und Systemaus- die Priorisierung der Daten für das gesam-
fälle zu reagieren. te Netzwerk und alle Standorte vornehmen
und dafür Sorge tragen, dass das Netzwerk
Bessere Aufteilung der kostenoptimal betrieben wird. Darüber
vorhandenen Bandbreite hinaus trägt ein zentrales Management
McAfee Multi-Link ist zudem auch zur Sicherheit des Netzwerks bei.
ein Schlüssel zur besseren Nut- Administratoren können damit alle physi-
zung der vorhandenen Band- schen und virtuellen Geräte sowie Produk-
breite und zu einer optimierten te von Drittanbietern zentral verwalten und
VPN-Performance. Mithilfe von überwachen.
Quality of Service- (QoS) sowie
allgemeinen Bandbreiten-Ma- Integration von McAfee Multi-Link
nagement-Funktionen kann die in die Netzwerkinfrastruktur
jeweils vorhandene Bandbreite Die Integration von McAfee Multi-Link in
ISP-Netz ohne Multi-
besser aufgeteilt werden. Das geschieht die Netzwerkinfrastruktur kann in verschie-
Link-VPN und ein mit
Multi-Link-VPN op- durch eine Priorisierung von Anwendungen denen Phasen vorgenommen werden. Un-
timiertes ISP-Netz. und Protokollen. Dadurch lässt sich sicher- ternehmen können dabei festlegen, ob sie
(Bilder: McAfee) stellen, dass geschäfts- oder zeitkritischer die Technologie nur dafür nutzen möchten,
Datenverkehr Vorrang erhält. Da- ihre Bandbreite besser auszunutzen, oder
bei ermöglicht das QoS-Band- ob sie auch ihre Kosten optimieren möch-
breiten-Management eine Kon- ten bzw. ihre Sicherheitsstandards erhö-
figuration auf allen vorhandenen hen wollen.
Ebenen – dem Interface, der Bei der Integration werden zunächst, um
Firewall, innerhalb virtueller pri- den laufenden Betrieb aufrechtzuerhalten,
vater Netzwerke sowie innerhalb zusätzliche Firewalls installiert. Abhängig
von Firewall-Regeln. Aufgrund von den individuellen Anforderungen und
der hohen Granularität ist dabei Gegebenheiten kann Multi-Link VPN mit
gewährleistet, dass hochsensib- MPLS-Anbindungen kombiniert werden
le und geschäftskritische Daten oder aber MPLS-Systeme ganz ersetzen.
mit der höchsten Priorität verar- Handelt es sich um ein Netzwerk mit re-
beitet werden. Die Technologie dundanten MPLS-Verbindungen, besteht
ermöglicht es Unternehmen zu- die Möglichkeit, eine MPLS-Verbindung
dem, ihre Kosten zu reduzieren. durch eine xDSL-Anbindung auszutau-
Sie können definieren, welche schen. Multi-Link VPN fügt dann beide An-
Verbindung für welchen Zweck bindungen zusammen.

13 Security-Insider.de | Next Generation Firewalls


Anwenderbericht:
McAfee Next
Generation Fire-
wall bei der RWTH

RWTH schützt Infrastruktur


und Daten mit McAfee
Wie andere Forschungseinrichtungen auch stellen Universitäten ein
attraktives Ziel für Internetangreifer dar. Um ihr Netzwerk zuverlässig
abzusichern, entschied sich die RWTH für eine Lösung von McAfee.

Die technische Univer-


sität Aachen benötigte Die RWTH Aachen ist die technische Uni- sowie die Unterstützung verschiedener
eine Sicherheitslösung, versität der Stadt Aachen in Nordrhein- Benutzerrollen, Berechtigungen und Zu-
die ein Datenvolumen
Westfalen. Die Universität mit 40.000 Stu- griffsrechte. Die Universität benötigte eine
von 20 Gbit/s verarbei-
ten kann und Schutz vor denten in neun Fakultäten ist als eine der Sicherheitslösung, die ein Datenvolumen
den immer häufigeren herausragendsten europäischen techni- von 20 Gbit/s verarbeiten kann und Schutz
gezielten Angriffen auf schen Institutionen anerkannt. Vor kurzem vor den immer häufigeren gezielten Angrif-
Endbenutzergeräte bie- wurde die RWTH Aachen zum zweiten Mal fen auf Endbenutzergeräte bietet.
tet. (Bild: McAfee)
als Exzellenzuniversität ausgewählt und
behielt damit ihren Status als eine von Lösung: Next Generation Firewall-
Deutschlands Eliteuniversitäten. Cluster für Malware-Schutz
Ende des Jahres 2013 entschied sich die
Problemstellung: Strikte Anforde- Universität für eine Verlängerung ihrer
rungen an die Netzwerksicherheit Next Generation Firewall-Lizenzen. Zu den
Die Anforderungen und Kriterien an die Gründen dafür zählten die Rendite der Lö-
Sicherheit sind bei Universitäten besonders sung sowie die Skalierungsmöglichkeiten,
hoch. Das IT Center (ehemals Rechen- die den Produkten der Mitbewerber deut-
und Kommunikationszentrum) der RWTH lich überlegen waren.
Aachen legte mehrere wichtige Kriterien „Unsere Umgebung ist so anspruchsvoll,
für die Netzwerksicherheit fest. Dazu ge- dass unsere Kriterien nur von wenigen
hörten Hochleistungsfähigkeit und Verfüg- Systemen auf dem Markt erfüllt werden“,
barkeit, heterogene Infrastruktur und Sys- erklärt Andreas Schreiber, Chief Business
temumgebungen, nahtlose Verbindungen Development Officer im IT Center. „Nach
zu verschiedenen Forschungsnetzwerken einer längerfristigen Analyse der verfügba-

14 Security-Insider.de | Next Generation Firewalls


Anwenderbericht:
McAfee Next
Generation Fire-
wall bei der RWTH
ren Lösungen konnten wir uns davon über- die Universität keine Wartungsfenster mehr
zeugen, dass McAfee Next Generation festlegen, die den Zugang zu Diensten und
Firewall optimalen Schutz und Hochverfüg- Daten einschränken. Hinzu kommt, dass
barkeit bietet, wobei das Preis-Leistungs- die größeren Firewall-Aktualisierungen, die
Verhältnis den Anforderungen öffentlicher quartalsweise erfolgen, auch ohne exter-
Einrichtungen Rechnung trägt.“ nen Support erfolgen können.
McAfee Next Generation Firewall verteilt
den ein- sowie ausgehenden Netzwerkver- Ergebnisse: Sicher in die Zukunft
kehr automatisch auf sieben verbundene „Mit McAfee Next Generation Firewall ist
Firewall-Cluster und gewährleistet so die RWTH für die Zukunft gut gerüstet“, so
maximale Netzwerkleistung sowie -verfüg- Schreiber. „Die weltweite Sicherheitslage
barkeit. Selbst bei starkem Datenverkehr und unsere Anforderungen werden in Zu-
wird jedes fünfhundertste Datenpaket von kunft sehr wahrscheinlich noch komplexer
der Firewall als Malware identifiziert. Die werden. Aus diesem Grund ist eine Netz-
Cluster-Strategie bietet viele weitere Vor- werksicherheitsinfrastruktur, die mit diesen
teile, darunter die Möglichkeit zum unter- zunehmenden Anforderungen mitwachsen
brechungsfreien Betrieb der Firewall wäh- kann, absolut essenziell für uns.“
rend der Durchführung von Wartungs- und
Optimierungsarbeiten an der Netzwerk­
infrastruktur. Bei Software-Aktualisierun-
gen und anderen Wartungsaufgaben kön-
nen die einzelnen Firewalls kurzzeitig vom
Cluster getrennt werden. In diesem Fall ver-
teilt sich der Datenverkehr auf die verblie-
benen Systeme. Aus diesem Grund muss

Fakten der Fallstudie

RWTH Aachen
Technische Universität mit neun Fakultäten in Aachen
IT-Umgebung
7.500 Angestellte und 40.000 Studenten, die sicheren Zugang zu
Anwendungen und Daten benötigen
Problemstellung
Schutz des Netzwerks vor Malware-Angriffen bei Gewährleistung
hoher Leistung und Verfügbarkeit
Lösung von McAfee
• McAfee Next Generation Firewall
Ergebnisse
•Z
 uverlässige Mehrmandantenfähigkeit für schnelle Fehler­
behebung und Support
•D
 urchführung von Wartungs- und Verwaltungsaufgaben im
laufenden Betrieb
•E
 ffiziente und benutzerfreundliche Verwaltung

15 Security-Insider.de | Next Generation Firewalls