Security

eBook

Next Generation
Firewalls
Abwehr neuer, komplexer Bedrohungen –
moderne Netzwerksicherheit – Datenschutz
Powered by:

Security
Eine Publikation von
Insider
 Inhalt
3 Warum klassische Firewalls nicht
mehr ausreichen
Abwehr neuer, komplexer Bedrohungen

6 Worauf es bei Next Generation

Firewalls ankommt
Anforderungen an eine moderne Netzwerksicherheit

8 Netzwerke kontrollieren, nicht die

einzelnen Nutzer
Datenschutz im Blick behalten

10 Next Generation Management für

Next Generation Firewalls
Verwaltung der Firewall-Funktionen

12 Ausfallsicherheit und Hochverfügbarkeit

mit McAfee Multi-Link
Bessere Bandbreitennutzung und optimierte VPN-Performance

14 RWTH schützt Infrastruktur und

Daten mit McAfee
Anwenderbericht: McAfee Next Generation Firewall bei der RWTH

Powered by:
McAfee GmbH
Ohmstr. 1, 85716 Unterschleißheim
Telefon +49 (0)89 37 07-0
E-Mail Info_Deutschland@McAfee.com
Web www.mcafee.com/de
Vogel IT-Medien GmbH
August-Wessels-Str. 27, 86156 Augsburg
Telefon +49 (0) 821/2177-0
E-Mail redaktion@security-insider.de
Web www.Security-Insider.de
Geschäftsführer: Werner Nieberle
Chefredakteur: Peter Schmitz, V.i.S.d.P.,
peter.schmitz@vogel-it.de
Erscheinungstermin: Juli 2014
Titelbild: Khorzhevska - Fotolia.com
Haftung: Für den Fall, dass Beiträge oder Informa­tionen
unzutreffend oder fehlerhaft sind, haftet der Verlag nur beim
Nachweis grober Fahrlässigkeit. Für Beiträge, die namentlich
gekennzeichnet sind, ist der jeweilige Autor verantwortlich.
Copyright: Vogel IT-Medien GmbH. Alle Rechte vorbehalten.
Nachdruck, digitale Verwendung jeder Art, Vervielfältigung nur
mit schriftlicher Genehmigung der Redaktion.
Nachdruck und elektronische Nutzung: Wenn Sie Beiträge
dieses eBooks für eigene Veröffent­li­chun­gen wie Sonderdru-
cke, Websites, sonstige elektroni­sche Medien oder Kunden-
zeitschriften nutzen möchten, erhalten Sie Informationen so-
wie die erforderlichen Rechte über www.mycontentfactory.de,
Tel. +49 (0) 931/418-2786.

2 Security-Insider.de | Next Generation Firewalls

Abwehr neuer,
komplexer
Bedrohungen

Warum klassische Firewalls

nicht mehr ausreichen
Angriffe auf die Netzwerksicherheit haben eine neue Qualität
erreicht. Die neuen Bedrohungen erfordern auch eine neue
Generation von Firewall-Lösungen.

Die Risiken für Netzwerke und

IT-Systeme haben sich eben-
so geändert wie der Grad der
Vernetzung. So ist eine kom-
plette Trennung vom Internet
in vielen Unternehmensbe-
reichen kaum noch möglich.
Gleichzeitig haben sich neu-
artige Online-Bedrohungen
entwickelt.

Klassische Firewall-
Lösungen sind mit der
Abwehr neuartiger
Bedrohungen wie APTs
überfordert.
© sheelamohanachandran - Fotolia.com
Netzwerkrisiken verändern sich
Viele Unternehmen haben noch die Vor-
stellung, ihre Netzwerke seien massenhaf-
ten, breitgefächerten Attacken aus dem
Internet ausgesetzt. Besonders kritische
Netzwerkbereiche und IT-Systeme sollten
deshalb im Idealfall komplett vom Inter-
net getrennt werden, um sie vor diesem
Ansturm zu bewahren. Diese Art von Si-
cherheitskonzept ist aber nicht mehr zeit-
gemäß, weder aus Sicht der Geschäfts-
prozesse noch aus Sicht der aktuellen
Bedrohungssituation.
Angriffe erfolgen
zunehmend gezielt
Das Bundesamt für Sicher-
heit in der Informations-
technik (BSI) berichtet zum
Beispiel in dem Lagebe-
richt „Fokus IT-Sicherheit“
von einer gestiegenen Ziel­
orientierung, Professionalität
und Qualität der Attacken auf Unterneh-
mensnetzwerke. Die Angriffe erfolgen über
einen langen Zeitraum, kombinieren ver-
schiedene Wege und Verfahren und sind so
raffiniert in der Planung und Durchführung,
dass sie mit herkömmlichen Sicherheits-
verfahren leicht übersehen werden. Man
spricht von Advanced Persistent Threats
(APTs). Die APTs sind keine Ausnahme,
sondern werden zur Regel. Das BSI geht
davon aus, dass heute mindestens jedes
international aufgestellte Unternehmen in
Deutschland ein potenzielles APT-Ziel ist.

3 Security-Insider.de | Next Generation Firewalls

Abwehr neuer,
komplexer
Bedrohungen
Die Vielfalt der Bedro-
hungen und neuen
Technologien macht
neue Sicherheitskon-
zepte erforderlich. Für
den Schutz der Netz-
werke sollten klassi-
sche Firewalls um neue
Funktionen ergänzt
werden. (Bild: ENISA)
4 Security-Insider.de | Next Generation Firewalls
Vielfalt der Datenströme nimmt zu
Das Aufspüren der intelligenten, fortge-
schrittenen Angriffe wird unter anderem
dadurch erschwert, dass die Überwachung
der Datenströme in das Netzwerk und aus
dem Netzwerk heraus sehr komplex wer-
den kann: Der „Application Usage and
Threat Report“ (AUT-Report) von Palo Alto
Networks zum Beispiel identifiziert rund
1.400 verschiedene Anwendungen in den
Unternehmensnetzwerken, die bei einem
Monitoring des Datenverkehrs berücksich-
tigt werden müssen.
Ein einfaches Erlauben oder Verbieten von
Internetverbindungen reicht nicht. Vielmehr
müssen die Datenströme hinsichtlich der
genutzten Anwendungen, aber auch hin-
sichtlich der Nutzer genau unterschieden
werden. Was für die eine Applikation und
den einen Anwender erlaubt sein muss,
kann für einen anderen Nutzer und eine an-
dere Anwendung durchaus blockiert wer-
den, um unnötige Risiken zu vermeiden.
Die neue Netzwerksicherheit erfordert bei
Netzwerkverbindungen eine genaue Unter-
scheidung zwischen Benutzern, zwischen
Endgeräten und zwischen Anwendungen
und nicht nur eine Freigabe oder Blockade
auf der Ebene von Ports und Protokollen.
Klassische Netzwerksicherheit
wird getäuscht
Die Angreifer tarnen die APT-Attacken,
indem sie zum Beispiel ihre Angriffswerk-
zeuge stückweise über verschiedene
Kommunikationskanäle und -protokolle in
das Netzwerk des Zielunternehmens ein-
schleusen. Die Einzelteile erscheinen den
klassischen Sicherheitssystemen harmlos.
Das BSI geht davon aus, dass zumindest je-
des international aufgestellte Unternehmen
in Deutschland ein potenzielles APT-Ziel ist.
(Bild: BSI „Fokus IT-Sicherheit“)
Abwehr neuer,
komplexer
Bedrohungen
Advanced Evasion
Techniques (AETs) teilen
böswillige Inhalte in
kleine Teile auf, tarnen
sie und versenden sie
über unterschiedliche
Protokolle. Sobald die
böswilligen Inhalte in
das System eingedrun-
gen sind, setzen sie sich
wieder zusammen, um
anschließend Malware
zum Einsatz zu bringen.
(Bild: McAfee)
5 Security-Insider.de | Next Generation Firewalls
Nach der Passage der Netzwerkkontrolle
werden die Teile zusammengefügt und
ergeben eine mächtige Waffe hinter den
Verteidigungslinien. Diese Angriffstechnik
wird Advanced Evasion Technique (AET)
genannt. Eine klassische Netzwerkvertei-
digung mit Firewalls ist hier überfordert,
denn der Netzwerkverkehr muss nach in-
telligenten Regeln hin untersucht werden.
Die Abwehr muss ebenso fortschrittlich
sein wie die neuen Angriffsformen.
Eine neue Generation von Firewalls
erhöht das Abwehrpotenzial
Die steigende Vielfalt an Angriffsmethoden
und -wegen darf nicht dazu führen, dass
die erlaubten Internetverbindungen dras-
tisch eingeschränkt werden, denn dies
würde viele Geschäftsprozesse hemmen
und könnte die Produktivität im Unterneh-
men senken. Vielmehr sind neue Firewall-
Funktionen gefragt, die deutlich feiner als
bisher die Datenströme unterscheiden.
So sollten die Netzwerkzugriffsberechti-
gungen abhängig von der jeweiligen An-
wendung, dem Nutzer, seiner Rolle, dem
Endgerät und dem Sicherheitsstatus des
Endgerätes gemacht werden. Zusätzlich
sollten Firewall-Funktionen auch zeitab-
hängige Netzwerkzugriffe unterstützen,
die angefragte Netzwerkbandbreite prüfen
und die zugestandenen Netzwerkberech-
tigungen von bestimmten Funktionen der
genutzten Anwendung abhängig machen.
Mit solch feinen Kontrollen werden die gut
getarnten Angriffe mit deutlich größerer
Wahrscheinlichkeit entdeckt, da dann Ano­
malien im Datenverkehr eher auffallen.
Die genannten, neuen Firewall-Funktionen
werden durch sogenannte Next Genera-
tion Firewalls (NGFW) angeboten, die im
Folgenden näher betrachtet werden.
 Oliver Schonschek
Tipp: kostenloses Test-Tool
Laden Sie sich das kostenlose Test-
Tool „McAfee Evader“ herunter und
testen Sie Ihre Sicherheitsprodukte
auf ihr Verhalten bei realen AET-
Stealth-Angriffen.
Weitere Details finden Sie unter:
http://evader.mcafee.com/
Anforderungen an
eine moderne Netz-
werksicherheit
Worauf es bei Next Generation
Firewalls ankommt
Die neue Generation der Firewall-Lösungen ermöglicht eine regelbasierte,
bedarfsabhängige Netzwerkkontrolle. Wie der genaue Bedarf ist, hängt
aber von den benötigten Anwendungen und Diensten des einzelnen
Unternehmens ab.
© Andrea Danti - Fotolia.com
Next Generation Was Next Generation Firewalls
Firewalls unterscheiden möglich machen
Nutzer, Endgeräte und
Anwendungen (wie zum Viele Unternehmen sind sich der Risiken
Beispiel soziale Netz- durch den Einsatz sozialer Netzwerke be-
werke) und nicht nur wusst, doch ein Verzicht darauf und die
Ports. vollständige Blockade entsprechender
Dienste kommen nicht in Frage. Zu wichtig
sind inzwischen die Vorteile von Facebook
& Co., wie zum Beispiel die BITKOM-Um-
frage „Social Media im Unternehmensein-
satz“ zeigt.
6 Security-Insider.de | Next Generation Firewalls
Next Generation Firewalls
(NGFW) unterscheiden Nut-
zer, Endgeräte und Anwen-
dungen (wie zum Beispiel
soziale Netzwerke) und nicht
nur Ports. Sie können den
erlaubten Datenverkehr zum
Beispiel vom einzelnen Nutzer
sowie von einem bestimmten
Endgerät (z.B. privates oder
betriebliches Smartphone)
abhängig machen.
NGFW unterstützen damit
die Durchsetzung von Sicher-
heitsrichtlinien auf der Ebe-
ne von Protokollen, Ports,
Geräten, Anwendungen und
Nutzer. Sie vereinen in sich
Firewall-Funktionen, Leistun-
gen eines Intrusion Prevention
Systems (IPS), Malware-Er-
kennung, Nutzeridentifikation
und Applikationskontrolle. Entsprechend
können sie auch raffinierte Attacken auf
verschiedenen Ebenen erkennen und ab-
wehren.
Wie sich Next Generation Firewalls
einsetzen lassen
Die Vorteile der neuen Firewall-Generation
zeigen sich, wenn man verschiedene Ein-
satzszenarien betrachtet:
Anforderungen an
eine moderne Netz-
werksicherheit

• Einschränkung der sozialen Netzwerke, • Blockade des Internetzugangs für be-

Web-Mail- und Chat-Programme auf die stimmte Endgeräte (wie IT-Systeme, de-
betrieblich erlaubten Anwendungen an- ren Sicherheitsstatus als unzureichend
stelle eines kompletten Verbots von so- eingestuft wird)
zialen Netzwerken, Web-Mail und Chats
• Begrenzung der Internetbandbreite für Breites Angebot an NGFW auf
den Datei-Transfer abhängig vom Nutzer dem Markt verfügbar
und der betrieblichen Aufgabe oder Rolle Der Bedarf für eine regelbasierte, detaillier-
• Priorisierung der Datenverbindungen für te Netzwerkkontrolle wurde von den IT-Si-
bestimmte Dienste, z.B. für Internet-Tele- cherheitsanbietern bereits vor einiger Zeit
fonie (VoIP) erkannt, so dass es inzwischen eine ganze
• Beschränkung der verfügbaren Internet- Reihe von Next Generation Firewalls gibt,
bandbreite bei einer ggf. erlaubten Pri- darunter Barracuda Networks NG Firewall,
vatnutzung des Internets Check Point Next Generation Firewall,
• Freigabe des Online-Zugriffs auf be- Cisco Sourcefire NGFW, Cyberoam
stimmte Web-Plattformen (z.B. Einkaufs- Next-Generation Firewall, Dell SonicWall
portal) je nach Nutzer und Nutzerrolle Next-Gen Firewall, Fortinet FortiGate, HP
(z.B. Einkauf) Tipping Point, McAfee Next Generation
Firewall, Palo Alto Networks PA 5000 Se-
Auswahlkriterien für Next Generation Firewalls ries und Sophos Next-Generation Firewall.
•a  usreichende Kapazität (Throughput) der Firewall für den zu
Die Suche nach der passenden
erwartenden Datenverkehr über die verschiedenen Netzwerkver-
Next Generation Firewall
bindungen und für die verschiedenen Anwendungen
•Z  ahl der maximal möglichen parallelen Netzwerkverbindungen Unternehmen, die eine Next Generation
(Netzwerk-Sessions, Concurrent Connections) ausreichend für den Firewall einführen wollen, haben somit eine
aktuellen und vorgesehenen Bedarf große Auswahl. Neben den speziellen Si-
•U  nterstützung von VPN-Verbindungen cherheitsfunktionen sollte die NGFW der
•P  rüfung von SSL-verschlüsselten Verbindungen Wahl auch hinsichtlich Firewall-Manage-
•T  estumgebung zur Kontrolle neuer Einstellungen/Regeln ment, Verfügbarkeit und Skalierbarkeit
•P  riorisierung der Bandbreite je Nutzer, Endgerät und Anwendung
überzeugen. Eine NGFW, die nicht den
•Z  wei-Faktor-Authentifizierung für Firewall-Administratoren
notwendigen Datendurchsatz, die erfor-
•U  nterscheidung von Anwendungen (Anwendungen im Netzwerk
derliche Ausfallsicherheit und eine hohe
und Online-Applikationen, Application Awareness)
•m  ögliche Zeitabhängigkeit bei der Definition von Firewall-Regeln Eigensicherheit besitzt, kann der Netz­
•m  ögliche Whitelist (erlaubte Anwendungen) passend zu den einge- werksicherheit nicht zuverlässig dienen.
setzten Anwendungen Zudem müssen sich die internen Sicher-
•U  nterstützung mobiler Endgeräte (wie Smartphones und Tablets) heitsrichtlinien entsprechend mit der
•a  utomatischer Wiederanlauf bei Ausfall der Firewall NGFW umsetzen lassen, damit die Netz-
•U  nterscheidung der Endgeräte im Netzwerk (NAC, Network Access werksicherheit wirklich dem Bedarf des
Control) Unternehmens entspricht.
• r egelmäßige Firmware-Updates für die Firewall  Oliver Schonschek
•S  upport durch den Anbieter (Administratorschulung, Hotline)
•U  nterscheidung Nutzerrollen und Berechtigungen bei der Kontrolle
des Datenverkehrs (Identity Awareness)
•V  orlagen für die Konfiguration und für Berichte
•A  udit-Funktionen
•M  anipulationssicherheit der Protokolle

7 Security-Insider.de | Next Generation Firewalls

Datenschutz im
Blick behalten
Netzwerke kontrollieren,
nicht die einzelnen Nutzer
© DOC RABE Media - Fotolia.com
Eine erlaubte private
Internet- und E-Mail-
Nutzung der Mitarbeiter
muss aus der Protokol-
lierung gelöscht bzw.
anonymisiert werden.
8 Security-Insider.de | Next Generation Firewalls
Next Generation Firewalls ermöglichen eine Netzwerkkontrolle
auf Anwendungs- und Nutzerebene. Die Protokolle und Berichte
der NGFW könnten deshalb zum Datenschutz-Problem werden.
Vorsicht bei erlaubter Privatnutzung
des Internets
Next Generation Firewalls bieten tiefe
Einblicke in Netzwerkaktivitäten und sind
deshalb so hilfreich bei der Abwehr von
Advanced Persistent Threats (APTs). Um
verdächtige Vorgänge besser von den
Standardprozessen im Netzwerk unter-
scheiden zu können, wird der Netzwerk-
verkehr in der Regel fortlaufend proto-
kolliert. Die Protokolle enthalten dann auf
Ebene von Anwendungen,
Nutzer und Geräten, auf wel-
chem IT-System welche An-
wendung für welchen Nutzer
einen bestimmten Netzwerk-
zugriff durchgeführt hat.
Wenn Unternehmen den Mit-
arbeiterinnen und Mitarbeitern
erlauben, das Internet oder
die E-Mail-Anwendung auch
privat zu nutzen, müssen die-
se privat motivierten Aktivi-
täten aus der Protokollierung
genommen beziehungsweise
anonymisiert werden (Fern-
meldegeheimnis). Das Unter-
nehmen darf also nicht ohne
weiteres aufzeichnen, welche
Web-Applikation durch einen
Beschäftigten genutzt und
welche Webseite geöffnet
wurde, wenn diese im Rahmen
der privaten Internetnutzung am Arbeits-
platz verwendet wird.
Nur in einem konkreten Verdachtsfall ist
eine entsprechende Überwachung er-
laubt, wenn also zum Beispiel ein Mit-
arbeiter als Innentäter und Datendieb
enttarnt werden soll. Solche Verdachts­-
momente sollten jedoch nur in Abstimmung
mit der Mitarbeitervertretung und dem
betrieblichen Datenschutzbeauftragten
überprüft werden.
Datenschutz im
Blick behalten

Kontrolle privater Anwendungen eines ordnungsgemäßen Betriebes dür-

vermeiden
Werden private Geräte betrieblich ge-
nutzt (BYOD-Programme, Bring Your Own
Device), muss sichergestellt werden, dass
die umfängliche Netzwerküberwachung
nur den betrieblichen Anwendungen auf
den privaten Geräten gilt. Eine Überwa-
chung des privaten Daten- und Anwen-
dungsbereichs auf den Geräten ist nicht
gestattet. Dies muss durch entsprechende
Einstellungen bei der NGFW sichergestellt
werden.
fen mittels Next Generation Firewall fort-
laufend stattfinden. Die entsprechenden
Protokolle unterliegen der sogenannten
besonderen Zweckbindung. Eine Verwen-
dung der Protokolle insbesondere zur Ver-
haltensanalyse oder Leistungskontrolle der
Beschäftigten darf so nicht vorgenommen
werden. Next Generation Firewalls dienen
eben der Kontrolle der Netzwerkaktivitäten
und nicht der Mitarbeiterüberwachung.
 Oliver Schonschek

Nur stichprobenartige Prüfungen

vorsehen
Auch die Nutzung betrieblicher Anwen-
dungen, Geräte und Dienste darf nicht
ohne Anlass auf der Ebene des einzelnen

© goodluz - Fotolia.com

Einzelne Nutzer dürfen

nicht dauerhaft über-
wacht werden. Erlaubt
sind nur Stichproben.
Nutzers dauerhaft überwacht werden. Er-
laubt sind Stichproben, um festzustellen,
ob die internen Richtlinien eingehalten
werden. Nur die generellen Kontrollen zu
Zwecken der Datenschutzkontrolle, der
Datensicherung oder zur Sicherstellung

9 Security-Insider.de | Next Generation Firewalls

Verwaltung der
Firewall-Funktionen

Next Generation Management

für Next Generation Firewalls
Mit Next Generation Firewalls kann der Netzwerkverkehr sehr
detailliert überwacht und geregelt werden. Für die Netzwerksicherheit
entscheidend ist, dass die Firewall-Regeln stimmig und aktuell sind.
Hier sind gute Firewall-Management-Funktionen gefragt.

Anti-Spam und Anti-Malware

ist. Die einzelnen Sicherheits-
leistungen sind aufeinander
abgestimmt und arbeiten
gemeinsam und nicht nur
parallel. Doch die Abstim-
mung der einzelnen Funktio­
nen auf die aktuelle Netz-
werksituation kann durchaus
anspruchsvoll sein.

Eine intelligente
Management-Lösung
sollte die Administra-
toren in ihrer Arbeit
unterstützen und sie
nicht mit Warnmeldun-
gen überhäufen.
© pressmaster - Fotolia.com
Passgenaue Netzwerksicherheit
Next Generation Firewalls sind klassischen
Firewalls insbesondere dadurch überlegen,
dass sich ihre Sicherheitsfunktionen dem
aktuellen Schutzbedarf des jeweiligen Un-
ternehmensnetzwerkes entsprechend an-
passen lassen. Möglich wird dies durch ein
ausgefeiltes Regelsystem und eine tiefe In-
tegration der einzelnen Funktionen, so dass
eine NGFW nicht einfach die Summe aus
klassischer Firewall, Intrusion Preven­tion
System (IPS), Web-Filter, DDoS-Schutz,
Laufende Änderungen
sind erforderlich
Nicht nur die Bedrohungslage
ändert sich ständig. Auch das
Netzwerk selbst unterliegt
dynamischen Änderungen,
zum Beispiel durch neue Ge-
räte, die eingebunden werden
müssen, neue Anwendungen,
die im Netzwerk laufen, durch neue oder
ausscheidende Mitarbeiter und veränderte
Aufgaben im Unternehmen.
Man kann davon ausgehen, dass die
Administratoren alleine im Bereich der
IPS-Signaturen zur Erkennung von Atta-
cken jeden Monat einige Hundert oder gar
Tausend Anpassungen vornehmen müs-
sen. Diese Aktualisierungen sind aufwän-
dig und letztlich auch fehleranfällig, wenn
manuelle Einstellungen vorgenommen
werden müssen.

10 Security-Insider.de | Next Generation Firewalls

Verwaltung der
Firewall-Funktionen
Der erfolgreiche Einsatz
einer NGFW hängt stark
vom Firewall-Manage-
ment ab. Im Idealfall
sollte die Management-
Plattform der Wahl alle
Netzwerksicherheits­
lösungen des Unter­
nehmens verwalten
können. (Bild: McAfee)
11 Security-Insider.de | Next Generation Firewalls
Firewall-Regeln müssen regelmäßig
überprüft werden
Bevor eine neue Next Generation Firewall-
Regel aktiv wird, sollte diese auf ihre Aus-
wirkungen hin kontrolliert werden. Das galt
bereits für die klassischen Firewalls und gilt
umso mehr für Next Generation Firewalls,
da hier weitaus mehr Funktionen und Ein-
stellungsmöglichkeiten berücksichtigt wer-
den müssen.
Geprüft werden muss insbesondere, ob
aktuelle Bedrohungslagen in die Regeldefi-
nition eingeflossen sind, ob die Netzwerk­
änderungen berücksichtigt wurden und
ob die internen Sicherheitsrichtlinien auch
weiterhin ihren Niederschlag finden. Ohne
die Unterstützung durch intelligente Ma-
nagement-Funktionen wird es kaum mög-
lich sein, die Vorteile einer NGFW wirklich
zu nutzen, also dynamisch die Produktivi-
tät im Netzwerk und gleichzeitig die Netz-
werksicherheit aufrecht zu erhalten.
Firewall-Management braucht lichen Netzwerkangriffen nicht nur Schritt
Unterstützung
Zu einer NGFW sollte deshalb auch
eine intelligente Netzwerk- und Firewall-­
Management-Lösung gehören, mit der
sich die Firewall-Regeln weitgehend auto­
matisch prüfen, Änderungen daran simu-
lieren und geprüfte Einstellungen ausrollen
lassen. Die Management-Lösung sollte
auch die Aktualisierung des Firewall-Be-
triebssystems übernehmen, die Firewall-
Einstellungen regelmäßig sichern und
Administratoren bei der Suche nach wider-
sprüchlichen Firewall-Regeln unterstützen.
Zudem sollte das Management-Tool die
Administratoren über erkannte Bedrohun-
gen und mögliche Netzwerk-
probleme informieren. War-
nungen sollten auf definierten
Wegen den zuständigen
Administratoren übermittelt
werden, zum Beispiel mittels
SMS oder E-Mail. Damit die
Administratoren nicht von
Warnmeldungen überhäuft
werden, empfiehlt es sich,
ein Management-System zu
nutzen, das die Definition
von Warnschwellen anbietet.
Automatische, vordefinierte
Management-Berichte pas-
send zu Compliance-Vorga-
ben sollten ebenso verfügbar
sein wie individuelle Abfragen zum Netz-
werksicherheitsstatus aus Administrato-
rensicht.
Im Idealfall sollte die Management-Platt-
form der Wahl nicht nur die Next Genera­
tion Firewall verwalten können, sondern
alle Netzwerksicherheitslösungen des Un-
ternehmens. Wenn dies auch für Lösungen
von Drittanbietern möglich ist, dann wird
die Next Generation Firewall durch ein Next
Generation Management ergänzt. Diese
Kombination versetzt die Netzwerksicher-
heit dann in die Lage, mit den fortschritt-
zu halten, sondern ermöglicht eine präven-
tive Netzwerksicherheit auf Basis aktueller
Bedrohungsdaten und -vorhersagen.
 Oliver Schonschek
Bessere Band­
breiten­nutzung
und optimierte
VPN-Performance

Ausfallsicherheit und
Hochverfügbarkeit mit
McAfee Multi-Link
Eine Möglichkeit bei einem Höchstmaß an Sicherheit, Hochverfügbarkeit
sicherzustellen, bietet die sogenannte Multi-Link-Technologie. Unternehmen
können mit ihr außerdem ihre vorhandene Bandbreite besser nutzen,
gegebenenfalls auch teure MPLS-Leitungen durch Internetanbindungen
ersetzen und so erhebliche Kosteneinsparungen realisieren.

Bei der Organisation ihrer Netzwerksicher- Die meisten Unternehmen sind hoch-
heitsinfrastruktur müssen Unternehmen gradig von einem funktionierenden Netz
einerseits ihren Sprach- und Datenverkehr abhängig. Eine Stunde offline kann den
schützen bzw. in vielen Fällen sogar ab- gesamten Geschäftsbetrieb lahmlegen
hörsicher übertragen. Andererseits müs- und erhebliche Folgekosten verursachen.
sen sie die Verfügbarkeit, Sicherheit und Bisher haben Unternehmen dafür vor
Bandbreitenoptimierung ihrer verschiede- allem auf Multi-Protocol-Layer-Switching
nen, vernetzten Standorte sicherstellen. (MPLS)-Verbindungen zurückgegriffen und
an wichtigen Standorten parallele MPLS-
Anbindungen mit verschiedenen Providern
Die Vorteile von Multi-Link im Überblick
realisiert. MPLS ist aber teuer und zudem
•H
 ochverfügbarkeit und Ausfallsicherheit: Mit Multi-Link können auch nicht hundertprozentig ausfallsicher.
Unternehmen hohe Verfügbarkeit und Redundanz selber realisieren
und steuern. Ausfallsicherheit verbessern
•P
 riorisierung: Geschäftskritische Daten können priorisiert werden
McAfee Multi-Link ermöglicht es nun, bei
und erhalten immer Vorrang.
niedrigeren Kosten die Ausfallsicherheit
•L
 oad Balancing: Die verfügbare Bandbreite wird optimal genutzt.
des Netzwerks und gleichzeitig die Sicher-
•Q
 uality of Service: Die optimale Anbindungsart kann gemäß indi­
viduellen Anforderungen und lokalen Vorraussetzungen flexibel heit zu erhöhen. Mit ihr können mehrere
gewählt werden. VPN-Verbindungen über verschiedene An-
•S
 icherheit erhöhen: In Kombination mit einem zentralen Manage- bindungsmöglichkeiten wie beispielsweise
ment Center sowie durch Verschlüsselung ermöglicht die Multi- MPLS, ADSL, xDSL oder Funknetze kom-
Link-Technologie höchste Sicherheit. biniert werden. Wie der Name der Tech-
•P
 erformance: Stand-by-/back-up-Verbindungen können bei nologie sagt, wird dadurch nicht mehr nur
Bedarf aktiv genutzt werden. eine Verbindung für das gesamte Netzwerk
•L
 eitungskosten sparen: Teure Verbindungen (Leased Lines, MPLS) genutzt, sondern mehrere Verbindungen
können durch günstigere abgelöst werden.
parallel in einer VPN-Verbindung zusam-
•L
 ink Aggregation: Mit Multi-Link lässt sich über Internet oder GSM
mengefasst. Auf diese Art und Weise wird
die Bandbreite bestehender Leased Lines, MPLS- oder IPS-Verbin-
automatisch die jeweils schnellste ver-
dungen kostengünstig dynamisch erweitern.
fügbare Verbindung ausgewählt und der

12 Security-Insider.de | Next Generation Firewalls

Bessere Band­
breiten­nutzung
und optimierte
VPN-Performance
Verkehr somit optimal über das gesamte
Netzwerk verteilt. Für den Fall, dass eine
Verbindung wegbricht, übernehmen die
verbleibenden Netzanbindungen automa-
tisch und nahtlos den Datenverkehr der
ausgefallenen Leitung. Integrierte Verfah-
ren stellen des Weiteren beim Ausfall eines
Servers sicher, dass die zuständigen DNS-
Server automatisch informiert werden
und darauf reagieren. Dadurch
ermöglicht es Multi-Link, dyna-
misch auf Last und Systemaus-
fälle zu reagieren.
Bessere Aufteilung der kostenoptimal betrieben wird. Darüber
vorhandenen Bandbreite
McAfee Multi-Link ist zudem
ein Schlüssel zur besseren Nut-
zung der vorhandenen Band-
breite und zu einer optimierten
VPN-Performance. Mithilfe von
Quality of Service- (QoS) sowie
allgemeinen Bandbreiten-Ma-
nagement-Funktionen kann die
jeweils vorhandene Bandbreite
ISP-Netz ohne Multi-
besser aufgeteilt werden. Das geschieht
Link-VPN und ein mit
Multi-Link-VPN op- durch eine Priorisierung von Anwendungen
timiertes ISP-Netz. und Protokollen. Dadurch lässt sich sicher-
(Bilder: McAfee) stellen, dass geschäfts- oder zeitkritischer
Datenverkehr Vorrang erhält. Da-
bei ermöglicht das QoS-Band-
breiten-Management eine Kon-
figuration auf allen vorhandenen
Ebenen – dem Interface, der
Firewall, innerhalb virtueller pri-
vater Netzwerke sowie innerhalb
von Firewall-Regeln. Aufgrund
der hohen Granularität ist dabei
gewährleistet, dass hochsensib-
le und geschäftskritische Daten
mit der höchsten Priorität verar-
beitet werden. Die Technologie
ermöglicht es Unternehmen zu-
dem, ihre Kosten zu reduzieren.
Sie können definieren, welche
Verbindung für welchen Zweck
13 Security-Insider.de | Next Generation Firewalls
eingesetzt wird und somit die vorhandenen
Verbindungen optimal nutzen.
Optimale Steuerung mithilfe eines
zentralen Management-Systems
Die Vorteile von McAfee Multi-Link kom-
men am Besten zum Tragen, wenn Unter-
nehmen für die Steuerung ihrer Netzwerk-
sicherheitsinfrastruktur auf ein zentrales
Management-Center zurückgreifen. Damit
können Administratoren an zentraler Stelle
die Priorisierung der Daten für das gesam-
te Netzwerk und alle Standorte vornehmen
und dafür Sorge tragen, dass das Netzwerk
hinaus trägt ein zentrales Management
auch zur Sicherheit des Netzwerks bei.
Administratoren können damit alle physi-
schen und virtuellen Geräte sowie Produk-
te von Drittanbietern zentral verwalten und
überwachen.
Integration von McAfee Multi-Link
in die Netzwerkinfrastruktur
Die Integration von McAfee Multi-Link in
die Netzwerkinfrastruktur kann in verschie-
denen Phasen vorgenommen werden. Un-
ternehmen können dabei festlegen, ob sie
die Technologie nur dafür nutzen möchten,
ihre Bandbreite besser auszunutzen, oder
ob sie auch ihre Kosten optimieren möch-
ten bzw. ihre Sicherheitsstandards erhö-
hen wollen.
Bei der Integration werden zunächst, um
den laufenden Betrieb aufrechtzuerhalten,
zusätzliche Firewalls installiert. Abhängig
von den individuellen Anforderungen und
Gegebenheiten kann Multi-Link VPN mit
MPLS-Anbindungen kombiniert werden
oder aber MPLS-Systeme ganz ersetzen.
Handelt es sich um ein Netzwerk mit re-
dundanten MPLS-Verbindungen, besteht
die Möglichkeit, eine MPLS-Verbindung
durch eine xDSL-Anbindung auszutau-
schen. Multi-Link VPN fügt dann beide An-
bindungen zusammen.
Anwenderbericht:
McAfee Next
Generation Fire-
wall bei der RWTH

RWTH schützt Infrastruktur

und Daten mit McAfee
Wie andere Forschungseinrichtungen auch stellen Universitäten ein
attraktives Ziel für Internetangreifer dar. Um ihr Netzwerk zuverlässig
abzusichern, entschied sich die RWTH für eine Lösung von McAfee.

Die technische Univer-

sität Aachen benötigte
eine Sicherheitslösung,
die ein Datenvolumen
von 20 Gbit/s verarbei-
ten kann und Schutz vor
den immer häufigeren
gezielten Angriffen auf
Endbenutzergeräte bie-
tet. (Bild: McAfee)
Die RWTH Aachen ist die technische Uni-
versität der Stadt Aachen in Nordrhein-
Westfalen. Die Universität mit 40.000 Stu-
denten in neun Fakultäten ist als eine der
herausragendsten europäischen techni-
schen Institutionen anerkannt. Vor kurzem
wurde die RWTH Aachen zum zweiten Mal
als Exzellenzuniversität ausgewählt und
behielt damit ihren Status als eine von
Deutschlands Eliteuniversitäten.
Problemstellung: Strikte Anforde-
rungen an die Netzwerksicherheit
Die Anforderungen und Kriterien an die
Sicherheit sind bei Universitäten besonders
hoch. Das IT Center (ehemals Rechen-
und Kommunikationszentrum) der RWTH
Aachen legte mehrere wichtige Kriterien
für die Netzwerksicherheit fest. Dazu ge-
hörten Hochleistungsfähigkeit und Verfüg-
barkeit, heterogene Infrastruktur und Sys-
temumgebungen, nahtlose Verbindungen
zu verschiedenen Forschungsnetzwerken
sowie die Unterstützung verschiedener
Benutzerrollen, Berechtigungen und Zu-
griffsrechte. Die Universität benötigte eine
Sicherheitslösung, die ein Datenvolumen
von 20 Gbit/s verarbeiten kann und Schutz
vor den immer häufigeren gezielten Angrif-
fen auf Endbenutzergeräte bietet.
Lösung: Next Generation Firewall-
Cluster für Malware-Schutz
Ende des Jahres 2013 entschied sich die
Universität für eine Verlängerung ihrer
Next Generation Firewall-Lizenzen. Zu den
Gründen dafür zählten die Rendite der Lö-
sung sowie die Skalierungsmöglichkeiten,
die den Produkten der Mitbewerber deut-
lich überlegen waren.
„Unsere Umgebung ist so anspruchsvoll,
dass unsere Kriterien nur von wenigen
Systemen auf dem Markt erfüllt werden“,
erklärt Andreas Schreiber, Chief Business
Development Officer im IT Center. „Nach
einer längerfristigen Analyse der verfügba-

14 Security-Insider.de | Next Generation Firewalls

Anwenderbericht:
McAfee Next
Generation Fire-
wall bei der RWTH
ren Lösungen konnten wir uns davon über- die Universität keine Wartungsfenster mehr
zeugen, dass McAfee Next Generation festlegen, die den Zugang zu Diensten und
Firewall optimalen Schutz und Hochverfüg- Daten einschränken. Hinzu kommt, dass
barkeit bietet, wobei das Preis-Leistungs- die größeren Firewall-Aktualisierungen, die
Verhältnis den Anforderungen öffentlicher quartalsweise erfolgen, auch ohne exter-
Einrichtungen Rechnung trägt.“ nen Support erfolgen können.
McAfee Next Generation Firewall verteilt
den ein- sowie ausgehenden Netzwerkver- Ergebnisse: Sicher in die Zukunft
kehr automatisch auf sieben verbundene „Mit McAfee Next Generation Firewall ist
Firewall-Cluster und gewährleistet so die RWTH für die Zukunft gut gerüstet“, so
maximale Netzwerkleistung sowie -verfüg- Schreiber. „Die weltweite Sicherheitslage
barkeit. Selbst bei starkem Datenverkehr und unsere Anforderungen werden in Zu-
wird jedes fünfhundertste Datenpaket von kunft sehr wahrscheinlich noch komplexer
der Firewall als Malware identifiziert. Die werden. Aus diesem Grund ist eine Netz-
Cluster-Strategie bietet viele weitere Vor- werksicherheitsinfrastruktur, die mit diesen
teile, darunter die Möglichkeit zum unter- zunehmenden Anforderungen mitwachsen
brechungsfreien Betrieb der Firewall wäh- kann, absolut essenziell für uns.“
rend der Durchführung von Wartungs- und
Optimierungsarbeiten an der Netzwerk­
infrastruktur. Bei Software-Aktualisierun-
gen und anderen Wartungsaufgaben kön-
nen die einzelnen Firewalls kurzzeitig vom
Cluster getrennt werden. In diesem Fall ver-
teilt sich der Datenverkehr auf die verblie-
benen Systeme. Aus diesem Grund muss

Fakten der Fallstudie

RWTH Aachen
Technische Universität mit neun Fakultäten in Aachen
IT-Umgebung
7.500 Angestellte und 40.000 Studenten, die sicheren Zugang zu
Anwendungen und Daten benötigen
Problemstellung
Schutz des Netzwerks vor Malware-Angriffen bei Gewährleistung
hoher Leistung und Verfügbarkeit
Lösung von McAfee
• McAfee Next Generation Firewall
Ergebnisse
•Z
 uverlässige Mehrmandantenfähigkeit für schnelle Fehler­
behebung und Support
•D
 urchführung von Wartungs- und Verwaltungsaufgaben im
laufenden Betrieb
•E
 ffiziente und benutzerfreundliche Verwaltung

15 Security-Insider.de | Next Generation Firewalls