Beruflich Dokumente
Kultur Dokumente
eBook
Next Generation
Firewalls
Abwehr neuer, komplexer Bedrohungen –
moderne Netzwerksicherheit – Datenschutz
Powered by:
Security
Eine Publikation von
Insider
Inhalt
3 Warum klassische Firewalls nicht
mehr ausreichen
Abwehr neuer, komplexer Bedrohungen
Powered by: Vogel IT-Medien GmbH Haftung: Für den Fall, dass Beiträge oder Informationen
unzutreffend oder fehlerhaft sind, haftet der Verlag nur beim
August-Wessels-Str. 27, 86156 Augsburg
Nachweis grober Fahrlässigkeit. Für Beiträge, die namentlich
Telefon +49 (0) 821/2177-0 gekennzeichnet sind, ist der jeweilige Autor verantwortlich.
E-Mail redaktion@security-insider.de Copyright: Vogel IT-Medien GmbH. Alle Rechte vorbehalten.
Web www.Security-Insider.de Nachdruck, digitale Verwendung jeder Art, Vervielfältigung nur
McAfee GmbH Geschäftsführer: Werner Nieberle mit schriftlicher Genehmigung der Redaktion.
Nachdruck und elektronische Nutzung: Wenn Sie Beiträge
Ohmstr. 1, 85716 Unterschleißheim Chefredakteur: Peter Schmitz, V.i.S.d.P.,
dieses eBooks für eigene Veröffentlichungen wie Sonderdru-
Telefon +49 (0)89 37 07-0 peter.schmitz@vogel-it.de cke, Websites, sonstige elektronische Medien oder Kunden-
E-Mail Info_Deutschland@McAfee.com Erscheinungstermin: Juli 2014 zeitschriften nutzen möchten, erhalten Sie Informationen so-
Web www.mcafee.com/de Titelbild: Khorzhevska - Fotolia.com wie die erforderlichen Rechte über www.mycontentfactory.de,
Tel. +49 (0) 931/418-2786.
Angriffe erfolgen
zunehmend gezielt
Das Bundesamt für Sicher-
heit in der Informations-
technik (BSI) berichtet zum
Beispiel in dem Lagebe-
richt „Fokus IT-Sicherheit“
© sheelamohanachandran - Fotolia.com
von einer gestiegenen Ziel
Klassische Firewall- orientierung, Professionalität
Lösungen sind mit der Netzwerkrisiken verändern sich und Qualität der Attacken auf Unterneh-
Abwehr neuartiger Viele Unternehmen haben noch die Vor- mensnetzwerke. Die Angriffe erfolgen über
Bedrohungen wie APTs
stellung, ihre Netzwerke seien massenhaf- einen langen Zeitraum, kombinieren ver-
überfordert.
ten, breitgefächerten Attacken aus dem schiedene Wege und Verfahren und sind so
Internet ausgesetzt. Besonders kritische raffiniert in der Planung und Durchführung,
Netzwerkbereiche und IT-Systeme sollten dass sie mit herkömmlichen Sicherheits-
deshalb im Idealfall komplett vom Inter- verfahren leicht übersehen werden. Man
net getrennt werden, um sie vor diesem spricht von Advanced Persistent Threats
Ansturm zu bewahren. Diese Art von Si- (APTs). Die APTs sind keine Ausnahme,
cherheitskonzept ist aber nicht mehr zeit- sondern werden zur Regel. Das BSI geht
gemäß, weder aus Sicht der Geschäfts- davon aus, dass heute mindestens jedes
prozesse noch aus Sicht der aktuellen international aufgestellte Unternehmen in
Bedrohungssituation. Deutschland ein potenzielles APT-Ziel ist.
Klassische Netzwerksicherheit
wird getäuscht
Die Angreifer tarnen die APT-Attacken,
indem sie zum Beispiel ihre Angriffswerk-
zeuge stückweise über verschiedene
Kommunikationskanäle und -protokolle in
das Netzwerk des Zielunternehmens ein-
schleusen. Die Einzelteile erscheinen den
klassischen Sicherheitssystemen harmlos.
Nach der Passage der Netzwerkkontrolle tisch eingeschränkt werden, denn dies
werden die Teile zusammengefügt und würde viele Geschäftsprozesse hemmen
ergeben eine mächtige Waffe hinter den und könnte die Produktivität im Unterneh-
men senken. Vielmehr sind neue Firewall-
Funktionen gefragt, die deutlich feiner als
bisher die Datenströme unterscheiden.
So sollten die Netzwerkzugriffsberechti-
gungen abhängig von der jeweiligen An-
wendung, dem Nutzer, seiner Rolle, dem
Endgerät und dem Sicherheitsstatus des
Endgerätes gemacht werden. Zusätzlich
sollten Firewall-Funktionen auch zeitab-
hängige Netzwerkzugriffe unterstützen,
die angefragte Netzwerkbandbreite prüfen
und die zugestandenen Netzwerkberech-
tigungen von bestimmten Funktionen der
genutzten Anwendung abhängig machen.
Mit solch feinen Kontrollen werden die gut
getarnten Angriffe mit deutlich größerer
Wahrscheinlichkeit entdeckt, da dann Ano
malien im Datenverkehr eher auffallen.
Die genannten, neuen Firewall-Funktionen
werden durch sogenannte Next Genera-
tion Firewalls (NGFW) angeboten, die im
Folgenden näher betrachtet werden.
Oliver Schonschek
Advanced Evasion
Techniques (AETs) teilen Verteidigungslinien. Diese Angriffstechnik
böswillige Inhalte in wird Advanced Evasion Technique (AET)
kleine Teile auf, tarnen genannt. Eine klassische Netzwerkvertei-
sie und versenden sie digung mit Firewalls ist hier überfordert,
über unterschiedliche
denn der Netzwerkverkehr muss nach in-
Protokolle. Sobald die
böswilligen Inhalte in telligenten Regeln hin untersucht werden. Tipp: kostenloses Test-Tool
das System eingedrun- Die Abwehr muss ebenso fortschrittlich
gen sind, setzen sie sich sein wie die neuen Angriffsformen. Laden Sie sich das kostenlose Test-
wieder zusammen, um Tool „McAfee Evader“ herunter und
anschließend Malware Eine neue Generation von Firewalls testen Sie Ihre Sicherheitsprodukte
zum Einsatz zu bringen. erhöht das Abwehrpotenzial auf ihr Verhalten bei realen AET-
(Bild: McAfee) Stealth-Angriffen.
Die steigende Vielfalt an Angriffsmethoden
Weitere Details finden Sie unter:
und -wegen darf nicht dazu führen, dass http://evader.mcafee.com/
die erlaubten Internetverbindungen dras-
Netzwerke kontrollieren,
nicht die einzelnen Nutzer
Next Generation Firewalls ermöglichen eine Netzwerkkontrolle
auf Anwendungs- und Nutzerebene. Die Protokolle und Berichte
der NGFW könnten deshalb zum Datenschutz-Problem werden.
© goodluz - Fotolia.com
Laufende Änderungen
sind erforderlich
Nicht nur die Bedrohungslage
ändert sich ständig. Auch das
Netzwerk selbst unterliegt
dynamischen Änderungen,
zum Beispiel durch neue Ge-
© pressmaster - Fotolia.com
räte, die eingebunden werden
Eine intelligente müssen, neue Anwendungen,
Management-Lösung Passgenaue Netzwerksicherheit die im Netzwerk laufen, durch neue oder
sollte die Administra- Next Generation Firewalls sind klassischen ausscheidende Mitarbeiter und veränderte
toren in ihrer Arbeit
Firewalls insbesondere dadurch überlegen, Aufgaben im Unternehmen.
unterstützen und sie
nicht mit Warnmeldun- dass sich ihre Sicherheitsfunktionen dem Man kann davon ausgehen, dass die
gen überhäufen. aktuellen Schutzbedarf des jeweiligen Un- Administratoren alleine im Bereich der
ternehmensnetzwerkes entsprechend an- IPS-Signaturen zur Erkennung von Atta-
passen lassen. Möglich wird dies durch ein cken jeden Monat einige Hundert oder gar
ausgefeiltes Regelsystem und eine tiefe In- Tausend Anpassungen vornehmen müs-
tegration der einzelnen Funktionen, so dass sen. Diese Aktualisierungen sind aufwän-
eine NGFW nicht einfach die Summe aus dig und letztlich auch fehleranfällig, wenn
klassischer Firewall, Intrusion Prevention manuelle Einstellungen vorgenommen
System (IPS), Web-Filter, DDoS-Schutz, werden müssen.
Ausfallsicherheit und
Hochverfügbarkeit mit
McAfee Multi-Link
Eine Möglichkeit bei einem Höchstmaß an Sicherheit, Hochverfügbarkeit
sicherzustellen, bietet die sogenannte Multi-Link-Technologie. Unternehmen
können mit ihr außerdem ihre vorhandene Bandbreite besser nutzen,
gegebenenfalls auch teure MPLS-Leitungen durch Internetanbindungen
ersetzen und so erhebliche Kosteneinsparungen realisieren.
Bei der Organisation ihrer Netzwerksicher- Die meisten Unternehmen sind hoch-
heitsinfrastruktur müssen Unternehmen gradig von einem funktionierenden Netz
einerseits ihren Sprach- und Datenverkehr abhängig. Eine Stunde offline kann den
schützen bzw. in vielen Fällen sogar ab- gesamten Geschäftsbetrieb lahmlegen
hörsicher übertragen. Andererseits müs- und erhebliche Folgekosten verursachen.
sen sie die Verfügbarkeit, Sicherheit und Bisher haben Unternehmen dafür vor
Bandbreitenoptimierung ihrer verschiede- allem auf Multi-Protocol-Layer-Switching
nen, vernetzten Standorte sicherstellen. (MPLS)-Verbindungen zurückgegriffen und
an wichtigen Standorten parallele MPLS-
Anbindungen mit verschiedenen Providern
Die Vorteile von Multi-Link im Überblick
realisiert. MPLS ist aber teuer und zudem
•H
ochverfügbarkeit und Ausfallsicherheit: Mit Multi-Link können auch nicht hundertprozentig ausfallsicher.
Unternehmen hohe Verfügbarkeit und Redundanz selber realisieren
und steuern. Ausfallsicherheit verbessern
•P
riorisierung: Geschäftskritische Daten können priorisiert werden
McAfee Multi-Link ermöglicht es nun, bei
und erhalten immer Vorrang.
niedrigeren Kosten die Ausfallsicherheit
•L
oad Balancing: Die verfügbare Bandbreite wird optimal genutzt.
des Netzwerks und gleichzeitig die Sicher-
•Q
uality of Service: Die optimale Anbindungsart kann gemäß indi
viduellen Anforderungen und lokalen Vorraussetzungen flexibel heit zu erhöhen. Mit ihr können mehrere
gewählt werden. VPN-Verbindungen über verschiedene An-
•S
icherheit erhöhen: In Kombination mit einem zentralen Manage- bindungsmöglichkeiten wie beispielsweise
ment Center sowie durch Verschlüsselung ermöglicht die Multi- MPLS, ADSL, xDSL oder Funknetze kom-
Link-Technologie höchste Sicherheit. biniert werden. Wie der Name der Tech-
•P
erformance: Stand-by-/back-up-Verbindungen können bei nologie sagt, wird dadurch nicht mehr nur
Bedarf aktiv genutzt werden. eine Verbindung für das gesamte Netzwerk
•L
eitungskosten sparen: Teure Verbindungen (Leased Lines, MPLS) genutzt, sondern mehrere Verbindungen
können durch günstigere abgelöst werden.
parallel in einer VPN-Verbindung zusam-
•L
ink Aggregation: Mit Multi-Link lässt sich über Internet oder GSM
mengefasst. Auf diese Art und Weise wird
die Bandbreite bestehender Leased Lines, MPLS- oder IPS-Verbin-
automatisch die jeweils schnellste ver-
dungen kostengünstig dynamisch erweitern.
fügbare Verbindung ausgewählt und der
RWTH Aachen
Technische Universität mit neun Fakultäten in Aachen
IT-Umgebung
7.500 Angestellte und 40.000 Studenten, die sicheren Zugang zu
Anwendungen und Daten benötigen
Problemstellung
Schutz des Netzwerks vor Malware-Angriffen bei Gewährleistung
hoher Leistung und Verfügbarkeit
Lösung von McAfee
• McAfee Next Generation Firewall
Ergebnisse
•Z
uverlässige Mehrmandantenfähigkeit für schnelle Fehler
behebung und Support
•D
urchführung von Wartungs- und Verwaltungsaufgaben im
laufenden Betrieb
•E
ffiziente und benutzerfreundliche Verwaltung