Firewall NG: warum klassischer Schutz nicht mehr ausreicht

Die Firewall NG heißt eigentlich Next Generation Firewall und ist genau das. Eine Weiterentwicklung der klassischen IP- & Port-basierten Firewall, wie wir sie kennen und bisher eingesetzt haben. Warum sie das Sicherheitsniveau von Unternehmen deutlich steigern kann, erkläre ich in diesem Beitrag.

Klassische Firewalls

Die Aufgabe einer Firewall ist erstmal einfach zusammengefasst: Sie soll Ihr System vor unberechtigten Zugriffen schützen. Welche Zugriffe berechtigt sind, entscheidet die Firewall anhand vorgegebener Regeln. Klassische Firewalls arbeiten IP- & Port-basiert. Das heißt sie kontrollieren Zugriffe nach Ort bzw. Adresse des Zugreifenden oder des Ziels.

Im Umkehrschluss heißt das folgendes: Wird eine Sicherheitslücke ausgenutzt durch jemanden, der aufgrund seiner Netzwerkadresse eine Zugangsberechtigung hat, kann die Firewall keinen Schutz vor diesem Angreifer mehr bieten.

Das Problem

Der Schutz durch eine klassische Firewall, die IP- & Port-basiert arbeitet, reicht mittlerweile nicht mehr aus. Warum?

Dazu ein Beispiel:
Ein produzierendes Unternehmen besitzt eine Produktionsmaschine, die sich im Netz befindet. Der Hersteller hat  einen Proxy auf der Maschine eingetragen. Die Maschine kann damit aber auch über den Proxy eine VPN-Verbindung zum Hersteller aufbauen. Was bedeutet das? Ganz einfach: der Hersteller hat vollen Zugriff auf das gesamte interne Netz. Vorbeugen könnte man einem solchen Fall, wenn die Firewall nicht nur die Adressinformationen, sondern auch den Datenstrom, die sogenannte „Payload“ analysiert.

Häufig kommt es auch vor, dass innerhalb eines Unternehmens Mitarbeiter verschiedener Abteilungen gleiche Berechtigungen auf der Firewall haben, obwohl das gar nicht nötig wäre. Ein grundlegendes Konzept der IT-Security besagt, dass nur die Berechtigungen vergeben werden sollten, die auch zum Arbeiten benötigt werden.

Desweiteren sind aktuell ca. 40% des Internets verschlüsselt. Greifen Ihre Nutzer beispielsweise auf ihre privaten E-Mails zu, kann kein Antiviren-Scan erfolgen, da aufgrund der Verschlüsselung ohne SSL-Inspection der Datenstrom nicht ausgelesen werden kann. Dank der Initiative durch Google, Websites mit Verschlüsselung höher zu ranken, wird der Anteil verschlüsselter Kommunikation zukünftig noch zunehmen.

Eine zusätzliche Herausforderung stellt außerdem folgendes dar: Aktive Inhalte, wie beispielsweise Downloads, landen direkt bei den Nutzern, ohne auf schadhaftes Verhalten geprüft zu werden.

Außentäter versus Innentäter

Eine weitere Funktion, die die klassische Firewall nicht erfüllen kann, ist der Schutz Ihrer Systeme vor Innentätern. Das heißt nicht, dass grundsätzlich die Mitarbeiter verdächtigt werden. Mit „Innentäter“ ist hier etwas anderes gemeint. Und zwar, die sogenannten „Advanced Persistant Threats“, kurz APT. Diese nutzen Sicherheitslücken aus, schlagen aber nicht sofort zu. Hat ein APT Zugang zu Ihrem System, beispielsweise auf einen Mitarbeiter-PC, erhalten, wird er sich erstmal unauffällig verhalten und sich solange „umsehen“, bis er höhere Rechte bekommt. Um diese zu bekommen, reicht in den meisten Fällen einfach abwarten aus. Oft bekommen Mitarbeiter vorübergehend Admin-Rechte gewährt, um auf Ihren Laptops/ PCs Software zu installieren. Beispielsweise zum Anbinden des eigenen Druckers im Homeoffice. Wie genau so ein APT vorgeht, hat mein Kollege detailliert hier beschrieben.

Eine weitere neue Herausforderung für Firewalls ist also nicht nur das Schützen vor unbefugten Zugriffen von außen, sondern auch vor ungewollten Zugriffen von innen.

Wie hilft die Firewall NG?

Die Firewall NG macht sich zur Aufgabe die neuen Herausforderungen an eine Firewall zu erfüllen. Dazu gehören vier Komponenten:

Application Control: Die Firewall NG sortiert nicht nur rein nach Herkunftsadresse, sondern kann auch zwischen verschiedenen Applikationen und deren Berechtigungen unterscheiden und das Protokoll bzw. die Payload analysieren.

Benutzer- & Gruppen-basierte Regeln (User Authentifizierung): Neben der Application Control können der Firewall NG auch Regeln für einzelne Benutzer und/ oder Benutzergruppen mitgegeben werden. Das heißt unterschiedliche Abteilungen und deren Mitarbeiter können unterschiedliche Zugriffsrechte erhalten. Die Regelwerke können über AD-Gruppen gesteuert werden.

Sandboxing: Externe Inhalte und Anhänge werden zuerst in einer Sandbox geöffnet und dort geprüft. Wie eine Sandbox genau funktioniert, haben meine Kollegen beispielhaft anhand von Sandstorm und SandBlast erklärt.

SSL-Inspection: Mittels SSL-Inspection und einer internen certificate authority, kurz CA, können verschlüsselte Verbindungen an der Firewall NG terminiert werden, um dadurch den Datenstrom im Klartext analysieren zu können.

Fazit

Mit einer Firewall NG haben Sie die Möglichkeit das Sicherheitsniveau Ihrer IT-Infrastruktur nachhaltig zu erhöhen. Sie sollte jedoch nur als einer der Bausteine in Ihrem Sicherheitskonzept angesehen werden. Ein zuverlässiger Schutz basiert nicht nur auf der reinen Abwehr, sondern auch auf weiteren Bausteinen, wie beispielsweise auf reaktiven und proaktiven Lösungen, Erkennung & Auswertung und Awareness Schulungen.

Sie haben nun einen groben Überblick, was eine Firewall NG eigentlich ist. Meine Kollegen werden in weiteren Blog-Beiträgen die Funktion einer Firewall NG technischer erklären. Also: Dran bleiben!

 

4 Kommentare

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

CAPTCHA *