Ratgeber Sicherheit

Das können Next Generation Firewalls

Generationswechsel mit Next Generation Firwalls

Um die künftigen Anforderungen besser abzudecken, erweitern die Hersteller den Funktionsumfang ihrer Firewalls schrittweise. Dazu zählt beispielsweise eine genauere Untersuchung der Applikationsdienste. Hierbei wird die Scan-Funktion in den Firewalls weiter verfeinert. Die Werkzeuge erhalten dabei einen tieferen Einblick in das Kommunikationsverhalten der Applikationen.

Erhöhte Sicherheit: Cyberoam integriert die Identität der Benutzer in die Firewall-Regeln.
Erhöhte Sicherheit: Cyberoam integriert die Identität der Benutzer in die Firewall-Regeln.

Fehlverhalten beziehungsweise Angriffe, die sich als erlaubte Applikationskommunikation tarnen, werden dabei leichter erkannt. Ferner erfolgt oftmals die Verknüpfung der Benutzer mit den Rechten. Hierbei werden die gebotenen Sicherheitsfunktionen direkt mit dem Benutzer oder einer Benutzergruppe verknüpft. So filtern beispielsweise neuere Firewalls den Datenstrom nach unterschiedlichen Kriterien wie etwa den involvierten Netzwerksegmenten.

Application Firewalls wiederum beziehen die Applikationen mit ein. Der Benutzer und seine Eigenschaften bleiben bis dato aber meist außen vor und wurden nicht in die Untersuchung einbezogen. Durch den Bezug zum Benutzer wird in Zukunft die Brücke von der Firewall-Regel zu einem Benutzer oder einer Gruppe geschlagen. Beim Verbindungsaufbau erfolgt dann eine Abfrage des Benutzers durch die Firewall. Hierzu greift man meist auf das Active Directory, ein LDAP-Verzeichnisdienst oder etwa einen RADIUS-Server zurück.

Die Weiterentwicklung der klassischen Firewall

Der Funktionsumfang herkömmlicher Firewalls hat sich von den klassischen Paketfiltern immer weiter in Richtung universelle Schutzsysteme für das Unternehmensnetz verschoben. Diese bestehen meist aus den traditionellen Paketfiltern und deren Erweiterung zum Erkennen von Unregelmäßigkeit durch Stateful Inspection, den Application Gateways (Proxy) und schließlich IDS/IPS (Intrusion Detection System / Intrusion Prevention System) oder Anomalien Detection Systeme.

Oftmals packen die Hersteller auch die Funktionen Anti-Spam, Anti-Virus, Anti-Spyware und mehrere Content-Filter zu ihren Produkten. Mitunter finden sich gar Möglichkeiten zur Verwaltung der Netzwerkanschlüsse oder der Bandbreiten in den Sicherheitslösungen. Hierbei gilt aber: Sofern sie mit Mustererkennung (Patterns) arbeiten, müssen vorher die Angriffsmuster installiert sein. Diese Nachteile vermeiden heuristische Ansätze oder die Protokollanalyse, deren Trefferrate dafür jedoch ungenauer vorhersagbar ist.

Generell ist anzumerken, dass die traditionellen Sicherheitsvorkehrungen wie die Paketfilter sicher nicht obsolet sind, aber um weitere Aufgaben wie Content Filtering, URL-Blocking, Anti-Spam oder Anti-Virus ergänzt werden. Durch diese Filterfunktionen der Firewalls lassen sich dann auch Data-Leakage-Prevention-Funktionen (DLP) abbilden. Systeme dieser Art arbeiten meist mit externen und zentral gepflegten White oder Black Lists. Daher kooperieren diese Systemanbieter für die Belange des Spam- oder Virenschutzes mit spezialisierten Unternehmen.

Anschlüsse überwachen

Ein weiterer Block ist die Überwachung der Netzwerkaktivitäten. Hierzu werden die Netzwerkanschlüsse laufend überwacht. Diese Monitoring-Funktionen informieren über die bestehenden Verbindungen, die Kommunikation, die verwendeten Protokolle und weitere Details zur Kommunikation. Dazu zählen beispielweise die einzelnen IP-Adressen der Quelle oder des Ziels, die global gefassten Interfaces oder die verwendeten Kommunikationsprotokolle sowie die involvierten Netzwerk-Ports.