Firewall-Trends: Neue Konzepte gegen altbewährte Erfahrung

Inhaltsverzeichnis

Mehr Infos

• Was müssen NGFWs meistern?
• Wer hat´s erfunden?
• Alte Zöpfe abschneiden oder auf Bewährtem aufbauen?
• Erfahrungswerte sind ein wertvolles Gut
• Keine Risiken für die Kunden eingehen
• Next Generation ist mehr als nur Applikationskontrolle
• Qualität lässt sich nicht auf den Faktor Performance reduzieren
• Mittelstand braucht mehr als Firewalling

"Next Generation Firewall" lautet ein derzeit viel strapaziertes Schlagwort der IT-Security-Szene. Doch braucht sie der Kunde eigentlich diese NGFWs – und wenn ja wozu? Was steckt dahinter? Die Anbieter von Enterprise-Firewalls gehen unterschiedlich mit dem Thema um, Innovation und Revolution stehen gegen Erfahrungswerte und Bewährtes.

Die Initialzündung für eine "Next Generation" der Enterprise-Firewall war das Web 2.0: Es veränderte die Applikationen und auch das Kommunikationsverhalten der Anwender in den Unternehmen grundlegend. Und zwar auf Kosten der Sicherheit: Herkömmliche Firewalls, die auf Basis von Port- und IP-Erkennung arbeiten, können hier keinen wirksamen Schutz mehr bieten.

Programme wie Skype, Webex oder Facebook (Instant Messenger, Webmailer, Peer-to-Peer-Filesharing und Social Networks) tummeln sich in den IT-Landschaften der Unternehmen von heute und die Mitarbeiter bedienen sich fleißig dieser teils für das Geschäft nützlichen Programme, häufig aber auch Zeit- und Ressourcenverschwender. Die weit verbreiteten Tools arbeiten trickreich: Sie tarnen und verstecken sich, nutzen verschlüsselte Daten, dynamische Ports oder sind einfach nur Webanwendungen. Kurz, sie entziehen sich jeglicher Kontrolle durch die heute dominierende Firewall-Analysetechnik auf Basis von Stateful Inspection mit ihrer Port- und IP-Adressen-Überprüfung. Damit öffnen sich ungewollt und unbeobachtet Türen ins Unternehmensnetzwerk. Das konfrontiert Unternehmen angesichts der enormen Verbreitung von Facebook und Co. mit einem gewaltigen Risikofaktor für ihre IT-Sicherheit. Diese Gefahren sollen die Firewalls der nächsten Generation in den Griff bekommen.

"Bislang war ein mehrstufig aufgebauter Sicherheitswall aus Firewall, Proxy, Mail etc. die Regel. Die Hersteller haben sich durch die Fülle der Funktionen, um die sie ihre Lösungen erweitert haben, nach und nach im Detail verloren und damit an Sicherheit eingebüßt", moniert Thomas Laubrock, Business Development Manager bei der TÜV Rheinland i-sec GmbH. "Mit einer modernen Next Generation Firewall lassen sich konsolidierte Lösungen bauen, die übersichtlicher und einfacher zu managen sind."

Was müssen NGFWs meistern?

Next Generation Firewalls müssen also den "wahren Charakter" einer Applikation erkennen, unabhängig davon, welche Ports, Ziel- und Sendeadressen diese verwendet. Und sie müssen den User identifizieren. Vonnöten ist dafür eine Funktionalität, mit der sich überprüfen lässt, welcher Nutzer welche Anwendung an welcher Stelle im Netzwerk einsetzt und was er damit macht. Und die Firewall muss die Nutzung durch den User im Detail reglementieren können: Es geht also nicht nur darum, generell den Einsatz von Applikationen zu verbieten oder zu erlauben, sondern einem User abhängig von seiner Position im Unternehmen ganz bestimmte Funktionen einer Software – wie beispielsweise Daten zu senden oder zu Chatten – zu erlauben oder nicht. Diese Identifikation und Kontrolle muss unabhängig von Standard-Ports funktionieren, wenn Protokolle getunnelt (Protokoll-Decoding), Daten verschlüsselt (SSL) oder per HTTP übertragen werden.

"Das Thema ist bei vielen unserer Unternehmenskunden angekommen und besitzt auch eine hohe Dringlichkeit", bestätigt Michael Seele, technischer Geschäftsführer bei Protea Networks. "Es stellt sich für uns als Dienstleister nun die Frage, welche Lösung welches Herstellers sowohl alle Standardanforderungen an eine Firewall bestens erfüllt und zusätzlich auch den Herausforderungen des Web 2.0 gewachsen ist." In seinem Hause ist daher seit langem Barracuda Networks, vormals Phion, der gesetzte Partner.

Wer hat´s erfunden?

Als Erster transportierte das kalifornische Startup Palo Alto Networks die Sicherheitsproblematik "Web 2.0" mit großer Marketing-Power in den Markt. Seinen Lösungsansatz bezeichnete das Unternehmen als "Next Generation Firewall", die eine neue Intelligenz für Applikations- und Nutzererkennung beinhaltet. Der Hersteller reklamiert denn auch die "derzeit wirkliche Next Generation Firewall" für sich.

"Es ist richtig, dass Palo Alto Networks den Marketingpart für das Thema Applikations- und Userkontrolle übernommen und es in die Öffentlichkeit getragen hat", bestätigt Christine Schönig, Technical Manager bei Checkpoint. "Unsere Firewalls besitzen selbstverständlich auch entsprechende Funktionalitäten. Security ist ein steter Entwicklungsprozess und muss sich immer an die Geschäftsprozesse der Kunden anpassen. Was heute Next Generation, ist morgen überholt." Auch Sven Janssen, Country Manager Germany bei Sonicwall gesteht dem Mitbewerber zwar zu, marketingmäßig einen guten Job gemacht zu haben, von Wettbewerbsvorsprung will er allerdings nichts wissen. "Wir bieten Applikationskontrolle bereits seit drei Jahren. Denn um eine Regelung für den Umgang mit seinem Datenverkehr zu treffen, muss der Kunde ja wissen, was eigentlich in seinem Netz läuft."

Alle etablierten Hersteller integrierten daher auch entsprechende Techniken in ihre Lösungen. Mit Funktionen zur Applikations- und Nutzererkennung machen sie ihre Produkte sozusagen "next generation ready". So bewerben Sonicwall und Barracuda Networks ihre Lösungen ebenfalls als "Next Generation Firewalls", bei Juniper Networks heißt die neue Applikationsintelligenz "AppSecure Suite" (PDF), Checkpoint nennt es "3D-Security" und Fortinet verpackt die Applikationskontrollfunktionen in seinem Whitepaper unter dem Slogan "Who – When – Where".

Alte Zöpfe abschneiden oder auf Bewährtem aufbauen?

Die Herangehensweisen des Newcomers und der alten Hasen sind unterschiedlich: Palo Alto nutzte als junges Unternehmen die Chance, die Firewall hinsichtlich Architektur und Datenverarbeitung neu zu entwickeln und aufzubauen. Herkömmliche Port- und Protokoll-basierte Regelwerke werden durch Anwendungs-, User- und Inhalts-Identifizierung ersetzt. "Eine saubere Lösung ist nur durch einen völlig neuen Entwicklungsansatz, also ein völlig neues Produkt, zu realisieren", fordert Nir Zuk, Entwicklungschef von Palo Alto Networks und Erfinder der von ihm selbst als überkommen bezeichneten Stateful Inspection Firewall. "Wir schneiden alte Zöpfe endgültig ab, um Platz für Neues zu schaffen".

Die Palo Alto Networks NGF-Appliances arbeiten in einem sogenannten "Single-Pass-Verfahren". Dabei werden die Datenströme ohne durch Ports oder IP-Adressen "vorsortiert" zu werden, parallel auf Anwender, Protokolle, Viren, Malware etc. hin überprüft. Das spart Zeit und bringt Performance. Auch Sonicwall unterstützt laut eigenen Angaben ein Single-Pass-Design, bei dem alle Sicherheitsfunktionen in einer einheitlichen Scan- und Regel-Engine konsolidiert sind. In diesem Vorgehen erkennen Security-Spezialisten gewisse Vorteile. "Die Security-Manager entwickeln für ihre Unternehmen hoch komplexe Sicherheitsstrategien. Es kümmert sie erst einmal wenig, wie sie zu realisieren sind. Die Administratoren stehen dann vor der Aufgabe, diese umzusetzen – und das ist teilweise mit herkömmlichen Lösungen kaum mehr möglich oder nur als immenser Kraftakt mit allen Nachteilen, was Übersichtlichkeit und Administrierbarkeit angeht", erklärt TÜV Rheinland-Manager Laubrock. Mit der neuen Next Generation-Lösung von Palo Alto Networks lassen sich seiner Erfahrung nach viele dieser Probleme plötzlich viel einfacher lösen. Ideal seien die Systeme vor allem in Firmen mit sehr offenen Kommunikationsstrukturen wie etwa in der New Economy, "da die Vielzahl der eingesetzten Applikationen eine Proxy-Lösung heillos überfordert."

Dietmar Helmich zum Beispiel, Geschäftsführer des Systemhauses Helmich IT-Security, ist von den Ergebnissen der Palo-Alto-Networks-Firewall ebenfalls angetan. "Meines Erachtens beherrscht Palo Alto Networks derzeit als einziger Hersteller veritables Next Generation Firewalling. Ich sehe in erster Linie zwei Einsatzgebiete für die Lösungen: Sie filtern hervorragend im Backbone und in Server-Netzwerken. Andere Lösungen sichern eher das Internet ab."

Erfahrungswerte sind ein wertvolles Gut

Langjährig etablierte Hersteller wie Checkpoint, Juniper oder Fortinet bauen auf Vorhandenes und Bewährtes auf. Sie erweitern und ergänzen zwar ihre bestehenden Lösungen um die Fähigkeit, nach Anwendungen, Protokollen und Usern granular zu filtern, zu blocken oder zu erlauben. Die Arbeitsweise, auf Port- und IP-Adresse zu kontrollieren, behalten sie aber bei. Die Pakete werden danach weiter sequenziell im Multipass-Verfahren abgearbeitet: In aufeinander folgenden Prozessen werden Applikations- und Userkontrolle, Intrusion Prevention oder Antivirus durchgeführt. Dieses Nacheinander geht auf Kosten der Geschwindigkeit, die wiederum Hardware-mäßig kompensiert werden muss.

Checkpoint-Managerin Schönig findet es jedoch nur logisch auf die Erfahrungswerte ihres Unternehmens aus 17 Jahren im Sicherheitsbusiness aufzubauen, anstatt wertvolles Wissen einfach über Bord zu werfen. "Zuverlässige Security baut aufeinander auf. Die Weiterverwendung etablierter Techniken wie der Inspect-Technologie sehe ich nicht als Nachteil. Wir behalten Bewährtes bei, erweitern das Niveau an Sicherheit durch neue Funktionen wie etwa Applikationskontrolle und wachsen so mit den Anforderungen der Kunden mit." Damit gibt Checkpoint auch seinen Vertriebspartnern unkomplizierte Upselling-Möglichkeiten an die Hand. Gleichzeitig können sie sich weiterhin auf ein rundes, komplettes Portfolio verlassen und auf eine bekannte Marke, die beim Kunden bereits etabliert ist und mit denen diese lange Jahre gute Erfahrungen gemacht haben. "Funktionen zur Applikations- und Userkontrolle sind heute wichtig", weiß auch Christian Mock, Technischer Leiter beim Wiener Systemhaus Coretec IT Security Solutions. "Doch für mich als Dienstleister ist es genauso wichtig, dass ich meinen Kunden ein breites, zuverlässiges und ausgereiftes Portfolio an Lösungen anbieten kann – Stichwort etwa End-to-End-Security und Redundanz oder auch der flächendeckende Einsatz über Niederlassungen hinweg unter einer zentralen Managementoberfläche. Hier sind erfahrene Anbieter wie etwa Checkpoint meines Erachtens nicht zu schlagen."

Keine Risiken für die Kunden eingehen

Genauso argumentiert Uwe Nelkel, Business Development Manager Security bei Juniper Networks, der ebenfalls eine komplette Neuentwicklung für wenig sinnvoll hält. "Wir greifen auf unsere langjährigen Erfahrungen zurück, die als Applikationsintelligenz und neue Funktion ins JUNOS einfließen und mit der wir Next-Generation-Firewall-Fähigkeiten bieten können."

Michael Seele vom Systemhaus Protea Networks will für seine Kunden kein Risiko eingehen und verlässt sich lieber auf eingespielte Partnerschaften: "Der Ansatz von Palo Alto Networks ist gut, keine Frage. Doch ich hätte Bedenken, auf eine völlig neue Lösung umzusteigen. Denn die Kontrolle der einzelnen Applikationen kann extremen Umfang annehmen und wenn dieser Weg der App-Kontrolle der einzige Kontrollmechanismus ist, wäre mir das zu riskant", bekräftigt Seele. "Außerdem fehlt es derzeit noch am Know-how der technischen Mitarbeiter. Wir empfehlen daher lieber bewährte Lösungen wie Barracuda, die beherrschen sowohl die herkömmlichen Methoden IP- und Port- als auch die Applikationskontrolle."

Next Generation ist mehr als nur Applikationskontrolle

Christian Vogt, Regional Director Germany & Netherlands bei Fortinet hält auch nichts davon, das Rad gänzlich neu zu erfinden. Bestätigt sieht er sich durch die Nachfrage auch großer Unternehmen zum Unified Thread Management, das Lösungen für verschiedene Sicherheitsaufgaben unter einer Oberfläche zusammenfasst. "Unsere UTM-Appliances beinhalten heute selbstverständlich auch NGFW-Funktionen. Wir überzeugen mit der durchgängigen Integration der Lösungen, der Geschwindigkeit durch selbst entwickelte Chipsets sowie große Kontinuität und ein integriertes Management über alle Niederlassungen hinweg. Hier profitiert der Kunden von unserer Erfahrung."

Einen weiteren Aspekt, den eine Next Generation Firewall berücksichtigen sollte, bringt Klaus Gheri, Vice President Produktmanagement für Europa bei Barracuda Networks ins Spiel: "Was bisher bei der ganzen Next-Generation-Diskussion viel zu wenig Beachtung findet, ist die Kontinuität des Datenverkehrsstroms. Jeder kann für beliebig viel Geld eine beliebige Verfügbarkeit und beliebige Sicherheit zur Verfügung stellen. Doch die Herausforderung für Hersteller ist der Balanceakt zwischen leistbaren Kosten und größtmöglicher Verfügbarkeit und Security für den Kunden."

Qualität lässt sich nicht auf den Faktor Performance reduzieren

Denn die Qualität einer Enterprise-Firewall lässt sich nicht auf den Faktor Performance reduzieren, auf den "Datendurchsatz pro Sekunde" also, mit dem die Hersteller so gerne kokettieren. Allesamt argumentieren sie mit dem Einsatz einer Multicore-Technologie: Dabei wird die Appliance nach Bedarf mit einer Vielzahl von – selbst entwickelten oder anderweitig optimierten – Chips aufgemotzt, die dann für die entsprechende Geschwindigkeit sorgen. Und es kommt auf den "Einsatzort" der Firewall an, an dem sie ihre Stärken ausspielen soll: So gibt es für die Firewall, die einen frequentierten Internetshop schützt bestimmt kein Pardon bei Performance-bedingten Verzögerungen. Ein Archivjob hingegen braucht diese hohen Durchsatzraten bei der Firewall nicht.

Für Gheri ist deshalb der Dreh- und Angelpunkt jedes Business die Verfügbarkeit der Leitungen, nicht nur die Sicherheit. Angesichts der Systeme, die derzeit in die Cloud wandern oder der zunehmenden Verbreitung von virtualisierten Desktops, ist die Bedeutung der Verfügbarkeit einleuchtend. "Wir nennen die Gewährleistung eines zuverlässigen, kontinuierlichen und konfigurierbaren Datenverkehrsstroms 'Traffic Intelligence' und sehen sie als unabdingbaren Bestandteil einer Next-Generation-Lösung", unterstreicht Barracuda-Manager Gheri.

Hermann Klein, Country Manager DACH bei Stonesoft argumentiert ebenfalls in die Richtung. Für ihn gehört Load Balancing und auch VPN zwingend zu einer kompletten Firewall-Lösung. Sein Unternehmen definiert dazu noch die Bewältigung der Herausforderung Advanced Evasion Techniques (AET) als wichtige Anforderung einer nächsten Generation an Sicherheitslösungen. "Diese Bedrohung ist zwar schon lange bekannt, doch weiß man noch viel zu wenig darüber. Stonesoft hat in seinen Forschungslabors unter Realbedingungen gezeigt, dass AETs noch immer unbemerkt in viele dieser Systeme gelangen können und dafür braucht es Lösungsansätze."

Mittelstand braucht mehr als Firewalling

Applikations- und Userkontrolle stehen dennoch im Fokus der heutigen NGFWs. Aber so verbreitet die gefährdenden Tools, so wenig verbreitet sind derzeit noch besagte NGFW- Lösungen, die davor schützen. Das Marktforschungsinstitut Gartner schätzt, dass bisher weniger als ein Prozent aller Internetverbindungen über eine Next Generation Firewall abgesichert sind. Bis zum Jahr 2014 sollen schon 35 Prozent der installierten Basis damit ausgestattet sein.

Ein attraktives Geschäftsfeld, das allerdings nicht vergessen lassen darf, dass es beim Security-Bedarf noch andere Zielgruppen mit anderen Anforderungen gibt. "Mittelständische Unternehmen oder auch Niederlassungen großer Unternehmen mit eigener IT-Hoheit benötigen andere Lösungen und auch mehr Funktionalität, die über Sicherheitsfeatures hinausgeht – wie etwa Logging, Mailsystem oder Web-Caching", weiß Security-Spezialist Helmich. "Und sie fordern ein komfortables Management mit so wenig Aufwand wie möglich." Für diese mittelständischen Kunden empfiehlt er deshalb keine spezialisierte Next-Generation-Enterprise-Firewall, sondern eine vielseitige Lösung, wie beispielsweise die von Astaro. (map)
(map)