valentint - Fotolia

NGFW: Das Schweizer Taschenmesser für die IT-Sicherheit

Eine Next-Generation Firewall (NGFW) biete mehr Optionen für die Sicherheit als eine konventionelle Firewall, ist aber auch keine Universallösung, meint Helge Scherff von Nuvias.

Firewalls sind seit dem Beginn der Neunzigerjahre eine feste Größe in der IT-Sicherheitslandschaft. Der Aufstieg des Internets – das damals noch als Advanced Research Projects Agency Network, oder kurz: ARPANET, bekannt war – verlangte nach einer Methode, um externe Zugänge zu spezifischen Netzwerkressourcen zu regulieren.

Die Namensgebung der Brandmauern orientierte sich an physischen Schutzvorrichtungen, die es schon seit dem 19. Jahrhundert in Gebäuden gab: Damit ein Feuer nicht von einem Gebäudesegment in das nächste übertreten kann, wurden flammensichere Türen zwischen diesen installiert. Diese konnten bei Bedarf geschlossen werden. Die Firewall im Netzwerk funktioniert nach einem ganz ähnlichen Prinzip. In einer Alarmsituation blockiert sie hereinkommende Zugriffe, die schädliche Auswirkungen haben können.

Die Entwicklung der Firewalls beginnt mit den Anfängen des Internets und geht Hand in Hand mit der Entwicklung des World Wide Web. Mittlerweile gibt es eine große Varianz von verschiedenen Technologien. Mit dem Umfang des Datenverkehrs steigt auch die Komplexität, bösartige Muster in den ankommenden Netzwerkpaketen zu erkennen und sie entsprechend herauszufiltern.

In der Vergangenheit haben sich hierfür verschiedene Methoden durchgesetzt, beispielsweise Paketfilter oder Stateful Inspection. Die Vielfalt der Systeme hat schließlich zu dem Innovationsdruck geführt, um die Firewall zu konsolidieren. Im schlechtesten Fall mussten unterschiedliche Firewalls kombiniert werden, um die Funktionalität sicherzustellen. Dies war die Geburtsstunde einer dritten Generation von Firewalls.

Die Next-Generation Firewall bietet neue Möglichkeiten

Nachdem bereits Vorreiter wie Fortinet und Watchguard das Unified Threat Management (UTM) etabliert haben, steht am vorläufigen Ende der Evolution nun die Next Generation Firewall (NGFW). Dabei handelt es sich um eine Kombination aus bekannten Lösungen, mit der sich die IT-Sicherheit konsolidieren lässt.

Bei der klassischen NGFW ist es zum Beispiel eine Kombination aus traditioneller L3/L4-Paketfilterung mit Deep Packet Inspection (DPI), Intrusion Prevention System (IPS) und anderen Netzwerksicherheitsdiensten. Die meisten NGFWs enthalten standardmäßig die folgenden Funktionen:

  • Funktionen traditioneller Firewalls: Darunter sind Stateful Port/Protocol Inspection, Network Address Translation (NAT) sowie Virtual Private Network (VPN).
  • Anwendungsidentifizierung und -filter: Eine der wichtigsten Neuerungen bei den NGFWs. Der Datenverkehr wird je nach Anwendung analysiert und gefiltert, anstatt alle Ports des Netzwerks für den gesamten Verkehr freizugeben. Dies verhindert, dass böswillige Aktivitäten Non-Standard-Ports nutzen, um die Firewall zu umgehen.
  • SSL- und SSH-Analyse: NGFWs können nun auch SSL- und SSH-verschlüsselten Datenverkehr inspizieren. Sie entschlüsseln ihn und prüfen anschließend, ob es sich um eine erlaubte Anwendung handelt sowie weitere Vorgaben. Schließlich wird der Datenverkehr wieder verschlüsselt. Dies bietet zusätzlichen Schutz vor schädlichen Anwendungen und Aktivitäten, die versuchen, die Verschlüsselung zu verbergen, um die Firewall zu umgehen.
  • Intrusion Prevention: NGFWs sind mittlerweile auch in der Lage, Intrusion Detection und Prevention durchzuführen. Einige Next-Gen-Firewalls können die Funktionen eines Intrusion Prevention Systems sogar weitgehend übernehmen.
  • Malware-Filter: NGFWs können auch Filter bereitstellen, um Anwendungen automatisch zu blockieren, die bereits als Schadsoftware bekannt sind. Dies kann beispielsweise bekannte Phishing-Versuche, Viren und andere Malware-Sites und Anwendungen betreffen.

Angesichts der vielfältigen Anwendungsmöglichkeiten ist die NGFW daher eine sehr gute Option, um eine gewisse Basissicherheit herzustellen. Allerdings sind solche Universal-Tools immer auch ein Kompromiss: Beispielsweise, wenn nicht alle der Features zu hundert Prozent auf die Anforderungen passen, oder auch bei der gleichzeitigen Aktivierung aller Filter die Durchsatzleistung schwächer wird.

Ein weiterer Knackpunkt ist das Beharren auf Hardwaregeräten im Firewall-Geschäft, denn der Trend geht auch im Security-Bereich deutlich in Richtung Software.

Umfassender Cyberschutz braucht einen Lösungsansatz

In bestimmten Bereichen bedarf es einer Kombination mit weiteren Technologien. Dies betrifft vor allem die Themen des Identity and Access Managements (IAM) sowie die Abwehr von Distributed-Denial-of-Service-Attacken (DDoS).

Besonders bei letzteren hält sich hartnäckig das Vorurteil, dass eine Firewall hier ausreichend Schutz bietet. Dies ist allerdings nicht der Fall, denn die Firewall kann selbst zur Zielscheibe einer DDoS-Attacke werden und steht dann nicht mehr zur Verfügung.

Helge Scherff Nuvias Group

„In bestimmten Bereichen bedarf es einer Kombination mit weiteren Technologien. Dies betrifft vor allem die Themen IAM sowie DDoS.

Helge Scherff, Nuvias Group

Immer öfter sehen sich Unternehmen komplexen Angriffen gegenüber, bei denen DDoS-Attacken auch als Ablenkungsmanöver verwendet werden, um sich Zugänge zu den Netzwerken zu verschaffen. IAM-Lösungen sind hingegen wichtig, um missbräuchliche Zugriffe aus internen Quellen zu unterbinden, gegen die die Firewall keinen Schutz bietet.

Um solch ein umfassendes Lösungspaket zu implementieren, ist externe Beratung eine wichtige Ressource. Denn wo viele einzelne Produkte zu kombinieren sind, braucht es Erfahrung und einen Überblick über die verschiedenen Angebote auf dem Markt. Neben den großen Systemhäusern sind es vor allem die spezialisierten Managed Service Provider, welche hierbei unterstützen.

Ein weiteres wichtiges Thema, das jedoch von keiner Technologie adressiert werden kann, ist der menschliche Faktor. Denn auch die umfassendste Firewall-Absicherung ersetzt nicht die Vorsicht beim Surfen und Herunterladen von Daten aus fremden Quellen.

Hier ist es wichtig, klare Regeln für die Mitarbeiter aufzuzeigen und eine proaktive, sicherheitsbewusste Kultur im Unternehmen zu fördern. Jeder bösartige Zugriff, der durch Umsicht verhindert wird, entlastet das System als Ganzes. Coachings durch externe Berater können dabei eine sinnvolle Stütze sein. Sie sensibilisieren die Mitarbeiter darauf, dass auch von einer NGFW kein trügerisches Verständnis von vollständiger Sicherheit herrühren darf.

Über den Autor:
Helge Scherff ist Vice President Central Region bei der Nuvias Group (www.wickhill.de)

Folgen Sie SearchNetworking.de auch auf Twitter, Google+, Xing und Facebook!

Nächste Schritte

Was bei der Migration von einer Firewall auf eine NGFW zu berücksichtigen ist

Die Firewall-Typen UTM und NGFW im Überblick

UTM und NGFW im Vergleich

Artikel wurde zuletzt im November 2017 aktualisiert

Pro+

Premium-Inhalte

Weitere Pro+ Premium-Inhalte und andere Mitglieder-Angebote, finden Sie hier.

Erfahren Sie mehr über Firewalls

Diskussion starten

Schicken Sie mir eine Nachricht bei Kommentaren anderer Mitglieder.

Mit dem Absenden dieser Daten erklären Sie sich bereit, E-Mails von TechTarget und seinen Partnern zu erhalten. Wenn Ihr Wohnsitz außerhalb der Vereinigten Staaten ist, geben Sie uns hiermit Ihre Erlaubnis, Ihre persönlichen Daten zu übertragen und in den Vereinigten Staaten zu verarbeiten. Datenschutz

Bitte erstellen Sie einen Usernamen, um einen Kommentar abzugeben.

- GOOGLE-ANZEIGEN

SearchSecurity.de

SearchStorage.de

SearchDataCenter.de

SearchEnterpriseSoftware.de

Close