{"id":14325,"date":"2019-05-07T11:08:16","date_gmt":"2019-05-07T09:08:16","guid":{"rendered":"https:\/\/www.sysbus.eu\/?p=14325"},"modified":"2019-09-04T11:01:16","modified_gmt":"2019-09-04T09:01:16","slug":"next-generation-firewall-appliances-im-fokus-ein-grundstein-der-netzwerksicherheit","status":"publish","type":"post","link":"https:\/\/www.sysbus.eu\/?p=14325","title":{"rendered":"Next-Generation Firewall-Appliances im Fokus: Ein Grundstein der Netzwerksicherheit"},"content":{"rendered":"\n

Autor: Dr. G\u00f6tz G\u00fcttich<\/p>\n\n\n\n

In unserem aktuellen Themenfokus befassten wir uns bei Sysbus mit Next-Generation Firewall-Appliances. Diese stellen einen der wichtigsten Bausteine der IT-Security dar und verf\u00fcgen \u00fcber eine Vielzahl an Funktionen. Dieser Beitrag geht darauf ein, was man bei der Auswahl einer solchen Appliance beachten sollte.<\/p>\n\n\n\n

\"\"
Die Check Point 3200 Appliances sind f\u00fcr kleine Unternehmen gedacht (Bild: Check Point)<\/figcaption><\/figure>\n\n\n\n\n\n\n\n

Next-Generation Firewalls, oder kurz NGFWs, kommen in der Regel zwischen dem lokalen Netz eines Unternehmens und dem Internet zum Einsatz. Dort \u00fcberwachen und filtern sie den Datenverkehr in beide Richtungen, also sowohl vom Unternehmensnetz aus ins Internet, als auch vom Internet ins LAN.<\/p>\n\n\n\n

\"\"
Die Check Point 6500 fungiert als Security Gateway f\u00fcr gro\u00dfe Unternehmen (Bild: Check Point)<\/figcaption><\/figure>\n\n\n\n

Damit haben sie nicht nur die Aufgabe, die Daten\u00fcbertragungen abzusichern, sondern stellen in der Regel auch zus\u00e4tzliche Funktionen bereit. Beispielsweise bieten sie Web-Filter, die dabei helfen, den Zugriff der User im Netz auf erlaubte Internet-Ressourcen zu beschr\u00e4nken. In der Regel verf\u00fcgen sie dar\u00fcber hinaus auch noch \u00fcber Virtual Private Network-Funktionalit\u00e4ten (VPN) und sorgen so daf\u00fcr, dass mobile Anwender und Au\u00dfenstellen von der Ferne aus auf eine sichere Art auf Weise auf die Ressourcen des Unternehmens zugreifen k\u00f6nnen.<\/p>\n\n\n\n

\"\"
Die Firepower 2100-Serie von Cisco (Bild: Cisco)<\/figcaption><\/figure>\n\n\n\n

Sicherheits-Features<\/strong><\/p>\n\n\n\n

Wenden wir uns an dieser Stelle aber den Sicherheits-Funktionen zu, mit denen die NGFWs den Datenverkehr zwischen LAN und WAN sch\u00fctzen. Diese stellen die Grundfunktionalit\u00e4t der genannten Appliances dar. Zun\u00e4chst einmal ist in diesem Zusammenhang eine Paketfilter-Firewall zu nennen. Diese erm\u00f6glicht es dem Administrator, Firewall-Regeln zu definieren, die beispielsweise s\u00e4mtlichen HTTP- und HTTPS-Verkehr vom LAN ins Internet zulassen, um den Benutzern im Unternehmensnetz Zugriff auf das World Wide Web zu erm\u00f6glichen. Parallel dazu lassen sich andere Regeln implementieren, die zum Beispiel den E-Mail-Zugriff via IMAP und POP3 auf Mail-Server erlauben oder auch FTP- und Telnet-Zugriffe ins Internet untersagen, damit keine unverschl\u00fcsselten Passw\u00f6rter \u00fcber unsichere Netze \u00fcbertragen werden.<\/p>\n\n\n\n

\"\"
Die Barracuda CGF Status Map zeigt die Status Map eines Firewall Control Centers. Die Status Map pr\u00e4sentiert alle notwendigen Daten \u00fcber den Sicherheitsstatus auf einen Blick und bietet auch die M\u00f6glichkeit gezielter Drill-Downs. (Bild: Barracuda)<\/figcaption><\/figure>\n\n\n\n

Gleichzeitig besteht bei Bedarf auch die Option, SSH-Zugriffe zu Wartungszwecken von au\u00dfen in das Unternehmensnetz zuzulassen. Diese Beispiele zeigen bereits, dass es in professionellen Umgebungen nicht ausreicht, eine Firewall zu implementieren, die allen Verkehr von innen nach au\u00dfen zul\u00e4sst und gleichzeitig alle Daten\u00fcbertragungen von au\u00dfen nach innen unterbindet. Eine solche Konfiguration kann bestenfalls ein Notnagel sein, der zum Einsatz kommt, w\u00e4hrend die Administratoren den genauen Bedarf an zu erlaubenden Protokollen ermitteln und die entsprechenden Policies anlegen.<\/p>\n\n\n\n

\"\"
Die Barracuda Web Application Firewall 460 (Bild: Barracuda)<\/figcaption><\/figure>\n\n\n\n

Um dieses Vorgehen reibungslos umzusetzen, sollten die verwendeten Sicherheitsl\u00f6sungen einen Monitor-Only-Modus anbieten. Dieser l\u00e4sst sich nach der Regelerstellung nutzen, um \u00fcber Dashboards und Log-Dateien zu \u00fcberpr\u00fcfen, welche Aktionen die Firewall durchf\u00fchren w\u00fcrde, wenn die Regeln aktiv w\u00e4ren. Legt man die Policies fest und \u00fcberwacht die Daten\u00fcbertragungen dann einige Zeit lang mit dem Monitor-Modus, so k\u00f6nnen die zust\u00e4ndigen Mitarbeiter vor dem „Scharfschalten“ der Regeln relativ gut sicherstellen, dass nicht aus Versehen irgendwelche wesentlichen Verbindungen unterbrochen werden. Die Arbeit kann also auch bei Inbetriebnahme einer neuen Firewall nahtlos weiter gehen.<\/p>\n\n\n\n

\"\"
Die Firebox M5600 von Watchguard (Bild: Watchguard)<\/figcaption><\/figure>\n\n\n\n\n\n\n\n

Port\nForwarding<\/strong><\/p>\n\n\n\n

Das obengenannte Beispiel mit den von au\u00dfen zu Wartungszwecken erlaubten SSH-Zugriffen zeigt, dass es auch wichtig ist, dass die NGFW-Appliance die von au\u00dfen kommenden Daten\u00fcbertragungen an das richtige Ger\u00e4t im LAN oder besser der DMZ weiterleiten kann. Dazu lassen sich so genannte Port Forwarding-Regeln einsetzen, die beispielsweise definieren, dass das System s\u00e4mtlichen eingehenden Datenverkehr \u00fcber den SSH-Port 22 an einen bestimmten Linux-Server weiterleitet, der von einem externen Dienstleister remote gewartet wird. Solche Regeln sind sehr n\u00fctzlich, stellen aber auch ein gewisses Sicherheitsrisiko dar und sollten deswegen immer nur aktiv sein, wenn sie auch wirklich ben\u00f6tigt werden.<\/p>\n\n\n\n

\"\"
Die 500er-Serie der Tux Firewall von Tuxguard (Bild: Tuxguard)<\/figcaption><\/figure>\n\n\n\n
\"\"
Das Tuxguard Management Center (TGMC) erm\u00f6glicht die zentrale Verwaltung aller Sicherheitskomponenten (Bild: Tuxguard)<\/figcaption><\/figure>\n\n\n\n

W\u00fcrde ein Unternehmen etwa den im obigen Beispiel genannten Linux-Server irgendwann au\u00dfer Dienst stellen, das Deaktivieren des Port Forwardings vergessen und sp\u00e4ter die gleiche interne IP-Adresse f\u00fcr ein anderes Ger\u00e4t verwenden, so w\u00e4re dieses \u00fcber Port 22 aus dem Internet erreichbar, ohne dass davon im Unternehmen jemand wei\u00df. Port Forwarding-Regeln spielen \u00fcbrigens nur dann eine Rolle, wenn es darum geht, per NAT ans Internet angeschlossene Ger\u00e4te \u00fcber IPv4 von extern aus zu erreichen. Kommt IPv6 zum Einsatz, so k\u00f6nnen die Verantwortlichen alle Devices im Netz \u00fcber ihre dedizierten IPv6-Adressen von au\u00dfen ansprechen, falls die Firewall-Konfiguration des zul\u00e4sst.<\/p>\n\n\n\n

\"\"
Mit der Next Generation Firewall (NGFW) liefert Forcepoint eine durchg\u00e4ngig integrierte Netzwerk-Security-L\u00f6sung, die s\u00e4mtliche Daten und Anwendungen in der gesamten IT-Infrastruktur verl\u00e4sslich sch\u00fctzt \u2013 im Rechenzentrum, an verschiedenen Firmenstandorten sowie in der Cloud. Dadurch werden Kunden in die Lage versetzt, komplexe Prozesse in verteilten Firmennetzwerken effizient zu verwalten. (Bild: Forcepoint)<\/figcaption><\/figure>\n\n\n\n

Anwendungs\u00fcberwachung\nauf Layer 7<\/strong><\/p>\n\n\n\n

So wichtig eine Paketfilter-Firewall auch ist, so reicht sie heutzutage doch schon lange nicht mehr aus, um ein befriedigendes Sicherheitsniveau zu garantieren. Ein gro\u00dfer Teil der modernen Applikationen l\u00e4uft jetzt n\u00e4mlich \u00fcber die HTTP- und HTTPS-Ports 80 und 443. Diese sind deswegen in wohl jeder Firewall offen. Da sie aber nicht mehr nur zum Surfen im Web zum Einsatz kommen, sondern auch zum \u00dcbertragen von Daten \u00fcber soziale Netze, Messenger, Web-Mailer und vieles mehr, k\u00f6nnen Angreifer Daten\u00fcbertragungen \u00fcber diese Ports nutzen, um Netze anzugreifen und Malware zu verteilen.<\/p>\n\n\n\n

\"\"
Forcepoints NGFW 6200 SERIES bietet Hochleistungskonnektivit\u00e4t mit Avanced Intrusion Protection f\u00fcr Rechenzentren weltweit (Bild: Forcepoint)<\/figcaption><\/figure>\n\n\n\n

Hier kommt eine Application Firewall auf Layer 7 des OSI-Schichtenmodells zum Einsatz. Diese erm\u00f6glicht es der NGFW-Appliance, die \u00fcbertragenen Anwendungen genau zu analysieren, Malware aus den Datenstr\u00f6men auszufiltern und nur die Anwendungen zuzulassen, die in dem jeweiligen Umfeld erw\u00fcnscht sind. \u00dcblicherweise arbeitet eine solche Firewall als Proxy. Das bedeutet, sie terminiert den Datenverkehr in beide Richtungen, anstatt die Pakete einfach durchzureichen. Das versetzt sie dazu in die Lage, neben den Verkehrsdaten wie Quelle und Ziel auch die Inhalte der einzelnen Pakete zu analysieren und nur die Daten durchzulassen, die \u00fcber zuvor definierte Policies erlaubt wurden.<\/p>\n\n\n\n

\"\"
Die Sophos Next Generation XG Firewall mit Deep-Learning-Technologie (Bild: Sophos)<\/figcaption><\/figure>\n\n\n\n

Bei der Konfiguration der dazugeh\u00f6rigen Regeln sollten die Administratoren auch hier wieder zun\u00e4chst die Policies anlegen und dann in einem Monitoring-Modus laufen lassen, bevor sie sie „scharf“ schalten, um unn\u00f6tige Ausf\u00e4lle von f\u00fcr die Arbeit erforderlichen Anwendungen zu vermeiden.<\/p>\n\n\n\n

\"\"
Alles im Blick: Control Center der Sophos XG Firewall f\u00fcr Netzwerk, Benutzer und Anwendungen (Bild: Sophos)<\/figcaption><\/figure>\n\n\n\n

VPNs<\/strong><\/p>\n\n\n\n

Wie oben bereits angesprochen, verf\u00fcgen die meisten Unternehmen \u00fcber entfernte Niederlassungen und externe Mitarbeiter, die von au\u00dfen Zugriff auf die Ressourcen des Unternehmensnetzwerks ben\u00f6tigen, damit sie ihre Arbeit effizient erledigen k\u00f6nnen. Oft ergibt es auch Sinn, Dienstleistern und Lieferanten zumindest teilweise Zugriff auf die Unternehmensdaten einzur\u00e4umen. F\u00fcr diese Szenarien sind Virtual Private Networks (VPNs) unverzichtbar, die verschl\u00fcsselte Tunnel zwischen den Au\u00dfenstellen und dem LAN realisieren, \u00fcber die die Externen genauso auf das Netz zugreifen, wie wenn sie sich vor Ort befinden w\u00fcrden. Da es sinnvoll ist, diese Funktionalit\u00e4t an der Nahtstelle zwischen LAN und WAN zu implementieren, verf\u00fcgen moderne NGFW-Appliances praktisch ausnahmslos \u00fcber diese Funktionalit\u00e4t.<\/p>\n\n\n\n

\"\"
Die ZyWALL ATP-Firewalls von Zyxel (Bild: Zyxel)<\/figcaption><\/figure>\n\n\n\n

Web-Filter<\/strong><\/p>\n\n\n\n

Auch die Web-Filter hatten wir oben schon kurz angesprochen. Sie versetzen die Administratoren in die Lage, den Zugriff auf bestimmte Web-Seiten zu unterbinden, entweder weil sie f\u00fcr die t\u00e4gliche Arbeit nicht relevant oder sogar kontraproduktiv sind, oder weil sie Malware verteilen k\u00f6nnten. Neben manuell erstellten Black- und White-Lists gibt es an dieser Stelle auch vorgefertigte Filterlisten, die unter anderem zum Einsatz kommen k\u00f6nnen, um Webseiten auszublenden, die sich mit bestimmten Kategorien wie „Alkohol“ oder „Gl\u00fccksspiel“ befassen.<\/p>\n\n\n\n

\"\"
Die Zscaler Cloud Firewall erleichtert die Definition granularer Policies nach User, Applikation, Standort, Gruppe oder Abteilung (Bild: Zscaler)<\/figcaption><\/figure>\n\n\n\n

Da diese Listen st\u00e4ndig aktualisiert werden m\u00fcssen, sind sie \u00fcblicherweise als Abonnement verf\u00fcgbar und m\u00fcssen folglich jedes Jahr neu gebucht und bezahlt werden.<\/p>\n\n\n\n

\"\"
Die Next-Generation-Firewalls von Rohde & Schwarz Cybersecurity bieten laut Hersteller Sicherheit und volle Einsicht in den Datenverkehr f\u00fcr B\u00fcronetzwerke genauso wie verteilte Unternehmensnetzwerke. Sie sch\u00fctzen vor Schadsoftware und modernen Cyberbedrohungen. Innovative Technologien in Kombination mit einer intuitiven Administrationsoberfl\u00e4che erf\u00fcllen auch die h\u00f6chsten Anforderungen an die Netzwerksicherheit und Benutzerfreundlichkeit. (Bild: Rohde & Schwarz Cybersecurity)<\/figcaption><\/figure>\n\n\n\n

Intrusion\nPrevention<\/strong><\/p>\n\n\n\n

Ebenfalls von gro\u00dfer Bedeutung f\u00fcr die Sicherheit des Unternehmensnetzwerks ist eine leistungsf\u00e4hige Intrusion Detection- beziehungsweise Intrusion Prevention-Funktionalit\u00e4t. Diese untersucht den Netzwerkverkehr auf verd\u00e4chtige Muster, ungew\u00f6hnliche Aktivit\u00e4ten und andere Ereignisse, die auf Angriffe und Sicherheitsverletzungen hinweisen. <\/p>\n\n\n\n

\"\"
Die FortiGate 5000-Serie von Fortinet (Bild: Fortinet)<\/figcaption><\/figure>\n\n\n\n

Intrusion Detection Systeme (IDS) melden solche Vorf\u00e4lle lediglich, w\u00e4hrend Intrusion Prevention Systeme (IPS) gleichzeitig auch versuchen, Gegenma\u00dfnahmen zu ergreifen, beispielsweise durch das automatische Aktivieren einer Firewall-Regel, die die verd\u00e4chtigen Aktionen blockiert. Normalerweise definieren die zust\u00e4ndigen Mitarbeiter bei der Konfiguration eines IDS\/IPS einen Normalzustand, in dem sich das Netz w\u00e4hrend der Arbeit \u00fcblicherweise befindet und richten das IDS\/IPS anschlie\u00dfend so ein, dass es Alarm schl\u00e4gt, wenn dieser Normalzustand verlassen wird, unter anderem durch das Ansteigen des Datenvolumens, ungew\u00f6hnliche Verbindungsversuche zu ungew\u00f6hnlichen Zeiten und \u00e4hnliches.<\/p>\n\n\n\n

\"\"
Die SN6100-Appliance von Stormshield (Bild: Stormshield)<\/figcaption><\/figure>\n\n\n\n

Gateway-Antivirus\nund Spam-Filter<\/strong><\/p>\n\n\n\n

Viele moderne NGFW-Appliances verf\u00fcgen noch \u00fcber weitere Funktionen, wie beispielsweise eine Antivirus-Software, die direkt auf der Appliance l\u00e4uft. Dort untersucht sie unter anderem Web-Inhalte, E-Mails und andere Daten\u00fcbertragungen mit Hilfe von Virenscan-Engines und unterbindet Malware-\u00dcbertragungen. Manche L\u00f6sungen sind sogar dazu in der Lage, die Analyse des POP-, IMAP- und SNMP-Verkehrs zu nutzen, um Spam auszufiltern. Auch diese Features stehen \u00fcblicherweise auf Abonnement-Basis zur Verf\u00fcgung.<\/p>\n\n\n\n

\"\"
Die USG6600E Firewall-Appliance von Huawei (Bild: Huawei)<\/figcaption><\/figure>\n\n\n\n

Fazit<\/strong><\/p>\n\n\n\n

Moderne NGFW-Appliances sind Multitalente mit einem sehr gro\u00dfen Funktionsumfang. W\u00e4hrend viele Features \u2013 wie beispielsweise die Firewall-Funktionalit\u00e4ten, das IDS oder auch VPN-Verbindungen \u2013 von praktisch allen Anbietern auf dem Markt bereitgestellt werden, kommen andere Funktionen nur bei bestimmten Produkten vor. Dazu geh\u00f6ren auch Dinge, die in diesem Artikel gar keinen Platz gefunden haben, wie etwa Network Access Control (NAC), Traffic Shaping und diverse Authentifizierungsfunktionen (etwa \u00fcber Captive Portals oder mit Radius sowie TACACS+). Das gleiche gilt f\u00fcr die Absicherung von Wireless-Verbindungen oder auch einen DoS- und DDoS-Schutz. Hier m\u00fcssen die Administratoren im Vorfeld kl\u00e4ren, was sie genau ben\u00f6tigen. Das gleiche gilt auch f\u00fcr die \u00dcberwachung und das Reporting. <\/p>\n\n\n\n

\"\"
Die SRX300 Firewall-L\u00f6sung von Juniper (Bild: Juniper)<\/figcaption><\/figure>\n\n\n\n

Dr. G\u00f6tz G\u00fcttich ist Chefredakteur von Sysbus.eu<\/em><\/p>\n","protected":false},"excerpt":{"rendered":"

In unserem aktuellen Themenfokus befassten wir uns bei Sysbus mit Next-Generation Firewall-Appliances. Diese stellen einen der wichtigsten Bausteine der IT-Security dar und verf\u00fcgen \u00fcber eine Vielzahl an Funktionen. Dieser Beitrag geht darauf ein, was man bei der Auswahl einer solchen Appliance beachten sollte.<\/p>\n","protected":false},"author":3,"featured_media":14326,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"colormag_page_container_layout":"default_layout","colormag_page_sidebar_layout":"default_layout","footnotes":""},"categories":[8,37],"tags":[2699,438,1129,342,2721,1435,221,1088,2616,5136,6302,1060,825,12377,821,1146,4312,1119,231,5116,25,27,8163,181,1458,1794,3165,230,12374,12376,12250,3377,36,54,3731,12380,11689,232,6267,180,12139,4157,5551,217],"class_list":["post-14325","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-artikel","category-security","tag-antispam","tag-antivirus","tag-appliance","tag-authentifizierung","tag-barracuda","tag-check-point","tag-cisco","tag-cybersecurity","tag-ddos","tag-dmz","tag-dos","tag-e-mail","tag-firewall","tag-forcepoint","tag-fortinet","tag-huawei","tag-ids","tag-intrusion-prevention","tag-ips","tag-ipv4","tag-ipv6","tag-juniper","tag-layer-7","tag-linux","tag-malware","tag-nac","tag-next-generation-firewall","tag-ngfw","tag-packetfilter","tag-port-forwarding","tag-rohde","tag-schwarz","tag-sicherheit","tag-sophos","tag-ssh","tag-stromshield","tag-tuxguard","tag-utm","tag-verschlusselung","tag-vpn","tag-watchguard","tag-web-filter","tag-zscaler","tag-zyxel"],"amp_enabled":true,"_links":{"self":[{"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/posts\/14325","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/users\/3"}],"replies":[{"embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=14325"}],"version-history":[{"count":2,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/posts\/14325\/revisions"}],"predecessor-version":[{"id":14355,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/posts\/14325\/revisions\/14355"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/media\/14326"}],"wp:attachment":[{"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=14325"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=14325"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=14325"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}