Marktübersicht: Next-Generation-Firewalls
Sicherer Bereich
Moderne Firewall-Appliances bieten dank zahlreicher Funktionen umfassenden Schutz des Firmennetzes. Doch unsichere Protokolle und inkompatible Techniken erschweren die Auswahl.
Die Angriffe auf Internetnutzer werden immer komplexer, Anwendungen wandern in die Cloud und Angriffe gibt es entweder mit der Ransomware-Schrotflinte oder gezielt auf einzelne Mitarbeiter oder Branchen. Daher ist es notwendig, die Schutzfunktionen der Firewall vor dem Firmennetz näher zu betrachten. Diese Marktübersicht gibt einen Einblick in die verfügbaren Produkte und zeigt, welche Funktionen für einen zeitgemäßen Schutz entscheidend sind und welche eine sinnvolle Ergänzung dazu liefern.
Selbstverständlich benötigt eine solche Appliance ein gehärtetes Betriebssystem. Heutzutage würde niemand mehr eine Firewall auf einem Windows-Server installieren. Die Firewall selbst soll nicht zum Risiko werden – eine Erwartung, die eine Appliance am besten erfüllt: ein spezifisches System mit einem minimalen Betriebssystem und unterstützt von Beschleunigungschips und Spezialhardware.
Der Vorteil einer Appliance ist die schnelle Verfügbarkeit: Nach dem Einschalten und einem kurzen Bootvorgang kann schon die Konfiguration erfolgen. Damit sich die Firewall am Perimeter – dem Übergang vom Firmen- zum Providernetz – und an kritischen Übergangspunkten innerhalb des Firmennetzes (zwischen sogenannten Zonen) integrieren lässt, sind verschiedene Betriebsmodi nötig.
Unsichtbar im Netz
Im OSI-Layer 2 und in virtuellen Kabelnetzen (Virtual Wire) bindet der Administrator die Firewall unsichtbar in das Netz ein, vergleichbar einem Kabel oder Switch. Davor- und dahinterliegende Geräte sehen nur die MAC-Adresse (entsprechend Layer 2), und die Firewall agiert hierbei wie ein Switch oder völlig unsichtbar wie ein Kabel, das die Pakete manipuliert.
Anders verhält es sich im Layer-3-Modus: In dieser Verwendung wird die Firewall wie ein Pakete weiterleitender Router in das Netz integriert. Das Verfahren benötigt zwar mehrere IP-Adressen, erleichtert jedoch die Fehlersuche und die Administration. Einen Layer-3-Betriebsmodus sollte man immer einem Layer-2- oder einem Virtual-Wire-Modus vorziehen. Manche Firewall-Appliances beherrschen einen Mischbetrieb aus diesen Modi, andere müssen dauerhaft auf einen Modus eingestellt werden.
Durch die Implementierung von Routing-Protokollen wie BGP (Border Gateway Protocol), OSPF (Open Shortest Path First, v2 und v3) sowie RIP (Routing Information Protocol) wird meist eine Integration in größere Netzkonfigurationen notwendig. Dabei sollte man darauf achten, dass eine Appliance auch die Sicherheitsfunktionen dieser Routing-Protokolle beherrscht.
Eingeschränkte Protokollauswahl
Es fällt auf, dass nicht alle Firewalls sämtliche Routing-Protokolle beherrschen. Sophos kennt laut Herstellerangaben kein OSPF für IPv6 und keine Neighbor Discovery Integration auf IPv6-Ebene. Die anderen Hersteller implementieren alle herkömmlichen Routing-Protokolle in komplexen Netzumgebungen.
Mit Network Address Translation (NAT) können im Internet routingfähige Adressen auf private Adressen umgesetzt werden. Dieses Feature sollte die Firewall für IPv4 und IPv6 beherrschen und außerdem eine Eins-zu-eins-Abbildung ermöglichen und viele IPv4- und IPv6-Systeme unter einer IP-Adresse nach außen auftreten lassen.
Jede Firewall basiert auf einem Paketfilter, denn im Internet werden Daten mit dem IP-Protokoll übertragen. Neben IPv4, dessen Adressumfang mittlerweile nahezu komplett ausgeschöpft ist, gibt es die zeitgemäße Version IPv6, die speziell in Asien und beim Aufbau neuer Infrastrukturen von immenser Bedeutung ist. Sollte heutzutage eine Firewall nicht mit IPv6 umgehen können (wie die Produkte von Endian), ist sie nicht zukunftsfähig – Endian hat jedoch angekündigt, IPv6 Mitte 2018 teilweise nachzurüsten.
In einem Datenpaket folgen auf den IP-Header, der die Übertragung der Daten von Host zu Host im Netz regelt, Angaben zum Protokoll wie TCP, UDP, ICMP oder IGMP, die jede Firewall beherrschen sollte. Der Paketfilter trifft seine Entscheidungen etwa anhand der Well-known Ports wie TCP-Port 80 für HTTP oder Port 22 für SSH.
Da der Benutzer diese Belegung jedoch ändern kann, reicht es nicht aus, eine statische Liste bekannter Ports zu pflegen. Der Administrator muss in der Lage sein, diese Ports und die Filterentscheidungen anzupassen und zudem gewisse ICMP- und IGMP-Nachrichten durchzulassen und andere zu blockieren – vor allem solche zum Exfiltrieren von Daten (Data Extrusion), also zum unerlaubten Transport aus dem Firmennetz an den Firewall-Filterregeln vorbei.
HTTP ist das neue TCP
Inzwischen nutzen immer mehr Anwendungen HTTP als Übertragungstechnik, weshalb ein Filtern hier nicht mehr sinnvoll ist, zumal bei einer IP-Adresse eines Cloud-Dienstes ohnehin keine Unterscheidung mehr getroffen werden kann, zu welcher Anwendung eine Verbindung gehört.