Sicherheitseffizienz gefragt

Firewalls der nächsten Generation

Wenn es um eine hohe IT-Sicherheit geht, kommen IT-Chefs an Next-Generation-Firewalls nicht vorbei. Sie säubern den Datenverkehr durch die Kombination von „Intrusion Prevention“, SSL-Entschlüsselung und Inspektion, Applikationskontrolle und Content-Filter.

Die Risikolage bleibt an­gespannt. Cyber-Angreifer wechseln ständig ihre Methoden und Verfahren; für die IT-Chefs wird es zunehmend schwieriger, das Unternehmen zu verteidigen. Vielfach nutzen Hacker ausgeklügelte Verschleierungstechniken („Evasion“) und modifizieren ihre Angriffsvektoren, um Firewalls und Intrusion-Detection-Systeme zu überlisten.

Die Vielzahl bekannt gewordener Fälle von Datendiebstahl belegen, dass die vorhandenen Sicherheitsmaßnahmen oft nicht ausreichen. Wer bislang noch glimpflich davongekommen ist, sollte sich fragen:

  • Sind die Sicherheitsmaßnahmen ausreichend?
  • Wird deren Effizienz gründlich getestet und gemessen?
  • Wo sind weitere Maßnahmen erforderlich, um die IT-Sicherheit zu verbessern?

Zugegeben: Es gibt viele technische Mittel, um diese Herausforderungen zu meistern. Next-Generation-Firewalls spielen aber eine herausragende Rolle dabei; ihre Stabilität, Zuverlässigkeit und Sicherheitseffizienz sind zentrale Kriterien, wenn es darum geht, die Vertraulichkeit, Integrität und Verfügbarkeit der Unternehmensdaten zu schützen.

Vor allem die Sicherheitseffizienz hat sich in letzter Zeit als wichtige Metrik in den IT-Abteilungen durchgesetzt. Sie bietet Entscheidern eine Bezugsgröße zur Beurteilung der Qualität und Effizienz einer Next-Generation Firewall. Die NSS Labs etwa nutzen eine Sicherheits­effizienzmetrik in ihren „Fünf Performance-Indikatoren“.

Dieses US-Labor führt Tests für Zertifizierungen von IT-Sicherheitsprodukten durch. Dazu werden Next-Generation-Firewalls u.a. im Hinblick auf Effizienz, Performance, Verwaltbarkeit und „Cost of Onwership“ bewertet. Die Experten der NSS Labs überprüfen dazu diese Firewalls unter realen Bedingungen in diversen Anwendungsszenarien. Bei der Bewertung spielen die erwähnten fünf Performance-Indikatoren eine zentrale Rolle:

  1. „Intrusion Prevention“: Diese Methode blockiert jeden bösartigen Datenverkehr und vergleicht dazu die Inhalte von Datenpaketen und Sessions mit Signaturen, Filtern und Protokolldecodern; die Zahl der dadurch produzierten Fehl­alarme sollte möglichst gering sein;
  2. Evasion: entdeckt und blockiert bekannte Angriffsmethoden auch dann, wenn sie ausgeklügelte Verschleierungstaktiken verwenden;
  3. Applikationskontrolle: überwacht den von Applikationen aus- und eingehenden Datenverkehr mit Hilfe eines zuvor festgelegten Regelwerks. Diese richtliniengesteuerte Über­wachung von Anwendungen verhindert die Nutzung unerwünschter Software;
  4. „Policy Enforcement“: sorgt für die Einhaltung der Firewall-Richtlinen, mit denen auch die Zugriffsaktivitäten der Netzwerkressourcen gesteuert werden;
  5. Stabilität und Zuverlässigkeit: simulieren und messen das Verhalten einer Firewall in unterschiedlichen Situationen, etwa im Normalbetrieb oder im Fall massiver Angriffe.

Eine Kernfunktion jeder Next-Generation-Firewall ist die „Deep Packet Inspection“ (DPI), die den gesamten ein- und ausgehenden Datenverkehr scannt und im Datenstrom gezielt nach bösartigem Code sucht. Dazu werden Daten entschlüsselt und eingehend inspiziert. Dell nutzt hier eine patentierte „Reassembly-free“ DPI-Engine (siehe unten), die auch verschleierte Angriffe auf allen Ebenen des Netzwerks entdeckt und stoppt. So kann jedes einzelne Byte sämtlicher Pakete des ein- und ausgehenden Traffics gescannt werden, unabhängig von Port, Protokoll oder Datenvolumen und auch davon, ob es sich um Klartext oder SSL-verschlüsselten Traffic handelt. Die Bandbreite von 10 Gbit/s bei der Deep Packet Inspection verspricht eine hohe Sicherheitseffizienz – ohne Abstriche bei der Performance.

Die „Reassembly-freie“ DPI-Engine von Dell scannt jedes einzelne Paket und jedes einzelne Byte des Datenverkehrs im Netz über sämtliche Ports hinweg – bei hoher Performance und kurzen Latenzzeiten. Diese Technologie ist den üblichen Proxy-Designs mit Reassemblierung überlegen, bei denen Sockets an Anti-Malware-Programme gekoppelt werden. Hier kommt es immer wieder zu einer ineffizienten Verarbeitung und zu Socket-Memory-Thrashing, was zu hoher Latenz, verminderter Leistung und Einschränkungen beim Datenvolumen führt.

Die RFDPI-Engine prüft auch SSL-verschlüsselten Verkehr und nicht-proxyfähige Anwendungen – und zwar in Echtzeit mit effektiven Regeln auf der Anwendungsebene. Die Anwendungskontrolle kann sowohl nach Benutzern als auch nach Gruppen sowie mit Zeitplänen und Ausschlusslisten durchgeführt werden.

Durch die RFDPI-Engine wird der Netzwerkverkehr mehrfach normalisiert und entschlüsselt. So lassen sich raffinierte Umgehungsversuche verhindern, die darauf abzielen, Verfahren mit Packet-Assembly zu stören und bösartigen Code einzuschleusen. Nachdem ein Paket die Vorverarbeitung durchlaufen hat (u. a. SSL-Entschlüsselung), wird es anhand dreier Signaturendatenbanken analysiert: Eindringversuche, Malware und Anwendungen. Tritt ein Angriff oder ein anderes sicherheitsrelevantes Ereignis ein, wird eine vordefinierte Aktion ausgeführt. In den meisten Fällen wird die Verbindung beendet. Anschließend werden Logging- und Benachrichtigungs-Events erzeugt. 

 

*Florian Malecki ist Marketing-Direktor bei Dell Networking Security.

Bildquelle: Thinkstock / iStock

©2020Alle Rechte bei MEDIENHAUS Verlag GmbH

Unsere Website verwendet Cookies, um Ihnen den bestmöglichen Service zu bieten. Durch die weitere Nutzung der Seite stimmen Sie der Verwendung zu. Weitere Infos finden Sie in unserer Datenschutzerklärung.

ok