Klassische Firewalls haben ausgedient

Interview mit Achim Kraus von Palo Alto Networks über die Grenzen traditioneller Firewalls und welche Sicherheitskonzepte „Next Generation Firewalls“ ermöglichen, um das Unternehmensnetzwerk abzusichern

Achim Kraus

Achim Kraus, Palo Alto Networks

Firewalls müssen heute mehr als nur Ports und Protokolle kontrollieren. Die zunehmende Nutzung sozialer Netzwerke und Internetdienste durch die Mitarbeiter stellt Sicherheitsanforderungen, die traditionelle Produkte nicht ausreichend erfüllen können. Abhilfe versprechen Firewalls der nächsten Generation, die gemäß den Angaben der Hersteller dazu in der Lage sind, die Nutzung der neuen Dienste absichern zu können.

ITM: Herr Kraus, welche Schwächen weisen die Firewalls auf, die derzeit in den meisten Unternehmen stehen?
Achim Kraus:
Klassische Firewalls gehen nach dem Entweder-oder-Prinzip vor. Sie erlauben den Zugriff einer Applikation oder verhindern ihn. Das basiert auf der 15 Jahre alten Technologie „Stateful Packet Inspection“ (SPI).

Damals gab es keine sozialen Netzwerke wie Facebook, Synchronisationsdienste wie Dropbox, keinen Datenaustausch über Peer-to-Peer-Netzwerke und keine Cloud-Software-Anbieter wie Salesforce. Es gab keine drahtlosen Funknetze oder andere mobile Netzzugänge. Auf der anderen Seite gab es auch keine Bedrohungen aus dem Internet. Viren kamen, wenn überhaupt, über eine infizierte Floppy-Disk auf den Computer.

Die SPI-Technologie ist nicht dafür ausgelegt, 1.000 unterschiedliche Anwendungen zu überwachen, die von Port zu Port springen, Verschlüsselung nutzen und auch sonst alles tun, um zu verhindern, dass sie von der traditionellen Sicherheitsinfrastruktur entdeckt werden.

ITM: Sie meinen Schadprogramme von Hackern, die ins Unternehmensnetz eindringen wollen?
Kraus:
Nein, ich rede von aktuellen Anwendungen, die von vielen genutzt werden und die keinen Schaden anrichten sollen. Es geht um normale Dienste wie Facebook oder Videokonferenzsysteme. Heutzutage wollen Nutzer von der einen Seite durch die Firewall hinaus und von der anderen Seite will eine Vielzahl von Anwendungen hinein.

ITM: Was ist daran schwierig? Der Verkehr geht durch eine Firewall und eine Policy entscheidet, ob er durchgelassen wird.
Kraus:
Das funktioniert nur, wenn erkannt wird, welche Anwendung aktiv ist und welche Informationen diese überträgt. Das gelingt nur noch bei einem Teil des Datenverkehrs. Ein Drittel des Netzverkehrs ist inzwischen verschlüsselt. Warum? Weil Anbieter wie Facebook ihren Nutzern inzwischen offerieren, den gesamten Datenverkehr verschlüsselt abzuwickeln. Das ist nicht nur sicherer,
sondern hat den für die Netzwerke angenehmen Nebeneffekt, dass die Unternehmens-Firewall nicht sehen kann, was übertragen wird. Facebook, Twitter und die anderen wissen, dass die Firmen sie aussperren wollen. Durch die Verschlüsselung werden sie für die klassische Firewall unsichtbar. Und die Leute können sie weiter benutzen. Ich kann sie nicht aussperren, also muss ich versuchen, ihre Nutzung zu kontrollieren.

ITM: Reicht es nicht, den Zugang zu externen Anwendungen mittels Firewall restriktiv zu regulieren und eine entsprechende Unternehmensrichtlinie für die Mitarbeiter zu verabschieden?
Kraus:
Das zu pauschalisieren ist nicht sinnvoll. Wir reden nicht über Schadensprogramme, sondern über Anwendungen, die gut für das Geschäft sind. Zum Beispiel ist ein Videokonferenzsystem wie Webex ein produktivitätssteigerndes Werkzeug. Warum sollte ich komplett verhindern, dass meine Mitarbeiter es nutzen? Dazu kommt, dass es extrem schwer ist, Programme einfach auszusperren. Man kann zwar den Port sperren, den Webex typischerweise nutzt. Aber das Programm ist wie viele andere auch zum Port-Hopping fähig. Es funktioniert etwa auch mit Port 80 ...

ITM: ... man verhindert also auch erwünschten Datenverkehr, wenn man Programme wie Webex aussperrt?
Kraus:
Ja. IT-Leiter müssen auf wichtige Produktivitätswerkzeuge verzichten, wenn sie unerwünschte Anwendungen so aussperren. Außerdem ist der Erfolg unwahrscheinlich. Durch Tunneling kann Datenverkehr einfach über einen anderen Port geleitet werden.

ITM: Was setzen „Next Generation Firewalls“ diesen Problemen entgegen?
Kraus:
Die Inspektionstechnik der Firewall wurde komplett erneuert. Mittels heuristischer Analysen identifizieren wir, welche Anwendung gerade kommuniziert. Dabei wird eine Klassifizierungstechnologie benutzt, die den spezifischen Datenverkehr von über 700 Anwendungen identifiziert. Mittels User-ID integrieren wir die Verzeichnisdienste in den Unternehmen. So erkennen wir, welcher User gerade eine Anwendung benutzt. Indem wir die Inhalte dieser Interaktion über eine Analyse des Datenstroms ansehen, stellen wir fest, was dort gerade geschieht. Der gesamte Datenverkehr aller Anwendungen und aller Nutzer wird in Echtzeit geprüft – auch wenn er verschlüsselt ist. Damit geben wir den Unternehmen ein Werkzeug an die Hand, mit dem sie Nutzer-Policies sehr viel feiner als bisher definieren und durchsetzen können. 

©2020Alle Rechte bei MEDIENHAUS Verlag GmbH

Unsere Website verwendet Cookies, um Ihnen den bestmöglichen Service zu bieten. Durch die weitere Nutzung der Seite stimmen Sie der Verwendung zu. Weitere Infos finden Sie in unserer Datenschutzerklärung.

ok