Firewall-Systeme sind nunmehr unerlässlich geworden. Egal ob es sich um eine physische Firewall handelt, um damit sein internes Netzwerk vom Rest der Welt zu schützen, oder aber um eine gewisse Mikrosegmentierung von LAN-Bereichen wie Produktion und Office-LAN zu realisieren. Auch in der Cloud wie Amazon AWS und Microsoft Azure werden diese Firewall-Systeme immer wichtiger.

Bei dieser Gelegenheit sei gesagt, dass es nicht reicht, eine Firewall aufzubauen und diese dann 5 Jahre ohne irgendein zutun arbeiten zu lassen. Firewall-Systeme, egal welcher Hersteller, benötigen auch eine gewisse Art von Pflege und Kontrolle. Wir sehen leider immer wieder Systeme die Monate oder sogar Jahre nicht gepatcht und kontrolliert wurden. Hier ist meist die Verwunderung groß, warum sich ein Hacker so leicht Zugriff auf Systeme verschaffen konnte.

EI-TEA Partner kann Sie hier durch unsere langjährige Erfahrung optimal unterstützen. Sprechen Sie einfach mit uns.

Performance steht an erster Stelle, da sich zusammengefasst in der Praxis zwei wesentliche Probleme ergeben:

• Die Hersteller geben auf den Datenblättern Performancewerte an, die sie in keiner realen Situation erreichen können.
• Die benötigte Bandbreite in den Unternehmen wird sich in den nächsten Jahren zumindest vervierfachen, wenn nicht sogar verzehnfachen. Es wäre fatal, diesen Aspekt bei der Firewall Anschaffung nicht zu berücksichtigen

Einige Hersteller führen Performancemessungen mit UDP Pakete durch. UDP ist per Definition ein verbindungsloses Netzwerkprotokoll. Messungen, die nur mit UDP Paketen durchgeführt werden, belasten die Firewall viel weniger, als im Vergleich zum TCP-Protokoll. Erschreckend viele Firewall Projekte in Österreich wurden falsch dimensioniert. Um das Problem nach dem Kauf in den Griff zu bekommen, werden kurzerhand Schutz-Funktionen auf der Firewall deaktiviert, um wieder annährend die Performance zu erhalten, die benötigt wird. DIES KANN ABER NICHT DAS ZIEL SEIN, denn dadurch ist man weniger gut gegen Angriffe geschützt. Geld wurde für Schutzfunktionen ausgegeben, die im Endeffekt nicht verwendet werden.

Ein weiterer Aspekt ist die Performancemessung bei „Schutzmechanismen“ der Firewall. Unter diesen „Schutzmechanismen“ versteh man Anti-Viren Kontrolle, Intrusion Detection System (IDS), Intrusion Prevention System (IPS), Sandboxing und dergleichen. Viele Hersteller messen die Performance nur pro Schutzmechanismus, jedoch nicht alle zusammen. Eine Messung der einzelnen Mechanismen widerspricht der realen Umgebung, denn in einer realen Umgebung möchte ich ja dass jedes Paket jeden Schutzmechanismus durchläuft.

Next Generation Firewalling hat sich als Betriff bei fast allen Firewall Herstellern etabliert. Dieses Schlagwort bedeutet im Großen und Ganzen das Erkennen der Applikationen auf der Firewall anhand von einigen, wenigen IP Paketen. Bei genauerer Betrachtung zeigt sich jedoch, dass es hier gravierende Unterschiede bei den einzelnen Firewall Herstellern gibt.

Einige Hersteller leisten in diesem Bereich sehr gute Arbeit. Hier definiert man direkt in dem normalen Regelwerk, wo auch die einzelnen Ports erlaubt oder verboten werden, die erlaubten Applikationen. Wobei eine Applikation nicht unbedingt eine installierte Applikation sein muss. XING, Facebook, GMAIL und Co sind ebenfalls Applikationen. Generell gilt, sobald der Benutzer mit einer Webseite interagiert, spricht man von einer Applikation. Durch diese Integration direkt in das Regelwerk, sieht man auf einen Blick, welche Apps frei geschalten sind, der administrative Aufwand wird nicht wesentlich mehr – und vielleicht der wichtigste Teil – es wird nicht komplizierter. Bei einer richtigen Next Generation Firewalling Firewall ist die Definition, welche Applikationen wo hin darf, ein fixer Bestandteil.

Viele Hersteller verwenden jedoch das Schlagwort Next Generation Firewalling eher für Marketingzwecke, und nicht wirklich für die Firewall an sich. Meist ist bei diesen Herstellern der next Generation Firewalling-Aufsatz nur ein Add-On wie z.B. der Virenscanner. Dadurch wird die Verwendung komplizierter, weil diese Optionen meistens in Untermenüs zu finden sind. Der Firewalladmin ist aber meistens schon gut ausgelastet. Durch eine komplizierte Menüführung werden diese Definitionen meistens auf später verschoben, oder werden gar nicht angewendet.

Blacklisting

Wenige Hersteller setzen den Next Generation Firewalling Ansatz noch sporadischer um. Bei diesen Firewalls gibt’s nur ein „blacklisting“, also das explizite verbieten von Applikationen. Alle Anwendungen sind erlaubt, nur die, die eingetragen wurden, werden verboten. Diese Funktion bringt keine Verbesserung der Sicherheit, da es unmöglich ist, alle schadhaften Applikationen in diese Liste einzutragen. Vor allem gibt es immer Applikationen, die der Firewallhersteller nicht kennt (darunter fallen auch Crypto-Trojaner, oder andere Schadsoftware) – diese Applikationen können dann die Firewall ungehindert passieren.

Auch wenn ihr Unternehmen noch keine Cloud Anwendungen nutzt, oder sogar ein striktes Verbot dahingehend ausgesprochen hat, sollte die Firewall trotzdem damit umgehen können.

Immer mehr Unternehmen rüsten auf, um Cloud-Ready zu werden. Dazu zählt auch die Firewall, da diese Box mitunter der einzige Punkt ist, an dem alle Netzwerk-Daten die das Unternehmen verlassen, protokolliert werden. Eine neu angeschaffte Firewall muss zumindest die Möglichkeit haben, diesen Cloud Traffic gesondert anzuzeigen, bzw. zu Reporten. Nur so wird das Unternehmen den Sprung in das neue Zeitalter schaffen.

Die Zeiten, in dem man PC’s oder Netzwerkgeräten eine fixe IP Adresse zuweisen musste, um die Firewallrichtlinen genau für dieses Gerät zu definieren, sind gottseidank vorbei. Moderne Firewalls können direkt mit einem Active Directory Controller sprechen, um Pakete genau den entsprechenden Benutzer zuweisen zu können.

Durch diese Funktion werden auch die meisten Proxy-Systeme abgelöst, da diese nicht mehr benötigt werden. Jede Reduzierung von Services, die der Benutzer verwenden muss, verringert die Komplexität und die Fehleranfälligkeit, respektive wird die Sicherheit erhöht.

Fragen sie nach, wie das Management der Firewall funktioniert. Ist eine extra Software nötig, um dies zu bewerkstelligen, oder reicht ein normaler Browser. Muss der Browser Flash oder Java unterstützen, oder reicht ein HTML5-fähiger Browser?

Zum Management zählt auch die Log-Auswertung. Nehmen sie einfach ein reales Beispiel aus ihren Supportfällen. z.B. beschwert sich ein Benutzer aus der Buchhaltung, dass ELBA nicht mehr funktioniert. Wie schnell können sie im Log auf der Firewall herausfinden, welches Problem hier besteht? Ist der Log-Browser intuitiv zu bedienen?

Immer mehr Firewall Hersteller implementieren eine Möglichkeit, erhaltene Dateien in einer Cloud-Sandbox auf ihr Verhalten zu überprüfen. Durch diese Sandbox-Analyse werden auch Schadprogramme entlarvt, die ein Virenscanner (noch) nicht finden kann, da diesem der nötige Eintrag in seiner AV Datenbank fehlt.

URL-Filtering direkt auf der Firewall wird immer mehr zu einer wichtigen Funktion. Zum einen können hier Proxy-Lösungen abgelöst werden, zum anderen kann ein URL Filter direkt auf der Firewall die Erstellung des Regelwerkes maßgeblich vereinfachen. Speziell wenn der URL Filter die Möglichkeit bietet, phishing oder malware-Seiten zu filtern.

Erzeugte Log-Einträge von Verbindungen, Threats, gefundenen Viren, Malware oder dergleichen sollten zumindest für einen gewissen Zeitraum nicht veränderbar (Gerichtsverwertend) direkt auf der Firewall gespeichert werden. Darüber hinaus sollte die Firewall eine Möglichkeit bieten, diese Logs automatisiert zu exportieren.

Auch im Hinblick auf die Datenschutzgrundverordnung (DSGV) ist dies ein wichtiger Bestandteil!

Alle angeführten Punkte entsprechen unseren Erfahrungen, jedoch können sich Änderungen durch Updates oder durch neue Produkte ergeben. Diese gesammelten Informationen sollten nur als Leitfaden gesehen werden. Garantien und Haftungen für diese Punkte werden explizit von unserer Seite ausgeschlossen. Änderungen und Irrtümer vorbehalten.