Mit IT-Sicherheit lässt sich viel Geld verdienen. Das wissen auch Hersteller von Firewalls. Um ein möglichst großes Stück vom Kuchen abzubekommen, wird tief in die Marketing-Trickkiste gegriffen. Dieser Beitrag erklärt die unterschiedlichen (Next-Generation-)Firewall-Technologien und trennt die Spreu vom Weizen. Entscheider erfahren, welche fünf Kriterien für die Auswahl einer Firewall kritisch sind.
Lancom R&S Unified-Firewall-ProduktfamilieTechnavio Research prognostiziert bis 2023 eine jährliche Wachstumsrate von zwölf Prozent für Enterprise Firewalls. Die Analysten von Fortune Business Insights bescheinigten dem globalen Markt für Cybersicherheit bereits 2018 einen Wert von 131 Milliarden US-Dollar. Bis 2026 soll er auf stolze 290 Milliarden US-Dollar steigen. 25 Milliarden sollen allein für Netzwerksicherheit ausgegeben werden – laut Allied Market Research 6,7 Millionen US-Dollar für so genannte Next Generation Firewalls (NGFW). Das wollen wir uns genauer anschauen. Was ist das überhaupt, so eine Firewall der nächsten Generation?
Angefangen hat es 2005, als eine Firma Palo Alto Networks den Perimeter betrat. Bis dahin buhlten vor allem Paketfilter um die Gunst der Angegriffenen, es gab wenige Proxy-Firewalls – und Checkpoint. Es wurde schon viel über Firewall-Technologie geschrieben. Auch der letzte CI(S)O sollte mittlerweile den Unterschied zwischen einem Paketfilter, einer Stateful Inspection und einer echten NGFW kennen. Leider nicht. Anders lässt sich die ungebrochene Vehemenz nicht erklären, mit der die Industrie nach wie vor ihre Kronjuwelen mit Weidezäunen zu schützen versucht.
Placebo Forte
In keiner anderen Branche wird so viel »Schlangenöl« verkauft wie in der IT. Besonders erfolgreich sind Anti-Virenprogramme, Performance-Verbesserer und Firewalls. Wir können nur raten, was die Gründe für den Siegeszug der Scharlatane sind. Komplexität der Materie und Unwissenheit der Anwender spielen sicher keine kleine Rolle. Wie entlarvt man die Rosstäuscher? Betrachten wir zunächst den Markt und seine jüngere Geschichte.
Laut Statista beherrscht seit 2011 Cisco den Markt der Netzwerksicherheit mit knapp 20 Prozent Marktanteil. Auch Checkpoint hält konsequent um die zehn Prozent, während Fortinet seinen Anteil von 4,9 Prozent auf 11,5 Prozent mehr als nur verdoppeln konnte. Juniper ist Mitte 2014 in der grauen Masse verschwunden – ungefähr zur gleichen Zeit, als Palo Alto endgültig aus dem Schatten trat. Statista zufolge erkämpfte sich der Herausforderer von 5,3 Prozent im Jahr 2013 bis Mitte 2019 einen Marktanteil von 16,2 Prozent.
Der strahlende Ritter und die Zauberer
Small-Form-Faktor mit 580 Mpbs Durchsatz: PA-220 (Bild: Palo Alto Networks)Mit Palo Alto Networks debütierte eine – für Firewalls – völlig neue Technologie. Anders als ihre Vorgänger setzen Next-Generation-Firewalls wie die von Palo Alto Networks auf eine Single-Pass-Engine sowie Decoder zur Anwendungserkennung. Der überzeugendste Vorteil der neuen Firewall-Generation ist neben hoher Leistungsfähigkeit und Zuverlässigkeit vor allem die übersichtliche GUI. Eine einfache Administration bedeutet in der Regel auch weniger Fehler, ergo mehr Sicherheit. Die neue Technologie überzeugte Unternehmen so stark, dass sie bereit waren, ein Vielfaches des Preises für klassische Firewalls zu investieren. Das machte den amtierenden Platzhirschen gehörig Angst. Über Nacht wurde wie durch Magie jedes halbwegs Unified-Threat-fähige Gerät zur NGFW upgradet. Diese Magie heißt übrigens damals wie heute Marketing.
Marode Burgtore und lahme Gäule
In den ersten Jahren des Public oder World Wide Web (aka Internet) beschränkte sich die Kommunikation auf den Austausch einzelner Dateien, das Versenden von E-Mails und das Aufrufen einzelner Websites. Die Teilnehmer lernten allerdings schnell: Das Internet ist keine Einbahnstraße. Analog zum echten Leben gab es auch im Cyberspace ernste Bedrohungen. Kontrollierte Übergänge mussten her, die den Grenzverkehr am Perimeter überwachen und schützen.
Unsere Art, das öffentliche Netz zu nutzen, hat sich seither massiv verändert. Wir sind stärker vernetzt. Wir kommunizieren immer öfter ausschließlich digital. Unsere Daten liegen nicht mehr nur an einem Platz. Unsere Prozesse sind komplexer. Das Netz unserer Geschäftsbeziehungen umspannt die ganze Welt. Transaktionen werden in Sekunden abgewickelt. Immer größere Mengen an Informationen müssen in immer kürzerer Zeit analysiert werden. Die Bedrohungslage hat sich verschärft.
Kaum verändert hat sich allerdings die Art und Weise, wie viele Unternehmen ihre Netze schützen.
Von der Tabelle über Deep-Packet-Inspection zu Unified-Threat-Management
Die einfachste Form einer Firewall ist der Paketfilter – immer noch Kern vieler Firewalls. Paketfilter basieren allgemein auf verschiedenen Netzfiltern in Form von Tabellen im Betriebssystemkern. Die Filterung erfolgt anhand von Quell- und Zieladresse eines Paketes sowie Diensten (Protokollen) auf Basis von Portnummern. Werden auch die Stati einer Verbindung einbezogen, heißt der Paketfilter stateful. Das heißt, ging einem eingehenden Paket eine entsprechende Anfrage voraus.
Der Schutzgrad von Paketfiltern ist rudimentär. Der Vorteil ist die hohe Leistungsfähigkeit. Die Nachteile ergeben sich aus der Technologie selbst:
- Schadcode kann nicht erkannt werden, da keine Inhaltsüberprüfung stattfindet.
- Anwendungen, die andere als Standard-Ports verwenden oder Ports dynamisch zugewiesen bekommen, sind eine Herausforderung. Entweder müssen die Ports manuell gepflegt oder ein ganzer Portbereich (Range) muss geöffnet werden.
- Angreifer tarnen sich als legitime Verbindung und passieren das Tor.
Paketfilter eignen sich gut als Vorfilter in mehrstufigen Szenarien, wie der Grundschutz-Empfehlung P-A-P vom BSI. Die meisten Router sind auch Paketfilter.
Da mittlerweile ein Großteil unserer Kommunikation auf HTTPS basiert, ist ein Paketfilter ohnehin hilflos. Nicht nur ist der Port für alle Dienste derselbe, die Kommunikation ist auch noch verschlüsselt. Ein Paketfilter kann also weder zwischen erlaubtem Office 365 und verbotenem Skype unterscheiden und erst recht nicht zwischen Pflege der Facebook-Seite (für Marketing erlaubt) und Facebook-Chat (für alle verboten).
Damit an Übergängen wie beispielsweise von einem Unternehmensnetz zum öffentlich zugänglichen Internet eine umfassende Prüfung der übertragenen Daten stattfinden kann, muss eine Firewall möglichst tief in die Kommunikation schauen.
Application-Layer-Gateways arbeiten auf Anwendungsebene. Für jedes zu prüfende Anwendungsprotokoll existiert ein eigener Proxy (auch Relay), in welchem der entsprechende Protokoll-Stack RFC-konform nachgebildet wird. Für die Prüfung nimmt der Proxy als Stellvertreter des eigentlichen Ziels das Paket an, zerlegt es in seine Einzelteile und prüft jede Schicht, indem er sie mit seinem entsprechenden Stack vergleicht. Anschließend baut er das Paket wieder zusammen und versendet es an das ursprüngliche Ziel. Zusätzliche Mechanismen können das Nachladen von Webseiten verhindern, aktive Inhalte aus Webseiten filtern (Weeding) sowie einen großen Teil von Spam-E-Mails abwehren (Greylisting).
Der Vorteil dieser Firewall besteht darin, dass alle Verbindungen grundsätzlich erstmal am Perimeter terminieren und nach innen vollständig neu aufgebaut werden. Angreifer gelangen nie direkt ins LAN und werden oft rechtzeitig erkannt.
Der Schutzgrad von ALGs ist relativ hoch. Die Nachteile sind der hohe Performance-Verlust aufgrund der paketorientierten Verarbeitung sowie ein hoher Administrations- und Konfigurationsaufwand. In dem Zusammenhang ist wichtig zu wissen, dass zirka 99 Prozent aller Einbrüche in Firewalls auf Fehlkonfiguration zurückzuführen sind. Die Beschränkung auf Protokolle ist ein zusätzlicher Nachteil, vor allem da immer mehr Anwendungen ausschließlich auf HTTP/HTTPS aufsetzen.
Etwas leistungsfähiger und ebenso sicher sind Stateful-Inspection-Firewalls (auch Deep-Packet-Inspection, DPI): Diese prüfen auch den Datenteil und können erkennen, ob die Daten dem angegebenen Übertragungsprotokoll entsprechen. Inhalte können nach vorher bestimmten Kriterien komplett herausgefiltert werden. DPI-Firewalls vereinen Mechanismen von Intrusion-Detection und Prevention-Systemen (IDS/IPS) sowie stateful Paketfiltern. Ältere Systeme werten statistische Daten aus, um Angriffe zu erkennen (Heuristik). Aktuelle Versionen arbeiten mit Signaturen. Regeln können für einzelne Benutzer definiert werden.
Die paketorientierte Verarbeitung sorgt aber auch hier für eine verminderte Durchsatzrate. Daher werden zur Performance-Verbesserung oft nur die ersten Pakete einer Verbindung sorgfältig geprüft. Das wiederum erhöht das Sicherheitsrisiko, da sich Angriffe gut in nachfolgenden Paketen verstecken lassen.
Ein weiterer Nachteil entsteht im Fall von Distributed-Denial-of-Service-Attacken (DDoS). Bei einem DDoS-Angriff steht die Firewall unter Dauerbeschuss vieler Verbindungen und Pakete. Bei der Stateful-Inspection werden die Informationen zu geblockten sowie erlaubten Verbindungen in Tabellen vorgehalten. Ab einer gewissen Anzahl geblockter Verbindungen führt das zu erheblichen Leistungseinbußen auch bei der Verarbeitung erlaubten Traffics.
UTM, die eierlegende Wollmilchsau
Nicht genug, dass die Anwender hinter der Feuerwand immer anspruchsvoller und die IT-Landschaften immer komplexer werden. Mit der Zeit lernen auch die Angreifer dazu. Um die alten Mähren für die neue Bedrohungslage zu wappnen, wird aufgezäumt, was der Markt hergibt: Dazu gehören unter anderem Virenschutz, Spamschutz, SSL-Decryption, URL-Filter, Intrusion-Detection und Prevention (IDS/IPS) und DPI.
Auf der einen Seite wurde zwar die den Torwächtern zugrundeliegende Hardware immer leistungsfähiger. Gegen die immer größer werdende UTM-Last ist aber auch der stärkste Prozessor machtlos. Eine weiterhin paketorientierte Verarbeitung der Daten tut ihr Übriges.
Der Schutzgrad ist okay. Dir größten Nachteile dieser Schimären sind:
- Jede Menge 3rd Party-Software sorgt für reichlich Angriffsfläche und unerwünschte Abhängigkeiten.
- Die Arbeit mit Signaturen schützt zwar 100 Prozent vor Angriffen – leider nur solchen, die schon bekannt sind.
- Modularer Aufbau und paketorientierte Verarbeitung lassen die Performance bei Aktivierung aller Funktionen bis auf ein Zehntel der Leistung im Datenblatt runtergehen.
Die speicherguide.de-Redaktion unterstellt den Plattform auch weiterhin, Anwendungen eher zu erraten statt wirklich zu erkennen. 2012 betrug in einem Test der Network World die Trefferrate der Platzhirsche gerade mal 50 Prozent. Sie scheiterten an so trivialen Dingen wie der Benutzung von Non-Standard-Ports, IPv6 oder TLS. Daran dürfte sich nicht viel geändert haben. Die zugrundeliegende Technologie tat es ja auch eher nicht. Und wir erinneren unsh noch gut an den Fauxpas eines britischen Anbieters, seine eigenen Updates nicht zu erkennen und entsprechend zu blocken.
Was aber ist denn nun eine echte NGFW?
Gartner definiert eine NGFW als port- und protokollunabhängige Deep-Packet-Inspection. Grundlage von Next-Generation-Firewalls wie unter anderem von Palo Alto Networks oder Barracuda sind so genannte Single-Pass-Engines. Anders als modular aufgebaute UTMs verwenden NGFWs keine zusätzliche Software oder Module. Die Applikationserkennung übernehmen Decoder. NGFWs haben eine wesentlich bessere Erkennungsrate von Angriffen und kaum False-Positives.
Regeln können feingranular bis auf Benutzerebene erstellt werden. Auf Anwendungsebene kann zum Beispiel bei Skype sogar zwischen Video-Anruf und Text-Nachricht unterschieden werden.
Schematische Darstellung der Single Pass Engine in einer Next Generation Firewall (NGFW)
Darüber hinaus werten NGFWs auch Inhalte und Kommunikationsmuster aus. Signaturen bekannter Viren und Trojaner, URL-Filter und ein auf den Protokoll Decodern basierendes IPS bilden zusätzliche Schutzmaßnahmen. Jede Abweichung oder die Verletzung der zu Grunde liegenden Regeln hat ein Blockieren der Verbindung zur Folge. Dies stellt auch Schutz vor sogenannten Zero-Day-Angriffen sicher, für die noch keine Angriffssignaturen bekannt sind.
Die Verarbeitung der Daten erfolgt Stream-basiert, also inline, was NGFWs wesentlich leistungsfähiger macht. Durch die Verarbeitung in einem einzigen Prozess werden auch bei umfangreicher Prüfung sehr hohe Durchsatzraten erreicht.
Die Administration und Konfiguration sind trotz ihrer Komplexität wesentlich einfacher als im Falle klassischer Firewalls oder gar UTMs.
Neben Palo Alto Networks und Barracuda haben auch deutsche Anbieter echte Next-Generation-Firewalls im Portfolio. Als Beispiel seien hier nur die LANCOM R&S Unified-Firewalls genannt.
Worauf also ist bei der Anschaffung einer Firewall zu achten?
Das untrüglichste Zeichen ist die Performance. Hersteller verstehen es, die verwendete Technologie sehr gut zu verstecken. Vereinbaren Sie einen Proof-of-Concept (PoC) mit dem Hersteller und testen Sie gut. Es gibt leider wenig unabhängige Tests. Auch bei namhaften Analysten wie Gartner oder die NSS Labs ist nicht alles NG was es in deren Quadranten schafft.
Im Zweifel fragen Sie jemanden, der sich wirklich damit auskennt.
- Performance
NGFW arbeiten auf Grund der streambasierten Verarbeitungsweise und ihrer Single Pass Engine fast verlustfrei. Anders als bei herkömmlichen UTMs ist der Durchsatz nach dem Aktivieren der erweiterten Funktionen nahezu identisch mit dem Durchsatz, den die Netzwerkkarte erlaubt (Wire Speed). - Funktionsumfang
In NGFWs befindet sich keine separate Software zur Bereitstellung der erweiterten Funktionen. Dadurch entfallen Lizenzkosten für Fremdleistungen, aufwendige Anpassungen an Schnittstellen sowie die Verwendung von Software Development Kits (SDKs). Die Plattform ist insgesamt unabhängiger. Das gesamte Regelwerk basiert auf einer Datenbank für alle Signaturen, Heuristiken oder regulären Ausdrücke. - App Awareness
Applikationen werden zu 100 Prozent zuverlässig erkannt – selbst, wenn es sich um Anwendungen innerhalb eines Webportals handelt (z. B. Facebook-Post vs. Facebook-Chat). - Hohe Sicherheit
NGFWs arbeiten streambasiert und damit reassembly-free. Es werden kontinuierlich alle Pakete einer Verbindung betrachtet. NGFWs nutzen zudem primär Whitelisting von Anwendungen, was einen hohen Schutz vor unbekannter Schadsoftware und Zero-Day-Exploits bedeutet. - Einheitliches Regelwerk
Die Integration von Verzeichnisdiensten wie LDAP, AD oder eDirectory erlaubt die granulare Anpassung einer Regel für jeden einzelnen Nutzer.
Exklusiv für Leser von speicherguide.de haben wir einen Vendor-Navigation-Guide erstellt. Wir senden Ihnen die Checkliste gerne auf Anfrage zu.
Quo Vadis, Firewall?
Next-Generation-Firewalls sind selbstverständlich nicht die Krone der Evolution. Wenn es um IT-Sicherheit geht, ist noch sehr viel Luft nach oben. Diese drei Trends werden kurz- bis mittelfristig eine große Rolle spielen:
- Behaviour Awareness
Firewalls der neuen nächsten Generation analysieren Verhaltensmuster und wenden automatisiert Regeln bei Abweichungen an. - Graphen
Firewalls der Zukunft nutzen Machine Learning zur Auswertung von Threat-Inteligence-Daten sowie erweiterte Netzwerk-Analysen, um verborgene Strukturen oder Muster und Netzwerkbeziehungen offenzulegen. Anomalien werden frühzeitig erkannt. - Schwarm-Intelligenz
Die Auswertung möglichst vieler Daten ermöglicht zuverlässigere Prognosen und besseren Schutz.
Einer der ersten Anbieter mit diesen neuen Lösungsansätzen kommt übrigens aus Leipzig und gehört zur Unternehmensgruppe der Bundesdruckerei.
In weiteren Artikeln dieser Serie erfahren Sie mehr zu Grundschutz, dynamischen Netzwerkobjekten, Netzwerksegmentierung, Threat-Intelligence und der Verteidigung auf unterschiedlichen Angriffsebenen.