Firewall oder „Total Secure“?

Jedes Unternehmen schützt heute (hoffentlich) die internen Ressourcen über eine Firewall. Sicherlich lässt sich über die Qualität mancher Geräte und deren Schutzfunktion durchaus diskutieren. Dies aber an anderer Stelle. Hier und jetzt wollen wir uns der Frage widmen, ob die klassische Firewallfunktion am Gateway ausreichend ist…

Nicht schwer zu erraten bei dieser Art der Fragestellung – natürlich nicht. Die Firewall am Eingang zum Unternehmensnetzwerk hat eine immanent wichtige Funktion im Rahmen einer vielfältigen Sicherheitsstrategie. Je besser die Absicherung an dieser Stelle umso weniger Probleme gibt es mit Sicherheitsproblemen innerhalb der IT-Infrastruktur – es bleiben aber noch genügend Tatorte.

Deep Packet Inspection
Eine grundlegende Funktion jeder Firewall (nicht zutreffend für alle Arten von sogenannten Personal Firewalls) ist die tiefgehende Analyse des ablaufenden Netzwerkverkehrs. Dabei wird der ein- und ausgehende Datenstream bis auf Byte-Ebene auf Angriffe untersucht. Soweit alles (hoffentlich) bestens.
Im Fall von Malware stellt sich hier unmittelbar die Frage, warum dieser „tiefe Blick“ nicht gleichzeitig auch für eine Untersuchung auf transportierte Schädlinge genutzt werden kann. Die Analyse wäre dann um einen gewaltigen Schritt effektiver.

„Total Secure“ – der ewige Kampf
Ganz klar, der Slogan bleibt der Ruf zum Ansporn und sollte nicht in Sicherheit wiegen. Es geht einzig darum, den Vorgaben einer nicht zu erreichenden 100-Prozent-Absicherung einen (großen) Schritt näher zu kommen. Mit der Erweiterung der traditionellen Firewallfunktionen um eine Analyse auf Malware ist dies der Fall. Wie funktioniert diese Technologie? Zum Unterschied von herkömmlichen Anti-Viren-Scannern untersucht die Deep-Inspection-Engine keine Dateien sondern den Netzwerk-Stream auf Basis von Signaturen. Wichtig: im Gegensatz zur klassischen Firewall bleiben dabei Ports und Protokolle sekundär. Egal ob der Schädling per Mail (SMTP), ftp (Dateidownload) oder Html (Surfen im Netz) eingeschleust werden soll – es werden die eingehenden Datenpakete untersucht. Diese Analyse erfolgt in Echtzeit, d.h. es wird kein Download zwischengespeichert und dann geprüft (eventuell zuvor noch entpackt). Dies ermöglicht eine parallele Prüfung einer Vielzahl von Downloads und in beliebiger Größe.

Dynamische Aktualisierung
Zum Unterschied von einem „normalen“ Virenscanner ermöglicht diese Art des Scannens auch eine rasche Möglichkeit um auf Schwachstellen einzelner Applikationen und Betriebssysteme zu reagieren. Schwachstellen in Webservern können mit diesen Mitteln sehr rasch und effektiv abgedeckt werden – noch bevor der Hersteller einen Patch zur endgültigen Behebung der Schwachstelle bereitgestellt hat. Zero-Day-Attacken können so stark eingeschränkt werden (wir sprechen hier nie von ausgeschlossen!). Die Aktualisierung der Prüfpatterns erfolgt automatisch. Das Alert-Team des Firewallherstellers entwickelt und prüft diese rund um die Uhr – die Einspeisung auf Firewallseite erfolgt vollautomatisch.

Netzinterne Prüfung
Das Abgreifen und Analysieren des Traffics auf Malware kann auf Firewallseite auch zwischen internen Subnetzen genutzt werden. Auf diese Weise können Zugriffe von Client-Lans auf Serverinfrastrukturen oder Entwicklungsumgebungen einer speziellen Prüfung unterzogen werden. Auch eine zusätzliche Absicherung von VPN-Zugriffen kann damit realisiert werden. In Kombination mit einer leistungsstarken Intrusion Prevention sind wir damit schon einen erheblichen Schritt weiter auf dem Weg zum sicheren Netzwerk.

Schutz im Web 2.0
Die aktuell genutzten Services im Internet (Stichworte: Social Media, Instant Messaging, etc.) bieten eine Vielzahl von Möglichkeiten – und Gefahren. Nahezu kein Unternehmen kann es sich heutzutage leisten, diese Applikationen und Services vollständig auszusperren. Auch hier erhöhen die Sicherheitserweiterungen am Gateway den Schutz für die Endgeräte. In Kombination mit einer intelligenten Application Firewall können hier z.B. spezielle Dienste (z.B. Facebook-Spiele) vollständig blockiert und der restliche Facebook-Datenverkehr kontrolliert zugelassen werden. Die Echtzeitprüfung auf Trojaner, Spyware & Co. bringt auch in diesem Fall ein gutes Stück zusätzliche Sicherheit.

Fazit
Das „Total Secure“-Konzept ist ein weiterer wichtiger Baustein im Rahmen der gesamten Sicherheitsstrategie eines Unternehmens. Die Prüfung auf Malware bereits am Gateway erweitert die Möglichkeiten der Unternehmens-IT, die internen Ressourcen zu schützen. Der Scanvorgang auf Firewallseite ersetzt aber keinesfalls den internen Antivirenschutz auf Server und Client, sondern bildet vielmehr eine flexible und vollautomatische Erweiterung im ständigen Kampf gegen Trojaner und Co.