Firewalls
Sermon • Submitted
0 ratings
· 5 viewsNotes
Transcript
•Feuer, wir alle kennen den Nutzen aber auch die Gefahren davon.
•Schon im Kindesalter wird uns eingetrichtert: „Mit Feuer spielt man nicht.“.
•Die Gefahr am Feuer liegt nicht nur darin, dass es alles, was mit ihm in Kontakt kommt, zerstört, sondern es breitet sich auch schrecklich schnell aus.
•Das Internet ist voll vom gefährlichen Feuer.
•Dabei handelt es sich nicht um echtes Feuer, sondern um Bedrohungen und Gefahren jeder Art.
•Heutzutage gilt es für UN aber auch Privatanbieter sich gegen dieses Feuer effektiv zu schützen.
•Ganz aktuell ist die Klinik, wo meine Frau arbeitet von einem Hackerangriff erwischt worden und es wird 4 Millionen € Lösegeld gefordert.
•Ein wichtiges Werkzeug, um einen ganzheitlichen Schutz gegen dieses Feuer zu bieten,
•ist die Firewall oder auf Deutsch die Feuerwand.
•Im Folgenden wollen wir uns mit ihr genauer beschäftigen und den Fokus besonders auf die NGFW legen.
•Dabei werde ich auf folgende Punkte eingehen. (KLICK)
•Eine Firewall ist ein Sicherungssystem, das ein Rechnernetz oder einen einzelnen Computer vor unerwünschten Netzwerkzugriffen oder sonstigen Gefahren schützt.
•Eine Firewall kann sich auf eine Software beschränken, aber auch ein eigene Hardwarekomponente im Netzwerk sein.
•Sie alleine bietet keinen vollständigen Schutz, ist aber ein wichtiges Werkzeug für die IT-Sicherheit.
•Der Grundgedanke einer Firewall ist ähnlich mit der, ihrer Analogie aus dem Englischen, der Brandschutzwand.
•Es soll die gefährliche Seite von der sicheren Seite trennen und kein Feuer oder keine Gefahren durchlassen.
•Die genaue Funktionsweise einer Firewall kann je nach Art variieren.
•Jedoch geht es allen Firewalls um dasselbe Prinzip.
•Sie sind für die Überwachung des durch ihr laufenden Datenverkehr zuständig und
•entscheiden anhand festgelegter Regeln, ob bestimmte Netzwerkpakete durchgelassen werden oder nicht.
•Je nach Art können diese Regeln statisch oder dynamisch sein.
•Dabei prüft sie nicht nur den Verkehr von außerhalb in das eigene Netz oder Computer, sondern auch umgekehrt,
•also von dem eigenen Netz oder Computer nach außerhalb. So funktionieren ganz grob die Firewalls.
•Es gibt viele verschiedene Arten, die jetzt im Weiteren genauer erklärt werden sollen.
•Der Fokus wird aber, wie schon angekündigt auf der Next Generation Firewall liegen.
•Es gibt unterschiedliche Arten von Firewalls.
•Abhängig davon, wo Firewalls eingesetzt werden, unterscheidet man zwischen einer personal und einer externen Firewall.
•Die personal Firewall arbeitet direkt auf dem zu schützenden System, zum Beispiel die Windows Firewall wäre eine personal Firewall.
•Eine externe Firewall ist auf einem separaten Gerät und schirmt Netze oder Netzsegmente voneinander ab.
•Die meisten Router zuhause sind solche externen Firewalls.
•Im UN-Kontext gibt es aber meist komplett eigene Hardware, die nur für diese Aufgabe zuständig ist.
•Schauen wir uns mal die 4 klassische Firewalls kurz an
Die Port-Firewall ist die einfachste Variante.
Sie untersucht die ankommenden Pakete anhand dem angesprochenen Port, der Quell- und Ziel-IP-Adresse und anhand der verwendeten Protokollen.
Meistens folgt die Untersuchung nach dem Prinzip, was nicht ausdrücklich erlaubt ist, wird verworfen, also nach Black- und Whitelists.
Praktisch sieht es so aus, dass sie alle nicht Standard Ports sperrt, es sei denn sie sind erlaubt worden und sie untersucht die IP-Adressen und Protokolle anhand einer Blacklist.
Auf das Osi Schichten Modell bezogen arbeitet diese Firewall auf den Schichten 3 & 4.
Proxy bedeutet Stellvertreter und dies ist signifikant für ihre Funktion.
Wenn Pakte aus dem Internet kommen, leitet die Firewall die Pakete nicht direkt an den Empfänger weiter, sondern analysiert sie erst und stellt dann eine separate Verbindung zum Empfänger her.
Sie verfügt über die gleichen Funktionen, wie eine Port-Firewall mit dem Zusatz, dass sie durch das Abfangen der Pakete, die Pakete zusammenhängend analysieren kann.
Zusätzlich verfügt sie über einen schwachen Content-Filter, dass heißt sie kann auch den Inhalt der Daten analysieren und notfalls die Verbindung stoppen und das beidseitig.
Sie ist also auf den OSI-Schichten 3,4 und 7 unterwegs.
Der Nachteil ist die hohe Rechenpower, die diese Firewall in Anspruch nimmt, mit der dazugehörigen im Vergleich zu anderen Firewalls, langsamen Verarbeitung.
Die Stateful Firewall ist effektiver als die Proxy-Firewall und ebenfalls auf den OSI-Schichten 3,4 und 7 unterwegs.
Ähnlich wie bei Proxy-Firewall werden die ersten Pakete nicht direkt ans Ziel weitergeleitet, sondern analysiert und dann wird ein Verbindung zum Empfänger hergestellt.
Sie hat die gleichen Analysefähigkeiten wie die Proxy-Firewall.
Werden die Pakete als legitim eingestuft, wird eine Verbindung zum Empfänger hergestellt und alle nachfolgenden Pakete, die Teil dieser Kommunikation sind, werden ohne weiteres durchgelassen.
Wenn die Kommunikation beendet ist, erlischt auch der Eintrag in der Firewall und nachfolgende Pakete müssen aufs Neue geprüft werden.
Dieses Vorgehen nennt man Stateful Inspection.
Das führt zu Perfomanceverbesserungen aber ist ein wenig unsicherer als die Proxy-Firewall.
Eine WAF ist nur auf der Anwendungsschicht also der OSI-Schicht 7 unterwegs und nur im Zusammenhang mit einem Webserver im Gebrauch.
Sie untersucht im Hintergrund fortlaufend sämtliche Anfragen an und Antworten des Web-Servers, den sie schützen soll.
Um zuverlässig arbeiten zu können, benötigt sie jedoch eine Art Lernphase.
Da wird mit Hilfe eines Anwendungs-Sicherheitsscanners analysiert, welche Aktionen als typisch gelten können und welche nicht.
Danach kann sie dann allein laufen, jedoch sollten Administratoren die Logdateien des Systems analysieren, um Schwachstellen zu erkennen und notfalls einzugreifen.
Eine NGFW beruht auf derselben Grundidee wie eine herkömmliche FW mit dem Unterschied, dass mehr Gefahren abdeckt werden.
Eine NGFW ist also eine herkömmliche Firewall + viele neue Features, die hauptsächlich die Anwendungsebene betreffen.
Was eine NGFW alles für Funktionen hat und welche Sicherheit dadurch gewährleistet wird, darum geht es jetzt.
IPS steht für Intrusion Prevention Systems.
Es wurde meistens hinter der traditionellen Firewall gesetzt, was jetzt durch die NGFW nicht mehr nötig ist.
IPS ist dafür da, Anomalien und bekannte Angriffmuster zu erkennen.
Sie gleicht den analysierten Traffic gegen eine Datenbank bekannter Angriffsmuster ab und kann somit typische Angriffe oder Abweichungen vom Normalbetrieb erkennen und rechtzeitig blockieren.
DPI steht für Deep Packet Inspection, es handelt sich also um eine Art Paketfilter.
Aber im Gegensatz zu normalen Paketfiltern aus den traditionellen Firewalls kann der Dateninhalt deutlich umfangreicher und tiefer analysiert werden, deswegen auch deep.
Der Inhalt wird insbesondere auf Malware-Signaturen und bekannten böswilligen Angriffe geprüft.
DPI kann auch vor allem dafür benutzt werden, dass sensible Informationen das sichere Netzwerk nicht verlassen dürfen.
Traffic, der mit TLS oder SSL kodiert ist, kann nicht von DPI geprüft werden, da der Inhalt verschlüsselt ist.
Durch SSL/TLS-Termination ist es möglich diesen Traffic an der Firewall zu stoppen, zu entschlüsseln, zu analysieren
und falls alles ok ist, wird eine separate sichere Verbindung zum Empfänger über TLS/SSL aufgebaut.
Das schützt vor bösen verschlüsselten Inhalt und
kann auch verhindern, dass vertrauliche Informationen, die über TLS/SSL verschickt werden, das Netz verlassen.
Beim Sandboxing ist es so, dass eingehende Emails mit Anhängen oder jeglichen Code in einer abgeschirmten Umgebung ausgeführt und getestet werden.
So kann die Firewall erkennen, ob es sich um schädlichen Inhalt handelt, ohne das eigene Netz in Gefahr zu bringen.
Der Nachteil ist ähnlich wie bei der Proxy-Firewall:
Es fügt einen zusätzlichen Schritt hinzu, der viel Rechenleistung und Zeit beansprucht.
Viele NGFW haben auch Antiviren- und Antispamfunktionen integriert.
Diese funktionieren wie normale Antivirenprogramme.
Meistens entwickeln die NGFW-Hersteller diese Programme nicht selbst, sondern gehen Partnerschaften mit Antivirus-Herstellern wie Avira oder McAffee ein.
VPN ermöglicht Mitarbeitern und Außenstellen von außen über eine verschlüsselte Datenverbindung auf das Unternehmensnetz zuzugreifen.
Dies wird ebenfalls von den meistens NGFW unterstützt.
Leistungsfähige NGFW haben außerdem gute Report- und Analysefunktionen.
Dabei sind sie nicht nur in der Lage übersichtlich Informationsseiten zu den Top Anwendungen im Netz, URL-Kategorien sowie die Top Talker im Netz zu erstellen,
sondern können auch die Aktivitäten bestimmter Anwender oder Stationen im Netz genau darstellen.
Damit können die Administratoren an weitere Informationen gelangen und dann auch zusätzliche Maßnahmen ergreifen, was der Firewall durch die Finger gerutscht ist.
Es gibt immer wieder neue Features und Extras, die nicht für jedermann von Nöten sind.
So können einige NGFW schon vor DDoS-Angriffen, Cross-Site-Scripting, SQL-Injections und schädlichen Web-Code und Skripten schützen.
Ein weitere Punkt ist das VoIP. Da die klassische Sprachverbindung zunehmend verdrängt wird, bekommt der Schutz von VoIP auf eine wichtigere Rolle.
Auch hierfür gibt es einige Lösungen.
Leistungsfähige Produkte bieten auch einen URL-Filter und ein Advanced Threat Detection an, die in der Lage ist heruntergeladene Dateien vor oder währende der Auslieferung an die Anwender zu scannen.
NGFW sind deutlichen umfangreicher und mächtiger als ihre Vorgänger.
Gerade der Schutz auf der Anwendungsebene geht deutlich in die Tiefe.
Jedoch hat dieser Umfang auch seinen Preis. Ein Enterprise-Bundle von dem bekannten Anbieter Fortinet kostet 1,5 Millionen Euro.
Der aktuelle Trend ist aber, dass immer mehr Funktionen auch in die Nicht Enterprise-Bundles gelangen.
Diese fangen dann preislich je nach Umfang von einigen Tausend an, gehen aber auch bis in den 6-stelligen Bereich.
Dennoch kann man daraus schließen, dass NGFW nicht nur Optionen für Großunternehmen, sondern auch kleine UN können sich solche leisten, jedoch mit abgespeckter Funktionalität.
Doch ich würde kleinen Unternehmen und mittelständischen Unternehmen trotzdem FWaaS empfehlen, was ich in dem Zusammenhang auch kurz beleuchten will.
Was ist FWaaS?
FWaaS funktioniert ähnlich wie jede andere Cloud-Infrastruktur Dienst.
Ein Unternehmen baut ein extrem leistungsstarkes Rechenzentrum auf, was mit massiven Firewall-Implementierungen bestückt ist.
Somit erreich sie hohe Skaleneffekte.
Zudem schaffen sie ein Isolierung zwischen den einzelnen Diensten, sodass sie mehrere Kunden getrennt voneinander betreuen können, ohne dass diese auf die Konfigurationen oder Netzwerke anderer Kunden zugreifen können.
Jeder Kunde kann sich dann sein Service entsprechend seinen Wünschen zusammenbasteln mit den Funktionen, die er haben will.
Dann werden die Netzwerk und DNS-Einstellungen geändert, sodass der Datenverkehr des Kunden immer über das Rechenzentrum des FWaaS-Anbieter läuft.
Ein Vorteil dabei ist das Einsparen von Kosten.
Anstelle ein eigenen RZ einzurichten und viel Geld für die Anschaffung und Betrieb einer NGFW zu investieren, kann man sich die gleiche Leistung für im Vergleich wenig Geld besorgen.
Zudem profitieren sie von dem Know-How des Anbieters und der Möglichkeit immer das Neuste zu benutzen.
Nachteile könnten die fehlende komplette Kontrolle über die Firewall und die Anhängigkeit vom Anbieter sein.
Vorteile:
- Modernere Sicherheitsfunktionen
- Umfangreichere Sicherheitsfunktionen
- Fortlaufende Entwicklung
- Wenn FWaaS: Kaum Managementaufwand
Nachteile:
- Wenn kein FWaaS: Hoher Managementaufwand
- Wenn kein FWaaS: Hohe Anschaffungskosten
Die Arten von Angriffen hat sich in den letzten Jahren stark weiterentwickelt und mit dem gleichen ist auch in der Zukunft zu rechnen.
Man kann also davon ausgehen, dass der jetzige Stand einer NGFW in einige Jahren als veraltet gelten wird.
Deswegen wird es in den nächsten Jahren sicherlich einige Updates und neue Features geben, um den dann aktuellen Gefahren zu widerstehen.
Dabei wird das Quantencomputing eine entscheidende Rolle spielen.
Wenn Quantencomputer zum Einsatz kommen, dann wird die Komplexität der Angriffe zunehmen, was wiederum zuverlässige und aktuelle Firewalls benötigt.
Jedoch kann das Quantencomputing auch im Bereich der Firewalls hilfreich sein, da durch die enorme Rechenleistung komplexere Analysen durchgeführt werden können und alles schneller wird.
Zusammenfassend kann man sagen, dass die Wichtigkeit einer Firewall in der Zukunft nicht abnehmen, sondern tendenziell zunehmen wird.
