Next Generation Firewalls – alles nur Hype?

Next Generation Firewalls liegen im Trend – aber warum eigentlich? Ports schließen kann ich doch auch mit IPtables…

Natürlich kann man Ports mit relativ einfachen Mitteln schließen, aber das alleine ist hier und heute nicht mehr ausreichend, um sein Netzwerk bei einigermaßen ausgeprägtem Risikobewusstsein zu betreiben. Immer mehr Produkte nutzen Port 443, ursprünglich einmal für HTTPS reserviert, um dem Nutzer und der Administration eine aufwändige Konfiguration der Firewall zu ersparen. Dropbox ist hier ein gutes Beispiel: Bequem uns schnell – millionenfach genutzt, auch in Firmennetzwerken. Dumm ist dann halt, wenn vertrauliche Unterlagen vom Dateiserver nach Dropbox und in die Öffentlichkeit “wandern”.

Eine klassische Firewall prüft nicht, ob der Datenstrom an Port 25 (SMTP) mehr enthält, als den neuesten Newsletter eines Lieferanten. Next Generation Firewalls können aber bereits am Perimeter präparierte Dateianhänge abfangen.

Ich möchte die theoretische Überlegenheit der Next Generation Firewalls durch einen Screenshot aus der Produktion untermauern:

Das IPS-Log einer Barracuda NG Firewall
Next Generation Firewalls loggen Angriffsversuche umfangreich mit

Es handelt sich um 9 Tage, in denen eine Vielzahl von Angriffen aufgezeichnet wurden. Keine einziger, dieser weit über 35.000 Angriffe könnte auf einer klassischen Firewall festgestellt werden, die nur Port und IP vergleicht um zu Entscheiden, wie verfahren werden soll. Die zahlreichen Portscans habe ich übrigens auf dieser Grafik ausgeblendet, sonst würde es wirklich unübersichtlich.

Einerseits kann man an dieser Grafik sehr gut erkennen, dass auch heute noch Sicherheitslücken von 2009 abgeklopft werden, während man auch gut beobachten kann, wie durch das gezielte herunterhandeln von Schlüsselalgorithmen auf schwache Verfahren (SSL3 RSA mit SHA) Webserver angegriffen werden, um die verwendeten Schlüssel zu kompromittieren. Die allumfängliche Sicherheit ist eine Illusion, und “vergessene” Systeme, die durch veraltete oder schlecht konfigurierte Firewalls geschützt sind, könnte man genauso gut direkt mit dem Internet verbinden.

Die oben genannten Gründe erklären auch, warum Next Generation Firewalls auch für kleine und mittlere Kunden attraktiv – und nicht zuletzt auch bezahlbar – werden. Schon für weniger als  2,- Euro pro Tag können Firmen hinter einen umfassenden Schutzmantel schlüpfen, ein – angesichts der vielen Vorteile – wirklich gutes Preis-Leistungsverhältnis!

Neben den Firewall-Appliances gibt es von einigen Herstellern mittlerweile auch virtuelle Appliances, die unter VMware, Hyper-V und anderen Hypervisoren gehostet werden können. Die Barracuda NG Firewalls Vx sind beispielsweise unter VMware, Hyper-V, Amazon AWS, Microsoft Azure und VMware vCloudAir lauffähig. Neben den flexiblen Deployment-Möglichkeiten und einer Menge grundlegender Firewall-Funktionalitäten bieten diese (virtuellen) Geräte eine Menge interessanter Features, z.B. (um bei der Barracuda zu bleiben) Gateway-Funktionen für VoIP, SSH, ftp u.a., SSL-VPN, DNS-Relays. Auch Webfilter und Spamfilter sind für die NG-Firewall F verfügbar.

Dashboard einer Barracuda NG Firewall

Die Benutzeroberfläche ist übersichtlich, wenngleich – durch die Vielzahl der Features – dicht bepackt.

Zusammengefasst kann man sagen, dass es aus meiner Sicht keinen Grund gegen Next Generation Firewalls gibt, es sei denn dass man im falschen Bereich der IT zu konservativ aufgestellt ist…

Schreibe einen Kommentar