Firewalls. Rulesets. NSA und Sicherheit und Spam und Malware und sowieso eigentlich Ärger wo man hinschaut. Das macht bald keinen Spaß mehr. Und je größer die Angriffsfläche um so mehr Action ist da geboten. Unlängst geben sich sogar Anti- Virenhersteller publikumswirksam im Kampf um die Client Security geschlagen.

So weit so fatal.

Aktuell widme ich mich wieder dem Thema Firewalling und nach einschlägigen Beobachtungen kann ich mich den oben bezogenen Ansichten nur anschließen. Ein Umdenken ist tatsächlich erforderlich.

….

Natürlich kann man nach wie vor Datenströme reglementieren und die Angriffsfläche für Malware reduzieren. Alleine das Wachstum der Datenkommunikation treibt den administrativen Aufwand hierzu in die Höhe. Restriktionen schränken die Anwender ein und im Wettlauf um die einschlägigen Tricks der fiesen Software ist man dennoch immer einen Schritt hinterher.

Hinzu kommt, dass die klassischen Lösungsansätze zusehends durch die Anforderungen der Softwareindustrie ausgehebelt werden. Business- kritische Anwendungen welche lokale administrative Rechte benötigen um überhaupt zu laufen, Produktionsmittel die als Black Box weder Aktualisierungen noch eine Integration in Virenschutz- Lösungen zu lassen sind dabei nur zwei der überaus relevanten Highlights des Anforderungs- Zoos.

Das Lehrbuch sieht vor diese Dinge mit Richtlinien zu unterbinden, nur beschreibt es nicht wie der Kunde statt dessen seinen Betrieb fortsetzen soll …

Da haben klassisches Firewalling und Antiviren- Lösungen zwar nicht ausgedient, können jedoch nur ein Baustein – und meiner persönlichen Einschätzung nach nicht mehr der wichtigste – einer integrierten Security Strategie sein. Das Zauberwort heißt Content Firewalling – Oder Next Generation Firewall.

Seit geraumer Zeit läuft der Trend unter dem Stichwort Unified Threat Management an und nachdem einige Pioniere hier wirklich jahrelang gute Arbeit geliefert haben, sind  mittlerweile nahezu alle gängigen Hersteller auf den Zug aufgesprungen. Die Architekturen ähneln sich dabei in vielen Fällen frappierend. Die klassische Firewall Engine wird in RAM und CPU aufgerüstet und nachdem die klassischen Firewall Regeln gegriffen haben wird in Software Schicht um Schicht den verschiedenen Content Strömen zu Leibe gerückt. Ein Mail- Transport Agent der Content filtert und auf Viren prüft. Ein Web Proxy der Content filtert und böse Zieladressen aus sortiert. Und so fort.

Für jede Anwendung ein Software Modul – Neuer Load auf die CPU und der nominelle Durchsatz meiner Firewall bricht Funktion um Funktion weiter ein. Und Anwendungen die zwar kritisch aber nicht weit verbreitet sind, bleiben bei der Inhaltskontrolle außen vor. Wie bitter ist das.

Vor dem Hintergrund brechen einige Newcomer im Markt mit den Regeln und kommen mit, aus meiner Sicht überzeugenden, neuen Ansätzen. Die einzelne Anwendung ist mir egal – ich baue eine Hardware die grundsätzlich den vollständigen Datenstrom gegen Pattern prüft unabhängig von Richtung und Anwendung: Das Next Generation Firewalling ist geboren.

Die bisher überzeugendsten Vertreter dieser Gattung sind für mich Palo Alto Networks und Adyton. Andere Hersteller nehmen den Trend Huckepack – bei genauerer Betrachtung sind sie jedoch bestenfalls Hybride einer klassischen Firewall Architektur mit etwas optimierten UTM Ansätzen.

Insbesondere PA komm mit einer FPGA Architektur daher, welche die Prüfpattern in Hardware testet und die sich auch im Laufe des Produkt- Lebenszyklus im FPGA aktualisieren lässt. Den Effekt mit jeder neuen Anwendung den Durchsatz signifikant zu reduzieren haben sie damit ausgehebelt – und im Rahmen der Subskription prüft man ohnehin unabhängig von einzelnen Anwendungen.

Das erlaubt danach einige Großzügigkeit in Richtung der User – es muss nicht mehr jede Kommunikation reglementiert werden – und man kann trotzdem zumindest an der Außenkannte des lokalen Netzwerkes eine weitreichende Sicherheit gewährleisten.

Geht man ohnehin von der Best Practise  einer zweistufigen Firewall Architektur aus, kann man so ausgehende Datenverbindungen (so Geheimnisexport kein Thema ist) umfangreich zulassen. Für eingehende Verbindungen befinden sich Transfer- Systeme in einer DMZ und bei eingehenden Verbindungen schützt eine klassische Perimeter Firewall auf herkömmlicher Basis. Hier kann man es dann auch unkompliziert angehen lassen und sich zum Beispiel eine open Source Firewall vom Schlage einer pfsense gönnen.

Grundsätzlich verschiedene Firewalls machen ohnehin bei zweistufigen Konzepten Sinn, da man bei eventuellen Firmware- Fehlern, Exploits und Bugs nicht auf beiden Füßen kalt erwischt wird.

In diesem Sinne, F.