Performance und Hochverfügbarkeit
Neben der Sicherheit ist bei der Schnittstelle zwischen dem Rechenzentrum und der Außenwelt auch die Performance der Firewalls von großer Wichtigkeit. Denn diese müssen alle ein- und ausgehenden Datenströme prüfen, ohne dass es dabei zu für die Anwender spürbaren Verzögerungen kommt. Die Paketfilter sind hier weniger kritisch, da dabei nur der Header der Datenpakete überwacht wird: IP-Adresse, Art des Protokolls und Port, über den die Daten verschickt werden.
- Weite Bedrohungslandschaft
Ohne Security Intelligence wird es schwierig, der Vielfalt an IT-Bedrohungen effektiv zu begegnen. Der Bericht ENISA Threat Landscape 2014 zeigt eine breite Front an möglichen Angriffen. - Unternehmen sind unterlegen
IT-Sicherheitsverantwortliche berichten mehrheitlich (59 Prozent), dass ihre IT-Sicherheit den raffinierten Angreifern gegenüber unterlegen ist. - ... wollen sich aber wehren
Die raffinierten Attacken werden als größte Herausforderung für die IT-Sicherheit angesehen. - Security Intelligence hilft
Mit Security Intelligence kann die Abwehr raffinierter Attacken verbessert werden. Dazu werden zahlreiche Datenquellen ausgewertet; die Ergebnisse der Sicherheitsanalysen stehen dann verschiedenen Bereichen der IT-Sicherheit zur Verfügung, nicht nur die Abwehr, sondern auch vorbeugende Maßnahmen profitieren. - Großes Wehklagen
Unternehmen beklagen, dass sie nicht genug über mögliche Schwachstellen wissen. Hier können Security-Intelligence-Lösungen helfen und den Patchmanagement-Prozess optimieren. - Software-Tools
Security-Intelligence-Plattformen liefern Entscheidungsgrundlagen für das IT-Sicherheitsmanagement. - Risiken verwalten
Security Intelligence hilft bei der Bewertung der Risiken, die mit digitalen Identitäten verbunden sind. - Falsche Identitäten erkennen
Mit Security Intelligence lassen sich betrügerische Aktivitäten besser erkennen, bei denen zum Beispiel gefälschte Identitäten eingesetzt werden. - Malware und Phishing verhindern
Security Intelligence hilft bei der Erkennung von Malware, schädlichen Web-Seiten und Phishing-Attacken. - Auch mobil auf dem Laufenden
Die Bewertung des Risikos durch mobile Apps wird durch Security-Intelligence-Lösungen unterstützt.
Ganz anders hingegen bei der Filterung auf Anwendungsebene. Hier müssten die einzelnen Datenpakete zunächst zwischengespeichert, zusammengesetzt, geprüft und wieder weitergeschickt werden. Das Application Level Gateway terminiert also die Verbindung zwischen den kommunizierenden Rechnern, um dann die Daten über eine neue Verbindung ans Ziel weiterzuleiten. Der Rechenaufwand dabei ist signifikant höher als bei einem Paketfilter. Gefährliche Inhalte wie Malware, Spam oder aktiver Content lassen sich jedoch nur auf diesem Weg frühzeitig aus den Datenströmen entfernen. Paketfilter sind nur in der Lage, den Datenstrom auf formale Aspekte hin zu überprüfen.
Security-Cluster im RZ
Aktuell ist das Rechenzentrum in Gaisbach mit Gigabit an das Internet angebunden. Um den benötigten Datendurchsatz und die geforderte Hochverfügbarkeit sicher zu gewährleisten, setzt Würth auf einen Cluster aus zwei Firewalls, die zusammen bis zu 3 Gbit/s über TCP und 6 Gbit/s über UDP verarbeiten können. "Die Performance wird ständig überwacht. Bislang hatten wir keine Probleme", bestätigt Sturm. "Auch Ausfälle treten nicht auf. Eigentlich sind die Firewalls nur beim Einspielen von Updates oder anderen Wartungsarbeiten kurz vom Netz."
Kapazitätsreserven sind auch dringend nötig. Denn wie in den meisten Unternehmen nimmt das Datenvolumen auch bei der Würth-Gruppe laufend zu. So sollen in nächster Zeit weitere Niederlassungen über das Gaisbacher Rechenzentrum versorgt werden. Dadurch ist nicht nur mit einem deutlich höheren Datenvolumen zu rechnen, auch die Gefahren für die IT steigen damit rasant an. Die Sicherheitsverantwortlichen in der Würth IT sind gerüstet: Neben den Firewalls sind selbstverständlich auch Malware- und Spam-Filter im Einsatz. Sturm ist davon überzeugt, dass die Strategie sich bewährt hat: "Bislang hatten wir keine Vorfälle in der IT-Sicherheit, die unserem Unternehmen Schaden zugefügt hätten."
- Die besten Security-Appliances
In großen und komplexen Netzwerken mit hohem Datenaufkommen ist es sinnvoll, Sicherheitsfunktionen wie die Firewall oder den Virenschutz in eigene Appliances auszulagern. Wir stellen verschiedene dieser Sicherheitslösungen vor. - Check Point 1100
Für die Außenstelle hat Central Point die UTM-Appliances der 1100er-Serie im Programm. Das Einstiegsmodell mit 10 GBit-Ethernet-Ports liefert eine Threat-Prevention für Büros mit bis zu 50 Mitarbeitern und dient auch gleich als sicherer WLAN-Access-Point. Optional ist das Gerät auch mit integriertem ADSL-Model verfügbar. - Check Point 41000
Am entgegengesetzten Ende der Check-Point-Modellpalette liegen die Enterprise- und Carrier-Systeme. Das modulare 41000 Security System ist für einen Firewall-Durchsatz von bis zu 40 Gbps ausgelegt. Das System ist über sogenannte Software Blades erweiterbar. In der Grundversion stehen die folgenden Funktionen bereits bereit: Firewall, IPsec VPN, Identity Awareness, Advanced Networking sowie Acceleration & Clustering. - Cisco ASA5500
Ciscos Next-Generation-Firewalls der 5000er-Serie für Kleinunternehmen oder Filialen reichen vom Einstiegsmodell ASA 5505 mit einem Stateful-Inspection-Durchsatz von 150 Mbps bis hin zur ASA 5515-X, die 1,2 Gbps bewältigen kann. - Cisco ASA5585-X
Die Enterprise-Firewall ASA 5585-X von Cisco wird mit verschiedenen Service-Modulen kombiniert. In der hier abgebildeten Spitzenversion mit dem Security Services Processor-60 (SSP-60) liefert die Next-Generation-Firewall eine Stateful-Inspection-Firewall-Performance von bis zu 40 Gbps. - Dell SuperMassive 9800
Die SuperMassive 9800 ist das neue Spitzenmodell unter den Next-Generation-Firewalls der 9000er-Serie von Dell. Sie soll bis zu 20 Gbit/s Leistung bei der Deep-Packet-Inspection bringen. - Fortinet FortiGate 5000
Laut Fortinet ist die FortiGate 5144C die erste Firewall mit einem Durchsatz von mehr als einem Terabit pro Sekunde. Das FortiGate-5144C-Chassis bietet Platz für bis zu 14 Security-Blades, mit dem FortiController-5913C kann auch ein 100-GbE-Controller eingesetzt werden. - Fortinet FortiWiFi 60D
Die FortiWiFi-60D-Appliance gehört zur Connected-UTM-Serie von Fortinet. Das Gerät ist für den umfassenden Schutz kleinerer Firmen und Zweigstellen bestimmt und bietet neben sieben Gigabit-Ethernet-Ports auch einen WLAN-Access-Point, der 802.11n auf beiden Bändern unterstützt. - Netgear UTM25S
Die Geräte aus Netgears UMT-S-Serie sollen den bisherigen Router ersetzen und so für Kleinbetriebe, Zweigstellen und auch Privatanwender eine umfassende Sicherheitslösung darstellen. Das UMT25S bietet zwei GBit-WAN und vier GBit-LAN-Ports und unterstützt zudem den 802.11n-WLAN-Standard auf dem 2,4- und dem 5-GHz-Frequenzband. - McAfee M-4050
Die McAfee-Appliance M-4050 ist ein Intrusion Prevention System mit integrierter Network-Access-Control-Funktion. Damit soll die Appliance das Netzwerk nicht nur vor Angriffen von außen schützen, sondern auch die Verwendung nicht genehmigter Endgeräte im Firmennetzwerk unter Kontrolle halten. - McAfee N-450
Die McAfee-Appliance N-450 ist ein Bespiel für hochspezialisierte Security-Appliance: Sie ist eine reine Network-Access-Control-(NAC) Appliance die sicherstellen soll, dass nur bekannte und sichere Endgeräte Zugriff auf das Firmennetzwerk erhalten. Für Gäste und externe Dienstleister können auf Regeln basierende Zugriffsrechte definiert werden, die sie etwa auch ein spezielles Gast-Portal weiterleiten. - McAfee Next Generation Firewall
McAfee hat Entwicklung effektiver Next-Generation-Firewalls den finnischen Anbieter Stonesoft gekauft. Eines der Resultate aus dieser Übernahme sind die Firewall-Appliances der 3200-Serie. Mit einem Stateful-Inspection-Durchsatz von bis 30 Gbps sind sie für den Schutz größerer Netzwerke ausgelegt. - WatchGuard FireboxT10
Die Lösung Firebox T10 hat WatchGuard speziell für SOHO- (Small and Home Office), Einzelhandels- und Filialumgebungen entwickelt. Egal ob stand-alone betrieben oder von der Unternehmenszentrale aus gesteuert: Die Appliance bietet einen theoretischen Firewall-Durchsatz von 200 Mbps beziehungsweise eine 55 Mbps UTM-Performance und verfügt über drei 1-Gigabit-Ethernetports. Konfigurationswerkzeuge und WatchGuards RapidDeploy-Technologie helfen Netzwerkadministratoren, die Firebox T10 in kurzer Zeit per Fernzugriff in Betrieb zu nehmen. - WatchGuard Firebox M440
- Palo Alto Appliance PA-5060
Der Firewall-Durchsatz beträgt 20 Gbps.
Hintergrund: Einfallstor IPv6
Das sich nun langsam durchsetzende Protokoll IPv6 hat den zentralen Vorteil, dass es einen viel größeren Adressraum zur Verfügung stellt als das altbekannte IPv4. Daneben wurde IPv6 im Vergleich zum Vorgänger um ein neues Header-Konzept erweitert: IPv6 besitzt nicht nur den regulären, 40 Byte großen Header wie IPv4, der Ziel- und Quelladressen, Service-Typ und dergleichen beinhaltet. IPv6 verfügt daneben noch über einen erweiterten Header. Dieser Extension Header ist ein wichtiger, funktionaler Bestandteil des Protokolls. Allerdings ist heute noch nicht abschließend festgelegt, welche Möglichkeiten der Extension Header genau bietet und wie diese zu implementieren sind. Damit sind nach heutigem Stand verschiedene Angriffsszenarien möglich.
Da der Extension Header für einige grundlegende Funktionen von IPv6 notwendig ist, kann dieser Header nicht einfach aus Sicherheitsgründen an einer Paketfilter-Firewall blockiert werden. Denn damit würde aus dem Header ein Fragment werden, was wiederum in vielen Fällen selbst blockiert würde und damit seinerseits zu einem Denial of Service führen kann. Der momentan sinnvollste Ansatz ist, IPv6-Verbindungen an einem Application Level Gateway protokollkonform zu terminieren und dann mit einem neuen Header an die Zieladresse auszuliefern. (hv/sh)