Firewall-Einsatzszenarien für neue Arten von Sicherheitsbedrohungen

Neue Sicherheitsbedrohungen erfordern clevere Strategien für Firewalls. Hier erfahren Sie, wie Sie Firewalls in Ihrem Unternehmen richtig einsetzen.

Traditionell setzen Unternehmen als erste Verteidigungslinie eine Firewall ein, um ihre Assets vor gängigen Bedrohungen aus dem Internet zu schützen.

In den meisten Einsatzszenarien fungieren Firewalls als eine Art Torwächter: Sie beschränken den Zugriff über das Internet auf genau diejenigen Dienste, die das Unternehmen für erforderlich hält. Auf der untersten Ebene erfolgt die Steuerung des Zugriffs zum einem über Regeln für die Assets und zum anderen in Abhängigkeit von dem Dienst, auf den von einem bestimmten Standort aus zugegriffen werden soll. Beide Arten von Regeln werden auf der Grundlage der Funktion des Assets festgelegt.

Dabei sind Unternehmen bislang zumeist einem Konzept der geteilten Architektur gefolgt: Über das Internet zugängliche Server wurden strikt von unternehmenseigenen Assets getrennt, die sich in einem speziell isolierten Netzwerk-Segment befanden. Dieses Segment wird üblicherweise als „Demilitarized Zone“, kurz DMZ (englisch für entmilitarisierte Zone) bezeichnet.

Erreicht wird die Isolierung, indem eine Netzwerk-Schnittstelle der Firewall nur für diese Server vorgesehen wird. Ein direkter Zugriff auf Assets jenseits der in der DMZ untergebrachten wie Workstations, kritische Server-Komponenten wie Domänen-Controller, E-Mail-Server und Enterprise-Anwendungen ist nicht erlaubt. Die im DMZ-Segment liegenden Assets umfassen in der Regel über das Internet zugängliche Anwendungen – unter anderem Web-Schnittstellen, E-Mail-Austauschsysteme, E-Mail-Relays und öffentliche Dropboxes. Der Zugriff zwischen Assets in der DMZ und in den Unternehmenssegmenten wird streng kontrolliert.

Vergleicht man diese Architektur mit der gehosteten Umgebungen für Unternehmen, wird man beim Umgang mit Zugriffssteuerung viele Parallelen feststellen. Ein Beispiel für eine gehostete Umgebung wäre die E-Commerce-Plattform eines Unternehmens, die von einem Drittanbieter betrieben wird. Bei solchen Einsatz-Szenarien werden die Web-Heads (Web-Server mit dreistufiger Architektur aus Web-Server, Anwendungsserver und Datenbank-Server) typischerweise in einem DMZ-Segment gehostet. In Umgebungen mit hohem Verkehrsaufkommen sorgt ein Load-Balancer bei sämtlichen Verbindungsübergaben von der Internet-Schnittstelle der Firewall für einen Lastenausgleich, indem er den Verkehr zum jeweils am wenigsten belasteten Web-Server leitet. Die Anwendungs- und Daten-Server werden auf separaten Segmenten gehostet. Der Zugriff zwischen den Web-, Anwendungs- und Datenbankschichten wird durch Zugriffsregeln beschränkt.

In beiden Umgebungen dient die Firewall als erste Verteidigungslinie. Sie steuert, welche Assets zugänglich sind und sorgt zugleich für einen rudimentären Schutz vor Angriffen auf Netzwerk-Ebene. In dieser ursprünglichen Form bietet eine Firewall jedoch nicht genügend Schutz vor einigen weit reichenden Bedrohungen: Diese sind in der Regel auf Schwachstellen innerhalb der Anwendungsschicht (Layer 7) gerichtet, nicht auf die Netzwerk-Schicht (Layer 3), für deren Schutz die herkömmlichen Firewalls gedacht sind. Um auch diese Bedrohungen in den Griff zu bekommen, wurden die konventionellen Firewall-Produkte in Unternehmen und bei gehosteten Diensten durch Produkte ergänzt, die speziell auf Angriffe auf Anwendungsebene und Malware-Bedrohungen ausgerichtet sind.

Im Folgenden untersuchen wir einige aktuelle Einsatzszenarien für Firewalls, die Angriffe auf Anwendungen und durch neuartige Malware vereiteln sollen.

Firewalls zur Überwachung des ausgehenden Datenverkehrs


In Unternehmensumgebungen, in denen Firewalls Zugriffe in die Umgebungen hinein und aus ihnen heraus steuern, werden ausgehende Web-Zugriffe meist ohne weiteres zugelassen. Dadurch wird das Unternehmen anfällig für Client-seitige Malware-Angriffe, die auf den Browser des Benutzers abzielen. Um dieser Bedrohung entgegenzuwirken, wurden die meisten herkömmlichen Firewall-Produkte durch Funktionen zur Verwaltung des Internetzugriffs (inline oder Proxy-basiert) erweitert, die speziell ausgehende Zugriffe überwachen. Grund dafür ist die Tatsache, dass eine Firewall zwar die Ports kontrollieren kann, auf die ein Benutzer aus einem Unternehmen heraus Zugriff hat. Eine hinreichende Kontrolle der Inhalte, auf die zugegriffen wird, kann sie aber nicht leisten. Da Exploits auf der Client-Seite eine große Bedrohung für Unternehmen darstellen, ist ein solcher aktualisierter Schutz von entscheidender Bedeutung.

Inhaltsanalysen auf Anwendungsebene


Die klassischen Firewall-Anbieter haben inzwischen auch Appliances im Angebot, bei denen Inhaltsanalysen auf Anwendungsebene mit einem Viren-Schutz kombiniert sind – sie bieten also Malware-Erkennung und traditionelle Firewall-Funktionalität im selben Gehäuse. Abgesehen davon, dass sie den Verkehr auf bösartige Inhalte überwachen, sperren diese Geräte auch den Zugriff auf Sites mit fragwürdigen Inhalten. Natürlich sollten sie nicht als Ersatz für die herkömmlichen Host-basierten Schutzmechanismen (wie Antivirus- oder Antispam-Software oder Lösungen für die Endpunktsicherheit) angesehen werden.

Web Application Firewalls


Insbesondere in gehosteten Umgebungen lässt sich die Layer-7-Überwachung in Form von Firewalls speziell für Web-Anwendungen realisieren. Diese konzentrieren sich auf Angriffe auf der Anwendungsschicht, die auf Web- und Anwendungsdienste zielen. Damit bieten sie nicht nur Schutz vor herkömmlichen Webangriffen wie Cross-Site Scripting oder SQL-Injection: Sie verstehen auch traditionelles Client-Verhalten (die Benutzer, die mit einer Site interagieren) und können von der Norm abweichende Verhaltensweisen verfolgen und unterbinden. Web Application Firewalls werden derzeit als Add-on-Module für herkömmliche Firewall-Gehäuse angeboten, um Leistungseinbußen auszugleichen, die sich durch die zusätzliche Überwachung des Datenverkehrs auf Layer 7 ergeben können. Dies bedeutet nicht, dass eine solche Firewall die herkömmliche Firewall in einer gehosteten Umgebung ersetzen könnte. Die traditionelle Segmentierung der diversen Stufen ist nach wie vor von entscheidender Bedeutung.

Einsatz von virtuellen Firewalls


Dieser Ansatz lässt sich auch auf virtuelle gehostete Plattformen ausweiten. Die Isolierung virtueller Plattformen erfordert die Durchsetzung der Firewall-Trennung auf Hypervisor-Ebene, um so Zugriffe auf die verschiedenen virtuellen Instanzen auf derselben physikalischen Plattform zu steuern. Die sicherheitstechnische Trennung zwischen den einzelnen VMs kann durch eine Kombination von herkömmlichen Firewalls mit Web Application Firewalls noch verstärkt werden. Bei solchen Implementierungen spielt die klassische Firewall immer noch eine Rolle, wenn auch eher im Makrokontext, weil sie die Abschottung bzw. den Schutz zwischen Farmen von virtuellen Servern sicherstellt. Layer-7-Schutz kann dann auf jenen Segmenten sichergestellt werden, die als sensitiv oder kritisch für den Geschäftsbetrieb eingestuft werden.

Angesichts der heutigen Bedrohungslandschaft sollte eine sichere gehostete oder unternehmenseigene Umgebung so konzipiert sein, dass die klassische, netzwerk-spezifische Verteidigungslinie aus Firewalls durch eine Kombination aus Host- und Netzwerk-basierten Schutzmechanismen auf Anwendungsebene verstärkt wird. Mit einem Layer-3-Gerät alleine können heutzutage die kritischen Bereiche eines Netzwerks nicht mehr hinreichend geschützt werden.

Über den Autor: Anand Sastry ist ein Senior Security Architect bei Savvis Inc. Zuvor hat er in der für Sicherheitsdienste zuständigen Gruppe eines Big-4-Beratungsunternehmens für Kunden aus diversen Branchen (große und mittlere Unternehmen im Bereich Finanzen, Gesundheitswesen, Einzelhandel und Medien) gearbeitet. Sastry hat Erfahrung mit Netzwerk- und anwendungsbezogenen Penetrationstests, dem Design von Sicherheitsarchitekturen, Wireless-Sicherheit, Incident Response und Security Engineering. Derzeit befasst er sich mit Netzwerk- und Web-Application-Firewalls, NIDS (Network Intrusion Detection Systems), Malware-Analyse und Distributed Denial of Service (DDoS)-Systemen. Er twittert unter http://twitter.com/cptkaos.

Artikel wurde zuletzt im April 2011 aktualisiert

Pro+

Premium-Inhalte

Weitere Pro+ Premium-Inhalte und andere Mitglieder-Angebote, finden Sie hier.

Erfahren Sie mehr über Netzwerksicherheit: Tools, Produkte, Software

Diskussion starten

Schicken Sie mir eine Nachricht bei Kommentaren anderer Mitglieder.

Mit dem Absenden dieser Daten erklären Sie sich bereit, E-Mails von TechTarget und seinen Partnern zu erhalten. Wenn Ihr Wohnsitz außerhalb der Vereinigten Staaten ist, geben Sie uns hiermit Ihre Erlaubnis, Ihre persönlichen Daten zu übertragen und in den Vereinigten Staaten zu verarbeiten. Datenschutz

Bitte erstellen Sie einen Usernamen, um einen Kommentar abzugeben.

- GOOGLE-ANZEIGEN

SearchStorage.de

SearchNetworking.de

SearchEnterpriseSoftware.de

SearchDataCenter.de

Close