Firewall

Eine Firewall zu kaufen und einfach hinzustellen nützt nicht besonders viel - um ein vertretbares Sicherheitsniveau zu erreichen, ist eine sehr aufwändige Konfiguration und laufende Überwachung einer Firewall zwingend erforderlich.

Die firmenspezifischen Regeln, die in der Firewall definiert werden müssen - und natürlich nicht mitgeliefert werden - sind sehr komplex, haben viele Wechselwirkungen untereinander und ihre Einrichtung beinhaltet enorm viele Fehlerquellen. 

Hinzu kommen manchmal Fehler in der Firewall-Software, die man kennen und umgehen muss, weil diese sonst dazu führen, das Regeln nicht korrekt funktionieren und unwirksam sind.
Jahrelange Erfahrung und tiefgehendes Wissen über die Bedrohungen und Angriffs-Szenarien sind erforderlich, um so ein Regelwerk wirklich sinnvoll zu erstellen und ständig an die sich weiterentwickelnden Anforderungen eines Unternehmens anzupassen.

Sie müssen sich klarmachen, dass eine Firewall-Konfiguration niemals fertig ist, sondern unter Umständen monatlich, wöchentlich oder sogar täglich an neue Gegebenheiten angepasst werden muss.

Aus unserer Sicht ist die Konfiguration einer Firewall nur die eine Seite der Medaille, die andere Seite ist die laufende Analyse und Interpretation der zwingend notwendigen Logfiles und die Umsetzung der daraus gewonnenen Erkenntnisse.

Allgemeine Informationen

Deep Packet Inspection / https aufbrechen

Mittlerweile ist mindestens die Hälfte der übertragenen Daten zwischen Client und Webserver verschlüsselt. Auch eine Firewall kann in der Standard-Konfiguration nicht in diesen Datenverkehr hineinsehen! Also kann sie auch nicht auf Bedrohungen in diesem Datenverkehr reagieren. In der logischen Konsequenz muss der Inhalt der Datenübertragung aufgebrochen und damit für die Firewall sichtbar gemacht werden.

Dies ist unsere aktuelle Sicht der Dinge. Wir wissen, dass das Aufbrechen von https - Traffic im Internet kontrovers diskutiert wird und es eine große Fraktion gibt, die dagegen argumentiert. Wir erläutern Ihnen unsere Sichtweise und unsere Gründe gerne im persönlichen Gespräch.

Data Loss Prevention

DLP beschreibt grundsätzlich erst einmal den unerwünschten Abfluss von Firmendaten ins Internet. Es geht also darum, diesen Datenfluss zu kontrollieren. Die Frage aus unserer Sicht ist: Wie erkenne ich diese Daten? Gängige Verfahren fokussieren auf Kontonummern, Kreditkartennummern und Ähnliches. Das alleine reicht aber nicht aus. Unter Umständen sind aber ihre Kundendaten viel wichtiger, als die Daten Ihrer Kreditkarte (Versuchen Sie mal, Ihre Kundendaten im Internet sperren zu lassen ;-)

Lässt man sich auf technisch unzureichende Lösungen ein, ist das ein Tropfen auf den heißen Stein – meint man es aber ernst, führen technische Einschränkungen unweigerlich zu Änderungen aller Arbeitsabläufe mit vertraulichen Daten im gesamten Unternehmen.

Cluster

Ein Cluster ist –kurz gesprochen- eine Dopplung der verwendeten Hardware. Sie kaufen eine zweite Firewall (normalerweise zum günstigeren Preis) und diese springt automatisch und sofort ein, wenn die primäre Firewall nicht verfügbar ist. Die Ersteinrichtung eines Clusters ist etwas aufwändiger, als die Installation einer einzelnen Firewall; bei der normalen Wartung und Anpassung der Firewall ergeben sich keine Unterschiede zwischen Cluster und Einzelfirewall.

Wie lange darf Ihre Firewall nicht verfügbar sein? Und wann? Mit einem Cluster erkaufen Sie sich eine deutlich höhere Verfügbarkeit, z.B. beim Einspielen notwendiger Updates oder bei Ausfall einer der beiden Firewalls.

Redundante Firewalls sichern Sie gegen Ausfälle und Probleme einzelner Firewall-Appliances. Sie sind allerdings nur die halbe Miete, wenn es um die Ausfallsicherheit der Internetverbindung geht: dazu gehören dann mindestens auch redundante Internet-Anbindungen (-> Multi WAN) und Netzwerk-Switches.

Web-Blocker

Der Zugriff, auf nicht erwünschte URLs, kann basierend auf Benutzer und Gruppen erlaubt oder verboten werden. Ziel ist dabei den Zugriff auf schädliche URLs zu unterbinden, den Jugendschutz einzuhalten, oder die Produktivität der Mitarbeiter zu gewährleisten. Wichtig ist, dass die zur Verfügung stehenden Kategorien detailliert genug und die erfassten URLs möglichst lückenlos sind.

Wichtig ist dabei, zu verstehen, dass nur auf die URL geschaut wird. Es gibt bei den üblichen Webblockern keinerlei inhaltliche Prüfung während des Aufrufs der Webseite. Die Kategorisierung hat durch den Hersteller bereits im Vorwege stattgefunden und wird jetzt nur noch abgefragt.

Application Control

Wie der Name schon vermuten lässt, handelt es sich bei Application Control um die inhaltliche Kontrolle des Datenstroms. Im Gegensatz zu einem Webblocker wird also nicht auf die URL einer Webseite geschaut, sondern der echte Inhalt der übertragenen Daten analysiert und ggfs. In Teilen oder im Ganzen geblockt. Ein Beispiel dafür ist Facebook, wo z.B. die Anmeldung erlaubt werden könnte um Inhalte zu veröffentliche, Spiele könnten aber geblockt werden. Achtung: Für eine vernünftige Nutzung ist https DeepInspection notwendig, da ansonsten die Hälfte des Internet-Traffics (https://) nicht geprüft werden kann.

Gateway Antivirus

Eine Firewall ohne Virenscanner ist sinnlos. Aus unserer Sicht jedenfalls reicht es nicht aus einen Virenscanner auf den Endgeräten und Servern laufen zu lassen. Eine zusätzliche Prüfung auf Viren beim Surfen und beim Mailempfang sollte unbedingt auch auf der Firewall passieren. Kein Anti-Viren-Anbieter ist perfekt und hier gilt tatsächlich: Viel hilft viel. Und na klar: Ohne https Deep-Inspection wird natürlich nur die Hälfte der Daten geprüft und wenn die E-Mails verschlüsselt durch die Firewall laufen, kann auch nicht geprüft werden.

Sandboxing

Wird genutzt um aktiven Inhalt in einer isolierten Umgebung auszuführen und dessen Auswirkung auf das System zu analysieren. Da dies ein komplexer Vorgang ist wird hier auf Cloud Basierte Dienste zurückgegriffen.

Advanced Threat Protection

Schadprogramme sind in der Lage, sich zu verwandeln, um der Erkennung durch signaturbasierte Methoden zu entgehen. Advanced Threat Protection bietet Schutz vor modernen Schadprogrammen und zero- Day Bedrohungen. Dies wird dadurch erreicht, dass der zu untersuchende Inhalt in einer Sandbox ausgeführt und dessen Verhalten analysiert wird.

Intrusion Prevention

IPS Untersucht das Netzwerkverhalten, um schadhaften Datenverkehr zu identifizieren und zu blockieren. Damit bildet IPS also eine zusätzliche Schicht zum Virenscanner und zu Application Control. Es wird damit z. B. die Ausnutzung von Exploits erkannt und verhindert.

Multi-WAN

Getreu dem Motto: Eine Internet-Leitung ist, gut, zwei Leitungen sind besser, hilft Multi-WANbei Ausfall einer Leitung, indem der Netzverkehr automatisch auf eine (der anderen) Internet-Verbindungen umgelenkt wird. In der Praxis funktioniert dieses bei ausgehenden HTTP(s)-Verbindungen völlig unproblematisch, allerdings ist bei SMTP-Verkehr und einkommenden Verbindungen (wie z.B. VPN) einiges an Konzeptionsarbeit im Vorwege notwendig, damit der Failover ohne Problem funktioniert.

Weitere Vorteile sind die Möglichkeiten der Lastverteilung auf mehrere oder unterschiedliche Leitungen (Policy based Routing) und die z.B. Nutzung von günstigen Leitungen für das reine Surfen im Internet.

UTM Unified Threat Management

Quasi alle Hersteller von Firewalls bieten heute UTM an, allerdings versteht nicht jeder dasselbe darunter. Letztendlich geht es aber immer darum, dass eine Firewall mehr als nur reine Firewall-Funktion anbietet. Bei den UTM-Funktionen handelt es sich z.B. um Virenscanner, IPS, Webblocker, Spamfilter etc.

Daher ist es wichtig, beim Preis einer Firewall die mitgelieferten Features zu vergleichen und nicht nur die theoretischen Durchsatzraten von Proxy- und Packet-Filtern. Eine Firewall die initial günstig ist, kann in den Folgejahren durch hohe UTM-Modulkosten schnell teuer werden. Daher bemühen wir uns, Ihnen eine auf Ihre Bedürfnisse zugeschnittene Lösung anzubieten die einen vernünftigen Kompromiss auf Leistung und Kosten darstellt.

Spam Filter

Einige Firewall-Hersteller bieten in entsprechenden Lizenzierungen auch SPAM Filter Funktionen auf der Firewall an. Nähere Informationen zu SPAM Filter Techniken finden Sie hier. Wenn Sie keine separate On Premise - oder externe Managed Service-Lösung für die SPAMfilterung einsetzen wollen, können Firewall integrierte Lösungen in Betracht kommen, die teilweise bereits einen recht brauchbaren Funktionsumfang bieten und passable Ergebnisse liefern.

VPN

Mittels virtueller privater Netzwerke (VPN) stellen Sie verschlüsselte, gekapselte Netzwerkverbindungen zwischen definierten Gegenstellen her. Diese werden heute oft anstelle dedizierte Mietleitungen zur Anbindung von Filialen und mobilen Anwendern an das Unternehmensnetz genutzt.

Übrigens: Nur weil VPN drauf steht, muss es nicht sicher sein. Die älteren verwendeten Verschlüsselungs-Algorithmen sind im Laufe der Jahre geknackt worden. Sollte in Ihrer VPN-Verbindung SHA-1 und 3DES auftauchen, haben Sie vermutlich ein echtes Sicherheitsproblem.

Branch Office VPN

VPN-Variante zur Anbindung von Branch Offices / Standorten / Filialen.
Diese Anbindung ersetzt in vielen Fällen eine MPLS-Anbindung, welche vom Provider zur Verfügung gestellt wird.

Mobile User VPN

VPN-Variante zu Anbindung mobiler Anwender / Road Warriors. Am Endgerät des mobilen Nutzers ist eine entsprechende VPN-Komponente erforderlich; dies ist meist ein zur in der Zentrale genutzten Firewall passender Software-Client. Als Protokoll empfehlen wir aufgrund der Performance normalerweise IPSEC.

SSL VPN

Bei SSL VPN wird die Verschlüsselung auf Basis von TLS (frühere Bezeichnung SSL) über das https - Protokoll umgesetzt. Der Vorteil gegenüber IPSEC ist die einfachere Einbindung in mobile Endgeräte, allerdings ist das SSL VPN deutlich langsamer als das IPSEC-Protokoll (ca. 50% Performanceverlust).

OpenVPN

OpenVPN kommt zum Einsatz, um ein virtuelles privates Netzwerkes aufzubauen. Dabei ist OpenVPN eine kostenfrei opnen Source Lösung. Die Verschlüsselung findet mittels Transport Layer Security (TLS) statt. Per OpenVPN können Clients gesicherte Verbindungen zur Firewall aufbauen oder Standorte gesicherte Verbindungen von Firewall zu Firewall herstellen. OpenVPN wird unter anderem von Firewall Lösungen wie pfSense, OPNsense, Sophos und Weiteren eingesetzt. Der Software Client ist für zahlreiche Betriebssysteme verfügbar.

Watchguard

Eine Appliance. Totale Sicherheit.

Bei WatchGuard gibt es keine Grenze für die Anzahl und Art von Security Services, die in dieUTM-Appliances eingebaut werden können und sollen. Das Unternehmen hat in der Vergangenheit immer wieder neue, innovative Services geschaffen, die zum Beispiel für die Branche wurden. WatchGuard bietet die umfangreichste Auswahl an Network Security Services von Standard-IPS, URL-Filtering, Gateway AV, Application Control und Antispam bis zu Services zur Abwehr von modernen Bedrohungen wie File Sandboxing, Schutz vor Datenverlust, Schutz vor Ransomware und mehr. Durch die Wahl von WatchGuard setzen Sie auf umfassende Sicherheit.

Reporting Dimension

Ein oft unterschätzter Sicherheitsaspekt für alle Firewalls ist die Analyse von Logfiles. Aus  unserer Sicht ist eine Firewall nur so gut, wie es die Analyse der Logfiles erlaubt. Gerade dafür hat Watchguard mit dem Produkt Dimension ein extrem mächtiges Werkzeug geschaffen, welches bei anderen Firewall-Herstellern seinesgleichen sucht.

Watchguard Reporting Dimension

Das umfangreiche Feature-Set der Watchguard Firewalls an dieser Stelle aufzuführen, würde den Rahmen sprengen, daher weisen wir nur noch auf eine aus unserer Sicht interessante zusätzliche Funktion hin:
WatchGuard bietet schon seit Längerem die Möglichkeit, WatchGuard Appliances über die Lösung "Rapid Deploy" automatisch auszurollen und in die zentrale Verwaltung einzubinden, ohne dass diese Appliance vorher konfiguriert werden muss.
Rapid Deploy ist ein patentiertes System, welches nur WatchGuard bietet.

Wir sind zertifizierte Watchguard Partner, aber definitiv nicht umsatzgetrieben. Unser Ziel ist es, für Ihre Umgebung eine sichere Lösung umzusetzen.

Sophos

Security Heart Beat

Ein genereller Unterschied der Sophos UTM (auch SG-Appliance genannt) besteht in der Art und Weise, wie Firewal-Regeln umgesetzt werden. Klassisch passiert dies, indem man eine Regel-Liste hat und in dieser seine Regeln - auch für etwaige Filtermechanismen, wie z.B. Web-Proxy, etc. - erstellt. Hierin unterscheidet sich die Sophos UTM grundlegend.
Die unterschiedlichen Mechanismen (z.B. Web Protection) haben einen komplett eigenen Konfigurationsabschnitt und definieren ihre benötigten Firewall-Regeln automatisch im Hintergrund, sodass am Ende nur noch Paketfilter-Regeln erstellt werden müssen, die nicht durch die vorhandenen Komponenten abgedeckt sind. Das macht das Regelwerk deutlich übersichtlicher. Außerdem können diverse Dienste in einer Firewall-Regel vereint werden, sodass man z.B. dem internen Netzwerk erlauben kann, auf die Dienste DNS, NTP, etc. zuzugreifen und das innerhalb einer Regel.

Ein weiterer Vorteil der Komponente "Web Protection", die einen Web-Proxy für das Surfen bereitstellt, besteht darin, dass sehr granulare Ausnahmeregelungen definiert werden können. So ist es beispielweise möglich, die Inhaltsfilterung auf verbotene Dateitypen für bestimmte Webseiten, Benutzer, etc. zu deaktivieren, ohne dabei die generelle Virenprüfung auszuschalten.

Sophos Konfiguration

Ein durchaus brauchbarer Reverse-Proxy, sowie die Verwaltung von Virenscannern auf Clients (Lizenzierung der Clients notwendig) ist ebenfalls mit an Bord. Zudem stellt die Sophos UTM einen umfangreich zu konfigurierenden MTA mit Spam- und Virenerkennung zur Verfügung, welcher sogar für Mailverschlüsselung mit S/MIME oder PGP und PDF-Verschlüsselung der Mail genutzt werden kann.

PFSense / OPNSense

IDS / IPS mit SNORT

Intrusion Detection System und Intrusion Prevention System gibt es auch als Open-Source-Lösung.
Snort führt eine Protokollanalyse durch, und vergleicht gegen eine Signaturbasierte Datenbank, um nicht gewünschten  Netzwerkverkehr zu blockieren. Die Signaturen gibt es freie und als Kommerzielle Version direkt vom Hersteller

Bogon Netzwerk Filterung

Hier werden Netzwerke und IP Bereiche aufgeführt die nicht aktiv genutzt sind. Die Filterung der Adressen ist sinnvoll, da diese bei Angriffen genutzt werden um die eigentliche Herkunft zu verschleiern (spoofing).

Bewerben Sie sich jetzt auf eine unserer attraktiven Stellenausschreibungen!  
anschauen >
©2021 | SYMPLASSON Informationstechnik GmbH

Cloudservice

Development

IT-Magazin