Was ist eine Next-Generation-Firewall (NGFW)?

Netzwerk-Traffic-Management

• NGFWs analysieren den durchfließenden Netzwerk-Traffic und setzen spezifische Regeln ein, um gefährliche Datenpakete zu identifizieren und zu blockieren.
• Dies geht über die Grundfunktionen traditioneller Firewalls hinaus und bietet einen verbesserten Schutz gegen komplexe Bedrohungen.

Erweiterte Funktionen

• Im Vergleich zu herkömmlichen Firewalls bieten NGFWs zusätzliche Sicherheitsfunktionen.
• Dazu gehören Intrusion Prevention Systeme (IPS), Application Awareness, und die Fähigkeit, verschlüsselten Traffic zu inspizieren.
• Diese Features ermöglichen es NGFWs, eine tiefere und genauere Überwachung des Netzwerkverkehrs durchzuführen.

Leistungsstarke Sicherheitsleistung

• NGFWs sind für ihre hohe Effizienz und Leistungsfähigkeit in der Abwehr von Cyberbedrohungen bekannt.
• Sie integrieren die Basisfunktionen traditioneller Firewalls und erweitern diese um fortschrittliche Technologien, um Unternehmen einen umfassenden Schutz ihrer Netzwerkumgebungen zu bieten.

Was kann ein NGFW?

Paketfilterung

• Prüfung jedes einzelnen Datenpakets und Blockierung gefährlicher oder unerwarteter Pakete.

Stateful Inspection

• Betrachtung von Paketen im Kontext, um sicherzustellen, dass sie Teil einer legitimen Netzwerkverbindung sind.

VPN Awareness

• Firewalls können verschlüsselten VPN-Traffic erkennen und ihn durchlassen.

Was kann ein NGFW noch?

Application Awareness und -kontrolle

• NGFWs verfügen über die Fähigkeit, den Netzwerkverkehr nicht nur auf Basis von IP-Adressen und Ports zu analysieren, sondern auch auf Anwendungsebene.
• Das bedeutet, sie können spezifische Anwendungen erkennen, die durch das Netzwerk fließen, und ermöglichen es Administratoren, feingranulare Sicherheitsrichtlinien auf der Basis individueller Anwendungen oder Anwendungsgruppen zu erstellen.
• Diese Funktionalität verbessert die Kontrolle über den Netzwerkverkehr und erhöht die Sicherheit, indem sie beispielsweise nur vertrauenswürdigen Anwendungen den Zugriff erlaubt.

Intrusion Prevention

• Neben der traditionellen Firewall-Funktionalität bieten NGFWs auch Intrusion Prevention Systeme (IPS), die aktiv Bedrohungen erkennen und blockieren können, bevor sie Schaden anrichten.
• IPS-Funktionen umfassen die Überwachung des Netzwerkverkehrs auf Anzeichen von bekannten Bedrohungen, wie Viren, Würmer oder fortgeschrittene Persistenzbedrohungen (APTs), und das Ergreifen von Maßnahmen zur Verhinderung dieser Bedrohungen.

Bedrohungsdaten

• NGFWs integrieren Echtzeit-Bedrohungsintelligenz und -daten, um die Erkennung und Abwehr von Cyberbedrohungen zu verbessern.
• Sie nutzen Informationen aus einer Vielzahl von Quellen, einschließlich globaler Bedrohungsdatenbanken, um aktuelle Informationen über bekannte Bedrohungen und Angriffsmuster zu erhalten.
• Diese Informationen werden genutzt, um Sicherheitsrichtlinien dynamisch anzupassen und um den Schutz gegen neu entstehende Bedrohungen zu verstärken.

Pfade für Upgrades, um künftige Informations-Feeds hinzuzufügen

• NGFWs sind so konzipiert, dass sie skalierbar sind und sich an die sich schnell entwickelnde Landschaft der Cyberbedrohungen anpassen können.
• Dies umfasst die Möglichkeit, zusätzliche Informations-Feeds und Sicherheitsdienste zu integrieren, sobald diese verfügbar werden.
• Dadurch bleibt die Sicherheitsinfrastruktur aktuell und kann effektiv auf neue und sich entwickelnde Bedrohungen reagieren.

Techniken zur Bewältigung sich entwickelnder Sicherheitsbedrohungen

• NGFWs setzen auf fortschrittliche Techniken und Algorithmen, um sich entwickelnde Sicherheitsbedrohungen zu identifizieren und zu bekämpfen.
• Dies schließt Deep Packet Inspection (DPI) ein, eine Methode, die es ermöglicht, den Inhalt von Datenpaketen zu analysieren und nicht nur auf Header-Informationen zu achten.
• DPI unterstützt die Erkennung von Malware, die in regulärem Datenverkehr versteckt sein könnte, und die Implementierung von Sicherheitsrichtlinien, die auf den Inhalten der Datenpakete basieren.

Warum die Inspektion von verschlüsseltem Verkehr notwendig ist

Versteckte Bedrohungen

• Ein erheblicher Anteil des Internetverkehrs ist heute verschlüsselt, was grundsätzlich eine gute Praxis für Datenschutz und Sicherheit ist.
• Allerdings nutzen Angreifer diese Verschlüsselung auch, um schädlichen Code oder Datenverkehr vor herkömmlichen Sicherheitsmechanismen zu verbergen.
• Ohne die Fähigkeit, diesen verschlüsselten Verkehr zu analysieren, könnten NGFWs potenzielle Bedrohungen nicht erkennen, die sich innerhalb dieser verschlüsselten Pakete verbergen.

Anwendungserkennung

• Um spezifische Anwendungspolicies durchsetzen zu können, müssen NGFWs in der Lage sein, den Anwendungstyp zu erkennen, der im Netzwerkverkehr übertragen wird.
• Viele Anwendungen nutzen Verschlüsselung, um Benutzerdaten zu schützen, was bedeutet, dass eine effektive Anwendungserkennung oft eine Analyse des verschlüsselten Verkehrs erfordert.

Wie die Inspektion von verschlüsseltem Verkehr funktioniert

Man-in-the-Middle (MitM)

• Um verschlüsselten Verkehr zu inspizieren, implementieren NGFWs häufig eine Man-in-the-Middle-Technik. Dabei wird die Firewall zwischen den Endbenutzer und das Ziel der Verbindung geschaltet.
• Die NGFW entschlüsselt den eingehenden verschlüsselten Verkehr, inspiziert ihn auf mögliche Bedrohungen oder Policy-Verletzungen und verschlüsselt ihn dann wieder, bevor sie ihn an sein ursprüngliches Ziel weiterleitet.

Zertifikatsmanagement

• Für eine erfolgreiche SSL/TLS-Inspektion müssen NGFWs über ein System zum Management von Zertifikaten verfügen.
• Sie müssen in der Lage sein, vertrauenswürdige Zertifikate für Endbenutzergeräte auszustellen, um Warnmeldungen zu verschlüsselten Verbindungen zu vermeiden.
• Dies erfordert eine sorgfältige Konfiguration und Management, um Vertrauen innerhalb des Netzwerks zu gewährleisten und gleichzeitig die Privatsphäre und Sicherheit der Benutzer zu schützen.

Herausforderungen und Überlegungen

Datenschutz

• Die Inspektion von verschlüsseltem Verkehr wirft wichtige Datenschutzfragen auf.
• Organisationen müssen sicherstellen, dass ihre Richtlinien zur Verkehrsanalyse die Datenschutzgesetze und -standards einhalten.

Performance

• Die Entschlüsselung und anschließende Wiederverschlüsselung von Datenverkehr kann je nach Volumen des zu inspizierenden Verkehrs eine erhebliche Belastung für die Ressourcen einer NGFW darstellen.
• Dies erfordert eine sorgfältige Planung und möglicherweise Hardware-Upgrades, um Leistungseinbußen zu vermeiden.

Konfiguration und Management

• Die korrekte Einrichtung der SSL/TLS-Inspektion erfordert technisches Know-how und eine sorgfältige Konfiguration, um Sicherheitslücken zu vermeiden und die Integrität der verschlüsselten Kommunikation zu gewährleisten.

Kommerzielle NGFWs

Palo Alto Networks Firewall

• Bietet umfassende Sicherheitsfunktionen, einschließlich Bedrohungserkennung und -verhütung, Anwendungserkennung und -kontrolle, und Cloud-basierte Sicherheitsdienste.

Fortinet FortiGate

• Eine Reihe von Sicherheitsprodukten, die Intrusion Prevention, VPN, Web-Filtering, und Antivirus-Dienste umfassen. FortiGate ist für seine hohe Leistung und Integration von Security Fabric bekannt.

Cisco Firepower NGFW

• Kombiniert eine fortschrittliche Malware-Schutzfunktion (AMP) mit einer effektiven Bedrohungserkennung. Bietet eine gründliche Netzwerktransparenz und Kontrolle über Anwendungen und Benutzer.

Open-Source NGFWs

OPNsense

• Eine einfach zu bedienende Open-Source-Firewall, die auf FreeBSD basiert. Bietet Features wie Intrusion Detection, SSL-VPN, Traffic Shaping und mehr.

pfSense

• Ebenfalls auf FreeBSD basierend, ist pfSense bekannt für seine Vielseitigkeit und Funktionsreichtum. Es bietet VPN-Support, Intrusion Detection und Prevention sowie zahlreiche Plugins.

Untangle NG Firewall

• Bietet eine klare Benutzeroberfläche und modulare Sicherheitsdienste, einschließlich Web-Filtering, Virus Blocker und Spam Blocker. Ist besonders bei kleinen und mittleren Unternehmen beliebt.