Palo Alto Networks Firewalls - Next Generation Firewalls

Bisherige Firewalls, die ausschließlich als Paketfilter arbeiten, stellen Administratoren heutzutage immer öfter vor Probleme: Das alte Verfahren des Filterns nach Quell‑ und Ziel-IP sowie Portnummer ist nicht mehr effektiv, da Anwendungsentwickler immer neue Möglichkeiten finden, die Firewall zu umgehen.

Will ein Unternehmen Port 80 freigegeben, um Angestellten den Internetzugang zu ermöglichen, wird damit bisher automatisch weiteren Applikationen der Weg in und aus dem Firmennetz geebnet. Konnte eine Sicherheitsrichtlinie, die besagt, dass die Benutzung von Instant Messengern untersagt ist, früher einfach durch Blockieren des benötigten Ports durchgesetzt werden, gestaltet sich dies heute schwieriger: Anwender können sich mit Tunnelapplikationen behelfen und den geöffneten Port 80 zum Chatten verwenden. Mit herkömmlichen Firewalls lassen sich Szenarien dieser Art nicht praktikabel verhindern, da bei einer Sperre des Ports auch das „harmlose“ bzw. gewollte Surfen nicht mehr möglich wäre.

Die neuartigen Firewalls von Palo Alto Networks verfolgen diesbezüglich einen anderen Ansatz: Der generierte Traffic wird auf bestimmte Identifikationsmerkmale bekannter Applikationen überprüft, beispielsweise auf vorher definierte Signaturen. Auch eine heuristische Untersuchung findet statt. Palo Alto fasst dies unter dem Begriff "App-ID" zusammen. App-ID erkennt derzeit fast 900 Applikationen und sogar einzelne Funktionen innerhalb einer Applikation, unabhängig vom verwendeten Port.

Patentiertes Filtersytem für erhöhte Sicherheit

Allerdings sind manche Applikationen mittlerweile in der Lage, auf Port 443 auszuweichen. Verschlüsselt sind die Daten nun auch vor dem Einblick der Firewall sicher. Um dies zu umgehen, sind die Palo Alto Firewalls in der Lage, den Traffic zu entschlüsseln, entsprechend zu analysieren und mit einem modifizierten Zertifikat des ursprünglichen Ausstellers neu zu verschlüsseln, um ihn dann wiederum weiterzuschicken. Dieses Feature lässt sich auch nur für bestimmte Websites aktivieren, etwa um den verschlüsselten Datenverkehr mit Banken o. Ä. unangetastet zu lassen und so keine Datenschutzbestimmungen zu verletzen.

Zusätzlich  wird ein "User-ID" genanntes Verfahren verwendet, um die im Netzwerk aufgespürten Applikationen eindeutig einem bestimmten Nutzer zuzuordnen. Hierbei vertraut man - im Gegensatz zu herkömmlichen Appliances - nicht allein auf IP‑Adressen: Mittels eines Agents wird stattdessen der ActiveDirectory Account eines Nutzers dynamisch mit einer IP verknüpft. Dies erlaubt eine feinere Filterung der Traffics, da bestimmte Applikationen auch nur für bestimmte User freigegeben werden können. Nutzer Microsoft-fremder Betriebssysteme können über eine vorgeschaltete Anmeldemaske identifiziert werden.

Ein weiteres,  patentiertes Verfahren von Palo Alto Networks nennt sich "Content‑ID". Hierbei wird der Datenstrom beispielsweise auf Signaturen bekannter Bedrohungen (Viren, Spyware oder Ähnliches) untersucht und entsprechend gefiltert. Dies geschieht on-the-fly, also während der Übertragung. Um eine Datei zu überprüfen, ist es dadurch nicht nötig, dass die gesamte Datei im Speicher der Firewall vorhanden ist. Auch das Blockieren bestimmter Websites oder bestimmter Gruppen von Websites (bspw. Webmail & P2P-Networking) ist möglich.

Die Identifizierung von Anwendung, Benutzer und Inhalt ist der alten Methode (Quell-/Ziel-IP/Port) deutlich überlegen und ermöglicht dadurch eine wesentlich bessere Durchsetzung des Sicherheitskonzepts. Mit einem Durchsatz von bis zu 10 Gbit/s arbeitet das System sehr performant; die Wartezeit erhöht sich nur minimal. Dies wird durch die Verwendung einer speziellen, „Single‑Pass Parallel Processing“ (SP3) genannten Architektur erreicht. Einzigartig daran ist, dass der Datenstrom nur einmal untersucht werden muss, um das gewünschte Ergebnis zu erzielen. 

Da klassische Firewallfunktionen, VPN-Gateway, Application Level Gateway/Content Filter und IDS/IPS in einem Gerät vereint wurden, lassen sich Kosten deutlich reduzieren. Weiterhin wird dadurch auch die Administration vereinfacht: Statt mit vier verschiedenen Interfaces/GUIs zu arbeiten, wird nun nur noch eines verwendet.

Weitere Infos:

Telefon

+49 89 439007 -0

E-Mail

sales@inotronic.de