Universelle Bedrohungsabwehr

Universelle Bedrohungsabwehr

Universelle Bedrohungsabwehr

(Quelle: Boll Engineering)
Artikel erschienen in IT Magazine 2019/03
Seite 1
2. März 2019 -  Von Patrick Michel

Bei UTM Appliances hat sich einiges getan. Zu den klassischen Firewall-Funktionen sind viele neue Features hinzugekommen, bis hin zur integrierten Zentrale für die Sicherheits- und Netzwerkverwaltung.
Netzwerksicherheit ist für alle Unternehmen unabdingbar, egal ob KMU oder Grosskonzern. Cyberkriminelle nutzen jede Gelegenheit, um in Unternehmensnetzwerke einzudringen und Schaden anzurichten – vom Ausspionieren von Geschäftsgeheimnissen über Erpressung per Ransomware und Nutzung der IT-Ressourcen zu eigenen Zwecken bis zum Lahmlegen des ganzen Betriebs. Gleichzeitig werden die Attacken immer raffinierter, und ständig kommen neue Angriffsmethoden hinzu.

Firewall versus UTM

Am Anfang jedes Sicherheitskonzepts steht die Firewall: Herkömmliche Level 4 Firewalls mit Stateful Inspection kontrollieren den Netzwerkverkehr in der Transportschicht und sperren oder öffnen für jede Verbindung aufgrund von definierten Regeln bestimmte ein- und ausgehende Netzwerk-Ports.

Solches Basic Firewalling bietet heute bereits fast jeder Internet Router, den man für den Heimgebrauch erstehen kann. Mehr Funktionalität als herkömmliche Router bieten UTM Appliances (Unified Threat Management): Möglichst viele Sicherheitsfunktionen werden in einem leistungsstarken System zusammengefasst. Typische UTM-Komponenten sind Antivirus- und Antispamfunktionen und virtuell-private Netzwerkverbindungen (VPN) via IPSec oder SSL für sichere Verbindungen vom Internet ins Unternehmensnetzwerk, zum Beispiel für mobile Mitarbeitende oder zur Anbindung von Aussenstellen. Zu den klassischen UTM Features gehören ferner Angriffserkennung und Angriffsabwehr (Intrusion Detection/Prevention, kurz IDS/IPS) und URL-Filter zum Blockieren gefährlicher Web-Adressen.

Unified Threat Management ist jedoch nicht beim ursprünglichen Funktionsumfang stehengeblieben. Im Lauf der Zeit sind immer wieder neue Funktionen hinzugekommen. Dazu gehört etwa eine Application Firewall, je nach Anbieter auch Application Control genannt. Die UTM Appliance kontrolliert dann nicht nur die Ports, sondern sorgt auch für die gezielte Freigabe oder Sperrung von Anwendungen. Dabei kann es sich um Webdienste wie Facebook oder Twitter, aber auch um generelle Netzwerk-Services handeln. Da die Application Firewall im Schichtenmodell der Kommunikation auf Ebene 7 greift, nennt man sie auch Layer 7 ­Firewall.

SSL wird aufgebrochen

Eine weitere und besonders wichtige neuere UTM-Funktion ist das SSL Scanning. Beim Surfen im Web, beim Austausch von E-Mails und bei der Nutzung webbasierter Business-Anwendungen kommen praktisch nur noch per SSL verschlüsselte Verbindungen vor. Den verschlüsselten Verkehr kann die Firewall jedoch nicht analysieren – und dazu gehören auch Schadcode, gefährliche URLs und andere unerwünschte Inhalte.

Antivirus, Webfilter und Co. ergeben nur dann einen Sinn, wenn die übermittelten Daten für die Analyse offen zur Verfügung stehen. Dazu muss die UTM Appliance die SSL-Verschlüsselung aufbrechen und nach der Analyse die Daten wieder verschlüsseln. Dies erfordert einiges an Rechenleistung und stellt hohe Ansprüche an die Hardware. Die leistungsfähigeren UTM-Geräte nutzen teilweise dafür spezialisierte Chips, sodass die CPU-Belastung im Rahmen bleibt.

Technisch arbeitet das SSL Scanning wie folgt: Die UTM Appliance terminiert die eingehende SSL-Verbindung. Nach der Analyse baut sie eine neue SSL-Verbindung zum Empfänger auf. Dazu muss sie auf Basis des eigenen, auf der Appliance installierten CA-Zertifikats ein neues Zertifikat für den Client generieren. Auch dieser Vorgang, der in jeder Session immer wieder neu erfolgt, erfordert Rechenaufwand. Ausserdem muss das CA-Zertifikat der UTM Appliance auf allen Clients in die Liste vertrauenswürdiger Zertifikate aufgenommen werden, den sogenannten Trust Store. Das SSL Scanning wirkt sich also auch auf das Client Management aus. Idealerweise arbeitet man mit Managed Clients, damit die Nutzer das CA-Zertifikat nicht manuell bestätigen müssen.
 
Seite 1 von 4
Nächste Seite

Neuen Kommentar erfassen

Kommentare werden vor der Freischaltung durch die Redaktion geprüft.
Anti-Spam-Frage Aus welcher Stadt stammten die Bremer Stadtmusikanten?
Antwort
Name
E-Mail
NEWSLETTER ABONNIEREN
Abonnieren Sie unseren täglichen Newsletter mit den wichtigsten ICT-Meldungen
SWISS IT MAGAZINE - AUSGABE 2019/07
Schwerpunkt: Managed Document Services 2019
• Dokumente verwalten von MDS bis EIM
• ECM ist in der Schweiz ein Wachstumsmarkt
• MDS - Basis für den Wandel zum modernen Arbeitsplatz?
• Die Datensilos müssen weg
• Strategien für ein effizientes Output Management
Zum Inhaltsverzeichnis
SPONSOREN & PARTNER