Nicht nur die Ansprüche an moderne Unternehmensnetzwerke steigen, sondern auch die Bedrohungen. Da der Schutz der Netzwerke trotzdem nicht zu Lasten der Leistungsfähigkeit gehen darf, sind smarte Lösungen gefragt. Um sich gegen aggressive Bedrohungen zu wehren und auch verwaltungstechnische Vorteile zu erzielen, ist eine Next-Generation Firewall ein unerlässlicher Baustein für jede Sicherheitsarchitektur. Unternehmen wie Juniper, Fortinet und Palo Alto steuern die richtige Technik bei.

Moderne Herausforderungen

Gefährliche Schadsoftware, aber auch der direkte Zugang von Dritten durch Angriffe von außen können in massiver Weise Vermögenswerte von Unternehmen zerstören. Diesem Bedrohungsszenario gilt es Einhalt zu gebieten – und gleichzeitig soll die Bandbreite und Latenz des Netzwerks nicht beeinträchtigt werden. Um dies zu erreichen werden möglichst holistische Ansätze nötig, die das gesamte Netzwerk in den Blick nehmen und mit spezialisierter Hardware arbeiten.

Zusätzlich ist die Zukunftssicherheit ein zentraler Stichpunkt: Die stetige Zunahme von mobilen und IoT Geräten führt in großen Unternehmen zu Hunderten oder Tausenden verschiedener Geräte und Applikationen, die gleichzeitig im Netzwerk ausgeführt werden. Für Administratoren erschwert sich dadurch die Kontrolle darüber, welche Anwendungen wann und wo zugelassen sind. Ohne Kontrolle ist eine effektive Abwehr von Bedrohungen jedoch nicht möglich.

Mehr Sicherheit bei sinkender Komplexität

Die Netzwerke sind somit nicht nur größer, sondern auch vielfältiger und komplexer geworden. Dies machte immer neue Lösungen notwendig, die oftmals sukzessive eingebaut wurden. Anstelle von einer einzigen Firewall fand die Implementierung zusätzlicher Sicherheitsmechanismen statt, was zu zahlreichen Sicherheitsschichten innerhalb des Netzwerks führt.

In der Regel sind diese Mittel effektiv, aber nicht effizient. Darüber hinaus können durch den Flickenteppich unterschiedlicher Sicherheitssysteme neue Lücken und Angriffspunkte entstehen. Zusätzlich besteht oftmals das Problem, dass die Sicherheitslösungen die Netzwerkleistung beschneiden. Besonders problematisch wird es, wenn Lösungen unterschiedlicher Hersteller eingesetzt werden, die möglicherweise nicht vollständig kompatibel sind und sich gegenseitig behindern.

Eine Lösung ist eine Firewall der nächsten Generation: Das Konzept der herkömmlichen Firewall wurde um neue Elemente erweitert. Das größte Problem der einfachen Firewalls ist es, dass der Traffic mittlerweile fast vollständig über das Internet läuft und Protokoll- und Port-Inspections somit ihren Sinn verloren haben. Daher sind nun die Datenpakete selbst in den Mittelpunkt der Sicherheitsarchitektur gerückt.

Der Mehrwert von Next-Generation Firewalls

Um die Datenpakete zu analysieren und Bedrohungen und Angriffe zu erkennen sind Intrusion Detection Systeme (IDS) und Intrusion Prevention Systeme (IPS) nötig. Beide Systeme funktionieren nach dem gleichen Prinzip, allerdings ist IPS im Gegensatz zu IDS ein proaktiver Mechanismus. Beide scannen die Datenpakete (Deep Packet Inspection) und vergleichen sie mit bekannten Signaturen und Mustern von Malware und Angriffsszenarien. Werden Auffälligkeiten entdeckt, kann das System Alarm schlagen oder selbständig handeln und Pakete verwerfen oder Verbindungen blockieren.

 

Auch beim Online Shopping über Smartphones ist Sicherheit wichtig.

Da immer mehr Traffic verschlüsselt stattfindet, können einfache IDS und IPS Konzepte jedoch nicht mehr den ganzen Netzwerkverkehr analysieren. Verschlüsselte Datenpakete können nicht abgeglichen werden. Daher wird das Verfahren durch SSL Inspection unterstützt, welche verschlüsselte Daten entschlüsselt, untersucht und wieder verschlüsselt an das eigentliche Ziel weitersendet. Diese Systeme gehören zu den Grundfunktionen von Next-Generation Firewalls und sind etwa in die SRX Firewalls von Juniper und die FortiGate Firewalls von Fortinet integriert.

Ersatz für komplexe Systeme

Darüber hinaus bieten die Hersteller weitere Schutzmaßnahmen, die das gesamte Netzwerk in den Fokus nehmen und hierzu eine einheitliche und einfache Verwaltung zur Verfügung stellen. Bei Juniper handelt es sich beispielsweise um das Unified Threat Management, bei Fortinet um die Security Fabric. Enthalten sind darin klassische Abwehrmaßnahmen gegen typische Malware in Form von Viren, Trojanern und Würmern. Auch Phishing-Versuche sowie potenziell hochgefährliche Kryptotrojaner erkennen die Lösungen frühzeitig, um Schaden abzuwehren. Hinzukommen Zero-Trust Network Access und die Absicherung lokaler LAN und Wireless Netzwerke, um den Zugang zum Netzwerk besser zu überwachen.

Welche Lösung die richtige für Ihr Netzwerk ist, lässt sich nicht pauschal beantworten und hängt von Ihren spezifischen Anforderungen und der bereits verwendeten Netzwerktechnik ab. Wir können Sie hierzu ausführlich und auf ihre Anforderungen abgestimmt beraten.