Abwehr am Perimeter

Würth dreht an der Sicherheitsschraube

01.10.2015
Von Jan Schulze

Empfohlene P-A-P-Konfiguration

Die Firewall sei zweistufig ausgelegt, erläutert Sturm. Zum einen verfügt Würth damit über einen Paketfilter, der die Daten anhand der Header-Informationen kontrolliert. Zum anderen bietet die Firewall ein Application Level Gateway, das die Daten selbst prüft. Damit ist es mit relativ geringem Aufwand möglich, die vom Bundesamt für Sicherheit in der Informationstechnik (BSI) empfohlene P-A-P-Konfiguration aus Paketfilter, Application Level Gateway und einem weiteren Paketfilter aufzubauen: "Indem wir einen Paketfilter eines anderen Herstellers mit der genugate kombinieren, erfüllen wir vollständig die aus Sicht der IT-Sicherheit sehr sinnvolle BSI-Empfehlung."

Dieses Sicherheitskonzept fordert von den Firewall-Administratoren, die alle Firewalls im Unternehmen zentral verwalten, etwas Engagement: Das Konzept der Firewall basiert darauf, Verbindungen zu terminieren. Das bedeutet, dass alle ein- und ausgehenden Datenpakete von der Firewall so angenommen werden, als wären die Pakete für sie bestimmt. Nach der Prüfung der Pakete verschickt die Firewall die Daten über eine neue Verbindung an den ursprünglichen Empfänger. "Hieraus ergeben sich ein paar Besonderheiten, an die man sich erst gewöhnen muss", resümiert Sturm. "Im täglichen Betrieb werden diese Aspekte aber schnell zur Routine."

Auf der anderen Seite haben die terminierenden Verbindungen auch deutliche Vorteile. Etwa, wenn neuartige Angriffe über IPv6 abgewehrt werden sollen: Durch die Extension-Header bietet das neue Protokoll zahlreiche Möglichkeiten. Die Diskussion darüber, welche Merkmale bei der Implementierung unterstützt werden sollen und welche nicht, ist noch nicht abgeschlossen. Diese Header-Funktionen erlauben Angriffe, die sich sehr effizient über eine terminierende Verbindung unterbinden lassen: Das Application Level Gateway als logischer Endpunkt der Datenübertragung erzeugt beim Weiterversand einen neuen Header, der von der internen IT vorgegeben wird. Damit laufen Angriffsversuche ins Leere.

Performance und Hochverfügbarkeit

Neben der Sicherheit ist bei der Schnittstelle zwischen dem Rechenzentrum und der Außenwelt auch die Performance der Firewalls von großer Wichtigkeit. Denn diese müssen alle ein- und ausgehenden Datenströme prüfen, ohne dass es dabei zu für die Anwender spürbaren Verzögerungen kommt. Die Paketfilter sind hier weniger kritisch, da dabei nur der Header der Datenpakete überwacht wird: IP-Adresse, Art des Protokolls und Port, über den die Daten verschickt werden.

Ganz anders hingegen bei der Filterung auf Anwendungsebene. Hier müssten die einzelnen Datenpakete zunächst zwischengespeichert, zusammengesetzt, geprüft und wieder weitergeschickt werden. Das Application Level Gateway terminiert also die Verbindung zwischen den kommunizierenden Rechnern, um dann die Daten über eine neue Verbindung ans Ziel weiterzuleiten. Der Rechenaufwand dabei ist signifikant höher als bei einem Paketfilter. Gefährliche Inhalte wie Malware, Spam oder aktiver Content lassen sich jedoch nur auf diesem Weg frühzeitig aus den Datenströmen entfernen. Paketfilter sind nur in der Lage, den Datenstrom auf formale Aspekte hin zu überprüfen.

Zur Startseite