Do you like this post? Socialize it!

Das waren noch Zeiten als jede Applikation seinen eigenen Port hatte und jeder User seine fixe IP-Adresse. Für jede Applikation wurde ein neuer Port angelegt und freigeschaltet. In den meisten Fällen fast ein wenig Sinnlos, da hier nur die IP-Adressen und die Port-Nummer gecheckt wurde. Das war damals “State of the Art”.

Was ist die Steigerung von Next Generation Check Point Firewall und was muss diese Lösung können.

Heute geht der Trend in Richtung Web! Die meisten neuen Anwendungen sind über HTTP, oder hoffentlich verschlüsselt über HTTPS. 

Hier tauchen gleich einige Fragen auf.
Was passiert im HTTPS?
Wie kann ich in diese verschlüsselte Verbindung schauen? – Aufbrechen ist so ein schlimmes Wort!

Auch die rechtliche Frage ist ein Thema.

Darf ich überhaupt hineinschauen? – Dieses Thema lassen wir gleich mal bei unseren Anwälten.
Wo macht eine Next Generation Firewall Sinn? 
Im Office? Im Datacenter vor meinem Webshop?

Eine Next Generation Check Point Firewall ist eigentlich schon ein alter Hut, doch trotzdem haben sie noch die meisten Firmen im Einsatz.

Aus meiner Sicht sind die wichtigsten Funktionen einer Next Generation Check Point Firewall die folgenden:

Zuerst muss man sich von TCP oder UDP Ports lösen! 
Eine Next Generation Check Point Firewall (NGFW) arbeitet mit Applikationen. Gute Firewall Hersteller reden hier von tausenden Applikationen, Plugin´s oder Web 2.0 Widgets, welche erkannt und/oder geblockt werden können. Hier geht es aber nicht darum die Mitarbeiter zu ärgern und Facebook oder auch nur Facebook spiele zu blockieren, sondern um Dinge wie Fileshare und dergleichen. Zu viele sensible Firmendokumente landen auf Dropbox & Co, weil sich die User nicht anders zu helfen wissen.

Spätestens hier muss man sich die Frage stellen: Was machen wir mit HTTPS.
Wenn hier einige Kleinigkeiten beachtet werden ist das technisch keine große Herausforderung Outgoing HTTPS zu analysieren.
Die Firewall sollte aber schon mehr Power haben, da das Entschlüsseln und wieder verschlüsseln nicht ohne Performance funktionieren kann!

Mehr Power hat noch nie geschadet.

Eine Besprechung mit dem Betriebsrat kann hier auch nicht schaden. Keiner will die Mitarbeiter ausspionieren und Seiten mit Userbezogene Daten wie online Banking oder diverse Shop Portale, ohne die ich auch nicht leben könnte, können natürlich von der Analyse ausgenommen werden. 
Fakt ist aber, dass die Bösen Programme und die bösen Jungs immer mehr mit verschlüsselten Kanälen arbeiten. 
Die beste NGFW bringt nichts, ohne auch in HTTPS zu blicken.

Als nächstes kommen User und nicht Client-IP´s ins Spiel. Bei Ziel-Systemen sprechen wir auch nicht von IP´s sondern von DNS-Namen in Kombination mit Uniform Resource Locator, oder besser bekannt als Web-URL´s.

Diese Funktionen haben früher auch schon Proxy Server übernommen, doch warum nicht konsolidieren? Weniger Geräte = weniger Arbeit und hoffentlich auch weniger Wartungskosten. WIN-WIN

Einen Antiviren-Schutz hat die Check Point Firewall natürlich auch, doch dieser ist meinst auf Web (HTTP, HTTPS), FTP und MAIL beschränkt. Zusätzlich gibt es Funktionen wir eine BOT-Erkennung, falls ihr Rechner verseucht wurde als er unterwegs war und im Office dann mit den so genannten Command and Control Server kommunizieren will. Man könnte auch sagen, sie wollen nach Hause telefonieren (falls jemand E.T. noch kennt) Über diese Kanäle werden Daten ausgetauscht und neue Befehle empfangen. Damit man auch mal Teil einer DDoS Attack werden kann. Als Firma aber nicht so cool!

Bis jetzt war es noch nicht wirklich etwas Neues und ich hoffe sie haben es bis hier her verstanden.

Das Thema Sandboxing ist auch nicht ganz neu, doch erst seit Jahresende sind einige Projekte im Umlauf.
Gut Ding braucht eben Weile. Es ist auch kein reines NGFW Thema, denn oft wird aus Performance-Gründen ein eigenes Device benötigt, oder sich der Cloud bedient.

Vereinfacht macht Sandboxing genau das, was ein Client (eigentlich der User, der arme Client kann nichts dafür), auch macht. Er führt das Programm aus!
Wie ein User, der z.B. eine E-Mail mit einer Rechnung im Anhang von einer Firma bekommt die er gar nicht kennt. Der Stress, die Neugier, aus welchen Gründen auch immer. Der User will reinschauen!
Auch das nächste Fenster mit der Frage „Wollen sie das Makro ausführen“ ist noch kein Alarmzeichen.

Am Rande sei gesagt: Die Schulung und Information der User ist genauso wichtig, wie die technische Lösung!

…und plötzlich so ein komischer Hintergrund mit einer Aufforderung zu bezahlen und alle Daten sind verschlüsselt: WEG! 

Wenn der Client auch noch mit einem Fileserver verbunden ist: wird dieser auch gleich verschlüsselt. AUCH WEG!

Moderne Ransomware ist wirklich sehr kreativ!

Aber zurück zur Sandbox: Diese ist eben vor dem User und analysiert genau das verhalten dieser scheinbar so harmlosen Rechnung im Word mit diesem bösen Makro. Hier kommen verschiedene Mechanismen in abgeschotteten virtuellen Umgebungen zum Einsatz um dieses Verhalten zu Analysieren.

Wenn ein Programm plötzlich die Disk verschlüsseln will, ist das ein spezieller Programm Code, der erkannt werden würde. In diesem Fall wird das File natürlich nicht zugestellt und dem Empfänger eine Info geschickt. Einige Systeme können das Office File in ein reines PDF Umwandeln, damit der eigentliche Inhalt der Datei nicht verloren geht. Bei einer Fake-Rechnung aber nicht gar so wichtig.
Danach wird dieses virtuelle System zurückgesetzt (wie ein Snapshot) und das nächste File wird analysiert.

Dies sind in der Regel alles Funktionen einer Office Firewall.

Eine Datacenter Firewall hat andere Aufgaben, aber dazu in einer anderen Geschichte…

Dieser Artikel wurde geschrieben von: Wilhelm Pichler