Switch und UTM-Firewall? Verschmelzen!

Noch nicht lange ist es her, als Firewalls ausschliesslich als reine Softwarelösungen verkauft und einzig am Perimeter des Firmennetzwerks eingesetzt wurden. Der Perimeter ist der Übergang zwischen Internet und Firmennetzwerk. Durch die massive Zunahme von Angriffsmethoden und dem Faktum, dass Angreifer immer häufiger im internen Firmennetzwerk sitzen, haben sich die Firewall und ihre Positionierung stark verändert. Vorbei sind die Zeiten, als die Firewall ausschliesslich vor Netzwerk-Attacken schützen musste. Ein reiner Paketfilter und die Stateful-Inspection-Funktion sind zwar immer noch fester Bestandteil jeder Firewall, doch ausreichend ist dies nicht mehr. Die meisten Angriffe finden heute auf der Applikations­ebene statt. Eine klassische Firewall mit Paketfilter reduziert zwar die Angriffsfläche auf ein System, doch der explizit zugelassene Datenverkehr wird nicht auf Applikations-Angriffe oder auf unerlaubte Applikationen analysiert. Diese werden somit auch nicht verhindert.




Durch diese Entwicklung wurden vermehrt Schutzfunktionen auf Applikationsebene in die Firewalls integriert. So war es denn auch nicht verwunderlich, dass vor wenigen Jahren sogenannte Unified Threat Management Firewalls auf den Markt kamen. Diese kombinieren mehrere Schutzmechanismen in einem Gerät. Neben den klassischen Firewall- und VPN-Grundfunktionen sind dies beispielsweise Erweiterungen von Intrusion Prevention/Detection und Antivirus-Gateway-Systemen. Dazu gesellen sich teilweise auch Antispam und Web-Filtering sowie weitere Funktionen. Eingesetzt werden solche UTM-Geräte heute meist bei KMU oder in Aussenstellen von Grossfirmen. Der Grund dafür liegt darin, dass sich KMU für die vielen verschiedenen Schutzmechanismen keine dedizierten Systeme leisten können. Solche Systeme sind komplex und teuer in der Anschaffung und im Betrieb. Bei grossen Firmen kommen zwar für die verschiedenen Schutzfunktionen meist noch dedizierte Systeme zum Einsatz. Doch sobald die einzelnen Schutzmechanismen von UTM-Geräten die Funktionalität und Geschwindigkeit von dedizierten Lösungen erreichen, werden auch Grossfirmen ausserhalb der kleineren Niederlassungen vermehrt auf UTM setzen. Dafür sprechen vor allem tiefere Betriebs- und Anschaffungskosten. In der Zwischenzeit gibt es denn auch schon UTM-Firewalls, die in einzelnen Disziplinen bereits vergleichbare Funktionalitäten bieten, wie sie auf dedizierten Systemen anzutreffen sind. Manchmal mangelt es allerdings noch an der Performance – besonders, wenn alle UTM-Funktionen aktiviert sind.

Neben dem UTM-Trend, der mehrere Schutzfunktionen auf Applikationsebene in eine Plattform integriert, steht eine weitere Entwicklung vor den Türen: Die Intranet-Firewall, die in internen Netzwerken eingesetzt wird. Der Bedarf, interne Netzwerke stärker voneinander abzuschotten, den ganzen Verkehr auf Angriffe, Viren, Würmer und andere Schädlinge zu analysieren und diese gegebenenfalls auch zu stoppen, nimmt immer mehr zu. Weiter ist die effiziente Verhinderung von unerlaubten Applikationen ein immer grösseres Thema. Zuletzt gesellen sich auch die eindeutige Identifikation von Client-PCs und Benutzer sowie das Durchsetzen von Client-Security-Regeln vor der Benutzung der internen Netzwerkinfrastruktur dazu. Letzteres ist im Markt unter dem Namen Network Access Control (NAC) bekannt.




Für mich schreien diese Anforderungen nach einer Verschmelzung von klassischen Layer-2-Switches und UTM-Firewalls. Stellen Sie sich einfach mal einen 24-Port-Switch vor, bei dem jeder Port eine vollwertige UTM-Firewall ist, die zusätzlich NAC bietet. Dabei stelle ich mir vor, wie die Ports beliebig konfiguriert und zusammengefasst werden könnten. Sicherheitsfunktionen könnten beliebig per Knopfdruck auf verschiedene Portgruppen aktiviert werden...
Für mich ist die Verschmelzung von Switches und UTM-Firewalls fällig. Die Sicherheitsfunktionen müssen in den Kern des Netzwerks und nicht nur in speziell dafür entwickelte Netz­übergänge und Zonen.