Firewall-Hersteller geraten in Bedrängnis
Artikel erschienen in Swiss IT Magazine 2003/09
Vor ein paar Jahren noch wurden Firewalls als Allgemeinwaffe gegen Hacker angepriesen. Diese Zeiten sind längst vorbei. Denn eine Firewall schützt bei weitem nicht vor allen Attacken aus dem Internet. Dies setzt die Hersteller immer stärker unter Druck.
Bei den Anwendern haben sich die Unzulänglichkeiten der Firewalls längst rumgesprochen. Es ist ein Fakt: Da die "Brandmauern" als klassische Portfilter agieren, bieten sie in den allermeisten Fällen keinen wirkungsvollen Schutz vor echten Attacken, Würmern oder Viren. Ein Portfilter reduziert nämlich nur die Angriffsfläche auf die geschützten Systeme. Was letztlich auf einem explizit geöffneten und damit zugelassenen Port wirklich durchkommt, wird nicht oder nur rudimentär überprüft - analog zur Gepäckkontrolle in einem Flughafen, die den Inhalt der Koffer nicht kontrolliert. So "sieht" eine Firewall beispielsweise nicht, ob der Versand eines HTTP-Pakets auf einen explizit freigegebenen Webserver im Rahmen einer Attacke erfolgt oder ob es sich dabei um einen ganz regulären Zugriff handelt.
Das sind Lücken, die heute von sogenannten Intrusion Detection Systems (IDS) geschlossen werden, die den Datenverkehr in Echtzeit auf bekannte Angriffsmuster überprüfen. Ausserdem wird vielfach auch der Datenstrom auf ungewöhnliches und nicht dem Protokollstandard entsprechendes Verhalten überprüft.
Kommt's zu einer Attacke, können ID-Systeme diverse Aktionen ausführen. Das kann eine Blockierung der IP-Adresse sein oder - je nach Implementierung - auch das Kappen der aktiven Verbindungen zum vermeintlichen Angreifer. Systeme, die derart reagieren, werden aktive ID-Systeme oder auch Intrusion-Prevention-Technologien genannt. Passive ID-Systeme dagegen protokollieren und melden den Angriff bloss an einen Security-Administrator.
Die Firewall-Hersteller sind sich der Lücken bewusst und reagieren entsprechend. Das hat in den letzten Monaten dazu geführt, dass die Hersteller von Firewalls vermehrt versuchen, IDS- und Antiviren-Funktionalitäten in ihre Systeme einzubauen oder diese wenigstens als dedizierte Technologien zusätzlich ins Programm zu nehmen.
Ein Blick in den Security-Markt spricht dabei Bände. So haben die führenden Firewall-Hersteller im letzten Jahr massiv IDS-Technologien eingekauft oder selber entwickelt, um ihren Anteil vom Security-Markt halten oder weiter ausbauen zu können. Zum Beispiel hat der Firewall-Hersteller Netscreen die IDS-Firma Onesecure gekauft oder Symantec den Spezialisten Recourse Technologies. Marktleader Checkpoint entwickelt seinerseits eine eigene Lösung unter dem Namen Smart Defense, die allerdings noch nicht als voller IDS-Ersatz vermarktet wird.
Die Richtung aber ist glasklar vorgegeben. Ich gehe davon aus, dass Firewall- und IDS-Technologien in nächster Zukunft komplett verschmelzen werden. Dies nicht nur aus technologischen Gründen, sondern auch wegen der vereinfachten Administration. Denn es ist wesentlich einfacher, wenn innerhalb von Firewall-Policies auch IDS-Regeln konfiguriert werden können.