Neue Techniken für Firewalls:
Warum Stateful-Inspection-Firewalls Schnee von gestern sind

von Bernd Reder (bernd.reder@networkcomputing.de), Michael Piontek

Share
22.04.2009

Anwendungen haben sich in den vergangenen Jahren ebenso stark gewandelt wie die Angriffstechniken auf Rechner und Netze. In den Grundzügen unverändert geblieben ist jedoch die Firewall-Technik »Stateful-Inspection«, die den Großteil aller Unternehmensnetzwerke schützen soll. Sie ist mittlerweile allerdings auf der ganzen Linie überfordert. Eine neue Firewall-Generation könnte Abhilfe schaffen.

(Fortsetzung des Artikels von Seite 2)

Es sind Programme wie Skype, welche die heutige IT-Landschaft bevölkern und an denen sich die gravierenden Probleme bestehender Abwehrstrukturen aufzeigen lassen: Skye, an sich ganz bestimmt nicht »böse«, installieren Anwendern gerne auch im Firmennetz.

Klassische Firewalls werden von neuen Services wie Skype, Webex oder Social-Networking-Plattformen

Es ist eines dieser kostenlosen und praktischen Instant-Messaging-Programme, mit denen sich nicht nur einfach kommunizieren lässt, sondern auch Daten ausgetauscht werden, und zwar vollkommen unkontrolliert. Denn Skype arbeitet sehr trickreich, es tarnt sich, versteckt sich, verschlüsselt die Daten und nutzt dynamische Ports.

Dieser typischen Arbeitsweise von Programmen wie Instant-Messaging-Software, Webmailern, Peer-to-Peer-Filesharing oder auch Social Networks steht die dominierende Firewall-Analysetechnik auf Basis von Stateful Inspection recht hilflos gegenüber. Ports und IP-Adressen zu kontrollieren, hilft hier nicht weiter.

Systembedingte Sehschwäche

Tools wie Skype verwenden eben keine »Well-known Ports« mehr, auch keine festen Server-IP-Adressen. Blockt eine Firewall einen Verbindungsversuch, so sucht das Programm selbständig einen anderen Weg ins Netz. Skype klappert dazu andere Ports ab und probiert alternative Transportprotokolle aus, bis die Verbindung irgendwann einmal zustande kommt.

Der VAF Bundesverband Telekommunikation warnte bereits Ende 2007: »Skype reißt Löcher in Firewalls. Unternehmen verlieren die Kontrolle über den externen Datenverkehr.« Der Verband hätte diese Angabe präzisieren sollen: »Skype reißt Löcher in Systeme, die auf Basis der Stateful-Inspection-Engine arbeiten, weil diese die Dateninhalte nicht einsehen kann.«

Tunnelprogramme bremsen URL-Blocker aus

Selbst dann, wenn ein URL-Blocker auf der Firewall den Zugang zur Download-Seite von Skype verhindert, bietet das Internet Hunderte von so genannten Tunnelprogrammen, mit denen sich diese Sperre umgehen lässt. Diese Tunnel-Tools leiten die illegal ausgehenden Daten über legale Ports wie den Port 80 um und kodieren sie zusätzlich. So wird jede Firewall mit offenem SSL-Port überwunden.

Erforderlich sind Firewalls, die Datenverkehr nicht nur anhand der Port-Nummer klassifizieren, sondern anhand der Anwendungen.

Die Sicherheitsverantwortlichen werden keine Anzeichen für ein Fehlverhalten in den Stateful-Inspection-Logs finden, denn ihre Abwehrsysteme sind gewissermaßen auf diesem Auge blind. Sie erkennen weder die illegale Anwendung noch deren Daten oder Nutzer.

Dabei dürfte längst klar sein, dass die Herausforderungen stetig steigen , denn mit Malware und infizierten Clients wird inzwischen richtig viel Geld verdient. Professionelle Cybercrime-Organisationen steuern diese Rechner über Bot-Nets und vermieten diese für alle möglichen Kampagnen.

Die »Mieter« solcher Netze verschicken darüber Spam, halb legale, halb illegale Anwendungen, junge Malware oder greifen darüber die IT-Infrastruktur von anderen Firmen an. Nach Informationen der Times Online hat ein einziger Phishing-Angriff über das Storm-Bot-Net vor zwei Jahren rund 150 Millionen Dollar eingebracht.

Beispiel: Internet-Wurm »Conficker«

Eine hohe Motivation also für die Programmierer, etwa des Wurms Conficker, der wie die meisten modernen Attacken eine bekannte Schwäche ausnutzt und darüber feindliche Programmzeilen auf Windows-Rechner aufspielt.

Der Exploit war seit Oktober 2008 bekannt, ein Patch von Microsoft Tage später verfügbar. Ihren Höhepunkt erreichte die Infektion aber im März dieses Jahres.

IT-Sicherheitsfirmen wie F-Secure [1] sprechen von neun Millionen infizierten Systemen, andere Fachleute gehen mehr als zehn Millionen Rechnern aus. Dieses Beispiel zeigt: Die aktuellen Abwehrsysteme haben schlecht funktioniert, und Sachverständige haben die Gefahr offensichtlich unterschätzt.

Wie Stateful-Inspection funktioniert

IT-Abteilungen überschätzen die Effizienz der eigenen Abwehrstrukturen. Nur wenige scheinen sich bislang einzugestehen, dass ein wichtiges Element an Wirkung einbüßte: die Stateful-Inspection-Firewall. Dabei lassen sich die Ursachen technisch eindeutig belegen.

Die Single-Pass-Technik von Palo Alto: User-, Content- und Anwendungs-ID werden zu einem Profil zusammengefasst.

Prinzipiell wertet eine solche Firewall aus, welche UDP- oder TCP-Pakete eine Anwendung auf den OSI-Ebenen 3 und 4 austauschen. Sie zeichnet dabei in ihren lokalen Verbindungstabellen auf, in welchem zeitlichen und protokolltechnischen Zusammenhang diese Pakete stehen. Ein Regelwerk schreibt dabei vor, welche Parameter erlaubt sind.

Die Firewall blickt zudem flüchtig von außen auf die Anwendungsinformationen, um dort Zusammenhänge zwischen den Dateninhalten zu identifizieren. Sie wertet beispielsweise aus, ob die Header der Pakete oder ihre Abfolge zum Protokoll passen oder ein eingehendes Paket zu einer bereits in den Statustabellen als legal gelisteten Verbindung passt.

Sendet ein Zielsystem also Informationen, die vom internen Client nicht angefordert wurden, blockiert die Firewall den Transfer selbst bei bestehender Verbindung zwischen Client und Zielsystem.

Veraltetes Verfahren

Diese Methode wurde vor der Jahrtausendwende entwickelt. Zu einer Zeit, in der Anwendungen anhand von TCP- und UDP-Parametern eindeutig zu identifizieren waren, Netze klare Grenzen hatten und sich das Verhalten der Anwender und Programme einfacher kontrollieren ließ.

Diese Eindeutigkeiten sind passé: Die meisten geschäftskritischen Anwendungen wurden in Richtung Web umgeschrieben oder gleich auf Basis von Webdiensten und -protokollen wie SOAP, XML oder HTTP entwickelt. Das hat für die User den Vorteil, dass sie von überall aus per Browser auf ihre Anwendungsmasken zugreifen können.

Der Aufbau eines Firewall-Systems von Palo Alto: Control- und Data-Backplane arbeiten getrennt voneinander, um die Leistung zu erhöhen.

Die Folgen für Stateful-Inspection-Firewalls sind dagegen dramatisch. Sie sind teilweise blind, denn die Protokolle der geschäftskritischen Applikationen verwenden mit Port 80 die gleiche Portnummer wie der Anwender, der im Web surft.

Regelwerke werden immer komplizierter

Die IT-Verantwortlichen behelfen sich damit, indem sie weitere Parameter aufgreifen, um so ein wichtiges Programm von Unwichtigem zu trennen. Ein solcher Parameter ist beispielsweise die Adresse der Applikationsserver.

Der wahren Natur der Anwendung kann sich die Stateful-Inspection-Engine auf diese Weise nur vage annähern – mit Hilfe eines komplexen Regelwerks und ohne sie ganz zu erfassen.

Das hat zur Folge, dass die Regelwerke anschwellen, weil sie immer mehr Parameter aufnehmen müssen. Sobald sich die Netzstruktur verändert, müssen zusätzliche Werte wie die Zieladressen aktualisiert werden. Der Managementaufwand wird dadurch immer größer.

Mit dem aktuellen Trend zur Virtualisierung verschärft sich die Lage noch: Virtualisierte Applikationen benutzen virtuelle Interfaces mit flexibel zugewiesenen IP-Adressen. Welchen Wert haben diese willkürlich wechselnden Destination-Adressen dann noch für eine strenge Firewall-Policy?

Die nächste Generation von Firewalls

»Die Stateful-Inspection-Engine ist in ihrer Entwicklung stehen geblieben«, konstatiert selbst Nir Zuk, der diese Analyse-Engine für Check Point [2] erfunden und später als Chief Technology Officer für Netscreen [3] (später von Juniper Networks [4] übernommen) weiter entwickelt hat. »Denn diese Technik stellt keinerlei Kontext zwischen User, Anwendung und den darüber ausgetauschten Daten her – einfach deshalb, weil sie weder den Anwender einbindet, noch die wahre Natur der Anwendung erkennt.« Doch diese Informationen seien für eine zeitgemäße Security-Struktur essenziell.

Inzwischen ist Zuk Chief Technology Officer des jungen Firewall-Anbieters Palo Alto Networks [5] und betätigt sich dort quasi als Totengräber seiner eigenen Schöpfung. Unter seiner Federführung entstand die »Next Generation Firewall« von Palo Alto Networks.

Basis: Verhalten des Users

Sie folgt einem völlig anderen Denkansatz: Der User steht im Mittelpunkt. Seine Aktionen und die von ihm verwendeten Programme werden inhaltlich geprüft. Diese Firewall-Generation befreit sich damit von der Abhängigkeit von Netzparametern zu Gunsten einer mehrstufigen Layer-7-Klassifizierung und bindet den User direkt in die Policy mit ein.

Der Sicherheitsfachmann sieht auf einer Web-Oberfläche, welcher User welche Anwendungen nutzt und kann diese freigeben oder sperren. In Deutschland müssen Teile dieser Informationen wegen des Datenschutzes allerdings anonymisiert werden.

Die Firewall beobachtet die benutzten Protokolle, deren Codierung und die tatsächlich ausgetauschten Daten und kombiniert diese Werte in Echtzeit mit den Resultaten der verhaltensbezogenen Heuristik. Auf diese Weise erkennt sie den »wahren Charakter« des Programms, unabhängig davon, welche Ports, Ziel- und Sendeadressen es aktuell verwendet.

Die Analyse der Inhalte erfolgt direkt im Datenstrom und nicht erst dann, wenn die Datei oder Session komplett im Speicher zusammengesetzt ist. Dieses Verfahren ist schneller und verbraucht weniger Speicherressourcen.

Dank des vierstufigen Fingerprint-Verfahren kann der Hersteller zugleich Angriffe gegen Vulnerabilities von Anwendungen erkennen und wie ein Intrusion-Prevention-System aus dem Datenstrom herausfiltern.

Im eigenen Analyselabor entwickeln die Techniker von Palo Alto parallel dazu eigene Signaturen, um eindeutige Angriffe auf schnellem Wege als solche zu erkennen und zu blockieren. Außerdem greift der Hersteller auf die Malware-Signaturen mehrerer Dritthersteller zurück, ohne deren Engine zu verwenden. Die Firewall sucht also direkt im Stream nach bekannten Viren und Würmern.

Feinkörnige Policies

Gleichzeitig kann für jeden einzelnen Anwender oder jede Usergruppe im gesamten Unternehmen in einem Regelwerk festgelegt werden, welche Anwendungen wer wann und wo nutzen darf. So lässt sich beispielsweise für jeden User festlegen, dass SSL-kodierte Zugriffe auf die Online-Services einer Bank während der Mittagszeit erlaubt sind, während sie zu anderer Zeit geblockt werden.

Der Administrator darf außerdem festlegen, ob er bestimmte SSL-geschützte Dienste über die Appliance terminieren und so auch deren Inhalte untersuchen möchte.

Für Anwendungen und Nutzer können Rollen festgelegt werden, etwa

Das System befragt die typischen User-Datenbanken im Netzwerk, sei es ein Active-Directory oder andere LDAP-Stores, und gleicht dort die User-Profile und Rollendefinitionen ab. Alle Aktionen der Nutzer werden aufgezeichnet, wobei Palo Alto diese Informationen aus Gründen des Datenschutzes auch anonymisieren kann.

Die gesammelten Daten wertet die Firewall in Berichten in der Management-Konsole aus. Dort kann der Security-Verantwortliche dann zum ersten Mal sehen, welche Anwendungen in seinem Netzwerk überhaupt laufen.

»Dies ist für manche Kunden ein richtiges Aha-Erlebnis«, sagt Jan Koopmann, Geschäftsführer des IT-Dienstleisters Seceidos [6]. Er testet die Palo-Alto-Systeme seit der Markteinführung in Deutschland im Februar 2009 intensiv im eigenen Unternehmen und bei verschiedenen Kunden.

»Der Traffic lässt sich Personen und IP-Adressen eindeutig zuordnen. Da die Geräte auch sehr schnell und einfach in ein vorhandenes System einzubinden sind, sehen die Anwender in sehr kurzer Zeit das Ergebnis«, so Koopmann.

Deployment-Konzepte

Dafür, dass die Firewall trotz der aufwändigen Inhaltsanalysen keine Flaschenhälse verursacht, sorgt eine ausgeklügelte Hardware-Architektur. Control- und Data-Plane, also Management und Packet-Forwarding, sind voneinander getrennt. Dies ist beispielsweise bei High-End-Routern obligatorisch, um eine hohe Ausfallsicherheit zu erreichen.

Die Firewalls von Palo Alto Networks lassen sich auf drei Arten implementieren.

Die ressourcenintensiven Analysen auf Layer 7 wurden in programmierbaren ASICs abgebildet, die im Zusammenspiel Transferraten von 10 GBit/s garantieren sollen, mit geringer Latenzzeit.

Systeme für kleine und große Firmen

Dieses Paket aus dezidierter Hard- und Software ist in Hardware-Appliances verschiedener Größe eingebaut. So sind die kleinsten Systeme der PA-2000-Serie für größere Außenstellen und mittelständische Firmen konzipiert. Sie erreichen Durchsatzraten von 500 MBit/s bis zu 1 GBit/s. Die High-End-Appliances der PA-4000-Serie dagegen sind für Konzerne konzipiert, die Transferraten von 2 bis 10 GBit/s benötigen.

Damit Palo Alto die Effizienz ihrer Firewall-Engine belegen kann, ohne dass der IT-Verantwortliche sein Netzwerk radikal umstrukturieren oder seine existierende Firewall ausschalten muss, unterstützt der Hersteller mehrere Deployment-Konzepte.

Zum einen lässt sich die Appliance traditionell direkt an den Spam-Port eines Switches anbinden. Zum anderen beherrschen die Systeme den »Transparent-Inline-Modus«. In diesem Fall wird die Appliance direkt hinter der existierenden Firewall eingebunden, ohne dass sich etwas an der IP- oder MAC-Adressen-Struktur etwas verändert. Dank dieses Modus bleibt sie aus Topologiesicht von außen vollkommen unsichtbar, also auch nicht angreifbar.

[1] http://www.f-secure.de
[2] http://www.checkpoint.com
[3] http://www.netscreen.com
[4] http://www.juniper.net/
[5] http://www.paloaltonetworks.com/
[6] http://www.seceidos.de/

Verwandte Artikel