zur Übersicht

Next Generation Firewall vs. Intrusion Prevention System

NGFW und IPS – auch wenn beide Abkürzungen nicht im Kultsong „MfG“ von den Fantastischen 4 enthalten sind, erfreuen sich beide trotzdem aktueller Bedeutung. Wofür NGFW und IPS stehen, welche technischen Funktionen jeweils erfüllt werden können und vor allem die Klärung der Fragen nach Positionierung und Koexistenz, werden wir in diesem Artikel erläutern.

NGFW – Next Generation Firewall

Traditionelle Firewalls untersuchen Netzwerkpakete auf Basis von Headerinformationen wie Protokolltyp, Quell- und Zieladresse sowie Quell- und Zielport. Das System arbeitet default-deny regelbasiert. Demzufolge wird Datenverkehr nur zugelassen, wenn dieser per Regelwerk explizit definiert und erlaubt ist.

Mittlerweile wird Datenverkehr zum Großteil per http und https abgebildet. Dementsprechend ist die reine Prüfung der Datenpakete nicht mehr ausreichend, da unterschiedlichste Anwendungen dieselben Kommunikationswege benutzen. Somit kann eine traditionelle Firewall nicht zwischen gewünschtem Datenverkehr über Office365 und unerwünschtem Datenverkehr über Dropbox unterscheiden. Beide Anwendungen kommunizieren über https und Port 443, welcher per Regelwerk zulässig ist. Auch Programme wie Teamviewer, Skype oder WhatsApp nutzen https, um nur ein paar Beispiele zu nennen.

Next Generation Firewall-Systeme gehen über die Funktionen herkömmlicher Firewalls hinaus und erlauben zusätzlich die Inspektion von Datenverkehr auf Anwendungsebene. Zusätzlich zu Headerinformationen wird außerdem die Payload des Datenstroms analysiert. Somit können Anwendungen identifiziert und das Regelwerk granular erweitert werden. Neben dem vollständigen Blockieren von Anwendungen können diese auch in der zu nutzenden Bandbreite eingeschränkt werden. Da der gesamte Datenstrom analysiert wird, lässt sich auch Schadcode identifizieren und abwehren. Gerade in Verbindung mit dem oftmals integrierten IPS kann so zusätzlicher Schutz für das Netzwerk realisiert werden, da bereits am Gateway Angriffe wie beispielsweise SYN Flood abgewehrt werden.

Weitere Funktionen wie Anti-Virus, Anti-Spam, Web- und Mailproxy machen Next Generation Firewalls für alle Unternehmensgrößen interessant.

IPS – Intrusion Prevention System

Die Überflutung des Netzwerks mit Daten durch Netzwerkviren, die Ausnutzung von Schwachstellen in Betriebssystem- und Anwendungssoftware oder der unberechtigte Zugang zu einem Webserver durch SQL-Injection sind nur einige Beispiele für mögliche Angriffspunkte in einem Netzwerk.

Im Gegensatz zu reinen Intrusion Detection Systemen sind IPS in der Lage, nicht nur über das Eindringen in das Netzwerk zu informieren, sondern auch konkrete Gegenmaßnahmen einzuleiten.

Ein Intrusion Prevention System überwacht aktiv den Datenverkehr in Netzwerken. Verschiedene Prozesse zur Inspektion der Datenpakete prüfen sowohl Headerinformationen, als auch die eigentliche Payload. Abweichungen von regulärem Datenverkehr können so identifiziert und analysiert und Angriffe, Missbrauchsversuche oder Sicherheitsverletzungen können erkannt und blockiert werden.

IPS ersetzen weder ordentliches Netzwerkdesign, noch vernünftiges Patchmanagement. Allerdings kann die Funktion eines IPS mit einem Pflaster verglichen werden, das die Infektion einer Wunde verhindert, bis die endgültige Heilung abgeschlossen ist.

NGFW vs. IPS – Positionierung im Netzwerk

Firewalls werden in der Regel am Perimeter positioniert. Dementsprechend wird Datenverkehr gefiltert, der in das Netzwerk geschleust wird oder dieses verlässt. Dabei wird durch die Kombination der einzelnen Module ein umfassender Schutz des Netzwerks von außen aufgebaut.

positionierung-ips

Intrusion Prevention Systeme finden an vielen Stellen im Netzwerk Einsatzmöglichkeiten. Neben der klassischen Platzierung am Perimeter (vor der Firewall, zur Abwehr von beispielsweise SYN-Flood Angriffen) kann auch die Analyse von internem Datenverkehr notwendig werden. Gerade Dirty-Traffic aus VPNs (insbesondere bei Verfolgung einer BYOD Strategie) und DMZ erfordert eine intensive Prüfung. Unter Berücksichtigung möglicher Angriffsvektoren (Web, E-Mail, etc.) kann auch der Einsatz des IPS zwischen internen Netzen (Verwaltung, Produktion, Buchhaltung, etc.) durchaus als legitim betrachtet werden. Der Datenverkehr wird transparent zwischen den einzelnen Netzwerksegmenten durch das IPS gefiltert.

NGFW vs. IPS – Was brauche ich nun?

Stellen wir uns vor, wir möchten unser Haus schützen. Wir errichten eine Mauer um unser Grundstück und stellen einen Sicherheitsdienst ein, der regelmäßig patrouilliert. Außerdem werden Videokameras montiert, die Bewegungen auf dem Gelände aufzeichnen. Sollten alle Maßnahmen versagen, haben wir unser Haus allerdings mit einer Alarmanlage gesichert. Vor den einbruchsicheren Fenstern sind zusätzliche Gitter montiert und auch die Haustür entspricht Widerstandsklasse RC6. Es ist also nahezu unmöglich, in unser Eigenheim einzubrechen. Der eingerichtete Schutz kann mit der Funktion einer Next-Generation Firewall am Perimeter verglichen werden.

Bei näherer Betrachtung fällt allerdings auf, dass das System Schwachstellen aufzeigt. In dem Moment, in dem wir Freunden, Bekannten, Handwerkern, etc. Zugang zu unserem Haus gewähren, ist sämtlicher Schutz von außen umgangen. Die Zimmer im Haus können nach Belieben betreten werden, unser Eigentum kann beschädigt oder gestohlen werden. Also installieren wir auch im Haus eine Videoüberwachung. 

Die Schlussfolgerung ist eindeutig: NGFW und IPS ersetzen einander nicht. Vielmehr ist ein IPS im internen Netz eine sinnvolle Erweiterung vorhandener Schutzmaßnahmen um eine bestmögliche Absicherung des Netzwerks zu realisieren. Zusätzlich wird ein automatisches Schließsystem der Zimmertüren eingerichtet und wir engagieren einen Butler, der Besucher begleitet. Ein Intrusion Prevention System bietet also für das interne Netzwerk neben der Überwachung und Alarmierung (Videoüberwachung) auch Schutzfunktionen (Schließsystem, Butler).

Verfasser: Marco Schmidt

Wann braucht man also ein IPS? Diese Frage zusammen mit den 15 wichtigsten Punkten der IPS-Auswahl können Sie in diesem Blogbeitrag nachlesen. 

Vereinbaren Sie einen Beratungstermin mit uns!

zur Übersicht

Marco Schmidt

Sie haben Fragen?

Gerne beantworten wir Ihre Fragen und informieren Sie über unsere Referenzprojekte!

Nehmen Sie Kontakt auf

Das könnte Sie auch interessieren

Moderner Schutz fürs Data Center: Trend Micro Hybrid Cloud Security

Im Lauf der letzten Jahrzehnte konnten wir innerhalb der IT-Welt bei einer Art Transformation zusehen. Das Wort Transformation steht dafür, dass ein grundlegender Wandel stattfindet. Es treten sprunghafte Veränderungen z.B. bei technologischen Entwicklungen auf, die daraus resultieren, dass es sowohl neue Möglichkeiten, also auch veränderte Bedürfnisse gibt. Dabei ist dieser Entwicklungsprozess auch immer mit vielen Unsicherheiten verbunden.

30.04.21 09:30

Eine Firewall mit Röntgenblick

Firewalls sind aus den heutigen Kommunikationsketten zwischen Firmennetzen und dem Internet nicht mehr wegzudenken und auch den Ruf sie seien reine Paketfilter, haben sie schon lange abgelegt.

16.04.21 09:13

Sicher & performant – immer & überall, mit Citrix

Weltweit arbeiten mehrere Millionen Anwender aus dem Mittelstand, Konzernen und auch aus der öffentlichen Verwaltung mit den Technologien von Citrix. Im letzten Jahr ist die Nutzung sprunghaft angestiegen – kein Wunder, denn wir sorgen mit unseren Lösungen dafür, dass Mitarbeiter*innen ihre tägliche Arbeit unabhängig von Zeit und Ort ausführen können. New Work ist im Alltag angekommen.

09.04.21 10:36

Robert F. Krick

Geschäftsführer

Starten Sie jetzt
eine Anfrage

In unseren Stellenausschreibungen nicht den passenden Job gefunden? Macht nichts. Unser Team wächst stetig, deshalb sind wir immer auf der Suche nach Teamplayern und freuen uns über Deine Initiativbewerbung. Sende uns diese an: bewerbung@krick.net