10 nützliche funktionen, die ihre firewall bieten sollte · 2020-01-24 · 10 nützliche...
TRANSCRIPT
Eine Firewall, die Bedrohungen abwehrt, ist erst der Anfang …
10 nützliche Funktionen, die Ihre Firewall bieten sollte
Inhalt
Die Firewall wird erwachsen 1
Die Application Firewall 2
1. nützliche Funktion: Verwalten von Streaming Video 3
2. nützliche Funktion: Gruppenbasierte Bandbreitenverwaltung 4
3. nützliche Funktion: Kontrolle über ausgehende Web-Mails 5
4. nützliche Funktion: Verwenden vorgegebener Anwendungen 6
5. nützliche Funktion: Blockieren von FTP-Uploads 7
6. nützliche Funktion: Kontrolle über P2P-Anwendungen 8
7. nützliche Funktion: Verwalten von Streaming-Musikdateien 9
8. nützliche Funktion: Priorisierung der Bandbreite für Anwendungen 10
9. nützliche Funktion: Blockieren von vertraulichen Dokumenten 11
10. nützliche Funktion: Blockieren verbotener Dateien mit Warnmeldung 12
Unter dem Strich 13
Konventionelle Firewalls zielen darauf ab, einfache Bedrohungen
und Eindringversuche abzuwehren.
Business-Firewalls bieten zusätzlich Unifi ed Threat Management
(UTM)-Services wie Anti-Virus, Anti-Spyware, Intrusion Prevention,
Content Filtering und sogar einige Anti-Spam-Services für einen
effi zienteren Schutz vor Bedrohungen.
Die Firewall wird erwachsen
1
... doch Bedrohungen abzuwehren ist erst der Anfang.
Bei einem Großteil des Verkehrs, der
die Firewall passiert, handelt es sich
nicht um Bedrohungen, sondern um
Anwendungen und Daten. Aus diesem
Grund wurde eine Application Firewall
entwickelt, die alle Daten und Anwen-
dungen verwalten und kontrollieren
kann, die durch die Firewall geleitet
werden.
Was macht eine Application Firewall?
Eine Application Firewall bietet Funktionen zur
Bandbreitenverwaltung und -kontrolle, Möglichkeiten
zur Zugriff ssteuerung auf der Anwendungsebene,
Kontrollfunktionen, die verhindern, dass Daten nach
außen dringen oder die den Transfer von bestimmten
Dateien und Dokumenten einschränken sowie viele
andere Features.
Und wie funktioniert sie?
Eine Application Firewall erlaubt individuelle
Zugriff skontrollen nach Benutzer, Anwendung,
Zeitplan oder IP-Subnetz-Ebene. Auf diese Weise
können Administratoren Sicherheitsregeln für
sämtliche verfügbare Anwendungen erstellen und
diese erstmals umfassend verwalten.
2
Die Application Firewall
Ermöglicht die Klassifi zierung, Kontrolle und Verwaltung von Anwendungen und Daten, die Ihre Firewall passieren.
Unbedenkliche Daten■ Geschützt■ Erwünscht
Bedrohungen■ Gefährlich■ Unerwünscht
Daten und Anwendungen
Streaming Video-Seiten, wie z. B. youtube.com können zwar manchmal nützlich sein,
doch häufi g werden sie für private Zwecke genutzt. Eine Möglichkeit wäre hier, die
Seiten ganz zu sperren. Die bessere Lösung wäre aber wohl, die für Streaming Video-
Seiten verfügbare Bandbreite einzuschränken.
Defi nieren Sie eine Regel, um Streaming Video einzuschränken.■ Verwenden Sie die Deep Packet Inspection (DPI) Engine, um im HTTP-Header nach
dem HTTP-Host = www.youtube.com zu suchen.
■ Beschränken Sie die Bandbreite für Datenverkehr mit diesem Header.
1. nützliche Funktion: Verwalten von Streaming Video
3
Zu bestimmten Tageszeiten, z. B. zwischen 9 und 17 Uhr können Sie die Bandbreite für Anwendungen einschränken.
Gewünschte Streaming Video-Bandbreite Zugewiesene Streaming Video-Bandbreite
Im vorherigen Abschnitt haben wir Bandbreitenbeschränkungen für Streaming Video-Seiten wie youtube.com
eingerichtet. Nun bemängeln der CEO und CFO, dass die „Videoseiten mit den Wirtschaftsnachrichten“, die
sie täglich sehen, zu langsam sind. Eine Möglichkeit wäre, die Bandbreitenbeschränkungen für alle Mitarbeiter
zu lockern, doch auch hier gibt es eine bessere Lösung: gruppenbasierte Bandbreitenverwaltung.
Defi nieren Sie eine Regel, die Führungskräfte bei Streaming Video-Beschränkungen ausnimmt. ■ Wenden Sie diese Regel auf die von Ihrem LDAP-Server importierte Gruppe „Führungskräfte“ an.
■ Verwenden Sie die Deep Packet Inspection (DPI) Engine, um im HTTP-Header nach dem HTTP Host =
www.youtube.com zu suchen.
■ Wenden Sie die Bandbreiten-Garantie auf Datenverkehr mit diesem Header an.
2. nützliche Funktion: Gruppenbasierte Bandbreitenverwaltung
4
Gewünschte Streaming Video-BandbreiteZugewiesene Streaming Video-Bandbreite für FührungskräfteZugewiesene Streaming Video-Bandbreite für alle anderen Mitarbeiter
3. nützliche Funktion: Kontrolle über ausgehende Web-Mails
Nehmen wir einmal an, dass Ihre bestehende Anti-Spam-Lösung normale aus-
gehende E-Mails mit „vertraulichen Firmendaten“ erkennen und blockieren kann.
Aber was machen Sie, wenn ein Mitarbeiter „vertrauliche Firmendaten“ über
einen Web-Mail-Service wie Yahoo® oder Gmail® versendet?
Defi nieren Sie eine Regel, um E-Mails mit „vertraulichen Firmendaten“
zu blockieren.
■ Die Deep Packet Inspection (DPI) Engine sucht nach dem E-Mail-Body =
„vertrauliche Firmendaten“.
■ Blockieren Sie die Nachricht und informieren Sie den Absender, dass die
Nachricht „vertrauliche Firmendaten“ enthält.
5
Von: böswilligernutzer@ihr_unternehmen.comAn: bö[email protected] : EntwicklungsprojektplanHier ist der Projektplan. Jan 09 – Version 7.0Dieses Dokument enthält vertrauliche Firmendaten.
STOP
Von: guternutzer@ihr_unternehmen.comAn: [email protected] : StundennachweisHallo Herr Bauer, hiermit bestätige ich Ihre Stunden für diese Woche. Max Maier
OK
4. nützliche Funktion: Verwenden vorgegebener Anwendungen
Ihr Chef möchte, dass Internet Explorer (IE) 7.0 als Standard-Browser verwendet wird.
Ihre Aufgabe ist es dafür zu sorgen, dass auf allen Firmenrechnern IE 7.0 verwendet wird
– und nichts anderes!
Mögliche Lösungen
1. Sie prüfen jeden Tag alle Systeme auf „fremde“ Browser.
2. Sie programmieren ein Skript, das alle Systeme auf „fremde“ Browser prüft und
sorgen dafür, dass täglich alle Systeme geprüft werden.
3. Sie defi nieren eine Application Firewall-Regel und müssen sich weiter um nichts kümmern.
Erstellen Sie eine “Ich-habe-Wichtigeres zu-tun”-Regel.■ Die Deep Packet Inspection (DPI) Engine sucht im HTTP-Header
nach dem User Agent = MSIE 7.0.
■ Gibt den Datenverkehr auf IE 7.0 frei und blockiert andere Browser.
6
5. nützliche Funktion: Blockieren von FTP-Uploads
Sie richten für einen Ihrer Geschäftspartner eine FTP-Site für den Austausch großer Dateien ein
und möchten sicherstellen, dass nur der Projektmanager bei der Partnerfi rma und niemand an-
deres Dateien hochladen kann.
Defi nieren Sie eine Regel, die den FTP-Upload nur für bestimmte Personen freigibt.
■ Die Deep Packet Inspection (DPI) Engine sucht nach dem FTP-Befehl = PUT.
■ Die DPI Engine sucht nach dem autorisierten Benutzernamen = „pm_partner”.
■ Wenn beides zutriff t, „PUT“ erlauben.
Sie können auch FTP-Befehle abweisen, wenn Ihnen diese auf einem bestimmten FTP-Server „unnötig“ erscheinen.
vertrieb_partner: put fi le
mktg_partner: put fi le
vertrieb_partner: put fi le
pm_partner: put fi le
7
6. nützliche Funktion: Kontrolle über P2P-Anwendungen
Problem Nr. 1: Peer-to-Peer (P2P)-Anwendungen wie z. B. BitTorrent können Bandbreite
verschlingen und alle möglichen Arten bösartiger Dateien einschleppen.
Problem Nr. 2: Ständig tauchen neue P2P-Anwendungen auf oder es werden minimale
Änderungen an vorhandenen P2P-Anwendungen (z. B. eine neue Versionsnr.) vorgenommen.
Defi nieren Sie eine Regel, um P2P-Anwendungen zu erkennen.
Die Deep Packet Inspection (DPI) Engine sucht in der IPS-Signaturenliste nach P2P An-
wendungssignaturen.
P2P-Anwendungen können blockiert oder anhand von Bandbreiten- und Zeitbeschränkungen eingegrenzt werden.
IPS-Signaturenliste
BitTorrent-6.1BitTorrent-6.0.3BitTorrent-6.0.2BitTorrent-6.0.1
… hunderte mehr
IPS-Signaturenliste
SonicWALL-Updates werden empfangen
und angewendet.
IPS-Signaturenliste
BitTorrent-6.1.1
BitTorrent-6.1BitTorrent-6.0.3BitTorrent-6.0.2
… hunderte mehr
+ =
Das Ergebnis■ Sie können P2P-Anwendungen
verwalten und kontrollieren.
■ Sie verlieren keine Zeit mit der Aktualisierung
von IPS-Signaturregeln.
8
7. nützliche Funktion: Verwalten von Streaming-Musikdateien
Streaming Audio- und Streaming Radio-Seiten beanspruchen wertvolle Bandbreite.
Doch in vielen Fällen ist der Zugriff auf diese Seiten tatsächlich arbeitsrelevant. Es gibt
zwei Möglichkeiten, dieses Dilemma zu lösen:
Kontrolle nach Website
Erstellen Sie eine Liste von Streaming Audio-Seiten, die Sie verwalten möchten.
Defi nieren Sie eine Regel, um Streaming Audio-Seiten zu erkennen.
■ Verwenden Sie die Deep Packet Inspection (DPI) Engine, um im HTTP-Header
nach dem HTTP-Host = Sperrliste für Streaming Audio-Seiten zu suchen.
Kontrolle nach Dateiendung
Erstellen Sie eine Liste mit den Audiodatei-Endungen, die Sie verwalten möchten.
Defi nieren Sie eine Regel, um Streaming Audio-Inhalte zu erkennen.
■ Verwenden Sie die Deep Packet Inspection (DPI) Engine, um im HTTP-Header nach
der Dateiendung = Sperrliste für Streaming Audio-Seiten zu suchen.
Sobald Streaming Audio „erkannt“ wurde, können Sie die Daten blockieren oder nur die Bandbreite verwalten.
9
8. nützliche Funktion: Priorisierung der Bandbreite für Anwendungen
Heute sind viele geschäftskritische Anwendungen wie SAP®, Salesforce.com® und Share-
Point® Cloud-basiert oder werden in geografi sch verteilten Netzwerken eingesetzt. Wenn
diese Anwendungen priorisiert werden und die Netzwerkbandbreite zugeteilt bekommen,
die sie benötigen, um optimal zu funktionieren, kann dies die Produktivität des Unterneh-
mens erhöhen.
Defi nieren Sie eine Regel, um einer SAP-Anwendung Bandbreitenpriorität zu-
zuordnen.■ Die Deep Packet Inspection (DPI) Engine sucht nach der Anwendungssignatur oder
dem Anwendungsnamen.
■ Ordnen Sie der SAP-Anwendung eine höhere Bandbreitenpriorität zu.
Die Anwendungspriorität kann sich nach einem Datum richten(z. B. Priorität am Quartalsende für Vertriebsanwendungen).
SAPSalesforce.comSharePoint
Andere
10
Es gibt Unternehmen, in denen ausgehende E-Mails kein E-Mail-Sicherheitssystem
durchlaufen oder bei denen der Inhalt von E-Mail-Anhängen nicht geprüft wird.
In beiden Fällen können Dateianhänge mit „vertraulichen Informationen“
problemlos nach außen gelangen.
Da der ausgehende Netzwerkverkehr Ihre Firewall passiert, können Sie diese
Daten während der Übertragung („Data in Motion“) erkennen und blockieren.
Defi nieren Sie eine Regel, um E-Mail-Anhänge mit dem Wasserzeichen
„Vertrauliche Firmendaten“ zu blockieren.■ Die Deep Packet Inspection (DPI) Engine sucht nach dem
E-Mail-Inhalt = „Vertrauliche Firmendaten“ und dem
E-Mail-Inhalt = „Firmeneigentum“ und dem
E-Mail-Inhalt = „Privateigentum“ und …
9. nützliche Funktion: Blockieren von vertraulichen Dokumenten
Diese Funktion lässt sich auch für den Datenaustausch über einen FTP-Server realisieren!
11
10. nützliche Funktion: Blockieren verbotener Dateien mit Warnmeldung
DOWNLOAD
Sicherheitsrisiko
Aktivität: Sie versuchen eine Dateimit einer nicht zugelassenen Datei-endung (.exe, .pif, .src oder .vbs) her-unterzuladen oder zu empfangen.Aktion: Diese Datei wurde entspre-chend den Unternehmensrichtlinien blockiert.Weitere Infos: Eine umfassende Liste mit den nicht zugelassenen Dateien fi nden Sie auf den Sicher-heitsseiten im Intranet.
FTP
Website
Bösartig.pif
FTP
Bösartig.vbs
Bösartig.exe
SonicWALL NSA mit
Application Firewall
Erstellen Sie eine Liste nicht zugelassener Dateien.
Defi nieren Sie eine Regel, um nicht zugelassene Dateiendungen zu blockieren.
■ Die Deep Packet Inspection (DPI) Engine sucht auf HTTP-Seiten, in E-Mail-Anhängen
oder auf FTP-Servern nach der Dateiendung = verbotene Dateiendungen.
Falls eine Datei blockiert wird, Warnmeldung senden.
12
Kann Ihre Firewall …
■ verhindern, dass eine EXE-Datei von einer Website heruntergeladen wird?
■ eine EXE-Datei im E-Mail-Anhang blockieren?
■ verhindern, dass eine EXE-Datei über FTP
übertragen wird?
Und was ist mit PIF-, SRC- oder VBS-Dateien?
Unter dem Strich
13
High Performance-Firewall
+ Unifi ed Threat Management
+ Application Firewall
SonicWALL Network Security Appliance
Performance, Schutz und punktgenaue Kontrolle
©2008 SonicWALL, das SonicWALL-Logo und Protection at the Speed of Business sind eingetragene Marken von SonicWALL, Inc. Alle anderen hier erwähnten Produktnamen sind Eigen-tum der jeweiligen Inhaber. Änderung technischer Daten und Produktbeschreibungen ohne vorherige Ankündigung vorbehalten. 10/08 SW 466
Weitere Informationen■ Übersicht über die SonicWALL NSA-Modelle mit Application Firewall: http://www.sonicwall.com/us/products/NSA_Series.html
■ Datenblatt: http://www.sonicwall.com/downloads/NSA_Series_DS_US.pdf
■ Praktische Beispiele zur Application Firewall mit Produktbeispielen: http://www.sonicwall.com/downloads/SonicOS_Application_Firewall_Practical_Examples_Guide_technote.pdf
■ Application Firewall-User Guide: http://www.sonicwall.com/downloads/Application_Firewall_5.1e_Feature_Module.pdf
Wenn Sie uns Feedback zu diesem E-Book, anderen E-Books oder Whitepapers von SonicWALL geben möchten, senden Sie eine E-Mail an folgende Adresse: [email protected].
Über SonicWALLAls führender IT-Sicherheitsanbieter sorgt SonicWALL® mit seinen intelligenten und dynamischen Service-, Software- und Hardware-Lösungen für den reibungslosen Betrieb von High-Performance-Unternehmensnetzen und senkt nicht nur die Risiken und Kosten, sondern auch die Komplexität. Weitere Informationen erhalten Sie auf unserer Website unter www.sonicwall.com/de.