Neue Techniken für Firewalls
Warum Stateful-Inspection-Firewalls Schnee von gestern sind
Anwendungen haben sich in den vergangenen Jahren ebenso stark gewandelt wie die Angriffstechniken auf Rechner und Netze. In den Grundzügen unverändert geblieben ist jedoch die Firewall-Technik »Stateful-Inspection«, die den Großteil aller Unternehmensnetzwerke schützen soll. Sie ist mittlerweile allerdings auf der ganzen Linie überfordert. Eine neue Firewall-Generation könnte Abhilfe schaffen.
Es sind Programme wie Skype, welche die heutige IT-Landschaft bevölkern und an denen sich die gravierenden Probleme bestehender Abwehrstrukturen aufzeigen lassen: Skye, an sich ganz bestimmt nicht »böse«, installieren Anwendern gerne auch im Firmennetz.
Es ist eines dieser kostenlosen und praktischen Instant-Messaging-Programme, mit denen sich nicht nur einfach kommunizieren lässt, sondern auch Daten ausgetauscht werden, und zwar vollkommen unkontrolliert. Denn Skype arbeitet sehr trickreich, es tarnt sich, versteckt sich, verschlüsselt die Daten und nutzt dynamische Ports.
Dieser typischen Arbeitsweise von Programmen wie Instant-Messaging-Software, Webmailern, Peer-to-Peer-Filesharing oder auch Social Networks steht die dominierende Firewall-Analysetechnik auf Basis von Stateful Inspection recht hilflos gegenüber. Ports und IP-Adressen zu kontrollieren, hilft hier nicht weiter.
Systembedingte Sehschwäche
Tools wie Skype verwenden eben keine »Well-known Ports« mehr, auch keine festen Server-IP-Adressen. Blockt eine Firewall einen Verbindungsversuch, so sucht das Programm selbständig einen anderen Weg ins Netz. Skype klappert dazu andere Ports ab und probiert alternative Transportprotokolle aus, bis die Verbindung irgendwann einmal zustande kommt.
Der VAF Bundesverband Telekommunikation warnte bereits Ende 2007: »Skype reißt Löcher in Firewalls. Unternehmen verlieren die Kontrolle über den externen Datenverkehr.« Der Verband hätte diese Angabe präzisieren sollen: »Skype reißt Löcher in Systeme, die auf Basis der Stateful-Inspection-Engine arbeiten, weil diese die Dateninhalte nicht einsehen kann.«
Tunnelprogramme bremsen URL-Blocker aus
Selbst dann, wenn ein URL-Blocker auf der Firewall den Zugang zur Download-Seite von Skype verhindert, bietet das Internet Hunderte von so genannten Tunnelprogrammen, mit denen sich diese Sperre umgehen lässt. Diese Tunnel-Tools leiten die illegal ausgehenden Daten über legale Ports wie den Port 80 um und kodieren sie zusätzlich. So wird jede Firewall mit offenem SSL-Port überwunden.
Die Sicherheitsverantwortlichen werden keine Anzeichen für ein Fehlverhalten in den Stateful-Inspection-Logs finden, denn ihre Abwehrsysteme sind gewissermaßen auf diesem Auge blind. Sie erkennen weder die illegale Anwendung noch deren Daten oder Nutzer.
Dabei dürfte längst klar sein, dass die Herausforderungen stetig steigen , denn mit Malware und infizierten Clients wird inzwischen richtig viel Geld verdient. Professionelle Cybercrime-Organisationen steuern diese Rechner über Bot-Nets und vermieten diese für alle möglichen Kampagnen.
Die »Mieter« solcher Netze verschicken darüber Spam, halb legale, halb illegale Anwendungen, junge Malware oder greifen darüber die IT-Infrastruktur von anderen Firmen an. Nach Informationen der Times Online hat ein einziger Phishing-Angriff über das Storm-Bot-Net vor zwei Jahren rund 150 Millionen Dollar eingebracht.
Beispiel: Internet-Wurm »Conficker«
Eine hohe Motivation also für die Programmierer, etwa des Wurms Conficker, der wie die meisten modernen Attacken eine bekannte Schwäche ausnutzt und darüber feindliche Programmzeilen auf Windows-Rechner aufspielt.
Der Exploit war seit Oktober 2008 bekannt, ein Patch von Microsoft Tage später verfügbar. Ihren Höhepunkt erreichte die Infektion aber im März dieses Jahres.
IT-Sicherheitsfirmen wie F-Secure sprechen von neun Millionen infizierten Systemen, andere Fachleute gehen mehr als zehn Millionen Rechnern aus. Dieses Beispiel zeigt: Die aktuellen Abwehrsysteme haben schlecht funktioniert, und Sachverständige haben die Gefahr offensichtlich unterschätzt.
- Warum Stateful-Inspection-Firewalls Schnee von gestern sind
- Wie Stateful-Inspection funktioniert
- Die nächste Generation von Firewalls
Lesen Sie mehr zum Thema
