"Auf dem Firewall-Markt hat ein Verdrängungswettbewerb stattgefunden", resümiert Stefan Strobel, Geschäftsführer des Sicherheitsberatungsunternehmens Cirosec aus Heilbronn. "Die Nischen-Player verschwinden." Als übrig gebliebene große Anbieter nennt er Checkpoint, Cisco, Netscreen und Symantec. Während die ersten drei vor allem auf Stateful Inspection Firewalls setzen, stellt Symantec vornehmlich Application Proxys her. Cisco und Netscreen haben einen hardware-, Checkpoint und Symantec einen softwareorientierten Ansatz. Netscreen benutzt speziell entwickelte Chips, die das Gerät beschleunigen. Auch in der Tiefe der Sicherheit unterscheiden sich die Hersteller gravierend.
Nach Meinung der Robert Frances Group haben sowohl Application Proxys als auch Stateful Inspection Firewalls und Paketfilter ihren Platz in Unternehmen. Paketfilter blockieren Daten allein anhand von Informationen wie Quell- oder Zieladresse eines Pakets. Einige Paketfilter bieten zusätzlich Stateful Inspection, das heißt, sie beziehen auch Informationen über den Verbindungsstatus ein. Zum Beispiel könnte eine solche Firewall Datenfluss von außen nach innen verbieten, es sei denn, es handelt sich um die Antwort auf eine Anfrage. Application Proxys dagegen überprüfen Daten auf Inhaltsebene. Wegen dieser zusätzlichen Funktionalität sind Application Proxys in der Regel teurer als Paketfilter und häufig schwieriger zu konfigurieren. Auf der anderen Seite bieten sie einen größeren Schutz.
Auffällige Probleme gibt es mit Firewalls nicht mehr, weil die Technik schon weit fortgeschritten ist. Hersteller feilen noch an den Punkten Kosten und Effizienz. "Die derzeit größte Herausforderung stellt das Management für verteilte Unternehmen dar", hebt Anna Focks, Area Sales Director Central & Eastern Europe beim Firewall-Appliance-Hersteller Watchguard, hervor. Firmen benötigen dazu ein Management-Tool, das auch mit anderen Produkten zusammenarbeitet. Im Einzelnen muss es ermöglichen, via Fernzugriff jedes Gerät anzusprechen und Sicherheitsregeln an alle Appliances zu verteilen. Eine zentrale Logging-Funktionalität sollte nach Meinung von Focks vorhanden sein. Manche Eigenschaften werden schon heute von vielen Produkten geboten: "Zentrale Management-Server sind bereits Standard", weiß Strobel.
Auf dem Siegeszug befinden sich insbesondere Firewall-Appliances, die dem Anwender einen Großteil des Integrationsaufwands abnehmen. Auf diese Entwicklung reagiert Checkpoint mit dem "Secure Platform Media Pack", einer Art Software-Appliance auf CD. Diese verwandelt mit der normalen Checkpoint-Produktsuite und einem gehärteten Betriebssystem einen beliebigen PC laut Hersteller innerhalb von zehn Minuten in eine betriebsbereite Firewall. Das Aufspielen der Checkpoint-Lizenzen und der Policy, also die Konfiguration, nimmt das System dem Anwender natürlich nicht ab. Ein Tester der CW-Schwesterpublikation "Infoworld" bewertet die ungewöhnliche Idee grundsätzlich positiv, bemängelt jedoch Lücken in der Dokumentation und Fehlfunktionen der Software. "Wer mit Checkpoints Firewall- und VPN-Software vertraut ist, kann wahrscheinlich die meisten Probleme leicht lösen. Aber ein kleiner Geschäftskunde oder ein Administrator, der die Plattform in einer Filiale einrichten möchte, wird ohne Hilfe des Herstellers nicht auskommen", glaubt er. Ein Sprecher von Checkpoint versprach baldige Abhilfe.
Neben vereinfachtem Management und dem Einzug der Appliances fällt ein anderer Trend des Firewall-Markts auf: "Die Anbieter integrieren immer mehr zusätzliche Technologien in die Firewall, um einen Mehrwert zu bieten", formuliert Johann Nitzinger, Key Account Manager bei dem Beratungsunternehmen Secunet in München. So verfügen, wenn man von einigen Ausnahmen aus dem Klein- und Heimbürobereich absieht, die meisten Produkte bereits über integrierte VPN-Funktionen. "Wo Verschlüsselung ein Muss ist", betont Strobel, "ergänzen sich diese Funktionen." Doch nicht nur VPNs, sondern auch Maßnahmen zur Verbesserung der Inhaltssicherheit wie Virenschutz und URL-Filter halten Einzug in Firewalls.
Als Beispiel hierfür kann die Firewall-Server-Kombination "Ven-dotto Wall" der Teac Deutschland GmbH aus Wiesbaden dienen. Der Sicherheits-Server mit einem Firewall-Board ist mit Antivirus-, Content- und URL-Filtermöglichkeiten ausgestattet. Was vielfach noch fehlt, ist die Verzahnung mit Intrusion-Detection-Systemen. Wie viele andere derzeit angekündigten Produkte wendet sich das Gerät an kleine und mittlere Unternehmen, weil der Markt für Großunternehmen weitgehend gesättigt erscheint. Vendotto Wall ermöglicht die Nutzung von bis zu fünf VPN-Verbindungen gleichzeitig. Teac greift dabei auf die Technologie des Sicherheits-Spezialisten Sonicwall zurück. Die kompakte Serverbox lässt sich auch als Group-Server einsetzen.
Die Entwicklung von Firewalls ist damit sicher nicht am Ende angelangt: Künftig wird es beispielsweise einen Bedarf für WLANs geben. Diese benötigen nicht nur einen Verschlüsselungsschutz vor dem Abhören, sondern auch einen expliziten Zugangsschutz.
Firewall-Funktionen
- Stateful Filtering von Protokollen mit dynamischer Port-Aushandlung.
- Möglichkeit zur Definition benutzerbezogener Regeln in Verbindung mit VPN.
- Aufbau und Terminierung von VPNs über Ipsec. Der Verschlüsselungsalgorithmus Advanced Encryption Standard (AES) sollte dabei unterstützt werden.
- VPN-Clients zur sicheren Anbindung von Außendienstmitarbeitern und Heimarbeitsplätzen an das Internet.
- Unterstützung von Methoden zur starken Authentisierung.
- Unterstützung von Network Address Translation (NAT, sowohl IP-Adressen als auch Ports sollten umgeschrieben werden können).
- Hochverfügbare Auslegung der Firewall muss möglich sein.
- Aussagekräftiges Logging zur Erkennung von Angriffsversuchen und zur Fehlersuche.
- Übersichtliches grafisches Administrations-Frontend.
- Skalierbare Management-Infrastruktur zur zentralen Verwaltung mehrerer Firewalls.
Quelle: Steffen Gundel, Cirosec