Eine Firewall, die Bedrohungen abwehrt, ist erst der Anfang …

10 nützliche Funktionen, die Ihre Firewall bieten sollte

Inhalt

Die Firewall wird erwachsen 1

Die Application Firewall 2

1. nützliche Funktion: Verwalten von Streaming Video 3

2. nützliche Funktion: Gruppenbasierte Bandbreitenverwaltung 4

3. nützliche Funktion: Kontrolle über ausgehende Web-Mails 5

4. nützliche Funktion: Verwenden vorgegebener Anwendungen 6

5. nützliche Funktion: Blockieren von FTP-Uploads 7

6. nützliche Funktion: Kontrolle über P2P-Anwendungen 8

7. nützliche Funktion: Verwalten von Streaming-Musikdateien 9

8. nützliche Funktion: Priorisierung der Bandbreite für Anwendungen 10

9. nützliche Funktion: Blockieren von vertraulichen Dokumenten 11

10. nützliche Funktion: Blockieren verbotener Dateien mit Warnmeldung 12

Unter dem Strich 13

Konventionelle Firewalls zielen darauf ab, einfache Bedrohungen

und Eindringversuche abzuwehren.

Business-Firewalls bieten zusätzlich Unifi ed Threat Management

(UTM)-Services wie Anti-Virus, Anti-Spyware, Intrusion Prevention,

Content Filtering und sogar einige Anti-Spam-Services für einen

effi zienteren Schutz vor Bedrohungen.

Die Firewall wird erwachsen

1

... doch Bedrohungen abzuwehren ist erst der Anfang.

Bei einem Großteil des Verkehrs, der

die Firewall passiert, handelt es sich

nicht um Bedrohungen, sondern um

Anwendungen und Daten. Aus diesem

Grund wurde eine Application Firewall

entwickelt, die alle Daten und Anwen-

dungen verwalten und kontrollieren

kann, die durch die Firewall geleitet

werden.

Was macht eine Application Firewall?

Eine Application Firewall bietet Funktionen zur

Bandbreitenverwaltung und -kontrolle, Möglichkeiten

zur Zugriff ssteuerung auf der Anwendungsebene,

Kontrollfunktionen, die verhindern, dass Daten nach

außen dringen oder die den Transfer von bestimmten

Dateien und Dokumenten einschränken sowie viele

andere Features.

Und wie funktioniert sie?

Eine Application Firewall erlaubt individuelle

Zugriff skontrollen nach Benutzer, Anwendung,

Zeitplan oder IP-Subnetz-Ebene. Auf diese Weise

können Administratoren Sicherheitsregeln für

sämtliche verfügbare Anwendungen erstellen und

diese erstmals umfassend verwalten.

2

Die Application Firewall

Ermöglicht die Klassifi zierung, Kontrolle und Verwaltung von Anwendungen und Daten, die Ihre Firewall passieren.

Unbedenkliche Daten■ Geschützt■ Erwünscht

Bedrohungen■ Gefährlich■ Unerwünscht

Daten und Anwendungen

Streaming Video-Seiten, wie z. B. youtube.com können zwar manchmal nützlich sein,

doch häufi g werden sie für private Zwecke genutzt. Eine Möglichkeit wäre hier, die

Seiten ganz zu sperren. Die bessere Lösung wäre aber wohl, die für Streaming Video-

Seiten verfügbare Bandbreite einzuschränken.

Defi nieren Sie eine Regel, um Streaming Video einzuschränken.■ Verwenden Sie die Deep Packet Inspection (DPI) Engine, um im HTTP-Header nach

dem HTTP-Host = www.youtube.com zu suchen.

■ Beschränken Sie die Bandbreite für Datenverkehr mit diesem Header.

1. nützliche Funktion: Verwalten von Streaming Video

3

Zu bestimmten Tageszeiten, z. B. zwischen 9 und 17 Uhr können Sie die Bandbreite für Anwendungen einschränken.

Gewünschte Streaming Video-Bandbreite Zugewiesene Streaming Video-Bandbreite

Im vorherigen Abschnitt haben wir Bandbreitenbeschränkungen für Streaming Video-Seiten wie youtube.com

eingerichtet. Nun bemängeln der CEO und CFO, dass die „Videoseiten mit den Wirtschaftsnachrichten“, die

sie täglich sehen, zu langsam sind. Eine Möglichkeit wäre, die Bandbreitenbeschränkungen für alle Mitarbeiter

zu lockern, doch auch hier gibt es eine bessere Lösung: gruppenbasierte Bandbreitenverwaltung.

Defi nieren Sie eine Regel, die Führungskräfte bei Streaming Video-Beschränkungen ausnimmt. ■ Wenden Sie diese Regel auf die von Ihrem LDAP-Server importierte Gruppe „Führungskräfte“ an.

■ Verwenden Sie die Deep Packet Inspection (DPI) Engine, um im HTTP-Header nach dem HTTP Host =

www.youtube.com zu suchen.

■ Wenden Sie die Bandbreiten-Garantie auf Datenverkehr mit diesem Header an.

2. nützliche Funktion: Gruppenbasierte Bandbreitenverwaltung

4

Gewünschte Streaming Video-BandbreiteZugewiesene Streaming Video-Bandbreite für FührungskräfteZugewiesene Streaming Video-Bandbreite für alle anderen Mitarbeiter

3. nützliche Funktion: Kontrolle über ausgehende Web-Mails

Nehmen wir einmal an, dass Ihre bestehende Anti-Spam-Lösung normale aus-

gehende E-Mails mit „vertraulichen Firmendaten“ erkennen und blockieren kann.

Aber was machen Sie, wenn ein Mitarbeiter „vertrauliche Firmendaten“ über

einen Web-Mail-Service wie Yahoo® oder Gmail® versendet?

Defi nieren Sie eine Regel, um E-Mails mit „vertraulichen Firmendaten“

zu blockieren.

■ Die Deep Packet Inspection (DPI) Engine sucht nach dem E-Mail-Body =

„vertrauliche Firmendaten“.

■ Blockieren Sie die Nachricht und informieren Sie den Absender, dass die

Nachricht „vertrauliche Firmendaten“ enthält.

5

Von: böswilligernutzer@ihr_unternehmen.comAn: böswilligernutzer@konkurrenz.comBetreff : EntwicklungsprojektplanHier ist der Projektplan. Jan 09 – Version 7.0Dieses Dokument enthält vertrauliche Firmendaten.

STOP

Von: guternutzer@ihr_unternehmen.comAn: guternutzer@partner.comBetreff : StundennachweisHallo Herr Bauer, hiermit bestätige ich Ihre Stunden für diese Woche. Max Maier

OK

4. nützliche Funktion: Verwenden vorgegebener Anwendungen

Ihr Chef möchte, dass Internet Explorer (IE) 7.0 als Standard-Browser verwendet wird.

Ihre Aufgabe ist es dafür zu sorgen, dass auf allen Firmenrechnern IE 7.0 verwendet wird

– und nichts anderes!

Mögliche Lösungen

1. Sie prüfen jeden Tag alle Systeme auf „fremde“ Browser.

2. Sie programmieren ein Skript, das alle Systeme auf „fremde“ Browser prüft und

sorgen dafür, dass täglich alle Systeme geprüft werden.

3. Sie defi nieren eine Application Firewall-Regel und müssen sich weiter um nichts kümmern.

Erstellen Sie eine “Ich-habe-Wichtigeres zu-tun”-Regel.■ Die Deep Packet Inspection (DPI) Engine sucht im HTTP-Header

nach dem User Agent = MSIE 7.0.

■ Gibt den Datenverkehr auf IE 7.0 frei und blockiert andere Browser.

6

5. nützliche Funktion: Blockieren von FTP-Uploads

Sie richten für einen Ihrer Geschäftspartner eine FTP-Site für den Austausch großer Dateien ein

und möchten sicherstellen, dass nur der Projektmanager bei der Partnerfi rma und niemand an-

deres Dateien hochladen kann.

Defi nieren Sie eine Regel, die den FTP-Upload nur für bestimmte Personen freigibt.

■ Die Deep Packet Inspection (DPI) Engine sucht nach dem FTP-Befehl = PUT.

■ Die DPI Engine sucht nach dem autorisierten Benutzernamen = „pm_partner”.

■ Wenn beides zutriff t, „PUT“ erlauben.

Sie können auch FTP-Befehle abweisen, wenn Ihnen diese auf einem bestimmten FTP-Server „unnötig“ erscheinen.

vertrieb_partner: put fi le

mktg_partner: put fi le

vertrieb_partner: put fi le

pm_partner: put fi le

7

6. nützliche Funktion: Kontrolle über P2P-Anwendungen

Problem Nr. 1: Peer-to-Peer (P2P)-Anwendungen wie z. B. BitTorrent können Bandbreite

verschlingen und alle möglichen Arten bösartiger Dateien einschleppen.

Problem Nr. 2: Ständig tauchen neue P2P-Anwendungen auf oder es werden minimale

Änderungen an vorhandenen P2P-Anwendungen (z. B. eine neue Versionsnr.) vorgenommen.

Defi nieren Sie eine Regel, um P2P-Anwendungen zu erkennen.

Die Deep Packet Inspection (DPI) Engine sucht in der IPS-Signaturenliste nach P2P An-

wendungssignaturen.

P2P-Anwendungen können blockiert oder anhand von Bandbreiten- und Zeitbeschränkungen eingegrenzt werden.

IPS-Signaturenliste

BitTorrent-6.1BitTorrent-6.0.3BitTorrent-6.0.2BitTorrent-6.0.1

… hunderte mehr

IPS-Signaturenliste

SonicWALL-Updates werden empfangen

und angewendet.

IPS-Signaturenliste

BitTorrent-6.1.1

BitTorrent-6.1BitTorrent-6.0.3BitTorrent-6.0.2

… hunderte mehr

+ =

Das Ergebnis■ Sie können P2P-Anwendungen

verwalten und kontrollieren.

■ Sie verlieren keine Zeit mit der Aktualisierung

von IPS-Signaturregeln.

8

7. nützliche Funktion: Verwalten von Streaming-Musikdateien

Streaming Audio- und Streaming Radio-Seiten beanspruchen wertvolle Bandbreite.

Doch in vielen Fällen ist der Zugriff auf diese Seiten tatsächlich arbeitsrelevant. Es gibt

zwei Möglichkeiten, dieses Dilemma zu lösen:

Kontrolle nach Website

Erstellen Sie eine Liste von Streaming Audio-Seiten, die Sie verwalten möchten.

Defi nieren Sie eine Regel, um Streaming Audio-Seiten zu erkennen.

■ Verwenden Sie die Deep Packet Inspection (DPI) Engine, um im HTTP-Header

nach dem HTTP-Host = Sperrliste für Streaming Audio-Seiten zu suchen.

Kontrolle nach Dateiendung

Erstellen Sie eine Liste mit den Audiodatei-Endungen, die Sie verwalten möchten.

Defi nieren Sie eine Regel, um Streaming Audio-Inhalte zu erkennen.

■ Verwenden Sie die Deep Packet Inspection (DPI) Engine, um im HTTP-Header nach

der Dateiendung = Sperrliste für Streaming Audio-Seiten zu suchen.

Sobald Streaming Audio „erkannt“ wurde, können Sie die Daten blockieren oder nur die Bandbreite verwalten.

9

8. nützliche Funktion: Priorisierung der Bandbreite für Anwendungen

Heute sind viele geschäftskritische Anwendungen wie SAP®, Salesforce.com® und Share-

Point® Cloud-basiert oder werden in geografi sch verteilten Netzwerken eingesetzt. Wenn

diese Anwendungen priorisiert werden und die Netzwerkbandbreite zugeteilt bekommen,

die sie benötigen, um optimal zu funktionieren, kann dies die Produktivität des Unterneh-

mens erhöhen.

Defi nieren Sie eine Regel, um einer SAP-Anwendung Bandbreitenpriorität zu-

zuordnen.■ Die Deep Packet Inspection (DPI) Engine sucht nach der Anwendungssignatur oder

dem Anwendungsnamen.

■ Ordnen Sie der SAP-Anwendung eine höhere Bandbreitenpriorität zu.

Die Anwendungspriorität kann sich nach einem Datum richten(z. B. Priorität am Quartalsende für Vertriebsanwendungen).

SAPSalesforce.comSharePoint

Andere

10

Es gibt Unternehmen, in denen ausgehende E-Mails kein E-Mail-Sicherheitssystem

durchlaufen oder bei denen der Inhalt von E-Mail-Anhängen nicht geprüft wird.

In beiden Fällen können Dateianhänge mit „vertraulichen Informationen“

problemlos nach außen gelangen.

Da der ausgehende Netzwerkverkehr Ihre Firewall passiert, können Sie diese

Daten während der Übertragung („Data in Motion“) erkennen und blockieren.

Defi nieren Sie eine Regel, um E-Mail-Anhänge mit dem Wasserzeichen

„Vertrauliche Firmendaten“ zu blockieren.■ Die Deep Packet Inspection (DPI) Engine sucht nach dem

E-Mail-Inhalt = „Vertrauliche Firmendaten“ und dem

E-Mail-Inhalt = „Firmeneigentum“ und dem

E-Mail-Inhalt = „Privateigentum“ und …

9. nützliche Funktion: Blockieren von vertraulichen Dokumenten

Diese Funktion lässt sich auch für den Datenaustausch über einen FTP-Server realisieren!

11

10. nützliche Funktion: Blockieren verbotener Dateien mit Warnmeldung

DOWNLOAD

Sicherheitsrisiko

Aktivität: Sie versuchen eine Dateimit einer nicht zugelassenen Datei-endung (.exe, .pif, .src oder .vbs) her-unterzuladen oder zu empfangen.Aktion: Diese Datei wurde entspre-chend den Unternehmensrichtlinien blockiert.Weitere Infos: Eine umfassende Liste mit den nicht zugelassenen Dateien fi nden Sie auf den Sicher-heitsseiten im Intranet.

E-Mail

FTP

Website

Bösartig.pif

FTP

Bösartig.vbs

Bösartig.exe

SonicWALL NSA mit

Application Firewall

Erstellen Sie eine Liste nicht zugelassener Dateien.

Defi nieren Sie eine Regel, um nicht zugelassene Dateiendungen zu blockieren.

■ Die Deep Packet Inspection (DPI) Engine sucht auf HTTP-Seiten, in E-Mail-Anhängen

oder auf FTP-Servern nach der Dateiendung = verbotene Dateiendungen.

Falls eine Datei blockiert wird, Warnmeldung senden.

12

Kann Ihre Firewall …

■ verhindern, dass eine EXE-Datei von einer Website heruntergeladen wird?

■ eine EXE-Datei im E-Mail-Anhang blockieren?

■ verhindern, dass eine EXE-Datei über FTP

übertragen wird?

Und was ist mit PIF-, SRC- oder VBS-Dateien?

Unter dem Strich

13

High Performance-Firewall

+ Unifi ed Threat Management

+ Application Firewall

SonicWALL Network Security Appliance

Performance, Schutz und punktgenaue Kontrolle

©2008 SonicWALL, das SonicWALL-Logo und Protection at the Speed of Business sind eingetragene Marken von SonicWALL, Inc. Alle anderen hier erwähnten Produktnamen sind Eigen-tum der jeweiligen Inhaber. Änderung technischer Daten und Produktbeschreibungen ohne vorherige Ankündigung vorbehalten. 10/08 SW 466

Weitere Informationen■ Übersicht über die SonicWALL NSA-Modelle mit Application Firewall: http://www.sonicwall.com/us/products/NSA_Series.html

■ Datenblatt: http://www.sonicwall.com/downloads/NSA_Series_DS_US.pdf

■ Praktische Beispiele zur Application Firewall mit Produktbeispielen: http://www.sonicwall.com/downloads/SonicOS_Application_Firewall_Practical_Examples_Guide_technote.pdf

■ Application Firewall-User Guide: http://www.sonicwall.com/downloads/Application_Firewall_5.1e_Feature_Module.pdf

Wenn Sie uns Feedback zu diesem E-Book, anderen E-Books oder Whitepapers von SonicWALL geben möchten, senden Sie eine E-Mail an folgende Adresse: feedback@sonicwall.com.

Über SonicWALLAls führender IT-Sicherheitsanbieter sorgt SonicWALL® mit seinen intelligenten und dynamischen Service-, Software- und Hardware-Lösungen für den reibungslosen Betrieb von High-Performance-Unternehmensnetzen und senkt nicht nur die Risiken und Kosten, sondern auch die Komplexität. Weitere Informationen erhalten Sie auf unserer Website unter www.sonicwall.com/de.