Next-Generation Firewalls mit SSL-Inspektion

Eine Next-Generation Firewall kombiniert eine herkömmliche Firewall mit vielen weiteren Funktionen und Netzwerkgeräten wie Application Firewall, Deep Packet Inspection, Intrusion Prevention System und eben SSH- und SSL-Inspektion.

Um den HTTPS-Netzwerkverkehr inspizieren zu können, muss die Firewall die Daten im Klartext analysieren. Die verschlüsselten Daten werden daher zunächst entschlüsselt, dann analysiert und schließlich wieder verschlüsselt zum Zielrechner geschickt. Die Firewall agiert also zwischen dem Server und dem Client und ähnelt damit einem Man in the Middle. Eine solche Entschlüsselung unterwegs ermöglichen Zertifikate. Der Browser sieht bei einem Eingriff der Firewall nicht mehr das original Server-Zertifikat, sondern eine von der Firewall signierte Version und quittiert dies mit einer Warnung.

Erst mit einem vertrauenswürdigen CA-Zertifikat akzeptiert der Browser die Unterbrechung des verschlüsselten Datenflusses durch die Firewall klaglos. CA steht für Certificate Authority. Digitale CA-Zertifikate werden von entsprechenden Zertifizierungsstellen herausgegeben. Eine Liste der vertrauenswürdigen CA-Zertifikate ist im Browser hardcodiert, das heißt sie kann vom Benutzer nicht modifiziert werden. Die Verteilung und Einrichtung der Zertifikate auf allen Clients im Unternehmen ist Sache des Admins.

Zudem empfiehlt sich die Definition einer Whitelist, die für bestimmte Anwendungen wie Bank-Transaktionen die SSL-Inspektion umgeht.

Im Auge behalten sollte der Admin auch die Performance der Sicherheitslösung im Unternehmen. Denn SSL-Inspektion führt zu einer gewissen Latenz, da die Daten ja entschlüsselt, analysiert und wieder verschlüsselt werden müssen.

Anbieter von Next-Generation Firewalls für Unternehmen sind beispielsweise Barracuda Networks, Check Point, Dell, Fortinet, Juniper Networks, Palo Alto Networks, Sophos, Trend Micro und Watch-Guard.

Wer Wert auf einen zertifizierten deutschen Hersteller legt, wird bei Gateprotect fündig.