Unified Threat Management (UTM)

Auch UTM-Geräte (Unified Threat Management) lassen sich als Firewall Appliances definieren. Die Unterschiede zwischen UTM und NGFW sind je nach Betrachtungsweise nicht besonders groß, zumal bei NGFWs mittlerweile auch die Applikationskontrolle zum Programm gehört. NGFWs warten in der Regel aber mit höheren Durchsatzraten auf, während UTMs weniger gut skalieren.

Die Unterschiede zwischen Stateful und Stateless Firewalls

Stateful und Stateless Firewalls unterscheiden sich auf den ersten Blick nur geringfügig voneinander. Erst bei einer genaueren Analyse offenbaren sich andere Einsatzzwecke in Firmen. Von Michael Heller und Mike Chapple

Wenn sich ein Unternehmen zwischen einer Stateful oder einer Stateless Firewall entscheiden muss, erscheinen die Unterschiede möglicherweise zunächst gering. Sie haben aber durchaus erhebliche Auswirkungen. Stateless Firewalls gehören zu den ältesten und grundlegendsten Firewall-Architekturen. Sie werden bereits seit Beginn der Nutzung von Firewalls eingesetzt. Ursprünglich wurden sie auch als Paketfilter-Firewalls bezeichnet. Diese Bezeichnung ist jedoch irreführend, da sowohl Stateful als auch Stateless Firewalls Pakete filtern. Der Unterschied liegt darin, wie sie diese Aufgabe erfüllen und welchen Aufwand sie dabei betreiben. So untersuchen Stateful Firewalls zum Beispiel auch den Inhalt eines Paketes, seine sogenannte Payload, während Stateless Firewalls nur den Header des Paketes prüfen. Außerdem überwacht eine Stateful Firewall nicht nur alle übersandten Datenpakete, sondern auch den Kontext der anderen Verbindungen im Netzwerk. Eine Stateless Firewall prüft dagegen weder den Inhalt der Datenpakete noch die Verbindungen in ihrer Gesamtheit, sondern nur einzelne Stellen. Dafür verwendet sie vorher festgelegte Regeln, die zum Beispiel für den eingehenden Traffic gelten und auf Portnummern oder Zieladressen basieren. Stateful Inspection hat sich in den vergangenen Jahren zum Standard in Unternehmen entwickelt. Der Großteil der modernen Firewall-Systeme in Unternehmen verwendet mittlerweile diese Technik. Aber untersuchen wir die Unterschiede etwas ausführlicher und helfen Ihnen anschließend dabei, die am besten passende Lösung für Ihr Unternehmen zu finden.

Stateful Firewalls

Stateful Inspection Firewalls behalten einen fortlaufenden Überblick über die gesamten Verbindungen im Netzwerk. Dabei verwalten sie eine Liste mit allen getroffenen Entscheidungen. Stateless Firewalls arbeiten ohne eine solche Liste. Die sogenannte Zustandstabelle oder State Table ermöglicht es einer Stateful Firewall, alle aktuell offenen Verbindungen zu überwachen. In ihr verzeichnet sie unter anderem den Kontext der jeweiligen Verbindungen, aber auch die verwendeten Quellund Zieladressen, die Länge der Pakete, den Protokollstatus sowie Informationen über die genutzten Ports. Wenn neue Datenpakete an der Firewall eintreffen, kann das System diese Daten dann mit den Informationen auf der Zustandstabelle vergleichen. Auf diese Weise stellt eine Stateful Firewall fest, ob die Daten zu einer bereits aufgebauten Verbindung gehören. Das bedeutet, dass eine Zustandstabelle aus den Daten über alle durch eine Stateful Firewall aufgebauten oder geblockten Verbindungen besteht. Bei künftigen Entscheidungen zum Filtern von Datenpaketen kann die Firewall dann auf die darin gesammelten Informationen zugreifen, um so leichter zwischen erwünschtem und unerwünschtem Traffic unterscheiden zu können. Durch diese Vorgehensweise können Stateful Firewalls auch weit umfangreichere Attacken erkennen und verhindern, als wenn sie sich nur mit jeweils einzelnen Paketen beschäftigen würden. Fortgeschrittene Methoden bei der Inspizierung von Paketen durch Stateful Firewalls können auch einen TCP-Handshake zwischen verschiedenen Geräten überwachen und einzelne Pakete als Teil einer bereits existierenden Verbindung erkennen und zuordnen. Der deutlich erhöhte Aufwand beim Monitoring führt jedoch zu stärkeren Belastungen bei der Performance und der Geschwindigkeit einer Stateful Firewall. Das macht sie anfälliger für DDoS-Attacken (Distributed Denial of Service) sowie für MitM-Angriffe (Man-in-the-Middle). Außerdem können durch die höhere Komplexität leichter Schwachstellen im Code übersehen werden, die dann wiederum Hackern ausnutzen können, wenn die Software nicht kontinuierlich auf dem jeweils aktuellen Stand gehalten wird.

Stateless Firewalls

Stateless Firewalls setzen dagegen auf vordefinierte Regeln und Access Control Lists (ACLs, Zugriffskontrolllisten), um Entscheidungen über jedes einzelne Paket treffen zu können. Dazu prüfen sie unter anderem den Header eintreffender Pakete und untersuchen, welche Quell- und Zieladressen, Portnummern und welche Protokolle (zum Beispiel TCP oder UDP) verwendet werden. Das führt dazu, dass Stateless Firewalls weniger Fähigkeiten zum Filtern von Traffic haben. Da sie zudem auf ACLs zurückgreifen, sind ihre Filterleistungen auch nur so gut wie die durch die Nutzer oder die Admins festgelegten Regeln. Stateless Firewalls sind deswegen anfälliger gegenüber Fehlern als Stateful Firewalls, wenn ihre ACLs nicht sorgfältig verwaltet und immer wieder an die aktuellen Umstände angepasst werden. Ihre vergleichsweise Einfachheit macht Stateless Firewalls aber auch weniger ressourcenintensiv und damit schneller, so dass sie selbst mit hohen Bandbreiten besser zurandekommen. Aufgrund ihrer eingeschränkten Fähigkeiten sollten sie in einem Unternehmen jedoch nur in speziellen Fällen eingesetzt werden. Am häufigsten sind Stateless Firewalls deswegen an dem zentralen Router in einem Unternehmen zu finden, der direkt mit dem Internet verbunden ist. Diese Geräte enthalten oft ein grundlegendes, auf Paketfiltern basierendes Regel-Set, um offensichtlich unerwünschten Traffic ausfiltern zu können und um die Belastung einer oft direkt hinter diesem Router untergebrachten Stateful Firewall zu reduzieren.