Unabhängige Kompetenz-Plattform
für Integrierte Sicherheit in der Schweiz.

08.12.2014
von: Palo Alto Networks

Performance-Probleme? Dann stellen wir die Firewall einfach ab!

In Sportwagen der gehobenen Kategorie gibt es ihn, den Knopf, mit dem der Fahrer die Anti-Schlupfregelung (ASR) und das Elektronische Stabilitätsprogramm (ESP) ausschalten kann, entweder separat und beide zusammen. Wer das tut, ist nicht zwangsläufig ein potenzieller Selbstmörder. Denn Enthusiasten, die auf einer – abgesperrten – Rennstrecke oder einem Trainingsparcours ihre Runden drehen, wollen eben durch die Kurven driften oder ihren "Feger" bis an die physikalischen Grenzen treiben. Solange die kleinen Vettels und Rosbergs das nicht auf der Landstraße und auf eigene Gefahr tun, ist das in Ordnung.

Anders steht der Fall, wenn ein Netzwerkmanager besagten Knopf drückt, natürlich nicht in seinem Sportwagen, sondern bei der Next Generation Firewall (NGFW). Laut einer Umfrage unter IT-Fachleuten, welche die IT-Sicherheitsfirma McAfee durchführen ließ, gaben 32 Prozent der Befragten an, dass sie etliche der Funktionen der Firewalls zeitweise oder komplett deaktivieren. Der Grund: Die Performance der Systeme lasse zu wünschen übrig.

Wozu auch Intrusion Prevention oder ein VPN
Laut der Untersuchung schalten 31 Prozent Security-Fachleute die Intrusion-Prevention-Funktion ab, rund 29 Prozent verzichten auf den Spam-Filter und 28 Prozent sind der Auffassung, dass mehr Performance besser ist, als den Mitarbeitern gesicherte VPN-Verbindungen (Virtual Private Network) zur Verfügung zu stellen. Also besser einen gepflegten Power-Slide hinlegen, auch auf die Gefahr hin, dass das ganze Firmennetzwerk aus der Kurve fliegt?
Diesen Eindruck könnte man fast gewinnen. Vor allem angesichts weiterer Resultate der Studie. Denn 23 Prozent der IT-Sicherheitsfachleute schalten auch gleich die Antiviren-Funktion ab. Und 23 Prozent kappen Funktionen, die Anwendungen daraufhin überprüfen, ob sie "gut" sind oder ob es sich um Applikationen mit Sicherheitsrisiken handelt. Speziell bei mobilen Endgeräten, die natürlich auch in ein Firmennetz eingebunden werden, haben sich "Rogue Applications" zu einem Problem entwickelt. Das gilt vor allem für private Tablets, Notebooks und Smartphones, die Anwender auch beruflich nutzen. Denn in App Stores tauchen immer wieder Apps auf, die massive Sicherheitslücken aufweisen oder von ihren "Schöpfern" für kriminelle Aktionen entwickelt wurden.

Problem: Firewalls müssen immer mehr leisten
Nach Analysen von Palo Alto Networks, einem der Partner von Exclusive Networks, sind aber auch in Rechenzentren solche "Rogue"-Anwendungen zu finden. So nutzen beispielsweise Administratoren oft aus Bequemlichkeit nicht zugelassene Ports, etwa bei SSH-Verbindungen. Oder durch eine fehlerhafte Implementierung von SharePoint oder Lync entstehen Sicherheitslücken, die Angreifer nutzen können.

Hinzu kommen "Klassiker", etwa der nach wie vor beliebte Einsatz von Filesharing-Diensten, über die Mitarbeiter Musik oder Filme "tauschen". Auch der nicht autorisierte Einsatz von Programmen wie Skype zählt den Sicherheitsrisiken, die sich mithilfe von Next Generation Firewalls beseitigen lassen. Natürlich unter der Voraussetzung, dass die Funktionen des Systems werden nicht deaktiviert wurden.

Hinter dem Abschalten von Funktionen steckt meist ein und derselbe Grund: Die Systeme sind mit leistungsschwachen Prozessoren ausgestattet. Oft fehlt es zudem am erforderlichen Arbeitsspeicher. Daher rühren besagte Performance-Probleme. Denn ebenso wie ein einfach gestrickter x86-Server, dem neben Exchange- und SharePoint noch SQL-Datenbanken aufgebürdet werden, gehen auch NGFW in die Knie, wenn sie zu viel leisten müssen.

Fazit: Testen, testen, testen
Was kann ein Unternehmen aber tun, um ein Performance-Desaster bei einer NGFW zu vermeiden? Schlicht und einfach die ins Auge gefassten Systeme unter "echten" Bedingungen testen. Das heißt, beim Anbieter, etwa Palo Alto, eine Testinstallation ordern, dann das System probeweise mit allen Funktionen betreiben, die für den Nutzer (das Unternehmen) wichtig sind. Das gilt vor allem für den Durchsatz und die Skalierbarkeit des Systems, außerdem für Funktionen wie IPS und das Aufspüren noch unbekannter Gefahren (Advanced Persistent Threats, APTs).

Solche Untersuchungen in "Real-World"-Umgebungen kosten zwar Zeit und stellen eine Belastung für die IT-Abteilung dar. Aber dieser Aufwand lässt sich minimieren, wenn der Anwender auf NGFW zurückgreift, die nachweislich exzellente Performance-Daten aufweisen, etwa die von Palo Alto Networks. Zudem sollte das Unternehmen seinen IT-Systemlieferanten und die Fachleute des NGFW-Anbieters mit ins Boot holen. Auch das trägt dazu bei, den Kosten- und Zeitaufwand zu reduzieren.

Eines ist dagegen klar: Sicherheitsfunktionen einer NGFW zu deaktivieren, ist keine Lösung. Das mag auf den ersten Blick eine höhere Performance bringen, wird aber unter Garantie die Sicherheitsrisiken erhöhen. Die Chancen stehen nicht schlecht, dass durch diese unkluge Taktik ein Schaden entsteht, der die Investitionen in eine leistungsstarke Next Generation Firewall bei weitem übersteigt.


Security-Finder Schweiz: Newsletter