Als Perimeter Security bezeichnet man den Übergang zwischen Zonen verschiedener Sicherheitsstufen, vom Internet in das lokale Netzwerk, von einer DMZ zu internen Servern oder auch innerhalb eines Unternehmens zwischen Abteilungen mit unterschiedlichem Sicherheitsbedarf.
Die bekannteste Perimeter Security ist die Firewall, die das Unternehmen vor dem Internet schützt, oft reicht es aber nicht aus, nur an einer Stelle den Übertritt in eine andere Sicherheitszone zu kontrollieren. So erfordern einige Bereiche einen gesonderten Schutz, beispielsweise die Personalabteilung, Buchhaltung oder auch die Log-Server des Unternehmens.
Auch die Art der Authentifizierung zur Nutzung von Freigaben spielt bei Firewall Implementierungen eine Rolle, die bekannteste ist hierbei das erlauben von Verbindungen auf Basis von Host IP-Adressen oder von ganzen IP-Subnetzen, je nach Konzept des internen Netzwerkes kann es jedoch erforderlich sein, den User vor dem Rechner zusätzlich zu identifizieren, beispielsweise durch Nutzung einer Netzwerkauthentifizierung wie 802.1x, Applikation Layer Proxy Systeme oder die Nutzung von internen VPN Client Verbindungen.
Bei der Auswahl einer geeigneten Firewall sind zudem folgende Kriterien Ausschlaggebend:
- Durchsatz auf Layer 4 und Layer 7 (bei Application Layer Firewalls)
- Art des Management (1 Stufig, 2 Stufig oder 3 Stufig)
- HA Fähigkeit (Cluster im Active/Standby, Loadsharing/Loadbalancing)
- Logging und Reporting, inkl. Alarming und Angriffserkennung (mit Gegenmaßnahmen)
- Qualtiy of Service (QoS)
- VPN Funktionalitäten
- Zusatzfeatures im Bereich UTM/XTM (AntiVirus, AntiSpam, Surf Kontrolle etc.)
- Routing Funktionen (OSPF, BGP etc.)
Besonders im Bereich des Management der Firewall Systeme bestehen große Unterschiede, so wird bei einigen Herstellern der Regelsatz direkt auf der entsprechenden Firewall abgelegt und die Konfiguration erfolgt per CLI, SSH oder einem Java Frontend (wie z.B. bei Cisco PIX, Cisco ASA), dieses entspricht einem 1 Stufigen Management, bei Zugriff auf die CLI oder per SSH kann hier der Regelsatz direkt manipuliert werden, Änderungen der Regeln werden hierbei direkt von der Firewall umgesetzt.
Bei einem 2 Stufigen Management wird mit einem Client die verschlüsselte/kompilierte Config aus der Firewall ausgelesen, am Client bearbeitet und danach als neue Version auf die Firewall zurückgespielt, ein Zugriff auf die Regelsätze ist nur mit Kenntnis des entsprechenden Passwortes sowie aus erlaubten Netzen möglich, dieses ist beispielsweise bei Watchguard oder NetASQ Firewalls der Fall.
Das sicherste Management ist mithin der 3 stufige Aufbau mit einer Unterteilung in Perimeter Gateway, Management Server (mit evtl. weiteren Logging Servern) sowie Management Clients. Auf den Perimeter Gateways liegt nur eine verschlüsselte und kompilierte Version des Regelsatzes vor, eine direkte Manipulation des Regelsatzes ist hier nicht möglich. Der Client verbindet sich (meist über eine GUI) zum Management Server und wählt die aktuelle Security Policy oder eine versionierte alter Version zur Bearbeitung aus, erfasst die entsprechenden Änderungen und übergibt die neue Config an den Management Server, der diese entsprechend kompiliert und verschlüsselt an die betreffenden Gateways überträgt. Dieses Konzept ist beispielsweise bei CheckPoint Firewall anzutreffen oder auch in abgewandelter Form bei Watchguard Fireboxen mit zentralem Management.
Der entsprechende Aufwand schlägt sich hierbei auch direkt in den Kosten für die Anschaffung und den Unterhalt der Security Lösung wieder, so beginnen einfache 1 Stufige gute Firewall Lösungen bereits bei 400,- bis 500,- €, 2 Stufige Lösungen bei ca. 900,- EUR und für eine 3 Stufige Lösung bei ca. 3.500,- EUR, wobei je nach Komplexität auch schnell mehrere 1.000,- oder 10.000,- EUR erreicht werden können.
Wir finden die Lösung mit dem besten Preis/Leistungsverhältnis für Sie und unterstützen Sie gerne bei der Planung, Aufbau und Implementierung in Ihre aktuelle Umgebung, sprechen Sie uns einfach an