Kommentare

5 Antworten zu „01: NGFW – Next-Generation Firewalls“

1. 

   10.07.2025

   Lukas Liebig

   Hallo Johannes und Florian,

   von mir auch herzlichen Glückwunsch! Eure erste Folge hat mir wirklich gut gefallen. Vielen Dank dafür. 🙂

   Bei meinem ehemaligen Arbeitgeber setzt man im reinen Hosting-Umfeld noch immer auf die ASA und ist damit bisher ziemlich gut gefahren. Wenn ich nur an die ganzen CVEs der verschiedenen NGFW-Hersteller in den letzten Jahre denke… Den ASDM haben wir übrigens nicht benutzt, alles „Hardcore CLI“ 🙂

   Ich will an dieser Stelle eine Lanze für die ASA brechen: Sie ist freilich weit von NGFW entfernt aber doch etwas mehr als nur ein stateful Paketfilter.

   Ein paar Beispiele:
   – Protokoll-Erkennung: Die ASA erkennt beispielsweise ob in einem Paket an UDP Port 53 tatsächlich DNS enthalten ist oder nicht und blockt dann gegebenenfalls. Sie kann sogar intercepten. Das Feature heißt DNS-Doctoring, geht aber nur fest konfiguriert und nicht dynamisch mit vom Hersteller gepflegten bösartigen URL-Listen.

   Ein weiteres Beispiel wäre die FTP-Inspection. Hier lauscht die ASA im Control Channel und legt dynamisch Policies für die dort ausgehandelten High-Ports an.

   Dann gibt es glaub ich noch SMTP Inspection und ein paar weitere. Sicher alles recht rudimentär, aber eben doch mehr als ein einfacher Paketfilter tut.

   – FQDN-Objekte mit dynamischer Namensauflösung zur Laufzeit kann die ASA auch und eben nicht nur reine IP-Objekte.

   – Schließlich gibt es auch eine einfache Angriffserkennung auf die Klassiker wie SYN-Flood, LAND Attack, …

   Es kommt eben auf den Einsatzzweck an. Für Hosting-Zwecke bzw. reine Servernetze ist sie meiner Meinung nach gut geeignet, für Office-Netze wo aktiv Nutzer sitzen nicht wirklich.

   Nun zum Thema TLS-Inspection: Das brachte mir auch immer Diskussionen mit einem Kollegen ein. Sicher will man sich nicht immer auf eine Verteidigungslinie verlassen – das thematisiert ihr ja auch. Aber wann immer ich die fehlende TLS-Inspection auf der ASA ansprach, konterte der Kollege zurecht mit dem Fakt, dass die auf den Systemen installierte Endpoint Protection das doch schon tut. Weshalb soll die Firewall das nochmal tun? (Ja, Dual-Vendor-Strategie wäre hier ein valider Grund.) Dennoch hat er eigentlich Recht damit. Zumal ihr ja auch davon gesprochen habt, TLS-Inspection im Dual-Vendor-Konzept nur auf einer von zwei Firewalls zu aktivieren… 🙂

   Was ich noch fragen wollte: Gibt es denn keinen Hersteller, der die transparent Proxies seiner NGFWs mit den Caching-Funktionalitäten der explizit Proxies wie Squid erweitert? Wäre doch eigentlich easy, wenn man die NGFWs mit größen SSDs bestückt? Hier fehlt vermutlich einfach nur die Nachfrage auf dem Markt, oder?

   Ich freue mich auf eure Antwort!

   Viele Grüße,
   Lukas

   Antworten
   1. 

      10.11.2025

      Johannes Weber

      Hey Lukas. Danke dir noch sehr für deinen Kommentar, der uns echt geholfen hat, schwarze Flecken in der ersten Folge aufzudecken. 😉 In der 2. Folge habe ich ja direkt am Anfang auf einige der Punkte geantwortet:
      – Ja, TLS-Interception ist auch kritisch zu betrachten. Dadurch gibt es potentiell neue Sicherheitsthematiken, wie zB die unabsichtliche Verwendung von schwächeren Cipher-Suites, oder das nicht hinreichend konfigurierte Überprüfen von Zertifikaten/Ablaufdaten, usw. Ein Admin kann hier also aus Versehen etwas Verschlimmbessern. 😉
      Auch muss man sagen, dass die Security ja etwas mehr in den Endpunkt wandert (oder SSE), weil eh nicht mehr alle Clients hinter der Firewall sitzen. (Was aber nichts daran ändert, dass die TLS-Interception nun mal auch den Verkehr von IoT/OT-Geräten anschaut, auf denen per se keine Endpoint Security läuft.)
      – Ja, auch reine Paket-Filter Firewalls haben ihre Daseinsberechtigung, wenn zB in einem Hosting-Segment einfach nur nach Port 443 gefiltert werden soll. Oder wenn man eine Segmentierungs-Firewall hat, bei der eh keine Next-Gen Features eingesetzt werden würden.
      – Proxy-Funktionalitäten inkl. Caching auf einer Firewall: Das kenne ich in der Tat nicht. Aber es spielt meines Erachtens nach auch keine Rolle mehr, da a) die Bandbreiten aller Anschlüsse heute so unglaublich hoch sind und b) jeder User seine eigene Sicht jedweder Webseiten bekommt, was dem Ansatz von Caching ja entgegenläuft. Insofern ist aus meiner Sicht tatsächlich keine Nachfrage da.

      Ok, also danke dir noch mal. (Und sorry für die unglaublich verzögerte Antwort. 🤦‍♂️)

      Johanes

      Antworten
2. 

   05.07.2025

   Andi H

   Erst einmal herzlichen Glückwunsch zu eurem Podcast Start. Ich habe heute endlich die erste Folge angehört und möchte euch ein wenig Feedback geben.

   Zunächst einmal ein paar allgemeine Punkte, unabhängig vom fachlichen Thema:

   1. Die Audioqualität ist schon sehr gut, da ist mir beim hören nichts negativ aufgefallen.

   2. Ich bin ein Freund von Kapitelmarken, sind aber auch mehr Aufwand. Könnt ihr ja mal auf eure Roadmap aufnehmen.

   3. Es ist ein roter Faden zu erkennen, in manche Themen seid ihr etwas mehr eingestiegen und manches etwas schneller durchgegangen. Rein subjektiv erweckt es den Eindruck, dass der Ablauf einen groben Plan hat und einiges dann ad-hoc ensteht. Das ist letztlich Geschmackssache wie man das aufbaut.

   4. Da ihr euch ja eher generell an Admins richtet, die nicht zwingend tief im Thema und den Fachbegriffen drin sind kann es evtl. hilfreich sein manche Abkürzungen oder Begriffe in die Shownotes zu packen.

   5. Ihr seid schon in Indexen zu finden, z.B. Ich konnte es via AntennaPod abonnieren. Aber wenn man z.B. nach „Security as a Podcast“ in Google sucht findet man euch nicht so schnell. Nur wenn man alles zusammenschreibt findet man euch direkt an Top 1.

   Dann noch ein paar konkretere Anmerkungen zum eigentlich Thema der Folge:

   6. Ich komme aus dem IDS/IPS/NSM (Network Security Monitoring) Bereich und ihr erweckt den Eindruck, dass IDS/IPS von NGFWs integriert und abgelöst worden sind und man klassische IDS/IPS „nicht mehr“ antrifft. Das ist mir etwas zu pauschal 🙂 Die Funktionalität wurde zwar in Teilen von NGFWs integriert aber gerade IDS/NSM als rein passive Systeme haben durchaus Vorteile die eine NGFW nicht abdecken kann. Auch kommen NGFWs als „Allrounder“ an ihre Grenzen. Da wäre etwas mehr Differenzierung wünschenswert.

   7. Das gilt auch für eure Anmerkungen zum Thema Proxy, da ist Squid schon noch viel im Einsatz aber auch andere Proxy Systeme mit ganz anderen Ansätzen. Beispielsweise HAProxy sei da erwähnt oder auch das Konzept ReverseProxy. Formuliert es einfach etwas flexibler, dass ihr es in euren speziellen Deployments nicht gesehen habt oder es dort aus Gründen nicht/wenig zum Einsatz kommt. Damit macht ihr euch da weniger angreifbar 🙂

   8. TLS Interception wurde gut abgedeckt, zumal ihr auch die Grenzen angesprochen habt. Teilweise ist es dann ja wirklich nicht mehr möglich die komplette Chain zu brechen. Das Thema ist auch schwierig und unterschiedliche Interessen prallen da zusammen. Was mir fehlte war, dass durch den MITM aber auch neue Sicherheitsprobleme entstehen, daher ist das aus Security Sicht Fluch und Segen zugleich. Sobald man da einen Exploit hat kann auch ungewollt mitgelesen werden, z.B.

   9. Zur TLS Interception bietet sich aber fast eine eigene Folge an, da kann man auch auf neue Kryptopgrahie eingehen wie homomorphe Krypto. Oder auch betrachten wie viel man trotzdem noch analysieren kann, selbst wenn die Payload verschlüsselt ist. Die Metadaten reichen im IDS/NSM Umfeld auch oft genug um einen Incident anzuzeigen.

   Und ganz wichtig:

   10. Da war viel zu wenig IPv6 drin 🙂

   Ich freue mich auf die nächste Folge!

   Antworten
   1. 

      10.07.2025

      Lukas Liebig

      Ich kann es nicht mehr genau benennen, aber an ein/zwei Stellen waren für mich Hintergrund-Geräusche zu hören.

      Antworten
   2. 

      10.11.2025

      Johannes Weber

      Hey Andi.
      Danke dir für deine sehr ausführlichen Kommentare. Das hat uns sehr gefreut und auch ein gutes Feedback gegeben.

      Hier ein paar Antworten:
      2) Kapitelmarker: Ja, ich denke mal darüber nach. Ich persönlich nutze sie beim Hören anderer Podcasts so gar nicht, weswegen ich auch nichts vermisse. 🙂 Erstaunlicherweise hat zB Spotify selbst per KI für unseren Podcast Kapitelmarker erstellt, die sogar echt gut sind. Mal gucken, ob das andere Podcast-Apps auch demnächst tun werden?
      4) Abkürzungen in Show-Notes packen: Guter Punkt. Steht auf meiner Liste. (Ist natürlich wieder etwas Mehraufwand. Ich hätte zunächst die Hoffnung, dass sich jeder unbekannte Schlagwörter, die ihn interessieren, selbst aufschreibt und denen nachgeht.)
      6) Heutiger Einsatz von IDS/IPS/NSM/NDS: Ja, das hatten wir fälschlicherweise unter den Tisch gekehrt. Diese Systeme sind *nicht* einfach von einer NGFW abgelöst worden, sondern es gibt sehr wohl noch Use-Cases, die normale Firewalls eben nicht abdecken. Es ist in dem neuen Schlagwort NDR, also Network Detection and Response, aufgegangen, u.a. mit den Herstellern Vectra AI oder Nozomi Networks. Ich werde evtl. mal eine Folge rein zu diesem Thema machen. Wie man sieht, habe ich da auch noch Nachholbedarf. 🙂 Suricata wäre ja auch so ein Schlagwort. Ich wüsste auch schon, wen ich dazu als Interviewgast anfragen könnte.
      7) Proxy: Ja. Hierzu habe ich in der 2. Folge bereits das Gegenteil behauptet. 😂
      8 & 9) TLS-Interception: Dito.
      10) IPv6: Haha, da hast du natürlich Recht. 🙂 Danke für den Reminder. Ich werte das mal als ein globales „die Leute wollen in jeder Folge etwas zu IPv6 hören“. 😂

      Antworten