Sicherheit
Silizium baut Sicherheit auf
Sicherheit
In den letzten Jahren war Sicherheit eigentlich ein Dauer-Thema in den Nachrichten. Es gab viele Geschichten darüber, wie Systemfehler entdeckt wurden, die es Angreifern erlaubten, aus der Distanz die Kontrolle über Systeme zu übernehmen oder Spyware oder Spam-dienliche Proxy-Software zu installieren. Das Bedürfnis, Systeme mit Schnittstellen zum Internet zu sichern, steht daher auf der Agenda von IT-Managern weit oben. Bedenkt man dies, scheint Nvidia im letzten Monat einen klugen Schachzug gemacht zu haben mit der Ankündigung, in das PC-Motherboard-Chipset nForce4 eine Hardware-Firewall einzubauen. Das ist so klug, dass man sich fragt, warum noch niemand daran gedacht hatte.
IT-Profis sind sich einig, dass bessere Endpoint-Sicherheit notwendig ist, vor allem für Clients wie Laptops, die oft in öffentlichen Netzwerken außerhalb des geschützten Firmen-LANs genutzt werden. Eine Software-Firewall kann allerdings oft die verfügbaren System-Ressourcen auffressen und ist anfällig dafür, deaktiviert oder entfernt zu werden, sei es durch den User oder durch bösartigen Code.
Es wirkt vielleicht seltsam, dass ausgerechnet Nvidia mit einem solchen Produkt auf den Markt kommt, da die Firma ansonsten mit 3D-Grafik und der Spielindustrie assoziiert wird. Tatsächlich räumte das Unternehmen ein, dass ein wesentlicher Grund für die Einführung von nForce4 der Schutz von Online-Spielern sei, die sich oft weigern, andere Software-Prozesse außer ihren geliebten Spielen laufen zu lassen, um soviel Leistung wie möglich aus ihren Systemen zu pressen.
Trotzdem stellt sich die Frage, warum es Nvidia zufiel, als erstes Unternehmen für Clients eine Firewall auf einem Chip anzubieten, und dass es nicht Intel oder ein anderer Netzwerkanbieter war, die sich ja angeblich alle um die IT-Bedürfnisse der Unternehmen sorgen. Liegt das daran, dass eine Hardware-Firewall eine härtere Nuss ist als es zunächst aussieht, oder daran, dass andere Funktionen eine höhere Priorität hatten, oder daran, dass die Anbieter das Bedürfnis nach einer solchen Technologie nicht wahrgenommen haben?
Die meisten Firewalls schützen ein System, indem sie die TCP- und UDP-Ports für unerbetene Pakete blockieren, die aus dem Internet kommen. Viele Firewalls ? aber nicht die von Microsoft, die mit Windows XP Service Pack 2 ausgeliefert wird ? blockieren auch Pakete, die nach außen gehen sollen, wenn ihr Ursprung keine autorisierte Anwendung ist. So soll jeglicher bösartiger Code gestoppt werden, der es bereits in das System geschafft hat und jetzt versucht, sich zu vermehren oder den befallenen Computer in ein Open Relay für Spam-E-Mail zu verwandeln.
Das Problem dabei ist, dass ein erfahrener Programmierer viele Software-basierte Firewalls einfach überwinden kann, indem er den TCP/IP-Stack von Windows umgeht und nach außen gehende Daten direkt auf den Netzwerk-Adapter schreibt. Einige seriöse Tools zur Netzwerk-Analyse demonstrieren das schön: Man kann Ethernet-Pakete generieren, die von einer Windows-basierten Firewall gar nicht entdeckt werden.
Es ist klar, dass die Sicherheits-Policy auf einer niedrigeren Ebene durchgesetzt werden muss als auf der Netzwerk- und Transport-Ebene. Nvidia behauptet, dass die Positionierung der Firewall auf Silikon direkt neben dem Ethernet-Adapter es dem System ermöglicht, jeglichen Traffic zu überprüfen und verdächtige Aktivitäten zu blockieren, wie etwa nach außen gehende Pakete, bei denen das Source-Feld anders eingestellt ist als es den zugewiesenen IP-Adressen des Systems entspricht. Leider unterstützt der nForce4-Chipset nur AMD-64bit-Chips und wird daher vor allem in den PCs von Privatkunden auftauchen. Ich bin mir allerdings sicher, dass die IT-Manager es begrüßen würdern, wenn ähnliche Technologien in zukünftige Chipsets für Pentium-4-Desktop-Rechner und Centrino-Laptops integriert würden. Wie wär?s damit, Intel?