• 11. Juni 2024
  • 4 min Lesezeit
IT-Security

Next-Generation Firewall im Härtetest: SBB setzt auf exklusives Sicherheitstesting durch Emitec

Datenvielfalt und Datenvolumen nehmen stetig zu. Das fordert die IT-Security heraus. Beim Thema Sicherheit stehen mittlere und grosse Unternehmen oft vor zusätzlichen Hürden. Sie müs-sen die umfangreichen Datenströme im eigenen Unternehmensnetzwerk verarbeiten. Eine exklu-sive Lösung erlaubt die Simulation der Praxis schon in der Evaluationsphase.

Zug EW IV mit Lokomotive Re 460

Mit der Evaluation einer Next-Generation Firewall (NGFW) will die SBB sicherstellen, dass höchste Anforderungen an Sicherheit und Verfügbarkeit erfüllt werden. Die Next-Generation Firewall ist in der Lage, ausgeklügelte Angriffe zu erkennen und zu blockieren, indem sie Sicherheitsrichtlinien auf Anwendungs-, Port- und Protokollebene durchsetzt. Die Fälle von Cyber-Angriffen häufen sich und werden immer ausgeklügelter. In punkto Sicherheit dürften keine Kompromisse gemacht werden, wurde uns seitens der SBB mitgeteilt. Denn IT bewegt die Bahn: Sie spielt eine zentrale Rolle im Bahnbetrieb. Das breite Leistungsspektrum der SBB verdeutlicht dies. Es reicht von der Entwicklung und Bereitstellung des SBB-Internetportals über ein europaweit führendes Vertriebssystem bis zur Steuerung der Ticketautomaten in den Bahnhöfen.

Security Assessments für Firewalls

Im Rahmen einer Evaluation und Beschaffung hat die SBB verschiedene Angebote für eine NGFW-Lösung bewertet. Für die SBB ist es wichtig, dass die am besten passende Lösung für sie eruiert wird. Das bedeutet optimalen Schutz zum besten Preis. Firewalls dürfen nicht auf Basis eines Daten-blatts selektioniert werden. Deshalb definierte die SBB gemeinsam mit Emitec ein Test-Setup, das ein vergleichbares Testverfahren sicherstellt. Dabei werden folgende Ziele bestimmt:

  • Optimale NGFW evaluieren (Sicherheit/Pricing)
  • Passende Konfiguration (CPU/Memory) pro Standort finden
  • Optimale Konfiguration für den Betrieb bestimmen
  • Limite finden, bis welcher der Schutz optimal funktioniert

Das Test-Setup wurde zusammen mit den Praxistests von der Emitec AG begleitet und im Netzwerk-Labor der SBB durchgeführt. «Solche Art von Tests können nur mit einem BreakingPoint Traffic-Simu-lator unter realistischen Bedingungen im Labor angewendet werden», erklärt Armin Diethelm, CEO von Emitec.

Funktionsweise und Architektur

Zur Vorbereitung wurde ein typisches Traffic-Profil vom SBB-Netz übernommen. Damit konnte die NGFW mit dem möglichst gleichen Traffic wie später im Betrieb getestet werden. Die potenziellen Firewalls wurden im Zwei-Arm-Verfahren getestet, wobei der BreakingPoint-Simulator auf der einen Seite die Clients und auf der anderen die Server/Cloud’s emuliert – eine sogenannte Zangen-Messung.

«Die BreakingPoint bietet als einziger Simulator im Markt die Möglichkeit, echten, realistischen Traffic zu simulieren», erklärt Armin Diethelm. Bei anderen oder ähnlichen Simulatoren erkennen die FW’s (Security Devices), dass es sich um synthetisch generierten Traffic handelt. Sie analysieren nicht mehr jedes Paket, sondern nur noch jedes 100ste oder 1000ste, was zu falschen Resultaten und somit zu falscher Sicherheit führt.

BreakingPoint verfügt über ein patentiertes Verfahren zur Erzeugung von «realistischem» Traffic. Parallel dazu können Attacken und Exploits eingefügt werden.

Klare Messergebnisse bei der Evaluation

Durch den Einsatz der BreakingPoint-Plattform konnte die Telecomabteilung der SBB sicherstellen, dass die Ergebnisse der Firewall-Tests untereinander vergleichbar sind. Noch vor Beginn der Tests wurde anhand der verschiedenen Applikationsprofile der BreakingPoint-Plattform ein individueller Traffic-Mix zusammengestellt. Damit konnte gewährleistet werden, dass der im Labor simulierte Traffic ein möglichst genaues Bild des SBB-Netzwerks wiedergibt. Anhand der umfangreichen Tests schon während der Evaluationsphase erhielt die SBB eine klare Vorstellung der künftigen Next-Generation Firewall-Lösung. Zudem konnte durch die Verwendung eines SBB-Traffic-Mix aufgezeigt werden, dass auch Spezialfälle innerhalb des SBB-Netzwerks durch die neue Lösung optimal abgedeckt werden können. Das Risiko von teuren Workarounds während der Implementierung konnte dadurch verhindert werden.

analyse-daten

Sicherheit durch Testen – auch im Alltag

Im täglichen Betrieb leistet die BreakingPoint-Plattform ebenfalls wertvolle Dienste für die SBB. «So können beispielsweise Updates in der Netzwerkinfrastruktur oder Konfigurationsänderungen vor-gängig im Labor getestet werden – auch dies unter realen Bedingungen», erläutert Armin Diethelm.

Auf der BreakingPoint-Plattform stehen über 65'000 Angriffsmuster zur Verfügung, unter anderem Virensignaturen und Exploits. Keysight stellt zudem laufend neue Angriffsmuster und «Evasion-Profi-les» bereit. Anhand von regelmässigen Tests kann die SBB somit mögliche Sicherheitslücken in der Infrastruktur frühzeitig erkennen – bevor dies andere tun.

Fazit

Dank exklusiven Tests konnte die SBB die optimale Next-Generation Firewall evaluieren, welche alle ihre Bedürfnisse vollumfänglich abdeckt. Dies zu einem Minimum an Kosten und ohne die Sicher-heit zu gefährden. Die Telecom der SBB bestätigt, dass sie dank dem Testverfahren bereits in der Evaluationsphase feststellen konnte, wo das jeweilige Limit liegt.