NextGen Firewall

Wanna Cry & Not Petya - Meltdown & Spectre

Wanna Cry & Not Petya - Meltdown & Spectre | NextGen Firewall

Es wird Zeit für Veränderungen. Auch in Ihrer Organisation und bei Ihnen Zuhause.

In den letzten 18 Monaten haben mehrere gross angelegte Cyberattacken aufgezeigt, was Unternehmen, welche von den Angriffswellen übers Worldwide Web erfasst wurde alles anrichten können, oder eben nicht mehr. Fahrgast und Leitzentralen Ausfälle, Züge still gelegt usw. 

Vom öffentlichen Verkehr (DB), Reedereien,  Tech Unternehmen bis zum Detailhandel waren einige Grosse davon arg betroffen und waren mehrere Tage nicht in der Lage, der Sache Herr zu werden und Ihre operativen Tätigkeiten auszuführen. Den Schaden zu beziffern mag keiner wirklich wollen.

In der heutigen vernetzten Welt, wo alles immer digitaler wird, ist ein schlechter Schutz der eigenen IT Infrastruktur, egal ob im beruflichen oder privaten Umfeld schlicht und einfach fahrlässig und allgemeingefährlich. 

Mit der Zunahme des Internet der Dinge, sprich Ihr SmartTV, Ihre SmartWatch, Ihr Baby-Fone oder Ihre Produktionsstrasse kommunizieren übers öffentliche Internet zusammen, wird das ganze immer fragiler. Die meisten IoT Geräte sind ungeschützt "On air". Bis 2020 kommen ca 20 Mia. IoT Geräte dazu.

Selbst die besten Überwachungskameras nutzen Ihnen nichts, wenn versierte Techniker Ihnen in Ihre Wohnstube schauen können, ohne dass Sie etwas davon mitbekommen. Oder kurzum den Verkehr umleiten, weil das W-LAN nach einer Brutforce Attacke meinte: Ich mag nimmer. 

Was viele nicht wissen, ist die Tatsache, dass wir uns seit ein paar Jahren in einem Informations - und Wirtschafts - Krieg befinden und nicht selten stehen hinter einen Angriff nicht Hacker, die es spasshalber tun, sondern staatliche Dienststellen einiger Länder, die dadurch gezielt Unruhe stiften, Schwachstellen identifizieren aber vor allem auch Informationen beschaffen. Das ist das orwellsche postfaktische Zeitalter. 

Einige der Viren, welche im Umlauf sind, haben eine halbwertszeit von 6-12 Jahren. Sie sind bereits da, nutzen irgendwelche Zero-Exploits welche zB Microsoft noch nicht geschlossen hat, nicht schliessen wird und wurden bis heute noch nicht mal aktiv. Sind aber identifiziert, auch wenn dies nur einer kleinen Klientel wirklich bekannt ist.  Hinzu kamen diverse Sicherheitslücken auf der Prozessor Ebene, allen voran: Intel. Heute kann man fast sagen: "Intelli inside"

Meltdown & Spectre

Das Intel mit den Intell’s zusammen arbeitet, wurde immer mal wieder an die Oberfläche gerückt, genauso wie Cisco, teilweise auch in ganzen Snowden und Wiki Leaks (u.a. Vault 7 Series) für alle offen gelegt. Das Stand August 2018 alleine bei Intel Prozessoren mittlerweile zähneknirschend die 5 Variante von MeltDown & Spectre bekannt & zugegeben wurden, respektive jetzt auch, wenn auch sehr aufwändig gepatscht werden kann, führt nicht mal mehr zu einem Aufschrei. Aber zum Kopfschütteln, erinnert es doch an die bekannte Salami Taktik. 

Wer nun denkt, Puh, mit der fünften Variante des Sicherheitsloch haben wir es dann, dürfte sich nochmals ca. 7 mal irren. Nicht nur weil kurz darauf am RedHat Linux Hackaton eine neue, noch viel gravierende Sicherheitslücke gefunden wurde, die man kurzer Hand als God Mode - zu Deutsch Gott-Modus, taufte, ist das eine. Die Tatsache, dass jene Kreisen, die solche „Staatstrojaner“ oder gewollte Lücken den grossen Tech Firmen einerseits zwanghaft auferlegen, bei nicht Kooperation deren Zulieferkette infiltrieren, muss wissen, dass im Schnitt pro Virus, pro Lücke stets 10-12 Varianten aktiv schlummern. 

Sie schwirren einfach da „draussen“ herum oder haben sich in Ihrem PC oder Android oder SmartTV bereits eingenistet und warten nur auf Ihre Aktivierung. Jetzt kann man anmassen: Ach, wenn doch alles so durchlöchert ist, was sollen wir denn noch machen ? - Na die Löcher zu. Denn die letzte Exploits für die Intel Prozessoren benötigen schon physikalischer Zugang oder eine weitere Malware, um den effektiven Nutzen daraus zu ziehen. Gut ist dann, wenn gar keiner erst reinkommt. Es sei denn, Ihr Bürofenster stand offen...

Sicherheit hat seinen Preis. Keine Sicherheit wird Teuer.

Dabei muss gute IT Security, welche man auch bedienen kann, gar nicht teuer sein. Sie darf aber, wenn es darauf ankommt, auch nicht in die Knie gehen, wenn da ein bisschen mehr Traffic und DDoS Attacken auf einen einprasseln. Genau dies ist einer der Schwachstellen von vielen Firewall und UTM Appliance Boxen. Sie sind von der Hardware zu schwach ausgelegt oder machen keinen Spass, weil man Sie zweimal in der Woche neu starten muss, da sich wieder mal das ROM zu gemüllt hat.

Wir als Dienstleister haben uns vor knapp 7 Jahren, als wir selber mit DDoS angegriffen wurden, es eindämmen konnten, intensiver damit befasst, nicht nur mit Open DNS Resolver, welche solche Attacken begünstigen, sondern haben verschiedene Security Systeme langzeitig in ähnlichen Szenarien im Einsatz gestestet.


Vor 3 Jahren haben wir in dieser Thematik uns intensiver mit der Dimensionierung der Hardware für Firewall / UTM Appliances auseinander gesetzt. Wir kamen zum Schluss, dass die Firewall und UTM Lösungen, welche wir seit Jahren für uns selber wie auch ein paar Kunden in Rechenzentren einsetzen, auf einer kleinen vernünftigen Appliance zu mehr Sicherheit bei den KMU’s und Privaten sorgen könnte und auch gerade hinsichtlich All-IP Transformation lästige Dinge wie Sicherheit und Q.o.S effizient unter einen Hut zu bringen vermag.

Mit der selben Software welche wir im Rechenzentrum einsetzen, aber mit Hardware, die 

a) Leistungsstark

b) Lüfterlos

c) Energie Effizient

ist und ein ausgezeichnetes Preisleistungsverhältnis bietet, welches sowohl für Private wie auch für KMUs erschwinglich ist, haben wir im öffentliche Beta Bereich im 2016 die THOR Appliances ins Leben gerufen. 

Das Rad mussten wir nicht neu erfinden, jedoch die Hardware Komponenten weise auf einander abstimmen. Mit Collax Security Gateway, kurz CSG, welche aus Benhur als Mutter aller Firewalls vor mehr 18 Jahren hervor ging, ein exzellentes Stück Software, ohne Backdoors, die wirklich mehr als nur 08/15 Security bietet, hervor.

Alle die früher am Zeitungsstand IT Magazine gekauft haben, ne Knoppix CD mit dem Kauf der Magazins mitbekamen, kennen Benhur.

Seit über knapp 2 Jahren haben wir unsere kleinen THOR Rugged CSG Boxen in KMUS draussen im Einsatz, welche weder von WannaCry noch Not Petya betroffen waren, während mehr als einem Jahr nicht einmal neu gestartet werden musste, ausser beim Software Firmware Update. (Sonic User dürfte so was sicherlich freuen)

Zum Einsatz kommt wie schon erwähnt, das Collax CSG, der Nachfolger des legenären von Benhur. Und neben CLAMAV kommt Kaspersky im Virenschutz zum Zug. Das ist aber noch längst nicht alles. Alleine die Feature Liste des CSG würde ein paar A4 Seiten füllen. Das tun wir Ihnen hier nicht an. Wichtig zu wissen: Sie kommt erfolgreich seit Jahren im Hochsicherheitsbereich im Einsatz. Zuverlässig. 

THOR  Rugged CSG Appliances

Ab sofort sind die Security Appliance, die THOR Rugged CSG Appliance, welche mit einem 1.8 GHz QuadCore und 2GB RAM in der kleinsten Version gerade mal 14 Watt Strom verbraucht, auch für die breite Masse käuflich. Ab CHF 349.- (Home & SoHo Edition) und kann mit vielen tollen netten Sachen erweitert werden. Sie kommt ab Fabrik vorinstalliert mit dem Collax CSG 7.0.30 für Plug & Play, kann als Fiber Modem/Router/Firewall eingesetzt werden, genauso wie allen anderen Technologien oder nur Ihr Netzwerk und VPN und und verwalten. Und wird sind wieder einmal der Meinung: Die Mutter aller Firewalls.

Wer die marginalen jährlichen Lizenzkosten einsparen mag, dem empfehlen wir als nächstbeste Alternative: openSense , die BSD Variante von pfSense, komplett OpenSource. Hübsch und bietet ebenfalls relativ viel, aber nicht alles. Auch IPFire soll hier Erwähnung finden, ebenfalls Opensource. Das Collax CSG ist eine eigene, schlanke Debian Distro.

Aber da wir uns ja mit Hardware beschäftigt haben, haben wir auch was für den Desktop und Notebook Bereich getan.

Collaborative & Innovativ

Was wir mit einer reinen Feedback und Austausch Kultur mit Collax erleben durften, ist die Umsetzung von Ideen, sofern es Sinn macht, und auch Richtung Zukunft geht, einzigartig. Darum sind wir überzeugt, das die neuen Optionen, wo die Collax CSG mit BI und BigData Analytic sich enorm von der Masse der UTM Hersteller absetzen wird, und gerade auch im IOT Security Bereich, neue Maßstäbe setzen wird. Weiter wird selbstverständlich nicht nur die Gefahr von Aussen, sondern auch die durch ahnungslose Anwender, von Innen, effektiv beseitigt.

No Spy - No Backdoors Zertifikat

Ebenso gibt es die Rugged CSG Version in einer Mid Appliance mit 11 Gigabit Ethernet Ports sowie in verschiedenen Rack Versionen bis zu 40 NICs, auch mit SFP+ und 10GB/s NICs, ausgelegt, für wirklich fette Firmen-Netze.  Und: Bei welchem Hersteller erhalten Sie in der heutigen Zeit noch ein No Spy - No Backdoor Zertifikat ? Bei uns! 

Gut zu wissen ist: 

Mit Collax wurden die MeltDown & Spectre Geschichten über Kernel-Page-Table Isolation Implementierung komplett ausgeschlossen. Mit PTI sieht ein Prozess nur noch seinen eigenen Speicherbereich. Nix mit Auslesen da. WannaCry & NotPetya wurden erfolgreich dank der engen Zusammenarbeit mit Kaspersky frühzeitig erkannt und abgewehrt.

Die NextGen Firewall gibt's bei QuadCom im Managed Service auch mit BI & ML. Somit wird nicht nur abnormales Verhalten innert kürze Entdeckt, sondern auch, wenn auf Standard Ports etwas kommuniziert, dass dort nix zu singen hat. Und wenn Sie wirkliche Sicherheit - die wir auch bei Banken, beim Bund und KMUs verbauen dürfen ins Auge fassen, sprechen Sie am besten mit uns.

Product Slider