Sicherheitsarchitektur

Zweck dieses Dokuments

Dieses Dokument beschreibt die interne Sicherheitsarchitektur des Firegate™ Inline-Netzwerkschutzsystems.

Es erklärt, wie Datenverkehr überprüft wird, wie Sicherheitsrichtlinien durchgesetzt werden und wie die Management-Verbindung vom Inspektionspfad getrennt ist.

Für Installationsschritte siehe die Installationsanleitung.

1. Architekturüberblick

Firegate ist als dediziertes Inline-Intrusion-Prevention-System (IPS) konzipiert.

Das Gerät wird physisch zwischen Internetmodem und Router installiert. Der gesamte ein- und ausgehende Datenverkehr des geschützten Netzwerks durchläuft das Gerät, bevor er interne Systeme erreicht.

Firegate™ fungiert nicht als Gateway und ersetzt nicht den Router.

2. Inline-Inspektionsmodell

2.1 Inline-Design mit zwei Netzwerkschnittstellen

Firegate™ verwendet zwei dedizierte Netzwerkschnittstellen für die Inline-Inspektion:

  • Internet IN (vom Modem)
  • Internet OUT (zum Router)

Diese Schnittstellen:

  • besitzen keine IP-Adressen
  • sind nicht direkt adressierbar
  • stellen keine Management-Dienste bereit
  • sind nicht für das lokale Netzwerk erreichbar

Der Datenverkehr fließt zwischen diesen Schnittstellen, wo er in Echtzeit analysiert wird.

Dieses Design reduziert die Angriffsfläche im Vergleich zu traditionellen Gateway-Firewalls.

2.2 AF_PACKET Inline-IPS

Firegate™ verwendet Suricata im AF_PACKET Inline-IPS-Modus.

In dieser Konfiguration:

  • werden Pakete auf Ebene der Netzwerkschnittstelle erfasst
  • erfolgt die Analyse, bevor der Datenverkehr weitergeleitet wird
  • werden bösartige oder richtlinienwidrige Pakete sofort verworfen
  • wird erlaubter Datenverkehr an den Router weitergeleitet

Diese Methode ermöglicht Inline-Durchsetzung, ohne dass Folgendes erforderlich ist:

  • Linux-Bridge-Schnittstellen
  • IP-Routing zwischen Schnittstellen
  • NAT-Funktionalität
  • Ersatz des Netzwerk-Gateways

3. Durchsetzungsebenen des Datenverkehrs

3.1 Intrusion Prevention (IPS)

Die IPS-Engine übernimmt:

  • signaturbasierte Erkennung
  • Blockierung von Exploit-Versuchen
  • Erkennung von Command-and-Control-Kommunikation
  • Blockierung bekannter bösartiger Ziele
  • Analyse von Protokollanomalien

Pakete, die einer Blockierungsregel entsprechen, werden direkt inline verworfen.

3.2 DNS-Durchsetzung

Firegate™ erzwingt DNS-Richtlinien, indem ausgehender DNS-Datenverkehr abgefangen wird, der die Inline-Schnittstellen passiert.

Dies verhindert:

  • Umgehungsversuche über fest codierte DNS-Server
  • Nutzung alternativer öffentlicher DNS-Server zur Umgehung von Filtern
  • Richtlinienumgehung durch lokale Gerätekonfiguration

Die DNS-Durchsetzung erfolgt auf Netzwerkebene und ist unabhängig von Endgeräteeinstellungen.

4. Trennung von Management und Updates

4.1 Dedizierte Update-Schnittstelle

Firegate™ besitzt eine separate Management-Schnittstelle, die ausschließlich für sichere Update-Verbindungen verwendet wird.

Diese Schnittstelle:

  • besitzt eine IP-Adresse
  • hat ausgehenden Internetzugang
  • ist nicht Teil des Inline-Datenverkehrspfads

Der Inspektionspfad und der Managementpfad sind physisch getrennt.

4.2 Nur ausgehende Verbindung

Firegate™ stellt verschlüsselte ausgehende Verbindungen zur autorisierten Quantumsabre Update-Infrastruktur her.

Das System:

  • stellt keine eingehenden Remote-Administrationsdienste bereit
  • benötigt keine Portweiterleitungen
  • benötigt keine öffentliche statische IP-Adresse
  • besitzt keine öffentlich zugängliche Managementoberfläche

Alle Update-Kommunikation erfolgt ausgehend und verschlüsselt.

5. Sicherheitsgrenzen

Firegate™ arbeitet auf der Netzwerkebene.

Es bietet:

  • Inline-Datenverkehrsinspektion
  • Blockierung von Bedrohungen auf Netzwerkebene
  • DNS-basierte Richtliniendurchsetzung
  • kontrollierte Update-Verbindungen

Firegate™ ersetzt jedoch nicht:

  • Endpoint-Antivirensoftware
  • Schutz vor manuell installierter Schadsoftware
  • Schutz für Geräte außerhalb des Netzwerks, sofern diese nicht über autorisierte VPN-Verbindungen verbunden sind

Firegate sollte als Perimeter-Sicherheitskomponente innerhalb einer mehrschichtigen Sicherheitsstrategie betrachtet werden.

6. Reduzierung der Angriffsfläche

Firegate™ reduziert die Angriffsfläche durch:

  • IP-lose Inline-Inspektionsschnittstellen
  • fehlende Gateway-Routing-Funktion
  • keine lokale Web-Administrationsoberfläche
  • keine exponierten eingehenden Dienste
  • Trennung von Inspektions- und Managementpfad

Diese Architektur minimiert die direkte Interaktion mit der Inspektions-Engine sowohl aus internen als auch aus externen Netzwerken.

7. Designphilosophie

Firegate™ basiert auf folgenden Prinzipien:

  • Inline-Durchsetzung statt passiver Überwachung
  • Minimale exponierte Dienste
  • Trennung von Inspektion und Management
  • Nur ausgehende Update-Kommunikation
  • Deterministisches Verhalten ohne cloudbasierte Management-Dashboards

Das System priorisiert vorhersagbare Sicherheitsdurchsetzung und eine reduzierte Angriffsfläche.

8. Zusammenfassung

Firegate arbeitet als Inline-IPS-Appliance, die Suricata AF_PACKET-Technologie verwendet, um Datenverkehr zwischen Modem und Router zu analysieren.

Die Inspektionsschnittstellen sind bewusst nicht adressierbar, während die Management-Verbindung über eine separate Update-Schnittstelle isoliert ist.

Dieses Design ermöglicht Netzwerkschutz bei minimaler Angriffsfläche, ohne den Router oder das Netzwerk-Gateway zu ersetzen.