Eine der beliebtesten Social-Media-Applikationen, mit denen auch Unternehmensnetze konfrontiert sind, ist zweifellos Facebook. Öffnet ein Mitarbeiter beispielsweise seine Facebook-Seite, dann generiert der Browser Verbindungen zu unterschiedlichen Hosts und lädt zahlreiche Objekte herunter. Laut dem US-amerikanischen IT-Beratungsunternehmen Opus One identifizierte ein Test 19 Verbindungen zu sieben verschiedenen Hosts sowie Downloads von 50 HTTP-Objekten in weniger als fünf Sekunden. Tests zeigten weiter, dass vier Verbindungen durchgehend bestehen, es sich also nicht nur um kurzzeitige Verbindungen handelt. Der Schluss: Eine Firewall mit einer Kapazität für 8.000 Sessions ist überfordert, wenn 2.000 Facebook-Benutzer online sind – und zwar unabhängig davon, ob die Anwender irgendeine Aktivität auf der Web-Seite vornehmen oder nicht.

Das Beispiel „Facebook“ führt die Notwendigkeit vor Augen, die Kontrolle über Applikationsnutzung im Unternehmensnetz zurückzugewinnen. Neben der Bandbreitennutzung geht es dabei darum, IT- und Datensicherheit wieder in den Griff zu bekommen, Produktivitätsverlust durch abgelenkte Mitarbeiter zu minimieren und Compliance-Anforderungen zu erfüllen. Um dies zu erreichen, muss eine Lösung alle relevanten Arten von Applikationen auf OSI-Layer 7 identifizieren: Geschäfts- und Privatanwendungen, Server?, Client?, Cloud- und Browser-Anwendungen, soziale Medien und Peer-to-Peer-(P2P-)Anwendungen.

Eine Grundannahme beim Netzwerk-Management mittels Applikationserkennung ist, dass die Mitarbeiter keine größere kriminelle Energie aufwenden, um Unternehmensvorschriften absichtlich und heimlich zu umgehen. Sollte ein solcher Verdacht zum Beispiel im Zusammenhang mit Wirtschaftsspionage bestehen, sind andere forensische Analysen erforderlich.

Mechanismen der Applikationserkennung

Applikationserkennung an sich stellt keine neue Technik dar. Aktuell hingegen ist der Trend, dass diese nicht mehr als separate Lösung fungiert, sondern innerhalb der Firewall stattfindet – am besten direkt im Kernel. Eine solche „Next Generation (NG) Firewall“ bietet gegenüber getrennten Lösungen zwei Vorteile: Erstens bietet sie eine gemeinsame Administrationsoberfläche und ein einheitliches Regelwerk für klassisches Firewalling, Applikationserkennung sowie weitere Netzwerk- und Sicherheitsfunktionen – oft unter Rückgriff auf Verzeichnisdienste zur Benutzerzuordnung. Zweitens sinkt die Latenz durch das Single-Pass-Verfahren, also die Bearbeitung „in einem Schwung“. Zur Identifikation von Applikationen nutzen diese Lösungen eine Kombination von fünf verschiedenen Mechanismen: