Firewall-Regeln optimieren und bereinigen

Reto Grünenfelder ist Senior IT-Security Consultant bei HIS Software Zürich. www.hissoft.ch

Die Bezeichnung «historisch gewachsen» lässt darauf schliessen, dass die Regelwerke auf den verschiedenen Firewalls sehr umfangreich und nicht konsistent sind, Doppelspurigkeiten beinhalten und keine einheitliche Policy erkennbar ist. Damit sind sie in guter Gesellschaft! Denn nur wenige Unternehmen können ihren Firewall-Change-Management-Prozess auf eine Netzwerk-Security-Policy abstützen.

Firewalls werden heute in den meisten Unternehmen als «Mission Critical» bewertet. Denn die Kernaufgaben einer Firewall beschränken sich nicht nur auf die logische Trennung von Netzwerken und Netzwerksegmenten nach definierten Sicherheitsrichtlinien, mit dem Ziel, den un-befugten Zugriff (Vertraulichkeit) auf wichtige Daten zu verhindern. Sie umfassen auch die Gewährleistung der Verbindungssicherheit (Connectivity) zwischen den in verschiedenen Netzwerk-segmenten eingebundenen Systemen und Applikationen.

Fehlende Connectivity wirkt sich auf den Betrieb störend aus, wird aber in der Regel schon nach kurzer Betriebszeit entdeckt und behoben; unnötige Regeln und Sicherheitslücken bleiben jedoch in vielen Fällen über längere Zeit verborgen. Dies ist auch ein Grund, weshalb in den letzten Monaten vermehrt Firewall Compliance Auditing Tools auf dem Markt angeboten werden. Bei der heutigen Komplexität von Netzwerken sind wir nicht mehr in der Lage, innerhalb kurzer Zeit umfassende Regelwerke zu überprüfen und zu beurteilen.

Compliance Auditing Tools vergleichen in kürzester Zeit bestehende Regelwerke mit definierten Netzwerk-Policies, basierend auf Best-Practice-Vorgaben wie NIST 800-41 oder der Payment Card Industry Data Security Standard (PCI DSS). So helfen sie, Fehlkonfigurationen zu identifizieren. Die vorgegebenen Templates können mit geringem Aufwand auf die spezifischen Bedürfnisse der Unternehmung angepasst werden. Zu den führenden Tools, die sich in ihren Merkmalen nur gering-fügig unterscheiden, gehören «AlgoSec» und «Tufin». Weitere Features solcher Tools sind die Identifikation und Beseitigung ungenutzter Regeln sowie die Überwachung und Protokollierung von Konfigurationsänderungen, um die Revisionssicherheit zu gewähren.

Die Betrachtung einer einzelnen Firewall ist aber in vielen Fällen unzureichend. Dies vor allem dann, wenn in kurzer Zeit historisch gewachsene Regelwerke konsolidiert und überarbeitet werden müssen.

Hier ist es nicht nur wichtig, Sicherheitslöcher zu entdecken, sondern auch deren Risiko zu bewerten und einen Aktionsplan zu erarbeiten. Dies ist nur möglich, wenn kritische Routen über mehrere Firewalls und Netzwerksegmente be-urteilt werden können. Dieser Ansatz basiert auf einem virtuellen Netzwerkmodell auf welchem mittels komplexer Korrelationsverfahren die Netzwerkrouten analysiert und mit bestehenden Policies verglichen werden. Network Compliance Auditing ermöglicht es, Veränderungen im Netzwerk und an Firewalls nicht nur lokal auf einem Gerät, sondern ganzheitlich über das gesamte Netzwerk zu analysieren und die entsprechenden Auswirkungen zu beurteilen.

Toolunterstützung ist unerlässlich, um erforderliche Veränderungen in komplexen Netzwerken in kurzer Zeit effizient und ohne Beeinträchtigung der Verfügbarkeit und Access Policydurchführen zu können. Dabei ist bei der Beschaffung darauf zu achten, dass das Tool auch für den Change Management Prozess eingesetzt werden kann.