Migration und Betrieb von Firewalls

Sechs Regeln für den optimalen Einsatz von Next-Generation-Firewalls

26. August 2013, 6:12 Uhr | Phil Rumi/jos

Next-Generation-Firewalls haben Hochkonjunktur. Denn sie versprechen einen effektiveren Schutz vor Angriffen und dem Diebstahl des geistigen Eigentums. Doch dieses Mehr an Sicherheit stellt sich nur dann ein, wenn die Administratoren den mit den neuen Geräten verbundenen Änderungs- und Konfigurationsaufwand bewältigen können. Und der beginnt schon bei der Migration.

Die Vorteile der neuesten Firewall-Generation stehen außer Zweifel: Funktionen wie granulare Zugriffskontrollen oder Sicherheit nicht mehr nur auf Port-, sondern auch auf Benutzer-, Anwendungs- und Inhaltsebene verbessern die Kontrollmöglichkeiten und machen potenziellen Angreifern von innen und außen das Leben schwer. So besteht nunmehr die Möglichkeit, Access-Regeln nicht mehr nur auf Basis eines Protokolls zu definieren, sondern gezielt den Zugriff auf die Applikationen – die unter Umständen das gleiche Protokoll benutzen – zu beschränken. Allerdings setzen diese Vorzüge die saubere Konfiguration der Firewall-Regeln und insbesondere der Signaturen für Intrusion Prevention (IPS) voraus.

Administration: Vorsicht Falle

Gerade beim Thema IPS zeigen sich denn auch die Schwierigkeiten mit dem Einsatz von Next-Generation-Firewalls. Dies ist eines der Hauptergebnisse einer Untersuchung von Osterman Research vom November 2012. Demnach ändert fast die Hälfte – gut 48 Prozent – der befragten europäischen Unternehmen, die bereits über Next-Generation-Firewalls verfügen, monatlich zwischen 100 und 1.000 IPS-Signaturen, um das Schutzniveau aufrecht zu erhalten oder zu verbessern.

Entsprechend dieser hohen Anzahl an Änderungen rangiert die Kontrolle, ob die definierten Regeln in allen eingesetzten Geräten korrekt implementiert sind, auf Platz 3, die kontinuierliche Anpassung der Regeln an neue Exploits und Schädlinge auf Platz 4 und die Optimierung der Regelsätze auf dem fünften Platz der Liste der größten Herausforderungen. Platz 2 belegt das interne Berichtswesen sowie der Abgleich mit den Konfigurationsempfehlungen des jeweiligen Firewall-Herstellers. Auf Platz 1 landet schließlich ein weiteres Administrationsthema: die Überprüfung, ob die Vorgaben zu Netzwerkzugang und -segmentierung korrekt eingehalten sind.

Freilich treten die Schwierigkeiten nicht erst beim Betrieb, sondern schon bei der Umstellung auf Next-Generation-Firewalls auf. So zählen in Europa die Bestätigung des einwandfreien Firewall-Betriebs (Platz 1), Prozessanpassungen hinsichtlich Auditing, Änderungsmanagement und Berichtswesen (Platz 2) und die Schulung der Administratoren (ebenfalls an zweiter Stelle genannt) sowie die Erstellung neuer und detaillierterer Richtlinien nach Applikationen, Anwendern und Inhaltsarten (Rang 3) neben der Anpassung der bisherigen Firewall-Einstellungen an die neuen Geräte (ebenfalls an dritter Stelle genannt) zu den größten Hürden für eine erfolgreiche Migration. Um den administrativen Fallstricken bei Migration und Betrieb von Next-Generation-Firewalls zu entgehen, sollten Administratoren deshalb fünf goldene Regeln beachten.

Regel 1: Analysieren, korrelieren, automatisieren

Zunächst empfiehlt es sich, das klassische Firewall- mit einem Schwachstellen-Management zu kombinieren. Denn mögliche Angriffswege müssen vor dem Hintergrund vorhandener oder neu definierter Einstellungen, geplanter Konfigurationsänderungen und der Abhängigkeiten zu anderen Netzwerkkomponenten analysiert, überwacht und modelliert werden. Erst dann lassen sich Next-Generation-Firewalls so konfigurieren, dass sie tatsächlich für mehr Sicherheit sorgen.

Regel 2: Erst prüfen, dann implementieren

Auch wenn das primäre Ziel einer Migration auf Next-Generation-Firewalls darin besteht, die Sicherheit zu erhöhen, dürfen dabei die Erfüllung jeder Art von gültigen Regularien – Stichwort Compliance – sowie die Kontinuität des Geschäftsbetriebs nicht außer Acht gelassen werden. In der Tat müssen Administratoren alle drei Anforderungen gleichermaßen erfüllen. Sie sollten daher die Migration mithilfe eines virtuellen Netzwerkmodells planen, das neben den Komponenten wie Server und Router und den Applikationen auch die Firewall-Konfigurationen beinhaltet. So lässt sich ohne die Gefahr einer Netzwerkunterbrechung und ohne den Aufbau teurer Testnetze prüfen, ob auch bei den neuen Firewall-Geräten alle Ressourcen in der gewünschten Art und Weise erreichbar sind und ob gleichzeitig das Risiko der Angreifbarkeit minimiert ist.

Regel 3: Konfigurationen im Kontext überwachen

Das Regelwerk der Firewalls entsprechend den Herstellerempfehlungen zu konfigurieren und diese Konfigurationen auch kontinuierlich zu überwachen sowie Verstöße aufzulisten, ist eine Sache. Weit komplexer ist hingegen die Aufgabe, in Form von regelmäßigen und für anstehende Audits geeigneten Berichten den aktuellen Compliance- und Konfigurationsstatus der im Netzwerk vorhandenen Firewalls nachzuweisen und zu dokumentieren.

Denn hierfür sind Kontextinformationen aus dem gesamten Netzwerk und seinen Ressourcen inklusive der zwischen ihnen bestehenden Beziehungen und Abhängigkeiten notwendig. Insbesondere gilt es, den Bezug zu den vorhandenen Betriebssystemen und Applikationen herzustellen und die Konfiguration des Regel- und Signaturwerks kontinuierlich darauf abzustimmen. Herstellerwerkzeuge reichen leider in der Regel nicht aus, diese komplexe Aufgabe zu lösen.

Regel 4: Erst vorsorgen, dann nachsorgen

Next-Generation-Firewalls mit IPS-Funktionalität dienen dazu, unerlaubte Eingriffe oder Angriffe zu erkennen und vor diesen zu schützen. Dabei unterscheidet man zwischen signaturbasierenden und verhaltensbasierenden IPS-Erkennungsverfahren. Das Problem ist nur, dass der Angriff erst dann erkannt wird, wenn er aktuell stattfindet, und dies auch nur im Idealfall. Oft erkennen Systeme einen Angriff nicht, da das Signaturwerk den angegriffenen Service oder die Angriffssignatur – im Zweifelsfall sogar beides – nicht abdeckt.

Die Folge: Das Netzwerk und die Daten sind kompromittiert. Auch wenn die Attacke im Nachhinein durch ein System für „Security Information And Event Management“ (SIEM/SEM) gemeldet wird, lässt sich nur noch reagieren. In den allermeisten Fällen dürfte es dann bereits zu spät sein, um den Schaden abzuwenden.

Eine effektive Gefahrenabwehr und Risikobegrenzung beginnt daher schon vor einem möglichen Angriff. Lücken, die Hacker und Spione zu ihrer Beute gelangen lassen, existieren in jedem Netzwerk. Sie entstehen durch falsche oder unvollständige Konfigurationen und Signaturwerke wie durch Fehler im Softwarecode. Daher sollten auch sämtliche verfügbaren Informationen zu Schwachstellen in die Analyse mit einbezogen werden.

Doch erst wenn der Kontext einer Schwachstelle bekannt ist, lässt sich ihre tatsächliche Gefährlichkeit für das konkrete Netzwerk ermitteln und im Vergleich zu anderen Schwachstellen bewerten. Eine nach CVE (Common Vulnerabilities and Exposures) als kritisch eingestufte Schwachstelle ist in einer bestimmten Betriebssystemversion auf einem gewissen Server unter Umständen gar nicht so gefährlich, weil von diesem Server aus nicht auf ein System mit besonders schützenswerten Informationen zugegriffen werden kann oder weil der Server nur von einem bereits gepatchten System aus zugänglich ist, die Schwachstelle somit gar nicht auszunutzen ist.

Um ganz sicher zu gehen, sollten sich die Informationen zu gefährlichen Lücken in Angriffssimulationen verwenden lassen, um zu testen, ob und auf welchen Wegen ein Angreifer möglicherweise an sein Ziel gelangt. So entsteht für den Administrator eine Prioritätenliste, welche Lücken zuerst durch Änderungen am Signaturwerk abgeschirmt, also erkannt und – je nach Konfiguration – auch direkt blockiert werden sollten. Erst diese Vorsorge verschafft den Unternehmen ausreichend Zeit für eine effektive Nachsorge, das heißt die eigentliche Schwachstelle auf dem betroffenen System zu patchen, damit diese – unabhängig von Schutzmechanismen – nicht mehr auszunutzen ist.

Regel 5: Täglich Risiken ermitteln

Eine objektive Risikobewertung kann also nur stattfinden, wenn sowohl die Konfiguration der IPS-Geräte, die Zugriffsregeln und Routen der Firewalls und Router im Netzwerk bekannt sind als auch die Informationen darüber vorhanden sind, welche Schwachstellen auf welchem Softwarestand vorliegen. Da Änderungen im Netzwerk täglich stattfinden und ebenfalls täglich neue Schwachstellen bekannt und dokumentiert werden, sollte eine solche Risikobewertung dementsprechend auch auf einer täglich aktualisierten Datenbasis ablaufen.

Regel 6: Gehe zurück auf Los!

Aufgrund der Vielzahl an Einstellungen, Änderungen und Abhängigkeiten können Administratoren die beschriebenen Aufgaben in einem vernünftigen Zeitrahmen nicht mehr manuell erledigen. Es würde einfach zu viel Zeit zwischen dem Erkennen und dem Schließen einer Lücke vergehen. Sie sind daher auf die Unterstützung von Werkzeugen angewiesen, mit denen sich die erforderlichen Analysen und Korrelationen automatisieren lassen. Noch bevor sie mit der Migration auf Next-Generation-Firewalls beginnen, sollten sie daher geeignete Lösungen für die Risikoanalyse und netzwerkweites Schwachstellen-Management evaluieren und implementieren.

IPS-Signaturen im Kontext des Netzwerks und vorhandener Applikationen innerhalb der Organisation.

Attack Explorer - Virtuelles Pen-Testing: Schwachstellen- und Netzwerkinformationen im Kontext darstellen und so angreifbare Wege aktiv aufzeigen.

Lesen Sie mehr zum Thema


Jetzt kostenfreie Newsletter bestellen!

Weitere Artikel zu WBS Law

Weitere Artikel zu Barracuda Networks Inc.

Matchmaker+