Fehlkonfigurationen bei Firewall-Richtlinien

4 typische Fehler bei Sicherheitsrichtlinien

| Autor / Redakteur: Robert Blank / Peter Schmitz

Weil in Unternehmen oft viele verschiedene Generationen und Arten von Firewalls parallel laufen, ist es praktisch unmöglich, Fehler bei den Richtlinien auszuschließen.
Weil in Unternehmen oft viele verschiedene Generationen und Arten von Firewalls parallel laufen, ist es praktisch unmöglich, Fehler bei den Richtlinien auszuschließen. (Bild: gemeinfrei)

IT-Sicherheitsteams können einiges tun, um die Sicherheitsrichtlinien ihrer Firewalls zu ordnen. Dazu gehört die Entfernung von redundanten Regeln und Duplikaten, sowie die Verschärfung permissiver Regeln. Das sind anerkannte und einleuchtende Best Practices, allerdings sind sie auch äußerst zeitaufwendig. Die entscheidende Frage ist daher, warum Unternehmen das keinem Network Security Policy Manager (NSPM) überlassen.

Fehlkonfigurationen zu vermeiden, gehört zu den Standardaufgaben einer NSPM-Lösung, deren Vorteile damit noch lange nicht erschöpft sind. Die Identifizierung und Behebung von Richtlinien- und Konfigurationsfehlern, die sich in Firewall-Regelsätze einschleichen, ist ihr Kerngeschäft, aber es lohnt sich, einen Blick auf die potenziellen Fehler zu werfen, die das Sicherheitsniveau einer Organisation gefährden. Intelligente NSPM-Lösungen können jeden dieser Fehler vermeiden und so verhindern, dass sie einem Unternehmen schaden können.

Fehler 1: Undefinierte Richtlinienkonfigurationen

Es geschieht schnell, dass Firewalls ohne definierte Richtlinien konfiguriert werden, die den Datenverkehr von jeder Quelle zu jedem Ziel ermöglichen. Wenn die IT-Abteilung sich bei der Anwendungsbereitstellung noch nicht sicher ist, welche Anforderungen eine Anwendung genau stellt, entscheidet sie sich für allgemeine Regeln. Die Anwendung wird ausgeführt und die IT-Abteilung kann die Regeln in Zukunft ändern, wenn die Anforderungen klarer sind. In der Praxis kommt diese perfekte Zukunft selten zustande, weil auch Firewall-Manager viel beschäftigt sind. Sie haben keine Zeit, ein Sicherheitsproblem zu lösen, solange sie nicht merken, dass sie für die Netzwerkintegrität kritisch ist. Schließlich funktioniert die Anwendung. Undefinierte Firewall-Richtlinien können allerdings zur kritischen Schwachstelle werden, weil sie das Netzwerk in einem exponierten Zustand belassen.

Ein Network Security Policy Manager erkennt und markiert automatisch solche undefinierte Firewall-Richtlinien und gibt einen genauen Einblick in die Entwicklung der Anwendungsnutzung. Mit diesen Informationen kann das Sicherheitsteam schnell auf die undefinierte Richtlinie reagieren, um das erforderliche Sicherheitsniveau zu gewährleisten und gleichzeitig sicherzustellen, dass die Anwendung ununterbrochen läuft.

Fehler 2: Fehler in der Übersetzung

Heute arbeiten die meisten Unternehmen in einer vielfältigen Sicherheitsumgebung, die sowohl traditionelle als auch Next-Generation-Firewalls unterstützt. Diese werden oft von sehr unterschiedlichen Anbietern bezogen. Dadurch kommt es bei der Verwaltung zu Übersetzungsfehlern, da jede Generation von Firewalls – und oft auch bei den unterschiedlichen Produkten eines einzelnen Herstellers – jeweils eine eigene Syntax und Semantik für die Erstellung und Pflege von Sicherheitsrichtlinien anwendet.

Katastrophale Übersetzungsfehler können auftreten, wenn Sicherheitsteams versuchen, bestehende Firewall-Richtlinien auf neue Geräte zu migrieren. Dies kann dazu führen, dass eine Anwendung, die in den letzten sechs Monaten gut funktioniert hat, plötzlich zum Stillstand kommt, da ein einfacher Übersetzungsfehler zwischen Produkten plötzlich den entscheidenden Datenverkehr blockiert. Umgekehrt erlauben andere Übersetzungsfehler neuen, unerwünschten Traffic, der die Tür zum nächsten Cyberangriff öffnet.

Eine gute NSPM-Lösung verhindert automatisch Übersetzungsfehler und stellt sicher, dass Richtlinien korrekt und konsistent auf allen Sicherheitsgeräten angewendet werden. Dazu werden die neuen Regeln in den NSPM eingepflegt, der diese für jede einzelne Firewall übersetzt. Durch die Zusammenarbeit mit den unterschiedlichen Firewalls verschiedener Hersteller stellt der NSPM sicher, dass die individuelle Syntax stimmt und die Semantik über alle Firewalls hinweg, einheitlich gewahrt bleibt.

Fehler 3: Schlechte Optimierung

Die meisten Firewalls wenden ihre Regeln in der Reihenfolge an, in der die Regeln gelistet sind. Wenn die Firewall beispielsweise einen Datenfluss empfängt, beginnt sie am Anfang und arbeitet den Regelkatalog ab, bis sie eine Regel erreicht, die sie auffordert, diesen Datenverkehr zu blockieren. Wird keine solche Regel entdeckt, lässt die Firewall den Datenstrom passieren.

Dieser Ansatz funktioniert zwar, aber er optimiert weder die Leistung der Netzwerkgeräte noch der Anwendungen, die vom Datenfluss abhängen. Bereits einfache Änderung der Reihenfolge eines Regelsatzes kann die Leistung der Firewall deutlich verbessern. Beispielsweise profitiert die Performance, wenn Regeln früher gelistet sind, die besonders häufig eingesetzt werden.

Eine NSPM-Lösung optimiert automatisch die Regeln einer Firewall und stellt sicher, dass neue Regeln optimal umgesetzt werden, während bestehende Regeln konsolidiert und neu geordnet werden. Die besten dieser Lösungen verbinden Netzwerksicherheit direkt mit kritischen Anwendungen und Prozessen, um den Geschäftskontext transparent darzustellen und eine angemessene Business Intelligence bereitzustellen. Dazu macht der Manager Maßnahmen für das Sicherheitsmanagement davon abhängig, ob kritische Prozesse unterstützt werden, die das Unternehmen tragen.

Fehler 4: Ungenutzte Services

Was ist mit der Situation, dass ein Dienst in einer Firewall verbleibt, obwohl er dort nicht mehr benötigt wird? Nehmen wir zum Beispiel das dynamische Routing, das als Best Practice auf Sicherheitsgeräten deaktiviert sein sollte. Wer verhindert, dass es aktiviert wird? Was ist mit DHCP-Servern, die IPs verteilen und manchmal IP-Konflikte verursachen, die zu Verfügbarkeitsproblemen führen? Eine NSPM-Lösung erkennt diese Situationen und verhindert, die Ausführung unnötiger Dienste auf der Firewall, härtet die Geräte und stellt sicher, dass die Konfiguration zum Zeitpunkt der Bereitstellung compliance-konform ist und dies langfristig bleibt.

Fazit

Bei so vielen Richtlinien, die auf so vielen verschiedenen Generationen und Arten von Firewalls laufen, kann das Einfügen oder Entfernen von kritischen Richtlinien vergessen oder in der Übersetzung verloren gehen. Es ist praktisch unmöglich, Fehler auszuschließen. Eine konsequente, geschäftsorientierte Optimierung ist noch schwieriger. IT- und Sicherheitsteams sollten daher die Anschaffung eines fortschrittlichen Network Security Policy Managers gut abwägen. Dieser unterstützt sie effektiv und effizient dabei, ihr Unternehmen effizient und sicher am Laufen zu halten.

Über den Autor: Robert Blank ist Regional Sales Manager DACH bei AlgoSec.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 45771463 / Firewalls)