Next Generation Firewalls und Operational Intelligence Das gesamte Netzwerk im Blick

Autor / Redakteur: Olav Strand, Splunk / Stephan Augsten

Nur wer sein Netzwerk komplett im Blick hat, kann es auch richtig administrieren. Log-Dateien und Reportings helfen dabei, wollen jedoch erst einmal gesammelt und korreliert sein. Splunk bietet entsprechende Tools an, die insbesondere mit den Netzwerk-Lösungen von Palo Alto Networks harmonieren.

Firmen zum Thema

Splunk-Dashboard mit Echtzeit-Überblick über den aktuellen Status der Systemumgebung.
Splunk-Dashboard mit Echtzeit-Überblick über den aktuellen Status der Systemumgebung.
(Bild: Splunk)

Stellen Sie sich vor, Sie müssen ein Bilderrätsel lösen. Die Aufgabe ist einfach: Sie haben zwei Bilder mit dem scheinbar gleichen Motiv nebeneinander vor sich liegen und nun müssen Sie auf dem rechten Bild die winzig kleinen Fehler erkennen.

Mit ein wenig Konzentration ist diese Aufgabe schnell gelöst. Aber wie sieht es aus, wenn Sie statt dem ganzen Bild plötzlich nur einen kleinen Bildausschnitt sehen? Da wird es schon schwieriger bis unmöglich auf die Lösung zu kommen. Ähnlich verhält es sich, wenn Sie nach Sicherheitsfehlern in Ihrem Netzwerk suchen.

Nur mit einer umfassenden Sicht auf die ganze Netzwerkumgebung lassen sich Unregelmäßigkeiten feststellen und Fragen schnell beantworten, zum Beispiel: Warum wird dem Vertriebsmitarbeiter Hans Müller der Zugriff auf die Produktpräsentationen verweigert? Hat er keine Berechtigung für das Netzlaufwerk oder liegt es an den Restriktionen der Firewall?

Vorteile einer Next Generation Firewall

Entsprechende Probleme sind bei einer klassischen Firewall schnell gelöst, was allerdings auch auf ihren geringen Funktionsumfang zurückzuführen ist. Sicherer sind sogenannte Next Generation Firewalls (NGFs) mit ihren Zusatzfunktionen, darunter Applikationserkennung, benutzerbezogene Freischaltungen, URL-Filter sowie die Erkennung bekannter und unbekannter Bedrohungen.

In der Regel werden NGFs über eine zentrale Management-Oberfläche gesteuert. Über die webbasierte Benutzeroberfläche der Firewalls von Palo Alto Networks lässt sich gar ein ganzer Firewall-Cluster administrieren, auch über mehrere Standorte hinweg.

Zu den erweiterten Funktionen gehören eine Übersicht aller erkannten Anwendungen und Bedrohungen bis hin zu Filtermöglichkeiten im Log-Viewer sowie die Erstellung von Berichten im PDF-Format.

Eine Firewall kommt selten allein

Im Netzwerk kommen neben einer Firewall aber oft zusätzliche Sicherheitslösungen wie hostbasiertes Antivirus zum Einsatz. Um das eigene Netz komplett zu überwachen, müssen Unternehmen sich ein Gesamtbild des aktuellen Sicherheitsstatus machen.

Neben den Ereignisprotokollen der Firewall sind beispielsweise auch die Log-Dateien von Servern, Web Application Firewalls oder Endgeräten zu betrachten. Sicherheitsrelevante Ereignisse auf den Systemen lassen sich nur bei Betrachtung aller Komponenten in Beziehung zueinander setzen und beurteilen.

Um umfassende Erkenntnisse zu gewinnen, müssen somit große Volumina an verschiedenen Log-Daten sowohl erfasst als auch korreliert und ausgewertet werden. Genau hier setzt Splunk an, der sich selbst als Anbieter von „Echtzeit Operational Intelligence Software“ bezeichnet.

Splunk sammelt und korreliert Big Data

Über eine webbasierten Oberfläche bietet der Hersteller die Möglichkeit, die verschiedenen Logs aus dem gesamten Netzwerk zu sammeln, zu analysieren und zu visualisieren. Dabei müssen die Logfiles nicht transformiert werden, sondern bleiben im Originalformat, Parsing und Indexierung erfolgen „on the fly“. Log-Formate können demzufolge stets geändert werden, ohne zusätzlichen administrativen Aufwand und ohne dass Informationen verloren gehen.

Mit einigen wenigen Filterkriterien lässt sich eine Übersicht aller Logs generieren. Filtert man z.B. nach einer IP-Adresse, so werden alle Ereignisprotokolle angezeigt, die diese Adresse betreffen – unabhängig davon, wo der Logeintrag entstanden ist. Auf diesem Weg lassen sich unter anderem die Spuren eines mit Schadsoftware infizierten Computers schnell verfolgen.

Splunk ermöglicht es zudem, automatische Suchabfragen mit weiterführenden Aktionen durchzuführen. Wenn beispielsweise ein bestimmter Logeintrag registriert wird, lässt sich automatisiert ein Alarm an das Firewall-Administrator-Team versenden.

Apps sorgen für mehr Übersicht

Splunk bietet viele Erweiterungspakete bzw. Apps, unter anderem zur Weiterverarbeitung und Darstellung von Logdaten. Darunter gibt es auch eine App speziell für die Palo Alto Firewalls, mit der die Feld-Extraktionen nicht selbst definiert werden müssen.

Alle Anwendungen und Nutzer-Aktivitäten können so über das gesamte Netzwerk sowie die Sicherheitsinfrastruktur korreliert werden – in Echtzeit und aus historischer Perspektive. Damit entfällt die Ereignisanalyse, ein Prozess, der sonst Tage gedauert hat und von manueller sowie fehleranfälliger Datengewinnung gekennzeichnet war.

Die App verwendet kontextuell angereicherte Informationen zur Netzwerksicherheit (inkl. zu APTs von WildFire), eine für Transparenz zu sorgen. Während bei herkömmlichen Netzwerksicherheitslösungen die Daten auf Port, Protokoll und IP-Adresse beschränkt sind, stellt Palo Alto Networks aussagekräftigere Informationen wie Applikationen, Anwender und Schadinhalte innerhalb der Splunk-Software bereit.

Zusammenarbeit mit anderen Systemen

Sowohl Palo Alto Networks als auch Splunk bieten offene Schnittstellen zur Kommunikation und Interaktion mit anderen Systemen. Ein möglicher Anwendungsfall wäre die Übertragung von Login-Informationen an die Firewall, um benutzerbezogene Freischaltungen nutzen zu können.

Beim Einsatz von Windows kann ein Agent die entsprechenden Daten liefern. Bei anderen Systemen gelingt dies nur, wenn ein zentraler Authentisierungsdienst via LDAP eingesetzt wird. Wenn keine zentrale Authentisierung eingesetzt wird, lassen sich die Logs zentral sammeln und über Splunk automatisiert durchsuchen, um die Login-Namen anschließend an die Firewall zu übertragen.

Ein weiteres Anwendungsszenario ist die Korrelation zwischen von der Firewall identifizierten Angriffen und im Netzwerk bekannten Sicherheitslücken. Die Informationen von einem Schwachstellen-Scanner werden dabei in Splunk importiert und über IP-Adressen und die CVE-Nummer mit den Firewall-Logs in Beziehung gebracht.

So sieht man, ob ein von der Firewall registrierter Angriff auf dem Zielsystem erfolgreich sein würde. Der Grundstein zu einem einfachen SIEM-System ist damit gelegt.

(ID:42317400)