Best Practices für die Firewall Entrümpelung

Räumen Sie das Regelwerk Ihrer Firewall auf

20.09.2010 | Autor / Redakteur: Reuven Harrison, CTO Tufin Technologies / Peter Schmitz

In jeder Firewall sammeln sich mit der Zeit ungenutzte oder widersprüchliche Regeln an. Das Kostet Performance und Sicherheit. Entrümpeln Sie jetzt das Regelwerk Ihrer Firewall!
In jeder Firewall sammeln sich mit der Zeit ungenutzte oder widersprüchliche Regeln an. Das Kostet Performance und Sicherheit. Entrümpeln Sie jetzt das Regelwerk Ihrer Firewall!

Im Laufe der Zeit entsteht in einer Firewall unweigerlich ein Dickicht aus Regeln. Oft finden sich da Regeln, die nur teilweise oder gar nicht verwendet werden, ausgelaufen sind oder sich widersprechen. Haben mehrere Administratoren Änderungen vollzogen oder gibt es verschiedene Firewalls in Ihrer Firma, verschärft sich das Problem noch. Es ist an der Zeit das Regelwerk Ihrer Firewall zu entrümpeln!

Ist das Regelwerk einer Firewall erst einmal groß und verworren, wirkt sich dies negativ auf die Firewall-Leistung aus. Auch wird die Wartung schwierig, und echte Sicherheitsrisiken können sich dort verstecken. Zudem erfordern Standards wie PCI-DSS die Entfernung von Regeln und Objekten, die nicht verwendet werden.

Mit der Unterstützung einiger Kunden haben ich hier eine Liste von Best Practices für das Aufräumen eines Firewall- (oder Router-) Regelwerks zusammengestellt. All diese Dinge lassen sich manuell erledigen, aber wenn Sie Software für die Verwaltung der Firewall-Konfiguration im Einsatz haben, lässt sich das meiste davon sogar automatisieren.

Best Practices für die Firewall Entrümpelung

1. Löschen Sie widersprüchliche (“shadow”) Regeln, die letztlich ohne Effekt sind. Bei SecureTrack lassen sie sich im Rule and Object Usage-Report erkennen.

2. Löschen Sie abgelaufene und ungenutzte Regeln und Objekte. Sie lassen sich mit den Reports Rule and Object Usage sowie Expired Rules auffinden.

3. Entfernen Sie ungenutzte Verbindungen – also spezifische Quelle/Ziel/Service-Routen, die nicht in Verwendung sind. Sie entdecken sie, indem Sie mit dem Automatic Policy Generator die Traffic-Muster analysieren.

4. Sorgen Sie für die Einhaltung von Benennungsregeln, dank derer das Regelwerk unmittelbar verständlich bleibt. Verwenden Sie etwa ein konsistentes Format wie Rechnername_IP für Hosts. Dies ist eine Option im SecureTrack Best Practices-Report.

5. Löschen Sie alte, ungenutzte Regeln. Check Point und andere Anbieter ermöglichen das Speichern mehrerer Regelwerke. Dies ist ein weiterer Test im Best Practices-Report.

6. Entfernen Sie Objekt-Dubletten, also etwa einen Dienst oder Host, der zweimal unter verschiedenem Namen definiert ist. Der Best Practices-Report spürt solche Dubletten auf.

7. Bekämpfen Sie widersprüchliche Regeln wie nur immer möglich. Die Policy Analysis findet sich teilweise überlappende Regeln.

8. Gliedern Sie lange Regelsätze in lesbare Stücke mit maximal 20 Regeln. Auch dies lässt sich mit dem Best Practices-Report prüfen.

9. Dokumentieren Sie Regeln, Objekte und Änderungen für künftige Verwendungen. Auch dafür gibt es Software von Spezialherstellern.

Seite 2: Sicherheitschecks und weitere Best Practice Optimierungen für Ihre Firewall

Inhalt des Artikels:

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 2047240 / Firewalls)