Best Practices für die Firewall Entrümpelung Räumen Sie das Regelwerk Ihrer Firewall auf

Autor / Redakteur: Reuven Harrison, CTO Tufin Technologies / Peter Schmitz

Im Laufe der Zeit entsteht in einer Firewall unweigerlich ein Dickicht aus Regeln. Oft finden sich da Regeln, die nur teilweise oder gar nicht verwendet werden, ausgelaufen sind oder sich widersprechen. Haben mehrere Administratoren Änderungen vollzogen oder gibt es verschiedene Firewalls in Ihrer Firma, verschärft sich das Problem noch. Es ist an der Zeit das Regelwerk Ihrer Firewall zu entrümpeln!

Firma zum Thema

In jeder Firewall sammeln sich mit der Zeit ungenutzte oder widersprüchliche Regeln an. Das Kostet Performance und Sicherheit. Entrümpeln Sie jetzt das Regelwerk Ihrer Firewall!
In jeder Firewall sammeln sich mit der Zeit ungenutzte oder widersprüchliche Regeln an. Das Kostet Performance und Sicherheit. Entrümpeln Sie jetzt das Regelwerk Ihrer Firewall!
( Archiv: Vogel Business Media )

Ist das Regelwerk einer Firewall erst einmal groß und verworren, wirkt sich dies negativ auf die Firewall-Leistung aus. Auch wird die Wartung schwierig, und echte Sicherheitsrisiken können sich dort verstecken. Zudem erfordern Standards wie PCI-DSS die Entfernung von Regeln und Objekten, die nicht verwendet werden.

Mit der Unterstützung einiger Kunden haben ich hier eine Liste von Best Practices für das Aufräumen eines Firewall- (oder Router-) Regelwerks zusammengestellt. All diese Dinge lassen sich manuell erledigen, aber wenn Sie Software für die Verwaltung der Firewall-Konfiguration im Einsatz haben, lässt sich das meiste davon sogar automatisieren.

Best Practices für die Firewall Entrümpelung

1. Löschen Sie widersprüchliche (“shadow”) Regeln, die letztlich ohne Effekt sind. Bei SecureTrack lassen sie sich im Rule and Object Usage-Report erkennen.

2. Löschen Sie abgelaufene und ungenutzte Regeln und Objekte. Sie lassen sich mit den Reports Rule and Object Usage sowie Expired Rules auffinden.

3. Entfernen Sie ungenutzte Verbindungen – also spezifische Quelle/Ziel/Service-Routen, die nicht in Verwendung sind. Sie entdecken sie, indem Sie mit dem Automatic Policy Generator die Traffic-Muster analysieren.

4. Sorgen Sie für die Einhaltung von Benennungsregeln, dank derer das Regelwerk unmittelbar verständlich bleibt. Verwenden Sie etwa ein konsistentes Format wie Rechnername_IP für Hosts. Dies ist eine Option im SecureTrack Best Practices-Report.

5. Löschen Sie alte, ungenutzte Regeln. Check Point und andere Anbieter ermöglichen das Speichern mehrerer Regelwerke. Dies ist ein weiterer Test im Best Practices-Report.

6. Entfernen Sie Objekt-Dubletten, also etwa einen Dienst oder Host, der zweimal unter verschiedenem Namen definiert ist. Der Best Practices-Report spürt solche Dubletten auf.

7. Bekämpfen Sie widersprüchliche Regeln wie nur immer möglich. Die Policy Analysis findet sich teilweise überlappende Regeln.

8. Gliedern Sie lange Regelsätze in lesbare Stücke mit maximal 20 Regeln. Auch dies lässt sich mit dem Best Practices-Report prüfen.

9. Dokumentieren Sie Regeln, Objekte und Änderungen für künftige Verwendungen. Auch dafür gibt es Software von Spezialherstellern.

Seite 2: Sicherheitschecks und weitere Best Practice Optimierungen für Ihre Firewall

Auch einige der wichtigsten Sicherheitsprüfungen helfen, das Regelwerk sauber und übersichtlich zu halten:

1. Definieren Sie eine zonenbasierende Compliance-Policy und prüfen Sie sie, indem Sie einen Audit-Report erstellen lassen.

2. Identizieren und reduzieren Sie unsichere Regeln mithilfe der Reports Best Practices, Security Risk und PCI-DSS (sofern relevant für Ihre Firma).

3. Optimieren Sie die Performance!

Bekämpfen Sie fehlerhaften Traffic und räumen Sie das Netzwerk auf.

  • Benachrichtigen Sie Server-Administratoren, wenn Server mit abgelehnten DNS/NTP/SMTP/HTTP(S)-Anfragen direkt auf die Firewall treffen oder wenn es intern zu Ablehnungen oder zum Auslaufen von Traffic kommt. Die Administratoren sind dafür verantwortlich, die Server so umzukonfigurieren, dass sie gar nicht erst solchen unautorisierten Traffic nach außen senden, was dann die Firewall entlastet.
  • Das Ausfiltern von unerwünschtem Traffic kann zwischen Firewalls und Routern verteilt werden, um die allgemeine Performance auszubalancieren und die Effizienz der Sicherheits-Policy zu erhöhen. Stellen Sie fest, welche die wichtigsten ankommenden Anfragen sind, die verworfen werden und die als ACL-Filter zum Router wandern würden. Das kann Zeit kosten, ist aber eine gute Methode, um Blöcke upstream zu verlagern und damit CPU und Speicher der Firewall zu entlasten.
  • Wenn bei Ihnen diesseits der Firewall ein Choke Router steht, könnten Sie häufige Blokaderegeln für ausgehenden Traffic auf den Choke Router verlegen, um so die Firewall zu entlasten.

Entfernen Sie unbenutzte Regeln und Objekte aus dem Regelwerk.

Verringern Sie die Komplexität des Regelwerks – Regeln sollten sich nach Möglichkeit nie überlappen.

Erstellen Sie eine Regel für Broadcast-Traffic – Broadcast Traffic wie bootp, NBT usw. sollte immer ohne Protokollierung bearbeitet werden.

Häufig Genutzte Regeln gehören im Regelwerk ganz nach oben. Bei manchen Firewalls (etwa Cisco Pix, ASA Version 7.0 und höher, FWSM 4.0 und einige Juniper-Modelle) ist aber die Reihenfolge der Regeln egal, da sie Pakete mithilfe optimierter Algorithmen bearbeiten.

Verzichten Sie auf DNS-Objekte, die DNS-Nachfragen beim ganzen Traffic erfordern.

Die Schnittstellen der Firewall sollten zu den Schnittstellen der Switches und Router passen.

  • Ist der Router halbduplex, sollte die Firewall halbduplex sein. Ist die Switch 100 Mbit, sollte die Firewall auf genau diesen Wert konfiguriert werden. In den meisten Fällen wird man 100 Mbit vollduplex einstellen.
  • Switch und Firewall sollten dieselbe Geschwindigkeit und denselben Duplexmodus melden. Haben Sie eine Gigabit-Switch, sollten Switch und Firewall jeweils auf „auto-negotiate“ für Geschwindigkeit und Duplexmodus eingestellt werden.
  • Wenn die Gigabit-Schnittstellen von Firewall und Switch nicht miteinander kommunizieren, versuchen Sie, die Kabel und Patchpanel-Ports zu wechseln. Gigabit-Schnittstellen, die nicht 1000 Mbit vollduplex erreichen, haben fast stets irgendein Hardware-Problem.

Trennen Sie Firewalls von VPNs, damit VPN-Traffic und –Verarbeitung nicht die Firewall in die Knie zwingt.

UTM-Funktionen raus aus einer beanspruchten Firewall. UTM-Features wie Virenscanner, AntiSpam, IPS, URL-Scanning sollten nicht die Firewall belasten.

Installieren Sie die aktuellste Software-Version. Allgemein gilt, dass neuere Versionen Leistungsvorteile bringen, aber auch neue Features, sodass ein Performance-Zuwachs nicht garantiert ist.

(ID:2047240)