Suchen

Im Test: Tufin Secure Track 4.1 Zentrales Management für heterogene Firewall-Umgebungen

Autor / Redakteur: Götz Güttich / Ulrich Roderer

IT-Abteilungen sind immer häufiger gezwungen, Bereiche auszulagern, Dienstleister an das interne Netz anzubinden oder nach Übernahmen fremde IT-Landschaften zu integrieren. Ein zentrales Firewall-Überwachungswerkzeug für heterogene Firewall-Umgebungen wie Secure Track von Tufin hilft in solchen Fällen, die Übersicht zu behalten.

Tufins Secure Track verwaltet Firewalls von Checkpoint, Juniper und Cisco zentral
Tufins Secure Track verwaltet Firewalls von Checkpoint, Juniper und Cisco zentral
( Archiv: Vogel Business Media )

Tufins Secure Track 4.1 arbeitet mit Firewalls von Checkpoint (Firewall-1/VPN-1 und Provider-1), Cisco (PIX, ASA und FWSM) und Juniper/Netscreen. Das Produkt hilft Administratoren, in großen Umgebungen mit vielen unterschiedlichen Firewall-Komponenten die Übersicht zu behalten und die erhöhten Anforderungen an Transparenz und Zuverlässigkeit zu erfüllen.

Das Planen, Implementieren, Umsetzen und Überwachen unternehmensweiter Sicherheitsrichtlinien ist zu einem geschäftskritischen Prozess geworden. Secure Track macht den fehlerträchtigen Zugriff auf die Administrationswerkzeuge verschiedener Hersteller überflüssig und ersetzt ihn durch ein zentrales Überwachungswerkzeug. Die Lösung hält die Konfigurationsdaten sämtlicher im Unternehmen vorhandenen Firewalls samt Änderungen und den für die Modifikationen verantwortlichen Administratoren in einer Datenbank vor.

Bildergalerie

Mit der Lösung sind die IT-Verantwortlichen dazu in der Lage im Rahmen des Change-Managements Vergleiche zwischen unterschiedlichen Konfigurationszuständen durchzuführen. Es ermöglicht es, auf einfache Art und Weise ein Risikomanagement zu implementieren, das mit leistungsfähigen Regeltests und Risikoanalysen arbeitet.

Die letztgenannte Funktion hilft den Unternehmen auch beim Sicherstellen der Compliance mit den Security Standards der jeweiligen Organisation. Das ebenfalls integrierte Business Continuity Management sorgt dafür, dass die Verantwortlichen die Auswirkungen von Konfigurationsänderungen überprüfen können, bevor diese implementiert werden. Das funktioniert durch eine Echtzeit-Analyse der auf einer Firewall abgespeicherten Modifikationen, bevor die Administratoren diese aktivieren.

Optimierte Sicherheitspolicies

Ein weiterer wichtiger Anwendungsfall von Secure Track ist die Optimierung der Sicherheitspolicies. In Checkpoint-Umgebungen analysiert das Produkt die tatsächliche Nutzung der einzelnen Policy-Komponenten. Auf diese Weise lassen sich beispielsweise überflüssige Regeln herausfinden und eliminieren. Von besonderem Interesse dürfte das Auditing von Firewall-Policies sein, da es Regulierungen wie Sarbanes-Oxley, PCO-DSS, HIPAA, ISO 17799 und Basel II entspricht. Administratoren sind mit Secure Track in der Lage, jede Regeländerung in Echtzeit zu überwachen und auf Policy-Compliance zu überprüfen.

Integration

Secure Track kommuniziert mit Checkpoint- beziehungsweise Cisco- und Juniper-Umgebungen unterschiedlich. Bei Checkpoint verwendet die Software die OPSEC-Plattform (Open Platform for Security), um mit den Sicherheitslösungen Daten auszutauschen. Das bedeutet, die Checkpoint-Komponenten melden sämtliche Konfigurationsänderungen und ähnliches direkt von sich aus an Secure Track. Bei Cisco und Juniper verbindet sich Secure Track über SSH mit den Firewalls und fragt zu konfigurierbaren Zeitabständen die aktuellen Konfigurationsdaten ab. Hier kann es also zu leichten Verzögerungen kommen.

Der Test

Für unseren Test kam eine Umgebung mit einer Cisco Pix 501, zwei Checkpoint Firewalls NGX (R65), einem Checkpoint Smartcenter NGX (R65) mit Hotfix 602 und dem Secure Track Server zum Einsatz. Die Firewalls arbeiteten jeweils getrennt von einander und sicherten unterschiedliche Netzwerke ab, die Administration aller Produkte erfolgte aber über ein gemeinsames LAN.

Als Administrationssystem kam eine virtuelle Maschine auf Vmware-Basis zum Einsatz, die unter Windows Server 2003 R2 mit Service Pack 2 lief und auf der wir die grafischen Management-Tools von Checkpoint installiert hatten. Von dem gleichen System aus griffen wir per Explorer auf das web-basierte Konfigurationsinterface von Secure Track 4.1 zu. Das letztgenannte System lief in einer anderen virtuellen Maschine unter Centos 4.5.

Im Betrieb

Nach dem Login beim Web-basierten Administrationswerkzeug landet der Administrator in einer Übersicht, die auf der linken Seite einen Baum mit allen verwalteten Systemen einschließlich Verbindungsstatus und rechts den eigentlichen Arbeitsbereich enthält. Klickt der Anwender auf eines der verwalteten Geräte, so erscheinen rechts in Listenform die zuletzt auf dem betroffenen System erstellten und aktivierten Konfigurationen mit dem Namen des jeweils für Änderungen verantwortlichen Administrators und der Adresse oder dem Namen des Client-Systems, auf dem die Änderungen durchgeführt wurden.

Wählen die zuständigen Mitarbeiter nun eine Policy-Revision aus, erhalten sie unter „View Policy“ Details wie die aktuellen Regeln der Policy, die Konfiguration der Network-Adress-Translation sowie die definierten Objekte, Dienste, Ressourcen, Server, OPSEC-Anwendungen, VPN-Communitites, Benutzer und Administratoren.

Dazu kommen noch „Global Properties“. Dabei handelt es sich um Checkpoint-Einstellungen, die für alle Policies einer speziellen Managementumgebung oder CMA (Customer Management Add-On in Provider-1-Installationen) gültig sind.

Wählen die IT-Mitarbeiter zwei Revisionen aus und selektieren den Befehl „Compare“, so zeigt das System die Änderungen zwischen ihnen farblich hervorgehoben an. Die beiden bearbeiteten Revisionen müssen dabei keineswegs direkt aufeinander folgen. Auch in der Vergleichsübersicht sehen wieder sämtliche Einträge wie Regeln, Objekte und global Properties zur Verfügung. Über „Generate Report“ sind die Administratoren in der Lage, eine kurze Übersicht auszugeben, die nur die Änderungen und den dafür verantwortlichen Mitarbeiter enthält.

Analysieren

Der zweite Hauptpunkt des Administrationsinterfaces nennt sich „Analyze“ und ermöglich das Erzeugen von Abfragen nach Geräten, Policies, Paketen, der Revision, den betroffenen Quellen, Zielen, Diensten und Aktionen. Diese Abfragen lassen sich beispielsweise nutzen, um festzustellen, welche Regeln an welchem Standort in Kraft sind, ob bestimmte Applikationen im Netz zugelassen sind und ob bestimmte Benutzer Zugriff auf ihre Datenbanken haben.

Audit

Unter „Audit“ sind die IT-Mitarbeiter in der Lage, Security Audits durchzuführen und Compliance- beziehungsweise Perfomance-Alerts einzurichten. Die Security Audits beziehen sich auf Geräte, Policies und das jeweils zu analysierende Risiko. Zu letzterem gehören unter anderem Missing Cleanup Rules, Regeln mit vielen IP-Adressen, unkommentierte Regeln, externe Verwaltungszugriffe, die maximale Zahl gleichzeitig möglicher Verbindungen, global akzeptierter ICMP-Verkehr, fehlende Stealth-Regeln, doppelte Hosts, nicht rotierte Log-Dateien und ähnliches.

Der erstellte Audit-Report berichtet, wo Probleme auftreten, die den jeweiligen Vorgaben entsprechen. Dabei gehört auch eine Bewertung der Schwere der Sicherheitslücken mit zum Leistungsumfang. Diese Bewertung ist durch die Nutzer definierbar.

Die Compliance Alerts unterscheiden zwischen Alarmen für das Risikomanagement und Alarmen für die Business Continuity. Auch hier erfolgt die Definition wieder nach Geräten und Regeln, aber auch nach Empfängern für die Warnungen. So lässt sich beispielsweise automatisch ein Alert generieren, der die IT-Abteilung aufmerksam macht, wenn ein Administrator versehentlich den Zugriff von bestimmten Systemen aus auf eine Datenbank unterbindet.

Die Performance Alerts funktionieren ähnlich, kommen aber zum Einsatz, wenn die CPU-Last, die Zahl der Systemprozesse, die Zahl der Firewall-Verbindungen, die Speichernutzung der Anwender oder die Speichernutzung des Kernels definierte Schwellwerte überschreiten. Alle Alert- und Audit-Funktionen konnten im Test voll überzeugen.

Berichte

Bei den Reports stellt das System die Punkte „Allgemeine Berichte“, „Business Ownership“ und „Published Reports“ zur Verfügung. Die General Reports umfassen beispielsweise neue Revisionen, Konfigurationsänderungen über einen bestimmten Zeitraum hinweg, Änderungen der auf bestimmten Firewall-Modulen installierten Policies, Regeländerungen, abgelaufene Regeln und die Regelnutzung. Dazu kommen noch Policy-Analysen, die das System nach Zeitplan ausführen kann und eine Baseline-Settings-Compliance-Analyse, die die globalen Eigenschaften der Checkpoint-Systeme und die Smart-Defence-Definitionen mit den Definitionen das Baseline Managements vergleicht.

Die Reports lassen sich an bestimmte Empfänger verschicken oder auch gleich über das Web-Interface einsehen.

Die Business-Ownership-Reports konzentrieren sich auf Änderungen, die den Zugriff auf Netzwerke betreffen und die Published Reports stehen den Anwendern mit Datum zur Einsicht bereit.

Konfiguration

Das Interface von „My Settings“ bildet immer das Aussehen der jeweiligen Herstellerwerkzeuge nach, so dass sich Checkpoint-, Cisco- und Juniper-Administratoren stets in einem bekannten Umfeld wieder finden und keine zusätzlichen Schulungen benötigen. An dieser Stelle lassen sich die Zahl der aufzulistenden Revisionen, das Datumsformat und die Startseite festlegen. Unter „Personal Details“ erfolgt die Festlegung von Benutzernamen, Passwörtern, Zugriffsrechten auf bestimmte Geräte und ähnliches.

Der Unterpunkt „Configuration“ übernimmt die Aufgabe, Benutzer- und Administratorenkonten anzulegen und mit Rechten zu versehen. Außerdem generieren und verwalten die zuständigen Mitarbeiter hier Einträge für die zu überwachenden Geräte mit Zugangsdaten.

Darüber hinaus lassen sich an gleicher Stelle auch Notifikationseinstellungen vornehmen, wie zum Beispiel die Settings zum Verschicken von Alerts.

Unter „Administration“ findet sich zu guter Letzt noch eine Übersicht über die überwachten Geräte. Kurz nach dem Abschluss des Tests brachte Tufin eine neue Version der Software auf den Markt die unter anderem PDF-Reports erstellen kann und die Usage-Reports auch für Cisco- und Juniper-Systeme anbietet.

Fazit

Secure Track 4.1 konnte im Test voll überzeugen. Besonders positiv fiel uns auf, dass die Software nicht einfach eine Suchmaschine durch sämtliche im Unternehmen vorhandenen Firewallregeln realisiert, sondern auch dazu in der Lage ist, Regeländerungen tiefgehend zu analysieren.

Wenn eine Policy-Definition beispielsweise den FTP-Verkehr in ein bestimmtes Netz untersagt, eine Regel wie „Allow all to {network}“ aber allen Verkehr in eben dieses Netz zulässt, so hilft eine Suchmaschine nicht dabei, die Policy-Verletzung aufzuspüren, da der Begriff „FTP“ in der Allow-All-Regel gar nicht vorkommt. Secure Track findet solche Konfigurationslücken. Folglich lassen sich mit dieser Software nicht nur Regelanalysen durchführen, sonder auch Helpdesk-Fragen beantworten, wie beispielsweise „Wieso hat Benutzerin Anja keinen Zugriff mehr auf unsere Oracle-Datenbank?“. Für große Umgebungen mit hohen Anforderungen an die Policy-Compliance stellt die Lösung demzufolge eine sehr große Arbeitserleichterung für Administratoren dar.

Artikelfiles und Artikellinks

(ID:2012845)