Ratgeber Sicherheit

Das können Next Generation Firewalls

Ein Dschungel an Regeln für mehr Sicherheit

Der Kern der Next Generartion Firewalls sind dessen Regeln. In größeren Szenarien können diese Regelsätze sehr umfangreich werden. Die Zahl der dabei involvierten "Objekte" erreicht leicht die 1000er-Grenze. Ein Objekt solch einer Firewall-Regel ist beispielsweise ein Benutzer, eine Organisationseinheit, ein Rechner mit seiner IP-Adresse, eine Applikation, ein Server, ein Dienst, ein Prozess, eine Netzwerkfreigabe oder ein Netzwerksegment. Da sich diese Objekte, wie etwa die Unternehmensstrukturen mit ihren Mitarbeitern, ständig ändern, müssen auch die Regeln laufend angepasst werden.

Hinzu kommt, dass die Verwaltung einer dezentralen Firewall-Infrastruktur oft auch nur verteilt erfolgen kann. Die Kommunikation zwischen zwei Objekten muss mitunter jedoch mehrere Firewalls nacheinander passieren. Hierbei fällt es schwer, einen genauen Überblick darüber zu haben, was nun letztendlich erlaubt oder verboten ist. Um dabei noch die Übersicht zu wahren, werden häufig grafische Hilfsmittel eingesetzt. Hilfreich sind auch Werkzeuge, die eine Emulation der Auswirkungen der Firewall-Regeln ermöglichen. So kann der Administrator noch vor der Durchführung von Änderungen sehen, was die geplante Änderung bewirkt. Sind diese Auswirkungen nicht wie gewünscht, so wird die Regel eben kurzerhand verworfen oder wieder geändert.

Gateprotect: Die Firewall unterstützt die Konfiguration seiner Sicherheitssysteme durch grafische Editoren.
Gateprotect: Die Firewall unterstützt die Konfiguration seiner Sicherheitssysteme durch grafische Editoren.

Durch Überwachungs-Tools sollen das Erstellen und Ändern von Regeln effizient werden und vor allem auch nachvollziehbar. Dies beginnt bei der Anforderung einer Änderung an einer Firewall-Regel, schließt die Risikoanalyse ein und kümmert sich schließlich auch um die letztendliche Implementierung der Regel. Parallel dazu werden diese Änderungen in einem Security Audit festgehalten.

Diese Werkzeuge unterlegen die Erstellung von Firewall-Regeln einem formalisierten Prozess. Jede an einer Firewall erstellte oder geänderte Regel muss dabei in einem mehrstufigen Prozess mehrere Personen oder Gruppen durchlaufen. Die Grundlage dazu stellt meist ein Rollenmodell dar. An diese Rollen werden dann die Aufgaben gebunden. Die Rollen sind frei zu definieren, ebenso der Workflow. So kann beispielsweise eine Person eine Anforderung (einen Request) für eine Regel definieren. Ein Beispiel hierfür ist die Anforderung, dass ein Benutzer über einen Internetzugang auf seine Mails im Unternehmen zugreifen kann. Diese Person, die diese Anforderung definiert, muss aber nicht unbedingt mit den Details der involvierten Firewalls vertraut sein.

Umsetzung einer Security-Anforderung in eine Regel

Bei der Definition einer Sicherheitsanforderung ist es nicht notwendig, dass etwa der Administrator weiß, welche Firewalls und Serversysteme davon im Detail betroffen sind. Er formuliert nur die allgemeine Anforderung. In einem nachgeschalteten Schritt wird diese Anforderung an eine weitere Person oder Gruppe übergeben. Diese kümmert sich dann um die eigentliche Umsetzung. Sind die Regeln erstellt, so wird oder kann diese zur Prüfung an eine weitere Administrationsstelle geschleust werden. Diese Instanz wiederum prüft die Auswirkungen der neuen Regel auf den gesamten Regelsatz hin. Dieser "Prüfer" kann sich dazu auch weitere Informationen einholen. Reichen diese Angaben nicht aus, so kann er die Regel zurückweisen. Wenn alles passt und keine Komplikationen zu erwarten sind, wird er die Regel zur Implementierung freigeben. Damit ist diese Sicherheitsanforderung im ganzen Unternehmen - auch global - gültig. (hal)