![[Illustration von Firewall-Einsatzstellen]](66-1.jpg)
Die vielfältigen Anforderungen moderner Netzwerke machen Firewall-Installationen immer komplexer; hier gilt es mit entsprechenden Konzepten den Überblick zu behalten und die Administration zu vereinfachen.
Klassische Firewall-Konzepte, die eine zentrale Brandmauer als Nabel der Sicherheitswelt sehen, greifen in den Unternehmen zunehmend zu kurz. Der erforderliche Rund-um-Schutz gegenüber Intranet-, Extranet- und Internet-Teilnehmern fordert der Firewall-Technik neue Qualitäten ab, die sie nur über ein verändertes Rollenverständnis erbringen kann. Bisher haben leider erst wenige Hersteller ein solches neues Rollenverständnis konsequent aufgegriffen.
Der Veränderungsdruck auf den Firewall-Einsatz erfolgt aus zwei Richtungen: Mit der Anforderung, Angriffe auf voller Breite und Tiefe bis auf Abteilungsebene abzuwehren, wird die Firewall-Installation einerseits immer komplexer und damit verwaltungsaufwändiger. Die Entwicklung und der Einsatz von Desktop- und Personal-Firewalls auf allen geschäftskritischen Servern und Arbeitsstationen wird diesen Trend noch verschärfen. Andererseits muss sich die Firewall-Installation im Sinne eines sorgfältigen Schutzes von Geschäftsdaten, -systemen und -prozessen harmonisch in eine umfassende Sicherheitsarchitektur einfügen.
Dieser Spagat zwischen Komplexitätsbewältigung und Integration in ein Gesamtsicherheitskonzept verlangt von der Firewall-Technik ein verändertes Leistungsprofil. Firewall-Systeme müssen ihre Praxis- und Zukunftsreife dabei in acht strategischen Einsatzfeldern unter Beweis stellen:
Angesichts der wachsenden Komplexität muss sich die Firewall-Technik auf die wesentlichen Prüfaufgaben beschränken, ohne in die Domänen anderer Sicherheitstechnologien einzubrechen. Nur so bleibt die gesamte Sicherheitsarchitektur mit Zusatztechniken wie Authentifizierung, Autorisierung und Verschlüsselung bis hin zu Single-Sign-on und PKI (Public Key Infrastructure) im Lot.
Die Kernaufgabe der Firewalls ist auf Netzwerkebene der Check von IP-Endgeräteadressen, gegebenenfalls auch der TCP- oder UDP-Portnummer. Nur für den Fall, dass dynamische IP-Adressen zum Einsatz kommen, ist eine Ausweich-Authentifizierung erforderlich. Daneben gehören das Filtern von potenziell gefährlichen Bit-Mustern (Denial-of-Service-Angriffe durch ungültige/fragmentierte IP-Pakete) auf TCP/IP-Ebene sowie von hinzugemogelten Datenpaketen auf Anwendungsebene ins Aufgabenfeld der Firewall.
Die Authentifizierung für Netzdienste und (Netzwerk-)Betriebssysteme ist hingegen keine Domäne der Firewall. Sie ist, sofern über Verzeichnisintegration realisierbar, im Anschluss an den Firewall-Check viel besser bei einem Single-Sign-on-Service aufgehoben, der in diesem Fall die Authentifizierung mit der Autorisierung für die Zugriffssteuerung bis in die Anwendungen hinein kombiniert. Das Zusammenspiel zwischen Firewall-Durchlauf und Single-Sign-on-Verfahren funktioniert allerdings nur dann, wenn der Hersteller dafür eine Schnittstelle zur eigenen Sicherheitsarchitektur oder zur Sicherheitsarchitektur anderer Hersteller bietet, über die persönliche Authentifizierungsdaten an das zentrale Benutzermanagement durchgereicht werden können.
Virus und Content Scan sind zwei weitere Funktionen, welche die Firewall zwar nicht selbst, aber im engen Zusammenspiel mit den entsprechenden Servern absolvieren sollte. Die Abwehr von Viren und unzulässigen Inhalten vor allem aus dem Internet kann im Tagesbetrieb jedoch nur dann effizient ablaufen, wenn auch hier das Zusammenspiel der Instanzen stimmt.
Die Firewall sollte den Auftrag verlässlich an den Viren-Scan- beziehungsweise Content-Scan-Server übertragen und anschließend das Ergebnis der Recherche wiederum an der zentralen Firewall-Konsole einblenden. Fehlt diese direkte Rückmeldung, sind für beide Server zusätzliche Konsolen erforderlich, auf die sich der Administrator parallel konzentrieren muss. Auch die Konfiguration sollte an zentraler Stelle möglich sein, beispielsweise das Einrichten von Automatismen für bestimmte Problemsituationen, die Alarmweiterleitung per E-Mail, Pager oder SNMP-Trap (Simple Network Management Protocol) oder das Sperren unerwünschter URLs.
Durch komplexere Installationen sind die Entscheider zudem gefordert, über die Verkehrslasten auf den Verbindungen zwischen den einzelnen Firewall-Systemen nachzudenken. Werden die Meldungen von den lokal zuständigen Firewall-Systemen einfach an die Auswertungs-Firewall durchgereicht, belastet das die Verbindungen erheblich. Entschärft werden kann das performance- und eventuell auch gebührenintensive Aufkommen, indem die lokalen Firewall-Systeme eine Vorfilterung der generierten Meldungen vornehmen. Diese Verfahrensweise hat zudem für den Administrator einen erheblichen Vorteil: Er ist an der Firewall-Konsole nur mit den wirklich wichtigen Ereignissen konfrontiert. Er behält damit, statt in der Meldungsflut unterzugehen, stets den Überblick über alle Mitteilungen innerhalb der Firewall-Installation – auch dann, wenn die Installation weiter wächst.
Mit wachsender Komplexität von Firewall-Installationen wird die klare Strukturierung in Sicherheitszonen für die Betreiber immer wichtiger. Für deren effiziente Definition muss das Firewall-System die Firewall(s), PCs, Server und Benutzer in Form neutraler Objekte in der Firewall-Administrationsdatenbank vorsehen. Nur so ist der Administrator in der Lage, sich bei der Definition von Kommunikationsbeziehungen innerhalb und zwischen Sicherheitszonen flexibel aus einem einzigen Objekt-Pool zu bedienen – ohne Objektbindung an eine bestimmte einzelne Firewall. Das ermöglicht dem Administrator, Sicherheitszonen und Objektzuordnungen, losgelöst vom Netzwerk, aus Geschäftsprozesssicht zu definieren.
Die vielfältigen Anforderungen moderner Netzwerke machen
Firewall-Installationen immer komplexer; hier gilt es mit
entsprechenden Konzepten den Überblick zu behalten und die
Administration zu vereinfachen.
Logische Regelwerke sind dann das richtige Mittel, um die Kommunikationsbeziehungen zwischen diesen Objekten abzubilden. Eine solche Beziehungslogik entbindet den Administrator davon, sich bei der Konfiguration von Firewall-Sicherheitszonen mit der Netztopologie auseinanderzusetzen. Sind die Kommunikationsbeziehungen über das logische Regelwerk definiert, werden mit der Einwahl des Teilnehmers vom Firewall-Administrations-Server automatisch die dazugehörigen Regelsätze für das betreffende Firewall-System berechnet und für den Check auf IP-Ebene an jede Komponente (Firewall) dieses Systems übertragen.
![[Illustration: Verteilung von Regelsätzen]](66-2.jpg)
Wünschenswert: Nach der Definition eines logischen
Regelwerks an zentraler Stelle, verteilt das Firewall-System die
notwendigen Regelsätze für die Netzzugangskontrolle
automatisch an die betreffenden Komponenten.
Der Einsatz solcher Regelwerke kann den Konfigurationsaufwand um bis zu 40 Prozent reduzieren, für das Unternehmen gleichbedeutend mit erheblichen Kosteneinsparungen. Gleichzeitig schließt das logische Regelwerk Fehlkonfigurationen und damit Sicherheitslöcher auf der Ebene der Netztopologie aus. Der Administrator sollte dennoch auf erzeugte Regelsätze Einfluss nehmen können, beispielsweise um aus Geschäfts- oder Netzsicht Regeln anzupassen oder zu erweitern.
Mit Zonenmanagement, neutralen Objekten und einem logischen Regelwerk ist zudem eine solide Basis für eine zentrale Administration des Firewall-Systems gelegt. Auf sie werden die Unternehmen mit Blick auf das Sicherheitsbudget und die Beherrschbarkeit der Gesamtinstallation immer weniger verzichten können. Idealerweise sollte diese zentrale Administration auf einer hierarchischen Verzeichnisstruktur aufsetzen, beispielsweise LDAP (Light Weight Directory Access Protocol).
Bisher hinterlegen Firewall-Hersteller jedoch üblicherweise die Konfiguration inklusive der Regelsätze für die Netzzugangskontrolle in proprietären Dateien. Das erschwert ihre Übernahme in ein zentrales Benutzermanagement der Sicherheitsarchitektur. Auch die IETF (Internet Engineering Task Force) und die OPSEC-Initiative (Open Security Interface) haben bisher weder Objekte noch Attribute für firewallspezifische Informationen zur Hinterlegung innerhalb eines zentralen Benutzerverzeichnisses definiert; dadurch sind diese Daten dort nicht zu verwalten. Möglich ist eine solche Verwaltung derzeit nur dann, wenn der Firewall-Hersteller auch das zentrale Benutzermanagement liefert und dieses Verwaltungskonzept innerhalb seiner Produktwelt umgesetzt hat.
Wenn auch proprietäre Dateien mit den firewallspezifischen Konfigurationen und Regelsätzen heute noch die Verwaltung dieser Informationen im zentralen Benutzermanagement erschweren: Für sicherheitsrelevante Informationen wie Benutzerdaten, -rechte und -rollen zahlt sich dieser Zentralismus für das Unternehmen auf Dauer aus. So müssen in diesem Fall alle Objekte nur einmal im zentralen Benutzermanagement und nicht zusätzlich in der Firewall-Administration eingegeben, gepflegt und bei Bedarf gelöscht werden. Das wiederum reduziert das Risiko inkonsistenter Einträge, die schnell zu Löchern innerhalb des Sicherheitssystems führen. So ausgelegt, kehrt zudem mehr Transparenz sowie Flexibilität ins gesamte Sicherheitssystem ein. Unter zentraler Administrationsregie lässt es sich besser, schneller und gezielter an neue Sicherheitsanforderungen anpassen.
Inwieweit die Firewall-Administration und das zentrale Benutzermanagement tatsächlich harmonieren, sollte sich ein Unternehmen zur eigenen Investitionssicherheit vom Hersteller glaubhaft nachweisen lassen. Im Zweifel sollte man den Anbieter auffordern, im Rahmen einer Testinstallation mit dem ausgesuchten Benutzermanagementsystem diese Integrationsfähigkeit unter Beweis zu stellen.
Auch das Konzept einer virtuellen Firewall wird immer dringlicher. Lassen sich mehrere Firewalls zu einem virtuellen System zusammenfassen, so eröffnet sich dadurch dem Unternehmen die Perspektive des Load-Balancing für eine gleichmäßige Prüflastverteilung. Das wiederum schließt Wartezeiten bei der Absolvierung der Prüfaufgaben und damit bei den Zugriffen weitgehend aus. Ob dynamisches oder statisches Load-Balancing für die Lastverteilung das angemessene Rezept ist, muss der Anwender anhand der eigenen Firewall-Installation selbst entscheiden.
Zwar verteilt nur dynamisches Load-Balancing die Prüfaufträge in jeder Lastsituation gleichmäßig auf die Systeme der virtuellen Firewall, indem es die aktuelle Server-Auslastung anhand der zur Verfügung stehenden CPU- oder Arbeitsspeicherkapazität misst. Andererseits erzeugen diese permanenten Messungen aber einen erheblichen Zusatzaufwand, der bei fünf bis zehn Prozent des Gesamtdatenaufkommens liegt. Bei statischem Load-Balancing, beispielsweise nach geraden und ungeraden IP-Adressen, liegt diese Extralast nur bei rund einem Prozent. Dafür ist die Prüflastverteilung bei diesem Ansatz nur tendenziell gleichmäßig, ohne die aktuelle Auslastung der Firewall-Server zu berücksichtigen.
Als virtuelle Firewall ausgelegt, erschließt der logische Server-Verbund zudem die Perspektive "Ausfallsicherheit": Fällt die Primär-Firewall aus, werden die Prüfaufträge automatisch auf eine zweite Firewall umgelenkt. Dabei sollte das virtuelle Firewall-Konzept allerdings so ausgeprägt sein, dass dabei die bestehenden Verbindungen nicht verloren gehen. Andernfalls geht die Umschaltung nicht nur mit Verbindungs-, sondern auch mit Prüfdatenverlusten einher.
Norbert Drecker ist Leiter Beratung und Support IT-Security bei der Evidian GmbH in Köln.
© SecuMedia-Verlags-GmbH, D-55205 Ingelheim,
KES 2/2001, Seite 66
