![[Grafik: Evidian]](51-1.jpg)
Eine lokale Filterung der Protokolldaten auf den vorgeschalteten Firewall-Systemen reduziert an der zentralen Konsole die Ereignisse auf das Wesentliche und spart zudem Verbindungsbandbreite.
Um auch komplexe Firewall-Systeme mit verträglichem Zeit- und Kostenaufwand handhabbar zu halten, müssen heutige Firewalls bestimmte Leistungen erbringen, auf die Entscheider bei der Auswahl ihrer Lösungen unbedingt achten sollten. Denn in puncto Administrationsfähigkeiten driftet das Angebot der Firewall-Hersteller teils weit auseinander, was für die Anwender schmerzliche Administrationsschwächen zur Folge haben kann. Für die Bewertung der Firewall-Administrationsmöglichkeiten lohnt es sich, folgende Punkte genauer zu fokussieren:
Nur wer diesen acht Punkten genauer auf den Grund geht, wird zu einer Firewall-Installation finden, die in der Praxis hält, was man sich von ihr verspricht, und bei der zudem in puncto Betriebskosten für das Unternehmen die Rechnung aufgeht.
Eigentlich sollte eine zentrale Firewall-Administration per Graphical User Interface (GUI) mittlerweile für die Hersteller eine Selbstverständlichkeit sein. Dennoch trifft man unter den Angeboten immer noch auf Unterschiede. Sobald die Konsole direkt an der Firewall positioniert wird, bieten einige Lösungen nur eine wenig komfortable Verwaltung über serielle Verbindungen per Text-Terminal mit überdies begrenzten Administrationsmöglichkeiten an. Andere Lösungen machen einen zusätzlichen Management-Server erforderlich, der bei Remote-Zugriff des Administrators die Kompilierung und Verteilung der Firewall-Regeln übernimmt.
Auch hinsichtlich der Zugriffsverfahren neben dem GUI gibt es Unterschiede: Möglich sind von Fall zu Fall eine Grundkonfiguration per Tasten und Display, Telnet und Unix-Konsole bis hin zu Secure-Shell- (SSH) und Java-basierter Verwaltung, die für eine zentrale Firewall-Administration unterschiedliche Komfort-Levels eröffnen. Auch in puncto Sicherheit der Administrationsdaten driften die Angebote auseinander: Bei einigen Herstellern ist auch heute noch lediglich eine schwache Verschlüsselung möglich, beispielsweis über DES (Data Encryption Standard). Zumindest 3DES oder SSL-Verbindungen, die durch Chiffrierung mit 128-Bit-Schlüsseln geschützt sind, sollten es aber schon sein.
Je komplexer die Firewall-Installation, umso dringlicher ist es, dass man sie auf logischer Ebene konfigurieren kann, ohne sich mit der darunter liegenden Netztopologie auseinandersetzen zu müssen. Die Mittel dazu: Definition logischer Firewall-Domänen sowie die Konfiguration von eigenständigen Regelwerken für jede dieser Firewall-Domänen. Aus dem konfigurierten Regelwerk kann der Administrationsserver dann automatisch die dazugehörigen Prüf-Regelsätze für die einzelnen Firewall-Komponenten ermitteln. Diese Methodik schärft den administrativen Überblick über die gesamte Firewall-Konstellation, vereinfacht und verkürzt die Administration, ermöglicht es, neue Sicherheitsrichtlinien schnell und sicher in die Tat umzusetzen, und spart dem Unternehmen so Administrationskosten.
Leider ist nicht bei jedem Hersteller das "eigenständige Regelwerk" wirklich eigenständig für jede Domäne konfigurierbar. Das ist es nur dann, wenn das System aus dem logischen Regelwerk nicht nur automatisch die Prüf-Regelsätze für den Firewall-Check erzeugt, sondern diese Regelsätze auch automatisch – ohne Zutun des Administrators – auf der jeweiligen Firewall konfiguriert werden. Nur dann residiert das logische Regelwerk ausschließlich dort, wo es hingehört: auf der betreffenden Firewall und nicht parallel auch auf den anderen Firewall-Systemen, was einem potenziellen Sicherheitsrisiko gleichkommt.
Auch ein eigenständiges Regelwerk bringt zudem nicht viel, wenn das angebotene Spektrum an Prüfkriterien nicht ausreicht. Dieses entscheidet darüber, ob die Brandmauer Einwahl- und Angriffsversuche mehr oder weniger lückenlos prüft und entsprechende Möglichkeiten für eine minimale Rechtevergabe zur Verfügung stellt. Dazu sollte der Hersteller zumindest Zieladressen, Absenderadressen, Gruppen von IP-Adressen, Netzwerke (IP und Netzmaske), MAC-Adressen, Dienste (bzw. Ports), Gruppen von Diensten, Port-Ranges, Benutzer, Gruppen von Benutzern, Zeitperioden und Authentifizierungsmethoden als Prüfkriterien im Regelwerk vorsehen. Viele Firewall-Hersteller ermöglichen jedoch nur einen Teil hiervon. Besonders die Kritierien MAC-Adresse, Benutzer, Benutzergruppen und Zeitperioden fehlen oft, wodurch eine potenziell größere Angriffsfläche im Schutzwall entsteht.
Auf mehr oder weniger große Lücken treffen Entscheider unter den Firewall-Herstellern auch in puncto Administration von Hochverfügbarkeit (reiner Ausfallersatz) und Load-Balancing (zusätzliche Performancesteigerung). Idealerweise sollten beide Funktionen voll integrierter Bestandteil einer Firewall-Lösung sein und sich die komplette Konstellation unter derselben zentralen Firewall-Konsole verwalten lassen. Das Firewall-Domänen-bezogene Regelwerk muss dann auch die redundanten Systeme im Rahmen von Hochverfügbarkeit und Load-Balancing einbeziehen. Das ist aber nur bei rund der Hälfte aller Firewall-Hersteller der Fall.
Bei der anderen Hälfte der Anbieter muss man Hochverfügbarkeits- und Load-Balancing-Installation über separate Tools vollziehen und unter gesonderter Oberfläche administrieren – verbunden mit weniger Durchblick, mehr Komplexität und höheren Verwaltungskosten. In diesem Fall müssen für die Firewall-Umgebung sowie Hochverfügbarkeit beziehungsweise Load-Balancing gesonderte Regelsätze konfiguriert und gepflegt werden. Eine mangelnde Integration schlägt sich zudem üblicherweise in zusätzlichen Lizenzkosten für die Zusatzfunktionen nieder. Prüf-Regelsätze, generiert aus den logischen Regelwerken, zwischen Firewall und externer Hochverfügbarkeits- respektive Load-Balancing-Lösung zu synchronisieren, hilft einem Unternehmen kaum weiter: Dadurch lassen sich zwar beide Seiten zentral überwachen, aber die Regelwerke dennoch nicht gemeinsam konfigurieren und pflegen.
Eine volle Integration in die Firewall-Administration würde sich für den Anwender auch bei den Content- und Viren-Scannern bezahlt machen. Der Lohn wäre wiederum eine weniger komplexe und dadurch weniger aufwändige und somit kostensparende Verwaltung. Diese Integration würde zudem den Einsatz zusätzlicher Administrationskonsolen überflüssig machen. Auf eine solche Integration dürfen Unternehmen aber nur in den seltensten Fällen hoffen. Das Gros der Firewall-Hersteller versteht stattdessen unter Integration lediglich, Content- und Viren-Scanner für die Paketweiterleitung mit der Firewall über Protokolle wie HTTP, SMTP oder FTP zu koppeln. Administrieren muss man beide Lösungen bei den meisten Firewall-Herstellern aber völlig separat.
Die nächste Frage, die man sich als Firewall-Einkäufer stellen sollte, ist, in welchem Umfang Ereignisse innerhalb der Firewall-Installation anhand der Log-Informationen protokolliert werden. Nur wenn die Protokollierung in hinreichender Breite erfolgt, kann man weitgehend davon ausgehen, dass dem Administrator an der Konsole kein wichtiges Ereignis entgeht, das gegebenenfalls Geschäftsdaten oder -prozesse gefährden könnte. Dieser breite Mitschnitt von Ereignissen ist sowohl für die Protokolldateien (auf Netzwerkebene) als auch innerhalb der Application Proxies gefordert. Im Einzelnen sollte zumindest die Erfassung folgender Daten möglich sein:
Dabei ist zudem darauf zu achten, dass sich die Protokollierung beispielsweise an der Schnittstelle zum Internet für den Regelbetrieb auf das gesetzlich erlaubte Maß (vgl. KES 2000/5, S. 6) reduzieren, im Verdachtsfall aber schnell und gezielt ausweiten lässt. Hinzu kommt eine Beurteilung der Sicherheit von Protokolldaten: Wie leicht könnte ein erfolgreicher Angreifer die Protokollierung unterdrücken oder löschen?
Eine lokale Filterung der Protokolldaten auf den vorgeschalteten
Firewall-Systemen reduziert an der zentralen Konsole die Ereignisse
auf das Wesentliche und spart zudem Verbindungsbandbreite.
Zu einer weitgehend lückenlosen Protokollierung gehört auch, dass alle wichtigen, aber auch nur die wichtigen Ereignisse an einer zentralen Administrationskonsole schnell erkannt und nachvollzogen werden können. Dazu sollten bereits lokale Firewall-Komponenten die Log-Informationen vorfiltern, um die Spreu vom Weizen zu trennen. Dies spart zudem bei verteilten Firewall-Systemen (immer noch teure) WAN-Bandbreite, weil in diesem Fall nur die wesentlichen Ereignisse an die Zentrale übertragen werden. Leider ermöglicht aber nur rund die Hälfte aller Firewall-Lösungen eine solche lokale Vorfilterung. Vorsicht ist auch in einer anderen Hinsicht geboten: Einige Firewall-Systeme müssen auf der Applikationsebene vollends passen, da sie als routerbasierende Lösungen komplett die Application-Proxy-Funktionalität vermissen lassen. Das ist eine schmerzliche Achillesferse, zumal die meisten Attacken heute auf Anwendungsebene erfolgen.
Ist die Protokollierungsbreite hinreichend, profitieren davon auch die anschließenden Auswertungen. Sie helfen, mehr Licht auf die Ereignisse rund um die Firewall-Installation zu werfen, die tatsächliche Angriffslage für das Unternehmen transparent zu machen und auch Aktionen des eigenen Firewall-Administrators näher zu beleuchten. Viele Hersteller bitten jedoch in puncto Auswertung ihre Kunden mit Zusatzwerkzeugen zur Kasse. Andere lassen bei der integrierten Auswertungsfunktion wichtige Exportformate (etwa für Excel, Oracle oder Webtrend) zur weiteren Analyse vermissen.
Kommt es akut zu Ereignissen, die für das Unternehmen gefährlich werden könnten, ist eine schnelle und gezielte Alarmweiterleitung Trumpf. Je mehr Medien ein Firewall-System dabei unterstützt, desto flexibler und professioneller lässt sich die Alarmweiterleitung und -behandlung umsetzen. Das Arsenal an möglichen Alarmgebern sollte im Idealfall von Simple-Network-Management-Protocol-Traps (SNMP), Sys-Logs, Event-Logs, Pagern/SMS und Audio bis hin zu E-Mail, Skripten und dem Anstoß von eigenen oder System-Programmen reichen.
Zudem sollte die Firewall-Lösung dazu in der Lage sein, bei bestimmten Ereignissen automatisch Alarme über das richtige Medium an die richtige Stelle weiterzuleiten. Dieser Automatismus sollte für Ereignisse wie Start und Stopp der Firewall, Reboot des Systems, System-Fehler, Aktivierung neuer Regeln, Veränderung von Firewall-Einstellungen, zu viele Versuche Authentication Failed, Access Denied, Anti-Spoofing, Synflood-Attacks sowie bei Zugriffen durch bestimmte "verdächtige" IP-Nummern möglich sein.
Leider fehlen bei einigen Firewall-Herstellern wichtige Alarmierungsmedien. Und auch eine automatische Alarmweiterleitung bei wichtigen Ereignissen ist nicht bei jeder Firewall-Lösung eine Selbstverständlichkeit. Zudem ist die Alarmierung, ob mehr oder weniger breit und professionell ausgelegt, nicht zwangsläufig integrierter Bestandteil der Firewall-Lösung, sondern bei manchen Herstellern wiederum nur in Form von Zusatz-Tools mit weiteren Lizenzkosten erhältlich.
Last but not least sollte man prüfen, inwieweit eine Firewall zur Überwachung in ein übergeordnetes IT-Managementsystem integriert werden kann. Auch in diesem Punkt lassen bis heute viele Lösungen zu wünschen übrig. Bloße SNMP-Alarme, abgesetzt an die Netzwerkmanagementkonsole, sind auf jeden Fall zu wenig. Manche Systeme, die in ein IT-Management integrierbar sind, ermöglichen das nur in Verbindung mit dem herstellereigenen System – andere, marktwichtige IT-Management-Lösungen werden zum Leidwesen der Anwender nicht berücksichtigt. SNMP-Agenten für die Einbindung unter den IT-Managementschirm werden nur von den wenigsten Firewall-Herstellern angeboten. Eine weitere potenzielle Achillesferse: Nicht selten bleibt – sofern überhaupt möglich – bei der Einbindung der Firewall-Installation ins IT-Management die Hochverfügbarkeits- und Load-Balancing-Konstellation außen vor.
Die Administrationsfähigkeiten der einzelnen Firewall-Lösungen unterscheiden sich gewaltig. Vor einer Entscheidung für ein komplexes System gilt es daher, die wesentlichen Funktionen gründlichst unter die Lupe zu nehmen, sowohl in Sachen Sicherheit als auch für die Administration. Nur dann kann man, trotz immer größerer Firewall-Installationen, davon ausgehen, dass sich die eigenen Zielsetzungen erfüllen lassen: ein Höchstmaß an Sicherheit für die Geschäftsdaten und -prozesse, ohne dafür zuviel in die Firewall-Technik und in ihren Betrieb zu investieren – bei gleichzeitiger Investitionssicherung.
Hadi Stiel ist freier Journalist und Berater in Bad Camberg.
© SecuMedia-Verlags-GmbH, D-55205 Ingelheim,
KES 2002/6, Seite 51
