| 
Haben Sie einen Fehler gefunden? Bitte benachrichtigen Sie uns per E-Mail. Vielen Dank.
Die zentralen Firewall-Systeme in einer Organisation steuern heute den Datenverkehr zwischen Internet, VPNs, externen Dienstleistern, Partnern und Standorten sowie zahlreichen Teilnetzen und Systemen innerhalb des eigenen Hauses – so kommen schnell mehrere hundert Regeln zusammen. Dennoch sollen aber natürlich nur solche Regeln aktiv sein, die tatsächlich benötigt werden und den Sicherheitsvorgaben der Organisation entsprechen.
Oft sind jedoch die Regelwerke historisch gewachsen und längst nicht überall sind dokumentierte Freigabeprozesse für alle Regeln etabliert. Viele Firewall-Regeln erlauben zudem viel mehr, als für die jeweilige Anwendung eigentlich nötig wäre, weil die genauen Kommunikationsanforderungen gar nicht bekannt sind. Solche "Any"-Regeln schränken naturgemäß die Schutzwirkung einer Firewall unnötig ein – manchmal wird auch das an sich als sinnvoll erachtete Einschränken der zulässigen Kommunikation nur auf später vertagt, unterbleibt dann aber wegen anderer Prioritäten im Netzbetrieb.
Eine besondere Herausforderung ergibt sich bei Regeln, die nur vorübergehend benötigt werden (z. B. während der Laufzeit eines bestimmten Projekts): Wird eine bestimmte Verbindung und somit neue Regel benötigt, so veranlassen die betroffenen Stellen deren Einrichtung, um ihre Arbeit aufnehmen zu können. Ist ein Projekt aber beendet, dann hat keiner der Beteiligten mehr einen Handlungsdruck, um auch die Löschung dieser Regel zu veranlassen – die Freigabe verbleibt dann oft im Regelwerk, bis sie vielleicht irgendwann einmal in einem Audit der Firewall auffällt. Werden in der Zwischenzeit beispielsweise die IP-Nummern der Projektserver in der Organisation neu vergeben, so können sich aus den "geerbten" Kommunikationsschnittstellen sogar Löcher und Risiken ergeben, die keinem der Beteiligten bewusst sind.
Eine rein technische Lösung kann die hier aufgezeigten Probleme nicht lösen – dazu gehört unbedingt auch ein definierter und durchdachter organisatorischer Prozess für das Firewall-Management. Hierzu ist zunächst die Frage zu klären, welche Einheit in der Organisation überhaupt für das Firewall-Management zuständig ist: Eine personelle Trennung vom IT- oder Netzwerk-Betrieb ist hier zur Umsetzung eines Vier-Augen-Prinzips bei der Einrichtung von Systemen und der Freischaltung der zugehörigen Außenkommunikation wünschenswert, aber (nicht zuletzt wegen des erforderlichen Know-hows) oft nur bei entsprechender Organisationsgröße realisierbar.
Der Einrichtung einer neuen Firewall-Regel muss in jedem Fall ein Antrag zugrunde liegen: Hierzu ist zu definieren, wer solche Anträge stellen darf und wie der Genehmigungsprozess aussieht. Es empfiehlt sich, zunächst eine fachliche Prüfung unter Einbindung des IT-Sicherheitsmanagements und gegebenenfalls eine Bewertung des Risikos vorzunehmen (anhand der verwendeten Protokolle und Ports sowie der Anzahl und des Schutzbedarfs der betroffenen Systeme).
Dabei ist es auch sinnvoll, übergreifende Gestaltungsregeln zu definieren, deren Einhaltung im Genehmigungsprozess vorab überprüft wird – dazu können beispielsweise ein Verbot von "Any"-Regeln sowie die zwingende Einhaltung von Namenskonventionen für Firewall-Objekte gehören.
Jede Regel sollte zudem einen Eigentümer haben: Dieses "Inhaber-Prinzip" ordnet die Regel einem definierten Ansprechpartner (oder Fachbereich) in der Organisation zu, der für die Fortschreibung oder eventuell Aufhebung der Regel verantwortlich ist.
Der Antrags- und Genehmigungsprozess muss (ggf. elektronisch) dokumentiert und revisionssicher archiviert werden. Zudem sollte jeder Antrag die erforderlichen Kommunikationsbeziehungen vollständig beschreiben: Benötigt man etwa für einen Server einen zusätzlichen Kommunikationsport, dann sollte der entsprechende Erweiterungsantrag auch die bisher für diesen Server beantragten Ports und Protokolle aufführen. Nur so ist es mit vertretbarem Aufwand möglich, anhand der Dokumentation der Anträge den Soll-Zustand des Regelwerks zu ermitteln (und mit dem Ist-Zustand abzugleichen). Dies lässt sich am einfachsten erreichen, indem man dem Regelinhaber den jeweils letzten Antrag zu seinen Regeln zugänglich macht, sodass er diesen als Grundlage für den Änderungsantrag verwenden kann. Eine Versionierung der Anträge sorgt überdies für die erforderliche Nachvollziehbarkeit.
Um die Zuordnung der Regeln zu Anträgen zu ermöglichen, bietet es sich an, bei ihrer Einrichtung eine eindeutige Antrags- und Versionsnummer in das Kommentarfeld der Firewallkonfiguration aufzunehmen. Hierbei ist auch ein Verfahren für den Fall zu definieren, dass zwei unabhängige fachliche Anforderungen zu identischen oder sich überschneidenden Kommunikationsanforderungen führen – denn manche Firewalls detektieren Überschneidungen im Regelwerk als Konfigurationsfehler und lehnen diese dann ab.
Um die Aktualität des Regelwerks sicherzustellen, sollte man allen eingerichteten Regeln eine Lebensdauer zuordnen, die einen definierten Zeitraum (z. B. ein Jahr) nicht überschreiten darf. "Abgelaufene" Regeln werden dann regelmäßig (z. B. monatlich) identifiziert und ihren Inhabern zur Verlängerung vorgelegt. Wenn die Regeln in der jeweils letzten Antragsfassung vollständig und verständlich dokumentiert sind, bleibt die Arbeitsbelastung für den Inhaber dabei überschaubar – gleichzeitig lassen sich so obsolete Regeln systematisch identifizieren und löschen oder an neue Bedingungen anpassen.
Der zusätzliche Arbeitsaufwand für Firewall-Management-Prozesse der geschilderten Art resultiert nicht nur in einem höheren Sicherheitsniveau, sondern rentiert sich meistens auch "direkt": etwa durch die Erleichterung von Audits oder die Nutzbarkeit der erarbeiteten Firewalldokumentation für Migrationsvorhaben. Das "Aufräumen" eines mangelhaft dokumentierten Regelwerks kann im Gegensatz dazu umfangreiche Projekte erfordern, die eine große Anzahl von Ansprechpartnern in der IT-Organisation einbinden und durchaus einige Monate Zeit in Anspruch nehmen können.
Um in Sachen Firewall-Management Nachhaltigkeit zu erreichen, muss die Definition und Einführung geordneter Prozesse im Vordergrund stehen! Nur so kann man erreichen, dass nach der Analyse und Aktualisierung des Regelwerks ein sachgerecht dokumentierter Zustand hergestellt, entsprechende Regel-Inhaber definiert und die Regeln auch konsequent fortgeschrieben werden.
Frank Rustemeyer ist Director System Security und Principal Consultant bei der HiSolutions AG.
© SecuMedia-Verlags-GmbH, 55205 Ingelheim (DE),
<kes> 2010#3, Seite 64
tag:kes.info,2007:lp:2010-3-B
|