Analyse von Firewall-Regeln
Ordnung statt Chaos
Beim jahrelangen Einsatz von Firewalls entstehen komplexe, oft nur in Excel verwaltete Regelwerke. Diese Listen sind schnell sehr unübersichtlich, besteht doch häufig eine Scheu, alte Regeln zu löschen. Stattdessen fügt man lieber neue Regeln hinzu, ohne zu prüfen, ob vorhandene Rules nutzbar wären. Das Resultat ist eine stets wachsende Komplexität und ein zu weit gefasster Zugang zu den Netzwerkressourcen. Dies widerspricht letztlich dem Sinn einer Firewall und gefährdet die Sicherheit nachhaltig.In den meisten Installationen gewähren Administratoren zu großzügigen Netzwerkzugang, wenn auch unbeabsichtigt. Die Hauptgründe sind ineffektives Change-Management, schlechte Definition der Geschäftsanforderungen und das Fehlen einer "Alterungsstrategie". Dabei nehmen die Systemverwalter unnötige Veränderungen auf verschiedenste Weise vor: teils ohne zu überprüfen, wie man sie am besten in die bestehenden Richtlinien integrieren kann, teils auch ohne potenzielle Risiken hinreichend abzuschätzen. Risikoquelle Informationsmangel Administratoren sehen sich hohen Anforderungen ausgesetzt: Veränderungen, beispielsweise neue Benutzer, sind schnell zu implementieren, oft basierend auf einer allgemeinen Anfrage wie: "Bitte Zugang zum Server von meinem Netzwerk bereitstellen!" Solche Anweisungen enthalten nicht genug Informationen, um eine adäquate Richtlinie zu erstellen, die nur den tatsächlich benötigten Zugang gestattet. Zu welchem Teil des Netzwerks braucht der Anwender tatsächlich Zugang? Welche Services sind nötig, um den Zugang zu ermöglichen? Das Resultat fehlender Informationen sind häufig zu weitreichende Zugangsrechte. So werden Richtlinien zumeist mit "Any"-Objekten erstellt, um so zeitnah Zugang zu gewähren und die Business-Anforderungen zu erfüllen. Zudem haben zwar die meisten Unternehmen Prozesse zum Erstellen und Hinzufügen von Richtlinien etabliert, doch verfügen die wenigsten über Strategien, wie man nicht mehr benötigte Rules entfernt. In der Praxis lassen sich einige typische Szenarien beobachten: Ein alter Datenbank-Server wird entsorgt, ohne den Firewall-Management-Verantwortlichen zu informieren. 60 Tage später wird nun die IP-Adresse für eine andere Netzwerkkomponente verwendet, sodass für das neue Gerät die alten, nicht auf das neue Gerät angepassten Richtlinien gelten. Eine ebenfalls weit verbreitete Quelle ungenutzter Richtlinien sind Mitarbeiter, die aus dem Unternehmen ausscheiden. In aller Regel traut sich niemand, derartige Regeln zu entfernen, meist aus Angst, sie könnten noch benötigt werden oder das Löschen könnte die Infrastruktur beeinträchtigen. Dies wird meist dadurch verschärft, dass keine oder lediglich eine unzureichende zentrale Dokumentation der Policies vorliegt. Diese könnte darüber Aufschluss geben, ob der Zugang geschäftlich notwendig ist, für wen die Regeln gelten soll, wer die Verantwortung trägt etc. Ein effektives Firewall-Management adressiert genau diese Probleme. Es räumt mit der gewachsenen, unnötigen Komplexität auf und stellt so sicher, dass der Netzwerkzugang gemäß den geschäftlichen Anforderungen und Notwendigkeiten erfolgt. Dabei ist es ein andauernder Prozess, die Firewall effektiv, effizient und korrekt zu halten. Dennoch ist meist zunächst gründliches Aufräumen erforderlich. Hier sollte man nicht nur die Kosten/Nutzen-Ralation in Betracht ziehen, sondern auch das damit verbundene Risiko: Konfigurationsänderungen sind die Ursache für über 80 Prozent aller Netzwerkausfälle. Dabei ist die Veränderung von Firewall-Richtlinien besonders riskant, denn sie kann den Geschäftsablauf unterbrechen. Jede Anpassung ist deshalb genauestens zu prüfen. Der Aufräumprozess lässt sich in drei Stufen gliedern. Der erste Schritt befasst sich mit den schnellsten und risikoärmsten Änderungen, die sofort die Komplexität senken, darauf folgen Schritte mit moderatem Risiko und großem Sicherheitszugewinn sowie schließlich die Verfeinerung der Regeln, um die Zugangsrechte zu optimieren. Technische Fehler entfernen Zunächst entfernt man die technisch fehlerhaften Regeln. Dabei sind technische Fehler einer Firewall-Richtlinie als ineffektiv oder falsch identifizierbar, unabhängig davon, was die Firewall schützen soll. Bei den technischen Fehlern handelt es sich um versteckte Richtlinien (Hidden Rules), die man in redundante und Schattenregeln unterscheiden kann. Beide Arten berücksichtigt die Firewall nicht, da andere (priorisierte) Regeln den Traffic bereits geleitet haben. Sie unterscheiden sich darin, dass redundante Regeln die gleichen Inhalte haben wie die Original-Policy, während die Schattenregel das Gegenteil bewirkt. Dies steigert unabhängig von der Komplexität auch die Verwirrung. Analysiert der Administrator eine Richtlinie, kann es sich um eine Schattenregel handeln, sodass er falsche Schlüsse ziehen könnte. Deshalb sind insbesondere die Schattenregeln innerhalb der Firewall-Regelwerke ein Problem. Versteckte Richtlinien sind ein gutes Beispiel für unnötige Komplexität, da sie keiner Geschäftsfunktion dienen. Dabei birgt das Entfernen dieser Richtlinien nur ein geringes Risiko, da sich nach deren Löschung das Verhalten der Firewall nicht ändern wird. Doch die Identifizierung versteckter Regeln ist keine einfache Aufgabe. Bei einer kleinen Hidden Policy mit zehn Regeln mag das manuelle Aufspüren noch möglich sein, aber bei Richtlinien mit hunderten oder gar tausenden Einzelregeln wird es ausgesprochen schwierig. Nicht nur die Größe, sondern auch die individuelle Regelkomplexität durch verschiedene Objekte, Gruppen und unpräzise Benennungskonventionen erschweren das Aufspüren. Insofern ist zwar das Löschen der versteckten Regeln einfach und risikoarm, setzt aber voraus, dass sie korrekt identifiziert ist. Deshalb empfiehlt es sich, hier ein automatisches Analyse-Tool einzusetzen. Ungenutzten Zugang entfernen In einem zweiten Schritt sollte man sich dem erlaubten, aber ungenutzten Zugang zuwenden, da dieser die Komplexität wie auch das Gefahrenpotenzial erhöht. Die Schwierigkeit liegt darin, dass die Regeln technisch nicht falsch sind (siehe Schritt 1) und eine statische Policy-Analyse das Problem nicht identifizieren kann. Selbst wenn ein Regelwerk vor einem Jahr perfekt definiert und seitdem nicht geändert wurde, kann ein ungenutzter Zugang vorliegen, da sich womöglich zwischenzeitlich das zu schützende Netzwerk und die Systeme geändert haben. Deshalb ist es notwendig, die aktive Policy anhand von tatsächlichen Netzwerknutzungsmustern zu analysieren. Die Loganalyse einer Regel sollte auf jeden Fall automatisiert erfolgen. Konzern-Firewalls generieren jeden Tag Millionen von Logs, was eine manuelle Überprüfung unmöglich macht. Allerdings ist auch die Automatisierung dieses Prozesses nicht trivial. Die gebräuchlichste und sichtbarste Identikationsmöglichkeit in der Regel wie auch im Log ist die Regelnummer. Allerdings ist diese Methode fehleranfällig, da oft die Nummern wechseln, wenn man Regeln einbaut oder löscht. Deshalb sollte die Zuordnung immer über eine einmalige Identifikationsnummer (Unique Identifier, UID) erfolgen und sich über einen ausreichend langen Zeitraum (normalerweise drei bis sechs Monate) erstrecken. Gerade der Zeitraum sollte mit Bedacht gewählt und keinesfalls zu kurz sein, da sich sonst keine ausreichende Datenmenge für profunde Aussagen generieren lässt. Zudem sollte man Urlaubszeiten und saisonale Besonderheiten in Betracht ziehen. Dann lässt sich gut bestimmen, welche Regeln genutzt oder ungenutzt sind. Aber auch hier gilt Vorsicht: Manche Regeln, etwa zur Disaster Recovery, kommen voraussichtlich auch über einen längeren Zeitraum hinweg nicht zum Einsatz, sind aber beileibe nicht überflüssig. Deshalb ist beim Entfernen von Regeln stets höchste Vorsicht geboten. Zudem ist es möglich, die in der Regel inhärente Nutzung des Netzwerks und der Service-Objekte zu überprüfen. Eine einzige Regel mit zehn Quell-, zehn Ziel- und zehn Service-Objekten erlaubt 1.000 verschiedene Zugangsregeln. Stellt sich durch eine Analyse dieser Objekte heraus, dass lediglich zwei der zehn Objekte notwendig sind, kann man die logischen Regeln von 1.000 auf 200 reduzieren und somit die Sicherheit deutlich steigern. Richtlinien überprüfen Die Beseitigung von Fehlern ist ein wichtiger erster Schritt, die Entfernung unnötiger Zugänge ein guter zweiter. Trotzdem sagt die Tatsache, dass eine Regel genutzt wird, nichts darüber aus, ob sie tatsächlich notwendig ist. Diese Untersuchung ist zwar ein komplizierter Vorgang, den man aber dennoch unternehmen sollte, da er ein Höchstmaß an Sicherheit und Effektivität ermöglicht - auch wenn ein gewisses Risiko besteht, das es abzuwägen gilt. Eine technische Regelüberprüfung kann bedeutende Verbesserungen bewirken. Besonders die Neudefinition von Zugangsregeln vom breiten zum tatsächlich benötigten Zugang ist ein großer Fortschritt. Diese Art der Analyse wird bei allen Regeln angewandt, ist aber am verbreitetsten bei Policies, bei denen "Any" definiert ist. Im Allgemeinen gestatten diese - wie oben geschildert - weiten Zugriff aufgrund fehlender Informationen über die Geschäftsanforderungen. So wird beispielsweise der Zugang zu einem Netzwerk benötigt, allerdings ohne zu wissen, welches Protokoll oder welcher Port hierfür genutzt wird. Als Folge wird dieser Service mit "Any" definiert. Lässt sich der Zugang von "Any" auf eine eng definierte Liste von Services verfeinern, erhöht dies die Sicherheit signifikant. Um dieses Problem zu lösen, ist eine tiefgehende Geschäftsanalyse notwendig, die zeigt, welche Zugänge nötig und gerechtfertigt sind. Eine effektive Methode, um dies festzustellen, besteht darin, die Nutzung der Regel zu evaluieren. Wenn man sieht, welcher Zugang genutzt wird, ist es leichter möglich, die breit angelegten Zugangsregeln zu verfeinern. Hierzu verwendet man eine Flow-Analyse, die Quelle, Ziel, Protokoll und Port des Traffics über die beobachtete Regel einbezieht. So erhält man eine aussagekräftige Dokumentation darüber, was notwendig ist. Allerdings lässt sich die Flow-Analyse nur schwerlich manuell durchführen, und auch die Firewall-Hersteller bieten keine entsprechenden Tools an. Spezialisierte Lösungen erleichtern diesen Prozess und sorgen dafür, dass endlich Ordnung ins Chaos der Firewall-Richtlinien kommt.
Lesen Sie mehr zum Thema
