Bis zu 95 Prozent aller Firewall-Verstöße haben ihre Ursachen in Fehlkonfigurationen. Nachfolgend einige Tipps, wie diese Fehler vermieden werden können.
Firewalls sind heute immer noch die wesentlichen Bestandteile der Netzwerksicherheit. Laut dem Analystenhaus Gartner gehen jedoch 95 Prozent aller Firewall-Verstöße auf Fehlkonfigurationen zurück. In meinen Beratungsprojekten stoße ich immer wieder auf viele leicht vermeidbare Firewall-Konfigurationsfehler. Die folgenden Schritte tragen zur Optimierung der Firewall-Konfigurationen bei:
- Die spezifischen Richtlinien müssen richtig konfiguriert werden. Firewalls gehen oft mit zu breiten Filtern in Betrieb. Es gilt zuerst einmal: Die Kommunikation darf nicht unnötig behindert werden. Die Ursache hierfür ist in den mangelnden Detailkenntnissen der im Unternehmen genutzten Prozesse zu suchen. Da die IT-Abteilung nicht genau weiß, was über das Netzwerk übermittelt wird, wird die Konfiguration mit breiten Regeln begonnen und diese mit der Zeit geschärft. Die Realität zeigt uns jedoch, dass aufgrund des Zeitdrucks oder der Überlastung der IT-Abteilungen die Firewall-Richtlinien kaum bzw. selten nachbearbeitet werden.
Man sollte festlegen, wie die minimalen Sicherheitsvorschriften für die jeweilige Anwendung bzw. für den jeweiligen Service aussehen. Auf der Basis der Mindestanforderungen funktionieren die Dienste noch normal ohne Einschränkungen und mögliche Sicherheitsverletzungen werden begrenzt. Die jeweilige Sicherheitsvorschrift für die jeweilige Anwendung bzw. den jeweiligen Service sollte auch dokumentiert werden. Im Idealfall werden die Verkehrsflüsse kartiert. In der Praxis hat es sich als sinnvoll erwiesen, regelmäßig die aktuellen Firewall-Richtlinien zu überdenken, dabei auch nach neuen Nutzungstrends zu suchen, neue Anwendungen im Netzwerk zu identifizieren und zu überlegen, welche Verbindungen tatsächlich benötigt werden. - Die Firewall sollte nur benötigte Dienste durchlassen. Allzu oft finde ich in den von mir untersuchten Unternehmens-Firewalls aktivierte Dienste vor, die entweder nicht benötigt oder nicht mehr verwendet werden. Ein typisches Beispiel ist das dynamische Routing, welches in der Regel nicht aktiviert werden sollte. Auch „falsche“ DHCP-Server im Netzwerk gehören zu den problematischen Komponenten in Bezug auf die Unternehmenssicherheit. Diese Komponenten verteilen nicht autorisierte IP-Adressen und untergraben eventuell die Verfügbarkeit von Diensten bzw. können zu IP-Adresskonflikten führen. Auch ist überraschend, dass immer noch viele Geräte mit unverschlüsselten Protokollen, wie beispielsweise Telnet, verwaltet werden. Dies ist umso erstaunlicher, da die Probleme und Sicherheitslücken des über 30 Jahre alten Protokolls allgemein bekannt sind.
- Die Lösung dieser Probleme besteht in der Härtung der Geräte und in der Sicherstellung, dass die genutzten Konfigurationen den Sicherheitsanforderungen des Unternehmens entsprechen. Mit diesen Anforderungen haben viele Unternehmen zu kämpfen. Durch die Konfiguration der Sicherheitskomponenten auf die Basisfunktion der Services und Anwendungen erreicht man, dass viele Risiken bereits von vorneherein ausgeschlossen werden und nur noch autorisierte Dienste über die Firewalls übermittelt werden.
- Standardisierte Authentifizierungsmechanismen bieten Vorteile. In vielen Unternehmen findet man Router vor, die den für das Unternehmen vereinbarten Authentifizierungsstandard nicht nutzen. In einer großen Bank entdeckte ich, dass auf alle Geräte im zentralen Rechenzentrum auf Basis eines einheitlichen Authentifizierungsmechanismus zugegriffen werden konnte. Dieser Authentifizierungsmechanismus wurde jedoch nicht an den Filialstandorten genutzt und somit der Authentifizierungsstandard nicht von Ende-zu-Ende durchgesetzt. Dadurch konnten die Mitarbeiter in den Zweigstellen auf ihre lokalen Konten mit einfachen Kennwörtern zugreifen und hatten andere Grenzen für Anmeldefehler bevor ihre Konten gesperrt wurden.
Unterschiedliche Authentifizierungsmechanismen reduzieren die Sicherheit und eröffnen den Angreifern mehr Angriffsmöglichkeiten. Daher sollten die Unternehmen sicherstellen, dass alle Außenstellen den gleichen zentralen Authentifizierungsmechanismus nutzen. - Nutzen der richtigen Testdaten für die Sicherheitskontrollen. Viele Unternehmen neigen dazu ihre Testsysteme nicht mit den Produktionssystemen zu verbinden. Trotzdem soll mit realen Produktionsdaten getestet werden. Dies ist kompliziert und zeitaufwändig. Aus diesem Grund werden die Testsysteme in das Produktionsnetz integriert und die entsprechenden Tests im Produktionsbetrieb getestet. Das Problem dabei besteht darin, dass oftmals diese Daten in eine weniger sicherere Umgebung (in Form der Testkomponenten) gelangen und unter Umständen missbraucht werden können.
Sollen Produktionsdaten in einer Testumgebung verwendet werden, muss man sicherstellen, dass die für den Test genutzten Daten entsprechend der aktuellen Sicherheitsvorschriften genutzt werden. - Alle Meldungen in Zusammenhang mit der Sicherheit müssen im Log abgelegt werden. Die Einrichtung und der Betrieb von umfassenden Log-Systemen ist teuer. Jedoch muss man bedenken, dass ein Einbruch, der Abfluss von Geschäftsdaten oder der Missbrauch von Systemen noch wesentlich teurer werden kann, wenn man nicht in der Lage ist, den Angriff zu verfolgen bzw. im Detail zu analysieren. Werden die von den Sicherheitskomponenten übermittelten Daten nicht mit einer genügenden Granularität abgelegt oder überhaupt nicht abspeichert, dann verstößt man gegen die grundsätzlichen Sicherheitsregeln. Die Sicherheitsadministratoren werden entweder nicht oder nur unzureichend über aktuelle Sicherheitsprobleme unterrichtet und können die jeweiligen Vorfälle nicht mehr nachvollziehen.
Durch die durchgängige Sammlung aller Meldungen der Sicherheitssysteme stellt ein Unternehmen sicher, dass alle Auffälligkeiten korrekt gesammelt werden. Dadurch sparen die Sicherheitsadministratoren nicht nur Zeit und Geld, sondern erhöhen auch das Sicherheitsniveau, indem alle Sicherheitskomponenten in den Netzwerken korrekt überwacht werden.
Fazit
Unternehmen müssen den Zustand ihrer Firewall-Sicherheit kontinuierlich überwachen. Werden die oben dargestellten Sicherheitsfunktionen beachtet, können Fehlkonfigurationen vermieden und dadurch die allgemeine Sicherheitslage verbessert werden. (mh)
