Warten bis zur nächsten Sicherheitslücke? Besser Fehler in der Richtlinien-Konfiguration beheben

Von   Robert Blank   |  Regional Sales Manager DACH   |  AlgoSec
22. Juli 2019

Die Optimierung der Richtlinien-Konfiguration für Firewalls und andere Sicherheitseinrichtungen ist vielleicht nicht die spannendste Aufgabe, aber eine sehr wichtige, um Unternehmen zu schützen. Im Folgenden dreht sich alles um vier häufig auftretende Fehler im Zusammenhang mit Sicherheitsrichtlinien und wie Unternehmen diese vermeiden können.
Da Schadprogramme immer fortschrittlicher werden, ist die korrekte Verwaltung des Netzwerkschutzes wichtiger als je zuvor. Die Wirksamkeit von Firewalls und anderen Sicherheitseinrichtungen hängt von den Sicherheitsrichtlinien ab, die ihre Funktionen steuern. Diese Richtlinien, die zehntausend, oder sogar hunderttausend Firewall-Regeln kompromittieren können, geben vor: welcher Datenverkehr blockiert, welcher zugelassen wird und wohin er fließen darf. Dies dient der Sicherheit und Einhaltung von Vorschriften, um die Produktivität der Firma zu steigern.

Jedoch wird es schwieriger, diese Richtlinien einzuhalten, um die Anforderungen des Geschäftsbereiches optimal mit der Notwendigkeit der Risikobegrenzung und der Gewährleistung von größtmöglichem EDV-Schutz in Einklang zu bringen. In den meisten Unternehmen werden Geschäftsanwendungen rasch eingeführt oder geändert, um mehr Benutzer oder neue Funktionen einzubinden.

Organisationen verlagern ihre Daten außerdem in virtuelle und Cloud-Infrastrukturen. Dies bringt neue Sicherheitskontrollen und Verbindungslinien mit sich, die verwaltet werden müssen, damit Geschäftsanwendungen jederzeit unterbrechungsfrei funktionieren. Es ist daher nicht verwunderlich, dass die Analysten von Gartner schätzen, 99 Prozent der Firewall-Verstöße seien auf einfache Fehlkonfigurationen der Richtlinien zurückzuführen.

Welche sind also die gängigsten und schädlichsten Fehlkonfigurationen, die sich in Firewall-Regelsätze und Sicherheitsrichtlinien einschleichen können? Im Folgenden wird dargestellt, welche die häufigsten Probleme sind und wie sie vermieden werden können.

Undefinierte Richtlinien-Konfigurationen erfassen

Allzu häufig werden Firewalls über undefinierte Richtlinien konfiguriert, um Datenverkehr von jeder Quelle zu jedem Ziel zuzulassen. Dies geschieht, weil IT-Teams zum Zeitpunkt der Anwendungsbereitstellung ihre genauen Anforderungen nicht kannten und sich deshalb entschlossen, mit weit gefassten Regeln zu beginnen, die später nach Bedarf angepasst werden können.

Theoretisch ist dies in Ordnung, aber in der Praxis finden diese Aktualisierungen kaum statt, denn die Anwendung arbeitet schließlich so, wie sie sollte. Unternehmen sind also leicht versucht, alles beim Alten zu lassen und sich auf die dringenderen Probleme zu konzentrieren. Mit undefinierten Firewall-Richtlinien ist das Netzwerk jedoch ständig gefährdet.

Um diese Gefahr zu beseitigen, sollten Unternehmen ihr Vorgehen umdrehen. Als Standard für Firewall-Richtlinien muss das Prinzip der geringsten Privilegien gelten, um diese dann nach Bedarf anzupassen. Idealerweise sollten Unternehmen die Abläufe abbilden, die für ihre Anwendungen tatsächlich erforderlich sind, bevor sie irgendeinen Zugriff gewähren.

Durch Bereitstellung der minimalen Privilegien, die ein Nutzer oder ein Dienst für ein normales Funktionieren benötigt, wird der potentielle Schaden begrenzt, der durch einen Verstoß verursacht werden kann. Auch nach der Implementierung sollten die Firewall-Richtlinien regelmäßig überprüft und aktualisiert werden, um den Trends der Anwendungsnutzung und der erforderlichen Konnektivität gerecht zu werden.

Fehler in der Übersetzung

Die meisten Unternehmen verfügen mittlerweile über gemischte Sicherheitsinfrastrukturen, die sowohl herkömmliche als auch Firewalls der nächsten Generation von unterschiedlichsten Herstellern beinhalten. Die Verwaltung einer solchen Mischung ist eine Herausforderung, da die einzelnen Firewall-Generationen und die Produkte der einzelnen Anbieter unterschiedliche Syntax und Semantik für die Erstellung von Sicherheitsrichtlinien verwenden.

Aus diesem Grund treten häufig Fehler auf, wenn Sicherheitsabteilungen versuchen, ihre vorhandenen Richtlinien auf neue Geräte zu verschieben. Dies kann sogar zu Anwendungsausfällen führen. Jeder Irrtum oder ‚Übersetzungsfehler‘ beim Schreiben dieser Richtlinien, wie auch beim Vornehmen von Netzwerkänderungen, kann dazu führen, dass wichtiger Datenverkehr blockiert oder unerwünschter Datenverkehr zugelassen wird. Keiner dieser Zustände ist akzeptabel.

Um diese Fehler zu beheben und gleichzeitig die Sicherheit auf allen Geräten effektiv zu optimieren sowie zu verwalten, sollten Unternehmen eine Lösung mit einer einzigen Verwaltungskonsole und einem einzigen Befehlssatz bereitstellen. Die Konsole sollte, unabhängig vom Hersteller, zentrale Sichtbarkeit und Kontrolle jeder Sicherheitseinrichtung bieten. Auf diese Weise können IT-Gruppen verschiedene Syntaxen in Ausdrücke übersetzen, die von den einzelnen Sicherheitskontrolltypen – On Premises oder in der Cloud – genutzt werden, um Regeln und Richtlinien zu erstellen.  Damit sprechen die Sicherheitseinrichtung und das Unternehmen eine gemeinsame Sprache.

Schwache Optimierung verbessern

Die meisten Firewalls wenden Regeln in der Reihenfolge an, in der sie in der Firewall-Konfigurations-Software oder im Regelwerk aufgeführt sind. Die Firewall beginnt am Listenanfang und durchläuft Zeile für Zeile, bis sie die Regel erreicht, nach der betreffender Datenverkehr blockiert werden muss. Wenn keine Regeln zutreffen, darf der Verkehr passieren.

Dieser Ansatz ist zwar unkompliziert, optimiert jedoch nicht die Leistung des Geräts oder der Anwendung, die sich auf die Regelbasis der Firewall stützt. Dieselben Regeln in einer effizienteren Reihenfolge können die Leistung der Firewall und der darauf basierenden Anwendungen drastisch verbessern. Die Gesamtleistung wird beschleunigt, wenn Regeln, die häufiger aufgerufen werden, an einer höheren Stelle der Reihenfolge platziert werden als Regeln, die seltener gebraucht werden.

Deshalb ist es wichtig, dass Unternehmen für die optimale Gestaltung und Implementierung neuer Regeln sorgen, während vorhandene Regeln konsolidiert und neu geordnet werden, damit eine bestmögliche Leistung erzielt werden kann. Unternehmen sollten auch versuchen, die Netzwerksicherheit direkt mit kritischen Geschäftsanwendungen und -prozessen in Verbindung zu bringen, um risikobasierte und inhaltsbezogene Informationen zu liefern. Auf diese Weise können Unternehmen die Gegenmaßnahmen strategisch ordnen und auf kritische Prozesse konzentrieren, die das tägliche Geschäft fördern.

Unnötige Dienste beenden

Ein weiterer, häufiger Fehler der Firewall-Konfiguration besteht in der Ausführung veralteter Dienste. Zwei Beispiele sind das dynamische Routing, das auf Sicherheitseinrichtungen nicht aktiviert werden sollte, und DHCP-Server, die IPs verteilen und dadurch IP-Konflikte erzeugen, was zu Störungen der Verfügbarkeit führt.

Um diese Probleme zu vermeiden, sollten Unternehmen alle Geräte schützen und sicherstellen, dass die Konfigurationen vor der Bereitstellung der Geräte sorgsam geplant wurden, sowie danach kontinuierlich kompatibel sind. Diese Maßnahmen tragen dazu bei, dass Geräte reibungslos die Funktionen erfüllen, die sie erfüllen sollen. Die Sicherheit der gesamten Unternehmensstruktur wird ebenfalls erhöht, jedoch die Wahrscheinlichkeit verringert, dass auf der Firewall versehentlich ein riskanter Dienst ausgeführt wird.

Vor dem Hintergrund einer sich schnell entwickelnden Bedrohungslandschaft können es sich Unternehmen nicht mehr leisten, nachlässig zu sein. Sie machen sich selbst zu ihren schlimmsten Feinden, weil sie fehlerhafte Konfigurationen und Richtlinienfehler dulden oder sogar sehenden Auges einführen, die wiederrum zu Sicherheitslücken werden können. Eine Lösung, die zur effektiven Verwaltung der Sicherheitsrichtlinien, die Firewall-Regeln auf intelligente Weise automatisiert, verbessert schnell die gesamte Sicherheitslage eines Unternehmens – und verringert zugleich die Wahrscheinlichkeit einer gefährlichen Sicherheitslücke enorm.

 

Robert Blank ist Regional Sales Manager DACH bei AlgoSec, dem führenden Anbieter geschäftsorientierter Lösungen für das Sicherheitsmanagement in der Cloud und im DC. Zuvor hat der Diplom-Informatiker über 15 Jahre Lösungs-/Großkundenvertrieb bei Cisco, Juniper, Level 3 – und die letzten 10 Jahre verstärkt Software und Cloud Vertrieb bei Itizzimo, F24 und Cancom – erfolgreich unterstützt, auf- und ausgebaut.

Um einen Kommentar zu hinterlassen müssen sie Autor sein, oder mit Ihrem LinkedIn Account eingeloggt sein.

21531

share

Artikel teilen

Top Artikel

Ähnliche Artikel