Firewall-Ausfälle und -Fehler durch richtige Wartung und Tests verhindern

Wenn Sie die Effizienz einer Firewall ermitteln wollen, müssen Sie die Komponente regelmäßig warten und testen. Die Konfiguration ist entscheidend.

Firewalls werden von den meisten Unternehmen als ausgereifte Technologie angesehen und IT-Sicherheitsprofis halten diese im Grunde genommen für gegeben. Bei einem Audit oder einer Security-Bewertung prüft man in der Regel lediglich, ob eine Firewall für den Netzwerkschutz vorhanden ist und hakt die Sache somit ab.

Mir fällt in letzter Zeit allerdings ein schleichender Trend auf: Firewalls bieten im Unternehmenseinsatz nicht den vollständigen Schutz, den sie eigentlich sollten. Das liegt daran, dass man die Security-Komponenten nicht regelmäßig aktualisiert oder angemessen wartet. 

Ich will damit nicht sagen, dass eine Firewall im perfekten Zustand alle potenziellen Angriffe abwehren kann, weil das ganz einfach nicht der Fall ist. Allerdings glaube ich schon, dass man viele Firewalls wesentlich effizienter betreiben kann, als das im Moment der Fall ist.

Wenn sich Unternehmen mit Wartung, Tests und Untersuchungen hinsichtlich Firewall-Ausfällen beschäftigen, sollten sie folgende Fragen stellen:

  1. Wann wurden die Richtlinien der Firewall das letzte Mal vollständig überprüft?
  2. Wann wurden die Richtlinien der Firewall zum letzten Mal aktualisiert?
  3. Wann wurde die Firewall zum letzten Mal vollständig getestet?
  4. Wann wurden die Richtlinien der Firewall zum letzten Mal komplett optimiert?

Man kann wohl davon ausgehen, dass die meisten Unternehmen die relevante Firewall schon vor einigen Jahren installiert haben. Im Laufe der Jahre wurden daran wohl wenige Verbesserungen oder Weiterentwicklungen vorgenommen. Bei vielen meiner Kunden war genau das der Fall und deswegen ist die Firewall der Protagonist dieses Beitrags.

Firewall-Design und -Konfiguration

Sprechen wir über eine Firewall, gibt es zwei entscheidende Punkte. Sie muss sowohl korrekt designt als auch konfiguriert sein. Beim Design lautet die Goldene Regel: Alle Verbindungen müssen die Firewall passieren. Somit stellt sich die Frage: Welcher Prozentsatz an Traffic fließt durch die Firewall?

Einige werden antworten, dass 100 Prozent des Netzwerk-Traffics durch die Firewall muss. Behalten Sie allerdings im Hinterkopf, dass verschlüsselte Verbindungen, drahtloser Netzwerk-Traffic, Modems und außen stehende Verbindungen die Firewall normalerweise umgehen. 

Eine Firewall kann nicht schützen, was sie nicht sieht.

Viele Unternehmen sagen zwar 100 Prozent, die Realität ist allerdings um einiges niedriger. Da die Netzwerke löchriger geworden sind, ist ein durch die Firewall fließender Netzwerk-Traffic von zirka 60 Prozent keine Seltenheit. Damit ist natürlich auch die Effizienz signifikant niedriger. Denken Sie daran, dass eine Firewall nicht schützen kann, was sie nicht sieht.

Aus der Perspektive der Konfiguration ist eine Firewall nur so gut wie ihre hinterlegten Richtlinien. In vielen Fällen entstand der Satz an Regeln, indem sich eine technisch versierte Person an die entsprechende Konsole gesetzt und diese konfiguriert hat. In den seltensten Fällen gibt es eine Firewall-Policy oder Anforderungen, die die Entwicklung der Regeln bestimmen. Da in so einem Fall auch keine Dokumentation existiert, kann man nicht nachvollziehen, ob alles korrekt implementiert ist.

Ein weiteres grundlegendes Problem ist, dass die Firewalls eher selten, wenn überhaupt, getestet werden. Nachdem man den Regelsatz geändert oder aktualisiert hat, wird ein Unternehmen testen und sich versichern, dass alles zur Zufriedenheit funktioniert, beziehungsweise durch die Firewall läuft. 

Natürlich ist es wichtig, die positive Seite zu testen und möglicherweise klappt auch alles. Das Problem ist nur, dass nun vielleicht Dinge durchschlüpfen, die eigentlich blockiert werden sollten. Verwendet man an dieser Stelle ein Dokument, das die Anforderungen aufzeigt, muss eine Firma auch von der negativen Seite aus testen. Nur dann kann man garantieren, dass die Firewall den betreffenden Traffic auch wirklich blockiert.

Die Effizienz einer Firewall bewerten, um Ausfälle zu verhindern

Schlussendlich überprüft man noch die allgemeine Effizienz der Firewall. An dieser Stelle gibt es nur eine Möglichkeit. Sehen Sie sich die Anzahl der von der Firewall verworfenen (dropped) Pakete an. Schließlich betreiben Sie eine Firewall, um Traffic zu blockieren, der eben nicht erlaubt ist. Auf dieser Bewertung basierend, müssen Firmen eine zweiteilige Frage beantworten: Wie viele verworfene Pakete produziert die Firewall jeden Tag und sollte es dort eine Anomalie geben, wäre die Firewall in der Lage, diese zu erkennen?

Ein Kunde meines Unternehmens war sehr stolz auf seine Firewall, weil darin 237 einzigartige Regeln hinterlegt waren. Das Problem an der Sache war nur, dass bei genauer Betrachtung die Anzahl der verworfenen Pakete Null war. Im Endeffekt waren die 237 Regeln das Äquivalent zu ANY ANY ANY ANY -- ALLOW

Unterm Strich hängt der Erfolg einer Firewall davon ab, wie viele Pakete sie verwirft.

Die Firewall des Kunden war schlussendlich kaum mehr als ein teures Durchgangsgerät. Überprüft ein Unternehmen die Anzahl der verworfenen Pakete, versteht es besser, ob ein Gerät zu viel Traffic durchlässt. Das wirkt sich dann natürlich negativ auf die Effizienz der Firewall aus.

Unterm Strich hängt der Erfolg einer Firewall davon ab, wie viele Pakete sie verwirft. Wollen Sie die Effizienz einer Firewall messen, tun Sie das am besten anhand der blockierten Pakete. So garantieren Administratoren, dass die Firewall den Ansprüchen des Unternehmens genügt.  

Natürlich hat jede Firma andere Ansprüche und man kann nichts pauschalisieren. Allerdings lässt sich im Durchschnitt damit rechnen, dass es pro Tag mehrere Tausend verworfene Pakete geben sollte. Bei manchen Konzernen sind das mehrere Tausend pro Stunde. 

Handelt es sich um lediglich wenige Hundert pro Tag, dann ist die Firma möglicherweise mit einem sicheren Teil des Internets verbunden (unwahrscheinlich) oder die Richtlinien der Firewall sind nicht korrekt konfiguriert. Außerdem ist es wichtig, dass Sie die Anzahl der verworfenen Pakete nach einer Änderung am Regelsatz überprüfen. Nur so verstehen Sie die Auswirkungen der jeweiligen Richtlinie auf die IT-Sicherheit.

Fazit

Firewalls sind in den meisten Firmen im Einsatz. Im Laufe der Zeit hat sich möglicherweise ein gewisser Verfall eingestellt und die Security-Komponenten sind nicht mehr so effizient wie das eigentlich der Fall sein sollte. Überprüfen Sie den Prozentsatz an Traffic, der durch die Firewall geht und sehen Sie nach, wie groß die Anzahl der verworfenen Pakete ist. So können Sie den Wert der Firewall besser bestimmen.

Über den Autor:
Eric Cole, Ph.D., ist ein anerkannter Security-Experte mit mehr als 20 Jahren praktischer Erfahrung. Dr. Cole ist Gründer und Geschäftsführer von Secure Anchor Consulting. Dort bietet er Beratungs-Services im Bereich Cybersecurity und Gutachten an. Außerdem ist er in der Erforschung und der Entwicklung von modernen Security-Systemen tätig. Dr. Cole war der einzige Neuzugang in der InfoSec European Hall of Fame im Jahre 2014. Er arbeitet aktiv mit dem SANS Technology Institute (STI) zusammen und ist ein SANS Senior Fellow.

Folgen Sie SearchNetworking.de auch auf Twitter, Google+ und Facebook!

Artikel wurde zuletzt im Mai 2015 aktualisiert

Erfahren Sie mehr über Netzwerksicherheit

- GOOGLE-ANZEIGEN

ComputerWeekly.de

Close