Firewalls mit SecureTrack konfigurieren

18.06.2008 | von 
Dipl. Inform. Johann Baumeister blickt auf über 25 Jahre Erfahrung im Bereich Softwareentwicklung sowie Rollout und Management von Softwaresystemen zurück und ist als Autor für zahlreiche IT-Publikationen tätig. Sie erreichen ihn unter jb@JB4IT.de
Email:
Wer schon einmal eine Firewall konfiguriert hat, weiß Hilfe bei deren Administration zu schätzen. Die Regelsätze werden immer komplexer und obendrein ändern sie sich sehr schnell. SecureTrack soll dem Admin die Arbeit mit Firewalls erleichtern.

Zusammen mit Antivirus-Software sind Firewalls die am meisten verbreiteten Security-Tools. Die Sicherheit, die sie gewährleisten, ist allerdings mit viel Arbeit verbunden. Je präziser eine Firewall arbeiten soll, desto aufwändiger die Konfiguration. Aus Sicht der Firewall gibt es zu schützende Objekte (einzelne Benutzer im Netz, Benutzergruppen, Anwendungen, Prozesse, etc.) und Regeln, nach welchen die Kommunikation von jedem zu schützenden Objekt organisiert und reglementiert werden kann. Nicht selten bestehen Regelwerke inzwischen aus mehreren Hundert Regeln und werden seitens der Hersteller immer wieder gerne verändert oder erweitert. Auch die Tatsache, dass sich die Objekte permanent ändern, macht die Arbeit nicht gerade leichter. Ständig müssen die Regeln auf die Bedürfnisse der Objekte angepasst werden.

Diese Anpassung oft von mehreren Sicherheitsverwaltern parallel vorgenommen. Dezentrale Strukturen tun ihr Übriges: Oft kann die Verwaltung einer Firewall-Infrastruktur nur verteilt erfolgen und die Kommunikation zwischen zwei Objekten, beispielsweise zwischen einem Benutzer und einer Applikation, muss mehrere Firewalls nacheinander passieren. Eine Übersicht darüber zu behalten, welches Objekt was und nach welchen Regeln darf oder nicht, ist nicht gerade trivial. Das Verwaltungswerkzeug SecureTrack von Tufin soll hier helfen, indem es Firewall-Regeln zentral überwacht und Administratoren darin unterstützt, die Regelwerke zu verbessern.

Die Analyse zuerst

SecureTrack unterstützt die führenden Produkte in diesem Segment, also die Firewalls der Hersteller Check Point, Cisco und Juniper. Über Schnittstellen greift das Tool deren Regeln ab und analysiert sie. Der Aufbau der Regeln sind von Hersteller zu Hersteller unterschiedlich, sie haben aber Gemeinsamkeiten: Da jede Kommunikation mindestens einen Sender und einen Empfänger benötigt, werden diese Einträge in jeder Regel existieren, auch wenn sie jeweils anders heißen. Als Sender und Empfänger fungieren die erwähnten Objekte.

Ferner bestimmt die Regel, ob die Kommunikation zwischen den Beteiligten erlaubt, verboten, überwacht oder nach sonstigen Kriterien zu behandeln ist. Neben diesen wenigen Grundelementen der Regeln stehen mitunter aber noch viele spezifische Konfigurationsoptionen zur Verfügung: Etwa wann eine Regel greifen soll, die Position beziehungsweise das Ordnungskriterium für die Regeln untereinander, der Regelerzeuger und vieles mehr. Insbesondere Check Point hat eine Vielfalt von Kriterien zur Konfiguration implementiert.

Dieses Geflecht an Firewall-Regeln und ihre Korrelation zueinander soll SecureTrack entwirren. Angeboten wird das Produkt als reine Softwarevariante, aber auch - wie im Test verwendet - als Appliance. Die Software gibt es für die Linux-Derivate Red Hat und CentOS. In unserem Test wurde Red Hat Linux zusammen mit der aktuellen Version von SecureTrack 4.1 in einer virtuellen Umgebung auf Basis von VMware verwendet.

Newsletter 'Hardware' bestellen!