Zusammen mit Antivirus-Software sind Firewalls die am meisten verbreiteten Security-Tools. Die Sicherheit, die sie gewährleisten, ist allerdings mit viel Arbeit verbunden. Je präziser eine Firewall arbeiten soll, desto aufwändiger die Konfiguration. Aus Sicht der Firewall gibt es zu schützende Objekte (einzelne Benutzer im Netz, Benutzergruppen, Anwendungen, Prozesse, etc.) und Regeln, nach welchen die Kommunikation von jedem zu schützenden Objekt organisiert und reglementiert werden kann. Nicht selten bestehen Regelwerke inzwischen aus mehreren Hundert Regeln und werden seitens der Hersteller immer wieder gerne verändert oder erweitert. Auch die Tatsache, dass sich die Objekte permanent ändern, macht die Arbeit nicht gerade leichter. Ständig müssen die Regeln auf die Bedürfnisse der Objekte angepasst werden.
Diese Anpassung oft von mehreren Sicherheitsverwaltern parallel vorgenommen. Dezentrale Strukturen tun ihr Übriges: Oft kann die Verwaltung einer Firewall-Infrastruktur nur verteilt erfolgen und die Kommunikation zwischen zwei Objekten, beispielsweise zwischen einem Benutzer und einer Applikation, muss mehrere Firewalls nacheinander passieren. Eine Übersicht darüber zu behalten, welches Objekt was und nach welchen Regeln darf oder nicht, ist nicht gerade trivial. Das Verwaltungswerkzeug SecureTrack von Tufin soll hier helfen, indem es Firewall-Regeln zentral überwacht und Administratoren darin unterstützt, die Regelwerke zu verbessern.
Die Analyse zuerst
SecureTrack unterstützt die führenden Produkte in diesem Segment, also die Firewalls der Hersteller Check Point, Cisco und Juniper. Über Schnittstellen greift das Tool deren Regeln ab und analysiert sie. Der Aufbau der Regeln sind von Hersteller zu Hersteller unterschiedlich, sie haben aber Gemeinsamkeiten: Da jede Kommunikation mindestens einen Sender und einen Empfänger benötigt, werden diese Einträge in jeder Regel existieren, auch wenn sie jeweils anders heißen. Als Sender und Empfänger fungieren die erwähnten Objekte.
Ferner bestimmt die Regel, ob die Kommunikation zwischen den Beteiligten erlaubt, verboten, überwacht oder nach sonstigen Kriterien zu behandeln ist. Neben diesen wenigen Grundelementen der Regeln stehen mitunter aber noch viele spezifische Konfigurationsoptionen zur Verfügung: Etwa wann eine Regel greifen soll, die Position beziehungsweise das Ordnungskriterium für die Regeln untereinander, der Regelerzeuger und vieles mehr. Insbesondere Check Point hat eine Vielfalt von Kriterien zur Konfiguration implementiert.
Dieses Geflecht an Firewall-Regeln und ihre Korrelation zueinander soll SecureTrack entwirren. Angeboten wird das Produkt als reine Softwarevariante, aber auch - wie im Test verwendet - als Appliance. Die Software gibt es für die Linux-Derivate Red Hat und CentOS. In unserem Test wurde Red Hat Linux zusammen mit der aktuellen Version von SecureTrack 4.1 in einer virtuellen Umgebung auf Basis von VMware verwendet.
Analyse und Überwachung des Regelwerks
Mit SecureTrack lassen sich Firewall-Konfigurationen nicht ändern, sondern ausschließlich überwachen. Das betrifft in erster Linie die Firewall-Regeln selbst, aber auch deren Verwendung, die Analyse der Policies und das Monitoring der Firewall-Betriebssysteme samt ihren Leistungsdaten. Änderungen an den Firewalls sind indes mit den Werkzeugen der jeweiligen Hersteller vorzunehmen. Über eine verschlüsselte API-Kommunikation holt SecureTrack die Regeln von den Firewalls beziehungsweise weiteren Softwareschnittstellen wie etwa Check Points Smart Center ab.
Über jede Konfigurationsänderung kann sich der Administrator via E-Mail, SNMP-Traps oder Syslog-Einträge benachrichtigen lassen. SecureTrack lässt sich via Browser verwalten. Über die IP-Adresse des SecureTrack-Servers erreicht man dessen Verwaltungs-Interface. Die Verwaltungskonsole führt die überwachten Geräte in hierarchischen Darstellungen nach ihren Herstellern auf. In der Übersicht zeigt das Tool - geordnet nach Anbietern - alle Revisionsstände für die Regeln des jeweils gewählten Geräts. Dazu zählen alle Änderungen sowie Informationen darüber, wer diese vorgenommen hat. Modifikationen in den Regelsätzen werden protokolliert. Durch Filterfunktionen lässt sich diese Anzeige selektiv anpassen. Mittels Drilldown sind die einzelnen Regeln eines Revisionssatzes einzusehen. Deren Aufbau entspricht dem der Verwaltungs-Tools der Firewall-Hersteller, so dass sich der Firewall-Administrator hier schnell zurechtfinden dürfte. Im Test integrierten wir mehrere Firewalls und ließen uns die dazugehörigen Regelsätze aufschlüsseln.
Die Überwachung der Firewalls ist in die vier Bereiche "Compare", "Analyze", "Audit" und "Report" untergliedert. Der fünfte Reiter, "Configure", dient der Konfiguration und Einrichtung von SecureTrack. In der Compare-Funktion lassen sich zwei Revisionsstände des Regelsatzes miteinander vergleichen. Das Sicherheits-Tool meldet dabei alle Regeln, die zwischen den beiden Zuständen geändert, gelöscht oder hinzugefügt wurden. Dabei spielt es keine Rolle, ob es die Revisionsstände einer bestimmten Firewall oder die globalen Regeln und Objekte aller Firewalls vergleichen soll. Die Compare-Funktion dient somit der schnellen Übersicht über zwei Revisionsstände. Ebenso verhält es sich mit dem Bericht (Report) an dieser Stelle: Auch er liefert die Unterschiede zweier Revisionsstände, aber eben in Berichtsform mit hilfreichen Details.
Regeln verbessern
Ein zweiter Block beschäftigt sich mit der Analyse und Optimierung der Firewall-Regeln. Hierin lassen sich beliebige Kommunikationsszenarien definieren. Dabei ist etwa zu prüfen, ob ein bestimmtes Objekt (oder eine bestimmte IP-Adresse) mit einem anderen kommunizieren kann. Das Tool zeigt sämtliche involvierten Regeln für den gesamten Kommunikationsweg. Einmal erstellte Abfragen lassen sich für spätere Zwecke speichern. Zudem gibt es einen Help-Modus, der es dem Helpdesk ermöglicht, im Problemfall schnell herauszufinden, ob eine Firewall-Regel für einen Kommunikationsfehler eines Benutzers verantwortlich ist. Im Test analysierten wir an dieser Stelle unser Regelwerk: Überflüssige Regeln wurden korrekt aufgezeigt und ließen sich somit entfernen.
Die Änderungen an den Firewall-Regeln erfolgen häufig in einem zweistufigen Prozess: Im ersten Schritt werden die Regeln definiert, die dann mitunter noch eine zweite Person freigeben muss. In jedem Fall werden Regeländerungen jedoch gesammelt und gemeinsam aktiviert, um bestehende Prozesse durch eine Modifikation nicht abrupt zu blockieren. Inaktive Regeln werden meist im Kontext der Firewalls vorgehalten und sind auch bekannt, nur eben nicht aktiv. SecureTrack kann auch inaktive Regeln in die Analyse einbeziehen.
Der Audit-Zweig mit seinem Soll-Ist-Vergleich dient dazu, die Firewall-Regeln zu verbessern, und schlägt darüber hinaus bei Verstößen gegen Sollkonfigurationen Alarm.
Das Regelwerk wird anhand von Best-Pratice-Analysen etwa nach bestimmten Objekten oder fehlenden Beschreibungen durchleuchtet. So werden beispielsweise überflüssige Regeln erkannt, die sich dann entfernen lassen. Auch weist das Tool darauf hin, wenn die Cleanup-Regel fehlt. Des Weiteren zeigen diese Auswertungen auf, wo der Regelsatz zu optimieren ist. Häufig verwendete Regeln sollten, um die Leistung der Firewall zu erhöhen, in der Rangfolge möglichst weit oben platziert werden. Durch die Analyse und das Auditing soll dann ein korrekter und schlüssiger Regelsatz entstehen, der den Compliance-Anforderungen genügt. Um diesen möglichst lange zu gewährleisten, ist bei Verstößen gegen die Vorgaben eine E-Mail-Benachrichtigung einzustellen.
Plus/Minus
+ Integration aller führenden Firewalls;
+ gute Analyse der Regelwerke;
+ Optimierung des Regelwerks durch laufende Überwachung;
+ sofortige Benachrichtigung bei Regelverstößen.
- Kein Abgleich zwischen den Regeln unterschiedlicher Hersteller möglich;
- Integration eigener Firewalls nicht möglich.
Unter den Reports schließlich finden sich vordefinierte Berichte etwa zur Nutzung oder zu Modifikationen von Regeln. Tufin liefert zu allen aufgeführten Bereichen die wichtigsten Auswertungen sowie Best Practices, ermöglicht aber auch die Definition eigener Analysen oder Berichte.
Fazit
Tufins Werkzeug SecureTrack gestaltet das Regelwerk von Check-Point-, Juniper- und Cisco-Firewalls transparenter, entfernt Überflüssiges und verbessert die Reihenfolge der Regeln. Ferner erzeugt SecureTrack Berichte für Compliance-Anforderungen und das Risiko-Management. Dabei gilt es jedoch zu beachten, dass Regeln immer in einem Kontext zueinander stehen. Ein Regelsatz, der beispielsweise für eine Benutzergruppe in einem bestimmten Zeitraum gilt, mag für ein anderes Zeitfenster oder eine andere Benutzergruppe ganz anders aussehen. (kf)