Firewalls zählen neben Virenscannern zu den meistgenutzten Sicherheitswerkzeugen. Ihre Konfiguration erfolgt durch Regeln, anhand derer erwünschte Kommunikation explizit erlaubt beziehungsweise unerwünschte Kontakte unterbunden werden. Je nach Einsatzszenario kann sich das Regelwerk aus Hunderten von Regeln und Tausenden von Objekten zusammensetzen. Als Objekte sind die Kommunikationsteilnehmer - ein Benutzer, eine Organisationseinheit, ein Rechner mit seiner IP-Adresse, eine Applikation, ein Prozess oder auch ein Netzsegment - zu verstehen. Da sich die Objekte ständig ändern, müssen die Regeln laufend angepasst werden. Angesichts der Vielzahl der Regeln wird diese Anpassung oft von mehreren Sicherheitsverwaltern parallel vorgenommen. Hinzu kommt, dass die Verwaltung einer Firewall-Infrastruktur oft auch nur verteilt erfolgen kann. Zudem muss die Kommunikation zwischen zwei Objekten, etwa dem Benutzer und der Applikation, mitunter mehrere Firewalls nacheinander passieren. Dabei fällt es schwer, einen genauen Überblick darüber zu bewahren, was letztendlich erlaubt oder verboten ist. Das Firewall-Verwaltungswerkzeug SecureTrack von Tufin soll hier helfen, indem es Firewall-Regeln zentral überwacht und Administratoren darin unterstützt, die Regelwerke zu verbessern.
So wurde getestet
Getestet wurde in virtuellen Umgebungen unter VMware. Wir richteten ein: eine virtuelle Maschine (VM) mit der Verwaltungs- und Analysekonsole von SecureTrack 4.1, zwei VMs, die jeweils mit der Check Point Firewall-1 und der SecurePlatform R65 bestückt waren, eine VM mit dem Check Point Smart Center R65 sowie einen Linux-Applikations-Server als Backend-System zur Lasterzeugung.
Der Zugriff auf das Check Point Smart Center R65 erfolgte durch die SecureTrack-4.1-Konsole. Von diesem wurden die Statusmeldungen und Informationen der Check-Point-Firewalls abgeholt. Das Smart Center wiederum kommunizierte mit den beiden Check-Point-Systemen. Im Test ließen wir das Regelwerk analysieren und Berichte dazu ausgeben. Das Tool zeigte, wie die Regeln genutzt werden und zusammenspielen. Die Analyse wies auf überflüssige Regeln und Verbesserungsmöglichkeiten hin.
Plus/Minus
Integration aller führenden Firewalls;
gute Analyse der Regelwerke;
Optimierung des Regelwerks durch laufende Überwachung;
sofortige Benachrichtigung bei Regelverstößen.
Kein Abgleich zwischen den Regeln unterschiedlicher Hersteller möglich;
Integration eigener Firewalls nicht möglich.
Fazit
Tufins Werkzeug SecureTrack gestaltet das Regelwerk von Check-Point-, Juniper- und Cisco-Firewalls transparenter, entfernt Überflüssiges und verbessert die Reihenfolge der Regeln. Ferner erzeugt SecureTrack Berichte für Compliance-Anforderungen und das Risiko-Management. Dabei gilt es jedoch zu beachten, dass Regeln immer in einem Kontext zueinander stehen. Ein Regelsatz, der beispielsweise für eine Benutzergruppe in einem bestimmten Zeitraum gilt, mag für ein anderes Zeitfenster oder eine andere Benutzergruppe ganz anders aussehen.
Analyse und Überwachung
SecureTrack analysiert und kontrolliert die Firewall-Regeln. Das Sicherheits-Tool unterstützt die führenden Produkte in diesem Segment, also die Firewalls der Hersteller Check Point, Cisco und Juniper. Über Schnittstellen greift SecureTrack deren Regeln ab und analysiert sie. Obwohl sich der Aufbau der Regeln bei den einzelnen Herstellern unterscheidet, haben sie Gemeinsamkeiten: Da jede Kommunikation mindestens einen Sender und einen Empfänger benötigt, werden diese Einträge in jeder Regel existieren, auch wenn sie jeweils anders heißen. Als Sender und Empfänger fungieren die erwähnten Objekte. Ferner bestimmt die Regel, ob die Kommunikation zwischen den Beteiligten erlaubt, verboten, überwacht oder nach sonstigen Kriterien zu behandeln ist. Neben diesen wenigen Grundelementen der Regeln stehen mitunter aber noch viele spezifische Konfigurationsoptionen zur Verfügung: etwa wann eine Regel greifen soll, die Position beziehungsweise das Ordnungskriterium für die Regeln untereinander, der Regelerzeuger und vieles mehr. Insbesondere Check Point hat eine Vielfalt von Kriterien zur Konfiguration implementiert.
Durchblick im Regel-Dschungel
Dieses Geflecht an Firewall-Regeln und ihre Korrelation zueinander soll SecureTrack entwirren. Angeboten wird das Produkt als reine Softwarevariante, aber auch - wie im Test verwendet - als Appliance. Die Software gibt es für die Linux-Derivate Red Hat und CentOS. In unserem Test wurde Red Hat Linux zusammen mit der aktuellen Version von SecureTrack 4.1 in einer virtuellen Umgebung auf Basis von VMware verwendet.
Mit SecureTrack lassen sich Firewall-Konfigurationen nicht ändern, sondern ausschließlich überwachen. Das betrifft in erster Linie die Firewall-Regeln selbst, aber auch deren Verwendung, die Analyse der Policies und das Monitoring der Firewall-Betriebssysteme samt ihren Leistungsdaten. Änderungen an den Firewalls sind indes mit den Werkzeugen der jeweiligen Hersteller vorzunehmen. Über eine verschlüsselte API-Kommunikation holt SecureTrack die Regeln von den Firewalls beziehungsweise weiteren Softwareschnittstellen wie etwa Check Points Smart Center ab.
Über jede Konfigurationsänderung kann sich der Administrator via E-Mail, SNMP-Traps oder Syslog-Einträge benachrichtigen lassen. SecureTrack lässt sich via Browser verwalten. Über die IP-Adresse des SecureTrack-Servers erreicht man dessen Verwaltungs-Interface. Die Verwaltungskonsole führt die überwachten Geräte in hierarchischen Darstellungen nach ihren Herstellern auf. In der Übersicht zeigt das Tool - geordnet nach Anbietern - alle Revisionsstände für die Regeln des jeweils gewählten Geräts. Dazu zählen alle Änderungen sowie Informationen darüber, wer diese vorgenommen hat. Modifikationen in den Regelsätzen werden protokolliert. Durch Filterfunktionen lässt sich diese Anzeige selektiv anpassen. Mittels Drilldown sind die einzelnen Regeln eines Revisionssatzes einzusehen. Deren Aufbau entspricht dem der Verwaltungs-Tools der Firewall-Hersteller, so dass sich der Firewall-Administrator hier schnell zurechtfinden dürfte. Im Test integrierten wir mehrere Firewalls und ließen uns die dazugehörigen Regelsätze aufschlüsseln.
Compare, Analyze, Audit, Report
Die Überwachung der Firewalls ist in die vier Bereiche "Compare", "Analyze", "Audit" und "Report" untergliedert. Der fünfte Reiter, "Configure", dient der Konfiguration und Einrichtung von SecureTrack. In der Compare-Funktion lassen sich zwei Revisionsstände des Regelsatzes miteinander vergleichen. Das Sicherheits-Tool meldet dabei alle Regeln, die zwischen den beiden Zuständen geändert, gelöscht oder hinzugefügt wurden. Dabei spielt es keine Rolle, ob es die Revisionsstände einer bestimmten Firewall oder die globalen Regeln und Objekte aller Firewalls vergleichen soll. Die Compare-Funktion dient somit der schnellen Übersicht über zwei Revisionsstände. Ebenso verhält es sich mit dem Bericht (Report) an dieser Stelle: Auch er liefert die Unterschiede zweier Revisionsstände, aber eben in Berichtsform mit hilfreichen Details.
Ein zweiter Block beschäftigt sich mit der Analyse und Optimierung der Firewall-Regeln. Hierin lassen sich beliebige Kommunikationsszenarien definieren. Dabei ist etwa zu prüfen, ob ein bestimmtes Objekt (oder eine bestimmte IP-Adresse) mit einem anderen kommunizieren kann. Das Tool zeigt sämtliche involvierte Regeln für den gesamten Kommunikationsweg. Einmal erstellte Abfragen lassen sich für spätere Zwecke speichern. Zudem gibt es einen Help-Modus, der es dem Helpdesk ermöglicht, im Problemfall schnell herauszufinden, ob eine Firewall-Regel für einen Kommunikationsfehler eines Benutzers verantwortlich ist. Im Test analysierten wir an dieser Stelle unser Regelwerk: Überflüssige Regeln wurden korrekt aufgezeigt und ließen sich somit entfernen.
Die Änderungen an den Firewall-Regeln erfolgen häufig in einem zweistufigen Prozess: Im ersten Schritt werden die Regeln definiert, die dann mitunter noch eine zweite Person freigeben muss. In jedem Fall werden Regeländerungen jedoch gesammelt und gemeinsam aktiviert, um bestehende Prozesse durch eine Modifikation nicht abrupt zu blockieren. Inaktive Regeln werden meist im Kontext der Firewalls vorgehalten und sind auch bekannt, nur eben nicht aktiv. SecureTrack kann auch inaktive Regeln in die Analyse einbeziehen.
Der Audit-Zweig mit seinem Soll-Ist-Vergleich dient dazu, die Firewall-Regeln zu verbessern, und schlägt darüber hinaus bei Verstößen gegen Sollkonfigurationen Alarm.
Regeloptimierung
Das Regelwerk wird anhand von Best-Pratice-Analysen etwa nach bestimmten Objekten oder fehlenden Beschreibungen durchleuchtet. So werden beispielsweise überflüssige Regeln erkannt, die sich dann entfernen lassen. Auch weist das Tool darauf hin, wenn die Cleanup-Regel fehlt. Des Weiteren zeigen diese Auswertungen auf, wo der Regelsatz zu optimieren ist. Häufig verwendete Regeln sollten, um die Leistung der Firewall zu erhöhen, in der Rangfolge möglichst weit oben platziert werden. Durch die Analyse und das Auditing soll dann ein korrekter und schlüssiger Regelsatz entstehen, der den Compliance-Anforderungen genügt. Um diesen möglichst lange zu gewährleisten, ist bei Verstößen gegen die Vorgaben eine E-Mail-Benachrichtigung einzustellen.
Unter den Reports schließlich finden sich vordefinierte Berichte etwa zur Nutzung oder zu Modifikationen von Regeln. Tufin liefert zu allen aufgeführten Bereichen die wichtigsten Auswertungen sowie Best Practices, ermöglicht aber auch die Definition eigener Analysen oder Berichte.
(kf)