Firewalls zählen neben Virenscannern zu den meistgenutzten Sicherheitswerkzeugen. Ihre Konfiguration erfolgt durch Regeln, anhand derer erwünschte Kommunikation explizit erlaubt beziehungsweise unerwünschte Kontakte unterbunden werden. Je nach Einsatzszenario kann sich das Regelwerk aus Hunderten Regeln und Tausenden Objekten zusammensetzen. Als Objekte sind die Kommunikationsteilnehmer - etwa ein Benutzer, eine Organisationseinheit, ein Rechner mit seiner IP-Adresse, eine Applikation, ein Prozess oder auch ein Netzsegment - zu verstehen. Da sich die Objekte ständig ändern, müssen die Regeln laufend angepasst werden. Angesichts der Vielzahl der Regeln wird diese Anpassung oft von mehreren Sicherheitsverwaltern parallel vorgenommen. Hinzu kommt, dass die Verwaltung einer Firewall-Infrastruktur oft auch nur verteilt erfolgen kann. Zudem muss die Kommunikation zwischen zwei Objekten, etwa dem Benutzer und der Applikation, mitunter mehrere Firewalls nacheinander passieren. Dabei fällt es schwer, einen genauen Überblick darüber zu bewahren, was letztendlich erlaubt oder verboten ist. Das Firewall-Verwaltungswerkzeug SecureTrack von Tufin soll hier helfen, indem es Firewall-Regeln zentral überwacht und Administratoren darin unterstützt, die Regelwerke zu verbessern.
Analyse und Überwachung
SecureTrack analysiert und kontrolliert die Firewall-Regeln. Das Sicherheits-Tool unterstützt die führenden Produkte in diesem Segment, also die Firewalls der Hersteller Check Point, Cisco und Juniper. Über Schnittstellen greift SecureTrack deren Regeln ab und analysiert sie. Obwohl sich der Aufbau der Regeln bei den einzelnen Herstellern unterscheidet, haben sie Gemeinsamkeiten: Da jede Kommunikation mindestens einen Sender und einen Empfänger benötigt, werden diese Einträge in jeder Regel existieren, auch wenn sie jeweils anders heißen. Als Sender und Empfänger fungieren die erwähnten Objekte. Ferner bestimmt die Regel, ob die Kommunikation zwischen den Beteiligten erlaubt, verboten, überwacht oder nach sonstigen Kriterien zu behandeln ist. Neben diesen wenigen Grundelementen der Regeln stehen mitunter aber noch viele spezifische Konfigurationsoptionen zur Verfügung: Etwa wann eine Regel greifen soll, die Position beziehungsweise das Ordnungskriterium für die Regeln untereinander, der Regelerzeuger und vieles mehr. Insbesondere Check Point hat eine Vielfalt von Kriterien zur Konfiguration implementiert.
Dieses Geflecht an Firewall-Regeln und ihre Korrelation zueinander soll SecureTrack entwirren. Angeboten wird das Produkt als reine Softwarevariante, aber auch - wie im Test verwendet - als Appliance. Die Software gibt es für die Linux-Derivate Red Hat und CentOS. In unserem Test wurde Red Hat Linux zusammen mit der aktuellen Version von SecureTrack 4.1 in einer virtuellen Umgebung auf Basis von VMware verwendet.
So wurde getestet
Getestet wurde in virtuellen Umgebungen unter VMware. Wir richteten ein: eine virtuelle Maschine (VM) mit der Verwaltungs- und Analysekonsole von SecureTrack 4.1, zwei VMs, die jeweils mit der Check Point Firewall-1 und der SecurePlatform R65 bestückt waren, eine VM mit dem Check Point Smart Center R65 sowie einen Linux-Applikations-Server als Backend-System zur Lasterzeugung.
Der Zugriff auf das Check Point Smart Center R65 erfolgte durch die SecureTrack-4.1-Konsole. Von diesem wurden die Statusmeldungen und Informationen der Check Point Firewalls abgeholt. Das Smart Center wiederum kommunizierte mit den beiden Check-Point-Systemen. Im Test ließen wir das Regelwerk analysieren und Berichte dazu ausgeben. Das Tool zeigte, wie die Regeln genutzt werden und zusammenspielen. Die Analyse wies auf überflüssige Regeln Verbesserungsmöglichkeiten hin.