28.07.2006, 11:02 Uhr
Konsolidierung des Firewall- Regelwerkes
Jede Woche beantworten Sicherheits-experten Leserfragen und geben -Ratschläge, wie sich die Sicherheit in -einem Unternehmen erhöhen lässt. Diesmal dreht sich alles um die Erfüllung der SOX-Anforderungen bis Ende 2006. Dabei ist vor allem bei der Vorgehensweise guter Rat teuer.
Frage: Wir haben ein Netzwerk mit diversen Proxies, 8 Firewalls, 7 Routern mit Access List und 150 Servern in der DMZ. Der Verkehr zwischen Internet, Partnernetzen, DMZ, Applikationen und internen Segmenten wird durch insgesamt 4000 Regeln auf den Firewalls und Routern gesteuert. Damit wir bis Ende 2006 die SOX-Anforderungen erfüllen, verlangt der externe Auditor einen umfassenden Review unserer Firewall-Umgebung und eine Konsolidierung des Regelwerkes. Haben wir eine Chance das Ziel zu erreichen und welche Vorgehensweise raten Sie uns?
Bei umfassenden Regelwerken kann man davon ausgehen, dass die Regeln auch nicht vollständig dokumentiert sind. Netzwerke sind laufend Veränderungen unterworfen. Die grosse Anzahl an Regeln auf den Firewalls lässt vermuten, dass das Regelwerk mit den Veränderungen gewachsen ist. Es ist sehr wahrscheinlich, dass einige der aktiven Regeln nicht mehr genutzt werden, weil Maschinen aus dem Netz oder Dienste auf Server und Host entfernt wurden. Einige Regeln sind sicher auch redundant und überlappend.
Nachweisbarkeit ist eines der Schlagworte bei Sarbanes-Oxley aber auch bei Basel II und Solvency. Somit können Sie das Problem nicht nur mit einer einmaligen Aktion (Konsolidierung des Regelwerkes) lösen, sondern Sie müssen auch einen Change-Management-Prozess für Ihre Firewall-Umgebung definieren und implementieren.
Mein Rat ist, die Konsolidierung der Firewall-Regeln auf die gleiche Art und Weise in Angriff zu nehmen, wie die Freigabe von aktuellen und zukünftigen Regel-änderungen. Das ist bei 4000 Regeln nicht ganz unproblematisch und mit Aufwand verbunden. Auch wenn Sie für die Konsolidierung optimistisch geschätzt nur 30 Minuten pro Regel aufwenden müssen, bedeutet dies rund 50 Wochen Aufwand. Das heisst, bis Ende Jahr sind zwei Mitarbeiter zu 100 Prozent mit dem Regelwerk beschäftigt.
Um die Vorgaben erreichen zu können, müssen Sie den gesamten Prozess automatisieren. Es gibt Tools, mit denen geplante Veränderungen an Firewall und Netzwerk simuliert und verifiziert werden können. Damit lässt sich der Aufwand pro Regel auf rund fünf Minuten reduzieren. Rechnet man zirka drei Monate für die Evaluation, Implementierung und Konfiguration des Tools, bleibt eine Reserve von einem Monat für das Projekt. Auf dieser Basis schlage ich vor, die Konsolidierung der Firewall-Regeln mit dem allgemeinen Change-Management-Prozess und den vier Schritten modellieren, simulieren, analysieren und planen zu verbinden.
Modellieren: Zu allen im Netzwerk eingebundenen Infrastrukturkomponenten (Server, Host, Router, Firewall, Load Balancer) werden die relevanten Informationen (Dienste, Routing Table, Firewall Rules) automatisch eingelesen und in einem Netzwerktopologie-Modell abgebildet und die Netzwerk-Policy der Unternehmung wird auf das Modell übertragen. Es wird formuliert, zwischen welchen Bereichen (IP-Ranges) für welche Services (Ports) immer eine Verbindung vorhanden sein muss oder unter keinen Umständen eine Verbindung bestehen darf.
Simulieren: Auf diesem aktuellen Netzwerkmodell werden nun alle möglichen Verbindungen auf Verträglichkeit mit der definierten Access Policy überprüft. Verstösse gegen die Policy werden festgestellt und die Zugangsroute unerlaubter Services wird mit den entsprechenden aktiven FW Regel aufgezeigt.
Analysieren: Die bei der Simulation identifizierten Probleme können durch den Netzwerkingenieur vertieft geprüft werden, in dem das entsprechende Firewall-Regelwerk aufgerufen, analysiert, eventuell modifiziert und in einer weiteren Simulation verifiziert wird. Dadurch wird verhindert, dass bei Regeländerungen die Netzwerk-Policy kompri-miert wird. Nach erfolgreicher Simulation auf dem Modell wird die geplante Veränderung zur Implementation im realen Netzwerk freigegeben.
Planen: Die Aufgaben müssen an die verantwortliche Person zugewiesen werden. Wichtig dabei ist, dass sie genau spezifiziert und terminiert werden. Veränderungen im Netzwerk werden mit solchen Tools automatisch dokumentiert.
Der Einsatz eines Firewall- und Netzwerk-Change-Management-Tools bringt den Vorteil, dass Sie nicht nur mit grossem Aufwand ein kurzfristiges Ziel erreichen. Sie implementieren damit eine nachhaltige Lösung, die sowohl die Compliancy-Anforderungen erfüllt, als auch Netzwerksicherheit wesentlich verbessert. Dadurch wird verhindert, dass Veränderungen im Netzwerk nach der heuristischen Methode, die in den meisten Fällen zu Serviceunterbrechungen und aufwändigen Fehlerbehebungsaktionen führen, abgewickelt werden.
Reto Grünenfelder