Bacher Systems

• Newsletter
  • Wir über uns
  • Karriere
  • Kontakt
  • Impressum
  • AGB
• Ausgabe 4, 2007
  • Archiv
  • 2010
  • Ausgabe 1, 2009
  • Ausgabe 3, 2008
  • Ausgabe 2, 2008
  • Ausgabe 1, 2008
  • Ausgabe 4, 2007
  • Ausgabe 3, 2007
  • Ausgabe 2, 2007
  • Ausgabe 1, 2007
  • Ausgabe 6, 2006
  • Ausgabe 5, 2006
  • Ausgabe 4, 2006
  • Ausgabe 3, 2006
  • Ausgabe 2 2006
  • Ausgabe 1, 2006
  • Ausgabe 9, 2005
  • Ausgabe 8, 2005
  • Ausgabe 7, 2005
  • Ausgabe 6, 2005
  • Ausgabe 5, 2005
  • Sonderausgabe Mai 2005
  • Ausgabe 4, 2005
  • Ausgabe 3, 2005
  • Ausgabe 2, 2005
  • Ausgabe 1, 2005

Check Point Firewalls nachvollziehbar betreiben

Mit SecureTrack von Tufin wird es leichter, den Firewall-Betrieb zu optimieren und Compliance nachzuweisen.

Firewall-Regeln neigen zu unkontrolliertem Wachstum. Immer wieder kommen neue Regeln dazu, nicht mehr benötigte Regeln werden dagegen nur selten entfernt. Die Folge ist ein Wildwuchs von Zugriffsberechtigungen, der auch bei genauerer Recherche meist nicht mehr zu durchblicken ist. Dem entgegen steht die starke Forderung, die aktuellen Einstellungen und erfolgte Änderungen an der Firewall nachvollziehen zu können. Diese Forderung hat zwei wesentliche Gründe:

• Administration verlangt Nachvollziehbarkeit:
  Viele Firewall-Installationen werden von mehreren Administratoren betreut. Der Change Management Prozess ist zwar meistens innerhalb des Unternehmens definiert, jeder Administrator hat aber seine eigenen bewährten Ansätze, wie und wo er Regeln einarbeitet. Dadurch wächst die Rulebase unnötig, wenn ähnliche Regeln nicht zusammengefasst, sondern einzeln eingetragen werden. Die Folge ist, dass die Performance be­einträchtigt wird und der Sicherheitslevel sinkt. Hier würde ein guter Überblick der Änderungen eine saubere Pflege möglich machen. Ein weiteres Beispiel bietet der klassische Hilferuf eines Users, dass ein Dienst plötzlich nicht mehr verfügbar ist - irgendeine Änderung in der Firewall hatte einen ungewollten Nebeneffekt. Auch in solchen Fällen ermöglich eine gute Nachvollziehbarkeit der Änderungen eine rasche Problemlösung, ohne ungewollt neue Sicherheitslöcher zu reißen.
• Compliance verlangt Nachvollziehbarkeit:
  Ein weit verbreitetes Beispiel für eine Compliance-Forderung ist der Nachweis, dass die aktuelle Firewall-Policy tatsächlich die Security-Policy des Unternehmens abbildet. Erst wenn eine gute Nachvollziehbarkeit der aktuellen Firewall-Einstellungen gegeben ist, kann dieser Nachweis leicht erbracht werden. Ähnliches gilt für gesetzliche Regulative und Industriestandards, deren Einhaltung belegt werden muss. SOX (Sarbanes-Oxley Act), Basel II (Basel Capital Accord) oder PCIDS (Payment Card Industry Data Security) sehen vor, dass bestimmte Abläufe und Prozesse aus der IT belegt werden. Ein weiterer Grund, auf gute Nachvollziehbarkeit der Firewall-Einstellungen zu achten.

Praktische Wege zur Nachvollziehbarkeit

Einstellungen und Änderungen in Check Point Firewalls lassen sich auf zwei Wegen nachvollziehbar machen. In etwas eingeschränkter Weise mit Firewall-eigenen Mitteln, wesentlich umfassender mit einem Add-On Produkt namens SecureTrack von Tufin.

• Mit Firewall-Mitteln:
  Mit der so genannten Database Revision Control ist es möglich, zu jedem Zeitpunkt einen Snapshot der kompletten Database zu speichern. Geschieht dies sorgfältig nach jeder Änderung, können bei einer Fehlersuche verschiedene Versionen verglichen werden. In der Rulebase selbst gibt es die Möglichkeit, jede einzelne Regel genauer zu beschreiben. Wird diese Funktion genützt, so ist der Sinn einer Regel auch zu einem späteren Zeitpunkt noch zu verstehen. Schließlich bietet die Firewall noch die Möglichkeit, mit dem Smart-View Tracker auf das Audit Log zuzugreifen, in dem alle Änderungen an Objekten und Regeln dargestellt werden. Zusammenfassend könnte man sagen, dass die Firewall-eigenen Mittel nur bei sehr disziplinierter Administration ausreichen, um die Nachvollziehbarkeit auch langfristig sicherzustellen.
• Mit dem Add-On SecureTrack:
  Mit diesem Zusatzprodukt steht eine Lösung zur Verfügung, die den operativen Betrieb von Check Point Firewalls unterstützt und damit auch die Nachvollziehbarkeit aller Einstellungen und Änderungen garantiert. Das Produkt überwacht Veränderungen, erstellt Berichte und bietet eine genaue Historiendokumentation - damit wird die Revisionssicherheit gewährleistet. Darüber hinaus ist es mit SecureTrack möglich, die Firewall-Rulebase zu optimieren und zu bereinigen. Nicht verwendete Firewall-Regeln werden entfernt und mögliche Sicherheitslücken eliminiert. Damit wird der so oft auftretende Wildwuchs in der Rulebase bereinigt, die Performance der Firewall wiederhergestellt und der Sicherheitslevel erhöht. Weitere Funktionen dienen speziell dazu, die Compliance der Firewall-Einstellungen mit der Security-Policy und gesetzlichen Regulativen nachzuweisen.