Firewall- und ­Netz­werk-Change- Management

Jede Woche beantworten Sicherheitsexperten Leserfragen und geben Ratschläge, wie sich die Sicherheit in einem Unternehmen erhöhen lässt.

Dies ist ein allgemeines Problem. Es gibt nicht viele Unternehmen, die über aktuell dokumentierte Netzwerkinformationen verfügen, die zentral abgelegt und für alle berechtigten Personen einsehbar sind. In den meisten Fällen sind die Informationen dezentral, nämlich in den Köpfen der Netzwerkadministratoren und meist auch mit unterschiedlichem Versionsstand, abgelegt.

Es gibt ein Tool, das in dieser Situation helfen kann: Skybox View. Skybox View wurde entwickelt, um aus der grossen Menge der von Netzwerkscannern identifizierten Schwachstellen die ein bis zwei Prozent der relevanten Lücken zu identifizieren. Dazu muss das Tool die Routen von einem beliebigen Angriffspunkt zu allen Applikationen kennen und überprüfen können. Hierfür importiert es neben den Informationen der Scanner alle Routing-Tabellen und Firewall Access Lists (ACL). Diese Update-Intervalle können frei programmiert werden, sodass das System immer über die aktuelle Netzwerkinformation verfügt.

An diesem aktuellen Netzwerkmodell können nun virtuelle Penetration-Tests durchgeführt werden, um die relevanten Schwachstellen zu identifizieren und die Sicherheitsrisiken zu berechnen. Zusätzlich erlaubt dieses Tool, die Wirksamkeit der geplanten Änderungen im so genannten «Was wäre wenn?»-Modus zu validieren.

Viele Anwender haben aber schnell erkannt, dass dieses Exposure-Risk-Management-Tool auch noch für ein sicheres und effizientes Firewall- und Netzwerk-Change-Management verwendet werden kann. Ein weiteres Modul erlaubt, auf dem Netzwerkmodell die geplanten Veränderungen manuell einzupflegen und die neue Netzwerkstruktur auf Verträglichkeit mit der definierten Access Policy zu überprüfen. In der Policy wird formuliert, zwischen welchen Bereichen (IP-Range) für welche Services (Ports) immer eine Verbindung vorhanden sein muss respektive unter keinen Umständen eine Verbindung bestehen darf. Verstösse gegen die Policy werden festgestellt, visualisiert und können durch den Netzwerkingenieur vertieft analysiert werden. Dadurch wird verhindert, dass Veränderungen im Netzwerk nach der heuristischen Methode abgewickelt werden, die in den meisten Fällen zu Serviceunterbrechungen und aufwändigen Fehlerbehebungsaktionen führen.

In den meisten Organisationen ist das Firewall-Change-Management in einem wohl definierten Prozess eingebunden, der es ermöglicht, Änderungen für den Auditor nachvollziehbar zu dokumentieren. Die Problematik beim Firewall-Change-Management liegt aber darin, dass die für die Freigabe einer Regel verantwortliche Person nicht über aktuelle Netzwerkinformationen verfügt und deshalb die Folgen der geplanten Änderung nicht abschätzen kann. Eine weitere Problematik liegt darin, dass in den meisten Fällen keine Prüfung stattfinden kann, ob die freigegebene Regel auch wie definiert implementiert wurde.

Mit diesem Analysetool können geplante Veränderungen getestet und die Freigabe neuer Regeln auf fundierten Fakten abgestützt werden. In einer Check-Point-Umgebung können die neuen Regeln sogar direkt aus dem Management eingelesen und überprüft werden. Dadurch wird verhindert, dass eine Regel unbemerkt falsch eingegeben werden kann.

IT-Risk-Management ist einerseits in Bezug auf Compliance und IT-Governance sehr wichtig, es hilft aber vor allem auch, die knappen Ressourcen bei Änderungen im Netzwerk (Firewall- und Netzwerk-Change-Management) effizient einzusetzen. Die Ausfallzeit von kritischen Systemen wird dadurch erheblich reduziert, und die langwierige und unnötige Fehlersuche im Netzwerk entfällt.