Was macht ein gutes Firewall-Regelwerk aus?
Marc Ruef | 02.04.2012

Seit der Gründung unseres Unternehmens im Jahr 2002 führen wir sogenannte Firewall Rule Reviews (http://www.scip.ch/?dienstleistungen.firewallrulereview) durch - Tatsächlich war das erste Projekt eine eben solche. Dabei wird das Regelwerk einer Firewall auf seine Sicherheit hin untersucht.

Typische Fehler sind hierbei grosszügige Regelsätze, die sich bis zu unliebsamen ANY-Rules erstrecken können. Oft sind es aber einfach nur lax gesetzte Subnetzmasken oder breit gefächerte IP-Adressbereiche. Ein Fehler, der oftmals auf geringes Interesse oder fehlendes Verständnis für die eingesetzten Netzwerkapplikationen zurückzuführen ist. In vielen Fällen können ja noch nicht mal die Entwickler genau sagen, welche Ports eine Anwendung nun benötigen wird.

Ein anderes typisches Problem sind unsauber durchgesetzte Gruppierungen. Da werden beispielsweise Rechner aus unterschiedlichen Netzbereichen - die wiederum unterschiedlichen Sicherheitsanforderungen unterliegen - in einer Regel zusammengefasst. Oder man kombiniert schon beinahe willkürlich irgendwelche Ports bzw. Dienste, um sie in einer einzelnen Regel einzusetzen. Im erster Fall kann dies zu einer krassen Abschwächung der Netzwerksicherheit führen. Im zweiten Fall kämpft man meistens mittelfristig mit den administrativen Tücken dieser Nachlässigkeit.

Gerne wird aber vergessen, dass ein gut gewartetes Firewall-Regelwerk ebenso Logging-Mechanismen berücksichtigt und eine umfassende Dokumentation aufweist. Beides sind Aspekte, die man oftmals nicht direkt der Sicherheit eines Netzwerks anrechnen würde. Die Erfahrung hat aber gezeigt, dass diese Ansätze massgeblich zur Vitalität einer Umgebung beitragen können. Vielleicht nicht heute, aber spätestens morgen. Und genau aus diesem Grund bemängeln wir nicht nur technische Fehler bei einer entsprechenden Untersuchung, sondern wir versuchen ebenfalls konzeptionelle und organisatorische Bereiche abzudecken.