Manuelle Firewall Rule Reviews - Bitte nicht! Marc Ruef | 17.03.2014 Firewall Rule Reviews (http://www.scip.ch/?dienstleistungen.firewallrulereview) sind ein wichtiger Bestandteil von Sicherheitsüberprüfungen. Bei diesen wird das Regelwerk einer Firewall auf Schwachstellen hin untersucht. Welchen Herausforderungen hierbei mit welchen Ansätzen entgegnet werden kann, habe ich in verschiedenen Fachpublikationen und Vorträgen (http://www.scip.ch/?labs.20120607) illustriert. Da wir eine Vielzahl solcher Prüfungen durchführen, waren wir stetig um die Professionalisierung derer bemüht. Eine solche bedingt, dass ein formales System zum Einsatz kommen kann, das sich computergestützt anwenden lässt. Computergestützt bedeutet in diesem Zusammenhang, dass das Regelwerk zu grossen Teilen automatisch eingelesen, in das für die Analyse bestmögliche Format umgewandelt und schon auf gewisse Anhaltspunkte hin untersucht wird. Dadurch können wir sehr effizient und effektiv vorgehen. So mancher Kunde ist aber nicht so freizügig, wenn es um die Herausgabe des Regelwerks geht. Da heisst es dann plötzlich, dass es nicht in elektronischer Form und stattdessen nur auf Papier herausgegeben werden darf. Oder noch schlimmer, dass es nur beim Kunden vor Ort oder gar auf der Management-Konsole eingesehen werden kann. Eine computergestützte Analyse wird im ersten Fall massgeblich erschwert - Und im zweiten Fall wird sie gänzlich unmöglich gemacht. Da heisst es also dann "zurück auf Start": Die Analyse muss manuell - quasi mit Papier und Bleistift - erfolgen. Dies mag bei einem relativ simplen Regelwerk mit weniger als 30 Rules durchaus möglich sein. Kommen aber mehrere Dutzend oder gar Hunderte von Regelsätzen zum Einsatz, wird es eine sehr aufwendige und bisweilen nervenaufreibende Aufgabe. Meines Erachtens stellt es den komplett falschen Ansatz dar, die Arbeit eines Analysten in derartiger Weise zu behindern. Einerseits kann er sein Expertentum nur mit erheblichem Aufwand einbringen. Ein Grossteil der Zeit geht für stumpfsinnige Arbeiten, die keinen Nutzen bringen, drauf. Andererseits wird übersehen, dass das Regelwerk im Report ja bestmöglich dokumentiert werden soll. Wenn denn die Daten gar nicht erst mitgenommen werden können, wird die Dokumentation eher mager ausfallen. Im besseren Fall kann man auf die Regeln verweisen, was es jedoch unmöglich macht, den Report ohne das Konsultieren der Regeln nachvollziehen zu können. In jedem Fall verlieren alle Beteiligten.