167628

Regeln verbessern

18.06.2008 | 10:01 Uhr |

Ein zweiter Block beschäftigt sich mit der Analyse und Optimierung der Firewall-Regeln. Hierin lassen sich beliebige Kommunikationsszenarien definieren. Dabei ist etwa zu prüfen, ob ein bestimmtes Objekt (oder eine bestimmte IP-Adresse) mit einem anderen kommunizieren kann. Das Tool zeigt sämtliche involvierten Regeln für den gesamten Kommunikationsweg. Einmal erstellte Abfragen lassen sich für spätere Zwecke speichern. Zudem gibt es einen Help-Modus, der es dem Helpdesk ermöglicht, im Problemfall schnell herauszufinden, ob eine Firewall-Regel für einen Kommunikationsfehler eines Benutzers verantwortlich ist. Im Test analysierten wir an dieser Stelle unser Regelwerk: Überflüssige Regeln wurden korrekt aufgezeigt und ließen sich somit entfernen.

Die Änderungen an den Firewall-Regeln erfolgen häufig in einem zweistufigen Prozess: Im ersten Schritt werden die Regeln definiert, die dann mitunter noch eine zweite Person freigeben muss. In jedem Fall werden Regeländerungen jedoch gesammelt und gemeinsam aktiviert, um bestehende Prozesse durch eine Modifikation nicht abrupt zu blockieren. Inaktive Regeln werden meist im Kontext der Firewalls vorgehalten und sind auch bekannt, nur eben nicht aktiv. SecureTrack kann auch inaktive Regeln in die Analyse einbeziehen.

Der Audit-Zweig mit seinem Soll-Ist-Vergleich dient dazu, die Firewall-Regeln zu verbessern, und schlägt darüber hinaus bei Verstößen gegen Sollkonfigurationen Alarm.

Plus/Minus

+ Integration aller führenden Firewalls;

+ gute Analyse der Regelwerke;

+ Optimierung des Regelwerks durch laufende Überwachung;

+ sofortige Benachrichtigung bei Regelverstößen.

- Kein Abgleich zwischen den Regeln unterschiedlicher Hersteller möglich;

- Integration eigener Firewalls nicht möglich.

Das Regelwerk wird anhand von Best-Pratice-Analysen etwa nach bestimmten Objekten oder fehlenden Beschreibungen durchleuchtet. So werden beispielsweise überflüssige Regeln erkannt, die sich dann entfernen lassen. Auch weist das Tool darauf hin, wenn die Cleanup-Regel fehlt. Des Weiteren zeigen diese Auswertungen auf, wo der Regelsatz zu optimieren ist. Häufig verwendete Regeln sollten, um die Leistung der Firewall zu erhöhen, in der Rangfolge möglichst weit oben platziert werden. Durch die Analyse und das Auditing soll dann ein korrekter und schlüssiger Regelsatz entstehen, der den Compliance-Anforderungen genügt. Um diesen möglichst lange zu gewährleisten, ist bei Verstößen gegen die Vorgaben eine E-Mail-Benachrichtigung einzustellen.

Unter den Reports schließlich finden sich vordefinierte Berichte etwa zur Nutzung oder zu Modifikationen von Regeln. Tufin liefert zu allen aufgeführten Bereichen die wichtigsten Auswertungen sowie Best Practices, ermöglicht aber auch die Definition eigener Analysen oder Berichte.

Fazit

Tufins Werkzeug SecureTrack gestaltet das Regelwerk von Check-Point-, Juniper- und Cisco-Firewalls transparenter, entfernt Überflüssiges und verbessert die Reihenfolge der Regeln. Ferner erzeugt SecureTrack Berichte für Compliance-Anforderungen und das Risiko-Management. Dabei gilt es jedoch zu beachten, dass Regeln immer in einem Kontext zueinander stehen. Ein Regelsatz, der beispielsweise für eine Benutzergruppe in einem bestimmten Zeitraum gilt, mag für ein anderes Zeitfenster oder eine andere Benutzergruppe ganz anders aussehen. (kf)

COMPUTERWOCHE

PC-WELT Marktplatz

167628