Symantec Deutschland
Symantec weltweit
Produkte & Services
Bezugsquellen
Unterstützung
Händlerzentrum
Security Response
Downloads
Über Symantec
Suche
Kontakt


© 1995-2008 Symantec Corporation.
All rights reserved.
Rechtliche Hinweise
Aktualisierte Datenschutzrichtlinien
Impressum
zurückDefaultSmall Business - Banner Artikel des Monats
 


Firewalls: Für eine problemlose Konfiguration

Der Einfachheit halber überlassen viele Unternehmen die Firewall-Konfiguration ihrem Service-Provider. Trotzdem sollten sie sich mit den Grundlagen einer erfolgreichen Firewall-Konfiguration auskennen. Diese Informationen helfen bei der erfolgreichen Implementierung.

Firewalls sind wie auch Virenschutzsoftware ein unverzichtbarer Bestandteil der IT-Sicherheit im Unternehmen. Der Unterschied besteht darin, dass für die Implementierung und Konfiguration von Firewalls spezifische Kenntnisse erforderlich sind. Unternehmen überlassen dies den Systemadministratoren. Obwohl sie gute Arbeit leisten, kann es zu unnötigen Problemen kommen, wenn das Unternehmen vor der Firewall-Installation keine adäquate Planung durchgeführt hat. Die Planung kann intern durch Brainstorming erfolgen und fällt in den Zuständigkeitsbereich der IT-Abteilung oder der IT-Leitung. Diese Analyse ist alles andere als überflüssig, da sie einen besseren Überblick über die Informationssysteme und ihre Schwachstellen verschafft. Sie umfasst im Wesentlichen eine schnelle und kurze Bestandsaufnahme, einen Mittelweg zwischen technischer und organisatorischer Untersuchung.

Eine eingehende Betrachtung der Konnektivitätsanforderungen

Die erste Phase der Analyse sollte einen klaren Überblick über die Unternehmensressourcen verschaffen und ermitteln, welche Ressourcen Internet-Zugang (E-Mail, Web-Browser usw.) und welche Remote-Zugriff benötigen (Web-Server, Extranet usw.). Es geht darum, die Anwendungen, Hardware (Router, Switches, Workstations) und Daten zu erfassen. Die Konnektivitätsanforderungen sind im Einzelfall zu untersuchen (muss dieser Dienst wirklich im Internet oder auf dem lokalen Netzwerk zur Verfügung stehen?) und die Risiken der Öffnung des Internet-Zugangs für das Netzwerk abzuschätzen. Dabei handelt es sich im Wesentlichen um Erkenntnisse, die bei der Erstellung der Firewall-Richtlinien helfen. Dies ist ein wichtiger Analyseschritt, den ein Unternehmen nicht vollständig einem externen Service-Provider überlassen sollte.

Als Nächstes empfiehlt es sich, Benutzergruppen zu definieren, z. B. auf der Basis von Abteilungen oder Anforderungen. Auf diese Weise können den bereits erfassten technischen Ressourcen die Mitarbeiter zugeordnet werden, die diese Ressourcen benötigen. Die Analyse soll auch gewährleisten, dass keine unnötigen Zugriffsrechte vergeben und die Sicherheitsrisiken für das Netzwerk auf ein Minimum beschränkt bleiben.
Natürlich können alle Gruppen bestimmte Dienste nutzen: E-Mail- und Internet-Zugang muss nicht auf bestimmte Mitarbeiter begrenzt sein. Aber nicht jeder benötigt Fernzugriff auf FTP-Server oder auf Instant-Messaging-Tools. Die meisten angebotenen Firewalls bieten die Möglichkeit, Benutzergruppen zu erstellen und diesen spezifische Regeln zuzuweisen.

Einfache Kommunikation mit dem Service-Provider

Nachdem sich das Unternehmen einen besseren Überblick über die Ressourcen und Benutzer verschafft hat, wird möglicherweise eine Überarbeitung der Netzwerkarchitektur angestrebt. In diesem Fall empfiehlt sich das Hinzuziehen eines Beraters zur Überwachung des Implementierungsprozesses, selbst dann, wenn die erforderlichen Ressourcen intern verfügbar sind: Der Berater weiß, wer was verwenden und wer worauf Zugriff haben sollte. Das Unternehmen kann so feststellen, ob eine bestimmte Benutzergruppe mit besonders vielen Zugriffsrechten (wie beispielsweise Entwickler) einer DMZ (demilitarisierten Zone) zugewiesen oder ob eine Struktur verwendet werden sollte, in der jede Abteilung als eigenes Netzwerk mit eigenen Druck- und Dateifreigaben betrachtet wird. In dieser Phase erkennen viele Unternehmen, dass vorhandene Filtermöglichkeiten (wie z. B. Router) genutzt werden können, um die Granularität des Netzwerks zu erhöhen.

Erst nach Abschluss der Brainstorming-Phase und Durchführung aller erforderlichen Anpassungen ist das Unternehmen in der Lage, die Firewall zu implementieren und gleichzeitig effizient mit dem Service-Provider zu kommunizieren. Nun liegt es in der Verantwortung des IT-Managers, die vom Service-Provider festgesetzten Basisregeln zu prüfen. Dabei sind insbesondere fünf Punkte zu beachten, die die minimale Basis der Firewall-Administration bilden: Nur wenigen Providern werden jemals solche Fehler unterlaufen. Diejenigen aber, die die Prüfung nicht bestehen, sollten sofort ausscheiden! Diese Punkte sind:- Hat der Provider restriktive Sicherheitsrichtlinien angewendet (alles verboten und nur bestimmte Dienste zugelassen)?
Dies ist der zentrale Punkt der Firewall-Verwaltung: Die Filterfunktionalität kann sich auf die gefährlichen Dienste beschränken und alle anderen zulassen (das ist eine einfache Lösung für den Provider, während das Unternehmen allen unvorhergesehenen Missbräuchen ausgesetzt ist) oder alle Dienste verbieten, außer den autorisierten. Dies ist die am häufigsten empfohlene Lösung, erfordert aber mehr Arbeit!

  • Was sind die von diesem Firewall-Modell festgelegten Standardregeln?
    Einige Firewalls verwenden werkseitig definierte Regeln, die aus Kompatibilitätsgründen auf die größte Anzahl von Konfigurationen eingestellt sind. Das bedeutet allerdings nicht, dass sie dem Unternehmensprofil gerecht werden!
  • Hat der Provider sichergestellt, dass allen Datenpaketen, die eine nicht Routing-fähige Quelladresse aufweisen, der Perimeter-Zugang verweigert wird?
    Diese Art von IP-Adresse (gewöhnlich 192.168.0.0/255.255.255.0 oder 10.0.0.0/255.0.0.0) wird in lokalen Netzwerken verwendet. Eine Internet-Verbindung mit dieser Adresse weist auf einen Angriff hin: Der Hacker versucht, vertraute Beziehungen auszunutzen, die im lokalen Netzwerk bestehen, um sich als eines seiner Mitglieder auszugeben.
  • Sind so genannte Source-Routing-Datenpakete unzulässig?
    Dies ist ein weiteres klassisches Angriffsmuster. Es handelt sich um den Versuch, die Firewall zu umgehen, indem die Datenpakete gezwungen werden, eine andere, vom Hacker vorgegebene Route zu verwenden. Diese Vorgehensweise sollte im Netzwerkperimeter des Unternehmens absolut verboten sein.
  • Welche IP-Dienste stellt die Firewall zur Verfügung?
    Ist der Remote-Zugriff auf diese Dienste möglich? Wie steht es mit der Zugriffssteuerung für die Dienste? Zahlreiche Produkte bieten über einen einfachen Browser Funktionen für die Fernverwaltung. Wird diese Funktionalität nicht überwacht (oder entfernt), kann ein Unbefugter die Zugangsmöglichkeiten nutzen, um eigene Regeln für die Firewall festzulegen, und privilegierten Zugang zum Informationssystem erlangen.

    Es versteht sich von selbst, dass es der Verantwortung des Service-Providers unterliegt, die neu konzipierten Sicherheitsrichtlinien (denn darum geht es im Grunde) in für die ausgewählte Firewall spezifische Richtlinien umzusetzen. Das Unternehmen erhält so einen genauen Überblick darüber, was implementiert wird, und weiß mit Sicherheit, dass die Firewall seinen Anforderungen entspricht.

Siehe auch: