Sicherheitsrisiko Firewall

Kommentieren Drucken

Firewalls haben sich in Netzwerken als Sicherheitsinstrument ausgehend vom Perimeter in der gesamten internen IT-Infrastruktur ausgebreitet. Wir finden inzwischen Firewalls zur Kontrolle der Kommunikation an WAN-Verbindungen, Partnerfirmenanbindungen, im RZ, im Server-Bereich und im Campus LAN für den Aufbau von (nicht selten mehrstufigen) Sicherheitszonen. Firewalls werden auch direkt vor zu schützende Geräte gesetzt (Device-attached Firewall), wie es beispielsweise im Industriebereich für den Schutz kritischer Produktionsanlagen gang und gäbe ist.

Woher kommt dann der offenkundige Reflex zur Firewall? Es beginnt meist mit der Feststellung, dass gewisse Systeme (SAP, UC, Datenbanken, etc.) einen erhöhten Schutzbedarf aufweisen. Für den Sicherheitsbeauftragten ist dann oft sofort klar: Diese Systeme müssen durch eine Firewall geschützt werden.

Die Firewall-Inflation erweckt auch den Eindruck, dass Firewalls offensichtlich in vielen Bereichen der IT eine sinnvolle Schutzfunktion haben und bei Bedarf als eine Art Standardkomponente sehr flexibel, en passant und mit einem vertretbaren Aufwand integriert und betrieben werden können.

Die Realität sieht leider anders aus! In verschiedensten Projekten haben wir immer wieder folgende Erfahrungen gemacht:

  • Es gibt Firewalls mit 500 bis 1000 Regeln, und diese Firewalls sind praktisch nicht mehr verwaltbar. Wer kann die Auswirkung bei einem Change noch bewerten? Also gibt es höchstens noch neue Regeln aber kein Aufräumen im bestehenden Spagetti-Code.
  • Firewalls werden oft bewusst auf „Durchzug“ gestellt, da z.B. der Quell-IP-Range oder der Ziel-Port-Range für Zugriffe nicht mehr genau genug festgelegt werden kann (was beispielsweise praktisch immer der Fall ist, wenn VoIP und UC sowie Client- und Server-Verkehr in Verteilten Systemen z.B. der Bauart Microsoft Windows zu filtern ist).

Wir können hieraus keineswegs ableiten, dass Firewalls sprich Filtermechanismen überflüssig sind. Die Firewalls sind ja schließlich aufgrund konkreter Sicherheitsanforderungen installiert worden. Wir müssen eher schließen, dass wir offensichtlich ein Werkzeug über Gebühr oder falsch eingesetzt haben. Woran fehlt es also?

Eine erste Antwort wäre: Wir brauchen mehr Anwendungsintelligenz und nutzerbezogene Regeln in Firewalls. Das ist genauso richtig wie falsch.

Es ist richtig, weil eine Firewall ansonsten viele Kommunikationsformen nicht mehr sinnvoll filtern kann.

Es ist falsch, denn die Firewall wird so immer unberechenbarer. Je mehr Intelligenz in der Firewall steckt, desto mehr Rechenleistung ist erforderlich und desto weniger ist das Antwortzeitverhalten der Firewall voraussagbar. Wir erleben immer wieder einzelne Anwendungen, die äußerst empfindlich gegenüber dem zusätzlichen Delay durch eine Firewall sind. Außerdem kann die Entscheidung, warum ein Paket verworfen wird, bei einer anwendungs-intelligenten Firewall vielleicht noch der entsprechende Software-Entwickler nachvollziehen, für den Administrator gibt es hierzu oft keine Chance mehr. In Konsequenz werden Firewalls immer mehr zu einer Black Box! Eine Sicherheitskomponente, deren Fehlverhalten im schlimmsten Fall die IT lahmlegen kann, muss aber zwingend einschätzbar sein. Eine Black Box ist hier nicht akzeptabel.

Können wir diesem Dilemma entkommen? Nein, denn dies würde eine Offenheit der Firewall-Hersteller erfordern, die wir wahrscheinlich nie bekommen werden.

Wir müssen also anders vorgehen. Zunächst darf die Entscheidung, ob gewisse interne Netzbereiche mit einer Firewall abzusichern sind, nicht pauschal bzw. reflexartig getroffen werden. Wir könnten außerdem Sicherheitsfunktionen wieder auf mehr Komponenten verteilen, um die Black Boxes kleiner und damit einschätzbarer zu halten und um die Sicherheitsfunktionen zielgerichtet einsetzen zu können. Hierzu kann insbesondere eine klare Trennung zwischen

  • grober Verkehrsregelung (was eine klassische Stateful Inspection Firewall sehr gut übernehmen kann),
  • nutzer- und anwendungsbezogener Berechtigung (hier sind Next Generation Firewalls im Vorteil) sowie der
  • Filterung von Malware (d.h. das klassische Intrusion Prevention System – IPS)

dienen. Nur das hat seinen Preis.

zugeordnete Kategorien: IT-Sicherheit, LAN
zugeordnete Tags:

Sie fanden diesen Beitrag interessant? Sie können



Anmerkungen, Fragen, Kommentare, Lob und Kritik:

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

*

.