Leitfaden für ein effizientes Firewall-Monitoring
Eine Firewall ist als erste Verteidigungslinie für ein Netzwerk unverzichtbar. Das Monitoring ihrer Effizienz ist daher entscheidend
Was ist eine Firewall?
Eine Firewall ist eine Verteidigungslinie für jedes Netzwerk oder Gerät. Normalerweise ist sie sogar die allererste. Die Firewall überwacht den ein- und ausgehenden Datenverkehr und kontrolliert, was übertragen werden darf und was nach vorgegebenen Sicherheitsregeln blockiert wird. In der Regel setzt man eine Firewall ein, um eine Barriere zwischen einem vertrauenswürdigen und einem nicht vertrauenswürdigen Netzwerk einzurichten. Die Verhinderung unbefugter Zugriffe auf das Netzwerk aus dem Internet ist der häufigste, aber nicht der einzige Anwendungsfall für eine Firewall.
Es gibt Software- oder Hardware-Firewalls. Beide kontrollieren den Datenverkehr, aber Software-Firewalls nutzen die Ressourcen des Hosts, auf dem sie installiert sind, während Hardware-Firewalls über eigene Ressourcen verfügen. Dies ist gleichzeitig auch der Hauptunterschied zwischen den verschiedenen Firewall-Typen. Man kategorisiert Firewalls darüber hinaus über ihre Funktionsweise.
Eine Paketfilter-Firewall prüft die zwischen Computern übertragenen Pakete und lässt sie entsprechend den vorgegebenen Regeln zu oder blockiert sie. Stateful-Firewalls können auch den Zustand von Netzwerkverbindungen, wie TCP-Streams, UDP-Datagramme und ICMP-Nachrichten, überwachen. Diese können über eine ganze Verbindung hinweg agieren, nicht nur Paket für Paket. Darüber hinaus gibt es Application-Firewalls, die auf Anwendungsebene arbeiten und in der Lage sind, Anwendungen voneinander zu unterscheiden und den Datenverkehr von oder zu diesen zuzulassen oder zu blockieren. Deep-Packet-Inspection-Firewalls sind fortgeschrittene Paket-Filter-Systeme, die in der Lage sind, den tatsächlichen Inhalt jedes Pakets zu untersuchen und diesen auf Wunsch zu filtern.
Unabhängig von der Technik, die eine Firewall verwendet, sind alle regelbasiert. Richtlinien lassen sich auf große und kleine Elemente anwenden, z. B. auf alle eingehenden Pakete bis hin zu einer bestimmten Art von Paketen, die versuchen, auf ein einzelnes Gerät an einem bestimmten Port zuzugreifen. Die meisten Firewalls bieten ein hohes Maß an granularer Kontrolle. Beim Monitoring einer Firewall geht es vor allem darum, den Überblick zu behalten, wie die Firewall arbeitet.
Was ist Firewall-Monitoring?
Die Überwachung der Firewalls erfolgt, wie Sie sich vorstellen können, mit einer Firewall-Monitoring-Software. Dabei kann es sich um ein eigenständiges Tool handeln. In der Praxis ist es jedoch üblich, eine Netzwerk-Monitoring-Lösung einzusetzen, die neben dem Status der Firewalls auch Checks an anderen Stellen der Infrastruktur vornimmt. Die Überwachung von Firewalls ist nicht besonders komplex und daher ist das Monitoring einer Firewall nur eine von vielen Aufgaben, die eine Monitoring-Lösung erfüllen kann.
In Wahrheit sind Firewalls Opfer des Irrglaubens, dass nach ihrer Einrichtung kein Monitoring mehr notwendig ist. Wie bei jedem anderen Teil Ihres Netzwerks kann jedoch alles, was man nicht überwacht, später unentdeckte Probleme verursachen. Firewalls sind da keine Ausnahme. Daher muss die Überwachung von Firewalls Teil eines guten Netzwerk-Monitoring-Systems sein. Wie wir gleich sehen werden, gibt es eine Reihe von guten Gründen für das Monitoring einer Firewall.
Warum ist das Monitoring einer Firewall wichtig?
Die Wirksamkeit einer Firewall hängt stark davon ab, wie aktuell ihre Regeln sind. Wenn eine neue Anwendung ohne eine entsprechende Regel zur Kontrolle des Datenverkehrs installiert wird, kann es sein, dass die Anwendung gar nicht erst funktioniert, da ihr Datenverkehr standardmäßig blockiert wird. Wenn ein neuer Host angebunden wird, muss man die Firewall-Regeln möglicherweise ebenfalls anpassen, um diesen je nach seiner Rolle im Netzwerk einzubeziehen oder auszuschließen. Eine Person im Netzwerk hat eine Reihe neuer Anwendungen und Dienste, auf die sie Zugriff benötigt, und eine Firewall kann diese blockieren.
Der erste Grund, warum ein Firewall-Monitoring wichtig ist, besteht also darin, potenzielle Probleme zu vermeiden, die veraltete Regeln verursachen können. Durch ein Monitoring Ihrer Firewall lässt sich dies überprüfen und feststellen. Die Regeln kann man daraufhin bei Bedarf jederzeit anpassen, um auf Änderungen in der Infrastruktur zu reagieren, ohne dass es zu einer Unterbrechung der Dienste kommt.
Ein zweiter Faktor, der die Wichtigkeit eines Firewall-Monitorings hervorhebt, ist die Begrenzung menschlichen Versagens. Ein großer Prozentsatz der Datenlecks ist auf unbeabsichtigte Fehler von Menschen zurückzuführen. Fehler lassen sich natürlich nicht zu 100 % ausschließen, aber man kann sie mit einem Monitoring aufdecken. Malware- und Phishing-Tricks gehören zu den typischen Methoden von Kriminellen, um Anmeldedaten zu stehlen – und beide erzeugen Datenverkehr. Ein Firewall-Monitor kann diesen Datenverkehr sofort erkennen und die Netzwerkadmins darüber informieren.
Klare Firewall-Richtlinien tragen dazu bei, dass der angewendete Regelsatz optimal bleibt. Wenn die Firewall jedoch nicht überwacht wird, ist es schwierig, sicher zu wissen, ob diese Richtlinien korrekt angewendet werden. Hier nimmt das Firewall-Monitoring eine beobachtende Rolle ein, indem es überprüft, ob die Regeln aktiv sind und ob alle Ports den richtigen Status haben.
Was ist bei der Überwachung einer Firewall zu beachten?
Beim Firewall-Monitoring geht es in erster Linie um die Überwachung der Regeln einer Firewall. Das Herzstück einer Firewall sind ihre Regeln, und es muss vor allem darauf geachtet werden, dass diese nicht mit verschiedenen Geschäftsprozessen oder einer anderen Firewall-Regel in Konflikt geraten. Regeln sollten sich nicht gegenseitig aufheben, da dies zu einer Reihe von zufälligen Verhaltensweisen führen kann, die später schwer zu monitoren sind. Eine Firewall-Monitoring-Software ist in der Lage, Regeln zu überprüfen, sobald sie erstellt wurden.
Außerdem sollte man dafür sorgen, dass Regeln nicht in Konflikt mit anderen Regeln stehen und nicht mehr benötigte Regeln ausgeschlossen sind. Ist das nicht der Fall, kann ein Sicherheitsrisiko entstehen, etwa wenn eine sehr alte Regel einen Port offen lässt und dies nicht vom Admin-Team erkannt wird. Ohne ein ordentliches Firewall-Monitoring ist es schwierig so einen Fall zu entdecken. Tatsächlich ist es eine der Hauptaufgaben eines Firewall-Monitorings zu überprüfen, ob alle Regeln tatsächlich korrekt angewendet werden und ob sie für die verwendeten Richtlinien erforderlich sind.
Beim Monitoring der Firewall-Logs überwacht man die von den Firewalls erzeugten Log-Dateien. Sie geben Aufschluss darüber, wie die Firewall arbeitet, was sie blockiert und ob sie bestimmte Regeln nicht auslöst. Abgesehen von der Nützlichkeit, veraltete Regeln aufzuspüren, kann die Durchsicht von Logs in weiteren Situationen aufschlussreich sein.
Wenn Admins beispielsweise wissen, welche Regeln am häufigsten ausgelöst werden, können sie sich nicht nur über die Trends im Datenverkehr und deren Veränderungen informieren, sondern auch viele ungewöhnliche Verhaltensweisen erkennen. Ein kaum genutzter Firewall-Port, der plötzlich sehr aktiv wird, kann ein Anlass sein, diesen Datenverkehr als verdächtig zu betrachten. Ebenso lassen sich in den Firewall-Logs auch "falsch-positive" Meldungen finden. Dabei handelt es sich um Hosts oder Anwendungen, die mit der Firewall interagieren, es aber nicht sollten.
Das Monitoring der Firewall-Logs wird von der überwiegenden Mehrheit der Firewall-Monitoring-Lösungen unterstützt. Wenn dies nicht der Fall ist, empfiehlt es sich, die Logs manuell zu überprüfen.
Welche Metriken sind für das Firewall-Monitoring relevant?
Bei Firewall-Überwachungs-Lösungen geht es nicht nur um die Überprüfung von Regeln, sondern auch um die Erfassung einer Reihe von Metriken, die Admin-Teams helfen, die Leistung der Firewall zu verstehen. So gehören Parameter, die Aufschluss darüber geben, wie sich der Datenverkehr in einem Netzwerk bewegt, normalerweise zu den zentralen Aufgaben des Firewall-Monitorings. Zu diesen Parametern gehören Ursprung und Ziel des Datenverkehrs, die verwendete Bandbreite, die aktiven Sitzungen, die verwendeten Ports und die Übereinstimmung der Ports mit einer Firewall-Regel.
Die Ports sind besonders wichtig. Sie sind das Herzstück der Firewall-Regeln und daher die wichtigste Kennzahl, die anzeigt, ob eine Regel angewendet wird oder nicht. Mit "Ports" meinen wir nicht nur die TCP/UDP-Ports, sondern auch die physischen Ports einer Hardware-Firewall. Diese Aktivität ergänzt das Port-Monitoring, das sich allein auf die Ports beschränkt.
Durch den Abgleich aktiver Sitzungen mit den zugehörigen Ports lässt sich feststellen, ob Datenverkehr durchgelassen wird, der eigentlich nicht erlaubt sein sollte. Ist dies der Fall, könnte eine Aktualisierung der Firewall-Regeln erforderlich sein. Im umgekehrten Fall kann der an einem Port blockierte Verkehr ein Signal für das Admin-Team sein, dass dieser Verkehr eigentlich erlaubt sein sollte. Sobald das Firewall-Monitoring aktiv ist, löst es in beiden Fällen Benachrichtigungen aus, auf die das zuständige Team entsprechend reagieren kann.
Eine weitere wichtige Kennzahl, die es zu erfassen gilt, ist der Status der Firewall-Regeln zu einem bestimmten Zeitpunkt. Durch die Speicherung dieser Daten kann die Firewall-Monitoring-Software über alle Änderungen informieren. Die meisten Änderungen sind Routine, aber gelegentlich kann ein Teammitglied die Firewall-Regeln ändern, ohne die anderen Mitglieder zu informieren. Wenn man rückschließen kann, was geändert wurde und warum, kann man die verantwortliche Person schnell identifizieren.
Bewährte Praktiken für das Firewall-Monitoring
Firewalls sind nicht alle gleich. Je nach Betriebssystem sind unterschiedliche Firewall-Techniken implementiert. Die Überwachung von Linux-Firewalls funktioniert nicht auf die gleiche Weise wie die Überwachung von Windows-Firewalls. Stellen Sie daher sicher, dass Sie die Firewalls entsprechend ihrer Funktionsweise überwachen. Eine allgemeine Überprüfung der Ports und des Datenverkehrs, der über sie läuft, ist nicht ausreichend. Es ist wichtig, sich unbedingt mit den Unterschieden zwischen der Überwachung von Linux- und Windows-Firewalls zu befassen, wenn Sie eine Implementierung eines Firewall-Monitorings in Betracht ziehen. Das Thema würde an dieser Stelle den Rahmen dieses Artikels sprengen, ist aber als Best Practice für die Überwachung von Firewalls wichtig zu erwähnen.
Unabhängig davon, ob eine Linux- oder Windows-basierte Firewall im Einsatz ist, muss die Firewall-Software auf dem neuesten Stand sein. Die von Ihnen gewählte Monitoring-Lösung sollte in der Lage sein, eine veraltete Version zu melden. Um Risiken zu vermeiden und sicherzustellen, dass Ihre Firewall ihr volles Potenzial ausschöpft, sollten Sie außerdem sicherstellen, dass die Software regelmäßig aktualisiert wird.
Die Überwachung der Firewall ist kein Prozess, der einfach kontinuierlich abläuft und den man, wenn er einmal eingeführt und gestartet ist, ignorieren kann.
Es ist wichtig, regelmäßige Firewall-Sicherheitsaudits durchzuführen. Damit überprüft man, ob die Firewall-Regeln mit den Sicherheitsrichtlinien des Unternehmens und den Compliance-Anforderungen übereinstimmen. Dies wird durch ein ordnungsgemäßes Firewall-Monitoring erleichtert, wenn man es regelmäßig durchführt.
Das Firewall-Monitoring kann erkennen, wenn eine neue oder geänderte Regel irgendwo in Ihrem Netzwerk unerwünschte Ports öffnet, aber die Konsequenzen daraus müssen Sie selbst ziehen. Anstatt Regeländerungen in der Produktion anzuwenden, ist es besser, dies in einer Testumgebung zu tun. Überwachen Sie die Firewall auch dort, bevor Sie die Änderungen in die Produktion übernehmen. Schon wenige Minuten mit einer ungetesteten Firewall-Regel können für die meisten Unternehmen ein zu großes Sicherheitsrisiko bedeuten.
Wie wählt man eine Software zum Firewall-Monitoring aus?
Die Wahl der richtigen Firewall-Überwachungssoftware wird in erster Linie von den Firewalls in Ihrer Infrastuktur bestimmt. Bei Firewalls handelt es sich sowohl um Hardware als auch um Software, und die Monitoring-Lösung muss auf jeden Fall die in Ihrem Netzwerk vorhandenen Firewalls unterstützen. Hardware-Firewalls sind spezielle Geräte, die von den meisten Firewall-Überwachungslösungen unterstützt werden. Wenn dies nicht der Fall ist, sollten Sie sicherstellen, dass Sie sie, als letzte Möglichkeit, über SNMP überwachen können.
Unter Software-Firewalls versteht man solche, die mit Linux, anderen Unix-ähnlichen Betriebssystemen oder Windows geliefert werden. Das Monitoring von Windows-Firewalls hat ihre eigenen Anforderungen, die sich von denen von Linux, Solaris oder AIX unterscheiden. Unter diesen Systemen gibt es sogar mehrere Arten von Firewalls, und ein gutes Tool zur Überwachung von Firewalls muss in der Lage sein, alle zu überwachen. Das Monitoring einer Windows-Firewall bedeutet zumindest die Überwachung der Windows-Defender-Firewall, die mit Windows selbst geliefert wird. Es gibt zudem viele proprietäre und Open-Source-Alternativen mit eigenen Methoden zur Festlegung von Regeln und zum Blockieren von Datenverkehr.
Die Überwachung virtueller Maschinen beinhaltet auch die Überprüfung ihrer Firewalls. In den meisten Umgebungen gibt es virtuelle Maschinen, die einer Reihe von Zwecken dienen, und diese sind natürlich in das Netzwerk integriert, in dem sie laufen. Die Überwachung der Firewall einer virtuellen Maschine ist daher ein wichtiges Werkzeug, dass Sie in Ihrem Repertoire haben sollten.
Auch Cloud-Dienste haben ihre eigenen Netzwerke und entsprechende Cloud-Firewalls. Diese sind ein wesentlicher Bestandteil moderner Infrastrukturen und die Firewall-Monitoring-Software Ihrer Wahl muss diese logischerweise ebenfalls überwachen können.
Eine wichtige Funktion, die zwar nicht das eigentliche Monitoring verbessert, aber das Leben des Admin-Teams erleichtert, ist eine visuelle Schnittstelle, die den Status der Firewalls sofort erkennen lässt. Dies ist am besten mit einem speziellen Dashboard möglich, um die verschiedenen Firewall zu überprüfen und so auf einen Blick zu sehen, ob etwas nicht in Ordnung ist oder es ein Problem gibt. Das detaillierte Monitoring der Firewall-Logs und -Regeln sollte ebenfalls in das Monitoring-Dashboard integriert sein, damit man alles einfach überblicken kann.
FAQ
Unter Firewall-Log-Monitoring versteht man die Überprüfung der von einer Firewall erstellten Log-Dateien. Sowohl Software- als auch Hardware-Firewalls erzeugen normalerweise Logs, die eine Fülle von Informationen über die Funktionsweise der Firewall enthalten. Bei der Firewall-Überwachung ist die Analyse solcher Logs ein wichtiger Schritt, um einen tieferen Einblick in die implementierten Firewalls zu gewinnen.
Unter Nagios-Firewall-Überwachung versteht man die Überwachung einer Firewall mit Nagios, der Netzwerküberwachungsanwendung, auf der Checkmk ursprünglich basiert. Mit Nagios lassen sich sowohl Software- (z. B. die Windows-Firewall) als auch Hardware-Firewalls überwachen.
Das Monitoring von Cisco-Firewalls bezieht sich auf die Überprüfung des Status und die Erfassung von Metriken von gängigen Cisco-Firewalls, wie z. B. Cisco ASA. Die Überwachung über SNMP ist immer eine Option, eine Firewall-Monitoring-Software sollte diese speziell unterstützen, wie z. B. Checkmk mit seinen Cisco-ASA-Plugins.