Praxistipp: Benutzergruppen anlegen

Neben den technischen Lösungen sind aber auch Sicherheitsprozesse und Compliance-Regeln wichtig, wie uns der Cybersecurity-Consultant bei Axians IT Solutions, Fabian Funk, sagte. "Denn die Technologie kann immer nur so gut schützen, wie sie auf das jeweilige Unternehmen abgestimmt ist. Sicherheitsexperten müssen sich deshalb schon vor der Einführung damit beschäftigen, welche Anforderungen sie an die Firewall-Lösung stellen." Bei der Entscheidung für eine Firewall spielten Kostenargumente im Übrigen eine immer geringere Rolle. "Wer den Chef von einer Firewall überzeugen muss, sollte in erster Linie damit argumentieren, dass effizientes Arbeiten mit neuen Services nur funktioniert, wenn diese auch sicher sind."

Stellenmarkt
  1. IT-Anwendungsbetreuer (m/w/d), Schwerpunkt ERP-System
    Polymer-Technik Elbe, Wittenberg
  2. IT Service Manager Capacity Management (w/m/d)
    EnBW Energie Baden-Württemberg AG, Karlsruhe
Detailsuche

Was praktische Erfahrungen mit der Konfiguration neuer Firewalls beim Kunden angeht, sagte uns Funk: "Bei der Implementierung neuer Sicherheitslösungen ergibt es oft Sinn, das jeweilige Produkt transparent einzurichten. Auf diese Weise behindern die neuen Regeln die tägliche Arbeit in der Testphase nicht." Alternativ sei es aber auch möglich, die Policies nur auf bestimmten Clients zu testen, etwa dadurch, dass man bei ihnen das Standard-Gateway auf die neue Firewall einstellt und bei den restlichen Endpoints erst einmal auf dem Router belässt.

Ein weiterer Tipp: Benutzergruppen anzulegen und die Firewall-Regeln auf Systemen, die das unterstützen, dann abhängig von der Gruppenmitgliedschaft zu definieren. In der Praxis sollte die Identifizierung der Benutzer transparent verlaufen, also ohne dezidierte Benutzeranmeldung. Dafür stehen agentenbasierte Lösungen zur Verfügung oder es wird eine Kerberos-Authentifizierung unterstützt.

Für SSL-Sitzungen ist laut Funk grundsätzlich keine Inhaltsfilterung möglich. Um es trotzdem zu tun, kann der SSL-Verkehr aber aufgebrochen werden.

Golem Akademie
  1. Microsoft 365 Security Workshop
    9.-11. Juni 2021, Online
  2. Penetration Testing Fundamentals
    23.-24. September 2021, online
Weitere IT-Trainings

Dabei gibt es jedoch diverse Fallstricke: Es wird ein CA-Zertifikat benötigt, das eine unternehmensweite Gültigkeit besitzt. Mit ihm wird für jede Webseite ein passendes SSL-Zertifikat generiert. Die Verschlüsselung läuft dann intern zwischen dem Client und der Firewall sowie extern zwischen der Firewall und der aufgerufenen Webseite.

  • Die Barracuda Cloud-Gen-Firewall ist eine Familie von physischen, virtuellen und cloudbasierten Appliances, die verteilte Netzwerkinfrastrukturen schützen und leistungsoptimieren. (Bild: Barracuda)
  • Die Barracuda Cloud-Gen-Firewall F600 (Bild: Barracuda)
  • Fabian Funk, IT-Consultant im Bereich Cybersecurity bei Axians IT Solutions (Bild: Axians IT Solutions)
  • Die Firebox-Lösungen von Watchguard stehen für alle Netzwerkgrößen zur Verfügung. (Bild: Watchguard)
  • Eine typische Firewall-Regel, die auf einem Lancom-System DNS- und NTP-Anfragen aus dem lokalen Netz auf die Firewall-Appliance erlaubt (Bild: Lancom/Screenshot Golem.de)
  • Umfassende Dashboards gehören heute zum Leistungsumfang moderner Firewall-Lösungen. (Bild: Watchguard/Screenshot Golem.de)
  • Firewalls der ZyWALL ATP-Serie von Zyxel (Bild: Zyxel)
Umfassende Dashboards gehören heute zum Leistungsumfang moderner Firewall-Lösungen. (Bild: Watchguard/Screenshot Golem.de)

Auf diese Weise hat die Firewall Zugriff auf den unverschlüsselten Verkehr und kann ihn unter die Lupe nehmen. Für manche Webseiten, beispielsweise beim Banking, darf die Verschlüsselung nicht aufgebrochen werden. Insbesondere für Suchseiten sollte SSL Interception aber aktiv sein, da sich dann gegebenenfalls auch die Safesearch aktivieren lässt. Oft wird die Vorschau von Google missbraucht, um den Webfilter zu umgehen, denn die Google-Suche zeigt auch ansonsten gesperrte Webseiten an. Im Idealfall erlaubt man nur bestimmte Suchseiten, auf denen die Safesearch erzwungen wird.

Regelkonfigurationen immer wieder überprüfen

Firewalls stellen den wichtigsten Baustein eines IT-Sicherheitskonzepts dar. Sie sind für den Schutz der Unternehmensdaten absolut unverzichtbar. Die IT-Verantwortlichen dürfen sich aber nicht auf der Implementierung einer Firewall-Lösung ausruhen, sondern müssen auch ihre Sicherheitsprozesse im Auge behalten und besonders anfällige Dienste, wie Mail-Server, separat schützen.

Außerdem ergibt es Sinn, die bestehende Regelkonfiguration immer wieder unter die Lupe zu nehmen und Policies zu entfernen, die überflüssig geworden sind, etwa weil der dazugehörige Dienst im Unternehmen gar nicht mehr genutzt wird.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
 Der Router ist eine Türkette, die Firewall eine Hochsicherheitstür
  1.  
  2. 1
  3. 2
  4. 3
  5. 4


Aktuell auf der Startseite von Golem.de
Frommer Legal
Große Abmahnwelle wegen Filesharing in Deutschland

Mehrere Zehntausend Menschen suchen derzeit Hilfe bei einer Anwaltskanzlei, weil sie wegen angeblich illegalem Filesharing abgemahnt wurden.

Frommer Legal: Große Abmahnwelle wegen Filesharing in Deutschland
Artikel
  1. Autonomes Fahren: Amazon kauft Systeme für selbstfahrende Lkw
    Autonomes Fahren
    Amazon kauft Systeme für selbstfahrende Lkw

    Der Internetkonzern Amazon will in ein Startup für autonomes Fahren investieren.

  2. Kriminalität: Dresdnerin wegen Mordauftrag im Darknet angeklagt
    Kriminalität
    Dresdnerin wegen Mordauftrag im Darknet angeklagt

    Eine 41-Jährige aus Dresden ist angeklagt, im Darknet einen Mord in Auftrag gegeben zu haben. Für die Ermordung der neuen Freundin ihres Ex-Mannes soll sie 0,2 Bitcoin geboten haben.

  3. Kim Schmitz' Lebensgeschichte: Die Dotcom-Blase
    Kim Schmitz' Lebensgeschichte
    Die Dotcom-Blase

    Glaubt man seiner Autobiografie, wollte Kim Schmitz als Jugendlicher einfach nur raus aus seinem Leben. Also schuf er sich ein neues: als Kim Dotcom.
    Von Stephan Skrobisch

Neuro-Chef 31. Okt 2019

Die werden Mail- und Webserver auch nicht lokal betreiben, sondern beim Hoster...

Neuro-Chef 31. Okt 2019

Wenn man beides zusammensteckt, haben die Server nicht nur (irgend)eine...

Neuro-Chef 31. Okt 2019

Sonst verdienen die armen Hersteller ja nichts an ihrer so schon teuren Hardware.. ;)

spoink 16. Okt 2019

Vorweg - man merkt durch und durch das, was du im letzten Absatz selbst beschreibst, aber...

zuschauer 14. Okt 2019

Dann kennst Du ja beide "Lager"... Wenn die Arbeit interessant und spannend ist - und...


Folgen Sie uns
       


Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Schnäppchen • Amazon Prime Day nur noch heute • SSD (u. a. Samsung 980 Pro 1TB PCIe 4.0 140,19€) • Gaming-Laptops von Razer & MSI • Crucial 32GB Kit 4000MHz 269,79€ • 30% auf Warehouse • Surface Pro 7 664,05€ • Monitore (u. a. Acer 27" WQHD 144Hz 259€) • Gaming-Chairs • Gönn dir Dienstag [Werbung]
    •  /