Praxistipp: Benutzergruppen anlegen

Neben den technischen Lösungen sind aber auch Sicherheitsprozesse und Compliance-Regeln wichtig, wie uns der Cybersecurity-Consultant bei Axians IT Solutions, Fabian Funk, sagte. "Denn die Technologie kann immer nur so gut schützen, wie sie auf das jeweilige Unternehmen abgestimmt ist. Sicherheitsexperten müssen sich deshalb schon vor der Einführung damit beschäftigen, welche Anforderungen sie an die Firewall-Lösung stellen." Bei der Entscheidung für eine Firewall spielten Kostenargumente im Übrigen eine immer geringere Rolle. "Wer den Chef von einer Firewall überzeugen muss, sollte in erster Linie damit argumentieren, dass effizientes Arbeiten mit neuen Services nur funktioniert, wenn diese auch sicher sind."

Stellenmarkt
  1. Frontend Developer (m/w/d) UI/UX
    consistec Engineering & Consulting GmbH, Saarbrücken
  2. Informatiker*in (m/w/d) Schwerpunkt Gesundheitstelematik
    KBV Kassenärztliche Bundesvereinigung, Berlin
Detailsuche

Was praktische Erfahrungen mit der Konfiguration neuer Firewalls beim Kunden angeht, sagte uns Funk: "Bei der Implementierung neuer Sicherheitslösungen ergibt es oft Sinn, das jeweilige Produkt transparent einzurichten. Auf diese Weise behindern die neuen Regeln die tägliche Arbeit in der Testphase nicht." Alternativ sei es aber auch möglich, die Policies nur auf bestimmten Clients zu testen, etwa dadurch, dass man bei ihnen das Standard-Gateway auf die neue Firewall einstellt und bei den restlichen Endpoints erst einmal auf dem Router belässt.

Ein weiterer Tipp: Benutzergruppen anzulegen und die Firewall-Regeln auf Systemen, die das unterstützen, dann abhängig von der Gruppenmitgliedschaft zu definieren. In der Praxis sollte die Identifizierung der Benutzer transparent verlaufen, also ohne dezidierte Benutzeranmeldung. Dafür stehen agentenbasierte Lösungen zur Verfügung oder es wird eine Kerberos-Authentifizierung unterstützt.

Für SSL-Sitzungen ist laut Funk grundsätzlich keine Inhaltsfilterung möglich. Um es trotzdem zu tun, kann der SSL-Verkehr aber aufgebrochen werden.

Golem Akademie
  1. LPI DevOps Tools Engineer – Prüfungsvorbereitung: virtueller Zwei-Tage-Workshop
    21./22.07.2022, Virtuell
  2. Hands-on C# Programmierung: virtueller Zwei-Tage-Workshop
    09./10.06.2022, virtuell
Weitere IT-Trainings

Dabei gibt es jedoch diverse Fallstricke: Es wird ein CA-Zertifikat benötigt, das eine unternehmensweite Gültigkeit besitzt. Mit ihm wird für jede Webseite ein passendes SSL-Zertifikat generiert. Die Verschlüsselung läuft dann intern zwischen dem Client und der Firewall sowie extern zwischen der Firewall und der aufgerufenen Webseite.

  • Die Barracuda Cloud-Gen-Firewall ist eine Familie von physischen, virtuellen und cloudbasierten Appliances, die verteilte Netzwerkinfrastrukturen schützen und leistungsoptimieren. (Bild: Barracuda)
  • Die Barracuda Cloud-Gen-Firewall F600 (Bild: Barracuda)
  • Fabian Funk, IT-Consultant im Bereich Cybersecurity bei Axians IT Solutions (Bild: Axians IT Solutions)
  • Die Firebox-Lösungen von Watchguard stehen für alle Netzwerkgrößen zur Verfügung. (Bild: Watchguard)
  • Eine typische Firewall-Regel, die auf einem Lancom-System DNS- und NTP-Anfragen aus dem lokalen Netz auf die Firewall-Appliance erlaubt (Bild: Lancom/Screenshot Golem.de)
  • Umfassende Dashboards gehören heute zum Leistungsumfang moderner Firewall-Lösungen. (Bild: Watchguard/Screenshot Golem.de)
  • Firewalls der ZyWALL ATP-Serie von Zyxel (Bild: Zyxel)
Umfassende Dashboards gehören heute zum Leistungsumfang moderner Firewall-Lösungen. (Bild: Watchguard/Screenshot Golem.de)

Auf diese Weise hat die Firewall Zugriff auf den unverschlüsselten Verkehr und kann ihn unter die Lupe nehmen. Für manche Webseiten, beispielsweise beim Banking, darf die Verschlüsselung nicht aufgebrochen werden. Insbesondere für Suchseiten sollte SSL Interception aber aktiv sein, da sich dann gegebenenfalls auch die Safesearch aktivieren lässt. Oft wird die Vorschau von Google missbraucht, um den Webfilter zu umgehen, denn die Google-Suche zeigt auch ansonsten gesperrte Webseiten an. Im Idealfall erlaubt man nur bestimmte Suchseiten, auf denen die Safesearch erzwungen wird.

Regelkonfigurationen immer wieder überprüfen

Firewalls stellen den wichtigsten Baustein eines IT-Sicherheitskonzepts dar. Sie sind für den Schutz der Unternehmensdaten absolut unverzichtbar. Die IT-Verantwortlichen dürfen sich aber nicht auf der Implementierung einer Firewall-Lösung ausruhen, sondern müssen auch ihre Sicherheitsprozesse im Auge behalten und besonders anfällige Dienste, wie Mail-Server, separat schützen.

Außerdem ergibt es Sinn, die bestehende Regelkonfiguration immer wieder unter die Lupe zu nehmen und Policies zu entfernen, die überflüssig geworden sind, etwa weil der dazugehörige Dienst im Unternehmen gar nicht mehr genutzt wird.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
 Der Router ist eine Türkette, die Firewall eine Hochsicherheitstür
  1.  
  2. 1
  3. 2
  4. 3
  5. 4
Reklame: Hier geht es zu Hacking & Security: Das umfassende Handbuch bei Amazon
Meistgelesen
artikel-bild
Ebay-Kleinanzeigen
Im Chat mit den Phishing-Betrügern
artikel-bild
Strange New Worlds Folge 1 bis 3
Star Trek - The Latest Generation
artikel-bild
Hyundai Ioniq 5 und Kia EV6
Tausende Elektroautos müssen in die Werkstatt
Kommentarübersicht
Re: Schlangenöl!
Neuro-Chef 31. Okt 2019

Die werden Mail- und Webserver auch nicht lokal betreiben, sondern beim Hoster...

Re: nicht Firewalls sondern Managed Switche
Neuro-Chef 31. Okt 2019

Wenn man beides zusammensteckt, haben die Server nicht nur (irgend)eine...

Und ganz wichtig: Nur mit Abo-Lizenz kaufen!
Neuro-Chef 31. Okt 2019

Sonst verdienen die armen Hersteller ja nichts an ihrer so schon teuren Hardware.. ;)

Re: Was ein Käse...
spoink 16. Okt 2019

Vorweg - man merkt durch und durch das, was du im letzten Absatz selbst beschreibst, aber...

Aktuell auf der Startseite von Golem.de
LG HU915QE
Laserprojektor erzeugt 90-Zoll-Bild aus 5,6 cm Entfernung

LG hat einen Kurzdistanzprojektor mit Lasertechnik vorgestellt. Der HU915QE erzeugt ein riesiges Bild und steht dabei fast an der Wand.

LG HU915QE: Laserprojektor erzeugt 90-Zoll-Bild aus 5,6 cm Entfernung
Artikel
  1. Verkaufsstart des 9-Euro-Tickets: Was Fahrgäste wissen müssen
    Verkaufsstart des 9-Euro-Tickets
    Was Fahrgäste wissen müssen

    Das 9-Euro-Ticket für den ÖPNV ist beschlossene Sache, Verkehrsverbünde und -unternehmen sehen sich auf den Verkaufsstart in diesen Tagen gut vorbereitet. Doch es gibt viele offene Fragen.

  2. Sexualisierte Gewalt gegen Kinder: Bundesinnenministerin Faeser ändert Ansicht zu Chatkontrolle
    Sexualisierte Gewalt gegen Kinder
    Bundesinnenministerin Faeser ändert Ansicht zu Chatkontrolle

    Ursprünglich hat die Sozialdemokratin die geplante EU-Überwachung des Internets befürwortet. Nun sagt sie etwas anderes zur Chatkontrolle.

  3. LTE-Patent: Ford droht Verkaufs- und Produktionsverbot in Deutschland
    LTE-Patent
    Ford droht Verkaufs- und Produktionsverbot in Deutschland

    Ford fehlen Mobilfunk-Patentlizenzen, weshalb das Landgericht München eine drastische Entscheidung gefällt hat. Autos droht sogar die Vernichtung.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Stellemarkt-Logo
Zur Akademie
Akademie-Logo
Zum Coaching
Shifoo-Logo
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Acer Predator X38S (UWQHD, 175 Hz OC) 1.499€ • MindStar (u. a. AMD Ryzen 7 5700X 268€ und PowerColor RX 6750 XT Red Devil 609€ und RX 6900 XT Red Devil Ultimate 949€) • Alternate (u. a. Cooler Master Caliber R1 159,89€) • SanDisk Portable SSD 1 TB 81€ • Motorola Moto G60s 149€ [Werbung]
  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
 
    •  /