Praxistipp: Benutzergruppen anlegen
Neben den technischen Lösungen sind aber auch Sicherheitsprozesse und Compliance-Regeln wichtig, wie uns der Cybersecurity-Consultant bei Axians IT Solutions, Fabian Funk, sagte. "Denn die Technologie kann immer nur so gut schützen, wie sie auf das jeweilige Unternehmen abgestimmt ist. Sicherheitsexperten müssen sich deshalb schon vor der Einführung damit beschäftigen, welche Anforderungen sie an die Firewall-Lösung stellen." Bei der Entscheidung für eine Firewall spielten Kostenargumente im Übrigen eine immer geringere Rolle. "Wer den Chef von einer Firewall überzeugen muss, sollte in erster Linie damit argumentieren, dass effizientes Arbeiten mit neuen Services nur funktioniert, wenn diese auch sicher sind."
Was praktische Erfahrungen mit der Konfiguration neuer Firewalls beim Kunden angeht, sagte uns Funk: "Bei der Implementierung neuer Sicherheitslösungen ergibt es oft Sinn, das jeweilige Produkt transparent einzurichten. Auf diese Weise behindern die neuen Regeln die tägliche Arbeit in der Testphase nicht." Alternativ sei es aber auch möglich, die Policies nur auf bestimmten Clients zu testen, etwa dadurch, dass man bei ihnen das Standard-Gateway auf die neue Firewall einstellt und bei den restlichen Endpoints erst einmal auf dem Router belässt.
Ein weiterer Tipp: Benutzergruppen anzulegen und die Firewall-Regeln auf Systemen, die das unterstützen, dann abhängig von der Gruppenmitgliedschaft zu definieren. In der Praxis sollte die Identifizierung der Benutzer transparent verlaufen, also ohne dezidierte Benutzeranmeldung. Dafür stehen agentenbasierte Lösungen zur Verfügung oder es wird eine Kerberos-Authentifizierung unterstützt.
Für SSL-Sitzungen ist laut Funk grundsätzlich keine Inhaltsfilterung möglich. Um es trotzdem zu tun, kann der SSL-Verkehr aber aufgebrochen werden.
Dabei gibt es jedoch diverse Fallstricke: Es wird ein CA-Zertifikat benötigt, das eine unternehmensweite Gültigkeit besitzt. Mit ihm wird für jede Webseite ein passendes SSL-Zertifikat generiert. Die Verschlüsselung läuft dann intern zwischen dem Client und der Firewall sowie extern zwischen der Firewall und der aufgerufenen Webseite.
Auf diese Weise hat die Firewall Zugriff auf den unverschlüsselten Verkehr und kann ihn unter die Lupe nehmen. Für manche Webseiten, beispielsweise beim Banking, darf die Verschlüsselung nicht aufgebrochen werden. Insbesondere für Suchseiten sollte SSL Interception aber aktiv sein, da sich dann gegebenenfalls auch die Safesearch aktivieren lässt. Oft wird die Vorschau von Google missbraucht, um den Webfilter zu umgehen, denn die Google-Suche zeigt auch ansonsten gesperrte Webseiten an. Im Idealfall erlaubt man nur bestimmte Suchseiten, auf denen die Safesearch erzwungen wird.
Regelkonfigurationen immer wieder überprüfen
Firewalls stellen den wichtigsten Baustein eines IT-Sicherheitskonzepts dar. Sie sind für den Schutz der Unternehmensdaten absolut unverzichtbar. Die IT-Verantwortlichen dürfen sich aber nicht auf der Implementierung einer Firewall-Lösung ausruhen, sondern müssen auch ihre Sicherheitsprozesse im Auge behalten und besonders anfällige Dienste, wie Mail-Server, separat schützen.
Außerdem ergibt es Sinn, die bestehende Regelkonfiguration immer wieder unter die Lupe zu nehmen und Policies zu entfernen, die überflüssig geworden sind, etwa weil der dazugehörige Dienst im Unternehmen gar nicht mehr genutzt wird.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
- ohne Werbung
- mit ausgeschaltetem Javascript
- mit RSS-Volltext-Feed
Der Router ist eine Türkette, die Firewall eine Hochsicherheitstür |
Die werden Mail- und Webserver auch nicht lokal betreiben, sondern beim Hoster...
Wenn man beides zusammensteckt, haben die Server nicht nur (irgend)eine...
Sonst verdienen die armen Hersteller ja nichts an ihrer so schon teuren Hardware.. ;)
Vorweg - man merkt durch und durch das, was du im letzten Absatz selbst beschreibst, aber...