• IT-Karriere:
  • Services:

Praxistipp: Benutzergruppen anlegen

Neben den technischen Lösungen sind aber auch Sicherheitsprozesse und Compliance-Regeln wichtig, wie uns der Cybersecurity-Consultant bei Axians IT Solutions, Fabian Funk, sagte. "Denn die Technologie kann immer nur so gut schützen, wie sie auf das jeweilige Unternehmen abgestimmt ist. Sicherheitsexperten müssen sich deshalb schon vor der Einführung damit beschäftigen, welche Anforderungen sie an die Firewall-Lösung stellen." Bei der Entscheidung für eine Firewall spielten Kostenargumente im Übrigen eine immer geringere Rolle. "Wer den Chef von einer Firewall überzeugen muss, sollte in erster Linie damit argumentieren, dass effizientes Arbeiten mit neuen Services nur funktioniert, wenn diese auch sicher sind."

Stellenmarkt
  1. August Storck KG, Halle (Westf.)
  2. Software AG, Darmstadt

Was praktische Erfahrungen mit der Konfiguration neuer Firewalls beim Kunden angeht, sagte uns Funk: "Bei der Implementierung neuer Sicherheitslösungen ergibt es oft Sinn, das jeweilige Produkt transparent einzurichten. Auf diese Weise behindern die neuen Regeln die tägliche Arbeit in der Testphase nicht." Alternativ sei es aber auch möglich, die Policies nur auf bestimmten Clients zu testen, etwa dadurch, dass man bei ihnen das Standard-Gateway auf die neue Firewall einstellt und bei den restlichen Endpoints erst einmal auf dem Router belässt.

Ein weiterer Tipp: Benutzergruppen anzulegen und die Firewall-Regeln auf Systemen, die das unterstützen, dann abhängig von der Gruppenmitgliedschaft zu definieren. In der Praxis sollte die Identifizierung der Benutzer transparent verlaufen, also ohne dezidierte Benutzeranmeldung. Dafür stehen agentenbasierte Lösungen zur Verfügung oder es wird eine Kerberos-Authentifizierung unterstützt.

Für SSL-Sitzungen ist laut Funk grundsätzlich keine Inhaltsfilterung möglich. Um es trotzdem zu tun, kann der SSL-Verkehr aber aufgebrochen werden.

Dabei gibt es jedoch diverse Fallstricke: Es wird ein CA-Zertifikat benötigt, das eine unternehmensweite Gültigkeit besitzt. Mit ihm wird für jede Webseite ein passendes SSL-Zertifikat generiert. Die Verschlüsselung läuft dann intern zwischen dem Client und der Firewall sowie extern zwischen der Firewall und der aufgerufenen Webseite.

  • Die Barracuda Cloud-Gen-Firewall ist eine Familie von physischen, virtuellen und cloudbasierten Appliances, die verteilte Netzwerkinfrastrukturen schützen und leistungsoptimieren. (Bild: Barracuda)
  • Die Barracuda Cloud-Gen-Firewall F600 (Bild: Barracuda)
  • Fabian Funk, IT-Consultant im Bereich Cybersecurity bei Axians IT Solutions (Bild: Axians IT Solutions)
  • Die Firebox-Lösungen von Watchguard stehen für alle Netzwerkgrößen zur Verfügung. (Bild: Watchguard)
  • Eine typische Firewall-Regel, die auf einem Lancom-System DNS- und NTP-Anfragen aus dem lokalen Netz auf die Firewall-Appliance erlaubt (Bild: Lancom/Screenshot Golem.de)
  • Umfassende Dashboards gehören heute zum Leistungsumfang moderner Firewall-Lösungen. (Bild: Watchguard/Screenshot Golem.de)
  • Firewalls der ZyWALL ATP-Serie von Zyxel (Bild: Zyxel)
Umfassende Dashboards gehören heute zum Leistungsumfang moderner Firewall-Lösungen. (Bild: Watchguard/Screenshot Golem.de)

Auf diese Weise hat die Firewall Zugriff auf den unverschlüsselten Verkehr und kann ihn unter die Lupe nehmen. Für manche Webseiten, beispielsweise beim Banking, darf die Verschlüsselung nicht aufgebrochen werden. Insbesondere für Suchseiten sollte SSL Interception aber aktiv sein, da sich dann gegebenenfalls auch die Safesearch aktivieren lässt. Oft wird die Vorschau von Google missbraucht, um den Webfilter zu umgehen, denn die Google-Suche zeigt auch ansonsten gesperrte Webseiten an. Im Idealfall erlaubt man nur bestimmte Suchseiten, auf denen die Safesearch erzwungen wird.

Regelkonfigurationen immer wieder überprüfen

Firewalls stellen den wichtigsten Baustein eines IT-Sicherheitskonzepts dar. Sie sind für den Schutz der Unternehmensdaten absolut unverzichtbar. Die IT-Verantwortlichen dürfen sich aber nicht auf der Implementierung einer Firewall-Lösung ausruhen, sondern müssen auch ihre Sicherheitsprozesse im Auge behalten und besonders anfällige Dienste, wie Mail-Server, separat schützen.

Außerdem ergibt es Sinn, die bestehende Regelkonfiguration immer wieder unter die Lupe zu nehmen und Policies zu entfernen, die überflüssig geworden sind, etwa weil der dazugehörige Dienst im Unternehmen gar nicht mehr genutzt wird.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
 Der Router ist eine Türkette, die Firewall eine Hochsicherheitstür
  1.  
  2. 1
  3. 2
  4. 3
  5. 4


Anzeige
Spiele-Angebote
  1. (-20%) 47,99€
  2. 25,99€
  3. 69,99€
  4. (-67%) 7,59€

Neuro-Chef 31. Okt 2019

Die werden Mail- und Webserver auch nicht lokal betreiben, sondern beim Hoster...

Neuro-Chef 31. Okt 2019

Wenn man beides zusammensteckt, haben die Server nicht nur (irgend)eine...

Neuro-Chef 31. Okt 2019

Sonst verdienen die armen Hersteller ja nichts an ihrer so schon teuren Hardware.. ;)

spoink 16. Okt 2019

Vorweg - man merkt durch und durch das, was du im letzten Absatz selbst beschreibst, aber...

zuschauer 14. Okt 2019

Dann kennst Du ja beide "Lager"... Wenn die Arbeit interessant und spannend ist - und...


Folgen Sie uns
       


DLR Istar vorgestellt - Bericht

Die Falcon 2000LX des DLR hat weltweit einzigartige Eigenschaft: sie kann so tun, als wäre sie ein anderes Flugzeug.

DLR Istar vorgestellt - Bericht Video aufrufen
Alternatives Android im Test: /e/ will Google ersetzen
Alternatives Android im Test
/e/ will Google ersetzen

Wie Google, nur mit Privatsphäre - /e/ verbindet ein alternatives Android mit Cloudfunktionen und einer Suchmaschine.
Ein Test von Moritz Tremmel


    Coronakrise: Hardware-Industrie auf dem Weg der Besserung
    Coronakrise
    Hardware-Industrie auf dem Weg der Besserung

    Fast alle Fabriken für Hardware laufen wieder - trotz verlängertem Chinese New Year. Bei Launches und Lieferengpässen sieht es anders aus.
    Ein Bericht von Marc Sauter

    1. Kaufberatung (2020) Die richtige CPU und Grafikkarte
    2. SSDs Intel arbeitet an 144-Schicht-Speicher und 5-Bit-Zellen

    Star Trek - Der Film: Immer Ärger mit Roddenberry
    Star Trek - Der Film
    Immer Ärger mit Roddenberry

    Verworfene Drehbücher, unzufriedene Paramount-Chefs und ein zögerlicher Spock: Dass der erste Star-Trek-Film vor 40 Jahren schließlich doch in die Kinos kam, grenzt an ein Wunder. Dass er schön aussieht, noch mehr.
    Von Peter Osteried

    1. Machine Learning Fan überarbeitet Star Trek Voyager in 4K
    2. Star Trek - Picard Hasenpizza mit Jean-Luc
    3. Star Trek Voyager Starke Frauen und schwache Gegner

      •  /