• IT-Karriere:
  • Services:

Praxistipp: Benutzergruppen anlegen

Neben den technischen Lösungen sind aber auch Sicherheitsprozesse und Compliance-Regeln wichtig, wie uns der Cybersecurity-Consultant bei Axians IT Solutions, Fabian Funk, sagte. "Denn die Technologie kann immer nur so gut schützen, wie sie auf das jeweilige Unternehmen abgestimmt ist. Sicherheitsexperten müssen sich deshalb schon vor der Einführung damit beschäftigen, welche Anforderungen sie an die Firewall-Lösung stellen." Bei der Entscheidung für eine Firewall spielten Kostenargumente im Übrigen eine immer geringere Rolle. "Wer den Chef von einer Firewall überzeugen muss, sollte in erster Linie damit argumentieren, dass effizientes Arbeiten mit neuen Services nur funktioniert, wenn diese auch sicher sind."

Stellenmarkt
  1. Allianz Deutschland AG, München
  2. Verbraucherportal Deutschland GmbH, München

Was praktische Erfahrungen mit der Konfiguration neuer Firewalls beim Kunden angeht, sagte uns Funk: "Bei der Implementierung neuer Sicherheitslösungen ergibt es oft Sinn, das jeweilige Produkt transparent einzurichten. Auf diese Weise behindern die neuen Regeln die tägliche Arbeit in der Testphase nicht." Alternativ sei es aber auch möglich, die Policies nur auf bestimmten Clients zu testen, etwa dadurch, dass man bei ihnen das Standard-Gateway auf die neue Firewall einstellt und bei den restlichen Endpoints erst einmal auf dem Router belässt.

Ein weiterer Tipp: Benutzergruppen anzulegen und die Firewall-Regeln auf Systemen, die das unterstützen, dann abhängig von der Gruppenmitgliedschaft zu definieren. In der Praxis sollte die Identifizierung der Benutzer transparent verlaufen, also ohne dezidierte Benutzeranmeldung. Dafür stehen agentenbasierte Lösungen zur Verfügung oder es wird eine Kerberos-Authentifizierung unterstützt.

Für SSL-Sitzungen ist laut Funk grundsätzlich keine Inhaltsfilterung möglich. Um es trotzdem zu tun, kann der SSL-Verkehr aber aufgebrochen werden.

Dabei gibt es jedoch diverse Fallstricke: Es wird ein CA-Zertifikat benötigt, das eine unternehmensweite Gültigkeit besitzt. Mit ihm wird für jede Webseite ein passendes SSL-Zertifikat generiert. Die Verschlüsselung läuft dann intern zwischen dem Client und der Firewall sowie extern zwischen der Firewall und der aufgerufenen Webseite.

  • Die Barracuda Cloud-Gen-Firewall ist eine Familie von physischen, virtuellen und cloudbasierten Appliances, die verteilte Netzwerkinfrastrukturen schützen und leistungsoptimieren. (Bild: Barracuda)
  • Die Barracuda Cloud-Gen-Firewall F600 (Bild: Barracuda)
  • Fabian Funk, IT-Consultant im Bereich Cybersecurity bei Axians IT Solutions (Bild: Axians IT Solutions)
  • Die Firebox-Lösungen von Watchguard stehen für alle Netzwerkgrößen zur Verfügung. (Bild: Watchguard)
  • Eine typische Firewall-Regel, die auf einem Lancom-System DNS- und NTP-Anfragen aus dem lokalen Netz auf die Firewall-Appliance erlaubt (Bild: Lancom/Screenshot Golem.de)
  • Umfassende Dashboards gehören heute zum Leistungsumfang moderner Firewall-Lösungen. (Bild: Watchguard/Screenshot Golem.de)
  • Firewalls der ZyWALL ATP-Serie von Zyxel (Bild: Zyxel)
Umfassende Dashboards gehören heute zum Leistungsumfang moderner Firewall-Lösungen. (Bild: Watchguard/Screenshot Golem.de)

Auf diese Weise hat die Firewall Zugriff auf den unverschlüsselten Verkehr und kann ihn unter die Lupe nehmen. Für manche Webseiten, beispielsweise beim Banking, darf die Verschlüsselung nicht aufgebrochen werden. Insbesondere für Suchseiten sollte SSL Interception aber aktiv sein, da sich dann gegebenenfalls auch die Safesearch aktivieren lässt. Oft wird die Vorschau von Google missbraucht, um den Webfilter zu umgehen, denn die Google-Suche zeigt auch ansonsten gesperrte Webseiten an. Im Idealfall erlaubt man nur bestimmte Suchseiten, auf denen die Safesearch erzwungen wird.

Regelkonfigurationen immer wieder überprüfen

Firewalls stellen den wichtigsten Baustein eines IT-Sicherheitskonzepts dar. Sie sind für den Schutz der Unternehmensdaten absolut unverzichtbar. Die IT-Verantwortlichen dürfen sich aber nicht auf der Implementierung einer Firewall-Lösung ausruhen, sondern müssen auch ihre Sicherheitsprozesse im Auge behalten und besonders anfällige Dienste, wie Mail-Server, separat schützen.

Außerdem ergibt es Sinn, die bestehende Regelkonfiguration immer wieder unter die Lupe zu nehmen und Policies zu entfernen, die überflüssig geworden sind, etwa weil der dazugehörige Dienst im Unternehmen gar nicht mehr genutzt wird.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
 Der Router ist eine Türkette, die Firewall eine Hochsicherheitstür
  1.  
  2. 1
  3. 2
  4. 3
  5. 4
Reklame: Hier geht es zu Hacking & Security: Das umfassende Handbuch bei Amazon
Zu den Kommentaren springen
Ticker
  1. Flight Simulator

    Mehr Maschinen und frischer Flugplan für Virtual Reality

  2. 3D-Bilder

    Looking Glass präsentiert preiswerten Lichtfeldmonitor

  3. Eve-V zweite Generation

    Vorbestellung des neuen Surface-Pro-Klons beginnt

  4. Apple

    Nutzer beklagen Netzabbrüche beim iPhone 12

  5. Google, AWS, Xbox Insider, BMW

    Sonst noch was?

Meistgelesen
  1. Apple Silicon im Test
    Was der M1-Chip (nicht) kann
  2. Weltraumsimulation
    Ohne Fokus wird Star Citizen nie fertig
  3. Gehaltsauswertung für Golem.de
    Was IT-Fachleute verdienen
  4. TheC64 Maxi im Test
    Moderner Retro-Computer für C64-Nostalgiker
  5. 3D-Bilder
    Looking Glass präsentiert preiswerten Lichtfeldmonitor
Anzeige
Hardware-Angebote
  4. (reduzierte Überstände, Restposten & Co.)
Kommentarübersicht
Re: Schlangenöl!
Neuro-Chef 31. Okt 2019

Die werden Mail- und Webserver auch nicht lokal betreiben, sondern beim Hoster...

Re: nicht Firewalls sondern Managed Switche
Neuro-Chef 31. Okt 2019

Wenn man beides zusammensteckt, haben die Server nicht nur (irgend)eine...

Und ganz wichtig: Nur mit Abo-Lizenz kaufen!
Neuro-Chef 31. Okt 2019

Sonst verdienen die armen Hersteller ja nichts an ihrer so schon teuren Hardware.. ;)

Re: Was ein Käse...
spoink 16. Okt 2019

Vorweg - man merkt durch und durch das, was du im letzten Absatz selbst beschreibst, aber...

Re: Mächtige Werkzeuge: Surfen sperren
zuschauer 14. Okt 2019

Dann kennst Du ja beide "Lager"... Wenn die Arbeit interessant und spannend ist - und...

Folgen Sie uns
       
Audi RS E-Tron GT Probe gefahren

Audis E-Tron GT ist das bislang PS-stärkste RS-Modell auf dem Markt.

Audi RS E-Tron GT Probe gefahren Video aufrufen
Asus
Zenbook Flip UX371E im Test: Asus steht sich selbst im Weg
Zenbook Flip UX371E im Test
Asus steht sich selbst im Weg

Das Asus Zenbook Flip UX371E verbindet eines der besten OLED-Displays mit exzellenter Tastatur-Trackpad-Kombination. Wäre da nicht ein Aber.
Ein Test von Oliver Nickel

  1. Vivobook S14 S433 und S15 S513 Asus bringt Tiger-Lake-Notebooks ab 700 Euro
  2. Asus Expertbook P1 350-Euro-Notebook tauscht gutes Display gegen gesteckten RAM
  3. Asus Zenfone 7 kommt mit Dreifach-Klappkamera
iPhone 12
iPhone 12 Mini im Test: Leistungsstark, hochwertig, winzig
iPhone 12 Mini im Test
Leistungsstark, hochwertig, winzig

Mit dem iPhone 12 Mini komplettiert Apple seine Auswahl an aktuellen iPhones für alle Geschmäcker: Auf 5,4 Zoll sind hochwertige technischen Finessen vereint, ein besseres kleines Smartphone gibt es nicht.
Ein Test von Tobias Költzsch

  1. Apple Bauteile des iPhone 12 kosten 313 Euro
  2. Touchscreen und Hörgeräte iOS 14.2.1 beseitigt iPhone-12-Fehler
  3. iPhone Magsafe ist nicht gleich Magsafe
Retrogaming
No One Lives Forever: Ein Retrogamer stirbt nie
No One Lives Forever
Ein Retrogamer stirbt nie

Kompatibilitätsprobleme und schlimme Sprachausgabe - egal. Golem.de hat den 20 Jahre alten Shooter-Klassiker No One Lives Forever trotzdem neu gespielt.
Von Benedikt Plass-Fleßenkämper

  1. Heimcomputer Retro Games plant Amiga-500-Nachbau
  2. Klassische Spielkonzepte Retro, brandneu
  3. Gaming-Handheld Analogue Pocket erscheint erst 2021
  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
 
    •  /