Firewall im Unternehmen

Ein wichtiger Teil eines Audits ist die Kontrolle der Firewall. Denn die Firewall regelt den Datenverkehr in und aus ihrer Firma. In folgendem Blog werden die am häufigsten angetroffenen Schwachpunkte in Firewalls behandelt und wie Sie Ihre Firewall auf Vordermann bringen.

 

Redundanz

Gemäss IT-Verkäufer kann es vor allem im Serverbereich nie genug Redundanz geben. Unter Redundanz wird verstanden, dass ein gewisses Gerät oder eine Komponente gegen Ausfall geschützt wird indem zusätzliche Ressourcen als Reserve bereitgestellt werden, welche bei einem Ausfall automatisch übernehmen.

In den meisten Fällen wird mit Hot-Spare- oder einer N+1- bzw. Standby-Redundanz gearbeitet. Ein Beispiel für eine klassische Hot-Spare-Redundanz ist z.B. eine Hyper-V HA (High Availablilty) Installation. Die Hardware ist zweimal vorhanden und teilt sich im Normalbetrieb die Arbeitslast auf. Fällt ein System aus, ist das andere jedoch in der Lage die gesamte Arbeitslast zu übernehmen. Eine N+1- bzw. eine Standby-Redundanz ist die klassische Form der Redundanz. Ein Gerät erfüllt im Normalbetrieb die gesamte Arbeit, während ein weiteres Gerät im Standby-Modus auf seinen Einsatz wartet. Ein Beispiel für diese Form der Redundanz sind z.B. Geräte mit zwei Netzteilen.

Nun stellt sich jeder IT-Leiter die Frage: Brauche ich eine Redundanz bei der Firewall? Diese Frage kann mittels einer Anforderungs- und Verfügbarkeits-Analyse beantwortet werden. Ergibt diese, dass z.B. bereits nach zwei Stunden ohne Netzwerk effektive Kosten entstehen lohnt sich eine Redundanz auf jeden Fall. Wenn aber einen ganzen Tag ohne Netzwerk gearbeitet werden kann ist eine Redundanz nicht zwingend notwendig. Es muss jedoch mittels SLA mit dem externen IT-Dienstleister oder per Vertrag mit Lieferanten sichergestellt sein, dass innert definierter Frist ein fertig konfiguriertes Exemplar zur Verfügung steht.

 

Firmware

Auch Firewalls wollen auf einem aktuellen Stand gehalten werden. Oft gehen diese Updates aber vergessen und eines der kritischsten Netzwerkgeräte im Unternehmen arbeitet mit einer veralteten Firmware-Version.

Viele Hersteller bieten eine automatische Aktualisierung der Firewall an. So muss sich der IT-Administrator nicht mehr um dieses kümmern. Wir empfehlen jedoch Updates manuell, ca. eine Woche nach dem Release des Updates zu installieren. So ist sichergestellt, dass evtl. vorhandene Bugs in Updates nicht installiert werden. Dies gilt jedoch nicht für sicherheitskritische Updates. Diese sollten immer schnellstmöglich installiert werden. Einige Firewalls bieten auch die Möglichkeit, dass vorhandene Updates zwar automatisch heruntergeladen, aber nicht installiert werden. Optimalerweise wird der IT-Administrator in diesem Fall per E-Mail informiert. Dieser kann dann, falls es sich nicht, wie ober erwähnt, um ein kritisches Sicherheitsupdate handelt, dieses nach ca. einer Woche installieren.

Eine andere Möglichkeit wäre die Firewall dem monatlich fälligen Patch-Rhythmus hinzuzufügen. In einem solchen Patch-Plan sollten alle Geräte der IT-Infrastruktur erfasst und gepflegt werden. Nebst den klassischen Server-Updates muss aber auch auf Drittanbietersoftware sowie andere Geräte wie in unserem Fall die Firewall, geachtet werden.

 

Warum ist eine aktuelle Firmware so wichtig?

Welche Folgen eine veraltete Version haben kann, zeigten verschiedene Schwachstellen, welche in letzter Zeit zum Vorschein gekommen sind.

 

Administrator Konsole

IT-Administratoren möchten gerne immer und von überall her auf ihre Infrastruktur zugreifen. Kein Wunder also treffen die Auditoren der goSecurity GmbH oft Administrator-Panels an, welche frei im Internet verfügbar sind. Aus IT-sicherheitstechnischer Sicht sollten Administrations-Panels für systemkritische Geräte wie Firewalls nicht direkt aus dem Internet erreichbar sein. Falls die Konsole aber zwingend auch von remote erreichbar sein muss, kann sich der Administrator mittels VPN ins Firmennetzwerk verbinden und darüber regulär auf die Firewall zugreifen.

Ist die Administrations-Konsole aus dem Internet erreichbar, zieht diese viele Hacker (von Script-Kiddies bis professionellen Hackergruppen) an. Sobald eine Schwachstelle für das eingesetzte Produkt vorhanden ist, kann davon ausgegangen werden, dass unzählige Angriffe gegen die Firewall gefahren werden. Wie viele solcher Schwachstellen tatsächlich vorhanden sind wird im nachfolgenden Kapitel gezeigt.

Im internen Netzwerk kann der Zugriff ebenfalls mittels speziellen VLANs oder anderen Massnahmen eingeschränkt werden. Auch hier wird empfohlen stets mit einem offiziell ausgestellten Zertifikat zu arbeiten. Wird ein selbstsigniertes Zertifikat verwendet muss dieses auf dem entsprechenden Gerät installiert werden.

 

Firewall Regelwerk

Eines der am meisten angetroffenen Szenarien an Audits ist eine Firewall, die zwar sämtliche Zugriffe von extern blockiert, aber von intern nach extern keinerlei Einschränkungen konfiguriert hat. Sämtliche Clients sowie Server haben vollen Internetzugriff über alle 65535 Ports.

Allfällige Malware hat so keinerlei Probleme «nach Hause zu telefonieren». Ebenso kann ein Angreifer ohne Einschränkungen Daten abtransportieren, was, je nach Tätigkeitsfeld der entsprechenden Firma schwerwiegende Folgen haben kann.

Bei der Erstellung eines Firewall Regelwerks sollte darauf geachtet werden, dass als Grundsatz alles verboten wird. Im Regelfall erfolgt dies mittels der Regel «any – any – deny». So ist sichergestellt, dass sämtlicher Traffic geblockt wird, ausser dieser wird mittels entsprechender Firewall-Regel explizit erlaubt. Üblicherweise ist diese Regel auf vielen Firewalls standardmässig vorhanden. Weil dies aber nicht immer so ist, muss es zwingend überprüft werden. Um stets den Überblick über das firmeninterne Firewall-Regelwerk zu behalten ist mit einer ausführlichen Dokumentation bzw. einem Firewall-Konzept zu arbeiten.

Ein Firewall-Konzept dient dazu, Grundsätze und Anforderungen an die Firewall und der Internetverbindung festzuhalten. Genaue Informationen über eingesetzte Hard- bzw. Software oder andere technische Gegebenheiten sind nicht Bestandteil eines Firewall-Konzepts. So kann bei einer Neuanschaffung aufgrund des Firewall-Konzepts genau eruiert werden, ob ein Gerät die Anforderungen ans Business erfüllen oder nicht. Zu den oben erwähnten Grundsätzen gehören auch Grundregeln zur Konfiguration und Dokumentation.

Das Regelwerk der im Betrieb eingesetzten Firewall muss dokumentiert werden. Oft wird einfach eine Kopie der Firewall Konfiguration abgespeichert. Dies reicht aber nicht aus, da eine Dokumentation eine IT-Fachperson ohne Wissen über das Netzwerk befähigen muss, jede einzelne Regel nachzuvollziehen. Dazu muss klar sein, welche Regel wann, wofür, von wem und in wessen Auftrag erstellt wurde. Ebenfalls wird ein Gültigkeitszeitraum festgesetzt um bei Ablaufen einer Regel, welche z.B. für einen Test einer neuen Software konfiguriert wurde, nicht noch jahrelang aktiv bleibt.

Um stets den Überblick zu behalten empfiehlt sich ein jährliches Firewall-Review. Diese werden optimalerweise ebenfalls in Form eines Log-Buchs festgehalten. Ein weiterer, sehr wichtiger Punkt in der Dokumentation ist das Change-Management. Der Prozess eines Changes im Firewall-Regelwerk muss klar definiert sein und die Änderungen am Regelwerk müssen zu einem späteren Zeitpunkt problemlos nachvollzogen werden können.

 

Internetzugriff für Server

Beinahe immer treffen die Auditoren der goSecurity GmbH z.B. einen Datenbank-Server an, welcher über Internetzugriff verfügt. Server benötigen aber grundsätzlich keinen Internetzugriff. Ausnahmen stellen hier Server oder andere Netzwerkgeräte dar, welche zwingend Daten aus dem Internet empfangen oder senden müssen. In einem solchen Fall ist aber die Verbindung entsprechend einzuschränken. Braucht ein WSUS-Server beispielsweise Internetzugriff um Windows Updates herunterladen zu können, muss die Verbindung weitmöglichst eingeschränkt werden. So wird in einer Firewall-Regel definiert, dass der Server XY über Port XY zu den Update-Servern von Microsoft verbinden darf. Ansonsten werden aber keine Verbindungen zugelassen. Wie dies zu konfigurieren ist, wird in diesem Beitrag beschrieben.

 

VPN Konfigruation

VPN Konfigurationen in Firewalls sind oft IT-sicherheitstechnisch nicht auf dem heutigen Stand. Mehrheitlich sind Konfigurationen mit veralteten Hashverfahren wie SHA-1 oder gar MD5 und Verschlüsselungsalgotithmen mit 3DES im Einsatz. Diese sollten heutzutage nicht mehr verwendet werden und gelten alle als knackbar. Desweitern sind aktuelle Kombinationen mit SHA-256 und AES nicht nur um einiges sicherer, sondern auch performanter als oben genannte verwundbare Hashverfahren bzw. Verschlüsselungsalgorithmen. Eine komplette Liste mit allen Cipher Suites, welche zurzeit als sicher gelten finden Sie hier.

Im Minimum empfohlen ist die Kombination SHA-256/AES.

Agressive Mode / Main Mode

Beim Einsatz des Aggressive Modes wird das Authentifizierungsverfahren abgekürzt und die Hashwerte des Pre-Shared Keys (PSK) werden unverschlüsselt übertragen. Dadurch hängt die Sicherheit stark vom PSK und dem verwendeten Hashverfahren ab. Ein Angreifer kann einen Verbindungsaufbau aufzeichnen und versuchen den Hashwert des PSK zu knacken. Aus diesem Grund sollte der Aggressive Mode nicht mehr verwendet werden.

 

Mehr-Faktor-Authentifizierung

Viele der angebotenen SSL-VPN-Lösungen setzen standardmässig auf eine Ein-Faktor-Authentifizierung. Im Normalfall besteht diese aus Benutzername und Passwort. In der heutigen Zeit kommt ein solches Passwort schnell abhanden z.B. bei einem erfolgreichen Social Engineering-Angriff. Ist der Angreifer dann in Besitz des Passworts, kann er sich genau so einloggen wie der rechtmässige Benutzer des Accounts. Aus diesem Grund wird immer mehr mit sogenannten Mehr-Faktor-Authentifizierungen gearbeitet.

Im Bereich der Authentifizierungen wird zwischen drei Faktoren unterschieden.

  • Wissen
  • Besitzen
  • Biometrie

Um die Sicherheit des VPN Logins zu erhöhen müssen zwei dieser Faktoren kombiniert werden. Es zählt nicht als Mehr-Faktor-Authentifizierung, wenn z.B. nur mit zwei gesetzten Passwörtern gearbeitet wird. Es muss eine Kombination aus zwei (oder drei) der oben genannten Faktoren sein. Im Normalfall ist eine Kombination aus Wissen (Passwort) und Besitzen (Handy an welches der Code o.ä. gesendet wird). Ist eine solche Mehr-Faktor-Authentifizierung implementiert, wird ein Angriff um einiges komplexer und daher auch unwahrscheinlicher.

Informationen zum Autor: Michel Hennet

Schon während meines Studiums an der ZHAW in Winterthur faszinierte mich die IT-Security. Unbedingt wollte ich darum die Stelle als Junior Security Consultant bei der Firma goSecurity bekommen. Schon während meinen ersten Kundenprojekten wurde mir klar: Genau das habe ich gesucht. Aus der Faszination entwickelt sich bei mir eine Leidenschaft. Die Leidenschaft als technischer Spezialist die Geschäftsanforderungen perfekt zu unterstützen. Nur so ist der Begriff des Experten für mich erst legitim. Mein voller Einsatz für Sie befriedigt meine Leidenschaft und meine Ansprüche an mich selbst.