Wildfire, Teamwork und eine Sicherheitsstrategie

Ganzheitliche Abwehr für das Rechenzentrum

Seite: 2/3

Firmen zum Thema

Umsetzung von Sicherheitsrichtlinien in fünf Schritten

Ein wichtiger Aspekt bei der Umsetzung einer ganzheitlichen Sicherheitsstrategie ist die Einführung und Umsetzung von Sicherheitsrichtlinien. Dies ist nach dem folgenden Modell in fünf Schritten möglich:

In fünf Schritten zu mehr Sicherheit
In fünf Schritten zu mehr Sicherheit
(Bild: Coloures-pic/Fotolia.com)

Der erste Schritt betrifft die Firewall-Policy-Administration. Hier ist eine zentrale Verwaltung, wie sie über „Panorama“, die Administrationsoberfläche von Palo Alto Networks, möglich ist, sinnvoll. Neben der Erarbeitung von Policies ist die Reihenfolge der Regelverarbeitung festzulegen, etwa Shared- versus lokale Gruppen. Jetzt wird ebenso festgelegt, welcher Administrator Zugang zu welchen Systemen, Fähigkeiten und Richtlinien haben sollte.

Im zweiten Schritt folgt die Überwachung und Protokollierung des Verkehrs über die Firewall. Der Zweck dabei ist zu lernen und zu verstehen, was legitim ist oder nicht. Dies ist mittels einer Strategie zur Datenverkehrsklassifizierung möglich. Eine sofortige Blockierung am ersten Tag birgt allerdings ein hohes Risiko, dass harmloser Netzwerkverkehr lahmgelegt wird.

Die erfassten App-IDs sollten in drei Gruppen unterteilt werden: Statische/gemeinsame (Common) Port-Anwendungen, Dynamische Port-Anwendungen und unbekannte App-IDs. Den entscheidenden Aha-Moment erleben Anwender bei der Bewertung riskanter Protokolle bei Tunnels, Datenübertragung und Exfiltration sowie generischer Internetnutzung.

Im dritten Schritt geht es darum, zusätzliche Daten zu bekommen. Bei statischen/gemeinsamen Port-Anwendungen (zum Beispiel SSH – Secure Shell) müssen alle anderen Ports, die abseits der Norm im Einsatz sind, berücksichtigt werden. Für dynamische Port-Anwendungen sind „Quell“-Serverinformationen zu notwendig. Bei unbekannten App-IDs werden vollständige Informationen zu Anwendung, Geschäftszweck, Port und System benötigt. Daneben sollten Port- und Schwachstellen-Scanner identifiziert werden, um sicherzustellen, dass sie legitim sind. Zu guter Letzt müssen Drittanbieter-Netze/IPs, die nicht zum allgemeinen Internetverkehr gehören, identifiziert werden.

Der vierte Schritt sieht die Konstruktion von ersten Filterrichtlinien vor. Dabei haben Administratoren die Freiheit, bei Bedarf dynamische Listen zu verwenden, die es aber gesichert werden müssen. Nun werden Gruppen für den Verkehr, der immer abgeblockt wird, aufgebaut - also App-IDs wie Tor, BitTorrent und Dropbox oder IP-Bereiche, auch mittels Geo-Lokalisierung (Besteht etwa die Notwendigkeit, dass das Rechenzentrum mit dem Internet in China kommuniziert?).

Gruppen richtet man ebenso für nicht standardmäßige „gutartige“ Anwendungen ein und IPs für dynamische Port-Anwendungen. Jetzt können Administratoren die Policies nach Gruppen für App-ID nach Funktion/Zweck, statischem und dynamischem Port und App-ID bezüglich IPS und/oder Bedrohung festlegen.

Im fünften und letzten Schritt geht es um etwaige Sperrungen. Es empfiehlt sich, die Richtlinien umzusetzen, aber keine Sperrung nach dem ersten Durchlauf zu veranlassen. Erst einmal empfiehlt es sich zu überwachen, was überhaupt alles gefiltert wird.

Wenn eine Sperrung erfolgen soll, sollte eine weniger riskante unidirektionale oder eine geschäftlich akzeptable Sperrung in Erwägung gezogen werden. Dann kann die entsprechende Sperrung aktiviert und damit unerwünschter Datenverkehr verhindert werden. Im letzten Schritt können die vorherigen Schritte für den Aufbau von Sicherheitsrichtlinien rund um verschiedene Segmente wiederholt werden, um die Richtlinien dynamisch zu aktualisieren.

Was passiert mit unbekanntem Traffic?

In einigen Bereichen des Netzwerks könnte es unmöglich sein, sämtlichen „unbekannten“ Verkehr zu beseitigen. Was geschieht damit? Handelt es sich um eine nicht-interne Anwendung, wird die App-ID-Anforderung unterdrückt. Bei einer internen App schreibt man eine individuelle App-ID und nutzt ein Application Override, um sich unbekannter Protokolle zu entledigen. Dabei ist es wichtig, darauf zu achten, dass Ports und IP-Adressen in Override so dynamisch wie möglich sind.

Bedrohungserkennung und –prävention

Generell ist das Einschalten der Bedrohungserkennung ein Kinderspiel. Etwaige Bedenken sind nicht nötig, da durch Alarmierung „False Positives“ reduziert werden können. Hinzu kommen das File Blocking, um die Bewegung von Schadcode oder nicht benötigten Dateitypen zu verhindern und das Aktivieren des IPS (Intrusion Prevention System). Bei sensiblen oder sehr anfälligen Dienstleistungen müssen spezifische Schwachstellen lokalisiert werden. Es ist es ratsam, auch bei Fehlalarmen für den internen Traffic vorsichtig zu sein.

Die Rolle der User-ID

Eine seitliche Bewegung erfolgt oft mit gestohlenen, eskalierten oder sogar selbst erstellten Anmeldeinformationen. Windows-Logs sind gut, aber im Rechenzentrum können Linux- und andere Syslog-Anmeldeinformationen sehr wertvoll sein.

User-IDs sind wichtig, besonders wenn Terminal-Dienste für Anwendungen betrieben werden oder „VMware ESX“ eingesetzt wird, um Benutzer zu identifizieren. Dabei hat es Priorität, die Skalierbarkeit zu sondieren und eine potenzielle Fehlkonfiguration im Auge zu behalten. Die User-ID stellt eine ganze Reihe von für die Integration in die jeweilige Umgebung APIs zur Verfügung.

(ID:43115745)