Seite: 1 Revisionssichere Firewalls mit Tufin SecureTrack. NUBIT 2006 Kiel, 17. Februar Martin Seeger NetUSE AG ms@netuse.de

Transkript

1 Seite: 1 mit Tufin SecureTrack NUBIT 2006 Kiel, 17. Februar 2006 Martin Seeger NetUSE AG ms@netuse.de

2 Seite: 2 mit Tufin SecureTrack Agenda Herausforderungen Aufbau und Funktionsweise Versionsstände Vergleiche von Objekten und Regelwerken Erzeugen von Berichten Grundregeln und Analyse von Regelwerken Zukünftige Entwicklung Fragen und Antworten

3 Seite: 3 - Herausforderungen - Keine Firewall kann ein schlechtes Regelwerk ausgleichen Sicherheit fängt mit der Security Policy an Missverständnisse, Abweichungen von den Vorgaben und persönliches Fehlverhalten gefährden die Sicherheit Regelwerke werden größer und komplexer Mehr als 500 Regeln, über Objekte Wer versteht das noch?

4 Seite: 4 - Herausforderungen - Unternehmensregeln werden nicht befolgt Vier-Augen-Prinzip wird nicht eingehalten Abweichung von Change-Prozeduren Seltene bis keine Auditierung Wer bewacht die Wächter? Sicherheit steht und fällt mit den Administratoren Aufgaben rund um Firewalls werden immer häufiger extern vergeben

5 Seite: 5 - Aufbau und Funktion - Protokollierung von Änderungen Check Point Firewall-1 NG Check Point Provider-1 NG OPSEC zertifiziert (auch NGX) Cisco & Netscreen in Entwicklung Firmenweite Regeln zum Arbeiten an der Policy Hilfsmittel zur Optimierung von Regelwerken Bericht und Auditierung von Änderungen

6 Seite: 6 - Aufbau und Funktion - Vorteile Überwachung in Echtzeit Wer hat wann was gemacht? Entspricht das Regelwerk den Vorgaben? Optimierung Eliminierung von unbenutzten Regeln Besserer Firewall-Durchsatz Risiko Management SOX, ISO 17799, Basel II, etc.

7 Seite: 7 - Aufbau und Funktion - Admin PC SysLog, SNMP, HTTPS SecureTrack Provider-1 CMA s OPSEC (SSL) OPSEC (SSL) SNMP, SSH Nortel Switches SIM FW-1 Management

8 Seite: 8 - Aufbau und Funktion - Allgemeine Spezifikation Benötigt Red Hat Linux 9.0 oder Red Hat Enterprise Linux 3 Auf den Check Point Komponenten muss keine Software installiert werden Web-basierte Oberfläche (Internet Explorer) Revisionen werden in einer Datenbank gespeichert Mehrere Jahre können gespeichert werden Prozeduren für Backup und Restore

9 Seite: 9 - Aufbau und Funktion -

10 Seite: 10 - Versionsstände -

11 Seite: 11 - Vergleiche -

12 Seite: 12 - Vergleiche -

13 Seite: 13 - Berichte - Detaillierte Berichte ermöglichen eine regelmäßige Übersicht über Arbeiten am Regelwerk Manuelle oder automatische Berichtgenerierung Empfänger können je Bericht festgelegt werden (auch per ) Voreinstellungen pro Benutzer Formate: HTML, PDF, MHT

14 Seite: 14 - Berichte -

15 Seite: 15 - Berichte - Weitere Berichte Einschränkungen nach diversen Kriterien Auf welchen Management-Servern oder CMAs wurde etwas geändert? Wer hat die Änderung durchgeführt? Wann wurde etwas geändert? Berichte bezogen auf Firewall-Module Module können abweichende Policies haben Änderungen können auf ein Firewall-Modul bezogen verfolgt werden

16 Seite: 16 - Berichte -

17 Seite: 17 - Berichte - Berichte mit Korrelation der Firewall- Protokolle Welche Regeln werden am häufigsten genutzt? Welche Regeln werden am seltensten oder überhaupt nicht genutzt? Welche Regeln werden nicht protokolliert? Erlaubt die Optimierung des Regelwerkes zum Zwecke der Steigerung des Durchsatzes

18 Seite: 18 - Berichte -

19 Seite: 19 - Grundregeln - Über Grundregeln können besonders riskante oder wichtige Änderungen gesondert beobachtet werden: Änderungen an kritischen Regeln Datenverkehr von/zu bestimmten Netzen Kommunikation über bestimmte Ports Dies erlaubt ein besseres Risiko- Management Firmen-Regeln für Firewall-Regelwerke aufstellen und überwachen

20 Seite: 20 - Grundregeln - Jede Änderung wird anhand der Grundregeln in Echtzeit analysiert Verstöße können Alarme auslösen Wenn die Policy geändert oder installiert wird Flexible Konfiguration Wer bekommt den Alarm und wie ( , Syslog, SNMP) wird er verschickt Individuelle Meldungen z.b. Bei Änderungen der Regel mit MS reden

21 Seite: 21 - Grundregeln -

22 Seite: 22 - Grundregeln -

23 Seite: 23 - Grundregeln -

24 Seite: 24 - Grundregeln -

25 Seite: 25 - Analyse - Analyse des Regelwerkes daraufhin, welcher Datenverkehr erlaubt ist/war Unterstützung komplexer Regelwerke Deaktivierte Regeln Negierte Objekte Gruppen mit Ausnahmen Erlaubt eine Risikoanalyse Ist ein Server mit einer bestimmten Verwundbarkeit auf dem speziellen Port erreichbar?

26 Seite: 26 - Analyse -

27 Seite: 27 - Zukünftige Entwicklung - Automatisiertes Audit Sind implizite Regeln aktiviert? Wird Anti-Spoofing verwendet? Wieviele Administratoren sind zugriffsberechtigt? Werden die Firewalls durch das Regelwerk geschützt? Gibt es eine explizite CatchAll/CleanUp- Regel?

28 Seite: 28 - Zukünftige Entwicklung - Überprüfungen der zugrundeliegenden Firewall-Plattform Überwachung des Routings und der Schnittstellen Darstellung der Auswirkung einer Änderung Messung der Firewall-Performance Unterstützung für Cisco- und Juniper- Produkte

29 Seite: 29 - Zukünftige Entwicklung - Weitere Berichte als Hilfsmittel zur Optimierung Doppelte IP-Adressen Unbenutzte Objekte, Benutzer und Ressourcen Inaktive Benutzer und Administratoren Integration mit einem Change Control System War die Änderung angemeldet?

30 Seite: 30 - Zukünftige Entwicklung - Verantwortliche Firma für das Produkt: Sitz in Tel Aviv, Israel 2003 gegründet von ehemaligen Check Point Entwicklern

31 Seite: 31 mit Tufin SecureTrack Q&A