8 Best Practices für Firewall zur Sicherung des Netzwerks

Ein Leitfaden mit Best Practices für die Firewall-Sicherheit zur Absicherung des Netzwerks kann den Sicherheitsverantwortlichen die Ziele der Sicherheitsrichtlinie Ihres Unternehmens vermitteln, die Einhaltung branchenspezifischer Vorschriften gewährleisten und die allgemeine Sicherheitslage Ihres Unternehmens verbessern.

Im Folgenden stellen wir Ihnen einige Ressourcen und acht bewährte Methoden zur Firewall-Sicherheit vor, um Ihnen den Weg zu einer besseren Sicherheitslage zu ebnen.

NGFW-Demo Lesen Sie den Frost & Sullivan-Bericht

#1. Firewall härten und korrekt konfigurieren.

Die meisten All-in-One-Firewall-Lösungen verfügen über Betriebssysteme, die vom Hersteller gehärtet werden. Wenn Sie eine Software-Firewall-Lösung einsetzen, stellen Sie sicher, dass das OS vorher gepatcht und gehärtet wurde.

 

Neben der Verwendung eines gehärteten OS sollten Sicherheitsadministratoren auch sicherstellen, dass die Firewall sicher konfiguriert ist. Leitfäden sind von Anbietern und Drittanbietern wie dem Center for Internet Security (CIS) erhältlich, das die CIS Benchmarks Netzwerk Gerät veröffentlicht. Siehe auch die SANS Firewall-Checkliste.

#2. Planen Sie Ihre Firewall-Bereitstellung

Firewalls sind ein unverzichtbares Werkzeug zur Anwendung der Zero-Trust- Sicherheitsprinzipien. Sie überwachen und steuern den ein- und ausgehenden Zugriff über Netzwerkgrenzen hinweg in einem makrosegmentierten Netzwerk. Dies gilt sowohl für die Bereitstellung von Layer-3-Routing -Firewalls (bei denen die Firewall als Gateway fungiert und mehrere Netzwerke verbindet) als auch für die Bereitstellung von Layer-2-Bridge -Firewalls (bei denen die Firewall Geräte innerhalb eines einzelnen Netzwerks verbindet und isoliert).

 

Beim Einsatz einer Firewall werden die Netzwerkschnittstellen der Firewall mit diesen Netzwerken oder Zonen verbunden. Diese Zonen können dann zur Vereinfachung der Firewall-Richtlinie verwendet werden. Eine Perimeter-Firewall verfügt beispielsweise über eine externe Zone, die mit dem Internet verbunden ist, eine oder mehrere interne Schnittstellen, die mit dem internen Netzwerk verbunden sind, und möglicherweise über eine DMZ- Netzwerkverbindung. Die Firewall-Richtlinie kann dann nach Bedarf angepasst werden, um eine feinere Steuerung zu ermöglichen.

 

Die Firewall muss verwaltet werden. Eine wichtige Frage ist: „Benötigt die Firewall auch eine dedizierte Verwaltungsschnittstelle?“ Die Steuerung im ausgeschalteten Zustand und der Zugriff auf die serielle Konsole sollten nur über ein dediziertes, sicheres Netzwerk möglich sein.

 

Schließlich stellt eine einzelne Firewall einen Single Point of Failure (SPOF) dar. Durch den Einsatz von zwei oder mehr Geräten in einem Hochverfügbarkeitscluster (HA-Cluster) wird sichergestellt, dass die Sicherheit auch dann erhalten bleibt, wenn eines ausfällt. Eine bessere Option, die die Ressourcen jedes Cluster-Mitglieds kontinuierlich nutzt, ist eine Hyperscale-Netzwerksicherheitslösung . Dies sollte auch für Netzwerk berücksichtigt werden, wo die Verkehrslast saisonalen Spitzen unterliegt.

#3. Firewall absichern

Eine Firewall ist ein wesentlicher Bestandteil der Sicherheitsinfrastruktur einer Organisation und muss vor Ausnutzung geschützt werden. Um Ihre Firewall zu sichern, führen Sie folgende Schritte aus:

 

  • Deaktivieren Sie unsichere Protokolle wie Telnet und SNMP oder verwenden Sie eine sichere SNMP-Konfiguration.
  • Planen Sie regelmäßige Backups der Konfiguration und der Datenbank ein.
  • Aktivieren Sie die Überwachung von Systemänderungen und senden Sie Protokolle über sicheres Syslog oder eine andere Methode an einen externen, gesicherten, zentralen SIEM-Server oder eine Firewall-Management-Lösung zur forensischen Analyse und Berichterstellung.
  • Fügen Sie eine Stealth-Regel in der Firewall-Richtlinie hinzu, um die Firewall vor Netzwerk-Scans zu verbergen.
  • Beschränken Sie den Verwaltungszugriff auf bestimmte Hosts.
  • Firewalls sind nicht immun gegen Schwachstellen. Erkundigen Sie sich beim Anbieter, ob bekannte Schwachstellen und Sicherheitspatches existieren, die die Schwachstelle beheben.

#4. Sichere Benutzerkonten

Die Übernahme von Konten ist eine gängige Technik, die von Cyberkriminellen eingesetzt wird. Um Benutzerkonten auf Ihrer Firewall zu schützen, gehen Sie wie folgt vor:

 

  • Standardkonten und Passwörter umbenennen oder ändern
  • Multi-Faktor-Authentifizierung vorschreiben und/oder eine strenge Passwortrichtlinie festlegen (komplexe Passwörter mit Groß- und Kleinbuchstaben, Sonderzeichen und Zahlen, mindestens 12 Zeichen lang, Passwortwiederverwendung verhindern)
  • Verwenden Sie rollenbasierte Zugriffskontrolle (RBAC) für Firewall-Administratoren. Delegieren und beschränken Sie den Zugriff entsprechend den Zugriffsbedürfnissen der Benutzer (z. B. nur Lesezugriff für Prüfer gewähren und dedizierte Zugriffsrollen und -konten für DevSecOps-Teams erstellen).

#5. Zugang zur Sperrzone für genehmigten Verkehr

Die Hauptfunktion einer Firewall besteht darin, den Zugriff zur Netzwerksegmentierung durchzusetzen und zu überwachen.

 

Eine Firewall kann den Nord-Süd-Verkehr über eine Netzwerkgrenze hinweg überprüfen und steuern. In diesem Anwendungsfall der Makrosegmentierung handelt es sich bei den Zonen um breite Gruppen wie extern, intern, DMZ und Gast-WLAN. Es kann sich dabei auch um Geschäftsbereiche in separaten internen Netzwerken handeln, wie Rechenzentrum, Personalabteilung und Finanzabteilung, oder um eine Produktionshalle in einem Fertigungswerk, das ein Industrielles Kontrollsystem (ICS) verwendet.

 

Eine in einer virtualisierten privaten oder öffentlichen Cloud eingesetzte Firewall kann den Datenverkehr zwischen einzelnen Servern oder Anwendungen untersuchen, der sich dynamisch ändert, wenn Instanzen gestartet werden. In diesem Anwendungsfall der Mikrosegmentierung können die Zonen durch Anwendungen wie Web-Apps oder Datenbanken definiert werden. Die Funktion des virtuellen Servers kann über ein Tag festgelegt und in einer Firewall-Richtlinie dynamisch ohne menschliches Eingreifen verwendet werden, wodurch die Wahrscheinlichkeit von manuellen Konfigurationsfehlern verringert wird.

 

Sowohl bei der Bereitstellung im Makro- als auch im Mikrobereich steuert die Firewall den Zugriff durch die Festlegung einer Firewall-Richtlinienregel, die den Zugriff auf der Grundlage von Datenverkehrsquelle und -ziel allgemein definiert. Der von der Anwendung verwendete Dienst oder Port kann ebenfalls definiert werden. Beispielsweise sind die Ports 80 und 443 Standardports für Webverkehr. Auf einem Webserver sollten nur die Zugänge zu diesen Ports erlaubt und alle anderen Ports gesperrt werden. Dies ist ein Fall, in dem das Whitelisting des zulässigen Datenverkehrs möglich ist.

 

Der ausgehende Datenverkehr einer Organisation ins Internet ist für eine Whitelisting-Sicherheitsrichtlinie problematischer, da es nahezu unmöglich ist, anzugeben, welche Ports für den Internetzugang benötigt werden. Ein häufiger anzutreffender Ansatz für eine ausgehende Sicherheitsrichtlinie ist das Blacklisting, bei dem bekanntermaßen schädlicher Datenverkehr blockiert wird und alles andere über eine Firewall-Richtlinienregel „Alles akzeptieren“ zugelassen wird.

 

Zur Erkennung bekannter schädlicher Websites können zusätzlich zu IP- und Portkontrollen weitere Sicherheitsfunktionen auf der Next Generation Firewall (NGFW) aktiviert werden. Dazu gehören URL Filterung und Anwendungskontrolle. Dies kann beispielsweise genutzt werden, um den Zugriff auf Facebook zu ermöglichen, aber Facebook-Spiele zu blockieren.

#6. Sicherstellen, dass die Firewall-Richtlinien und deren Nutzung den Standards entsprechen.

Die Vorschriften enthalten spezifische Anforderungen an Firewalls. Jede bewährte Sicherheitsmaßnahme muss diesen Anforderungen entsprechen und kann die Hinzufügung zusätzlicher Sicherheitskontrollen zu jeder eingesetzten Firewall erforderlich machen. Beispiele für Anforderungen sind die Verwendung von virtuellen privaten Netzwerken (VPNs) zur Verschlüsselung von Daten während der Übertragung, Antivirenprogramme zur Abwehr bekannter Schadsoftware sowie Intrusion Detection and Prevention Systems (IDS/IPS) zur Erkennung von Netzwerkangriffsversuchen.

 

Beispielsweise verlangt PCI DSS Firewall-Zonen-basierte Kontrollen zwischen vertrauenswürdigen und nicht vertrauenswürdigen Zonen. Dies beinhaltet die Verwendung einer DMZ und einer Perimeter-Firewall zwischen allen drahtlosen Netzwerkumgebungen und den Karteninhaberdatenumgebungen. Zu den zusätzlichen PCI-DSS-Anforderungen gehören:

 

  • Setzen Sie Anti-Spoofing-Maßnahmen ein, um gefälschte Quell-IP-Adressen zu erkennen und deren Eindringen in das Netzwerk zu verhindern. Beispielsweise kann der eingehende Datenverkehr auf der externen Schnittstelle mit einer Quelladresse eines der internen Netzwerke blockiert werden.
  • Private IP-Adressen und Routing-Informationen werden nicht an unbefugte Dritte weitergegeben, indem Netzwerk Address Translation (NAT) verwendet und Routenankündigungen für private Netzwerke entfernt werden.
  • Bereinigen Sie alle sechs Monate unnötige, veraltete oder fehlerhafte Regeln und stellen Sie sicher, dass alle Regelsätze ausschließlich autorisierte Dienste und Ports zulassen.
  • Verschlüsseln Sie die Übertragung von Karteninhaberdaten über offene, öffentliche Netzwerke.
  • Installieren Sie die entsprechenden, vom Hersteller bereitgestellten Sicherheitspatches. Installieren Sie kritische Sicherheitspatches innerhalb eines Monats nach deren Veröffentlichung. (Angesichts der Geschwindigkeit, mit der Angreifer bekannte Schwachstellen ausnutzen, sollten Unternehmen dies ändern und ein Update durchführen, sobald ein Patch verfügbar ist.) Eine NGFW, die IPS -Signaturen automatisch aktualisiert, kann das gesamte Netzwerk vor neu angekündigten Schwachstellen schützen.
  • Es müssen Prozesse vorhanden sein, um den Zugriff auf das Notwendigste und entsprechend den jeweiligen Aufgabenbereichen zu beschränken.
  • Verfolgen und überwachen Sie sämtliche Zugriffe auf Netzwerkressourcen und Karteninhaberdaten.
  • Mithilfe der Zeitsynchronisationstechnologie werden alle kritischen Systemuhren und -zeiten synchronisiert.
  • Sicherheitssysteme und -prozesse sollten regelmäßig getestet werden.

#7. Test zur Überprüfung der Richtlinie und zur Identifizierung von Risiken

Bei einer umfassenderen Sicherheitsrichtlinie kann es schwierig sein, sich vorzustellen, wie eine neue Verbindung verarbeitet wird. Es gibt Werkzeuge zur Pfadanalyse, die möglicherweise auch im Sicherheitsmanagementsystem vorhanden sind, um Regeln zu suchen und zu finden.

 

Darüber hinaus warnen einige Sicherheitsmanagementsysteme, wenn ein doppeltes Objekt erstellt wird, oder installieren keine Richtlinie, deren Regel ein anderes Objekt ausblendet. Testen Sie Ihre Richtlinie regelmäßig, um sicherzustellen, dass sie wie vorgesehen funktioniert und ungenutzte und doppelte Objekte findet.

 

Firewall-Richtlinien werden typischerweise von oben nach unten angewendet und können optimiert werden, indem die am häufigsten getroffenen Regeln in der Prüfreihenfolge weiter nach oben verschoben werden. Überprüfen Sie die Richtlinien regelmäßig, um die Leistung Ihrer Firewall zu optimieren.

 

Führen Sie abschließend regelmäßig Penetrationstests durch, um etwaige Risiken und zusätzliche Sicherheitsmaßnahmen zu identifizieren, die zusätzlich zur Firewall erforderlich sein könnten, um Ihr Unternehmen zu schützen.

#8. Software oder Firmware und Protokolle prüfen

Regelmäßige Audits sind unerlässlich, um sicherzustellen, dass Software und Firmware korrekt und aktuell sind und dass die Protokolle korrekt konfiguriert und funktionsfähig sind. Zu den bewährten Vorgehensweisen für diese Audits gehören:

 

  • Es sollte ein formeller Änderungskontrollplan für die Anpassung der Sicherheitsrichtlinie erstellt werden, um sicherzustellen, dass die Sicherheit nicht beeinträchtigt wird.
  • Regeln, bei denen „Beliebig“ in Quelle, Ziel oder Port festgelegt ist, könnten Sicherheitslücken in der Sicherheitsrichtlinie darstellen. Ändern Sie diese nach Möglichkeit, um die spezifische Quelle, das Ziel oder den Dienst hinzuzufügen, der dem Zweck der Regel entspricht.
  • Um der Sicherheitsrichtlinie eine Hierarchie hinzuzufügen, können Sie Abschnitte oder Ebenen erstellen, was die Überprüfung erleichtert.
  • Fügen Sie am Ende des Abschnitts oder der Ebene Bereinigungsregeln hinzu, die der Absicht der Ebene entsprechen (z. B. alles zulassen oder alles verweigern).
  • Ergänzen Sie Regeln mit Kommentaren und Namen, um den ursprünglichen Zweck jeder Regel zu verdeutlichen.
  • Aktivieren Sie die Protokollierung, um Netzwerkflüsse besser nachzuverfolgen und die Transparenz für forensische Untersuchungen und Berichte zu erhöhen.
  • Überprüfen Sie regelmäßig die Audit-Protokolle und Berichte, um festzustellen, wer die Firewall-Richtlinie geändert hat.

Empfehlungen zur Optimierung der Check Point-Richtlinien

Check Point stellt eine Reihe von Ressourcen zur Verfügung, die Ihnen bei der Konfiguration Ihrer Check Point NGFW helfen. Eine erste Erläuterung der Check Point Firewall-Richtlinien finden Sie in diesem Support-Artikel zur Regelbasiserstellung und -optimierung. Wenn Sie Check Point noch nicht kennen, schauen Sie sich auch den CheckMates Community Check Point für Anfänger an.

 

Um tiefer in die Materie einzutauchen und Ihre Check Point-Lösung besser zu verwalten, besuchen Sie einen unserer kostenlosen E-Learning-Kurse. Gerne können Sie auch eine Demo zu NGFW oder Sicherheitsmanagement anfordern.

Loslegen

Security Checkup planen

Die Check Point Cybersicherheit Plattform

Check Point Next Generation Firewalls

Verwandte Themen

Best Practices für die Sicherheit des Rechenzentrums

6 Säulen robuster Cloud-Sicherheit

Konsolidierte Sicherheitsarchitektur