Best Practices für das Management von Firewalls

 

Firewalls auf den Rechnern der einzelnen Mitarbeiter übernehmen meist die folgenden drei Aufgaben:

 

• Sie begrenzen die Möglichkeiten der Mitarbeiter, auf nicht für sie freigegebene Anwendungen oder Ressourcen ihrer Workgroup zuzugreifen. Die Firewall für die gesamte Arbeitsgruppe würde den Traffic dagegen durchlassen. Deswegen hindern die individuellen Brandschutzmauern nicht autorisierte Nutzer daran, auf für sie gesperrte Ressourcen zuzugreifen.

 

• Sie begrenzen zudem die Zugriffe auf weitere Computer oder Ressourcen in derselben Arbeitsgruppe, die ansonsten von keinen anderen Firewalls verhindert werden würden. Individuelle Firewalls eignen sich am besten dazu, einen Zugriff auf gesperrte lokale Ressourcen durch einzelne Mitglieder einer Workgroup zu vereiteln.

 

• Darüber hinaus reduzieren sie die Auswirkungen einmal eingedrungener Malware, indem sie die Infektionswege unterbrechen.

 

 

Die Arbeit dieser Firewalls wird jedoch immer wieder auch durch riskante oder fehlerbehaftete Vorgehensweisen der Mitarbeiter behindert. Deswegen ist es von großer Bedeutung, sich für eine Lösung zu entscheiden, die zentral verwaltet werden kann und die verhindert, dass die einzelnen Anwender nach persönlichem Ermessen Verbindungen freigeben. Der Schutz durch eine Firewall zählt zu den wichtigsten Maßnahmen, lässt sich auf rein lokaler Ebene aber relativ leicht aushebeln.

 

Firewall-Konfiguration mit Arbeitsgruppen

 

Darüber hinaus sollten Sie Firewalls auch an allen Gateways zu den diversen Arbeitsgruppen installieren. Dieses Konzept lässt sich am besten umsetzen, indem Sie alle Mitarbeiter, die Zugriff auf bestimmte Ressourcen benötigen, in einer einzigen Arbeitsgruppe zusammengefassten. Dabei ist es eventuell notwendig, bestehende physische Subnetze in kleinere Einheiten aufzuteilen, um alle Mitarbeiter in der für ihre Aufgaben optimalen Arbeitsgruppe unterzubringen. Wenn diese Zuweisungen gründlich erledigt werden, verfügen die Mitarbeiter dann nur noch über die Zugriffsrechte, die sie für ihre Tätigkeit wirklich benötigen. Individuelle Anforderungen lassen sich weiter je nach Bedarf verfeinern, indem weitere Firewalls auf den vorhandenen Systemen eingerichtet werden. Beim Management von Firewalls können dieselben Prinzipien auch oberhalb von Arbeitsgruppen eingesetzt werden. Geschäftliche Einheiten wie eine größere Zweigstelle oder der Sitz der Unternehmensleitung lassen sich etwa mit ihren eigenen Lösungen ausstatten. Um die Nutzung dieser Second-Level-Firewalls zu optimieren, sollten diese Einheiten jedoch jeweils einer vorgegebenen Gruppe von IP-Adressen zugewiesen werden. Außerdem sollte sich ein dedizierter Gateway-Router um ihre Konnektivität kümmern. Die Firewall kann man dann direkt hinter diesem Router einrichten. Firewalls für Arbeitsgruppen sind also nicht die einzige Möglichkeit, Firewall-Technik sinnvoll in den Unternehmen einzusetzen. Data Center und Server sind ebenfalls mit Firewalls zu schützen. Sie grenzen zum Beispiel die IP-Adressen ein, die auf diese Systeme zugreifen dürfen. Wenn sowohl Arbeitsgruppen als auch etwa Zweigstellen unterschiedliche IP-Adressen nutzen, die ihnen jeweils dediziert zugewiesen wurden, erleichtert dies außerdem die Verwaltung der Firewalls erheblich. Serverseitige Firewalls erfordern jedoch einiges an Disziplin, wenn es um die Adresszuweisung für die benötigten Applikationen geht. Die beste Methode ist, eine Gruppe von miteinander zusammenhängenden Anwendungen mit Hilfe von gemeinsamen Zugriffsregeln einem bestimmten IP-Subnetz zuzuweisen. Dieses Subnetz bekommt dann einen dedizierten Gateway-Router und eine direkt daneben platzierte Firewall. Dabei ist jedoch eines zu beachten: Die empfohlenen Vorgehensweisen geben für Anwendungen in Containern und für DevOps in der Regel vor, dass jede Anwendung ihr eigenes Subnetz erhalten soll. Das Subnetz für alle Anwendungen ist dann ein in der Hierarchie weiter oben angesiedeltes Netz, das alle Subnetze für die verschiedenen Arbeitsgruppen und Anwendungen umfasst, die zu dieser Gruppe gehören. Der Einsatz sowohl von client- als auch von serverseitigen Firewalls sorgt demnach dafür, dass Informationen und Anwendungen auf beiden Seiten der Verbindung zwischen einem Mitarbeiter und einer von ihm benötigten Ressource geschützt sind. Das bedeutet aber auch: Sobald eine Zugriffsregel geändert wird, müssen auch alle anderen von der Verbindung betroffenen Firewall-Regeln angepasst werden. Sonst sind möglicherweise keine Verbindungen mehr möglich.