Übergang zu OpenSearch
Rocco Gagliardi
Benchmark einer Firewall-Rulebase
Lesezeit: 8 Minuten
Firewalls sind die ältesten Elemente in der Network Security. Mit der steten Verwendung im Laufe der Jahre sind sie um eine Vielzahl Sicherheitsfunktionen erweitert worden aber sie bleiben ein zentrales Element in der Unternehmenssicherung. Scip AG bietet Firewall Rulebase Reviews an, die auf proprietäre Modelle und Tools zurückgreift. Und genau darüber will ich heute schreiben. Im Folgenden werden wir den Output einer solchen Analyse diskutieren.
Datensätze
Die Zahlen in diesem Artikel werden unter Berücksichtigung von 30 analysierten Rulebases kalkuliert und nach Art der Firma, Grösse der Rulebase und Enforcement Point (EP) Positions (Grenz-Firewalls mit Internet-Exposition, Second-Level-Firewall oder interne Firewall):
Messung der Rulebase
Unser Tool sucht nach Schwachstellen in jeder Rule. Jede Vulnerability hat eigene numerische Werte, wovon einige mit anderen Rulebases verglichen werden können und somit als nützliche Indikatoren dienen.
Das Vulnerability Weight (vw) veruscht, die Schwere der identifizierten Vulnerability zu messen. Für jeden Fund wird der Wert zum globalen Rule Weight (rw) hinzugefügt. Das daraus resultierende rw gibt uns einen numerischen Indikator zur Problematik der Regel.
Vulnerability Heatmap
Der einfachste numerische Indikator einer jeden Regel ist rw. Die gesamte Rulebase kann als Heatmap mit rw als Temperatur-Indikator angezeigt werden, wie in der folgenden Grafik:
Die Heatmap kann problematische Rule-Cluster anzeigen, als Beispiel für eine spezifische Application Implementation. Unter anderem sind die folgenden Rule-Cluster besondere Aufmerksamkeit wert:
- 453-460
- 124-131
- 363-368
Heatmaps sind Rulebase-spezifisch, aber wir können die Daten auch dazu nutzen, weitere Indikatoren auszulesen.
- max(rw)
- avg(rw)
- sum(rw)
Die ersten beiden Werte können in verschiedenen Rulebases verglichen warden und sind nützlich um ein Benchmark von Rulebase und Sector oder Average Rulebases zu erstellen. Letzteres ergibt aber nur Sinn wenn die selbe Rulebase verwendet werden kann um festzustellen, ob die geprüfte Rulebase sich in die richtige oder die falsche Richtung entwickelt.
Key Areas
Während der Überprüfung führen unsere Tools hunderte Checks durch, die allesamt Rulebase Core-Elemente (Rules, Objects, Services) näher ansehen. Wir haben diese Checks in Areas unterteilt.
| Bereich | Beschreibung |
|---|---|
| Lazy-tracking | Diese Checks versuchen herauszufinden, ob die Rule gut getrackt ist. Administratoren tendieren dazu, die Protokolle zusammenzutragen und zu aggregieren. Dies betrifft insbesondere administrative Protokolle. Nach diesem Zusammentragen deaktivieren Administratoren dann oft das Tracking für eine Rule, weil ein snmp das Log füllt, aber die Rule gleichzeitig auch ssh erlaubt. |
| Over-Traffic | Manchmal finden wir bi-direktionale Rules, die meisten davon unnötig. Im Normalfall muss der Traffic in eine Richtung explizit erlaubt werden. Diese Check-Group gleicht jede Rule gegen alle anderen ab und weist alle verdächtigen Rule-Pairs aus, auch wenn nur ein Teil des Paares betroffen ist. |
| Readability | Dies kommt nicht sehr oft vor, aber manchmal entdecken wird eine grosse Liste mit Objects als Source, Destination oder Services definiert. Und manchmal kann die gesamte Rule nicht auf dem Monitor angezeigt werden, was den User dazu zwingt, bei der Suche nach spezifischen Objekten scrollen zu müssen. Nach einer Weile wird die Rule zu einer Blackbox. |
| Lazy-objecting | Kommt sehr oft vor. Objects sind in diesem Falle nicht strikt definiert. Selbst wenn nur ein einziger Host Zugriff benötigt ist in der Rule das gesamte Netzwerk eingeschlossen. Diese Check-Group sucht nach grossen Objects indem sie die Anzahl IPs und Ports, die in die Operation involviert sind, prüft. |
| Temp/Test | Auch dies kommt oft vor. Die Objects bleiben bestehen, manchmal in einer Group verschwunden. Dies geschieht als schnelle Reparatur für Probleme im Bereich des Temporary Access zu lösen. |
| Mix | Einige Rulebases vermischen Temp/Test-Objects mit empfindlichen Objekten, Administrativen Objects zum Beispiel. Dies ist sehr schwer zu finden, Diese Check-Group durchsucht Rule Comments, Object Comments und bekannte Services um herauszufinden, welche eine genauere Untersuchung nötig haben. |
| Quality | Im Grunde genommen versuchen wir hier die Qualität des Management-Prozesses, der die Rulebases regelt, zu messen. Der Check durchsucht den Inhalt der Comments, Rulenames und so weiter. Oftmals entdecken wir hier Redundanzen oder leere Comments, oder solche, die keine Beziehungen zu einem Management-Dokument enhalten, was die Rule eher merkwürdig erscheinen lässt. |
Key Area Indicators blicken ein bisschen tiefer in die Rulebase hinein und warden dazu genutzt, Problembereiche für eine genaue Kontrolle zu identifizieren.
Indem wir die selben Werte wie in der obigen Tabelle anders darstellen, können wir schnell sehen, ob eine Rulebase besser oder schlechter performt als sie in ihrer Class sollte.
Key Values
In jeder Area werden eine Vielzahl Kontrollen für jades Object durchgeführt. Wir errechnen daraus einige Key Value Indicators die wir über alle analysierten Rulebases verteilt benchmarken können. Dies gibt uns wichtige Tipps zur möglichen Verbesserung:
In Tabellenform können wir einfach überprüfen, welche Parts der Rulebasse besser oder schlechter performen:
Herausforderungen
Die selbe Vulnerability Classification im Laufe der Jahre beizubehalten ist die grösste Herausforderung dieser Tools.
Wenn die Anzahl der Checks oder ein Check selbst verändert wird, kann das Resultat nicht mehr mit den vorigen Resultaten vergleichbar sein. So würden wir alle historischen Serien-Werte verlieren (was machmal notwendig sein kann, wenn die alten Resultate an die neuen Tools und deren Werte angleichen wollen).
Im Laufe der vergangenen Dekade und steten Revisionen haben wir ein Set von konsistenten Checks erhalten. Und obwohl die Check-Mechanismen im Grunde genommen die selben bleiben, werden die Parameter der Checks mit jeder Revision upgedated: Wenn während einer Alanyse neue Parameter entdeckt werden, die die Kontrolle beeinflussen, werden diese so gecodet, dass sie in folgenden Versionen weiterhin genutzt werden können (das meistgenutzte Beispiel hierfür sind neue – manchmal fancy – comments, die eine Rule als temporär kennzeichnen).
Diese Methode reduziert den Bedarf die Daten zu (re-)normalisieren, wenn das Tool sich weiterentwickelt.
Fazit
Objects mit komplexen Interdependenzen zu vermessen invoviert immer ein bisschen Alchemie und produziert immer ein körniges Abbild der Realität.
Sobald der Prozess richtig kalibriert ist, angenommen die Distorsion bleibt konstant, wird eine Durchsicht von grossen Rulebases nicht nur möglich sondern auch effizient. Durch Nutzung von Metriken wird es möglich die Verbesserungen an den Rules zu messen und sie zu steuern.
Dank der Erfahrung aus Jahren der Revision, nach unzähligen Tests und Verbesserungen, haben wir ein Set von Checks erhalten, das uns hilft, die Qualität und die Sicherheit einer Rulebase zu messen.
Über den Autor
Sie wollen die Sicherheit Ihrer Firewall prüfen?
Unsere Spezialisten kontaktieren Sie gern!
×
Graylog v5
Rocco Gagliardi
auditd
Rocco Gagliardi
Security Frameworks
Rocco Gagliardi
Sie brauchen Unterstützung bei einem solchen Projekt?
Unsere Spezialisten kontaktieren Sie gern!