Firewall Rule Changes

Einführung

Bei der Betrachtung von IT Security Abteilungen verschiedener Unternehmen wird man zweifellos feststellen, dass je nach Komplexität z.T. sehr unterschiedliche Ansätze zum Management der Firewall Filter-Regeln (Policies) existieren. Allgemein ist davon auszugehen, dass die Größe dieser Firewall Policies stark von der Zahl und der Dynamik der eingehenden und ausgehenden Datenverbindungen des Unternehmens abhängt. Während in kleinen Unternehmen oft der Administrator den Zweck und vor allem den 'Business Need' einzelner Firewall Regeln oder deren Komponenten z.T. noch selbst zu überschauen vermag, herrschen bei größeren Unternehmen höhere Anforderungen an ein konsistentes Firewall Management und dessen Dokumentation. Da die Basis einer jeden Firewall auf sehr hohem EDV-technischem Niveau liegt, sind auch die einzelnen Regeln einer Firewall selbst, die die jeweilig erlaubten oder verbotenen Kommunikationsverbindungen beschreiben, sehr formal und EDV-spezifisch formuliert. In den seltensten Fällen ist es also ad hoc möglich, den Sinn und die Zusammenhänge einer Firewall-Regel für das "Business" zu erfassen bzw. zu einem "Business Need" alle relevanten Firewall Regeln zu finden.

Vielmehr muss anhand der Verbindungsparameter festgestellt und analysiert werden, zu welcher Abteilung welcher Zugriff gehört, warum er in genau dieser Form gebraucht wird und mit welchen anderen Zugriffen dieser in Zusammenhang steht. Erschwerend kommt hinzu, dass die Dynamik eines Firewall-Regelwerkes umso höher ist, je schärfer die Firewall die tatsächlich benötigten Zugriffe abbilden soll, da dann bereits kleinste Änderungen der Infrastruktur ebenfalls Änderungen am Regelwerk implizieren. Beim Management einer Firewall spielen daher die andauernden dynamischen Regeländerungen eine entscheidende Rolle. Speziell in Luxemburg gestalten sich die vom Gesetzgeber vorgegebenen, den Datenschutz betreffenden Richtlinien weitaus strenger als z.B. in Deutschland (so dürfen in Luxemburg beispielsweise keine kundenspezifischen Informationen das Land verlassen, weshalb auch die Regeln der jeweiligen Firewall vergleichsweise schärfer abgebildet werden müssen. Da zusätzlich bei Banken mehrere Applikationen, die die täglichen Bankgeschäfte aufrecht erhalten, mit Filialen und Partnern auf der ganzen Welt kommunizieren müssen, beinhaltet somit die Firewall ein sehr komplexes Regelwerk, welches nicht nur die Wartung, sondern besonders auch Firewall-Änderungen zu einem ressourcenintensiven Vorgang macht.

Dieser muss sowohl in Banken, als auch in den meisten übrigen Unternehmen größtenteils manuell und ohne nennenswerte computerbasierte Unterstützung durchgeführt werden. Es stellt sich daher die Frage, wie der Vorgang eines Firewall Rule Changes durch ein möglichst lernfähiges, entscheidungsunterstützendes Verfahren optimal umgesetzt werden kann. Um dieser Frage Rechnung zu tragen, muss zunächst eine Analyse der Struktur, der Komplexität und der Dynamik sowohl einer Firewall-Policy, als auch der Firewall Rule Changes selbst vorgenommen werden, bevor ein solches Verfahren entworfen werden kann. Diese Analyse, die Entwicklung eines lernfähigen Verfahrens zur dynamischen Optimierung von Firewall Changes und eine prototypische Anwendung sind Ziel der vorliegenden Arbeit.

Awards und Pressestimmen: