Die 12 häufigsten Fehler bei der Konfiguration von UTM und wie man sie vermeidet

Firewall ist die grundlegende Schutzbarriere gegen Netzangriffe und eines der Geräte, für das eine Förderung im Rahmen des Programms "Cybersecure Local Government" erhältlich ist.

Selbst das fortschrittlichste Gerät ist nur so viel wert wie die Arbeit, die in seine korrekte Konfiguration und Wartung investiert wird“, kommentiert ein Ingenieur von Stormshield, einem europäischen Hersteller von IT-Sicherheitslösungen. Der Experte beschreibt die häufigsten Fehler in diesem Stadium und gibt Ratschläge, wie man sie vermeidet, um die Organisation nicht zu gefährden.

Ein weiser Spezialist vor Schaden

UTM-Lösungen (Unified Threat Management) sind fortschrittliche Werkzeuge zum Schutz des Netzwerkrandes. Diese Geräte sind von entscheidender Bedeutung, da sie die erste und wichtigste Schutzbarriere gegen Bedrohungen darstellen. Um den spezifischen Bedürfnissen der öffentlichen Verwaltung gerecht zu werden (einschließlich des Schutzes sensibler Daten, der Bedrohungsprävention, der Einhaltung von Vorschriften sowie der hohen Verfügbarkeit und Betriebskontinuität), bietet diese Geräteklasse eine breite Palette an Funktionen. Sie bieten umfassenden Schutz vor verschiedenen Bedrohungen, sowohl von außen als auch von innerhalb des Netzwerks. Die Bedeutung von UTM unterstreicht die Tatsache, dass der Aufbau eines Sicherheitssystems auf diesem Werkzeug beginnt. Um das volle Potenzial nutzen zu können, ist es wichtig, den Schutz entsprechend zu planen und korrekt zu konfigurieren, angefangen bei den Schnittstellen und dem Routing bis hin zur Konfiguration der Sicherheitsrichtlinien.

Leider kann ich aus eigener Erfahrung sagen, dass Fehler in diesem Stadium recht häufig sind. UTM-Geräte sind ein grundlegender Bestandteil des Sicherheitssystems und bieten trotz ihrer breiten Funktionalität für die Bedürfnisse des Nutzers nur so viel Wert, wie die Arbeit, die in ihre Konfiguration und Wartung investiert wird. Um ruhig schlafen zu können, sollte man grundlegende Fehler vermeiden, die oft begangen werden und gleichzeitig recht einfach zu beseitigen sind, was sich sicherlich auszahlen wird. Obwohl die Konfiguration Arbeit erfordert, führt diese 'Investition' zu einem Verständnis dafür, was in unserem Netzwerk passiert. Sicherheit ist ein kontinuierlicher Prozess, der eine Anpassung an sich ändernde Bedrohungen und Bedürfnisse der Organisation erfordert. Es ist wichtig, dass in einer Situation, in der 'das Kind in den Brunnen gefallen ist', nicht festgestellt wird, dass der entscheidende Fehler von dem Spezialisten begangen wurde, der für die Konfiguration verantwortlich war

Aleksander Kostuch,

Ingenieur bei Stormshield

Die 12 häufigsten Fehler bei der Konfiguration von UTM-Lösungen und wie man sie vermeidet

1. Mangel an Software-Updates.

Fehler: Bedrohungen im Cyberraum verändern sich ständig. Eine nicht aktualisierte Firewall-Software kann Sicherheitslücken enthalten, die von Angreifern ausgenutzt werden können.

Wie man es vermeidet: Die regelmäßige Aktualisierung ist die Grundlage der Sicherheit. Stellen Sie automatische Updates für alle verfügbaren Signaturen ein. Sorgen Sie für kontinuierliche, gekaufte Unterstützung durch den Hersteller. Um die Kosten zu optimieren, kann man bei der Auswahl des Geräts die Gesamtkosten des Besitzes (TCO), einschließlich technischer Unterstützung, vergleichen.

Überprüfen Sie regelmäßig die Verfügbarkeit von Firmware-Updates. Machen Sie sich mit den beschriebenen Neuerungen vertraut, die Sie zur Implementierung neuer Funktionen inspirieren können, z.B. 2FA oder ZTNA. Bevor Sie jedoch ein Update installieren, lesen Sie die „Release Notes“. Es kann sein, dass sich einige Funktionen, die Sie verwenden, ändern.

Beispiel: Verschlüsselungsprotokolle, die den aktuellen Gegebenheiten nicht mehr genügen, sollen in der neuen Softwareversion entfernt werden, z.B. 3DES und MD5. Wenn Sie diese in einer verschlüsselten Tunnelverbindung mit einer anderen Institution verwenden, müssen Sie vor dem Software-Update gemäß den Empfehlungen die Konfiguration anpassen, d.h. die Verschlüsselungsprotokolle auf effektivere wie AES und SHA umstellen.

2. Unzureichendes Management von Zugriffspolitiken aufgrund mangelnden Produktwissens oder Erfahrung.

Fehler: Falsch konfigurierte Zugriffsregeln. Zu liberale Regeln können zu unautorisiertem Zugriff auf das Netzwerk führen. Zu restriktive Regeln oder unzureichendes Inhaltsfiltern können zu Produktivitäts- oder Sicherheitsproblemen führen. Mangel an Schulungen über das Gerät und das Vertrauen auf Intuition bei der Konfiguration.

Wie man es vermeidet: Erstellen Sie Zugriffspolitiken nach dem Prinzip der geringsten Privilegien (Least Privilege). Überprüfen und aktualisieren Sie die Regeln regelmäßig, um sie an die aktuellen Bedürfnisse der Organisation anzupassen. Nach dem Laden einer neuen Firmware-Version prüfen Sie deren neue Funktionen und nutzen Sie diese, wo es angebracht ist. Es kann sich herausstellen, dass eine neue Funktion die Sicherheit erhöht, weil die Firewall bestimmte Aufgaben automatisch erledigen kann oder dazu anregt, die Sicherheit in bisher nicht berücksichtigten Bereichen zu erhöhen. Geolokalisierung, IP-Reputation, Erkennung von Webdiensten, Blockierung von Hosts aus der aktuellen CERT-Datenbank von NASK, Schwachstellenerkennung, QoS, Policy Based Routing und SDWAN sind nur einige der Konfigurationsoptionen, die bei der Erstellung von Sicherheitsregeln genutzt werden können. Konfigurieren Sie das Inhaltsfiltern gemäß den Richtlinien Ihrer Institution. Aktualisieren und überprüfen Sie regelmäßig die Filterlisten, um sie an die aktuellen Bedürfnisse anzupassen. Beschreiben Sie die Sicherheitsregeln, denn obwohl Sie heute wissen, was Sie getan haben, werden Sie sich morgen möglicherweise nicht mehr daran erinnern, warum eine bestimmte Regel erstellt wurde. Diese Aufgabe ist ein langweiliger Zeitfresser, und für einen Ingenieur ist die Konfiguration am interessantesten, nicht das Beschreiben. Hier kann die Firewall oft helfen, da sie selbst Informationen darüber erstellt, wer wann und von welchem Computer aus eine Regel oder ein Objekt erstellt hat. Die Firewall kennt jedoch nicht die Absichten der Person, die die Regel installiert hat, und hat keine Kenntnisse über das Netzwerk. Daher ist es sinnvoll, diese wichtigen Informationen im System zu dokumentieren, da sich dies später als äußerst nützlich erweisen wird.

Zusätzlicher Tipp: Nutzen Sie Schulungen in einem autorisierten Schulungszentrum des Herstellers. Diese vermitteln das Wissen, wie man das volle Potenzial des Geräts schnell und richtig ausschöpfen kann.

3. Fehlen von Backup-Konfigurationen.

Fehler: Der Verlust der Firewall-Konfiguration ohne Backup führt zu lang anhaltenden Ausfällen und Sicherheitsproblemen. Gleichzeitig muss man daran denken, dass Änderungen in der Sicherheitsrichtlinienkonfiguration fehlerhaft sein können, was dazu führt, dass der Zugang zu zuvor zugänglichen Ressourcen unterbrochen wird. In einer solchen Situation ist es eine wirklich schwierige Aufgabe, den Punkt zu identifizieren, an dem der Fehler aufgetreten ist.

Wie man es vermeidet: Erstellen und speichern Sie regelmäßig sichere Backups der Firewall-Konfiguration. Testen Sie die Wiederherstellungsverfahren, um sicherzustellen, dass sie wirksam sind. Nutzen Sie die Vorteile der Konfigurations-Slots in der Firewall, in denen Sie die aktuelle Konfiguration in einen ungenutzten Slot kopieren können. In einer Krisensituation können Sie diese Konfiguration aktivieren. Einige Firewalls können automatisch Backups in die Cloud senden. Das ist eine gute Lösung. Wenn das Gerät ausfällt und kein Hochverfügbarkeitssystem mit Firewall im Cluster vorhanden ist, kann es beim Erhalt eines neuen Geräts zu Problemen beim Laden der aktuellen Konfiguration kommen. Ein Cloud-Backup ermöglicht das Herunterladen der neuesten Version der automatischen Kopie.

4. Zu komplizierte Konfiguration.

Fehler: Zu komplizierte Regeln und Richtlinien können zu Konfigurationsfehlern und Schwierigkeiten im Management führen.

Wie man es vermeidet: Halten Sie die Konfiguration einfach und übersichtlich. Dokumentieren Sie alle Änderungen und führen Sie regelmäßige Audits der Konfiguration durch. Überprüfen Sie die Statistiken der verwendeten Regeln. Es kann sich herausstellen, dass eine Regel nicht genutzt wurde und nicht mehr benötigt wird. Löschen Sie sie. Einfachheit ist besser und leichter zu kontrollieren. Es ist wichtig, dass die Konfiguration verständlich ist und die Firewall in Ihrer Muttersprache kommuniziert.

5. Fehlende Netzwerksegmentierung.

Fehler: Das Fehlen einer Segmentierung kann dazu führen, dass sich Bedrohungen leicht im gesamten Netzwerk ausbreiten. Die Firewall bleibt der zentrale Stützpunkt, der die Situation kontrolliert, jedoch nur das, was durch sie hindurchgeht. Die Firewall kann Übertragungen blockieren, aber das Fehlen von Segmenten erhöht die Chancen für einen erfolgreichen Angriff, da Ihre Ressourcen nicht isoliert waren und die Firewall nichts zu blockieren hatte.

Wie man es vermeidet: Implementieren Sie eine Netzwerksegmentierung, um verschiedene Sicherheitszonen zu trennen (z.B. Büro-, Produktions-, Gastnetzwerk, Drucker, Server). Verwenden Sie VLANs und erstellen Sie DMZ-Zonen (demilitarisierte Zonen), um kritische Ressourcen zu isolieren. Segmentierung kann auf Routing- oder Bridge-Basis erfolgen. Selbst wenn wir keine separaten IP-Adressen in den Segmenten haben, erhöht das Anschließen von Ressourcen an verschiedene Schnittstellen die Sicherheit in Bezug auf die Überwachung des Netzwerkverkehrs durch Sicherheitsregeln sowie in Bezug auf IPS- und Antivirenschutzangriffe. Segmentierung ist sehr praktisch und erhöht das Sicherheitsniveau erheblich.

6. Fehlendes Monitoring und Ereignisprotokollierung.

Fehler: Das Nicht-Sammeln und Nicht-Analysieren von Logs kann zu unbemerkten Sicherheitsvorfällen führen.

Wie man es vermeidet: Aktivieren Sie die Ereignisprotokollierung und setzen Sie regelmäßige Überprüfungen der Logs an. Nutzen Sie SIEM-Systeme (Security Information and Event Management) zur Analyse und Korrelation von Ereignissen. Aktivieren Sie automatische Benachrichtigungen per E-Mail über Bedrohungen, um stets über das Geschehen in Ihrem Netzwerk informiert zu sein.

7. Unzureichendes Management von Administratorkonten.

Fehler: Die Verwendung von Standard-Administratorkonten oder ein unsachgemäßes Management von Benutzerberechtigungen kann ein ernstes Sicherheitsrisiko darstellen.

Wie man es vermeidet: Ändern Sie Standardpasswörter, erstellen Sie für jeden Benutzer eindeutige Administratorkonten und vergeben Sie Berechtigungen nach dem Prinzip der „geringsten Privilegien“. Die Verwendung unterschiedlicher Konten ermöglicht eine effektive Überprüfung der Änderungen an Sicherheit und Berechtigungen.

8. Die SSO-Lösung für Firewalls integriert Sicherheitsrichtlinien basierend auf Benutzern aus der Active Directory-Datenbank, was die Nutzung der bestehenden Infrastruktur für Authentifizierung und Benutzererkennung ermöglicht.

Fehler: Das Fehlen eines zentralen Punktes zur Verwaltung von Benutzern und Logs, die nur auf IP-/MAC-Adressen basieren, kann die Erkennung von Benutzeraktivitäten erheblich erschweren.

Wie man es vermeidet: Die Aktivierung von SSO auf der Firewall bringt sowohl für IT-Administratoren als auch für Endbenutzer erhebliche Vorteile. Es verbessert die Benutzerfreundlichkeit bei der Erstellung von Nutzungsregeln, erhöht die Sicherheit, optimiert administrative Abläufe und erleichtert das Monitoring und die Einhaltung von Vorschriften. Durch die Zentralisierung des Zugriffsmanagements und der Authentifizierung wird SSO zu einem Schlüsselelement des effektiven Netzwerk-Sicherheitsmanagements in der kommunalen Verwaltung. Ab diesem Zeitpunkt sind Benutzer für Administratoren und Führungskräfte unabhängig von ihren IP-Adressen oder Computernamen erkennbar, sondern anhand ihres Benutzernamens. Das Monitoring und die Protokollierung der Benutzeraktivitäten in verschiedenen Systemen erleichtert die Durchführung von Sicherheitsaudits. Das Credential-Management wird durch das Single Sign-On erleichtert, wobei Sicherheitsregeln individuell für den Benutzer oder eine Benutzergruppe erstellt werden können.

9. Falsche VPN-Konfigurationen.

Fehler: Fehler in der VPN-Konfiguration können zu unautorisiertem Zugriff auf das interne Netzwerk führen.

Wie man es vermeidet: Verwenden Sie starke Authentifizierungsmethoden und bevorzugen Sie digitale Zertifikate anstelle von Passwörtern. Überwachen Sie die Verbindungen regelmäßig. Erneuern Sie Zertifikate rechtzeitig.

10. Ignorieren von Sicherheitswarnungen.

Fehler: Das Ignorieren von Warnungen, die von der Firewall generiert werden, kann dazu führen, dass wichtige Sicherheitsvorfälle übersehen werden.

Wie man es vermeidet: Konfigurieren Sie geeignete Benachrichtigungen und überprüfen Sie regelmäßig die Warnungen. Es lohnt sich, etwas Arbeit in das Aussortieren von „False Positives“ zu investieren. Dadurch erhält man weniger bedeutungslosen Spam und mehr sicherheitsrelevante Meldungen. Legen Sie Verfahren zur Reaktion auf Vorfälle fest und führen Sie regelmäßig Übungen durch.

11. Leistungsprobleme bei der Firewall.

Fehler: Der mit der Zeit zunehmende Netzwerkverkehr kann die Kapazitäten der Firewall überschreiten. Eine übermäßige Prozessorbelastung kann durch intensive Traffic-Inspektionsprozesse wie Inhaltsfilterung, Antivirenscans und Deep Packet Inspection (DPI) für eine wachsende Anzahl von Paketen verursacht werden. Die sich ändernden Anforderungen neuer Firmware, die immer mehr fortschrittliche Sicherheitsfunktionen einführt, können ebenfalls zu einer höheren Auslastung der Firewall-Ressourcen wie Prozessor und RAM führen.

Wie man es vermeidet: Von kleinen Geräten für lokale Behörden bis hin zu Lösungen für große, komplexe Netzwerke - Firewall-Hersteller bieten Modelle, die auf unterschiedliche Anforderungen zugeschnitten sind. Firewall-Lösungen sind skalierbar, was bedeutet, dass sie mit den Bedürfnissen der geschützten Organisation wachsen können, zum Beispiel einer Gemeindeverwaltung oder ihren untergeordneten Einheiten. Bei der Planung der Sicherheit ist es ratsam, auf ein Gerät zu setzen, das Skalierbarkeit und Leistungssteigerung durch Lizenzen ermöglicht. Bei steigendem Netzwerkverkehr kann man leicht auf ein höheres Modell in der Serie umsteigen, das eine bessere Leistung und höhere Bandbreite bietet, ohne in neue Hardware investieren zu müssen. Die Software und die ursprüngliche Konfiguration bleiben bestehen, was, wie die Erfahrung zeigt, von großer Bedeutung ist.

12. Fehlende Netzwerkdokumentation.

Fehler: Die Anzahl und Intensität der Änderungen sowie die Notwendigkeit, aktuelle Probleme zu lösen, begünstigen nicht die Erstellung einer Netzwerklokumentation. Schließlich kennen wir das verwaltete Netzwerk gut, also warum wertvolle Zeit verschwenden? Eine andere ungünstige Situation ist das Fehlen einer Aktualisierung dieses wichtigen Dokuments.

Wie man es vermeidet: Eine aktuelle Netzwerklaufende Dokumentation erleichtert das Verständnis der Struktur und Verbindungen im Netzwerk. Ohne sie wird dies schwieriger, insbesondere in komplexen Umgebungen. Die Identifizierung von Problemen im Netzwerk kann mehr Zeit in Anspruch nehmen, was zu längeren Ausfallzeiten führt. Das Fehlen einer Netzwerkübersicht kann es erschweren, Geräte, die eine Intervention benötigen, schnell zu lokalisieren. Das Fehlen von Konfigurationsaufzeichnungen kann zu Inkonsistenzen und Fehlern bei der Durchführung von Änderungen führen. Ohne Dokumentation besteht die Möglichkeit der zufälligen Erstellung von Duplikaten von IP-Adressen, VLANs und anderen Netzwerkressourcen. Die Planung der Netzerweiterung ohne vollständiges Wissen über die aktuelle Struktur und Nutzung der Ressourcen ist schwierig und riskant. Das Fehlen einer Dokumentation erschwert die Bewertung der aktuellen Bedürfnisse und die Prognose zukünftiger Anforderungen. Es ist schwieriger, Geräte im Netzwerk zu identifizieren und nicht autorisierte Änderungen zu erkennen. Daher führen Sie Dokumentationsstandards und -verfahren ein, die alle Aspekte des Netzwerks umfassen, wie z. B. Topologie, Gerätekonfigurationen, Sicherheitsrichtlinien und Notfallpläne. Stellen Sie sicher, dass die Dokumentation nach jeder Änderung im Netzwerk aktualisiert wird. Verwenden Sie spezielle Werkzeuge zum Zeichnen, da ein Bild mehr als tausend Worte sagt und zudem leichter zu modifizieren ist. Die Mühe, die in die Erstellung der Dokumentation investiert wird, erleichtert die Durchführung regelmäßiger Audits, verkürzt die Zeit zur Problemlösung, verringert das Risiko von Konfigurationsfehlern, erleichtert die Planung von Erweiterungen und verbessert die Sicherheit. Lassen Sie es zu einem integralen Bestandteil der Änderungsmanagementverfahren werden, der die Arbeit des IT-Teams effektiv unterstützt.