iT-CUBE SYSTEMS AG

WhitepaperAutor: Manuel Keller

www.it-cube.de

Firewall Policy Acceleration Service für PAN-NGFWs

Das volle Potenzial einer Next Genereation Firewall ausreizen

Next Generation Firewalls (NGFWs) bilden das Kernstück präventiver Sicherheitsmaßnahmen und tragen einen Großteil zur Steige-rung des Sicherheitsniveaus bei. Sie sind seit ihrer Einführung Anfang 2009 mittlerweile in vielen Netzwerken zu finden. Auch herrscht unter den Security- und Netzwerk Administratoren Einigkeit über ihre Notwendigkeit. Doch oft werden die umfangreichen Funktionen einer leistungsfähigen NGFW nur unzureichend ausgeschöpft. Dadurch verpufft die Investition und die Sicherheitslöcher existieren fort. Die Ursachen liegen im veränderten Policykonzept einer NGFW, das eine Abkehr vom traditionellen Denken erfordert.

Die Qualität der Implementierung messen

Je umfänglicher und komplexer eine Technologie ist, desto größer ist die Gefahr, deren Fähigkeiten nur unzureichend auszuschöpfen oder suboptimal anzuwenden. Bei der Implementierung einer Next Generation Firewall sind häufig typische Fehlerbilder zu beobachten.

Administratoren, die es gewohnt waren, Stateful-Packet-Inspection Firewalls zu betreiben, sind gezwungen, sich in ein Policykonzept einzudenken, das statt auf der Freischaltung von Ports und IP-Adressen die Applikation und den Nutzer in den Mittelpunkt stellt. Sollen nun historisch gewachsene Regelwerke mit hunderten von Regeln und in Gruppen zusammengefassten Ports und Adressen auf NGFW- Policies umgestellt werden, entsteht ein umfangreicher Analyseaufwand. Oftmals kommt hinzu, dass die Regeln von unterschiedlichen Admins erstellt wurden und unzureichend dokumentiert sind. Statt konsequent jede Regel auf den Prüfstand zu stellen, wird nur ein Teil umgestellt oder man belässt es bei der portbasierten Firewall-Policy.

Next Generation Firewalls können weit mehr als nur Applikationen filtern. Oft werden wichtige Funktionen, wie Domain Integration, Intrusion Prevention, Malware Detection usw. als Lizenz erworben, aber nicht genutzt.

In beiden Fällen ist es für den Sicherheitsverantwortlichen schwierig zu beurteilen, ob die Regelwerksmigration optimal durchgeführt wurde und das Sicherheitsniveau nachhaltig gesteigert werden konnte. Durch eine unabhängige Prüfung erfahren Sie, ob sich Ihre Investition tatsächlich gelohnt hat und an welchen Stellen optimiert werden kann.

Umfassender Test & Optimierung

Durch unseren Firewall Policy Acceleration Service testen wir Ihre Firewallimplementierung komplett durch – mit der Fachkompetenz eines zertifizierten Partners der Palo Alto Networks. Auf Ihren Fall abgestimmt loten wir das Optimierungspotenzial aus, damit Sie den vollen Funktionsumfang ihrer NGFW – und damit den Wert Ihrer Investition – nutzen können. Wir geben Ihnen in drei Stufen Handlungsempfehlungen mit einer konkreten Konfiguration für ihre Umgebung. Am Ende erhalten Sie die Konfigurationsdatei zum direkten Einspielen in Ihr Firewall-Cluster, sowie einen ausführlichen Workshop in dem die Ergebnisse erläutert werden.

Whitepaper

www.it-cube.de

Schritt 1: Analyse des Regelwerks Bei der Analyse des Regelwerks setzt iT-CUBE auf die Kombination aus toolgestützter Auswertung von Standardprüfungen und zusätzlicher manueller Auswertung und Verifikation durch einen von Palo Alto PCNSE*-zertifizierten Mitarbeiter. Dabei nutzen wir vorhandene API-Schnittstellen und beschleunigen damit den Projektverlauf signifikant.

Schritt 2: Konkrete HandlungsempfehlungEs werden konkrete Handlungsempfehlungen für das Sicherheitsregelwerk aus den analysierten Informationen erstellt. Diese beinhal-tet eine Konfigurationsdatei für die geprüfte Firewall/Firewall-Cluster. Damit sind Sie als Kunde in der Lage, die Empfehlungen ohne größeren Aufwand in ihre Produktionsumgebung zu übernehmen.

Schritt 3: AbschlussworkshopIn einem Abschlussworkshop werden die Ergebnisse aus den Analysen und der Analyseprozess aufgearbeitet und detailliert erklärt. Dadurch werden nicht nur die Testergebnisse in jeder Hinsicht transparent dargelegt, sondern auch Handlungsempfehlungen für die Betriebspraxis gegeben. Ein wichtiger Vorteil, um künftig die Firewall in Eigenverantwortung optimal betreiben zu können.

Zusätzlich erhalten sie Antworten auf die aufgeworfenen Fragen:

• Wurde das Regelwerk bei der Implementierung von einer früheren Firewall kopiert und dabei weiterhin nur IP/Ports im Regelwerk verwendet? Welche Regeln sind davon betroffen?

• Ist Ihre Firewall anfällig gegen DOS Attacken oder Portscans durch fehlende / falsch verwendete Ports und fehlenden Schutz der Security-Zonen?

• Werden User-IDs anstatt statische IPs für personenbezogene Regeln im Regelwerk verwendet? • Sind enthaltene Funktionen wie Threat oder Malware Detection im Regelwerk durchgängig aktiviert und für Ihre Um- gebung optimiert? • Wieviele Meldungen laufen in Ihrem Log auf und sind diese übersichtlich und verwertbar aufbereitet?

Abbildung 1: Ist ihre Firewall wirklich als NGFW konfiguriert? Die Aus- wertung der Konfiguration sagt NEIN!

iT-CUBE SYSTEMS AG

Firewall Policy Acceleration Service für PAN-NGFWs

Abbildung 2: Statistik zu den vorhandenen Regeln

Abbildung 3: Übersicht über verwendete Objekte

Abbildung 4: Prüfungslog

Paul-Gerhardt-Allee 2481245 München, Germany

T: +49 89 2000 148 00 F: +49 89 2000 148 29

info@it-cube.de www.it-cube.de

iT-CUBE SYSTEMS AG

Unsere Experten sind für Sie da, wir helfen Ihnen gern weiter. Kontaktieren Sie uns jederzeit, unverbindlich!

www.it-cube.de

Service Spezifikation

Dauer: 1-2 Wochen

Leistungen:

• Abstimmung zu den betroffenen Systemen • Lieferung und Implementierung der Systeme (Hardware oder Software Appliance) • Dedizierter PCNSE-zertifizierter Ansprechpartner während der Optimierung • Toolgestützte & manuelle Analyse des Security Regelwerks einer Palo Alto Networks Firewall ° Report über das Sicherheitsniveau des Regelwerks ° Tatsächlich verwendete Applikationen im Netzwerk • Erstellung einer Konfigurationsempfehlung ° Mapping der User zum Regelwerk ° Bereinigung von doppelten und ungenutzten Objekten ° Konsolidierung von Regeln ° Report mit Empfehlung zum Regelwerk in einer Konfigurations-Datei • Abschlussworkshop

Was wir benötigen:

• Rackspace (Klima, Strom, Verkabelung) für 1 Rackmount-System mit 2 Höheneinheiten • Temporärer Remote-Zugriff auf die Admin-GUI und die Kommandozeile der installierten Systeme • Anbindung der Policy Acceleration Appliance an die zu prüfenden NGFWs per XML-API • Berechtigungen zum Auslesen von Informationen • Bereitstellen von Netzwerkplänen • Ansprechpartner mit genereller Interviewbereitschaft • Basisinformationen, u.a. IP-Adressen, DNS, NTP, SMTP

Impact auf Systembetrieb:

• Ausschließlich passive Auswertung der Systeme während der Analysephase • Nach Abstimmung mit dem Kunden kann die bereitgestellte Konfigurationsdatei eingespielt und sofort verwendet werden

Kosten:

• Kosten pro Firewall / Firewallcluster PA-200 / PA-500 2.900 € • Kosten pro Firewall / Firewallcluster PA-3020 / PA-3050 4.900 € • Kosten pro Firewall / Firewallcluster PA-5020 / PA-5050 / PA-5060 9.900 €

Fazit

Um das Beste aus Ihrer Next Generation Firewall herauszuholen, ist ein Expertentest mit anschließender Optimalkonfiguration die richtige Wahl. Das dabei gewonnene Wissen und die Anpassungen helfen Ihnen, durch präventive Sicherheitsmaßnahmen das gewünschte Sicherheitsniveau und damit Ihr Investitionsziel zu erreichen.