Computergestützte Analyse von CISCO ASA Firewall-Konfigurationen

Firewalls spielen heutzutage eine bedeutende Rolle an den Schnittstellen zwischen Computernetzen. Durch steigende Anforderungen an die Verbindung von Funktionalität und Schutzfunktion entstehen oft umfangreiche und komplexe Firewallkonfigurationen, die selbst von Experten nicht in Handarbeit gewartet werden können. Zu groß ist die Gefahr, dass Schwachpunkte und Fehler übersehen werden. Softwarewerkzeuge zur computergestützten Konfigurationsanalyse können Administratoren bei der Prüfung auf Übereinstimmung von Konfiguration und Sicherheitsrichtlinien unterstützen. Ein derartiges Werkzeug wurde aufbauend auf einer am Fraunhofer IESE entwickelten Analysesoftware für Konfigurationen von CISCO Routern erstellt. Durch neue Analysemodule kann diese Software auch für die Analyse von CISCO ASA Firewalls eingesetzt werden. Um aussagekräftige Analyseergebnisse zu erhalten, muss das Modell, das den Modulen zugrunde liegt, zuverlässige Informationen über das Verhalten der Firewall enthalten. Es hat sich gezeigt, dass die Angaben der Firewall-Dokumentation alleine zur Modellbildung nicht ausreichen. Um Uneindeutigkeiten und Lücken der Dokumentation zu schließen, bleibt in den meisten Fällen nur das Testen am Gerät. Diese Arbeit beschreibt Verfahren zum Testen von CISCO ASA Firewalls und die Anwendung dieser Verfahren. Auf Grundlage der dabei ermittelten Ergebnisse wird das Modell, das den Modulen zugrunde liegt, korrigiert. Des Weiteren wird die Implementierung der Unterstützung symbolischer Namen in der Analysesoftware beschrieben. Durch den Einsatz symbolischer Namen können Firewallkonfigurationen übersichtlicher und flexibler gestaltet werden, was im Sinne der Fehlervermeidung zu befürworten ist. Daher ist auch eine Unterstützung durch die Analysesoftware notwendig.