Automatisierte Durchflussanalyse für CISCO PIX Firewalls

Wichtige strategische Unternehmensziele sind heute die Anbindung eines lokalen Computernetzwerks an das Internet, der Aufbau standortübergreifender lokaler Netzwerke, die Einrichtung externer Arbeitsplätze, das Anbieten eigener Dienste im Internet und der Integration von komplexen eCommerce-Strukturen in die eigene Netzwerkstruktur. Diese Ziele konkurrieren in direkter Form mit dem Ziel der Netzwerksicherheit. Eine im Netzwerk geschickt angeordnete Firewall kann erheblich zur IT-Sicherheit beitragen. Voraussetzung hierfür ist, dass sie korrekt platziert und konfiguriert ist. Moderne Firewalls bieten eine Vielzahl von Konfigurationsmöglichkeiten und ein theoretisch hohes Sicherheitspotential. Zahlreiche Publikationen belegen, dass die Schutzfunktionen einer Firewall auf grund mangelhafter Konfigurationen gefährdet sein können. Die Probleme resultieren aus der Vielfalt der Konfigurationsmöglichkeiten und Firewallregeln. Um die Schutzfunktion zu gewährleisten, muss der genaue Datenfluss von einer Eingangsschnittstelle bis hin zur Ausgangsschnittstelle nachvollzogen und der gewünschte vom unerwünschten Datenverkehr getrennt werden. Die vorliegende Arbeit beschreibt ein Verfahren zur computergestützten Konfigurationskontrolle und Durchflussanalyse von Firewalls mit dem Ziel, die Kontrolle und Bewertung der Sicherheitskonfiguration erheblich zu vereinfachen und in wesentlichen Teilen zu automatisieren. Es wird gezeigt, dass eine Cisco-PIX-Firewallkonfiguration, aufbauend auf einer am Fraunhofer IESE entwickelten modularen Software zur Prüfung von Routerkonfigurationen bezüglich des Datendurchflusses analysiert werden kann. Das Ergebnis der Arbeit besteht aus neuen Modulen, mit denen sich diese Software nun zur Durchflussanalyse von Cisco-Pix-Firewalls einsetzen lässt.