Firewallregelmanagement

Posted on the September 20th, 2009 under adminlife,howtos,wissen by stefan

Ich frage mich, wie ihr eure Firewallregeln in Firmenfirewalls verwaltet und sichert – wer iptables oder eine darauf basierende Lösung besitzt, wird wohl einfach automatisch oder eventbasiert Backups machen oder die Regeln in ein Repo einchecken – doch was machen die armen Admins, die mit proprietärer Hardware zu tun haben? Mir fallen spontan folgende 5 Punkte ein:

  • Programmieren einer Schnittstelle, die die Regeln ausliest und in ein Repo eincheckt
  • Automatische Backups durch die Firewall erzeugen lassen (oftmals per Mail möglich) und einchecken in ein Repo
  • Eingeben der Firewallregeln in ein Dokumentationssystem
  • Eingeben der Firewallregeln in ein System, welches die Regeln dann auf der Firewall anlegt
  • Keine Dokumentation ;)

Mich würde interessieren, wie ihr hier vorgeht? Z.B. für eine Zertifizierung nach dem IT-Grundschutzhandbuch sind solche organisatorischen Dinge nicht ganz unwichtig.

|

16 Responses to 'Firewallregelmanagement'

Subscribe to comments with RSS
  1. 20. September 2009 at 18:40
    Jtb

    Linksys-Switche: Cronjob mit SVN-Checkin (dadurch geht nur leider verloren wer geändert hat)
    Und demnächst für manche Cisco-Geräte: snmptrap und config abholen&einchecken

  2. 20. September 2009 at 19:04
    JP Mens

    Ich kuemmere mich nicht mehr darum, aber fuer Cisco Kisten hatte ich mal was gestrickt. War nicht schlecht, und laueft, glaube ich, immer noch. :-)

  3. 20. September 2009 at 20:08
    Lukas Beeler

    Jeder der (grösseren) kommerziellen Hersteller hat dafür selbstverständlich eine Lösung:
    http://www.sonicwall.com/emea/2182.html

  4. 20. September 2009 at 20:15
    lux

    Auf ScreenOS kann man die Firewallregeln direkt aus der Config raus lesen und dann in ein svn einspielen. Als 2. Weg steht NSM zu Verfügung, welches auch eine einfache Exportfunktion hat.

  5. 20. September 2009 at 21:05
    myElrond

    Die Astaro Firewalls machen automatische, verschluesselte, periodische Backups der Config per EMail.

  6. 20. September 2009 at 23:22
    Jens Link

    Check Point kann das von Haus aus, in der ganz aktuellen Version auch mit einem Workflow Managment (Admin konfiguriert, Manager genemigt).

    Für Cisco, Juniper, …. gibt es RANCID (http://www.shrubbery.net/rancid/)

  7. 21. September 2009 at 09:51
    Schakko

    +1 für Astaro Firewall / Astaro Security Gateway. Läuft bei uns ebenfalls periodisch als Backup per Email.

  8. 21. September 2009 at 10:01
    Markus

    Wir setzen eine Lösung von Clavister ein. Die haben ein Versionskontrollsystem eingebaut. Dort ist der Workflow:
    - Auschecken
    - Ändern
    - Einchecken (gute Admins geben hier einen aussagekräftigen Kommentar ein)
    - Deploy (der letzteingecheckten Version)

    Jederzeit kann ich auf einen älteren Stand zurück gehen.

    Das ganze wahlweise im Webinterface der FW oder in der zentralen Managementanwendung.

  9. 21. September 2009 at 13:39
    Ano

    Warum immer so “aufwendig”? Damit andere nicht Linux Admins die Firewalls auch bedienen können setzen wir hier meist auf IpCop.

  10. 21. September 2009 at 14:35
    soahc

    Wir setzen Juniper Firewalls ein, die wir über die Commandline konfigurieren. So kann man alles auch einfach per Datei speichern und im Project Server speichern.

  11. 22. September 2009 at 12:30
    PowerShell

    Wir haben bei uns CheckPoint im Einsatz und mit dem Security Management Portal (SMP) ist es sehr Einfach das ganze hand zuhaben.

  12. 22. September 2009 at 13:28
    ts

    phion Netfence Systeme mit einem Managment haben das im Bauch; fuer f. iptables,pf,cisco acls usw. gaebe es playbook – http://runplaybook.com/ (noch nie getestet/probiert klingt aber ganz brauchbar)

    lg

  13. 23. September 2009 at 14:41
    Ziong

    Wir benutzen Rancid für alles was Cisco und Juniper ist. Howto

  14. 26. September 2009 at 20:35
    Stefan

    @jtb: “Linksys-Switche: Cronjob mit SVN-Checkin (dadurch geht nur leider verloren wer geändert hat)”
    Doof daran ist auch, dass nicht unbedingt jede Änderung im SVN ist, aber besser als garnichts!

    @JP Mens: Sieht gut aus! Wenn ich mal wieder mehr mit Cisco mache, wäre das mit Sicherheit eine sehr gute Lösung.

    @Lukas Beeler: Ja, allerdings leider kostenpflichtig und sehr teuer. M.A. gehört sowas zur Grundausstattung.

    @myElrond / Schakko: Wie sehen die Backups denn aus, kommt da nacher Text raus, sodass ein diff vernünftig möglich ist?

    @Ano: Ja, aber gibts da eine Historie, kann man reverten? Ich glaube nicht…

    Vielen Dank für die Beiträge und Hinweise auf Tools! Leider gibt es ja manchmal auch noch “Altlasten” mit denen man umgehen muss…

  15. 27. September 2009 at 18:06
    Joern

    FirewallBuilder hat ein eingebautes Revision-Controlsystem.

  16. 24. October 2009 at 07:06
    priez

    Hoi,

    Ein Repo-Sys haben wir nicht. Nur eine (stets aktuelle) Sammlung von “Firewallbuilder”-Skripten auf iptables-Basis für alle Linux-Systeme. Und eine Fortigate60b, an der jegliche der überhaupt notwendigen Massnahmen scheitern für das interne Netz.

    Nachprüfen wer/was geändert wurde können wir nicht.

    greetz vom priez

Leave a Reply




XHTML::
<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>