Bedeutung und Rolle von Firewall-Protokollen

Eine Firewall überwacht den ein- und ausgehenden Datenverkehr der Umgebung, zu deren Schutz sie entwickelt wurde. Einige Firewalls bieten zudem Einblick in Quelle und Art des eingehenden Datenverkehrs. Eine Firewall wird mithilfe von Regeln konfiguriert. Um erfolgreich zu sein, muss der Regelsatz einer Firewall um eine Protokollierungsfunktion erweitert werden.

Die Protokollierungsfunktion zeichnet auf, wie die Firewall die verschiedenen Datenverkehrstypen verwaltet. Die Protokolle liefern Unternehmen beispielsweise Informationen zu Quell- und Ziel-IP-Adressen, Protokollen und Portnummern und können von einem SIEM zur Untersuchung eines Angriffs verwendet werden.

Firewall-Protokollierung

Eine Firewall dient in ihrer einfachsten Form dazu, Verbindungen von verdächtigen Netzwerken zu blockieren. Sie überprüft die Quelladresse, die Zieladresse und den Zielport aller Verbindungen und entscheidet, ob ein Netzwerk vertrauenswürdig ist.

Der Einfachheit halber können wir Informationen zur Quelladresse, zum Quellport sowie zur Zieladresse und zum Zielport zusammenfassen. Wir können diese Informationen als identifizierendes Merkmal aller Verbindungsversuche betrachten, die von der Firewall verfolgt werden.

Diese Eigenschaft ähnelt einem Regelwerk, das festlegt, welche Verbindungen zulässig sind und welche abgelehnt werden müssen. Enthält diese identifizierende Eigenschaft Informationen, die mit einer zulässigen Verbindung übereinstimmen, kann die Quelladresse eine Verbindung mit der Zieladresse am zulässigen Port herstellen. Somit wird der Datenverkehr in das Netzwerk zugelassen.

Der Erfolg einer Firewall hängt daher in der Regel von den Regeln ab, nach denen sie konfiguriert wird.

Die Firewall überwacht den ein- und ausgehenden Datenverkehr der Umgebung, zu deren Schutz sie eingerichtet wurde, und bietet Einblick in Art und Quelle des in die Umgebung eingehenden Datenverkehrs. Sie dient in der Regel zwei Zwecken:

• Schutz der Umgebung vor Bedrohungen aus internen und externen (Internet-)Quellen
• Fungiert als Ermittlungsressource für Sicherheitsexperten, die nachverfolgen müssen, wie ein Verstoß die Firewall durchdrungen hat

Um die größtmögliche Wirksamkeit zu erzielen, muss ein Firewall-Regelsatz um eine erfolgreiche Protokollierungsfunktion erweitert werden.

Die Protokollierungsfunktion dokumentiert, wie die Firewall mit verschiedenen Datenverkehrstypen umgeht. Diese Protokolle bieten beispielsweise Einblicke in Quell- und Ziel-IP-Adressen, Protokolle und Portnummern.

Wann und warum Firewall-Protokollierung sinnvoll ist

• Um zu sehen, ob neue Firewall-Regeln gut funktionieren, oder um sie zu debuggen, wenn sie nicht richtig funktionieren.
• Um festzustellen, ob in Ihrem Netzwerk böswillige Aktivitäten stattfinden. Es bietet jedoch nicht die Informationen, die Sie benötigen, um die Quelle der Aktivität zu isolieren.
• Wenn Sie feststellen, dass wiederholt erfolglose Versuche unternommen werden, von einer einzelnen IP-Adresse (oder einer Gruppe von IP-Adressen) auf Ihre Firewall zuzugreifen, möchten Sie möglicherweise eine Regel erstellen, um alle Verbindungen von dieser IP zu stoppen.
• Ausgehende Verbindungen von internen Servern, beispielsweise Webservern, können ein Hinweis darauf sein, dass jemand Ihr System als Startrampe nutzt. Von Ihrem System aus könnte er Angriffe auf Computer in anderen Netzwerken starten.

Linux-Firewall-Protokolle

Der Linux-Kernel verfügt über ein Paketfilter-Framework namens Netfilter. Mit diesem Framework können Sie den ein- und ausgehenden Datenverkehr eines Systems zulassen, blockieren und ändern. Das Tool iptables erweitert diese Funktionalität um eine Firewall, die Sie mithilfe von Regeln konfigurieren können. Auch weitere Programme wie fail2ban nutzen iptables, um Angreifer zu blockieren.

Wie funktioniert iptables?

Iptables ist eine Kommandozeilenschnittstelle für die Paketfilterfunktionen von Netfilter. In diesem Artikel wird jedoch nicht zwischen Iptables und Netfilter unterschieden. Der Übersichtlichkeit halber wird das gesamte Konzept als Iptables bezeichnet.

Die von iptables angebotene Paketfilterfunktion ist in Tabellen, Ziele und Ketten strukturiert. Vereinfacht ausgedrückt ermöglicht eine Tabelle die Verarbeitung von Paketen auf eine bestimmte Art und Weise. Die Filtertabelle ist die Standardtabelle.
Mit diesen Tabellen sind Ketten verknüpft. Mithilfe dieser Ketten können Sie den Datenverkehr an verschiedenen Punkten überwachen. Sie sehen den Datenverkehr, sobald er an der Netzwerkschnittstelle ankommt oder bevor er an einen Prozess weitergeleitet wird. Sie können den Ketten auch Regeln hinzufügen, um bestimmte Pakete, beispielsweise TCP-Pakete an Port 70, abzugleichen und mit einem Ziel zu verbinden. Ein Ziel bestimmt, ob das Paket zugelassen oder blockiert werden soll.

Wenn ein Paket (je nach Kette) ein- oder ausgeht, vergleicht iptables es einzeln mit den Regeln dieser Ketten. Bei einer Übereinstimmung wird das Ziel isoliert und die gewünschte Aktion ausgeführt. Wird keine Übereinstimmung mit einer der Regeln gefunden, wird die in der Standardrichtlinie der Kette festgelegte Aktion ausgeführt. Die Standardrichtlinie fungiert gleichzeitig als Ziel. Standardmäßig sind alle Ketten so konfiguriert, dass Pakete zugelassen werden.

Arbeiten mit und Interpretieren von iptable-Firewall-Protokollen

Um Firewall-Protokolle zu erstellen, muss der Kernel die Firewall-Protokollierung aktivieren. Standardmäßig werden übereinstimmende Pakete protokolliert alskern.warn(Priorität 4) Nachrichten. Sie können die Protokollpriorität mit dem--log-levelOption zu-j LOG.

Die meisten Headerfelder des IP-Pakets werden offengelegt, wenn ein Paket einer Regel mit dem LOG-Ziel entspricht. Standardmäßig werden Firewall-Protokollmeldungen in /var/log/messages geschrieben.

Windows-Firewall-Protokolle

Microsoft Windows verfügt über eine integrierte Firewall. Standardmäßig protokolliert die Firewall keinen Datenverkehr. Sie können die Firewall jedoch so konfigurieren, dass zulässige Verbindungen und abgebrochener Datenverkehr protokolliert werden. Wenn Sie die Protokollierung der Windows-Firewall aktivieren, werden in der Verzeichnishierarchie „pfirewall.log“-Dateien erstellt. Sie können die Protokolldateien der Windows-Firewall im Editor einsehen.

So aktivieren Sie Windows 10-Firewall-Protokolle

Gehen Sie zur Windows-Firewall mit erweiterter Sicherheit. Klicken Sie mit der rechten Maustaste auf Windows-Firewall mit erweiterter Sicherheit und klicken Sie auf Eigenschaften.

Das Eigenschaftenfeld „Windows-Firewall mit erweiterter Sicherheit“ sollte angezeigt werden.

Sie können zwischen Domänen-, privaten und öffentlichen Firewall-Profilen wechseln. Konfigurieren Sie in der Regel das Domänen- oder private Profil. Sehen wir uns an, wie Sie die Windows-Firewall-Protokollierung für ein privates Windows-Firewall-Profil erstellen. Die folgenden Schritte funktionieren sowohl für ein öffentliches Profil als auch für eine Domäne.

Klicken Sie auf Privates Profil > Protokollierung > Anpassen

Gehen Sie zu „Log Dropped Packets“ und wechseln Sie zu „Yes“

Im Allgemeinen aktivieren wir die Protokollierung nur für „Verworfene Pakete protokollieren“. Erfolgreiche Verbindungen protokollieren wir nicht, da erfolgreiche Verbindungen bei der Problemlösung im Allgemeinen nicht so hilfreich sind.

Kopieren Sie den Standardpfad für die Protokolldatei. ( %systemroot%\system32\LogFiles\Firewall\pfirewall.log ) und drücken Sie dann OK

Öffnen Sie den Datei-Explorer und navigieren Sie zum Speicherort des Windows-Firewall-Protokolls ( %systemroot%\system32\LogFiles\Firewall\). Im Firewall-Ordner finden Sie die Datei pfirewall.log.

Kopieren Sie die Datei pfirewall.log auf Ihren Desktop. Dadurch können Sie die Datei ohne Firewall-Warnungen öffnen.

Interpretieren der Windows-Firewall-Protokolle

Ihr Windows-Firewall-Protokoll sieht ungefähr wie folgt aus:

Hier ist eine Analyse der wichtigsten Aspekte des obigen Protokolls:

1. Uhrzeit und Datum der Verbindung.
2. Was ist aus der Verbindung geworden? „Zulassen“ bedeutet, dass die Firewall die Verbindung zugelassen hat, „Abbrechen“ bedeutet, dass sie sie verhindert hat.
3. Die Art der Verbindung, TCP oder UDP.
4. Die IP der Quelle der Verbindung (Ihr PC), die IP des Ziels (Ihr gewünschter Empfänger, z. B. eine Webseite) und der verwendete Port Ihres Computers. So können Sie alle Ports identifizieren, die für die Funktionsfähigkeit der Software geöffnet werden müssen. Achten Sie auch auf verdächtige Verbindungen, da diese auf Schadsoftware hinweisen können.
5. Gibt an, ob Ihr Computer über diese Verbindung ein Datenpaket empfangen oder gesendet hat.

So analysieren Sie Firewall-Protokolle

Die Firewall-Protokollierung, insbesondere von zulässigen Ereignissen, kann hilfreich sein, um potenzielle Bedrohungen der Netzwerksicherheit zu erkennen. Unternehmen schützen Vermögenswerte, die nicht frei zugänglich sein sollten, in der Regel streng. Dazu gehören beispielsweise interne Unternehmensnetzwerke und die Arbeitsplätze der Mitarbeiter. In der Regel sind keine direkten eingehenden Verbindungen zu diesen Systemen zulässig.

Worauf Sie bei der Durchführung einer Firewall-Protokollanalyse achten sollten

Nachdem Sie die Firewall-Protokolle gesammelt und mit der Analyse begonnen haben, können Sie entscheiden, wonach Sie suchen möchten. Achten Sie nicht nur auf „schädliche“ Ereignisse. Ihre Firewall-Protokolle helfen Ihnen nicht nur, Kompromittierungen und Vorfälle zu isolieren, sondern auch den normalen Betrieb der Firewall zu spezifizieren.

Eine Möglichkeit, festzustellen, ob das protokollierte Verhalten verdächtig ist, besteht darin, die normalen Vorgänge zu beobachten und dann die Ausnahmen zu notieren.

Einige Ereignisse sollten immer Verdacht erregen und weitere Untersuchungen nach sich ziehen. Dabei handelt es sich um die folgenden:

• Authentifizierung erlaubt
• Der Verkehr ging zurück
• Firewall stoppen/starten/neu starten
• Änderungen an der Firewall-Konfiguration
• Administratorzugriff gewährt
• Authentifizierung fehlgeschlagen
• Administratorsitzung beendet

Protokollanalyse und Alarmierung mit Exabeam

Log-Management und SIEMs der nächsten Generation

Die Protokollverwaltung ist eine Herausforderung und wird durch das schnelle Wachstum von Netzwerkgeräten, Mikro- und Cloud-Diensten, Endpunkten und die enorme Zunahme des Daten- und Verkehrsaufkommens noch anspruchsvoller.

Security Information and Event Management (SIEM)-Lösungen der nächsten Generation können Sie bei der Verwaltung sicherheitsrelevanter Protokollereignisse unterstützen und Ihnen dabei helfen, mehr über Ereignisse zu erfahren, die für einen Sicherheitsvorfall relevant sind.

Funktionen von SIEMs der nächsten Generation:

• Sicherheitsdatensee, der unbegrenzte Datenmengen historischer Protokolle speichern kann
• Technologie zur Verhaltensanalyse von Benutzern und Entitäten für eine verbesserte Bedrohungserkennung durch Verhaltensanalyse.
• Automatisierte Incident-Response-Funktionen, die über Playbooks Serviceintegrationen für die automatisierte Untersuchung, Eindämmung und Schadensbegrenzung von Vorfällen bereitstellen.
• Erweiterte Datenerkundungsfunktionen, die Sicherheitsanalysten durch die Untersuchung von Protokollen bei ihrer Bedrohungssuche unterstützen können.