Die meisten werden sich wahrscheinlich gar nicht mehr an den letzten Artikel zu genau diesem Thema hier im Blog erinnern, denn es ist schon über vier Jahre ist es her. Daher ist es somit auf jeden Fall Zeit einen Blick darauf zu werfen, wie sich das Thema bei den IT Verantwortlichen entwickelt hat und nicht zuletzt, ob es denn überhaupt angenommen wurde.
Der vier Jahre alte Beitrag hier im Blog war seinerzeit nicht aus Langeweile oder an Ermangelung anderer Themen entstanden, sondern weil es ein wichtiges Thema in Sachen IT Sicherheit ist. Grund genug, sich dem Thema wiederholt anzunehmen und auch zu prüfen, wie es den um Einsatz von Host Firewalls bestellt ist. Leider muss man nach wie vor feststellen, dass das Thema Host Firewalls immer noch sehr vernachlässigt wird. Es ist eher ernüchternd wie wenig diese zum Einsatz kommen. Leider sind auch die vorgebrachten Argumente, warum Host Firewalls nicht zum Einsatz kommt, immer noch die gleichen. Es stellt sich also auch heute wieder die gleiche Frage wie seinerzeit; warum werden Host Firewalls nicht genutzt? An einem Rückgang von Cyber Angriffen und der Entwicklung der Bedrohungslage kann es nicht liegen, denn diese haben in den letzten Jahren immer weiter zugenommen. Betrachtet man hier nur die jüngsten Ereignisse der Randsomware, die von Host zu Host sich im LAN über nicht geschlossene Sicherheitslücken verbreitet, gibt es nicht mal ansatzweise einen möglichen Grund der gegen den Einsatz von Host Firewalls spricht. Ganz im Gegenteil, alle Gründe sprechen für einen Einsatz am Host einen weiteren Security Layer zu etablieren.
Die Kontrolle der Kommunikation innerhalb eines LAN’s oder im besten Fall schon eines LAN Segments, kommt eine immer wichtigere Bedeutung zu. Eine ausschließliche Kontrolle des Nord-Süd Datenverkehrs ist schon länger nicht mehr ausreichend. Einen ebenso wichtigen Stellenwert hat die Kontrolle des Ost-West Datenverkehrs. Dazu gehören Internal Segmentation Firewalls (ISFW) genauso wie Host Firewalls und auch SDN Lösungen wie VMwares NSX, auf den Weg hin zu einer Zero Trust Umgebung. Das blinde Vertrauen in das eigene LAN, weil es ja von einer Perimeter Firewall geschützt wird, ist mehr als blauäugig. Heutige Cyber Angriffe sind so ausgefeilt, dass sie im Normalfall eine sehr lange Zeit völlig unentdeckt bleiben. Auch sind sie unendlich weit von den plumpen Attacken der „Script-Kiddies“ oder des Massen-Spams mit Malware entfernt und überhaupt nicht mit diesen zu vergleichen. Die aktuellen Angriffe auf die IT Infrastrukturen sind wesentlich subtiler, lange Zeit vorbereitet und was noch viel wichtiger ist, die Angreifer sind sehr geduldig und vorsichtig. So wollen ihre vorzeitige Entdeckung unter allen Umständen verhindern. Gerade diesen so professionell vorgehenden Angreifern muss die Verteidigung gelten. Alle anderen simpleren Angriffe hat man sich mit einem solchen Konzept dann auch entledigt. Auf Basis dieses tatsächliche Szenario, welches keine Fiktion ist, ist eine Zero Trust Umgebung eine sehr gute, wenn nicht aktuell sogar die beste Antwort. Vor allem auch deshalb, um Anomalien in dieser Umgebung frühzeitig zu erkennen. Aber wie will man Anomalien entdecken, wenn man nicht einmal weiß, wer denn mit wem „spricht“, weil alles was den Schutz am Perimeter passiert hat, ungehindert und unkontrolliert sich im lokalen Netz oder sich in den lokalen Netzen bewegen kann? Um die Eingangsfrage des Einsatzes von Host Firewalls noch zu erweitern, muss man auch die Frage stellen, warum IT Sicherheit bei vielen Unternehmen immer noch mehr den Status „ist eher lästig“ als dass was sie ist angesehen wird: Zwingend notwendig und bestmöglich umgesetzt. Ich habe extra geschrieben, bei „vielen“, denn es gibt auch Unternehmen die die Wichtigkeit von IT Sicherheit erkannt haben und dementsprechend handeln. Alle die Sicherheit immer noch als „lästig“ ansehen, sollten dringend an ihrer Einstellung arbeiten und vor allen unverzüglich damit anfangen ihre Defizite in Sachen IT Sicherheit aufzuholen. Ein erster Schritt, der ohne Neuanschaffungen möglich ist, ist eben der Einsatz von Host Firewalls. Denn die liefern die Betriebssysteme auf Client und Server frei Haus mit. Auf Microsoft wurde viel geschimpft was Sicherheit ihrer Systeme angeht, das Patchmanagement usw., dann macht aber Microsoft einen wichtigen und großen Schritt mit der Windows Firewall und alle die vorher die Sicherheit bemängelt haben, nutzen die Funktion dann gar nicht. Sicherlich ist eine Hoste Firewall nicht das Allheilmittel der ganzen Sicherheitsprobleme in der IT, aber wenn einem eine solche Option zur Verfügung steht, dann nutzt man diese auch. Natürlich gibt es Ausnahmen, wie Systeme bei denen die Richtlinien anderweitig umgesetzt werden. Seit es hier zum Beispiel ein System in einer physikalischen DMZ, ACL’s auf den Access Ports oder im WLAN, als VM mit Policies an der vNIC oder durch eine virtuelle Firewall oder auch durch Schutzsoftware eines Drittanbieters der ebenfalls ein entsprechendes Regelwerk mitbringt. Wobei man bei Letzteren doch lieber über den Einsatz der Komponenten des Betriebssystems den Vorzug geben sollte. Die vorgefertigten Regelwerke oder man muss sagen Machwerke die einige Hersteller von AntiViren Produkten mitbringen, basieren eher auf Unvermögen.
Leider sieht man immer noch zu oft, dass dem Ausschalten der Host Firewall der Vorzug gegeben wird oder die „Allow Any Any“ Regel genommen wird. So etwas ist natürlich deutlich bequemer, man muss sich keine Gedanken im die Zugriffe machen, denn es funktioniert ja. Das Blöde dabei ist aber auch, dass es genau so einfach für den Angreifer ist, denn für ihn funktioniert alles ebenfalls einfach so. Ist vielleicht nicht die Win-Win Situation die man sich wünscht.
Das Fazit muss also sein, endlich die Host Firewall als das zu sehen was sie ist; ein wichtiger Layer im IT Security Konzept. Sie steht in der Office IT für alle Systeme zur Verfügung, hier gibt es keine Ausreden mehr. In den Bereichen ICS, SCADA usw. ist dies nicht immer der Fall, daher muss bei diesen Ausnahmen die Security anderweitig bereitgestellt werden. Der Synergieeffekt ist aber, dass man eine Dokumentation der Kommunikation der eigenen Umgebung erhält auf die man weiter aufbauen kann. Also zu dem wichtigsten Punkt, dass man die Sicherheit der eigenen IT Infrastruktur damit maßgeblich erhöht, wenn man die Funktion denn passend einsetzt. Etwas Zeit in die Planung investiert, die Regelwerke erstellen und ausrollen. Die Dokumentation dabei aber nicht vergessen, wie auch die zentrale Protokollierung.