F

Best Practice: Auf den Ausfall einer Firewall vorbereitet sein

Wenn eine Firewall ausfällt, kann dies kritische Auswirkungen auf das Unternehmenssystem haben. Mit zwei Tipps lassen sich die Probleme minimieren.

Dieser Artikel behandelt

Netzwerk-Sicherheitsanalyse

Wir hatten vor kurzen einen Firewall-Ausfall, der einige Stunden andauerte. Zum Glück hatten wir Backup-Systeme,...

die wir verwenden konnten. Für die Zukunft möchten wir allerdings möglichst gut vorbereitet sein: Wie können wir uns vorbereiten? Gibt es Best Practices?

Mein Tipp für die Vorbereitung auf einen Firewall-Ausfall lässt sich mit zwei Worten zusammenfassen: Redundanz und Überwachung.

Redundanz: Es geht nicht nur darum, ein Ersatzgerät an der Hand zu haben, wenn eine wichtige Komponente ausfällt. Vielmehr geht es darum, dass dieser Ersatz automatisch aktiv wird. Ein Beispiel: In einer Cisco PIX-Umgebung sollten Sie ein PIX-Gerät als aktive Firewall konfiguriert haben, während eine weitere als Stand-By-Firewall arbeitet. In den meisten Fällen benötigen Sie dazu nur ein wenig mehr Infrastruktur, etwa ein Failover-Kabel. Dabei handelt es sich in den meisten Fällen nur um ein modifiziertes Seriell-Link-Kabel, das beide PIX Geräte verbindet. In dieser Konfiguration senden beide Geräte alle drei Sekunden über ACK Nachrichten. Wird eine Kommunikation nicht bestätigt, wird sie erneut geschickt. Kommt nach fünf Übertragungen immer noch keine Antwort, geht das System von einem Failover aus und verwandelt das Standby-Gerät in die aktive Firewall.

Überwachung: Es macht durchaus Sinn, die Firewall-Infrastruktur mit einem Überwachungsmodul zu koppeln, um sicherzustellen, dass die zu blockenden Inhalte auch wirklich geblockt werden. Dieser Prozess kann komplett passiv ablaufen – dabei sollten allerdings Alarmmechanismen in den Ablauf integriert sein, falls das Überwachungssystem einen Fehler oder Unregelmäßigkeit entdeckt.

Sollten Sie oder ihr Unternehmen nur ein begrenztes Budget zur Verfügung haben, dann können Sie auch auf andere Arten kreativ werden. Sie können beispielsweise ein Wireshark-System an den Monitor-Port anschließen und den kompletten Traffic protokollieren, der durch die Firewall läuft. Wichtig ist aber, dass Sie diesen Traffic regelmäßig überprüfen um Unregelmäßigkeiten zu entdecken.

Folgen Sie SearchNetworking.de auch auf Facebook, Twitter und Google+!

Artikel wurde zuletzt im Mai 2014 aktualisiert

Pro+

Premium-Inhalte

Weitere Pro+ Premium-Inhalte und andere Mitglieder-Angebote, finden Sie hier.

Erfahren Sie mehr über Netzwerk-Sicherheitsanalyse

0 Kommentare

Älteste Beiträge 

Passwort vergessen?

Kein Problem! Tragen Sie Ihre E-Mail-Adresse unten ein. Wir werden Ihnen eine E-Mail mit Ihrem Passwort schicken.

Ihr Passwort wurde an die folgende E-Mail-Adresse gesendet::

- GOOGLE-ANZEIGEN

SearchSecurity.de

SearchStorage.de

SearchDataCenter.de

SearchEnterpriseSoftware.de

Close