Wir ProSec von informieren heute über Firewall Pentesting. Bei Firewalls handelt es sich um Sicherheitssysteme, die typischerweise zwischen Netzwerken verschiedener Vertrauensstufen stehen.
Sie steht zum Beispiel ganz klassisch zwischen dem eigenen Netzwerk und dem Internet, als eigene Hardware-Appliance, oder in Form einer Service-Appliance auf einem Gerät wie dem Router im Heimnetz. Firewalls kümmern sich um die Filterung des vertikalen Netzwerkverkehrs.
Darüber hinaus gibt auch die Host-basierten Firewalls, die direkt für die Filterung des ein- und ausgehenden Netzwerkverkehrs zuständig sind.
Aufgrund ihrer Aufgaben und ihrer exponierten Stellung zwischen den Netzen, sind Firewalls von essentieller Bedeutung für Angreifer und Verteidiger, was Firewall Pentesting zu einem wichtigen Baustein im Schutz eines Netzwerks macht. Beim Pentest werden IT-Syteme manuell auf Sicherheitslücken überprüft. Mit einer Schwachstellen-Analyse lassen sich automatisch bereits einige Sicherheitslücken feststellen.
Firewall Pentesting trägt zum Schutz eines Netzwerks bei. Doch spricht man von Firewalls in Unternehmensumgebungen, dann hat man es heute in der Regel nicht mehr nur mit einer reinen Firewall zu tun, sondern häufig mit einer All-in-One-Lösung – von VPN über Proxy und Load-Balancer bis hin zu IDS/IPS und Web Application Firewall-Funktionalitäten.
Zusätzlich fungieren Firewalls als Advanced Thread Protection, E-Mail-, DNS- und DHCP-Server sowie als Sandbox (diese Liste könnte man noch lange weiterführen). Umfassende Funktionen einer Firewall machen Firewall Pentesting unabdingbar.
Das Überwinden der Firewall (Bypass) ist für Angreifer aber das Hauptziel. Doch die vielen Services, die eine moderne Firewall bietet, sind genauso interessant für einen Angreifer.(Verweis auf CVE-2021-23008, CVE-2021-22986, CVE-2021-22987). Ob eine Firewall überwunden werden kann, wird mit dem Firewall Pentesting überprüft.
Am Anfang des Firewall Pentesting steht, wie so häufig, erst mal die Reconnaissance, also die Aufklärung.
Beim Firewall Pentesting geht es um die Identifikation der Firewall sowie der Interfaces, der offenen Ports und welche Serviceversionen, sich dahinter verbergen.
Der Weg der Pakte über die Netzwerkgeräte bis hin zur Firewall ist für das Firewall Pentesting eine sehr wichtige Information, denn es kann durchaus noch andere Geräte geben, die den Netzverkehr filtern.
Als nächster Schritte im Prozess des Firewall Pentestings erfolgt die Suche nach bereits bekannten Exploits anhand der gewonnenen Informationen und das Testen der Konfiguration. Dabei werden im Rahmen des Firewall Pentesting Access Control Listen über Firewalking bis hin zum Verschleiern von Kommunikationskanälen (Covert Channels) zum Überwinden der Firewall getestet.
Auch der Versuch der Remote Code Execution, Server Side Request Forgery (SSRF) oder des Brute Forcing (nur um einige zu nennen) werden beim Firewall Pentesting geprüft.
Neben dem Firewall Pentesting gibt es generelle Maßnahmen, die ergriffen werden sollten, um das Netzwerk zu schützen.
Die Firewall sollte gründlich konfiguriert sein und up to date gehalten werden. Das mag sich banal anhören, doch diese Maßnahme gilt für alle Geräte in einem Netzwerk. Da es sich bei einer Firewall, in der Regel, um ein sehr exponiertes Gerät handelt, sollte man hier besonders aufmerksam sein.
Es beginnt bei ihren Regeln für den Netzwerkverkehr, bei der Nutzung Ihrer Interfaces und Dienste, hin zu ihrer Einbindung in die eigene Domäne oder zu anderen. Um keine Lücken durch Altlasten entstehen zu lassen, sollten diese Maßnahmen auch in regelmäßigen Intervallen wieder überprüft werden,
Diese Maßnahme korrespondiert mit der 1. Maßnahme, soll hier aber noch mal gesondert genannt werden und betrifft die Dokumentation.
Ohne eine gründliche, saubere und vor allem aktuelle Dokumentation der Firewall und ihrer Konfiguration, wird man besonders in größeren Organisationen schnell Altlasten in der Konfiguration mit sich herumtragen.
Die 3. Maßnahme betrifft das Monitoring, da eine gründliche Konfiguration einen nicht zwangsläufig vor Zero-Days oder infizierten Geräten durch Fehler des Nutzers oder Social Engineering schützt.
Hier hat man nur eine Chance, handeln zu können, wenn der Netzwerkverkehr und die Firewall selbst in ein gründliches Monitoring eingebunden wurden, wodurch der Administrator die Chance bekommen kann, rechtzeitig und angemessen zu reagieren.
Wenn Sie mehr zu Firewall Pentesting erfahren möchten, dann kontaktieren Sie uns jetzt. Wir beraten Sie gerne in allen Fragen rund um die IT-Sicherheit Ihres Unternehmens.
