Mentz, D. (2008):

Audit von Firewall-Policies mit Hilfe von Netflow-Analysen

Das Backbonenetz des MWN besteht aus einem Ring von Routern, welche über die drei Standorte Garching, TUM-Stammgelände und LMU verteilt sind. Alle Subnetze des MWN sind direkt oder indirekt über eine Schnittstelle an einen dieser Router angebunden. Mit Hilfe von Access Control Lists (ACLs) ist es möglich, für jedes VLAN-Interface direkt auf dem Router einen Paketfilter aufzusetzen und so das entsprechende Subnetz zu schützen. Ziel dieses Projekts ist es, die Access Control Lists der VLANs auszulesen und diese mit den NetFlow-Daten des selben Routers zu vergleichen. Es soll also im Nachhinein überprüft werden, ob nur durch die ACLs erlaubter Netzverkehr stattgefunden hat. Dies erfordert das Rekonstruieren des Netzverkehrs aus den NetFlow-Daten. Außerdem muss die Funktion der Firewall nachgebildet werden. Sollten in dem rekonstruierten Netzverkehr Verbindungen auftauchen, die durch die Firewall hätten blockiert werden müssen, so sollen diese Abweichungen protokolliert werden. Ein Skript in der Programmiersprache Ruby, das die Funktion der Firewall nachbildet, wurde erfolgreich entwickelt. Der Vergleich mit den Netflow-Daten schlug aber leider fehl. Auf Grund der Tatsache, dass es sich um zustandsbehaftete Firewalls handelt, ist es erforderlich, den Netzverkehr zu rekonstruieren. Insbesondere muss ermittelt werden, welcher Kommunikationspartner eine Verbindung aufgebaut hat. Es wurde ein Lösungsvorschlag vorgestellt, der diese Rekonstruktion des Initiators leisten soll. Im Verlauf des Projekts hat sich jedoch herausgestellt, dass das vorgeschlagene Verfahren nur in etwa der Hälfte der Fälle eine richtige Ausgabe produziert. Grund dafür ist die Qualität der NetFlow-Daten. Die Zeitstempel, die dort zu finden sind, weisen eine Granularität von 64 Millisekunden auf, was sich als zu grob herausgestellt hat. Außerdem sind die Daten unvollständig, da einige Flows schlichtweg fehlen.

• PDF Version (1,387.7 KB)
• Postscript Version (1,718.4 KB)