Skip to content

Eine Firewall-Prüfung findet eine Regel „Quelle beliebig / Ziel beliebig / erlauben“ nahe dem Anfang der Richtlinie. Was ist das Problem und die Lösung?

Kurzantwort

Da Firewalls Regeln von oben nach unten auswerten, kurzschließt eine breite any/any-Erlauben-Regel nahe dem Anfang alle darunterliegenden Regeln und lässt allen Verkehr durch — die Firewall hört praktisch auf, irgendetwas durchzusetzen. Ersetzen Sie sie durch explizite Least-Privilege-Regeln für die tatsächlich benötigten Flüsse, so geordnet, dass spezifische Erlaubnisse und Verweigerungen wirken, abschließend mit einer Standardverweigerung. Sie effizient zu nennen ist falsch, sie ans Ende zu verschieben kann die Standardverweigerung weiterhin verdecken, und ein Umbenennen ändert nichts daran, was sie erlaubt.

Eine any → any → erlauben-Regel nahe dem Anfang einer Firewall-Richtlinie zu finden, heißt eine Firewall zu finden, die praktisch gar nichts filtert. Die Lösung ist, sie zu entfernen und rund um Least Privilege mit korrekter Reihenfolge neu aufzubauen.

Warum eine any/any am Anfang alles bricht

Firewalls werten Regeln von oben nach unten aus, der erste Treffer gewinnt. Die erste Regel, die zu einem Paket passt, entscheidet sein Schicksal, und die Auswertung stoppt dort. Eine Regel, die auf jede Quelle zu jedem Ziel passt, passt auf jedes Paket — sie greift also, bevor auch nur die sorgfältigste darunterliegende Verweigerungs- oder eng gefasste Erlaubnisregel eine Chance bekommt. Diese unteren Regeln werden verdeckt (shadowed): in der Konfiguration vorhanden, aber tot. Das Ergebnis ist ein implizites „alles erlauben", das den gesamten Zweck des Geräts zunichtemacht und meist Vorgaben wie NIST SP 800-41 und die CIS Controls verletzt.

Die richtige Lösung

Bauen Sie auf den Prinzipien Standardverweigerung und Least Privilege neu auf:

  1. Inventarisieren Sie die wirklich benötigten Flüsse (Quelle, Ziel, Port, Protokoll) — nutzen Sie Verbindungsprotokolle / NetFlow, um die Produktion nicht zu brechen.
  2. Schreiben Sie explizite, eng gefasste Erlaubnisregeln für genau diese Flüsse.
  3. Ordnen Sie sie so, dass spezifische Regeln den allgemeinen vorangehen, und setzen Sie eine Standardverweigerung (mit Protokollierung) ans Ende, um alles Übrige abzufangen.
  4. Validieren Sie und entfernen Sie dann die any/any-Regel.

Warum die anderen Antworten falsch sind

  • „Sie ist effizient und kann bleiben" verwechselt „trifft schnell" mit „sicher". Sie ist effizient darin, Angriffe durchzulassen.
  • Sie ans Ende zu verschieben bleibt gefährlich: Sie verdeckt nun die Standardverweigerung und erlaubt wieder alles, was die expliziten Regeln nicht ohnehin erlaubten. Die any/any-Regel muss schlicht gelöscht, nicht verschoben werden.
  • Sie umzubenennen ist kosmetisch — das Paket-Matching-Verhalten ist identisch.

Der Interviewer will sehen, dass Sie die Auswertungsreihenfolge als Sicherheitskontrolle verstehen, ohne Ausfall auf Least Privilege migrieren können und wissen, dass eine saubere Richtlinie mit einer Standardverweigerung endet statt mit einer pauschalen Erlaubnis.

Wahrscheinliche Anschlussfragen

  • Warum macht die First-Match-Auswertung von oben nach unten die Regelreihenfolge zu einer Sicherheitskontrolle?
  • Wie würden Sie die any/any-Regel sicher ohne Ausfall ersetzen — welche Telemetrie brauchen Sie zuerst?
  • Was gehört ganz ans Ende einer gut geformten Richtlinie, und warum sollte man es protokollieren?

Quellen

Zertifizierungen

Erhalte 100 Cybersecurity-Interviewfragen + Antworten

Gib deine E-Mail-Adresse ein und wir senden dir das kostenlose PDF-Paket und das Flashcard-Deck.

Kein Spam. Jederzeit abbestellbar.