In den Umgebungen größerer Unternehmen werden häufig Firewalls des Herstellers Check Point eingesetzt.
Das hat gute Gründe – Gartner hat erst 2017 Check Point als Leader in zwei Magic Quadrants eingestuft. Neben den umfangreichen Funktionen und dem wirklich sehr guten Support bietet die Software für Firewall Admins gerade in großen Umgebungen einen handfesten Vorteil: Große Regelwerke – wie sie häufig bei großen Unternehmen vorkommen – lassen sich mit der SmartConsole für Windows sehr einfach administrieren.
Die Herausforderung
Im Rahmen von Projekten werden dann trotz der Möglichkeiten leider oft zu großzügige Freischaltungen aufgesetzt. Das ist aus Sicherheitsaspekte zwar nicht wünschenswert, aber häufig den Umständen geschuldet – das Applikationsteam weiß in der Anfangsphase eines Projektes z.B. nicht so genau, welche Applikationsserver mit welchen SAP Systemen auf welchen Ports reden müssen. Da Projekte natürlich immer unter einem enormen Zeit- und Kostendruck stehen, wird dann „einfach“ die komplette SAP Port Range zwischen den Applikationsservern der neuen CRM Anwendung und dem SAP Netz geöffnet. Die Security des Unternehmens akzeptiert das nur für eine gewisse Zeit und fordert, bis zum Projektabschluss die unnötigen Freischaltungen zu entfernen.
Auch nach Projektende sind die Applikationskollegen nur bedingt hilfreich. Häufig hat man sich im Projekt nicht weiter mit der Fragestellung auseinandergesetzt – durch die großzügige Freischaltung ging ja einfach alles – oder es fehlen einfach die entsprechenden Kenntnisse.
Am Ende bleibt die Aufgabe dann am Firewall-Admin hängen. Was tut er? Logs analysieren.
Der Check Point Weg
Das von Check Point hierfür zur Verfügung gestellte Programm ist der SmartView Tracker:
Hier sind u.a. alle akzeptierten und abgelehnten Verbindungen aller Firewalls bzw. Firewall-Cluster verzeichnet, die vom (Multi-Domain) Security Management Server verwaltet werden.
Über einen Rechtsklick auf eine Spalte kann man die angezeigten Einträge filtern:

Hier kann der Admin Objekte (Hosts, Netze, Ports, Gruppen, …) auswählen oder IP-Adressen (auch mit Wildcards) eingeben. Mehrere Einträge werden ODER-verknüpft, d.h. der Filter erfasst alle Logmeldungen, auf die einer der Einträge passt. Zudem kann der Filter invertiert oder so konfiguriert werden, dass auch Teilbegriffe gefunden werden.
Filtert man mehrere Spalten, so werden die Filter UND-verknüpft, d.h. es werden alle Logmeldungen angezeigt, die zu allen Filtern passen.
Somit lassen sich Fragen wie „Findet zwischen Server A und Server B eine Kommunikation auf Port X statt und ist sie erlaubt?“ einfach beantworten:
Solche Abfragen können gespeichert werden, falls man sie später noch einmal benötigt.
Meist werden die Logdatenbanken auf Check Point Management-Servern einmal täglich (spätestens aber nach 2 GB Dateigröße) rotiert. Der SmartView Tracker zeigt jedoch immer standardmäßig nur das neueste Log an. Möchte man nun weiter in der Vergangenheit suchen, muss man händisch auf ältere Logdateien umschalten und dort die Suche wiederholen. Das ist, wenn man einen größeren Zeitraum untersuchen muss oder möchte, sehr aufwändig.
A propos Größe, bei großen Logdateien kann die Suche je nach Komplexität der Filter auch mal gut und gerne einige Minuten dauern. Untersucht man verschiedene Aspekte oder muss sich erst an den richtigen Filter herantasten, kostet das sehr viel Zeit.
Richtig blöd wird es, wenn jemand den Firewall Admin mit solchen Fragen konfrontiert:
Hierfür bieten die CheckPoint GUIs keine brauchbaren Werkzeuge bzw. die Analyse wird sehr aufwändig.
Welche anderen Möglichkeiten hat man?
CSV Export und Excel
Man kann Logs über den SmartView Tracker als CSV exportieren und dann z.B. mit Pivot-Tabellen in Excel arbeiten.
Schon alleine der Exportvorgang dauert teilweise Stunden, zudem muss man jede Logdatei einzeln exportieren.
Ganz abgesehen davon, dass Excel Gigabytes große CSV Dateien auch nicht ganz so einfach verdaut.
Das ist also keine praktikable Möglichkeit.
Kommerzielle Analysewerkzeuge
Sehr beliebt bei Firewall Admins sind die Tools der Firma Firemon.
Neben Möglichkeiten zur Loganalyse bieten diese Tools umfangreiche Werkzeuge für ein umfassendes Management der Regelwerke, der Compliance und der Requests an das Firewall Team. Der Einsatz eines solchen Tools macht in vielen Fällen, insbesondere in großen Organisationen, durchaus Sinn.
Aus meiner Sicht haben diese Tools aber entscheidende Nachteile:
Syslog Server
Check Point bietet mit R77 (altere Versionen sind ohnehin schon aus dem Support gelaufen) verschiedene Möglichkeiten, Firewall Logs an externe Syslog-Server zu senden. Diese sind in den Check Point Knowledge Base Artikeln SK87560 (R77.30) und SK115392 (andere R77 Versionen und R80 bzw. R80.10) beschrieben.
Konfiguriert man nun einen Syslog-Server (wie z.B. syslog-ng) und schickt die Check Point Logs dorthin, hat man einen Haufen Logeinträge in diesem Format:
<81>Jul 25 17:26:49 172.23.22.63 Action=“accept“ src=“91.90.139.74″ dst=“172.23.22.63″ proto=“17″ product=“VPN-1 & FireWall-1″ service=“1147″ s_port=“26666″ product_family=“Network“
Diese Logdateien kann man das mit grep oder eigenen Skripten auswerten. Auch das ist ziemlich aufwändig, zudem ist es schwierig, nach Subnetzen (z.B. 10.10.0.0/22) zu filtern. Es steht keine grafische Oberfläche zur Analyse der Logs zur Verfügung.
Nebenbei bemerkt hat Syslog natürlich auch noch den Nachteil, unverschlüsselt zu arbeiten. D.h. jeder Angreifer zwischen dem Check Point Management Server und dem Syslog Server kann mittels Packet Sniffing einfach jede Logmeldung mitlesen. Das kann ein Problem sein.
Elastic Stack (ELK)
Die mit Abstand beste Möglichkeit zur Analyse von Check Point Logs ist aus meiner Sicht der sogenannte Elastic Stack.
Früher ELK Stack genannt, besteht er aus drei Produkten: Elasticsearch (Datenbank und Suchmaschine), Logstash (Datenerfassung und -verarbeitung) und Kibana (Ad-hoc Analysen, Visualisierungen und Dashboards).
Braintower verwendet in seiner Lösung Augoory den Elastic Stack zur Verarbeitung und Vereinheitlichung und Visualisierung aller Arten von Logs und Events.
Der Stack bietet folgende Vorteile und kompensiert damit die Nachteile, der bereits beschriebenen Alternativen zur Loganalyse mit den von Check Point bereitgestellten Werkzeugen:
Im folgenden Blogartikel erkläre ich euch, wie ihr eure Check Point Logs am besten in den Elastic Stack exportieren könnt.

Florian Wiethoff
CEO
Der Beweis das Schwaben auch hochdeutsch können liefert der Co-Gründer von Braintower jeden Tag aufs Neue. Wenn nicht auf der Suche nach unassignten Jira-Tasks, frönt dieser Code Enthusiast einer unnatürlichen Liebe für alles Digitale. Träumt bestimmt von elektrischen Schafen und würde ganz sicher auch Kobayashi Maru bestehen. Für Braintower bloggt er über IOT, SMS Gateway und Next Generation Technologien.
Trackbacks/Pingbacks