Analyse von Check Point Firewall Logs - Braintower Technologies Blog

In den Umgebungen größerer Unternehmen werden häufig Firewalls des Herstellers Check Point eingesetzt.

Das hat gute Gründe – Gartner hat erst 2017 Check Point als Leader in zwei Magic Quadrants eingestuft. Neben den umfangreichen Funktionen und dem wirklich sehr guten Support bietet die Software für Firewall Admins gerade in großen Umgebungen einen handfesten Vorteil: Große Regelwerke – wie sie häufig bei großen Unternehmen vorkommen – lassen sich mit der SmartConsole für Windows sehr einfach administrieren.

Die Herausforderung

Im Rahmen von Projekten werden dann trotz der Möglichkeiten leider oft zu großzügige Freischaltungen aufgesetzt. Das ist aus Sicherheitsaspekte zwar nicht wünschenswert, aber häufig den Umständen geschuldet – das Applikationsteam weiß in der Anfangsphase eines Projektes z.B. nicht so genau, welche Applikationsserver mit welchen SAP Systemen auf welchen Ports reden müssen. Da Projekte natürlich immer unter einem enormen Zeit- und Kostendruck stehen, wird dann „einfach“ die komplette SAP Port Range zwischen den Applikationsservern der neuen CRM Anwendung und dem SAP Netz geöffnet. Die Security des Unternehmens akzeptiert das nur für eine gewisse Zeit und fordert, bis zum Projektabschluss die unnötigen Freischaltungen zu entfernen.

Auch nach Projektende sind die Applikationskollegen nur bedingt hilfreich. Häufig hat man sich im Projekt nicht weiter mit der Fragestellung auseinandergesetzt – durch die großzügige Freischaltung ging ja einfach alles – oder es fehlen einfach die entsprechenden Kenntnisse.

Am Ende bleibt die Aufgabe dann am Firewall-Admin hängen. Was tut er? Logs analysieren.

Der Check Point Weg

Das von Check Point hierfür zur Verfügung gestellte Programm ist der SmartView Tracker:

Hier sind u.a. alle akzeptierten und abgelehnten Verbindungen aller Firewalls bzw. Firewall-Cluster verzeichnet, die vom (Multi-Domain) Security Management Server verwaltet werden.

Über einen Rechtsklick auf eine Spalte kann man die angezeigten Einträge filtern:

Hier kann der Admin Objekte (Hosts, Netze, Ports, Gruppen, …) auswählen oder IP-Adressen (auch mit Wildcards) eingeben. Mehrere Einträge werden ODER-verknüpft, d.h. der Filter erfasst alle Logmeldungen, auf die einer der Einträge passt. Zudem kann der Filter invertiert oder so konfiguriert werden, dass auch Teilbegriffe gefunden werden.

Filtert man mehrere Spalten, so werden die Filter UND-verknüpft, d.h. es werden alle Logmeldungen angezeigt, die zu allen Filtern passen.

Somit lassen sich Fragen wie „Findet zwischen Server A und Server B eine Kommunikation auf Port X statt und ist sie erlaubt?“ einfach beantworten:

Solche Abfragen können gespeichert werden, falls man sie später noch einmal benötigt.

Meist werden die Logdatenbanken auf Check Point Management-Servern einmal täglich (spätestens aber nach 2 GB Dateigröße) rotiert. Der SmartView Tracker zeigt jedoch immer standardmäßig nur das neueste Log an. Möchte man nun weiter in der Vergangenheit suchen, muss man händisch auf ältere Logdateien umschalten und dort die Suche wiederholen. Das ist, wenn man einen größeren Zeitraum untersuchen muss oder möchte, sehr aufwändig.
A propos Größe, bei großen Logdateien kann die Suche je nach Komplexität der Filter auch mal gut und gerne einige Minuten dauern. Untersucht man verschiedene Aspekte oder muss sich erst an den richtigen Filter herantasten, kostet das sehr viel Zeit.

Richtig blöd wird es, wenn jemand den Firewall Admin mit solchen Fragen konfrontiert:

Auf welchen Ports kommuniziert der Server X?

Mit welchen anderen Hosts kommuniziert der Server X?

Wer sind die Top Talker im Subnetz X?

usw.

Hierfür bieten die CheckPoint GUIs keine brauchbaren Werkzeuge bzw. die Analyse wird sehr aufwändig.

Welche anderen Möglichkeiten hat man?

CSV Export und Excel

Man kann Logs über den SmartView Tracker als CSV exportieren und dann z.B. mit Pivot-Tabellen in Excel arbeiten.

Schon alleine der Exportvorgang dauert teilweise Stunden, zudem muss man jede Logdatei einzeln exportieren.
Ganz abgesehen davon, dass Excel Gigabytes große CSV Dateien auch nicht ganz so einfach verdaut.
Das ist also keine praktikable Möglichkeit.

Kommerzielle Analysewerkzeuge

Sehr beliebt bei Firewall Admins sind die Tools der Firma Firemon.

Neben Möglichkeiten zur Loganalyse bieten diese Tools umfangreiche Werkzeuge für ein umfassendes Management der Regelwerke, der Compliance und der Requests an das Firewall Team. Der Einsatz eines solchen Tools macht in vielen Fällen, insbesondere in großen Organisationen, durchaus Sinn.

Aus meiner Sicht haben diese Tools aber entscheidende Nachteile:

Sie sind sehr komplex.

Sie sind in Anschaffung und Betrieb sehr teuer und daher für kleinere Organisationen oder Budgets nicht realistisch einsetzbar.

Sie erlauben in der Regel keine umfassende Verknüpfung mit anderen Datenquellen, z.B. IDS Systemen, Server-Logs, …

Syslog Server

Check Point bietet mit R77 (altere Versionen sind ohnehin schon aus dem Support gelaufen) verschiedene Möglichkeiten, Firewall Logs an externe Syslog-Server zu senden. Diese sind in den Check Point Knowledge Base Artikeln SK87560 (R77.30) und SK115392 (andere R77 Versionen und R80 bzw. R80.10) beschrieben.

Konfiguriert man nun einen Syslog-Server (wie z.B. syslog-ng) und schickt die Check Point Logs dorthin, hat man einen Haufen Logeinträge in diesem Format:

<81>Jul 25 17:26:49 172.23.22.63 Action=“accept“ src=“91.90.139.74″ dst=“172.23.22.63″ proto=“17″ product=“VPN-1 & FireWall-1″ service=“1147″ s_port=“26666″ product_family=“Network“

Diese Logdateien kann man das mit grep oder eigenen Skripten auswerten. Auch das ist ziemlich aufwändig, zudem ist es schwierig, nach Subnetzen (z.B. 10.10.0.0/22) zu filtern. Es steht keine grafische Oberfläche zur Analyse der Logs zur Verfügung.

Nebenbei bemerkt hat Syslog natürlich auch noch den Nachteil, unverschlüsselt zu arbeiten. D.h. jeder Angreifer zwischen dem Check Point Management Server und dem Syslog Server kann mittels Packet Sniffing einfach jede Logmeldung mitlesen. Das kann ein Problem sein.

Elastic Stack (ELK)

Die mit Abstand beste Möglichkeit zur Analyse von Check Point Logs ist aus meiner Sicht der sogenannte Elastic Stack.

Früher ELK Stack genannt, besteht er aus drei Produkten: Elasticsearch (Datenbank und Suchmaschine), Logstash (Datenerfassung und -verarbeitung) und Kibana (Ad-hoc Analysen, Visualisierungen und Dashboards).
Braintower verwendet in seiner Lösung Augoory den Elastic Stack zur Verarbeitung und Vereinheitlichung und Visualisierung aller Arten von Logs und Events.

Der Stack bietet folgende Vorteile und kompensiert damit die Nachteile, der bereits beschriebenen Alternativen zur Loganalyse mit den von Check Point bereitgestellten Werkzeugen:

Die Software ist Open Source und kann (mit geringen Einschränkungen) kostenfrei genutzt werden.

Eine große Community stellt eine stetige Weiterentwicklung und Hilfe bei Problemen sicher.

Logstash erlaubt es, beliebige Arten von Logs und Events zu vereinheitlichen und miteinander zu verknüpfen.

Der Stack eignet sich somit auch zur Analyse von IDS Events, Server- und Applikationslogs und anderen Daten.

Kibana stellt eine grafische Oberfläche für Ad-hoc Analysen und Dashboards zur Verfügung.

Elasticsearch ist im Vergleich zum „greppen“ von Logdateien erheblich schneller und kann je nach Speicherplatz trotzdem Logs für einen langen Zeitraum vorhalten.

Im folgenden Blogartikel erkläre ich euch, wie ihr eure Check Point Logs am besten in den Elastic Stack exportieren könnt.

Florian Wiethoff

CEO

Der Beweis das Schwaben auch hochdeutsch können liefert der Co-Gründer von Braintower jeden Tag aufs Neue. Wenn nicht auf der Suche nach unassignten Jira-Tasks, frönt dieser Code Enthusiast einer unnatürlichen Liebe für alles Digitale. Träumt bestimmt von elektrischen Schafen und würde ganz sicher auch Kobayashi Maru bestehen. Für Braintower bloggt er über IOT, SMS Gateway und Next Generation Technologien.