Checkliste Firewall IG KOMSG - Informatik des Kantons St.Gallen

Checkliste Firewall IG KOMSG 

Inhaltsverzeichnis 

1 Übersicht ................................ ................................ ................................ .............................. 2 

2 Firewall System ................................ ................................ ................................ .................... 3 

2.1 Policy................................ ................................ ................................ ............................ 3 

2.2 Betrieb ................................ ................................ ................................ .......................... 3 

2.3 Wartung ................................ ................................ ................................ ........................ 4 

2.4 Installation................................ ................................ ................................ ..................... 4 

2.5 VPN Zugänge ................................ ................................ ................................ ............... 5 

2.6 Plattformen ................................ ................................ ................................ ................... 5 

2.7 Datensicherung................................ ................................ ................................ ............. 6 

3 Notfallvorsorge ................................ ................................ ................................ ..................... 7 

4 Organisation ................................ ................................ ................................ ......................... 7 

5 Personal ................................ ................................ ................................ ............................... 8 

6 Physisches Umfeld ................................ ................................ ................................ ............... 8 

Freigabe 

IG KOMSG 

Informatikhandbuch 

Dienst für Informatikplanung 

Kanton St.Gallen 

36020031 Checkliste Firewall IG KOMSG Datum 01.10.2007 Version 3.1 

IHB 3-6.1 

Seite 1 von 8

Firewall-Checkliste IG KOMSG 

1 Übersicht 

Diese Checkliste betrifft Firewalls, welche LANs von KOMSG Kunden mit externen Netzen 

verbinden. Im Folgenden werden diese externen Netze (im Sinne eines Beispiels) 

mit ‚Internet’ bezeichnet. Grundsätzlich müssen diese Firewalls gemäss Bild 1 eingesetzt 

werden. 

Kundenumgebung 

Fremd Router 

Kunde 

Default Router für 

alle Stationen am 

Kunden LAN 

Addressierung frei 

Eigenes DNS oder DNS Internet 

Router 

Provider 

LAN Kunde 

DMZ 

Internet 

KOMSG 

CoreSG 

Bild 1: Aufbau Firewall 

In einer einfachen Umgebung können Teile der Installation fehlen (z.B. DMZ oder Internet 

LAN). Die Funktion des Fremd - Routers kann auch in der Firewall integriert sein. 

Nr Checkpunkt Minimalanforderung Befund 

1.1 Topologie und Vernetzung Die Installation erfolgt im wesentlichen 

gemäss Bild 1. 

1.2 Dokumentation Eine aktuelle Dokumentation des Firewall 

Systems muss innerhalb von einer 

Stunde beschafft werden können. 

Freigabe 






IHB 3-6.1 

Seite 2 von 8


2 Firewall System 

2.1 Policy 


2.1 Die Ziele (Policy) des Firewall- Als Minimalanforderung gelten die 

Systems müssen dokumentiert 

sein 

Sicherheitsvorschriften der IG 

KOMSG. 

2.2 Betrieb 


2.2.1 Sicherheitsprüfung Einmal jährlich wird eine Sicherheitsprüfung 

der Anbindung vorgenommen, 

welche die untenstehenden 

Punkte umfasst 

2.2.1.1 ‣ Policy • Vollständigkeit gemäss Abschnitt 

2.1 

2.2.1.2 ‣ Konfiguration • Korrektheit im Vergleich mit der 

Policy 

2.2.1.3 ‣ Funktion • Korrektheit im Vergleich mit der 

Konfiguration (z.B. mittels Port- 

Scan festgestellt) 

2.2.2 Initialprüfung Die jährliche Sicherheits-Prüfung wird 

erstmals vor der Inbetriebnahme als 

Abnahme durchgeführt. 

2.2.3 Dokumentation Dokumentationen der Prüfungen sind 

vorhanden und sind dem Netzbetreiber 

und der IG KOMSG auf Verlangen 

zugänglich. 

2.2.4 Protokollierung • Protokollierung des Verkehrs der 

Firewall-System ist aktiviert. 

• Log Files enthalten mindestens 

die abgewiesenen Verbindungsversuche. 

2.2.5 Überwachung • Log Files werden regelmässig 

kontrolliert. 

2.2.6 Reaktion auf unerwartetes 

Verhalten 

Es existieren Prozeduren für diese 

Reaktion, welche die folgenden Punkte 

umfassen. 

2.2.6.1 ‣ Reaktion • Die dafür zuständigen Personen 

sind bekannt. 

• Die Personen haben die für die 

Reaktion notwendige Kompetenz. 

Freigabe 






IHB 3-6.1 

Seite 3 von 8



2.2.6.2 ‣ Protokollierung • Unerwartetes Verhalten wird protokolliert. 

2.2.6.3 ‣ Meldung • Unerwartetes Verhalten wird innerhalb 

eines Arbeitstages an die 

IG KOMSG gemeldet. 

2.3 Wartung 


2.3.1 Release Management Es müssen die folgenden Teile abgedeckt 

sein: 

• Firewall Anwendung 

• VPN Anwendung (falls vorhanden) 

• Betriebssystem 

• Hilfsprogramme 

2.3.2 Installation von neuen Service- 

Packs 

2.3.3 Security-Patches (d.h. alle Patches, 

welche vom Hersteller 

als sicherheitsrelevant bezeichnet 

werden). 

Solche müssen innerhalb eines Monats 

nach Herausgabe installiert 

werden. 

Solche müssen innerhalb einer Woche 

nach Release installiert werden. 

2.4 Installation 


2.4.1 Netzwerkdokumentation Aus der Netzwerkdokumentation 

muss die Installation und die Funktionalität 

des Firewall Systems klar 

ersichtlich sein (s. dazu auch Abschnitt 

1). 

2.4.2 Trennung Zwischen dem Kunden LAN und 

dem Internet muss eine klare Trennung 

bestehen. Die einzige Verbindung 

zwischen den beiden Netzen 

geschieht über das Firewall System. 

Freigabe 






IHB 3-6.1 

Seite 4 von 8



2.4.3 Fernzugriffe Fernzugriffe auf das Kunden LAN 

(Remote Access, z.B. für Support- 

Firmen) werden im Normalfall über 

die Einwahlsysteme des Netzbetreibers 

oder über ein anderes, von der 

IG KOMSG approbiertes Einwahlsystem 

abgewickelt. Falls ein eigenes, 

VPN basiertes Einwahlsystem verwendet 

wird, so ist Abschnitt 2.5 zu 

beachten. 

2.5 VPN Zugänge 


2.5.1 Produktewahl Es wird ein anerkanntes Produkt mit 

aktueller Technologie (IPSec oder 

SSL) verwendet. 

2.5.2 Stationen Es ist gewährleistet, dass alle über 

VPN eingebundenen Stationen die 

Anforderungen der Sicherheitsvorschriften 

Kapitel 3 erfüllen. 

2.5.3 Schutz gegen Internet Es ist gewährleistet, dass die Stationen 

bei laufendem VPN gegen 

Zugriffe aus dem Internet geschützt 

sind. 

2.5.4 Authentisierung Die VPNs basieren auf Credentials, 

welche die folgenden Anforderungen 

erfüllen: 

• Sie sind persönlich. 

• Sie sind nicht erratbar (für Externe 

und für Interne). 

• Credentials werden auf den Arbeitsstationen 

vor unberechtigtem 

Zugriff geschützt. 

2.6 Plattformen 


2.6.1 Produktewahl Es dürfen nur erprobte und anerkannte 

Firewall Produkte eingesetzt werden. 

Es wird empfohlen, ICSA geprüfte Firewalls 

zu verwenden. 

Freigabe 






IHB 3-6.1 

Seite 5 von 8



2.6.2 Standard-Betriebssystem Falls die Firewall auf einem Standard- 

Betriebssystem basiert, so muss dieses 

einem ‚hardening’ unterzogen werden. 

Hardening bedeutet unter anderem, 

dass nur aktuelle Betriebssystem- 

Releases verwendet werden dürfen, 

d.h. dass alle relevanten Service-Packs 

und Security-Patches für die installierten 

Programme up to date sein müssen. 

Die Dienste des Betriebssystems 

müssen gemäss Herstelleranleitungen 

funktionell auf das absolut notwendige 

Minimum begrenzt werden. Nicht notwendige 

Dienste müssen soweit wie 

möglich deinstalliert werden. 

2.7 Datensicherung 


2.7.1 Sicherung Im Minimum müssen die folgenden Daten 

gesichert werden: 

• Alle Konfigurationsdateien für die 

Firewall Anwendung 

• Ditto für die VPN Installation (falls 

vorhanden) 

• Log Files 

2.7.2 Aufbewahrung Konfiguration Alte Konfigurationen müssen mindestens 

1 Jahr aufbewahrt werden. 

2.7.3 Aufbewahrung Log Files Log Files werden 3 Monate aufbewahrt. 

2.7.4 Schutz der gespeicherten 

Daten 

Gesicherte Daten müssen vor unberechtigtem 

Zugriff und Veränderungen 

geschützt werden. 

2.7.5 Auslagerung Aus Gründen der Notfallvorsorge empfiehlt 

sich eine Auslagerung dieser Daten. 

Freigabe 






IHB 3-6.1 

Seite 6 von 8


3 Notfallvorsorge 


3 Notfallvorsorge Falls die Verfügbarkeit des Firewall 

Systems für einen effektiven Betrieb 

der Organisation unabdingbar ist, so 

sind geeignete Pläne aufzustellen, 

welche einen kontrollierten Ersatz 

des System nach einem Totalverlust 

ermöglichen. Es müssen die untenstehenden 

Elemente abgedeckt sein: 

3.1 ‣ System-Umfang Alle geschützten Systeme müssen 

identifiziert sein. (Beachte, dass die 

Fremd Router gemäss Bild 1 auch für 

den Verkehr mit KOMSG notwendig 

sind). 

3.2 ‣ Verfügbarkeitsziele Diese müssen für das Gesamtsystem 

definiert sein. 

3.3 ‣ Zuständigkeiten Hier muss insbesondere die Notfall- 

Organisation reflektiert werden. 

3.5 ‣ Wiederherstellungsprozesse Es müssen die folgenden Bereiche 

abgedeckt werden: 

• Plattform (HW und SW) 

• Firewall Anwendung 

• Konfiguration 

• Installation 

• Netzwerkverbindungen 

3.5 ‣ Übergang Insbesondere die Übergänge vom 

Normalbetrieb in den Notfall-Betrieb 

und zurück müssen definiert sein. 

4 Organisation 


4.1 Notwendige Stellen Für die folgenden Aufgaben müssen 

Stellen bezeichnet sein: 

• Betrieb des Firewalls 

• Wartung des Firewalls 

• Überwachung des Betriebs (inkl. 

Gewährleistung des sicheren Betriebs) 

4.2 Kontaktpersonen Für alle oben erwähnten Stellen müssen 

Kontaktpersonen identifiziert sein. 

Freigabe 






IHB 3-6.1 

Seite 7 von 8


5 Personal 


5.1 Prozesse Die folgenden Prozesse müssen geregelt 

sein 

• Einarbeitung / Einweisung neuer 

Mitarbeiter in die für den Firewall relevanten 

Funktionen (s. oben) 

• Verpflichtung der Mitarbeiter auf 

Einhaltung einschlägiger Vorschriften 

und Regelungen 

• Vertretungsregelungen 

• Ausscheiden von Mitarbeitern. 

5.2 Externe Lieferanten Die obigen Prozesse müssen sinngemäss 

auf involvierte externe Mitarbeiter 

anwendbar sein. 

6 Physisches Umfeld 


6.1 Installation Firewalls müssen in abgeschlossenen 

Räumen bzw. in abgeschlossenen 

Schränken installiert werden. 

6.2 Zugang Der Zugang muss durch eine angemessene 

Schlüsselverwaltung auf die notwendigen 

Personen beschränkt sein. 

6.3 Zugang durch Externe Zugang durch Externe (z.B. für Wartung 

und Reparatur) darf nur in Begleitung 

des eigenen Betriebspersonals geschehen. 

Vor Ort Arbeiten von Externen am 

Firewall System müssen überwacht 

werden. 

6.4 Wartung durch Externe Fernwartung darf nur durch vertraglich 

angemessen gebundene und fachlich 

genügend qualifizierte Personen vorgenommen 

werden 

6.5 Protokollierung der Wartung Alle Fernwartungsarbeiten müssen 

durch die ausführende Organisation 

protokolliert werden. 

Freigabe 






IHB 3-6.1 

Seite 8 von 8

Checkliste Firewall IG KOMSG - Informatik des Kantons St.Gallen

Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.

Template löschen?

Als Template speichern?