An dieser Stelle möchte nun auch ich von meiner Werksstudententätigkeit berichten. Wie Julia arbeite ich bei der KPMG AG WPG im Bereich des IT-Security Consulting, Julia berichtete schon einiges über die Arbeit bei KPMG im Allgemeinen, daher möchte ich im Folgenden gern ein paar Einblicke in die Tätigkeiten geben.
Als externe Berater werden wir aus verschiedensten Gründen hinzugezogen, einer dieser Gründe ist häufig, dass für eine konkrete Problemstellung kein standardisierter Lösungsweg existiert, wie zum Beispiel bei einem Firewall Re-Design. Hierbei muss zunächst die existierende Firewall-Struktur analysiert und plausibilisiert werden, um das vorhandene Regelwerk bewerten zu können. Hieraus können dann Vorschläge gegeben werden wie die Firewall hardwareseitig aufgebaut sein sollte und wie ein sauberes Regelwerk strukturiert werden kann.
Bei einem konkreten Projekt waren derart viele interne und externe Systeme in zahlreichen Subnetzen beteiligt, dass es zunächst darum ging, die Kommunikation von über 8.000 verschiedenen IP-Adressen zu analysieren. Als Input lagen lediglich Log-Files der Firewalls, ein umfassender Netzplan sowie das komplette Regelwerk mit mehreren hundert Regeln vor. Allein das Handling der Log-Dateien, die jeweils mehrere GB groß waren, stellte sich als besondere Herausforderung dar. Es musste nun also eine vor allem zeitlich effiziente Möglichkeit gefunden werden, diese Daten auszuwerten, um dem Mandanten konkrete und relevante Informationen liefern zu können.
Wir entschieden uns also dazu, für die Daten individuelle Parser zu programmieren, sodass wir alle Daten in eine MySQL Datenbank überführen konnten. Da jedoch selbst einfache Anfragen bei dieser Datenmasse sehr viel Zeit in Anspruch nehmen, musste die Datenbank gezielt durch verschiedene Indizes optimiert werden. (Hierbei hilft es enorm die Vorlesung RDB2 gehört zu haben.) Durch diese Indizes war nun die schnelle Auswertung der Daten möglich und es konnte analysiert werden, welche Systeme miteinander kommunizierten und welche Firewall-Regel dies erlaubte. Wir konnten dem Mandanten nun unterschiedlichste Informationen liefern, wie zum Beispiel miteinander in Konflikt stehende Regeln oder Regeln, die nie Anwendung finden.
Zum Abschluss mussten diese gewonnen Informationen mit den prozessualen Bedürfnissen des Mandanten zusammengebracht werden, um abzuleiten, welche Systeme tatsächlich miteinander kommunizieren müssen und zwischen welchen Subnetzen eine Kommunikation per Firewall verboten werden muss. Hierbei hat man als externe Person häufig einen unvoreingenommeneren Blick auf die Systemlandschaft und kann somit die besseren „Warum“-Fragen stellen, anstatt eine bestehende Regel als notwendig hinzunehmen.
Michael Bier
