Workflow: Config Review¶
Firewall- und Netzwerk-Konfigurationen analysieren auf Security, Compliance und Best Practices.
Übersicht¶
| Aspekt | Details |
|---|---|
| Ziel | Configs prüfen ohne sie zu ändern |
| Features | Sub-Agents, Fork Context, Parallele Analyse |
| Targets | FortiGate, OPNsense, Cisco, Linux, Cloud |
| Output | Strukturierter Report mit Findings |
Feature-Kombination¶
┌─────────────────────────────────────────────────────────┐
│ CONFIG INPUT │
│ Datei, Paste, oder Live-Export │
└───────────────────────────┬─────────────────────────────┘
│
┌───────────────┼───────────────┐
▼ ▼ ▼
┌──────────┐ ┌──────────┐ ┌──────────┐
│Sub-Agent │ │Sub-Agent │ │Sub-Agent │
│Security │ │Compliance│ │Best │
│ (Haiku) │ │ (Haiku) │ │Practice │
│ │ │ │ │ (Haiku) │
└────┬─────┘ └────┬─────┘ └────┬─────┘
│ │ │
└───────────────┼───────────────┘
▼
┌──────────────────┐
│ Konsolidierung │
│ + Priorisierung│
└──────────────────┘
Wichtig: Fork Context¶
Reviews sollten im Fork Context laufen - Claude analysiert nur, ändert nichts:
# Skill mit Fork Context
---
name: config-review
context: fork
allowed-tools:
- Read
- Glob
- Grep
---
Oder manuell:
Workflow: Einzelne Config¶
Schritt 1: Config bereitstellen¶
Option A: Datei
Option B: Paste
Review diese FortiGate Config:
config system interface
edit "wan1"
set ip 203.0.113.1 255.255.255.0
set allowaccess ping https ssh http telnet
next
end
Option C: Live Export
# Erst exportieren
ssh admin@fortigate "show full-configuration" > fw-config.txt
# Dann reviewen
claude "Review @fw-config.txt auf Security Issues"
Schritt 2: Review-Fokus angeben¶
Review diese Config mit Fokus auf:
1. Management-Zugriff (welche Protokolle, welche IPs)
2. VPN-Konfiguration (Cipher, DH-Groups)
3. Logging (was wird wohin geloggt)
Schritt 3: Report erhalten¶
Claude liefert strukturierten Report:
## Config Review: fw-prod-01
### 🔴 Kritisch (sofort fixen)
1. **Telnet auf WAN Interface**
- Zeile 45: `set allowaccess ping https ssh http telnet`
- Risiko: Credentials im Klartext
- Fix: `set allowaccess ping https ssh`
2. **Schwache VPN Cipher**
- Zeile 234: `set proposal 3des-sha1`
- Risiko: 3DES ist deprecated
- Fix: `set proposal aes256-sha256`
### 🟡 Warnung (zeitnah angehen)
1. **Keine Source-IP Beschränkung für SSH**
- Risiko: SSH von überall erreichbar
- Empfehlung: Trusted-Hosts definieren
### 🟢 Hinweise (nice to have)
1. **Kein NTP-Auth konfiguriert**
- Risiko: NTP Amplification möglich
Workflow: Multi-Aspekt Review¶
Für tiefgreifende Analyse mit parallelen Sub-Agents.
Schritt 1: Aspekte definieren¶
Review diese FortiGate Config mit separaten Agents für:
- Security (offene Ports, Cipher, Auth)
- Compliance (BSI-Grundschutz, Logging)
- Performance (Session Limits, Timeouts)
- Redundanz (HA-Config, Failover)
Nutze Haiku für die Sub-Agents.
Schritt 2: Parallele Analyse¶
Claude spawnt 4 Sub-Agents, jeder analysiert seinen Aspekt.
Schritt 3: Konsolidierter Report¶
Haupt-Agent fasst zusammen und priorisiert:
## Consolidated Review: fw-prod-01
### Executive Summary
- 3 kritische Findings
- 7 Warnungen
- 12 Hinweise
- Compliance-Score: 72% (Ziel: 90%)
### Kritisch (nach Priorität)
[...]
### Empfohlene Maßnahmen-Reihenfolge
1. Telnet deaktivieren (5 min)
2. VPN Cipher upgraden (30 min, Wartungsfenster)
3. Logging erweitern (15 min)
Workflow: Multi-Device Review¶
Mehrere Geräte gleichzeitig prüfen.
Schritt 1: Configs sammeln¶
# Alle Configs in einem Ordner
configs/
├── fw-hq-01.conf
├── fw-branch-01.conf
├── fw-branch-02.conf
└── sw-core-01.conf
Schritt 2: Batch-Review¶
Review alle Configs in @configs/
Nutze einen Sub-Agent pro Datei (Haiku).
Erstelle am Ende eine Vergleichsmatrix.
Schritt 3: Vergleichsmatrix¶
## Multi-Device Review Summary
| Finding | fw-hq-01 | fw-branch-01 | fw-branch-02 |
|----------------|----------|--------------|--------------|
| Telnet aktiv | ❌ | ✅ | ✅ |
| VPN Cipher OK | ✅ | ❌ | ❌ |
| Logging OK | ✅ | ✅ | ❌ |
| SSH restricted | ❌ | ❌ | ❌ |
### Pattern erkannt
- SSH Source-Restriction fehlt auf allen Devices
- Branch-Firewalls haben veraltete VPN-Cipher
Review-Skill erstellen¶
Für wiederkehrende Reviews:
# ~/.claude/skills/config-review/SKILL.md
---
name: review
description: Reviewt Netzwerk-Configs auf Security und Compliance.
Aktiviert bei "review", "prüfe", "check", "audit".
context: fork
allowed-tools:
- Read
- Glob
- Grep
---
# Config Review
## Prüfpunkte
### Security
- [ ] Management-Protokolle (kein Telnet, kein HTTP)
- [ ] Source-IP Restrictions für Admin-Zugriff
- [ ] VPN Cipher (kein 3DES, kein SHA1)
- [ ] Password Policy
- [ ] Certificate Validation
### Compliance
- [ ] Logging aktiviert und extern
- [ ] NTP konfiguriert
- [ ] SNMP v3 (nicht v1/v2c)
- [ ] Banner konfiguriert
### Best Practices
- [ ] Unused Interfaces disabled
- [ ] Explicit Deny Rules
- [ ] Rule Documentation (Comments)
## Output Format
Strukturiere deinen Report so:
1. **Executive Summary** (3-5 Sätze)
2. **Kritische Findings** (sofort handeln)
3. **Warnungen** (zeitnah)
4. **Hinweise** (Optimierung)
5. **Compliance Score** (Prozent)
6. **Empfohlene Reihenfolge**
Tipps für gute Ergebnisse¶
DO ✅¶
Review diese FortiGate Config:
- Fokus: Management-Zugriff und VPN
- Kontext: Produktiv-Firewall, Internet-facing
- Standard: BSI-Grundschutz
- Output: Priorisierte Findings mit Fix-Vorschlägen
@configs/fw-prod-01.conf
Kontext und Erwartungen klar machen.
DON'T ❌¶
Zu vage - was bedeutet "gut"?
TIPP: Baseline-Vergleich 💡¶
Wenn du eine "Golden Config" hast:
Vergleiche @configs/fw-new.conf mit unserer
Baseline @templates/fortigate-hardened.conf
Zeige nur die Abweichungen.
TIPP: Vendor-Doku einbinden 💡¶
Für aktuelle Best Practices:
Hier sind die aktuellen Fortinet Security Best Practices:
[Link oder Content]
Prüfe die Config gegen diese Vorgaben.
Kosten-Optimierung¶
| Szenario | Empfehlung |
|---|---|
| Quick Check einer Config | Sonnet direkt |
| Deep Dive (4+ Aspekte) | Sub-Agents mit Haiku |
| Multi-Device (5+ Configs) | Sub-Agents mit Haiku |
| Compliance-Audit | Sonnet + Skill |
Kosten-Beispiel¶
Review von 10 Firewall-Configs:
Mit Sonnet sequentiell:
10 × 20K tokens = 200K tokens
200K × $18/1M = $3.60
Mit Haiku parallel:
10 × 20K tokens = 200K tokens
200K × $1.50/1M = $0.30
+ Konsolidierung (Sonnet): ~$0.20
Total: $0.50
Ersparnis: 86% - und schneller durch Parallelisierung.
Best Practices¶
Fork Context ist Pflicht für Reviews¶
Reviews immer im Fork Context – nie mit Schreibzugriff:
# Richtig: context: fork verhindert versehentliche Änderungen
---
name: config-review
context: fork
allowed-tools:
- Read
- Glob
- Grep
---
Ohne Fork Context kann Claude theoretisch Dateien ändern wenn der Prompt unklar ist. Im Fork Context ist das physisch unmöglich.
Daten-Klassifizierung beachten¶
Kunden-Configs können sensible Informationen enthalten:
❌ Nicht machen:
Kunden-Config direkt in Public Claude eingeben
✅ Besser:
- Lokale Claude-Installation mit API Key
- Sensible IPs/Hostnamen pseudonymisieren
- Review nur auf relevante Sektionen beschränken
Pseudonymisierung-Prompt:
Ersetze alle realen IP-Adressen in dieser Config mit
Platzhaltern (10.X.X.X für interne, 203.0.113.X für externe)
bevor du sie reviewst.
Findings priorisieren lassen¶
Claude ist gründlich – manchmal zu gründlich. Priorität explizit fordern:
Review diese Config und:
1. Maximal 3 kritische Findings (Showstopper)
2. Top 5 Warnungen
3. Kein Info-Flooding – nur wesentliche Punkte
Ich habe 30 Minuten für den Fix.
Baseline-Driven Reviews¶
Eigene Baseline als Vergleichsmaßstab anlegen:
# Einmalig: Baseline-Config der "perfekten" FortiGate erstellen
mkdir -p ~/.claude/skills/config-review/baselines/
# Dort: fortigate-hardened.conf, opnsense-baseline.xml, etc.
Dann im Skill referenzieren:
Vergleiche die eingereichte Config gegen unsere Baseline
in @~/.claude/skills/config-review/baselines/fortigate-hardened.conf
Zeige nur Abweichungen von der Baseline.
Multi-Device Konsistenz-Check¶
Bei mehreren Devices des gleichen Typs:
Prüfe diese 5 FortiGate-Configs auf Konsistenz:
@configs/fw-01.conf bis fw-05.conf
Fokus: Welche Einstellungen weichen von der Mehrheit ab?
(Nicht was falsch ist, sondern was inkonsistent ist)
Erkennt z.B.: "fw-03 hat anderen Admin-Timeout als alle anderen"
Beispiel: FortiGate Security Audit¶
Komplettes Beispiel für einen Security-Audit:
/review
Führe Security-Audit durch für @configs/fw-internet-01.conf
Context:
- Internet-facing Firewall
- Schützt DMZ und internes Netz
- PCI-DSS relevant (Kreditkarten-Verarbeitung)
Prüfe:
1. Perimeter-Security (WAN-Interface)
2. VPN-Konfiguration
3. Admin-Zugriff
4. Logging und Monitoring
5. Update-Status (FortiOS Version)
Nutze separate Sub-Agents pro Bereich.
Output: Executive Report + Detail-Findings
Troubleshooting¶
Config zu groß für Context¶
Die Config ist sehr groß. Analysiere nur:
- system interface
- firewall policy (erste 50 Rules)
- vpn ipsec
Ignoriere: user, log, waf
Unbekanntes Format¶
Das ist eine [Vendor] Config im Format [X].
Hier die Syntax-Referenz: [Link]
Analysiere nach diesem Schema.