10 советов как сделать ваш брандмауэр действительно безопасным

Исследование безопасности системы выявило такой факт: хватает 20 минут подключения к широкополосной сети для успешной атаки на незащищенный компьютер. Представьте, что будет происходить при подключении корпоративной сети к Интернету без соблюдения мер безопасности? Злоумышленники нашли бы открытые порты, заразили машины, и могли даже похитить вашу интеллектуальную собственность.

Столкнувшись с такой проблемой, многие предприятия стали полагаться на защиту сети брандмауэром для контроля трафика между корпоративной сетью и Интернетом. Межсетевые экраны принимают решения по  каким данным и по каким обстоятельствам сетевым пакетам позволено «войти» в сеть, а каким «выйти» из сети.

Установка брандмауэра является первым важным шагом в направлении обеспечения безопасности вашей сети, но также необходимо убедиться, что он настроен в соответствии с необходимыми требованиями. При настройке межсетевого экрана рекомендуется следовать советам экспертов. Настройте ваш брандмауэр, увеличив безопасность вашей сети, выполнив эти 10 советов экспертов:

1. Защитите вашу систему

Для начала нужно устранить уязвимости в вашем оборудовании. Прежде чем вы установите брандмауэр, вы должны защитить клиентские машины, закрыв любые неиспользуемые порты и отключив неиспользуемые протоколы или учетные записи пользователей. В идеале, брандмауэры должны дополнять системы безопасности, которые вы уже настроили в вашей системе.

Аппаратные брандмауэры продаются уже настроенные и обученные, но если вы приобрели программное решение, вам придется сделать это самостоятельно. К счастью, есть много ресурсов, в которых описаны правила настройки брандмауэров.

2. Чем проще, тем лучше

Брандмауэр используется для обеспечения политики сетевой безопасности, так что вы должны четко определить принципы безопасности, прежде чем начать писать правила. Если у вас есть написанные политики безопасности, попытайтесь сделать конфигурацию как можно более простой при написании соответствующих политике правил. Если вы адаптируете готовое стандартное решение, то по необходимости удалите из него ненужные вам правила. Брандмауэр будет более эффективным и им будет легче управлять, если вы ликвидируете ненужные и лишние правила.

3. Организация правил позволяет быстро их анализировать

Межсетевые экраны обрабатывают правила в порядке того, как они написаны, так что наиболее быстро обрабатываются правила, находящиеся в верхней части списка правил. Если запрос совпадает с одним из первых правил брандмауэра, остальные обрабатываться уже не будут, что экономит время обработки пакета.

Легко обрабатываются правила, включающие в описание порт источника, протокол, IP адрес. Правила, которые являются более сложными, обрабатывают доменное имя, URL адрес, а также другое содержание пакета и анализируют пользователей, отправивших пакет.

4. Запрещать, запрещать и еще раз запрещать!

Поскольку в вашей сети должен быть только разрешенный трафик, необходимо запрещать весь  трафик по умолчанию, а затем разрешить необходимые сервисы. Это можно сделать, используя глобальные разрешающие и запрещающие правила. Глобально разрешающее правило дает определенный доступ всем пользователям, в то время как глобально запрещающее правило запрещает доступ к сервису всем пользователям.

Вы можете установить разрешающее правило для DNS (Domain Name Server) протокола, например, и запрещающее правило для пользователей, пытающихся использовать пиринговые протоколы. Эти правила будут отфильтровать трафик, который брандмауэр обработает в соответствии с политикой доступа.

5. Мониторинг исходящего трафика

Обычно, думая о безопасности сети, мы думаем как защитить наши системы от внешних угроз, таких как вирусы и черви, атаки, но атаки также могут легко быть инициированы изнутри сети. Вот почему нужно настроить брандмауэр для фильтрации исходящего трафика так же, как и входящего. Этот тип фильтрации, называемый «выходная фильтрация», запрещает неразрешенным пакетам выйти за компьютеры и серверы сети. Она также предотвращает использование внутренних машин как зомби для осуществления атак на другие серверы.

Используйте выходную фильтрацию, чтобы заблокировать весь трафик по умолчанию, а затем разрешите только определенные виды трафика для конкретных серверов, таких как электронная почта, Интернет и DNS трафик.

6. Настройка DMZ (демилитаризованной зоны)

DMZ представляет собой небольшую сеть, которая находится между внутренней (корпоративной) сетью и сетью Интернет. DMZ предотвращает получение прямого доступа внешних пользователей к компьютерам компании. Обычно, DMZ получает запросы от внутренних пользователей на доступ к веб-сайтам и другой информации внешней сети. DMZ инициирует запросы и пересылает пакеты с выполненным запросом обратно на клиентскую машину. Часто веб-сервер компании находится на DMZ для того, чтобы внешние пользователи могли получить доступ к веб-сайту, и не имели доступа к конфиденциальным данным, размещенным в корпоративной сети.

Существуют два вида DMZ. Первый называется three-homed сеть. В этой конфигурации, шлюз с брандмауэром имеет три соединения: один для внутренней сети, второй для Интернета и третий для DMZ. Второй тип DMZ называется back-to-back сеть, и он использует два шлюза с брандмауэрами. Один шлюз имеет подключение к Интернет и DMZ, а второй имеет подключение к внутренней сети и DMZ. Таким образом, DMZ находится между внутренними и внешними сетями.

В обеих конфигурациях необходимо настроить брандмауэр для ограничения трафика в каждую сеть и из каждой сети.

7. Настройка NTP (Network Time Protocol)

NTP это название протокола и клиент/серверной программы, которая позволяет синхронизировать часы компьютера по сети. Синхронизация времени важна для реализации распределенных сетевых процедур. Даже небольшая разница в часах между компьютерами может посеять хаос при выполнении последовательности распределенных процедур. NTP использует UTC (всемирное время) для синхронизации времени вплоть до миллисекунд.

NTP особенно важно для обеспечения точности записи брандмауэром событий в журнал. Возможно, вы захотите провести расследование атаки, проведенной на вашу сеть путем анализа журнала трафика, и время будет иметь решающее значение для выяснения того, что произошло.

8. Настройка брандмауэра, как IDS (система обнаружения вторжений)

IDS иногда продаются в качестве автономных устройств, которые обнаруживают атаки на сеть или компьютер, но вы также можете настроить ваш брандмауэр, чтобы он работал как IDS. Главное внимательно изучить журнал брандмауэра на предмет сканирования портов, попытки взлома или каких-либо других подозрительных событий. Необходимо уделять особое внимание утечке трафика от DMZ, так как это первый признак подозрительных действий в сети.

Собрав нужные данные, вы можете построить график и видеть тенденции, которые помогут вам писать более строгие правила. Вы можете также установить активный мониторинг лог-файлов с уведомлением о подозрительной деятельности.

9. Тестирование на уязвимости

Когда вы настроите свой брандмауэр, необходимо проверить его на известные уязвимости. Необходимо тщательно протестировать брандмауэр на каждом интерфейсе, во всех направлениях. Кроме того, можно попробовать протестировать вашу сеть при выключенном брандмауэре, чтобы понять, насколько уязвима ваша система  в случае «падения» брандмауэра.

Новые эксплойты пишутся постоянно, поэтому лучше всего взять за правило тестировать и проверять брандмауэр регулярно.

10. Протоколирование

Журнал записи информации о сетевом трафике, проходящем через брандмауэр, имеет неоценимое значение, когда вы пытаетесь расследовать подозрительные движения и нападения. Журналы также важны, когда вы хотите написать правила против новых угроз, поскольку они позволяют выявлять и отслеживать новые сетевые активности. Убедитесь в том, что ведение журнала включено в вашем брандмауэре, а также происходят оповещения о заданных действиях, если у продукта есть такая возможность.

Если у вас есть несколько брандмауэров, вы можете также быть заинтересованы в создании сервера журналов. Преимущества централизованного управления протоколами состоит в более легком доступе к журналам аудита. Удаленный сервер также делает более трудным несанкционированное изменение или манипулирование журналами.

Источник

15 октября 2008 15:57 | Советы

3 комментария к “10 советов как сделать ваш брандмауэр действительно безопасным”

  1. Иван говорит:

    Зачетный пост, спасибо!

  2. Varyunya говорит:

    Хорошие советы, про некоторые я даже не догадалась бы. Спасибо!

  3. Блог про IT безопасность » Руководство по надежному управлению брандмауэром говорит:

    […] Политика брандмауэра содержит, либо ссылается на политику, которая определяет разрешенный трафик как извне, так и изнутри. Правила брандмауэра должны быть тщательно продуманы и должны отражать мнение технических и бизнес-руководителей. Это особенно важно для таких технологий, как сервисы мгновенного обмена сообщениями (IM), потому что их использование может быть или разрешено или запрещено. […]

Оставить коментарий