Zapory to podstawowe narzędzie zapewniające odpowiednią ochronę zarówno naszych komputerów, routerów, jak i całej sieci przed włamaniami z zewnątrz. Zapory ogniowe pozwolą nam kontrolować ruch do iz miejsca docelowego, uwzględniając różne zasady. Jeśli odebrany lub wysłany pakiet jest zgodny ze skonfigurowaną regułą, zostanie wykonana jedna z trzech typowych akcji zapory: zezwól na pakiet (AKCEPTUJ), odrzuć pakiet i usuń go (DROP), uruchom wiadomość o odrzuceniu (odrzuć). Wiedząc, jak skonfigurować plik zapora, czy to za pomocą wiersza poleceń, czy w graficznym interfejsie użytkownika, jest tak samo ważne, jak znajomość dobrych praktyk. Dzisiaj w tym artykule przedstawimy szereg zaleceń, które pomogą Ci poprawnie skonfigurować zaporę.
Odmawiaj ruchu niejawnie (domyślne)
Zapory ogniowe dopuszczają dwa rodzaje zasad, jeśli chodzi o dopuszczanie lub odrzucanie ruchu, konfigurowanie restrykcyjnej polityki z ruchem sieciowym, który przychodzi i odchodzi, jest czymś całkowicie podstawowym, aby odpowiednio chronić komputery, a także sieć. Zapory można skonfigurować na dwa różne sposoby:
- Tolerancyjna polityka : dozwolony jest każdy ruch z dowolnego adresu IP i interfejsu, tylko to, co jest wyraźnie zablokowane w zaporze, zostanie zablokowane.
- Restrykcyjna polityka : ruch z dowolnego adresu IP lub interfejsu nie jest dozwolony, dozwolony będzie tylko ruch wyraźnie dozwolony w zaporze.
Dla ochrony, powinniśmy zawsze konfigurować zasady zapory jako „restrykcyjne” , w rzeczywistości wiele domyślnych programów zapory jest już skonfigurowanych z tą polityką, nawet profesjonalne routery i zapory ogniowe, to znaczy na końcu mamy niejawną regułę, która wskazuje „odmówienie wszystkiego”, jak ma to miejsce w przypadku routerów Cisco lub zapory ogniowej. zorientowane systemy operacyjne, takie jak pfSense. Dlatego, jeśli nie mamy reguły „zezwalaj na coś”, automatycznie cały ruch jest domyślnie blokowany, aby zapewnić jak najlepsze bezpieczeństwo.
Administratorzy systemu i sieci powinni zawsze konfigurować zaporę ogniową tak, aby zezwalała tylko na minimalny ruch niezbędny do prawidłowego funkcjonowania systemu i blokował inny ruch, który nie jest konieczny. W ten sposób zdecydowana większość reguł, które mamy w firewallu będzie „zezwalać”, a nie „odmawiać”, ponieważ na końcu listy będziemy mieć ukrytą odmowę.
Zoptymalizuj utworzone reguły i uporządkuj je
Innym bardzo ważnym aspektem jest to, że wszystkie zapory sieciowe oceniają różne reguły sekwencyjnie, od góry do dołu, dlatego musimy przestrzegać kilku zaleceń, aby reguły działały poprawnie:
- Bardziej szczegółowe zasady powinny znaleźć się na szczycie , ponad bardziej ogólnymi zasadami. Na przykład wyobraźmy sobie, że chcemy zezwolić na określony adres IP, ale zablokować pozostałe komputery w tej samej sieci. Najpierw musimy wpisać „Zezwól na IP”, a następnie „Zablokuj podsieć”. Jeśli najpierw umieścimy najbardziej ogólną regułę (zablokuj podsieć), najsurowsza reguła (zezwól na IP) nigdy nie zostanie spełniona.
- Najbardziej ogólne zasady powinny znaleźć się poniżej bardziej szczegółowych .
Innym zaleceniem podczas konfigurowania zapory jest kolejność reguł reguły, które mają być „sprawdzane” najczęściej, powinny znajdować się jak najwyżej, a najmniej „sprawdzane” na dole, aby zoptymalizować wydajność. zapory , ponieważ system operacyjny musi sprawdzać wszystko od góry do dołu.
- Zasady, które będą przestrzegane najczęściej, stawiaj je jak najwyżej.
- Zasady, które będą najmniej przestrzegane, poniżej.
W zależności od systemu operacyjnego i zapory ogniowej możemy mieć różne zasady zapory na różnych interfejsach. Na przykład w profesjonalnym systemie operacyjnym pfSense interfejs WAN w Internecie ma niejawną blokadę, jednak wszystko wychodzące z sieci LAN jest domyślnie dozwolone. To samo możemy zrobić również na Linuxsystemy oparte na systemie, takie jak Debian poprzez iptables lub nftables, konfigurujące domyślne zasady w różnych tabelach i łańcuchach.
Lista zasad tak krótka, jak to tylko możliwe
Podczas konfigurowania zapory ogniowej zdecydowanie zaleca się, aby lista reguł, które zamierzamy wprowadzić, była jak najkrótsza, aby móc prawidłowo nimi zarządzać i utrzymywać. Jeśli mamy w sumie 10 reguł, które moglibyśmy „podsumować” tylko jedną regułą, używając „aliasów” lub zestawów adresów IP i portów, to znacznie lepiej. Zawsze warto mieć minimalną liczbę reguł z kilku powodów:
- Usterki można wykryć szybciej.
- Zarządzanie regułami będzie łatwiejsze dzięki kilku regułom.
- Wydajność zapory, system nie będzie musiał sprawdzać 100 reguł, ale tylko 5, dlatego wydajność wzrośnie, a zużycie procesora zmniejszy się.
Sprawdź, czy zasady nadal obowiązują w sieci
Zdecydowanie zaleca się sprawdzanie reguł zapory z pewną częstotliwością, aby sprawdzić, czy wymagania dotyczące dopuszczania lub blokowania ruchu, który chcemy, są nadal spełnione. Jeśli jesteśmy w statycznym środowisku, w którym nie nastąpiły żadne zmiany, to nie będzie konieczne regularne utrzymywanie tych reguł, jednak w sieciach, które się zmieniają, będziemy musieli się tym zająć.
Jeśli w określonej sieci mamy zamiar wyeliminować serwer lub komputer, a znajduje się on w przefiltrowanej zaporze, musimy sprawdzić, czy chcemy nadal zezwalać lub odrzucać ten ruch, czyli utrzymywać aktualizację zapory w zależności od sieci.
Udokumentuj wszystkie reguły w polu „opis”
We wszystkich regułach, które będziemy tworzyć w firewallu, absolutnie konieczne jest wpisanie w polu opisu, co robi ta konkretna reguła. Kiedy idziemy skonfigurować zaporę, doskonale wiemy, na co chcemy zezwolić, a czego zabronić, ale po 2 lub 3 miesiącach i nawet jeśli zarządza nią ktoś inny, zwykle zapomnieliśmy lub nie bardzo dobrze wiemy, co to jest. przyzwalasz lub odmawiasz, i musisz „pociągnąć” za nić, aby „odgadnąć”, co robi ta konkretna reguła.
Kiedy w przyszłości będziemy przeglądać konfigurację zapory, z pewnością docenimy włączenie tych opisów do zapory lub dokumentacji konfiguracyjnej, dlaczego są one niezbędne i dlaczego stworzyliśmy je w ten sposób. Oczywiście absolutnie konieczne jest utrzymywanie aktualności tego dokumentu konfiguracyjnego zapory i przeprowadzanie okresowych przeglądów konfiguracji. Ilekroć mamy zamiar zaktualizować dokumentację, musimy wprowadzić odpowiednie zmiany.
Rejestruj tylko ruch, którego potrzebujemy
Wszystkie zapory ogniowe, w zależności od określonej reguły, pozwolą nam rejestrować ruch sieciowy dozwolony lub zabroniony w zaporze (źródłowy i docelowy adres IP, port źródłowy i docelowy oraz czas), w ten sposób możemy zobaczyć próby dostępu, dozwolone lub zabroniony ruch i więcej. Na początku możemy pomyśleć, że rejestrowanie całego ruchu sieciowego jest dobrym pomysłem, ale tak nie jest. Zaleca się rejestrowanie ruchu, który naprawdę nas interesuje, w celu debugowania zadań lub sprawdzenia, czy nas nie atakują.
Jeśli zarejestrujemy duży ruch, będziemy mieli dużo „szumu” w tych zapisach, to znaczy rekordach, które nam nie będą służyć, i będziemy musieli zacząć filtrować ogromne ilości logów, aby dostać się do tego, który naprawdę interesuje nas. Na przykład komputery z Windows or Mac stale wysyłaj i odbieraj informacje z Internetu, rozwiązuj kilka domen setki razy i wiele więcej, dlatego upewnij się, czy naprawdę chcesz rejestrować ten ruch przeglądania sieci. Ponadto, jeśli używasz dynamicznych protokołów routingu, takich jak RIP lub OSPF w swojej sieci, a pomiędzy nimi masz zaporę ogniową, będziesz stale odbierać ruch z tych protokołów, tak samo, jeśli masz HSRP lub VRRP do redundancji routerów.
Przyjrzyj się uważnie dziennikom określonego ruchu
Jeśli logujesz ruch WAN, musisz pamiętać, że będziemy mieli pełny zapis wszystkich połączeń internetowych, najbardziej normalną rzeczą jest rejestrowanie pakietów, które są kierowane do naszego VPN lub SSH, aby wykryć możliwe podejrzane działania, a nie nawigację internetową. Zaleca się również częste sprawdzanie informacji wyświetlanych w rejestrze, jak często pojawia się ten konkretny rejestr? Czy powinien wychodzić co 30 minut czy co 60 minut?
Wreszcie kolejnym aspektem, który należy wziąć pod uwagę, jest to, że musimy nie tylko rejestrować zatrzymywany ruch, aby zobaczyć, kto nas atakuje, ale także dozwolony ruch. Czy powinno to pozwolić na przepływ ruchu, czy też powinniśmy go zablokować?
Mamy nadzieję, że dzięki tym ogólnym zaleceniom możesz poprawnie skonfigurować zaporę, niezależnie od tego, czy jest to router, zapora ogniowa, taka jak pfSense, a nawet w systemie operacyjnym, takim jak Windows lub Linux, ponieważ wszystkie zapory działają dokładnie tak samo.
