USG/ATP/VPN - Základy zabezpečení brány firewall

Máte další otázky? Odeslat požadavek

Důležité upozornění:
Upozornění: Vážení zákazníci, upozorňujeme, že k poskytování článků v místním jazyce používáme strojový překlad. Ne všechny texty mohou být přeloženy přesně. V případě dotazů nebo nesrovnalostí ohledně správnosti informací v přeložené verzi si prosím prohlédněte originální článek zde: Originální verze

Zyxel Firewall seriesod verze firmwaru 5.35

Brána firewall je první linií obrany proti útočníkům z internetu. Chrání místní síť před neoprávněným přístupem a je nezbytnou součástí koncepce zabezpečení. Co když se ale brána firewall sama stane terčem útoků hackerů, a může se tak stát potenciální hrozbou? Následující příručka má poskytnout informace o možnostech útoku, které mohou být omezeny.

1. Řízení zásad

2. Detekce a prevence anomálií

3. Vzdálená správa přes HTTPS

4. Dvoufaktorové ověřování

5. Protokoly výstrah

6. Automatické aktualizace firmwaru

7. Ochrana citlivých dat

1. Kontrola zásad

Přístup k bráně firewall by mělo mít co nejméně uživatelů. Aby to bylo zajištěno, je vhodné co nejvíce omezit přístupová práva.

Konfigurace > Zásady zabezpečení > Řízení zásad
mceclip0.png

Zóna ZyWALL přebírá určitou roli. Obsahuje všechny adresy rozhraní brány firewall. Pro tuto zónu lze vytvářet pouze pravidla.

Například výchozí adresa 192.168.1.1 nepatří do zóny LAN1, ale do zóny ZyWALL.
mceclip1.png

Při výchozím nastavení je přístup k bráně firewall převážně otevřený. Proto by měly být dále omezeny.

Omezení pravidel řízení zásad
Pravidla brány firewall lze omezit na základě několika kritérií. Pro přístup k bráně firewall jsou užitečná hlavně tři kritéria:
1. Zdroj IPv4 (adresní objekty)
2. služba
3. uživatel

Tyto prvky jsou vytvořeny jako objekty.

Adresní objekty
V zásadě existují tři typy adresových objektů. Jsou to:
1. IP adresy
2. Adresy FQDN
3. GeoIP adresy

Objekty adres lze seskupovat. Není však možné kombinovat různé typy adres.

Konfigurace > Objekt > Adresa/Geo IP > Adresa.

mceclip0.png

1.1 IP adresy

IP adresy by se měly používat vždy, když je to možné, protože jsou jedinečné. Existuje několik typů IP adres:

1. hostitel > popisuje jednu IP adresu.
2. rozsah > může to být libovolný rozsah definovaný počáteční a koncovou adresou.
3. podsíť > lze ji vytvořit zadáním masky podsítě nebo CIDR (např. /24).
4. IP rozhraní > přebírá IP adresu rozhraní a dynamicky se přizpůsobuje.
5. podsíť rozhraní > dynamicky přebírá podsíť rozhraní
6. rozhraní brána > přebírá bránu rozhraní typu WAN nebo obecného.

Hostitel, rozsah, podsíť
Typy adres Host, Range a Subnet jsou vhodné zejména jako zdroje IPv4. Pokud je přístup realizován z WAN, zadává se veřejná IP adresa vzdálené stanice.
Ze sítě LAN lze tyto objekty použít k vytvoření skupin s různými oprávněními.
Rozhraní IP
Tento objekt lze použít, pokud je přístup možný pouze na konkrétní IP adrese. Například pokud existují 2 rozhraní WAN, ale služba má být dostupná pouze na jednom rozhraní, lze IP adresu rozhraní zadat do pravidla řízení zásad jako cílovou adresu IPv4.
Podsíť rozhraní
Tento typ adresy je vhodný, pokud mají být vytvořena jednotná pravidla pro místní rozhraní (např. LAN1).

Brána rozhraní
Tento typ adresy není relevantní pro přístup k bráně firewall.
2. Objekty FQDN
U objektů FQDN lze místo IP adresy zadat název, např. www,mydomain.com. Tento typ záznamu je vhodný zejména v případě, že se přístup uskutečňuje z WAN a vzdálená stanice nemá statickou veřejnou IP adresu. Místo IP adresy lze v tomto případě použít název DynDNS. Pro objekty FQDN je vyžadován rychlý server DNS. Možné jsou také záložní položky, například *.mydomain.com. Ty však pro tento účel nelze použít.

1.2 Objekty FQDN
U objektů FQDN lze místo IP adresy zadat název, např. www,mydomain.com. Tento typ záznamu je vhodný zejména v případě, že je přístup realizován z WAN a vzdálená stanice nemá statickou veřejnou IP adresu. Místo IP adresy lze v tomto případě použít název DynDNS. Pro objekty FQDN je vyžadován rychlý server DNS. Možné jsou také záložní položky, například *.mydomain.com. Ty však pro tento účel nelze použít.

Geografické IP adresy

mceclip1.png

Geo IP lze použít k vytvoření objektů založených na zemi nebo regionu. Služba využívá externí databázi a měla by být pravidelně aktualizována. Geo IP nenabízí spolehlivou ochranu, protože zdrojovou adresu lze velmi snadno zmanipulovat pomocí volně dostupných služeb VPN.

Objekty služeb

Objekty služeb slouží k definování toho, kterým službám bude v nastavení zásad řízení povolen nebo zakázán přístup. Služby lze seskupovat. Služby lze použít i jinde, např. v trasách zásad a položkách NAT.
Kromě standardních objektů služeb existují některé zvláštní objekty. Jedná se o objekty "Wiz_2FA, Wiz_HTTP, Wiz_HTTPS a Wiz_SSLVPN". Port těchto služeb se automaticky přizpůsobí, když je nadefinován v příslušné nabídce.

Konfigurace > Objekt > Služba

mceclip2.png

Uživatel
Konfigurace > Objekt > Uživatel

Existují různé typy uživatelů.
Správce - může provádět změny v konfiguraci
Limited-admin - může přistupovat ke konfiguraci, ale nemůže provádět žádné změny.
User (Uživatel) - může se ověřit pomocí 2FA
Host - může se přihlásit k bráně firewall
Ext-user/ext-group-user - může se ověřit na externím serveru.

Vestavění uživatelé jsou předdefinovaní uživatelé, které nelze odstranit a kteří jsou určeni pro konkrétní účely.

Uživatelé by měli být definováni tak, aby měli pouze nezbytná oprávnění.
Typicky jsou uživatelé VPN nebo 802.1x definováni jako uživatelé typu Users.
mceclip3.png

Zabezpečení přihlášení
Definuje, zda a v jakém období je třeba měnit hesla a zda je vyžadována složitost hesla.
Nastavení přihlašování uživatelů
Definuje, kolikrát se může uživatel přihlásit současně. Pokud je limit nastaven na hodnotu "1", může se správce zablokovat.
Nastavení uzamčení IP adresy uživatele
Položky definují, jak často je povoleno chybné zadání hesla, dokud není uživatel na určitou dobu zablokován. Toto nastavení chrání před útoky hrubou silou.

Doporučená pravidla řízení zásad
Od: V případě, že se jedná o přihlašovací údaje, je možné je zadat do systému: WAN Do: ZyWALL
Důrazně se doporučuje uzavřít všechny služby, které nejsou výslovně potřebné.
Často potřebné služby:
IPSec VPN (IKEv1, IKEv2, L2TP):
ESP, IKE, NATT, (L2TP-UDP).

SSL VPN:
SSL: Wiz_SSLVPN

Dvoufaktorové ověřování pro VPN:
Wiz_2FA

Vzdálený přístup přes HTTP/HTTPS:
Wiz_HTTP, Wiz_HTTPS

Aby se co nejvíce předešlo bezpečnostním rizikům, je ideální provádět vzdálenou správu přes IPSec VPN. Zdrojové adresy by měly být pokud možno omezeny. SSL VPN se nedoporučuje, protože nabízí možný vektor útoku přes SSL.

Vzdálený přístup přes HTTPS:
Pokud je vyžadován vzdálený přístup přes HTTP/HTTPS, měla by být zdrojová adresa vždy omezena na IP adresu nebo FQDN. GeoIP jako zdrojová adresa není bezpečná a nabízí značný potenciál pro útok. Pro správu HTTPS se doporučuje použít alternativní port.

Od: Zóna VPN Do: ZyWALL (mezi klienty)
Ve výchozím nastavení jsou všechny porty otevřené. Ve většině případů je vyžadováno pouze několik služeb. Jedná se např. o DNS a L2TP-UDP. Pro ostatní služby by měl být přístup zablokován. Pokud je požadována vzdálená správa prostřednictvím sítě VPN client-to-site, lze přístup k bráně firewall omezit na jednoho uživatele. To však funguje pouze v případě, že se uživatel přihlásil k bráně firewall již při nastavení tunelu.

Z: V případě, že je firewall v provozu, je možné jej použít pro připojení k firewallu: LAN Komu: ZyWALL
Také zde by měla být přístupová práva omezena. Plný přístup k firewallu by měl být udělen pouze speciální správě LAN nebo jednotlivým IP adresám správce. Pro správnou funkci některých služeb musí být přístup k bráně firewall povolen. Jedná se například o DNS, multicast, Radius-Auth, NetBIOS, SNMT, SSO atd. Které přístupy jsou efektivně vyžadovány, závisí do značné míry na topologii sítě a použitých technologiích.

2. Detekce a prevence anomálií (ADP)

Konfigurace > Zásady zabezpečení > ADP
ADP poskytuje ochranu proti skenování portů a neobvyklému chování sítě. Doporučuje se aktivovat ADP s výchozím profilem ze zóny WAN. V případě problémů lze provést individuální úpravy profilu.

mceclip4.png

V jednotlivých případech může ADP ovlivnit některé služby. To se týká zejména detekce zaplavení. Z tohoto důvodu lze ochranu proti zaplavení u jednotlivých služeb, např. u NATT, deaktivovat. Takové nastavení je užitečné pouze v případě výskytu problémů.
mceclip5.png

3. Vzdálená správa prostřednictvím protokolu HTTPS

Některá specifická nastavení v nastavení WWW mají přímý vliv na zabezpečení systému.

Konfigurace > Systém > WWW

Port serveru
Pro vzdálenou správu by neměl být používán standardní port 443, protože ten je vždy skenován při automatických útocích. Často používané alternativní porty (např. 8443) také nejsou ideální.
Přesměrování HTTP na HTTPS
Všechna volání HTTP do grafického uživatelského rozhraní jsou přesměrována na HTTPS. Pozor. Toto nastavení nesmí být povoleno, pokud se používá webové ověřování. Ve všech ostatních případech by tato možnost měla být povolena.

Řízení služby správce
Zde můžete nastavit, kdo smí mít administrátorský přístup k bráně firewall. Nejlepší by bylo, kdybyste omezili přístup na jednotlivé IP adresy. Jako adresní objekty jsou povoleny pouze IP adresy. Jako poslední pravidlo (zde pravidlo 5) by mělo být vytvořeno pravidlo ALL/ALL/deny. Při vytváření pravidla je třeba dbát na to, abyste se nezablokovali. Proto musí být pravidla akceptace vytvořena před posledním pravidlem deny.

Řízení uživatelských služeb
Řízení uživatelských služeb definuje, kteří klienti se mohou ověřovat na bráně firewall.
Pravidlo je relevantní pro SSL-VPN, 2-FA, VPN Configuration Provisioning a WEB-Authentication.
Pokud se nepoužívá, lze nastavit také pravidlo deny.
Ověřování klientských certifikátů
Pokud je povolena možnost Ověřovat certifikát klienta, musí se klient autorizovat platným certifikátem. V opačném případě bude připojení odmítnuto. To platí pro přístup přes protokol HTTPS a SSL VPN. Konfigurace VPN_Poskytování služeb pomocí nástroje SecuExtender nefunguje, pokud je tato možnost povolena. Vyvolání okna 2FA je však možné i bez certifikátu.

Aby byl certifikát důvěryhodný pro bránu firewall, musí být nainstalován řetězec důvěryhodnosti certifikační autority. Ten obvykle zahrnuje kořenový a zprostředkující certifikát. Brána firewall důvěřuje každému certifikátu s platným řetězcem certifikátů i vlastním certifikátům podepsaným vlastním podpisem. Je třeba poznamenat, že některé prohlížeče zásadně odmítají certifikáty podepsané vlastním jménem (v současné době prohlížeče založené na Firefoxu). Klientský certifikát nemusí být ve firewallu nainstalován.

Konfigurace > Objekt > Certifikát > Důvěryhodné certifikáty.

mceclip6.png

4. Služby vzdálené správy

Konfigurace > Systém
Na bráně firewall je několik služeb, které jsou potřeba jen zřídka nebo nikdy. Tyto služby lze zcela zakázat.

SSH
Tuto službu lze například použít, když se změny konfigurace provádějí pomocí automatického skriptu. Pokud se SSH nepoužívá pravidelně pro správu, lze tuto službu zakázat. Místo SSH lze pro vstup do CLI použít také webovou konzolu.

mceclip7.png

TELNET
Vevětšině případů není potřeba a lze ji vypnout.

FTP

Prostřednictvím FTP lze např. aktualizovat firmware nebo stahovat konfigurační soubory. FTP musí být aktivováno, pokud se používá HA-Pro. V opačném případě lze FTP deaktivovat. Pokud je služba potřebná sporadicky, lze ji dočasně aktivovat.
SNMPTSlužba je potřebná pro monitorování sítě a je vyžadována pro řešení jako PRTG. Pokud síť není monitorována, lze službu deaktivovat.
ZON
Umožňuje výměnu informací se sousedními zařízeními (model, název, firmware, MAC adresa, IP adresa) prostřednictvím protokolu LLDP a také se softwarem Zyxel ZON ve stejné síti LAN. Služba není pro běžný provoz vyžadována.

VPN

IPSec Site-to-Site VPN
Při použití tunelů site-to-site by měla být pokud možno zadána adresa partnerské brány. Pokud má vzdálená lokalita dynamickou IP adresu, lze použít také název DynDNS. Název DynDNS lze použít také v případě, že se vzdálená lokalita nachází za NAT/CG-NAT. V takovém případě je důležité, aby spojení bylo navázáno ze vzdálené strany a aby služba DynDNS synchronizovala veřejnou IP adresu.

Pro ověřování je lepší použít certifikát než PSK. Je třeba vzít v úvahu následující skutečnosti:
1. Použitý certifikát může být certifikát podepsaný vlastním podpisem, ale musí být uložen na vzdálené straně v části "Důvěryhodné certifikáty".
2. Na obou stranách je vytvořen vlastní certifikát
3. Typ lokálního ID se přebírá z certifikátu a musí být zadán shodně jako ID partnera na druhé straně.
Doporučení pro maximální životnost SA je 86400 sekund v bráně VPN a 14400 sekund v připojení VPN.
5. Pro šifrování VPN se doporučují minimálně následující nastavení: AES256 / SHA256 / DH15. To platí jak v bráně VPN, tak v připojení VPN.
U tunelů site-to-site je možné použít také protokol Extended Authentication Protocol. Při navazování spojení však není registrovaný uživatel přihlášen k bráně firewall.

mceclip8.png

IPSec Client-to-Site VPN
Pro klient-to-site VPN se doporučuje IKEv2 s certifikátem a Extended Authentication Protocol.

V připojení VPN je povinná konfigurační zátěž.
mceclip9.png

Po navázání spojení se klient přihlásí k bráně firewall s uživatelem. Pro případný administrátorský přístup k firewallu tak může být v řízení zásad uložen příslušný administrátorský uživatel.

L2TP-VPN

Použití sítě L2TP VPN se nedoporučuje. Místo toho lze použít IKEv2.

SSL VPN
Z důvodu výkonu a možných bezpečnostních problémů se SSL VPN nedoporučuje. Protože je však oblíbená kvůli snadné konfiguraci, je třeba zvážit následující:

Konfigurace > VPN > SSL VPN > Globální nastavení.

Použití samostatného portu pro SSL VPN je povinné. V žádném případě by se neměl používat port 443.
mceclip10.png

Bezpečnost se výrazně zvýší použitím certifikátu pro ověřování. Konfigurace je popsána v části "Vzdálená správa přes HTTPS > Ověření klientského certifikátu".

V nástroji Policy Control je vhodné omezit zdrojovou IP pro přístup z WAN do ZyWALL pro službu Wiz_SSLVPN. Minimálně na GeoIP, lépe na FQDN nebo IP adresu.

Také přístup správce k firewallu ze zóny SSL-VPN lze omezit na uživatele admin. To je možné, protože tento uživatel se k firewallu přihlašuje již při nastavování tunelu.

Běžní uživatelé přístup k bráně firewall ze zóny SSL VPN nepotřebují. Postačí, když zde budou povoleny typické služby, jako je například DNS.

5. Dvoufaktorové ověřování

Pro přístup správce se doporučuje dvoufaktorové ověřování, nejlépe pomocí služby Google Authenticator.
Nastavení pro 2FA je třeba provést pro každého uživatele zvlášť. Doporučuje se metoda Google Authenticator. Všimněte si, že uživatelé, kteří nemají nastaveno 2FA, se mohou přihlásit i bez dalšího ověřování. Z tohoto důvodu nabízí 2FA pouze omezenou ochranu.

2FA kann auch für VPN-Access aktiviert werden.

Zur Authentifizierung wird immer ein eigener Port verwendet (Objekt Wiz_2FA).

Es stehen auch verschieden Methoden zur Verfügung, wie ein Link gesendet werden soll. Schlussendlich wird jedoch bei allen Methoden ein Link auf das WEB-GUI aufgerufen.

Da das WEB-GUI für 2FA aus dem WAN erreichbar sein muss, besteht hier auch ein potenzielles Angriffsrisiko. Aus diesem Grund ist diese Funktion mit Vorsicht zu geniessen.

Jak nastavit dvoufaktorové ověřování je popsáno v našem dalším článku:

Dvoufaktorové ověřování pomocí Google Authenticator pro přístup správce

6. Protokoly výstrah

U některých možností může být užitečné nastavit protokol výstrah. V takovém případě lze při výskytu události okamžitě spustit e-mailové oznámení. To má smysl například při přihlášení správce, zejména u firewallů, které jsou monitorovány pouze v nepravidelných intervalech.

Konfigurace > Protokol a hlášení > Nastavení protokolu
mceclip12.png

7. Automatické aktualizace firmwaru

Vždy je třeba dbát na aktuálnost firmwaru brány firewall. U systémů, které jsou aktivně udržovány, lze aktualizace provádět ručně. Ve skutečnosti však často dochází k tomu, že je tato činnost zanedbávána a firewally se známými bezpečnostními chybami nejsou dlouhodobě aktualizovány.
Zejména v prostředích tohoto typu se doporučuje z bezpečnostních důvodů aktivovat automatické aktualizace.

Údržba > Správce souborů > Správa firmwaru

mceclip13.png
.

8. Ochrana citlivých dat

Od verze firmwaru 5.35 lze hesla šifrovat pomocí vlastního klíče namísto výchozího algoritmu. Ostatní hesla stále používají výchozí metodu. Funkce také chrání před čtením uživatelských hesel z konfiguračních souborů pomocí hackerských nástrojů.

Údržba > Správce souborů > Konfigurační soubor > Konfigurace > Ochrana citlivých dat.

mceclip14.png

Předpokládejme, že je soubor přeinstalován na bránu firewall. To je možné pouze pomocí klíče.

mceclip15.png

Články v tomto oddílu

Byl pro vás tento článek užitečný?
Počet uživatelů, kteří toto označili za užitečné: 2 z 2
Sdílet

Komentáře

0 komentářů

Prosím přihlaste se, abyste mohli napsat komentář.