Vigtig meddelelse: |
Zyxel Firewall-serienfra firmware version 5.35
En firewall er den første forsvarslinje mod angribere fra internettet. Den beskytter det lokale netværk mod uautoriseret adgang og er en væsentlig del af et sikkerhedskoncept. Men hvad nu, hvis firewallen selv bliver mål for hackerangreb og dermed kan blive en potentiel trussel? Den følgende vejledning skal give oplysninger om, hvordan man angriber muligheder, der kan begrænses.
1. Politik kontrol
2. Opsporing og forebyggelse af anomalier
3. Fjernstyring via HTTPS
4. To-faktor-autentificering
5. Advarselslogfiler
6. Automatiske firmwareopdateringer
7. Beskyttelse af følsomme data
1. Politik kontrol
Så få brugere som nødvendigt skal have adgang til firewallen. For at sikre dette er det tilrådeligt at begrænse adgangsrettighederne så meget som muligt.
Konfiguration > Sikkerhedspolitik > Politikstyring
ZyWALL zone indtager en særlig rolle. Den indeholder alle grænsefladeadresser for firewallen. Der kan kun oprettes regler for denne zone.
F.eks. hører standardadressen 192.168.1.1.1 ikke til LAN1-zonen, men til ZyWALL-zonen.
Med standardindstillingerne er adgangen til firewallen hovedsagelig åben. Derfor bør disse begrænses yderligere.
Begrænsning af regler for politikstyring
Firewallregler kan begrænses på grundlag af flere kriterier. Der er hovedsageligt tre kriterier, der er nyttige for firewalladgang:
1. IPv4-kilde (adresseobjekter)
2. tjeneste
3. bruger
Disse elementer oprettes som objekter.
Adresse-objekter
Der findes grundlæggende tre typer adresseobjekter. Disse er:
1. IP-adresser
2. FQDN-adresser
3. GeoIP-adresser
Adresseobjekter kan grupperes. Det er dog ikke muligt at blande forskellige adressetyper.
Konfiguration > Objekt > Adresse/GeoIP > Adresse
1.1 IP-adresser
IP-adresser bør anvendes så vidt muligt, da de er unikke. Der findes flere typer af IP-adresser:
1. host > dette beskriver en enkelt IP-adresse
2. range > dette kan være et hvilket som helst interval defineret af start- og slutadressen
3. subnet > dette kan oprettes ved at indtaste en subnetmaske eller CIDR (f.eks. /24)
4. interface IP > overtager IP-adressen for en grænseflade og tilpasser sig dynamisk
5. interface subnet > overtager dynamisk undernettet for en grænseflade
6. interface gateway > overtager gatewayen for en grænseflade af typen WAN eller generel.
Vært, rækkevidde, undernet
Adressetyperne Host, Range og Subnet er særligt velegnede som IPv4-kilder. Ved adgang fra WAN angives den offentlige IP-adresse for fjernstationen.
Fra et LAN kan disse objekter bruges til at oprette grupper med forskellige rettigheder.
Grænseflade IP
Dette objekt kan bruges, hvis adgang kun er mulig på en bestemt IP-adresse. Hvis der f.eks. er to WAN-grænseflader, men en tjeneste kun skal være tilgængelig på den ene grænseflade, kan grænseflade-IP'en angives i politikstyringsreglen som en IPv4-destination.
Grænsefladesubnet
Denne adressetype er velegnet, hvis der skal oprettes ensartede regler for en lokal grænseflade (f.eks. LAN1).
Grænseflade Gateway
Denne adressetype er ikke relevant for adgang til firewallen.
2. FQDN-objekter
Med FQDN-objekter kan der i stedet for en IP-adresse angives et navn, f.eks. www,mydomain.com. Denne indtastningstype er især velegnet, hvis adgangen sker fra WAN, og fjernstationen ikke har en statisk offentlig IP-adresse. Et DynDNS-navn kan i dette tilfælde anvendes i stedet for IP-adressen. For FQDN-objekter kræves der en hurtig DNS-server. Wildcard-indtastninger som *.mydomain.com er også mulige. Disse kan dog ikke bruges til dette formål.
1.2 FQDN-objekter
Med FQDN-objekter kan der angives et navn i stedet for en IP-adresse, f.eks. www,mydomain.com. Denne indtastningstype er især velegnet, hvis der gives adgang fra WAN, og fjernstationen ikke har en statisk offentlig IP-adresse. Et DynDNS-navn kan i dette tilfælde anvendes i stedet for IP-adressen. For FQDN-objekter kræves der en hurtig DNS-server. Wildcard-indtastninger som *.mydomain.com er også mulige. Disse kan dog ikke bruges til dette formål.
Geo IP-adresser
Geo IP kan bruges til at oprette et land eller regionsbaserede objekter. Tjenesten bruger en ekstern database og bør opdateres regelmæssigt. Geo IP giver ikke pålidelig beskyttelse, da kildeadressen meget let kan manipuleres ved hjælp af frit tilgængelige VPN-tjenester.
Tjenesteobjekter
Tjenesteobjekter bruges til at definere, hvilke tjenester der gives eller nægtes adgang i indstillingerne for politikstyring. Tjenesterne kan grupperes. Tjenesterne kan også bruges andre steder, f.eks. i politikruter og NAT-indgange.
Ud over standardtjenesteobjekterne findes der nogle særlige objekter. Det drejer sig om objekterne "Wiz_2FA, Wiz_HTTP, Wiz_HTTPS og Wiz_SSLVPN". Porten for disse tjenester tilpasses automatisk, når den omdefineres i den tilsvarende menu.
Konfiguration > Objekt > Tjeneste
Bruger
Konfiguration > Objekt > Bruger
Der findes forskellige typer af brugere.
Admin - kan foretage ændringer i konfigurationen
Limited-admin - kan få adgang til konfigurationen, men kan ikke foretage nogen ændringer
Bruger - kan autentificere ved hjælp af 2FA
Guest - kan logge på firewallen
Ext-user/ext-group-user - kan autentificere sig til en ekstern server.
Indbyggede brugere er foruddefinerede brugere, der ikke kan slettes, og som er beregnet til bestemte formål.
Brugere bør defineres, så de kun har de nødvendige tilladelser.
Typisk defineres VPN- eller 802.1x-brugere som brugere af brugertypen Brugere.
Login-sikkerhed
Definerer, om og i hvilket tidsrum adgangskoder skal ændres, og om der kræves kompleksitet af adgangskoder.
Indstillinger for brugerlogin
Definerer, hvor mange gange en bruger kan logge ind på samme tid. Hvis grænsen er indstillet til "1", kan en administrator låse sig selv ude.
Indstillinger for bruger-IP-spærring
Indtastningerne definerer, hvor ofte en forkert adgangskodeindtastning er tilladt, indtil brugeren er blokeret i en bestemt periode. Denne indstilling beskytter mod brute force-angreb.
Anbefalede regler for politikstyring
Fra: WAN Til: ZyWALL
Det anbefales kraftigt at lukke alle tjenester, der ikke er specifikt nødvendige.
Tjenester, der ofte er nødvendige:
IPSec VPN (IKEv1, IKEv2, L2TP):
ESP, IKE, NATT, (L2TP-UDP).
SSL VPN:
Wiz_SSLVPN
2-faktor-autentifikation til VPN:
Wiz_2FA
Fjernadgang via HTTP/HTTPS:
Wiz_HTTP, Wiz_HTTPS
For at undgå sikkerhedsrisici så vidt muligt, udføres fjernstyring ideelt set via IPSec VPN. Kildeadresserne bør om muligt begrænses. SSL-VPN anbefales ikke, da dette giver en mulig angrebsvektor via SSL.
Fjernadgang via HTTPS:
Hvis fjernadgang via HTTP/HTTPS er påkrævet, bør kildeadressen altid begrænses til en IP-adresse eller FQDN. GeoIP som kildeadresse er ikke sikker og giver betydelige muligheder for angreb. For HTTPS-håndtering anbefales det at bruge en alternativ port.
Fra: VPN-zone Til: ZyWALL (klient-til-sted)
Som standard er alle porte åbne. I de fleste tilfælde er kun nogle få tjenester nødvendige. Det drejer sig f.eks. om DNS og L2TP-UDP. For andre tjenester skal adgangen blokeres. Hvis fjernstyring via client-to-site VPN ønskes, kan adgangen til firewallen begrænses til én bruger. Dette virker dog kun, hvis brugeren allerede har logget på firewallen, da tunnelen blev oprettet.
Fra: LAN Til: ZyWALL
Også her skal adgangsrettighederne begrænses. Fuld adgang til firewallen bør kun gives til et særligt management LAN eller individuelle administrator-IP-adresser. For at nogle tjenester kan fungere korrekt, skal der gives adgang til firewall'en. Det gælder bl.a. DNS, multicast, Radius-Auth, NetBIOS, SNMT, SSO osv. Hvilke adgangsrettigheder der reelt er nødvendige, afhænger i høj grad af den anvendte netværkstopologi og teknologier.
2. Påvisning og forebyggelse af anomalier (ADP)
Konfiguration > Sikkerhedspolitik > ADP
ADP yder beskyttelse mod portscanninger og usædvanlig netværksadfærd. Det anbefales at aktivere ADP med standardprofilen fra WAN-zonen. Der kan foretages individuelle justeringer af profilen, hvis der opstår problemer.
I enkelte tilfælde kan ADP påvirke visse tjenester. Dette gælder især for registreringen af oversvømmelser. Derfor kan flooding-beskyttelsen deaktiveres for enkelte tjenester, f.eks. NATT. En sådan indstilling er kun nyttig, hvis der opstår problemer.
3. Fjernstyring via HTTPS
Nogle specifikke indstillinger i WWW-indstillingerne har en direkte indvirkning på systemsikkerheden.
Konfiguration > System > WWW
Serverport
Standardporten 443 bør ikke bruges til fjernstyring, da denne altid bliver scannet under automatiske angreb. Hyppigt anvendte alternative porte (f.eks. 8443) er heller ikke ideelle.
Omdiriger HTTP til HTTPS
Alle HTTP-opkald til GUI'en omdirigeres til HTTPS. Opmærksomhed. Denne indstilling må ikke aktiveres, hvis der anvendes webautentifikation. I alle andre tilfælde skal denne indstilling være aktiveret.
Kontrol af administrationstjeneste
Her kan du indstille, hvem der kan have administratoradgang til firewallen. Det vil være bedst for dig at begrænse adgangen til individuelle IP-adresser. Kun IP-adresser er tilladt som adresseobjekter. Som den sidste regel (her regel 5) skal der oprettes en ALL/ALL/deny-regel. Man skal være forsigtig med at oprette reglen, så man ikke låser sig selv ude. Derfor skal acceptreglerne oprettes før deny-reglen oprettes til sidst.
Kontrol af brugertjenester
Brugertjenestekontrollen definerer, hvilke klienter der kan autentificere sig til firewallen.
Reglen er relevant for SSL-VPN, 2-FA, VPN Configuration Provisioning og WEB-Authentication.
Hvis denne ikke anvendes, kan der også indstilles en deny-regel.
Autentificere klientcertifikater
Hvis indstillingen Authenticate Client Certificate (Autentificer klientcertifikat) er aktiveret, skal klienten autorisere sig selv med et gyldigt certifikat. Ellers vil en forbindelse blive afvist. Dette gælder for adgang via HTTPS og SSL VPN. VPN Configuration_Profisioning with SecuExtender fungerer ikke, hvis denne indstilling er aktiveret. Det er dog stadig muligt at kalde 2FA-vinduet uden et certifikat.
For at et certifikat kan få tillid fra firewallen, skal certifikatmyndighedens tillidskæde være installeret. Denne omfatter normalt et rod- og et mellemliggende certifikat. Firewallen stoler på alle certifikater med en gyldig certifikatkæde samt på sine egne selvsignerede certifikater. Det skal bemærkes, at nogle browsere principielt afviser selvsignerede certifikater (i øjeblikket Firefox-baserede browsere). Klientcertifikatet behøver ikke at være installeret på firewallen.
Konfiguration > Objekt > Certifikat > Tillidsbaserede certifikater
4. Fjernstyringstjenester
Konfiguration > System
Der er flere tjenester på firewallen, som sjældent eller aldrig er nødvendige. Disse tjenester kan deaktiveres helt.
SSH
Denne tjeneste kan f.eks. bruges, når konfigurationsændringer udføres med et automatisk script. Hvis SSH ikke bruges regelmæssigt til administration, kan tjenesten deaktiveres. Webkonsollen kan også bruges i stedet for SSH til CLI-indtastning.
TELNET
Den er ikke nødvendig i de fleste tilfælde og kan deaktiveres.
FTP
Via FTP kan f.eks. firmwaren opdateres eller konfigurationsfiler downloades. FTP skal være aktiveret, hvis HA-Pro er i brug. Hvis dette ikke er tilfældet, kan FTP deaktiveres. Hvis tjenesten er nødvendig sporadisk, kan den aktiveres midlertidigt.
SNMPTTjenesten ernødvendig til netværksovervågning og er påkrævet for løsninger som PRTG. Hvis netværket ikke overvåges, kan tjenesten deaktiveres.
ZON
Gør det muligt atudveksle oplysninger med naboenheder (model, navn, firmware, MAC-adresse, IP-adresse) via LLDP samt med Zyxels software ZON i det samme LAN. Tjenesten er ikke nødvendig for almindelig drift.
VPN
IPSec Site-to-Site VPN
Ved brug af site-to-site-tunneler skal der så vidt muligt angives en peer gateway-adresse. Hvis fjernstedet har en dynamisk IP-adresse, kan der også bruges et DynDNS-navn. Et DynDNS-navn kan også bruges, hvis fjernstedet er bag en NAT/CG-NAT. I dette tilfælde er det vigtigt, at forbindelsen etableres fra fjernsiden, og at DynDNS-tjenesten synkroniserer den offentlige IP-adresse.
Til autentificering er et certifikat bedre end en PSK. Følgende skal tages i betragtning:
1. Det anvendte certifikat kan være et selvsigneret certifikat, men skal gemmes på fjernsiden under "Trusted Certificates".
2. På begge sider oprettes eget certifikat
3. Den lokale ID-type tages fra certifikatet og skal indtastes identisk med peer-ID'et på den anden side.
Anbefalingen for den maksimale SA-levetid er 86400 sekunder i VPN-gatewayen og 14400 sekunder i VPN-forbindelsen.
5. Følgende indstillinger anbefales som et minimum for VPN-kryptering: AES256 / SHA256 / DH15. Dette er både i VPN-gatewayen og i VPN-forbindelsen.
Extended Authentication Protocol er også muligt for site-to-site-tunneler. Den registrerede bruger er dog ikke logget ind på firewallen, når forbindelsen etableres.
IPSec Client-to-Site VPN
Til client-to-site VPN anbefales IKEv2 med certifikatet og Extended Authentication Protocol.
Configuration Payload er obligatorisk i VPN-forbindelsen.
Når forbindelsen er etableret, er klienten logget på firewallen med brugeren. For enhver admin-adgang til firewallen kan den tilsvarende admin-bruger således gemmes i politikstyringen.
L2TP-VPN
Det anbefales ikke at anvende en L2TP-VPN. IKEv2 kan bruges i stedet.
SSL VPN
På grund af ydeevne og mulige sikkerhedsproblemer anbefales SSL VPN ikke. Da dette er populært på grund af den nemme konfiguration, bør følgende dog overvejes:
Konfiguration > VPN > SSL VPN > Global indstilling
Brugen af en separat port til SSL VPN er obligatorisk. Port 443 må under ingen omstændigheder anvendes.
Sikkerheden øges betydeligt ved at bruge et certifikat til autentificering. Konfigurationen er beskrevet under "Remote Management via HTTPS > Authenticate Client Certificate" (Fjernstyring via HTTPS > Autentificering af klientcertifikat).
I Policy Control anbefales det at begrænse Source IP for adgangen fra WAN til ZyWALL for tjenesten Wiz_SSLVPN. Mindst til en GeoIP, bedre til en FQDN eller en IP-adresse.
Desuden kan administratoradgang til firewallen fra SSL-VPN-zonen begrænses til admin-brugeren. Dette er muligt, fordi brugeren allerede logger på firewallen under tunnelopsætningen.
Almindelige brugere har ikke brug for adgang til firewallen fra SSL-VPN-zonen. Det er tilstrækkeligt, hvis typiske tjenester som f.eks. DNS er tilladt her.
5. To-faktor-autentificering
To-faktor-autentifikation anbefales til Admin Access, helst med Google Authenticator.
Opsætningen til 2FA skal foretages separat for hver bruger. Google Authenticator-metoden anbefales. Bemærk, at brugere, der ikke har 2FA konfigureret, stadig kan logge ind uden yderligere autentificering. Af denne grund giver 2FA kun begrænset beskyttelse.
2FA kann auch für VPN-Access aktiviert werden.
Zur Authentifizierung wird immer ein eigener Port verwendet (Objekt Wiz_2FA).
Es stehen auch verschieden Methoden zur Verfügung, wie ein Link gesendet werden soll. Schlussendlich wird jedoch bei allen Methoden ein Link auf das WEB-GUI aufgerufen.
Da das WEB-GUI für 2FA aus dem WAN erreichbar sein muss, besteht hier auch ein potenzielles Angriffsrisiko. Aus diesem Grund ist diese Funktion mit Vorsicht zu geniessen.
Hvordan du opsætter to-faktor-autentifikation er beskrevet i vores anden artikel:
To-faktor-autentificering med Google Authenticator til administratoradgang
6. Advarselslogfiler
For nogle indstillinger kan det være nyttigt at opsætte en advarselslogbog. I dette tilfælde kan en e-mail-meddelelse udløses straks, når en hændelse opstår. Dette giver f.eks. mening, når en administrator logger ind, især for firewalls, som kun overvåges med uregelmæssige intervaller.
Konfiguration > Log og rapport > Logindstillinger
7. Automatiske firmwareopdateringer
Man bør altid sørge for, at firewallens firmware er opdateret. For systemer, der vedligeholdes aktivt, kan opdateringer udføres manuelt. I virkeligheden er det dog ofte sådan, at dette forsømmes, og firewalls med kendte sikkerhedshuller opdateres ikke over en længere periode.
Især i miljøer af denne type anbefales det af sikkerhedshensyn at aktivere automatiske opdateringer.
Vedligeholdelse > File Manager > Firmware Management
8. Beskyttelse af følsomme data
Fra og med firmwareversion 5.35 kan adgangskoder krypteres med en brugerdefineret nøgle i stedet for standardalgoritmen. Andre adgangskoder bruger stadig standardmetoden. Funktionen beskytter også mod læsning af brugeradgangskoder fra konfigurationsfiler ved hjælp af hackerværktøjer.
Vedligeholdelse > Filhåndtering > Konfigurationsfil > Konfiguration > Beskyttelse af følsomme data
Antag, at filen geninstalleres på en firewall. Dette er kun muligt med nøglen.
Kommentarer
0 kommentarerLog ind for at kommentere.