Wichtiger Hinweis: |
Zyxel Firewall-Serie ab Firmware-Version 5.35
Eine Firewall ist die erste Verteidigungslinie gegen Angreifer aus dem Internet. Sie schützt das lokale Netzwerk vor unbefugten Zugriffen und ist ein wesentlicher Bestandteil eines Sicherheitskonzepts. Was aber, wenn die Firewall selbst zum Ziel von Hackerangriffen wird und damit zu einer potenziellen Bedrohung werden kann? Der folgende Leitfaden soll Auskunft darüber geben, wie die Angriffsmöglichkeiten eingeschränkt werden können.
1. Kontrolle der Richtlinien
2. Anomalie-Erkennung und -Prävention
3. Fernverwaltung über HTTPS
4. Zwei-Faktoren-Authentifizierung
5. Warnungsprotokolle
6. Automatische Firmware-Updates
7. Schutz sensibler Daten
1. Richtlinienkontrolle
So wenige Benutzer wie nötig sollten Zugriff auf die Firewall haben. Um dies zu gewährleisten, ist es ratsam, die Zugriffsrechte so weit wie möglich einzuschränken.
Konfiguration > Sicherheitsrichtlinie > Richtlinienkontrolle
Die ZyWALL-Zone nimmt eine besondere Rolle ein. Sie enthält alle Schnittstellenadressen der Firewall. Es können nur Regeln für diese Zone erstellt werden.
So gehört beispielsweise die Standardadresse 192.168.1.1 nicht zur Zone LAN1, sondern zur Zone ZyWALL.
Mit den Standardeinstellungen ist der Zugang zur Firewall weitgehend offen. Daher sollten diese weiter eingeschränkt werden.
Regeln für die Richtlinienkontrolle einschränken
Firewall-Regeln können anhand verschiedener Kriterien eingeschränkt werden. Für den Firewall-Zugang sind vor allem drei Kriterien hilfreich:
1. IPv4-Quelle (Adressobjekte)
2. Dienst
3. Benutzer
Diese Elemente werden als Objekte angelegt.
Adress-Objekte
Es gibt grundsätzlich drei Arten von Adressobjekten. Diese sind:
1. IP-Adressen
2. FQDN-Adressen
3. GeoIP-Adressen
Adressobjekte können gruppiert werden. Es ist jedoch nicht möglich, verschiedene Adresstypen zu mischen.
Konfiguration > Objekt > Adresse/Geo IP > Adresse
1.1 IP-Adressen
Wann immer möglich, sollten IP-Adressen verwendet werden, da sie eindeutig sind. Es gibt verschiedene Arten von IP-Adressen:
1. Host > Dies beschreibt eine einzelne IP-Adresse
2. range > Dies kann ein beliebiger Bereich sein, der durch die Start- und Endadresse definiert wird
3. Subnetz > kann durch Eingabe einer Subnetzmaske oder eines CIDR (z. B. /24) erstellt werden
4. Schnittstelle IP > übernimmt die IP-Adresse einer Schnittstelle und passt sich dynamisch an
5. Schnittstelle Subnetz > übernimmt dynamisch das Subnetz einer Schnittstelle
6. interface gateway > übernimmt das Gateway einer Schnittstelle vom Typ WAN oder allgemein.
Host, Bereich, Subnetz
Die Adresstypen Host, Range und Subnet sind besonders als IPv4-Quellen geeignet. Beim Zugriff aus dem WAN wird die öffentliche IP-Adresse der Gegenstelle angegeben.
Aus einem LAN können mit diesen Objekten Gruppen mit unterschiedlichen Berechtigungen gebildet werden.
Schnittstelle IP
Dieses Objekt kann verwendet werden, wenn der Zugriff nur über eine bestimmte IP-Adresse möglich ist. Wenn z. B. 2 WAN-Schnittstellen vorhanden sind, ein Dienst aber nur auf einer Schnittstelle verfügbar sein soll, kann die Schnittstellen-IP in der Regel zur Richtlinienkontrolle als IPv4-Ziel angegeben werden.
Schnittstelle Subnetz
Dieser Adresstyp eignet sich, wenn einheitliche Regeln für eine lokale Schnittstelle (z. B. LAN1) erstellt werden sollen.
Schnittstelle Gateway
Dieser Adresstyp ist für den Zugriff auf die Firewall nicht relevant.
2. FQDN-Objekte
Bei FQDN-Objekten kann anstelle einer IP-Adresse ein Name eingetragen werden, z.B. www,mydomain.com. Diese Eintragsart ist besonders geeignet, wenn der Zugriff aus dem WAN erfolgt und die Gegenstelle keine statische öffentliche IP-Adresse hat. In diesem Fall kann anstelle der IP-Adresse ein DynDNS-Name verwendet werden. Für FQDN-Objekte wird ein schneller DNS-Server benötigt. Auch Platzhaltereinträge wie *.mydomain.com sind möglich. Diese können jedoch nicht für diesen Zweck verwendet werden.
1.2 FQDN-Objekte
Bei FQDN-Objekten kann anstelle einer IP-Adresse ein Name eingetragen werden, z.B. www,mydomain.com. Diese Eintragsart ist besonders geeignet, wenn der Zugriff aus dem WAN erfolgt und die Gegenstelle keine statische öffentliche IP-Adresse hat. In diesem Fall kann anstelle der IP-Adresse ein DynDNS-Name verwendet werden. Für FQDN-Objekte wird ein schneller DNS-Server benötigt. Auch Platzhaltereinträge wie *.mydomain.com sind möglich. Diese können jedoch nicht für diesen Zweck verwendet werden.
Geo IP-Adressen
Geo IP kann verwendet werden, um länder- oder regionenbasierte Objekte zu erstellen. Der Dienst verwendet eine externe Datenbank und sollte regelmäßig aktualisiert werden. Geo IP bietet keinen zuverlässigen Schutz, da die Quelladresse mit Hilfe von frei verfügbaren VPN-Diensten sehr leicht manipuliert werden kann.
Service-Objekte
Mit Hilfe von Service-Objekten wird definiert, welche Dienste in den Einstellungen der Richtlinienkontrolle Zugriff erhalten oder verweigert bekommen. Die Dienste können gruppiert werden. Die Dienste können auch an anderer Stelle verwendet werden, z. B. in Policy-Routen und NAT-Einträgen.
Zusätzlich zu den Standard-Dienstobjekten gibt es einige besondere Objekte. Dies sind die Objekte "Wiz_2FA, Wiz_HTTP, Wiz_HTTPS und Wiz_SSLVPN". Der Port dieser Dienste passt sich automatisch an, wenn er im entsprechenden Menü neu definiert wird.
Konfiguration > Objekt > Dienst
Benutzer
Konfiguration > Objekt > Benutzer
Es gibt verschiedene Arten von Benutzern.
Admin - kann Änderungen an der Konfiguration vornehmen
Limited-admin - kann auf die Konfiguration zugreifen, aber keine Änderungen vornehmen
Benutzer - kann sich mit 2FA authentifizieren
Gast - kann sich an der Firewall anmelden
Ext-user/ext-group-user - kann sich bei einem externen Server authentifizieren.
Eingebaute Benutzer sind vordefinierte Benutzer, die nicht gelöscht werden können und für bestimmte Zwecke vorgesehen sind.
Die Benutzer sollten so definiert werden, dass sie nur die erforderlichen Berechtigungen haben.
Normalerweise werden VPN- oder 802.1x-Benutzer als Benutzer vom Typ Benutzer definiert.
Login-Sicherheit
Legt fest, ob und in welchem Zeitraum Passwörter geändert werden müssen und ob Passwortkomplexität erforderlich ist.
Benutzer-Login-Einstellungen
Legt fest, wie oft sich ein Benutzer gleichzeitig anmelden kann. Wenn das Limit auf "1" gesetzt ist, kann sich ein Administrator selbst aussperren.
Benutzer-IP-Sperreinstellungen
Die Einträge definieren, wie oft eine falsche Passworteingabe erlaubt ist, bis der Benutzer für eine bestimmte Zeit gesperrt wird. Diese Einstellung dient dem Schutz vor Brute-Force-Angriffen.
Empfohlene Regeln zur Richtlinienkontrolle
Von: WAN Nach: ZyWALL
Es wird dringend empfohlen, alle Dienste zu schließen, die nicht ausdrücklich benötigt werden.
Häufig benötigte Dienste:
IPSec VPN (IKEv1, IKEv2, L2TP):
ESP, IKE, NATT, (L2TP-UDP).
SSL VPN:
Wiz_SSLVPN
2-Faktoren-Authentifizierung für VPN:
Wiz_2FA
Fernzugriff über HTTP/HTTPS:
Wiz_HTTP, Wiz_HTTPS
Um Sicherheitsrisiken so weit wie möglich zu vermeiden, wird die Fernverwaltung idealerweise über IPSec VPN durchgeführt. Die Quelladressen sollten nach Möglichkeit eingeschränkt werden. SSL-VPN wird nicht empfohlen, da dies einen möglichen Angriffsvektor über SSL bietet.
Fernzugriff über HTTPS:
Wenn ein Fernzugriff über HTTP/HTTPS erforderlich ist, sollte die Quelladresse immer auf eine IP-Adresse oder einen FQDN beschränkt werden. GeoIP als Quelladresse ist nicht sicher und bietet ein erhebliches Angriffspotenzial. Für die HTTPS-Verwaltung wird empfohlen, einen alternativen Port zu verwenden.
Von: VPN-Zone An: ZyWALL (Client-zu-Standort)
Standardmäßig sind alle Ports offen. In den meisten Fällen werden nur einige wenige Dienste benötigt. Dies sind z. B. DNS und L2TP-UDP. Für andere Dienste sollte der Zugang blockiert werden. Wenn eine Fernverwaltung über ein Client-to-Site-VPN gewünscht ist, kann der Zugriff auf die Firewall auf einen Benutzer beschränkt werden. Dies funktioniert jedoch nur, wenn sich der Benutzer bereits beim Aufbau des Tunnels an der Firewall angemeldet hat.
Von: LAN An: ZyWALL
Auch hier sollten die Zugriffsrechte eingeschränkt werden. Voller Zugriff auf die Firewall sollte nur einem speziellen Management-LAN oder einzelnen Administrator-IP-Adressen gewährt werden. Damit einige Dienste korrekt funktionieren, muss der Zugriff auf die Firewall gewährt werden. Dazu gehören DNS, Multicast, Radius-Auth, NetBIOS, SNMT, SSO, usw. Welche Zugänge tatsächlich erforderlich sind, hängt stark von der Netzwerktopologie und den verwendeten Technologien ab.
2. Anomalie-Erkennung und -Prävention (ADP)
Konfiguration > Sicherheitsrichtlinie > ADP
ADP bietet Schutz vor Port-Scans und ungewöhnlichem Netzwerkverhalten. Es wird empfohlen, ADP mit dem Standardprofil aus der WAN-Zone zu aktivieren. Bei Problemen können individuelle Anpassungen des Profils vorgenommen werden.
In Einzelfällen kann ADP bestimmte Dienste beeinträchtigen. Dies gilt insbesondere für die Flooding-Erkennung. Aus diesem Grund kann der Flutschutz für einzelne Dienste, z. B. NATT, deaktiviert werden. Eine solche Einstellung ist nur hilfreich, wenn Probleme auftreten.
3. Fernverwaltung über HTTPS
Einige spezifische Einstellungen in den WWW-Einstellungen haben einen direkten Einfluss auf die Systemsicherheit.
Konfiguration > System > WWW
Server-Anschluss
Der Standardport 443 sollte für die Fernverwaltung nicht verwendet werden, da dieser bei automatisierten Angriffen immer gescannt wird. Häufig verwendete Alternativports (z.B. 8443) sind ebenfalls nicht ideal.
HTTP auf HTTPS umleiten
Alle HTTP-Aufrufe an die GUI werden auf HTTPS umgeleitet. Achtung! Diese Einstellung darf nicht aktiviert werden, wenn die Web-Authentifizierung verwendet wird. In allen anderen Fällen sollte diese Option aktiviert sein.
Admin Service Kontrolle
Hier können Sie festlegen, wer Administratorzugriff auf die Firewall haben darf. Am besten ist es, wenn Sie den Zugriff auf einzelne IP-Adressen beschränken. Als Adressobjekte sind nur IP-Adressen erlaubt. Als letzte Regel (hier Regel 5) sollte eine ALL/ALL/deny-Regel erstellt werden. Bei der Erstellung der Regel muss darauf geachtet werden, dass man sich nicht selbst aussperrt. Daher müssen die Accept-Regeln vor der Deny-Regel erstellt werden, die als letzte erstellt wird.
Benutzerdienstkontrolle
Die Benutzerdienstkontrolle legt fest, welche Clients sich an der Firewall authentifizieren können.
Die Regel ist relevant für SSL-VPN, 2-FA, VPN Configuration Provisioning und WEB-Authentifizierung.
Wenn sie nicht verwendet wird, kann auch eine Verweigerungsregel gesetzt werden.
Client-Zertifikate authentifizieren
Wenn die Option Client-Zertifikat authentifizieren aktiviert ist, muss sich der Client mit einem gültigen Zertifikat autorisieren. Andernfalls wird eine Verbindung verweigert. Dies gilt für den Zugriff über HTTPS und SSL-VPN. VPN-Konfiguration_Profisioning mit SecuExtender funktioniert nicht, wenn diese Option aktiviert ist. Der Aufruf des 2FA-Fensters ist jedoch auch ohne Zertifikat möglich.
Damit ein Zertifikat von der Firewall als vertrauenswürdig eingestuft wird, muss die Vertrauenskette der Zertifizierungsstelle installiert sein. Dazu gehören in der Regel ein Stamm- und ein Zwischenzertifikat. Die Firewall vertraut jedem Zertifikat mit einer gültigen Zertifikatskette sowie ihren eigenen selbstsignierten Zertifikaten. Es ist zu beachten, dass einige Browser selbstsignierte Zertifikate grundsätzlich ablehnen (derzeit Firefox-basierte Browser). Das Client-Zertifikat muss nicht auf der Firewall installiert werden.
Konfiguration > Objekt > Zertifikat > Vertrauenswürdige Zertifikate
4. Fernverwaltungsdienste
Konfiguration > System
Es gibt einige Dienste auf der Firewall, die selten oder nie benötigt werden. Diese Dienste können vollständig deaktiviert werden.
SSH
Dieser Dienst kann zum Beispiel verwendet werden, wenn Konfigurationsänderungen mit einem automatischen Skript durchgeführt werden. Wenn SSH nicht regelmäßig für die Verwaltung verwendet wird, kann der Dienst deaktiviert werden. Die Web-Konsole kann auch anstelle von SSH für CLI-Eingaben verwendet werden.
TELNET
Wirdin den meisten Fällen nicht benötigt und kann deaktiviert werden.
FTP
Über FTP können z. B. die Firmware aktualisiert oder Konfigurationsdateien heruntergeladen werden. FTP muss aktiviert sein, wenn HA-Pro im Einsatz ist. Ist dies nicht der Fall, kann FTP deaktiviert werden. Wirdder Dienst sporadisch benötigt, kann er vorübergehend aktiviert werden.
SNMPTDerDienst wird für die Netzwerküberwachung benötigt und ist Voraussetzung für Lösungen wie PRTG. Wenn das Netzwerk nicht überwacht wird, kann der Dienst deaktiviert werden.
ZON
Ermöglicht den Informationsaustausch mit benachbarten Geräten (Modell, Name, Firmware, MAC-Adresse, IP-Adresse) über LLDP sowie mit Zyxels Software ZON im gleichen LAN. Der Dienst ist für den regulären Betrieb nicht erforderlich.
VPN
IPSec Standort-zu-Standort-VPN
Bei der Verwendung von Site-to-Site-Tunneln sollte nach Möglichkeit eine Peer-Gateway-Adresse angegeben werden. Wenn die Gegenstelle eine dynamische IP-Adresse hat, kann auch ein DynDNS-Name verwendet werden. Ein DynDNS-Name kann auch verwendet werden, wenn sich die Gegenstelle hinter einem NAT/CG-NAT befindet. In diesem Fall ist es wichtig, dass die Verbindung von der Gegenstelle aus aufgebaut wird und dass der DynDNS-Dienst die öffentliche IP-Adresse synchronisiert.
Für die Authentifizierung ist ein Zertifikat besser als ein PSK. Folgendes ist zu beachten:
1. Das verwendete Zertifikat kann ein selbstsigniertes Zertifikat sein, muss aber auf der Gegenseite unter "Trusted Certificates" hinterlegt sein.
2. Auf beiden Seiten wird ein eigenes Zertifikat erstellt
3. Der lokale ID-Typ wird dem Zertifikat entnommen und muss identisch mit der Peer-ID auf der Gegenseite eingetragen werden.
Die Empfehlung für die maximale SA-Lebensdauer beträgt 86400 Sekunden im VPN-Gateway und 14400 Sekunden in der VPN-Verbindung.
5. Für die VPN-Verschlüsselung werden mindestens die folgenden Einstellungen empfohlen: AES256 / SHA256 / DH15. Dies gilt sowohl für das VPN-Gateway als auch für die VPN-Verbindung.
Extended Authentication Protocol ist auch bei Site-to-Site-Tunneln möglich. Allerdings ist der angemeldete Benutzer nicht an der Firewall angemeldet, wenn die Verbindung aufgebaut wird.
IPSec Kunde-zu-Standort-VPN
Für Client-to-Site VPN wird IKEv2 mit dem Zertifikat und Extended Authentication Protocol empfohlen.
Der Konfigurations-Payload ist für die VPN-Verbindung obligatorisch.
Nach dem Aufbau der Verbindung wird der Client mit dem Benutzer an der Firewall angemeldet. Für einen eventuellen Admin-Zugang zur Firewall kann somit der entsprechende Admin-Benutzer in der Richtliniensteuerung hinterlegt werden.
L2TP-VPN
Der Einsatz eines L2TP-VPNs wird nicht empfohlen. Stattdessen kann IKEv2 verwendet werden.
SSL VPN
Aufgrund von Leistungs- und möglichen Sicherheitsproblemen wird SSL VPN nicht empfohlen. Da es jedoch aufgrund der einfachen Konfiguration sehr beliebt ist, sollte Folgendes in Betracht gezogen werden:
Konfiguration > VPN > SSL VPN > Globale Einstellung
Die Verwendung eines separaten Ports für SSL-VPN ist zwingend erforderlich. Auf keinen Fall sollte der Port 443 verwendet werden.
Die Sicherheit wird durch die Verwendung eines Zertifikats zur Authentifizierung deutlich erhöht. Die Konfiguration ist unter "Remote Management über HTTPS > Client-Zertifikat authentifizieren" beschrieben.
In der Policy Control ist es ratsam, die Source IP für den Zugriff vom WAN auf ZyWALL für den Dienst Wiz_SSLVPN zu beschränken. Zumindest auf eine GeoIP, besser auf einen FQDN oder eine IP-Adresse.
Außerdem kann der Administratorzugriff auf die Firewall aus der SSL-VPN-Zone auf den Benutzer admin beschränkt werden. Dies ist möglich, da sich der Benutzer bereits während des Tunnelaufbaus an der Firewall anmeldet.
Normale Benutzer benötigen keinen Zugriff auf die Firewall aus der SSL-VPN-Zone. Es ist ausreichend, wenn hier typische Dienste wie DNS erlaubt sind.
5. Zwei-Faktoren-Authentifizierung
Für den Admin-Zugang wird eine Zwei-Faktor-Authentifizierung empfohlen, vorzugsweise mit Google Authenticator.
Die Einrichtung für 2FA muss für jeden Benutzer separat erfolgen. Die Google Authenticator-Methode wird empfohlen. Beachten Sie, dass Benutzer, die keine 2FA eingerichtet haben, sich trotzdem ohne zusätzliche Authentifizierung anmelden können. Aus diesem Grund bietet 2FA nur einen begrenzten Schutz.
2FA kann auch für VPN-Zugang aktiviert werden.
Zur Authentifizierung wird immer ein eigener Port verwendet (Objekt Wiz_2FA).
Es stehen auch verschiedene Methoden zur Verfügung, wie ein Link gesendet werden soll. Schlussendlich wird jedoch bei allen Methoden ein Link auf das WEB-GUI aufgerufen.
Da das WEB-GUI für 2FA aus dem WAN erreichbar sein muss, besteht hier auch ein potenzielles Angriffsrisiko. Aus diesem Grund ist diese Funktion mit Vorsicht zu genießen.
Wie Sie die Zwei-Faktor-Authentifizierung einrichten, erfahren Sie in unserem anderen Artikel:
Zwei-Faktor-Authentifizierung mit Google Authenticator für den Admin-Zugang
6. Alert-Protokolle
Für einige Optionen kann es hilfreich sein, ein Warnprotokoll einzurichten. In diesem Fall kann sofort eine E-Mail-Benachrichtigung ausgelöst werden, wenn ein Ereignis eintritt. Dies ist z. B. sinnvoll, wenn sich ein Administrator anmeldet, insbesondere bei Firewalls, die nur in unregelmäßigen Abständen überwacht werden.
Konfiguration > Log & Report > Log-Einstellungen
7. Automatische Firmware-Updates
Es sollte immer darauf geachtet werden, dass die Firewall-Firmware auf dem neuesten Stand ist. Bei Systemen, die aktiv gewartet werden, können Updates manuell durchgeführt werden. In der Praxis wird dies jedoch oft vernachlässigt, und Firewalls mit bekannten Sicherheitslücken werden über einen längeren Zeitraum nicht aktualisiert.
Gerade in solchen Umgebungen empfiehlt es sich, aus Sicherheitsgründen automatische Updates zu aktivieren.
Wartung > Dateimanager > Firmware-Verwaltung
8. Schutz sensibler Daten
Ab der Firmware-Version 5.35 können Passwörter mit einem benutzerdefinierten Schlüssel anstelle des Standardalgorithmus verschlüsselt werden. Andere Passwörter verwenden weiterhin die Standardmethode. Die Funktion schützt auch vor dem Auslesen von Benutzerpasswörtern aus Konfigurationsdateien mit Hilfe von Hacking-Tools.
Wartung > Dateimanager > Konfigurationsdatei > Konfiguration > Schutz sensibler Daten
Angenommen, die Datei wird auf einer Firewall neu installiert. Dies ist nur mit dem Schlüssel möglich.
Kommentare
0 KommentareBitte melden Sie sich an, um einen Kommentar zu hinterlassen.