[BEST PRACTICE] Firewall-Wartung, Konfigurationsschutz und Abwehr von CVE-Angriffen

[Wir empfehlen, diesen Artikel sorgfältig und vollständig zu lesen, nehmen Sie sich Zeit.]

Zyxel unterstützt Administratoren bei ihrer Verantwortung, eine Firewall-Installation optimal zu schützen, vorhandene grundlegende und erweiterte Firewall-Sicherheitsfunktionen zu nutzen und ihre Geräte so gut wie möglich vor unerwarteten Angriffen zu schützen.

Common Vulnerabilities and Exposures (CVE) und Angriffe.
Wir leben in einer Welt, in der Updates und Wartung zu unseren täglichen Aufgaben in der professionellen IT gehören. Ihr Smartphone wird täglich mit App-Updates versorgt, Google bringt monatlich Sicherheits-Patches für Smartphones heraus, und auch Windows hat seinen Patch-Day. Auch eine Firewall braucht von Zeit zu Zeit die nötige Aufmerksamkeit.

Firewall-Einrichtung und Erstinstallation

Sicherheitstuning - Optimieren Sie die Standardkonfiguration des Systems!

Wartung - Pflegen Sie Ihre Firewall

CVE-Angriffsabwehr

Support Insights - Weitere Sicherheits- und Optimierungstipps

Nebula - Möglichkeiten, up2date zu bleiben und Vorteile

Firewall-Einrichtung und Erstinstallation

Firmware-Upgrade

Der erste Schritt sollte darin bestehen, die Firmware unserer Geräte auf die neueste Version zu aktualisieren, sobald Sie Ihr Gerät erhalten haben. Unser Schnellstart-Installationsassistent unterstützt Sie bei der Installation des neuesten Updates.

Änderung des Admin-Benutzerpassworts

Sie sollten das Passwort des Admin-Benutzers ändern. Unser Gerät wird Sie auffordern, die Änderung durchzuführen. Wir empfehlen Ihnen, ein mindestens 8-stelliges Passwort mit Zahlen und Sonderzeichen zu verwenden.

Sicherheitstuning - Optimieren Sie die Standardkonfiguration des Systems

Die Standardkonfigurationsdatei des Systems enthält bereits einige Schutzmechanismen, aber Sie können sie an Ihre Bedürfnisse anpassen, um noch besser geschützt zu sein.

WAN zu ZYWALL

Die Sicherheitsrichtlinienregel "WAN to ZyWALL" hilft Ihnen dabei, von einem entfernten Standort aus auf Ihr Gerät zuzugreifen und VPN-Dienste auf Ihrem Gerät nutzen zu können. Die Standardquelle ist jedoch "any", was bedeutet, dass potenziell jeder auf der Welt auf Ihr Gerät zugreifen kann.

1.) Objekt > Dienst > Dienstgruppe > "Default_Allow_WAN_To_ZyWALL"

a) Um die Regel zu ändern, empfehlen wir Ihnen, einen anderen HTTPS-Port hinzuzufügen, z. B.: "7592" und entfernen Sie alle nicht benötigten Service-Ports (entfernen Sie VPN-Ports, wenn Sie kein VPN verwenden).

b) Richten Sie einen weiteren HTTPS-Port ein [Sperren Sie sich nicht selbst für eine Remote-Sitzung]
Wenn Sie "HTTPS" (443) vom WAN zur ZyWALL-Gruppe entfernen und Ihren eigenen Port hinzufügen, müssen Sie auch den Web-Management-Port aktualisieren. Ändern des HTTPS-Ports der USG

2.) Sicherheitsrichtlinie > Richtlinienkontrolle

Überprüfen Sie die Regel "WAN to ZyWALL" und versuchen Sie, "IPv4 Source" zu dieser Regel hinzuzufügen. Das bedeutet, dass Sie kontrollieren können, von welchen IP-Adressen, FQDN oder GEOGRAPHIE-Standorten Sie auf Ihr Gerät zugreifen oder VPN verwenden können.

Ein Beispiel:
Die Firewall Setup Region ist: Deutschland (Geo-IP, lizenzfrei)
Ihre VPN-Region ist: Österreich (Geo-IP, lizenzfrei)
Ihre VPN Site2Site Tunnel Remote IP ist: 1.1.1.1 (IP-Adress-Objekt)
Um die Firewall aufrecht zu erhalten, ist Ihre "Office" IP eine statische IP: 2.2.2.2 (IP-Address Object)

Jetzt kennen Sie Ihre Firewall-Anforderungen, Sie kennen Ihren Partner und die Regionen, in denen Sie tätig sind. Sie können mit der Erstellung von "Objekt > Dienst > Adresse und Objekt > Dienst > Adressgruppe" beginnen, um eine Gruppe erlaubter Quellen zu erstellen und diese mit Ihrer Firewall-Regel "WAN to ZyWALL" als Quelle zu verbinden.

Sie haben nun einen großen Schritt getan, um Ihr Gerät davor zu schützen, dass es für Port-Scanner, das World Wide Web, Regionen, die keinen GUI-Zugriff auf Ihr Gerät erhalten sollen, und viele weitere Szenarien "offen zugänglich" ist.

Wir wissen, dass dies nicht immer funktioniert. Zum Beispiel können entfernte VPN-Clients oder internationale Unternehmen dynamische IP-Bereiche und mehr benötigen, aber Sie können Ihr Bestes versuchen. A-Wörter in einem Firewall-Gerät sind nie gut. Vermeiden Sie "Any, Allow, All, Always" in Ihrer Konfiguration. Seien Sie so konkret wie möglich, und wenn Sie nur mindestens eine Funktion wie GEO IP aktivieren können, ist das besser als nichts. So verwenden Sie die Geo-IP-Funktion

Wartung - Kümmern Sie sich um Ihre Firewall

Wenn Sie Ihre Firewall-Einrichtung durch regelmäßige Wartung unterstützen, wird Ihre Firewall Sie für lange Zeit mit dem besten Netzwerkschutz unterstützen und die Wahrscheinlichkeit einer notwendigen Wiederherstellung während der Lebensdauer des Geräts verringern.

Firmware-Upgrades

Die Wartung vieler Geräte erfordert auch mehr Wartungszeit. Ihre Geräte auf dem neuesten Stand zu halten, ist eine der dringendsten Aufgaben. Der regelmäßige Release-Zyklus von Zyxel-Geräten beträgt alle 3 Monate. Im Voraus gibt es monatliche Bugfix-Updates für unsere erfahrenen Kunden, die so genannten "Weeklys" Wöchentliche Firmware / Support Version / Lab Version. [Bei den Weeklys wird ein Warnhinweis hinzugefügt. Wenn Sie das nächste Mal auf FCS aktualisieren, machen Sie sich keine Sorgen. Laden Sie einfach FCS von www.myzyxel.com herunter und aktualisieren Sie die Firmware]

Zyxel liefert stets Updates zur Fehlerbehebung und Leistungsverbesserung und schützt seine Geräte vor Sicherheitsproblemen oder gemeldeten CVEs. Wenn wir Sicherheitsprobleme beheben, sind diese Updates obligatorisch und sollten so schnell wie möglich nach der Veröffentlichung installiert werden.

Wir bieten Geräte mit 2 Partitionen an, bei denen beide Partitionen abwechselnd auf die gleiche oder eine Stufe spätere Firmware-Version aktualisiert werden sollten. Schauen wir uns ein Beispiel an.

Partition 1 > v5.36 Patch 2 [läuft]
Partition 2 > v5.36 Patch 1 [Standby]
Das nächste Update, "5.37", sollte auf Partition 2 (Standby) installiert werden.

Bei einer Installation auf der "Standby"-Partition wird Ihre aktuelle Konfigurationsdatei automatisch von der "Running"-Partition auf die "Standby"-Partition "kopiert", d.h. Sie haben ein zweites Backup. Sollte ein Problem mit dem neuesten Upgrade auftreten, können Sie einfach Partition 1 (vorher "Running", jetzt "Standby") erneut booten, um Ihre (optimalerweise eine Version ältere) Firmware mit der gleichen Konfiguration zurückzubekommen.

Vermeiden Sie die folgenden Fehler:

• Aktualisieren Sie nicht immer die "Running"-Partition nach einiger Zeit (vielleicht 2 Jahre); die Firmware ist so alt, dass sie bei einem Neustart auf der anderen Partition oder bei Bedarf Inkompatibilität mit aktuellen Browsern aufweisen kann. Es kann zu Sicherheitslücken kommen, oder Ihre Konfiguration kann nicht korrekt konvertiert werden, da neue und mehr Funktionen entwickelt werden, da Sie zwischen den Upgrades zu viele verpasst haben.
  
  
• Überspringen Sie keine Firmware-Updates. Wir geben Upgrades heraus, weil sie benötigt werden. Planen Sie Ihre Zeit für die Ausführung der Aktualisierungen ein oder verwenden Sie die Funktion "Auto-Upgrade".
  Firmware-Update\Upgrade-Verfahren USG/ATP/VPN
  So aktualisieren Sie USG-Geräte über den Cloud-Service
  
  Auch wenn Sie sehen, dass wir nur ein paar Fehlerbehebungen oder Verbesserungen hinzufügen, optimieren wir dennoch Linux-Module und aktualisieren andere integrierte Tools. Wir empfehlen daher, Updates nicht zu überspringen.
  
  
• Sie haben eine Sicherheitshinweis-E-Mail von Zyxel erhalten? Lesen Sie sie und ergreifen Sie Maßnahmen! Wenn wir einen Sicherheitshinweis verschicken, dann nicht nur, um Sie zu informieren und eine weitere E-Mail zu löschen. Es handelt sich um proaktive Informationen, die Sie ernst nehmen sollten, um die Firewall zu schützen, die Sie in einem Netzwerk eingerichtet haben. Es besteht die Möglichkeit, dass ein nicht aktualisiertes Gerät nach einiger Zeit kompromittiert wird, weil die von uns bereitgestellten notwendigen Upgrades ignoriert wurden.

CVE-Angriffsabwehr

CVE-Angriffe oder Exploits mit Root-Zugriff sind immer ärgerlich und bringen Ärger ins Netzwerk. Alle gemeldeten CVEs zum Schutz der Zyxel Firewalls von uns. Wir handeln proaktiv mit unserem Sicherheitsforscher und beheben die Probleme mit Firmware-Upgrades, bevor es zu spät ist.

Wie kann ich wissen, ob mein Gerät bereits kompromittiert wurde?

Wenn Sie unsere Firmware-Versionen anwenden, die in der Regel 2 Wochen vor der Veröffentlichung des CVE-Codes erscheinen, sind Sie immer sicher und brauchen sich nicht zu kümmern. Wir arbeiten eng mit Forschern und CVE-Behörden zusammen, und unsere Fehlerbehebungsgeschwindigkeit ist immer schneller, als der CVE-Code veröffentlicht wird.

Wenn das Gerät jedoch zu spät aktualisiert wird oder lange Zeit kein Upgrade erhalten hat und Sie keine proaktiven erweiterten Konfigurationsanpassungen vorgenommen haben, um die Möglichkeiten eines potenziellen Angreifers, Ihr Gerät über das WAN zu erreichen, zu verringern, besteht immer noch die seltene Möglichkeit, dass ein Gerät je nach Schweregrad des CVE-Scores gefährdet ist.

Daher ist es für Administratoren wichtig, ein "vergessenes" Firewall-Gerät mit offenen Augen zu prüfen und links und rechts einen Cross-Check durchzuführen.

Wussten Sie das schon? Alle CVEs werden immer in diesem Artikel veröffentlicht. Klicken Sie einfach auf "Folgen", um eine automatische Benachrichtigung zu erhalten, sobald dieser Artikel aktualisiert wird: Zyxel Security Advisories CVE

Einige Beispiele:

• Überprüfen Sie, ob Sie auf Ihrem Gerät "Admin-Konten" sehen können, die Sie nicht selbst erstellt haben. Wenn jemand ein Admin-Konto erstellt, löschen Sie es. Zyxel bietet eine Funktion, die während des Anmeldevorgangs "Admins" anzeigt, wenn deren Passwörter geändert werden müssen. Der einzige Admin, den unsere Geräte standardmäßig haben, ist "admin".
• Überprüfen Sie Ihre letzte Konfiguration Backup "startup-config.conf", wenn die Dateigröße sich von der aktuellen unterscheidet und Sie keine Änderungen vorgenommen haben. Es könnte sich um eine nicht autorisierte Konfigurationsänderung handeln.
• Überprüfen Sie die Prozessseite "CPU". Wir zeigen Ihnen die CPU-Auslastung der Top 10 Prozesse. Wenn Sie einen abnormalen Prozess oder einen Prozess mit hoher CPU-Belastung finden, Ihr Gerät möglicherweise angegriffen wird oder eine Systemfunktion instabil ist, setzen Sie sich mit unserem Support-Team in Verbindung, um zu klären, ob Sie das Gefühl haben, dass etwas nicht so ist, wie es sein sollte.
• Halten Sie die Augen offen! Wenn Sie das Gefühl haben, dass etwas nicht so aussieht wie erwartet, kann es ein Fehler sein, aber vor allem, wenn Sie mit einer älteren Firmware-Version arbeiten, weil Sie den Artikel hier zu spät gelesen haben, sollten Sie alles links und rechts überprüfen, z.B. gibt es mehr Datenverkehr im WAN? ist irgendetwas langsamer als sonst? Sehe ich Konfigurationen, die ich nicht gemacht habe?
• Ihr ISP kann sich mit Ihnen in Verbindung setzen. Viele ISP haben bereits Überwachungssysteme eingerichtet, um abnormales Verhalten im Netzwerk zu erkennen, z. B. den recht beliebten "Open DNS Resolver". Wenn Sie ein infiziertes Gerät in Ihrem Netzwerk haben, erhalten Sie möglicherweise Informationen von Ihrem ISP, und Sie können Maßnahmen ergreifen.

[Falls Ihr Gerät ein abnormales Verhalten im Zusammenhang mit einem CVE zeigt, stellen Sie sicher, dass Sie Admin-Passwörter, VPN-Schlüssel, WIFI PSK und andere sensible Informationen aktualisieren]

Support Insights - Weitere Sicherheits- und Optimierungstipps

Zyxel bietet eine Reihe von Hilfstools, um Ihr Gerät mit der neuesten Firmware-Version und der bestmöglichen Sicherheit zu betreiben. Machen Sie von ihnen Gebrauch.

• Ändern Sie Ihr Passwort regelmäßig. Wir empfehlen, dies spätestens alle 6 Monate zu tun.
• Eine "Passwortänderungserinnerung" wird angezeigt, wenn Ihr Passwort in letzter Zeit oder nach JEDEM Firmware-Update nicht geändert wurde.
• Ein "Sicherheitscheck" wird angezeigt, wenn Sie sich anmelden und keinen der oben genannten Schritte zum Schutz durchgeführt haben. Er kann Ihnen dabei helfen, den HTTPS-Port und den SSL-VPN-Port zu ändern und weitere personalisierte Optimierungen vorzunehmen, um die Sicherheit Ihrer Firewall zu erhöhen.
• Unter Monitor > Protokolle können Sie abnormale Verkehrsszenarien für Ihre Firewall identifizieren. Sie können solche "Scans oder Benutzeranmeldeversuche" blockieren, indem Sie Firewall-Regeln hinzufügen und unbekannte IP-Adressen blockieren.
• Sichern Sie Ihre Konfigurationsdatei regelmäßig

Nebula - Möglichkeiten, up2date zu bleiben und Vorteile

Nebula enthält bereits eine intelligentere Strategie für die Handhabung von Firmware-Upgrades. Sie können sich für eine "Latest"- oder "Stable"-Version entscheiden, wobei die "Latest"-Version die absolut neueste Version ist und nach einer gewissen Einführungszeit in "Stable" umgewandelt wird. Eine "Stable"-Version kann also die neueste sein, aber es kann auch sein, dass die "Stable"-Version 1-2 Versionen vor der neuesten Firmware liegt, falls wir ein abnormales Verhalten feststellen.

Nebula aktualisiert auch die Geräte im Rotationsverfahren, wie oben für On-Premise-Geräte erwähnt. Das bedeutet, dass jedes Upgrade auf die Standby-Partition angewendet wird, um die Partition zu wechseln, das Gerät auf dem neuesten Stand zu halten und automatisch wiederherzustellen (auf die vorherige Partition zu booten), um Fehler zu beheben.

Ein weiterer Vorteil von Nebula ist das "Forced Firmware Upgrade" für den Fall, dass ein kritisches Sicherheitsproblem auftritt. Die Geräte werden in einem bestimmten Zeitrahmen (meist Sonntagnacht) automatisch aktualisiert, um auch "vergessene" oder nicht gewartete Geräte ohne Verzögerung auf dem neuesten Stand zu halten.

Best Practice Sicherheitsinformationen: Juni 2023