Best Practice - ATP UTM-Funktionen

In diesem Artikel wird das Best Practice Setup für das ATP in einer Netzwerkumgebung untersucht.

Als Beispiel nehmen wir eine Schulumgebung, die wir richtig sichern müssen:

ADP, IDP, Content-, DNS-, Webfilter, Anti-Virus, Anti-Malware, Sandboxing, CDR, Reputationsfilter.

Unsere Topologie dafür wird ein Schulnetzwerk sein.

Wir gehen von folgendem aus:

Wir haben ein Schulnetzwerk mit folgendem Subnetz.

Sehen wir uns nun die verschiedenen UTM-Dienste an und richten sie gemäß unserer Best Practice ein.

• App Patrol
• Inhaltsfilter
• DNS-Inhaltsfilter
• Anti-Malware
• Ruffilter
• IPS (Intrusion Detection, Prevention)
• Sandboxing
• CDR
• ADP

App Patrol:

Wir haben bereits ein "default_profile", welches bereits verschlüsseltes und anonymisiertes Tunneling beinhaltet.

Wir wollen auch Gaming und Social Media (wie Facebook und Instagram) blockieren.

1. Klicken Sie auf "Ergebnis der Abfrage".
2. Wir haben jetzt " Anwendung(en) nach Kategorie suchen" > " Spiel: 0 /113" > . gewählt > "Zu meiner Bewerbung hinzufügen"
3. Wiederholen Sie die obigen Schritte, aber wählen Sie "Anwendung(en) nach Name suchen".
4. Suchen Sie nach Facebook und Instagram und klicken Sie auf "Zu meiner Bewerbung hinzufügen".
5. Jetzt müssen wir die "Aktion" in "drop" ändern. Gehen Sie zu „Meine Anwendung“ > wählen Sie alle Anwendungen aus und klicken Sie auf „Aktion“ und wählen Sie „Drop“ > „Speichern und beenden“.
6. Jetzt fragt ATP, ob Sie das Profil zu einer Sicherheitsrichtlinie hinzufügen möchten.
7. Wählen Sie "Ja"
8. In unserem Fall verwenden wir LAN2, also wählen wir "LAN2_Outgoing".

Inhaltsfilter:

Hier richten wir ein neues Profil ein.

1. Klicken Sie auf Hinzufügen
2. Geben Sie ihm einen Namen und klicken Sie auf " Inhaltsfilterkategoriedienst aktivieren".
3. Wählen Sie die Kategorien aus, die Sie blockieren möchten, und klicken Sie auf "OK".
4. Wenden Sie wie bei App Patrol zuvor das Profil auf die Sicherheitsrichtlinie an.

DNS-Inhaltsfilter:

Wir richten nun den DNS-Inhaltsfilter ein:

1. Klicken Sie auf die Registerkarte "DNS-Inhaltsfilter".
2. Gehe zu "Hinzufügen"
   1. Bitte gib ihm einen Namen
   2. Wählen Sie unter "Kategorieneinstellungen aus Profil klonen" das zuvor erstellte Inhaltsfilterprofil aus.
   3. Klicken Sie auf "Klonen" und "OK"
3. Fügen Sie es wie zuvor den Sicherheitsrichtlinien hinzu. Dieses Mal fügen wir es auch dem "LANX to Device" hinzu.

Anti-Malware:

Jetzt richten wir die Anti-Malware ein.

Standardmäßig ist bereits ein grundlegendes Sicherheits-Setup vorhanden.

Wir werden es verbessern.

1. Den Hybridmodus lassen wir so wie er ist
2. Unter "Erweitert"
   1. Wir wählen alle verfügbaren Dateitypen aus und fügen sie der Liste hinzu.
      1. "Infizierte Datei zerstören" bedeutet, dass der Client die Datei weiterhin herunterlädt, die Firewall jedoch eine zufällige "0" in den Binärstream injiziert. Dies führt zu einer zerstörten Datei.
      2. Wenn Sie " Komprimierte Dateien zerstören, die nicht dekomprimiert werden konnten" wählen, bedeutet dies, dass zB auch saubere (passwortgeschützte) Archive vernichtet würden, da wir sie nicht entpacken konnten.
   2. Klicken Sie auf "Bewerben"

Ruffilter:

Wenn es um den Reputationsfilter geht (standardmäßig aktiviert), müssen wir berücksichtigen, dass es sich um 3 Aspekte handelt:

• IP-Reputation
• DNS-Bedrohungsfilter
• URL-Bedrohungsfilter

Die Einstellungen hier sind (standardmäßig) so, dass alles blockiert wird, und wir sollten es belassen.

Sie können der "IP-Reputation" und dem "URL-Bedrohungsfilter" bei Bedarf eine externe Blocklist hinzufügen.

"IP-Reputation":

• Die externe Blocklistendatei muss im Textformat (*.txt) vorliegen, wobei jeder Eintrag durch eine neue Zeile getrennt ist.
• Externe Blocklisteneinträge können aus einzelnen IPv4 / IPv6 IP-Adressen, IP-Adressbereichen, CIDR (Classless Inter-Domain Routing-Einträge wie 192.168.1.1/24, 2001:7300:3500::1/64) bestehen. Dies sind einige Beispiele für Ihre nur Referenz:
  
  • 4.4.4.4
  • 192.168.1.0/32
• Wenn die externe Blocklistendatei ungültige Einträge enthält, verwendet das Zyxel-Gerät die Datei nicht.
• Die externe Blocklistendatei kann bis zu 50.000 Einträge enthalten. Wenn das Maximum erreicht ist, wird eine Warnmeldung angezeigt.

"URL-Bedrohungsfilter":

• Die externe Blocklistendatei muss im Textformat (*.txt) vorliegen, wobei jeder Eintrag durch eine neue Zeile getrennt ist.
• Externe Blocklisteneinträge können eine vollständige URL oder einen Hostnamen enthalten und können Platzhalter enthalten. Es gibt einige Beispiele nur zu Ihrer Information:
  • https://www.zyxel.com/products_services/smb.shtml?t=s (vollständige URL)
  • www.zyxel.com (Hostname)
  • *.zyxel.* (Hostname mit Platzhaltern)
• Wenn die externe Blocklistendatei ungültige Einträge enthält, verwendet das Zyxel-Gerät die Datei nicht.
• Die externe Blocklistendatei kann bis zu 50.000 Einträge enthalten. Wenn das Maximum erreicht ist, wird eine Warnmeldung angezeigt.

IPS (Intrusion Detection, Prevention):

Das IPS ist auch ein "One-Click-Modul", normalerweise können wir die Einstellungen so belassen (was wir in diesem Fall tun).

Bei Bedarf können Sie benutzerdefinierte Signaturen hinzufügen oder das Verhalten des IPS für bestimmte Signaturen ändern.

Sandboxing:

Sandboxing enthält alle unbekannten Pakete oder Benutzermuster isoliert, emuliert dann die auszuführenden Programme und erkennt, ob sie bösartig sind oder nicht.

Sandboxing aktualisiert diese neuen Malware-Informationen über Threat Intelligence Machine Learning auf den Cloud-Server, wenn sie bösartig ist.

Hier sollte es ausreichen, das Modul zu "aktivieren".

Wenn Sie möchten, können Sie "Ausgewählte heruntergeladene Dateien überprüfen" aktivieren und auswählen, welche Dateien immer als Bedrohung angesehen und zuerst in eine Sandbox gestellt werden sollen.

CDR:

Die oben genannten Module erkennen Bedrohungen von außen, Collaborative Detection & Response kümmert sich um die Bedrohungen von innen.

CDR kann bösartige Verbindungen oder Verhaltensweisen von Clients innerhalb des Netzwerks erkennen.

1. Aktivieren Sie die Funktion
2. Wir müssen die Alert-E-Mail einrichten. (Bitte beachten Sie, dass Sie unter "System > Benachrichtigungen" zuerst einen SMTP-Server einrichten müssen.)
3. Wir richten das Eindämmungs-VLAN ein (blockierte Clients werden dorthin verschoben, um zu verhindern, dass sie die bösartigen Aktionen weiter verbreiten). Wenn Sie den ATP als Access Point Controller verwenden, können Sie auch WLAN-Clients vollständig blockieren.
   1. Klicken Sie auf "WLAN-Client blockieren".
   2. Klicken Sie auf "VLAN hinzufügen"
      1. Füllen Sie das VLAN als ein fiktives nicht vorhandenes VLAN
      2. Wählen Sie es als "Quarantäne-VLAN" und klicken Sie auf "OK"

ADP:

Zu guter Letzt überprüfen wir das ADP (Security Policy > ADP).

Die " Anomaly Detection and Prevention" versucht, derzeit unbekannte Bedrohungen mit bekannten Thread-Mustern zu erkennen.

Es ist standardmäßig aktiviert und wir können es normalerweise nach Belieben belassen.

HAFTUNGSAUSSCHLUSS:

Sehr geehrter Kunde, bitte beachten Sie, dass wir maschinelle Übersetzung verwenden, um Artikel in Ihrer Landessprache bereitzustellen. Möglicherweise werden nicht alle Texte korrekt übersetzt. Bei Fragen oder Unstimmigkeiten zur Richtigkeit der Informationen in der übersetzten Version lesen Sie bitte den Originalartikel hier: Originalversion