Tärkeä huomautus: |
Zyxel Firewall seriesfrom firmware-versiosta 5.35.
Palomuuri on ensimmäinen puolustuslinja Internetistä tulevia hyökkääjiä vastaan. Se suojaa lähiverkkoa luvattomalta käytöltä ja on olennainen osa turvallisuuskonseptia. Mutta entä jos palomuurista itsestään tulee hakkerihyökkäysten kohde ja siitä voi siten tulla potentiaalinen uhka? Seuraavassa oppaassa on tarkoitus antaa tietoa siitä, miten voidaan hyökätä mahdollisuuksiin, joita voidaan rajoittaa.
1. Käytäntöjen hallinta
2. Poikkeavuuksien havaitseminen ja estäminen
3. Etähallinta HTTPS:n kautta
4. Kahden tekijän tunnistautuminen
5. Hälytyslokit
6. Automaattiset laiteohjelmistopäivitykset
7. Arkaluonteisten tietojen suojaus
1. Käytäntöjen valvonta
Palomuuriin pitäisi päästä käsiksi niin vähän käyttäjiä kuin on tarpeen. Tämän varmistamiseksi on suositeltavaa rajoittaa käyttöoikeuksia mahdollisimman paljon.
Määritys > Suojauskäytäntö > Käytäntöjen hallinta
ZyWALL-vyöhyke ottaa tietyn roolin. Se sisältää kaikki palomuurin liitäntäosoitteet. Tälle vyöhykkeelle voidaan luoda vain sääntöjä.
Esimerkiksi oletusosoite 192.168.1.1 ei kuulu LAN1-vyöhykkeeseen vaan ZyWALL-vyöhykkeeseen.
Oletusasetuksilla pääsy palomuuriin on pääasiassa avoin. Siksi niitä tulisi rajoittaa edelleen.
Käytäntöjen ohjaussääntöjen rajoittaminen
Palomuurin sääntöjä voidaan rajoittaa useiden kriteerien perusteella. Pääasiassa kolme kriteeriä on hyödyllisiä palomuurin käytön kannalta:
1. IPv4-lähde (osoitekohteet)
2. palvelu
3. käyttäjä
Nämä elementit luodaan objekteina.
Osoiteobjektit
Osoiteobjekteja on periaatteessa kolmenlaisia. Nämä ovat:
1. IP-osoitteet
2. FQDN-osoitteet
3. GeoIP-osoitteet
Osoiteobjekteja voidaan ryhmitellä. Eri osoitetyyppejä ei kuitenkaan voi sekoittaa keskenään.
Määritys > Kohde > Osoite/Geo IP > Osoite.
1.1 IP-osoitteet
IP-osoitteita tulisi käyttää aina, kun se on mahdollista, koska ne ovat yksilöllisiä. IP-osoitteita on useita eri tyyppejä:
1. host > tämä kuvaa yksittäistä IP-osoitetta.
2. alue > tämä voi olla mikä tahansa alue, joka on määritelty alku- ja loppuosoitteella.
3. aliverkko > tämä voidaan luoda syöttämällä aliverkon peite tai CIDR (esim. /24).
4. rajapinnan IP > ottaa haltuunsa rajapinnan IP-osoitteen ja mukautuu dynaamisesti.
5. interface subnet > ottaa dynaamisesti käyttöön liitännän aliverkon.
6. interface gateway > ottaa haltuunsa WAN- tai yleistyyppisen rajapinnan yhdyskäytävän.
Isäntä, alue, aliverkko
Osoitetyypit Host, Range ja Subnet soveltuvat erityisesti IPv4-lähteiksi. Jos yhteys tehdään WANista, määritetään etäaseman julkinen IP-osoite.
Lähiverkosta käsin näillä objekteilla voidaan luoda ryhmiä, joilla on erilaiset käyttöoikeudet.
Liitäntä IP
Tätä kohdetta voidaan käyttää, jos pääsy on mahdollista vain tietyllä IP-osoitteella. Jos esimerkiksi WAN-liitäntöjä on kaksi, mutta palvelun pitäisi olla käytettävissä vain yhdessä liitännässä, liitännän IP-osoite voidaan syöttää politiikan ohjaussääntöön IPv4-kohteena.
Liitännän aliverkko
Tämä osoitetyyppi sopii, jos yhtenäiset säännöt luodaan paikalliselle rajapinnalle (esim. LAN1).
Rajapinnan yhdyskäytävä
Tällä osoitetyypillä ei ole merkitystä palomuurin käytön kannalta.
2. FQDN-kohteet
FQDN-objekteissa voidaan syöttää nimi IP-osoitteen sijasta, esim. www,mydomain.com. Tämä syöttötyyppi soveltuu erityisen hyvin, jos pääsy tapahtuu WANista ja etäasemalla ei ole staattista julkista IP-osoitetta. Tässä tapauksessa IP-osoitteen sijasta voidaan käyttää DynDNS-nimeä. FQDN-objekteja varten tarvitaan nopea DNS-palvelin. Myös jokerimerkkimerkinnät, kuten *.mydomain.com, ovat mahdollisia. Niitä ei kuitenkaan voi käyttää tähän tarkoitukseen.
1.2 FQDN-kohteet
FQDN-objekteissa IP-osoitteen sijasta voidaan syöttää nimi, esim. www,mydomain.com. Tämä syöttötyyppi soveltuu erityisen hyvin, jos yhteys tapahtuu WAN:sta ja etäasemalla ei ole staattista julkista IP-osoitetta. Tässä tapauksessa IP-osoitteen sijasta voidaan käyttää DynDNS-nimeä. FQDN-objekteja varten tarvitaan nopea DNS-palvelin. Myös jokerimerkkimerkinnät, kuten *.mydomain.com, ovat mahdollisia. Niitä ei kuitenkaan voi käyttää tähän tarkoitukseen.
Geo IP-osoitteet
Geo IP-osoitteita voidaan käyttää maa- tai aluepohjaisten kohteiden luomiseen. Palvelu käyttää ulkoista tietokantaa, ja se on päivitettävä säännöllisesti. Geo IP ei tarjoa luotettavaa suojaa, sillä lähdeosoitetta voidaan manipuloida hyvin helposti vapaasti saatavilla olevien VPN-palvelujen avulla.
Palveluobjekteja
Palveluobjekteja käytetään määrittelemään, mihin palveluihin pääsy myönnetään tai evätään käytäntöjen valvonta-asetuksissa. Palvelut voidaan ryhmitellä. Palveluita voidaan käyttää myös muualla, esim. politiikkareiteissä ja NAT-merkinnöissä.
Vakiopalveluobjektien lisäksi on olemassa joitakin erityisiä objekteja. Nämä ovat objektit "Wiz_2FA, Wiz_HTTP, Wiz_HTTPS ja Wiz_SSLVPN". Näiden palvelujen portti mukautuu automaattisesti, kun se määritetään uudelleen vastaavassa valikossa.
Konfigurointi > Kohde > Palvelu
Käyttäjä
Konfigurointi > Kohde > Käyttäjä
Käyttäjiä on erityyppisiä.
Ylläpitäjä - voi tehdä muutoksia kokoonpanoon
Limited-admin - pääsee määritykseen, mutta ei voi tehdä muutoksia.
Käyttäjä - voi tunnistautua 2FA:n avulla
Guest - voi kirjautua palomuuriin
Ext-user/ext-group-user - voi tunnistautua ulkoiselle palvelimelle.
Sisäänrakennetut käyttäjät ovat ennalta määritettyjä käyttäjiä, joita ei voi poistaa ja jotka on tarkoitettu tiettyihin tarkoituksiin.
Käyttäjät on määriteltävä siten, että heillä on vain tarvittavat oikeudet.
Tyypillisesti VPN- tai 802.1x-käyttäjät määritellään käyttäjätyyppisiksi käyttäjiksi.
Sisäänkirjautumisen suojaus
Määrittää, onko salasanoja vaihdettava ja missä ajassa ja vaaditaanko salasanojen monimutkaisuutta.
Käyttäjän kirjautumisasetukset
Määrittää, kuinka monta kertaa käyttäjä voi kirjautua sisään samanaikaisesti. Jos raja on asetettu arvoon "1", järjestelmänvalvoja voi lukita itsensä ulos.
Käyttäjän IP-lukitusasetukset
Merkinnät määrittävät, kuinka usein väärän salasanan syöttäminen sallitaan, kunnes käyttäjä on estetty tietyksi ajaksi. Tämä asetus suojaa brute force -hyökkäyksiltä.
Suositellut käytäntöjen valvontasäännöt
From: WAN To: ZyWALL
On erittäin suositeltavaa sulkea kaikki palvelut, joita ei erityisesti tarvita.
Usein tarvittavat palvelut:
IPSec VPN (IKEv1, IKEv2, L2TP):
(L2TP-UDP).
SSL VPN:
Wiz_SSLVPN
VPN:n 2-tekijätodennus:
Wiz_2FA
Etäkäyttö HTTP/HTTPS:n kautta:
Wiz_HTTP, Wiz_HTTPS
Turvallisuusriskien välttämiseksi mahdollisimman pitkälle etähallinta toteutetaan mieluiten IPSec VPN:n kautta. Lähdeosoitteita olisi rajoitettava, jos mahdollista. SSL VPN:ää ei suositella, koska se tarjoaa mahdollisen hyökkäysvektorin SSL:n kautta.
Etäkäyttö HTTPS:n kautta:
Jos etäkäyttö HTTP/HTTPS:n kautta on tarpeen, lähdeosoite on aina rajoitettava IP-osoitteeseen tai FQDN-nimeen. GeoIP-lähdeosoite ei ole turvallinen ja tarjoaa merkittävän hyökkäyspotentiaalin. HTTPS-hallintaa varten on suositeltavaa käyttää vaihtoehtoista porttia.
Alkaen: VPN-alue To: ZyWALL (asiakkaan ja sivuston välillä)
Oletusarvoisesti kaikki portit ovat auki. Useimmissa tapauksissa tarvitaan vain muutama palvelu. Näitä ovat esimerkiksi DNS ja L2TP-UDP. Muiden palveluiden pääsy on estettävä. Jos halutaan etähallintaa client-to-site VPN:n kautta, palomuurin käyttöoikeus voidaan rajoittaa yhteen käyttäjään. Tämä toimii kuitenkin vain, jos käyttäjä on jo kirjautunut palomuuriin tunnelia luotaessa.
Alkaen: LAN To: ZyWALL
Myös tässä käyttöoikeuksia on rajoitettava. Täysi pääsy palomuuriin tulisi antaa vain erityiselle hallintalähiverkolle tai yksittäisille järjestelmänvalvojan IP-osoitteille. Jotta jotkin palvelut toimisivat oikein, palomuurille on myönnettävä pääsy. Tällaisia ovat DNS, multicast, Radius-Auth, NetBIOS, SNMT, SSO jne. Se, mitkä käyttöoikeudet todella tarvitaan, riippuu suuresti verkkotopologiasta ja käytetyistä tekniikoista.
2. Poikkeavuuksien havaitseminen ja estäminen (ADP).
Configuration > Security Policy > ADP
ADP suojaa porttiskannauksilta ja epätavalliselta verkkokäyttäytymiseltä. ADP:n aktivoiminen oletusprofiililla WAN-alueelta on suositeltavaa. Profiiliin voidaan tehdä yksilöllisiä säätöjä, jos ongelmia ilmenee.
ADP voi yksittäistapauksissa vaikuttaa tiettyihin palveluihin. Tämä koskee erityisesti tulvien havaitsemista. Tästä syystä tulvasuojaus voidaan poistaa käytöstä yksittäisten palvelujen, esim. NATT:n, osalta. Tällaisesta asetuksesta on hyötyä vain, jos ongelmia ilmenee.
3. Etähallinta HTTPS:n kautta
Joillakin WWW-asetusten erityisasetuksilla on suora vaikutus järjestelmän turvallisuuteen.
Konfigurointi > Järjestelmä > WWW
Palvelimen portti
Vakioporttia 443 ei tulisi käyttää etähallintaan, koska se skannataan aina automaattisten hyökkäysten aikana. Usein käytetyt vaihtoehtoiset portit (esim. 8443) eivät myöskään ole ihanteellisia.
HTTP:n uudelleenohjaaminen HTTPS:ään
Kaikki graafisen käyttöliittymän HTTP-kutsut ohjataan HTTPS:ään. Huomio. Tätä asetusta ei saa ottaa käyttöön, jos käytetään Web-todennusta. Kaikissa muissa tapauksissa tämä asetus on otettava käyttöön.
Hallintapalvelun hallinta
Tässä voit määrittää, kenellä voi olla järjestelmänvalvojan käyttöoikeus palomuuriin. Sinun olisi parasta rajoittaa pääsy yksittäisiin IP-osoitteisiin. Osoiteobjekteina sallitaan vain IP-osoitteet. Viimeisenä sääntönä (tässä sääntö 5) tulisi luoda ALL/ALL/deny-sääntö. Sääntöä luotaessa on oltava varovainen, jotta ei lukita itseään ulos. Siksi hyväksymissäännöt on luotava ennen viimeisenä luotavaa kieltosääntöä.
Käyttäjäpalvelun valvonta
Käyttäjäpalvelun hallinta määrittelee, mitkä asiakkaat voivat todennuttaa palomuurin.
Sääntö on merkityksellinen SSL-VPN:n, 2-FA:n, VPN-konfiguraation käyttöönoton ja WEB-todennuksen kannalta.
Jos tätä ei käytetä, voidaan asettaa myös deny-sääntö.
Todentaa asiakkaan varmenteet
Jos Authenticate Client Certificate -vaihtoehto on käytössä, asiakkaan on valtuutettava itsensä voimassa olevalla varmenteella. Muussa tapauksessa yhteys evätään. Tämä koskee pääsyä HTTPS:n ja SSL VPN:n kautta. VPN Configuration_Profisioning with SecuExtender ei toimi, jos tämä vaihtoehto on käytössä. 2FA-ikkunan kutsuminen on kuitenkin mahdollista ilman varmentetta.
Jotta palomuuri voi luottaa varmenteeseen, varmentajan luottamusketju on asennettava. Tämä sisältää yleensä juuri- ja välivarmenteen. Palomuuri luottaa jokaiseen varmenteeseen, jolla on voimassa oleva varmenneketju, sekä omiin itse allekirjoitettuihin varmenteisiin. On huomattava, että jotkin selaimet hylkäävät itse allekirjoitetut varmenteet periaatteessa (tällä hetkellä Firefox-pohjaiset selaimet). Asiakasvarmenteen ei tarvitse olla asennettuna palomuuriin.
Määritys > Kohde > Varmenne > Luotetut varmenteet.
4. Etähallintapalvelut
Configuration (Määritys) > System (Järjestelmä)
Palomuurissa on useita palveluja, joita tarvitaan harvoin tai ei koskaan. Nämä palvelut voidaan poistaa kokonaan käytöstä.
SSH
Tätä palvelua voidaan käyttää esimerkiksi silloin, kun kokoonpanomuutokset tehdään automaattisella komentosarjalla. Jos SSH:ta ei käytetä säännöllisesti hallinnointiin, palvelu voidaan poistaa käytöstä. Web-konsolia voidaan käyttää myös SSH:n sijasta CLI-syöttöön.
TELNET
Sitäei useimmissa tapauksissa tarvita, ja se voidaan poistaa käytöstä.
FTP
FTP:n kautta voidaan esimerkiksi päivittää laiteohjelmisto tai ladata kokoonpanotiedostoja. FTP on aktivoitava, jos HA-Pro on käytössä. Jos näin ei ole, FTP voidaan poistaa käytöstä. Jospalvelua tarvitaan satunnaisesti, se voidaan aktivoida tilapäisesti.
SNMPPPalvelua tarvitaan verkonvalvontaan ja sitä tarvitaan PRTG:n kaltaisissa ratkaisuissa. Josverkkoa ei valvota, palvelu voidaan poistaa käytöstä.
ZON
Mahdollistaa tiedonvaihdon naapurilaitteiden kanssa (malli, nimi, laiteohjelmisto, MAC-osoite, IP-osoite) LLDP:n kautta sekä Zyxelin ZON-ohjelmiston kanssa samassa lähiverkossa. Palvelua ei tarvita säännölliseen toimintaan.
VPN
IPSec Site-to-Site VPN
Site-to-Site-tunneleita käytettäessä on aina kun mahdollista annettava vertaisverkon yhdyskäytävän osoite. Jos etäpaikalla on dynaaminen IP-osoite, voidaan käyttää myös DynDNS-nimeä. DynDNS-nimeä voidaan käyttää myös, jos etäsijainti on NAT/CG-NAT:n takana. Tällöin on tärkeää, että yhteys muodostetaan etäpuolelta ja että DynDNS-palvelu synkronoi julkisen IP-osoitteen.
Todentamista varten varmenne on parempi kuin PSK. Seuraavat seikat on otettava huomioon:
1. Käytettävä varmenne voi olla itse allekirjoitettu varmenne, mutta se on tallennettava etäpuolelle kohtaan "Luotettavat varmenteet".
2. Molemmilla puolilla luodaan oma varmenne
3. Paikallinen ID-tyyppi otetaan varmenteesta, ja se on syötettävä identtisenä kuin vertaistunnus toisella puolella.
Suositus SA:n enimmäiselinajaksi on 86400 sekuntia VPN-yhdyskäytävässä ja 14400 sekuntia VPN-yhteydessä.
5. Seuraavia asetuksia suositellaan VPN-salauksen vähimmäisasetuksiksi: AES256 / SHA256 / DH15. Tämä on VPN-yhdyskäytävässä sekä VPN-yhteydessä.
Extended Authentication Protocol on mahdollinen myös site-to-site-tunneleissa. Rekisteröitynyt käyttäjä ei kuitenkaan ole kirjautuneena palomuuriin, kun yhteys muodostetaan.
IPSec-asiakkaiden välinen VPN
Client-to-site VPN:ssä suositellaan IKEv2:ta varmenteella ja Extended Authentication Protocolilla.
Configuration Payload on pakollinen VPN-yhteydessä.
Kun yhteys on muodostettu, asiakas kirjautuu palomuuriin käyttäjällä. Jos palomuuriin on hallintakäyttöoikeus, vastaava hallintakäyttäjä voidaan siten tallentaa käytäntöjen hallintaan.
L2TP-VPN
L2TP-VPN:n käyttöä ei suositella. Sen sijaan voidaan käyttää IKEv2:ta.
SSL VPN
Suorituskyvyn ja mahdollisten tietoturvaongelmien vuoksi SSL VPN:ää ei suositella. Koska se on kuitenkin suosittu konfiguroinnin helppouden vuoksi, on otettava huomioon seuraavat seikat:
Configuration > VPN > SSL VPN > Global Setting (Määritys > VPN > SSL VPN > Yleiset asetukset).
Erillisen portin käyttö SSL VPN:ää varten on pakollista. Porttia 443 ei saa missään tapauksessa käyttää.
Tietoturvaa parannetaan merkittävästi käyttämällä todentamiseen sertifikaattia. Määritys on kuvattu kohdassa "Etähallinta HTTPS:n kautta > Todenna asiakkaan varmenne".
Käytäntöjen hallinnassa on suositeltavaa rajoittaa lähde-IP:tä WANista ZyWALLiin pääsyssä palvelulle Wiz_SSLVPN. Vähintään GeoIP:hen, paremmin FQDN:ään tai IP-osoitteeseen.
Myös ylläpitäjän pääsy palomuuriin SSL-VPN-vyöhykkeeltä voidaan rajoittaa vain admin-käyttäjälle. Tämä on mahdollista, koska käyttäjä kirjautuu palomuuriin jo tunnelin asennuksen aikana.
Tavalliset käyttäjät eivät tarvitse pääsyä palomuuriin SSL-VPN-vyöhykkeeltä. Riittää, jos tyypilliset palvelut, kuten DNS, sallitaan täällä.
5. Kahden tekijän todennus .
Kaksi-tekijätodennusta suositellaan ylläpitäjän pääsyä varten, mieluiten Google Authenticatorin avulla.
2FA:n asetukset on tehtävä erikseen jokaiselle käyttäjälle. Google Authenticator -menetelmä on suositeltava. Huomaa, että käyttäjät, joilla ei ole 2FA-asetusta, voivat silti kirjautua sisään ilman lisätodennusta. Tästä syystä 2FA tarjoaa vain rajoitetun suojan.
2FA voidaan aktivoida myös VPN-yhteyttä varten.
Tunnistautumiseen käytetään aina yhtä omaa porttia (Objekt Wiz_2FA).
Es stehen auch verschieden Methoden zur Verfügung, wie ein Link gesendet werden soll. Lopullisesti tulee kuitenkin kaikkien menetelmien kohdalla yksi linkki WEB-GUI:n päälle.
Da das WEB-GUI für 2FA aus dem WAN saavutettavissa sein muss, besteht hier und ein potenzielles Angriffsrisiko. Aus diesem Grund ist diese Funktion mit Vorsicht zu geniessen.
Kaksitekijätodennuksen käyttöönotto on kuvattu toisessa artikkelissamme:
Kahden tekijän todennus Google Authenticatorin avulla järjestelmänvalvojan pääsyä varten.
6. Hälytyslokit
Joidenkin vaihtoehtojen osalta voi olla hyödyllistä määrittää hälytysloki. Tällöin sähköposti-ilmoitus voidaan käynnistää välittömästi tapahtuman sattuessa. Tämä on järkevää esimerkiksi silloin, kun järjestelmänvalvoja kirjautuu sisään, erityisesti palomuureissa, joita valvotaan vain epäsäännöllisin väliajoin.
Määritys > Loki ja raportointi > Lokiasetukset
7. Automaattiset laiteohjelmistopäivitykset
On aina huolehdittava siitä, että palomuurin laiteohjelmisto on ajan tasalla. Aktiivisesti ylläpidettävissä järjestelmissä päivitykset voidaan suorittaa manuaalisesti. Todellisuudessa tämä kuitenkin usein laiminlyödään, ja palomuureja, joissa on tunnettuja tietoturva-aukkoja, ei päivitetä pitkään aikaan.
Erityisesti tämäntyyppisissä ympäristöissä on turvallisuussyistä suositeltavaa ottaa automaattiset päivitykset käyttöön.
Ylläpito > Tiedostonhallinta > Laiteohjelmiston hallinta
8. Arkaluonteisten tietojen suojaaminen
Laiteohjelmistoversiosta 5.35 alkaen salasanat voidaan salata mukautetulla avaimella oletusalgoritmin sijaan. Muut salasanat käyttävät edelleen oletusmenetelmää. Toiminto suojaa myös käyttäjän salasanojen lukemiselta asetustiedostoista hakkerointityökalujen avulla.
Ylläpito > Tiedostonhallinta > Konfigurointitiedosto > Konfigurointi > Arkaluonteisten tietojen suojaus.
Oletetaan, että tiedosto asennetaan uudelleen palomuuriin. Tämä on mahdollista vain avaimen avulla.
Kommentit
0 kommenttiaKirjaudu sisään jättääksesi kommentin.