USG/ATP/VPN - A tűzfal védelmének alapjai

További kérdései vannak? Kérelem beküldése

Fontos értesítés:
Kérjük, vegye figyelembe, hogy gépi fordítást használunk, hogy a cikkeket az Ön helyi nyelvén nyújtsuk. Előfordulhat, hogy nem minden szöveget fordítunk le pontosan. Ha a lefordított változatban szereplő információk pontosságával kapcsolatban kérdés vagy eltérés merül fel, kérjük, tekintse meg az eredeti cikket itt: Eredeti változat

Zyxel tűzfal sorozat 5.35-ös firmware-verziótól kezdve

A tűzfal az első védelmi vonal az internetről érkező támadókkal szemben. Megvédi a helyi hálózatot az illetéktelen hozzáféréstől, és a biztonsági koncepció alapvető része. De mi van akkor, ha a tűzfal maga is hackertámadások célpontjává válik, és így potenciális fenyegetéssé válhat? Az alábbi útmutató a korlátozható támadási lehetőségekről kíván tájékoztatást nyújtani.

1. Szabályzatvezérlés

2. Rendellenesség-érzékelés és -megelőzés

3. Távoli kezelés HTTPS-en keresztül

4. Kétfaktoros hitelesítés

5. Riasztási naplók

6. Automatikus firmware-frissítések

7. Érzékeny adatok védelme

1. Szabályzat-ellenőrzés

A lehető legkevesebb felhasználónak kell hozzáférnie a tűzfalhoz. Ennek biztosítása érdekében célszerű a hozzáférési jogokat a lehető legnagyobb mértékben korlátozni.

Konfiguráció > Biztonsági házirend > Házirend-ellenőrzés
mceclip0.png

A ZyWALL zóna különleges szerepet tölt be. Ez tartalmazza a tűzfal összes interfészcímét. Csak ehhez a zónához hozhatók létre szabályok.

Például a 192.168.1.1.1 alapértelmezett cím nem a LAN1 zónához, hanem a ZyWALL zónához tartozik.
mceclip1.png

Az alapértelmezett beállításokkal a tűzfalhoz való hozzáférés többnyire nyitott. Ezért ezeket tovább kell korlátozni.

A házirend-vezérlési szabályok korlátozása
A tűzfalszabályok több kritérium alapján korlátozhatók. Elsősorban három kritérium segít a tűzfalhoz való hozzáférésnél:
1. IPv4 forrás (címobjektumok)
2. szolgáltatás
3. felhasználó

Ezeket az elemeket objektumokként hozzuk létre.

Cím-objektumok
Alapvetően háromféle címobjektum létezik. Ezek a következők:
1. IP-címek
2. FQDN-címek
3. GeoIP-címek

A címobjektumok csoportosíthatók. A különböző címtípusok azonban nem keverhetők.

Konfiguráció > Objektum > Cím/Geo IP > Cím

mceclip0.png

1.1 IP-címek

Az IP-címeket lehetőség szerint mindig használni kell, mivel azok egyediek. Az IP-címeknek több típusa létezik:

1. host > ez egyetlen IP-címet ír le.
2. tartomány > ez lehet bármilyen tartomány, amelyet a kezdő- és a végcím határoz meg.
3. alhálózat > ez egy alhálózati maszk vagy CIDR (pl. /24) megadásával hozható létre.
4. interfész IP > átveszi egy interfész IP-címét, és dinamikusan alkalmazkodik.
5. interface subnet > dinamikusan átveszi egy interfész alhálózatát.
6. interface gateway > átveszi egy WAN vagy általános típusú interfész átjáróját.

Host, tartomány, alhálózat
A Host, Range és Subnet címtípusok különösen alkalmasak IPv4 forrásként. WAN-ról történő hozzáférés esetén a távoli állomás nyilvános IP-címét kell megadni.
LAN-ról ezek az objektumok különböző jogosultságú csoportok létrehozására használhatók.
Interfész IP
Ez az objektum akkor használható, ha a hozzáférés csak egy adott IP-címen lehetséges. Ha például 2 WAN-interfész van, de egy szolgáltatás csak az egyik interfészen legyen elérhető, az interfész IP-je IPv4-célként adható meg a házirend-ellenőrzési szabályban.
Interfész alhálózat
Ez a címtípus akkor alkalmas, ha egységes szabályokat kell létrehozni egy helyi interfészhez (pl. LAN1).

Interfész átjáró
Ez a címtípus nem releváns a tűzfalhoz való hozzáférés szempontjából.
2. FQDN objektumok
Az FQDN objektumoknál IP-cím helyett egy név adható meg, pl. www,mydomain.com. Ez a bejegyzéstípus különösen akkor alkalmas, ha a hozzáférés WAN-ról történik, és a távoli állomás nem rendelkezik statikus nyilvános IP-címmel. Ebben az esetben az IP-cím helyett egy DynDNS név is használható. Az FQDN objektumok esetében gyors DNS-kiszolgálóra van szükség. A vadkártyás bejegyzések, például *.mydomain.com is lehetségesek. Ezek azonban nem használhatók erre a célra.

1.2 FQDN objektumok
Az FQDN objektumoknál IP-cím helyett egy név adható meg, pl. www,mydomain.com. Ez a bejegyzéstípus különösen akkor alkalmas, ha a hozzáférés WAN-ról történik, és a távoli állomás nem rendelkezik statikus nyilvános IP-címmel. Ebben az esetben az IP-cím helyett egy DynDNS név is használható. Az FQDN objektumok esetében gyors DNS-kiszolgálóra van szükség. A vadkártyás bejegyzések, például *.mydomain.com is lehetségesek. Ezek azonban nem használhatók erre a célra.

Geo IP-címek

mceclip1.png

A Geo IP-címek ország- vagy régióalapú objektumok létrehozására használhatók. A szolgáltatás külső adatbázist használ, és rendszeresen frissíteni kell. A Geo IP nem nyújt megbízható védelmet, mivel a forráscím nagyon könnyen manipulálható a szabadon elérhető VPN-szolgáltatások segítségével.

Szolgáltatási objektumok

A szolgáltatásobjektumok segítségével határozható meg, hogy a házirend-vezérlési beállításokban mely szolgáltatásokhoz adható vagy tagadható meg a hozzáférés. A szolgáltatások csoportosíthatók. A szolgáltatások máshol is használhatók, például a házirend útvonalakban és NAT-bejegyzésekben.
A szabványos szolgáltatásobjektumokon kívül van néhány speciális objektum is. Ezek a "Wiz_2FA, Wiz_HTTP, Wiz_HTTPS és Wiz_SSLVPN" objektumok. Ezeknek a szolgáltatásoknak a portja automatikusan alkalmazkodik, amikor a megfelelő menüben újra definiáljuk.

Konfiguráció > Objektum > Szolgáltatás

mceclip2.png

Felhasználó
Konfiguráció > Objektum > Felhasználó

Különböző típusú felhasználók léteznek.
Admin - módosíthatja a konfigurációt
Limited-admin - hozzáférhet a konfigurációhoz, de nem módosíthat rajta.
Felhasználó - 2FA segítségével tud hitelesíteni.
Vendég - bejelentkezhet a tűzfalra
Ext-user/ext-group-user - külső kiszolgálóra tud hitelesíteni.

A beépített felhasználók olyan előre definiált felhasználók, amelyek nem törölhetők és meghatározott célokra szolgálnak.

A felhasználókat úgy kell definiálni, hogy csak a szükséges jogosultságokkal rendelkezzenek.
Általában a VPN vagy 802.1x felhasználók felhasználói típusú felhasználókként vannak definiálva.
mceclip3.png

Bejelentkezés biztonsága
Meghatározza, hogy a jelszavakat meg kell-e változtatni, és milyen időközönként, valamint hogy a jelszavak összetettsége szükséges-e.
Felhasználói bejelentkezési beállítások
Meghatározza, hogy egy felhasználó hányszor jelentkezhet be egyszerre. Ha a korlát "1"-re van állítva, akkor a rendszergazda kizárhatja magát.
Felhasználói IP-kizárás beállításai
A bejegyzések meghatározzák, hogy a hibás jelszó bevitele hányszor engedélyezett, amíg a felhasználó egy bizonyos időre blokkolva van. Ez a beállítás védelmet nyújt a nyers erővel végrehajtott támadások ellen.

Ajánlott házirend-vezérlési szabályok
From: WAN To: ZyWALL
Erősen ajánlott minden olyan szolgáltatást lezárni, amelyre nincs kifejezetten szükség.
Gyakran szükséges szolgáltatások:
IPSec VPN (IKEv1, IKEv2, L2TP):
(L2TP-UDP).

SSL VPN:
Wiz_SSLVPN

2-faktoros hitelesítés VPN-hez:
Wiz_2FA

Távoli hozzáférés HTTP/HTTPS-en keresztül:
Wiz_HTTP, Wiz_HTTPS

A biztonsági kockázatok lehető legnagyobb mértékű elkerülése érdekében a távoli kezelés ideális esetben IPSec VPN-en keresztül történik. A forráscímeket lehetőség szerint korlátozni kell. Az SSL VPN nem ajánlott, mivel ez az SSL-en keresztül lehetséges támadási vektort kínál.

Távoli hozzáférés HTTPS-en keresztül:
Ha HTTP/HTTPS-en keresztül történő távoli elérésre van szükség, a forráscímet mindig IP-címre vagy FQDN-re kell korlátozni. A GeoIP mint forráscím nem biztonságos, és jelentős támadási lehetőséget kínál. A HTTPS-kezeléshez ajánlott egy másik port használata.

From: VPN zóna To: ZyWALL (ügyféltől a telephelyig)
Alapértelmezés szerint minden port nyitva van. A legtöbb esetben csak néhány szolgáltatásra van szükség. Ilyen például a DNS és az L2TP-UDP. Más szolgáltatások esetében a hozzáférést blokkolni kell. Ha a kliensek közötti VPN-en keresztül történő távoli kezelésre van szükség, a tűzfalhoz való hozzáférést egy felhasználóra lehet korlátozni. Ez azonban csak akkor működik, ha a felhasználó az alagút létrehozásakor már bejelentkezett a tűzfalra.

From: LAN To: ZyWALL
Itt is korlátozni kell a hozzáférési jogokat. A tűzfalhoz való teljes hozzáférést csak egy speciális menedzsment LAN vagy egyedi rendszergazdai IP-címek számára kell biztosítani. Bizonyos szolgáltatások megfelelő működéséhez a tűzfalhoz való hozzáférést meg kell adni. Ide tartozik a DNS, a multicast, a Radius-Auth, a NetBIOS, az SNMT, az SSO stb. Az, hogy ténylegesen milyen hozzáférésekre van szükség, nagyban függ a hálózati topológiától és az alkalmazott technológiáktól.

2. Rendellenesség-érzékelés és -megelőzés (ADP)

Konfiguráció > Biztonsági házirend > ADP
Az ADP védelmet nyújt a portvizsgálatok és a szokatlan hálózati viselkedés ellen. Az ADP aktiválása az alapértelmezett profillal a WAN zónából ajánlott. Problémák felmerülése esetén a profilon egyedi beállítások is elvégezhetők.

mceclip4.png

Egyedi esetekben az ADP befolyásolhat bizonyos szolgáltatásokat. Ez különösen az elárasztás-érzékelésre vonatkozik. Ezért az egyes szolgáltatások, pl. a NATT esetében az áradásvédelem kikapcsolható. Egy ilyen beállítás csak akkor hasznos, ha problémák merülnek fel.
mceclip5.png

3. Távoli kezelés HTTPS-en keresztül

A WWW-beállítások néhány speciális beállítása közvetlen hatással van a rendszer biztonságára.

Konfiguráció > Rendszer > WWW

Kiszolgáló port
A 443-as szabványos portot nem szabad távoli kezelésre használni, mivel ezt mindig átvizsgálják az automatikus támadások során. A gyakran használt alternatív portok (pl. 8443) szintén nem ideálisak.
A HTTP átirányítása HTTPS-re
A grafikus felhasználói felületre irányuló minden HTTP-hívás átirányításra kerül HTTPS-re. Figyelem! Ezt a beállítást nem szabad engedélyezni, ha webes hitelesítést használ. Minden más esetben ezt a beállítást engedélyezni kell.

Admin szolgáltatásvezérlés
Itt lehet beállítani, hogy ki rendelkezhet rendszergazdai hozzáféréssel a tűzfalhoz. A legjobb, ha a hozzáférést az egyes IP-címekre korlátozza. Címobjektumként csak IP-címek engedélyezettek. Utolsó szabályként (itt az 5. szabály) egy ALL/ALL/deny szabályt kell létrehozni. A szabály létrehozásakor ügyelni kell arra, hogy ne zárjuk ki magunkat. Ezért az elfogadási szabályokat az utolsónak létrehozott tagadási szabály előtt kell létrehozni.

Felhasználói szolgáltatásvezérlés
A felhasználói szolgáltatásvezérlés határozza meg, hogy mely ügyfelek hitelesülhetnek a tűzfalon.
A szabály az SSL-VPN, a 2-FA, a VPN konfiguráció biztosítása és a WEB-hitelesítés esetében releváns.
Ha ezt nem használják, akkor egy elutasító szabály is beállítható.
Ügyfél-tanúsítványok hitelesítése
Ha az Ügyféltanúsítvány hitelesítése opció engedélyezve van, az ügyfélnek érvényes tanúsítvánnyal kell magát hitelesítenie. Ellenkező esetben a kapcsolat elutasításra kerül. Ez a HTTPS-en és SSL VPN-en keresztüli hozzáférésre vonatkozik. VPN konfiguráció_A SecuExtenderrel történő profilozás nem működik, ha ez az opció engedélyezve van. A 2FA ablak hívása azonban tanúsítvány nélkül is lehetséges.

Ahhoz, hogy a tűzfal megbízzon egy tanúsítványban, telepíteni kell a tanúsító hatóság bizalmi láncát. Ez általában egy gyökér- és egy köztes tanúsítványt tartalmaz. A tűzfal minden érvényes tanúsítványlánccal rendelkező tanúsítványban, valamint a saját maga által aláírt tanúsítványokban is megbízik. Meg kell jegyezni, hogy egyes böngészők elvből elutasítják a saját aláírt tanúsítványokat (jelenleg a Firefox-alapú böngészők). Az ügyféltanúsítványt nem kell telepíteni a tűzfalra.

Konfiguráció > Objektum > Tanúsítvány > Megbízható tanúsítványok

mceclip6.png

4. Távfelügyeleti szolgáltatások

Konfiguráció > Rendszer
A tűzfalon számos olyan szolgáltatás van, amelyre ritkán vagy soha nincs szükség. Ezek a szolgáltatások teljesen letilthatók.

SSH
Ez a szolgáltatás például akkor használható, ha a konfiguráció módosítása automatikus szkript segítségével
történik.Ha az SSH-t nem használják rendszeresen adminisztrációra, a szolgáltatás letiltható. A CLI-bemenethez az SSH helyett a webkonzol is használható.

mceclip7.png

TELNET
Alegtöbb esetben nincs rá szükség, ezért letiltható.

FTP

FTP-nkeresztül pl. frissíthető a firmware, vagy letölthetők a konfigurációs fájlok. Az FTP-t aktiválni kell, ha a HA-Pro van használatban. Ha ez nem így van, az FTP kikapcsolható. Ha a szolgáltatásra szórványosan van szükség, akkor ideiglenesen aktiválható.
SNMPA
szolgáltatásra a hálózati felügyelethez van szükség, és olyan megoldásokhoz szükséges, mint a PRTG. Ha a hálózatot nem figyelik, a szolgáltatás kikapcsolható.
ZON
Lehetővé teszi az információcserét a szomszédos eszközökkel (modell, név, firmware, MAC-cím, IP-cím) LLDP-n keresztül, valamint a Zyxel szoftver ZON-jával ugyanabban a LAN-ban. A szolgáltatás nem szükséges a rendszeres működéshez.

VPN

IPSec Site-to-Site VPN
A site-to-site alagutak használatakor lehetőség szerint meg kell adni egy peer gateway címet. Ha a távoli telephely dinamikus IP-címmel rendelkezik, akkor egy DynDNS név is használható. A DynDNS név akkor is használható, ha a távoli telephely NAT/CG-NAT mögött van. Ebben az esetben fontos, hogy a kapcsolat a távoli oldalról jöjjön létre, és a DynDNS szolgáltatás szinkronizálja a nyilvános IP-címet.

A hitelesítéshez a tanúsítvány jobb, mint a PSK. A következőket kell figyelembe venni:
1. A használt tanúsítvány lehet önaláírt tanúsítvány, de a távoli oldalon a "Megbízható tanúsítványok" alatt kell tárolni.
2. Mindkét oldalon saját tanúsítványt kell létrehozni
3. A helyi azonosító típusát a tanúsítványból vesszük, és azt ugyanúgy kell megadni, mint a másik oldalon a társkapcsolat azonosítóját.
Az SA maximális élettartamára vonatkozó ajánlás a VPN átjárónál 86400 másodperc, a VPN-kapcsolatnál pedig 14400 másodperc.
5. A VPN-titkosításhoz minimálisan a következő beállítások javasoltak: AES256 / SHA256 / DH15. Ez a VPN átjáróban és a VPN-kapcsolatban is érvényes.
Az Extended Authentication Protocol a helyközi alagutak esetében is lehetséges. A regisztrált felhasználó azonban a kapcsolat létrehozásakor nem jelentkezik be a tűzfalra.

mceclip8.png

IPSec ügyfél-település közötti VPN
Az ügyfél-telephely közötti VPN-hez az IKEv2 a tanúsítvánnyal és a kiterjesztett hitelesítési protokollal ajánlott.

A VPN-kapcsolatban kötelező a konfigurációs hasznos teher.
mceclip9.png

A kapcsolat létrejötte után az ügyfél bejelentkezik a tűzfalra a felhasználóval. A tűzfal bármely adminisztrátori hozzáféréséhez így a megfelelő admin felhasználó tárolható a házirend-vezérlésben.

L2TP-VPN

Az L2TP VPN használata nem ajánlott. Helyette az IKEv2 használható.

SSL VPN
A teljesítmény és a lehetséges biztonsági problémák miatt az SSL VPN nem ajánlott. Mivel azonban a könnyű konfigurálhatóság miatt népszerű, a következőket kell figyelembe venni:

Konfiguráció > VPN > SSL VPN > Globális beállítások

Az SSL VPN számára külön port használata kötelező. Semmilyen körülmények között nem szabad a 443-as portot használni.
mceclip10.png

A biztonságot jelentősen növeli a tanúsítvány használata a hitelesítéshez. A konfigurációt a "Távoli kezelés HTTPS-en keresztül > Ügyféltanúsítvány hitelesítése" című fejezetben ismertetjük.

A Policy Controlban célszerű a WAN-ról a ZyWALL-hoz való hozzáférés forrás IP-jét korlátozni a Wiz_SSLVPN szolgáltatás esetében. Legalább egy GeoIP-re, jobb esetben egy FQDN-re vagy egy IP-címre.

Az SSL-VPN zónából a tűzfalhoz való rendszergazdai hozzáférést is korlátozhatja az admin felhasználóra. Ez azért lehetséges, mert a felhasználó már az alagút beállítása során bejelentkezik a tűzfalra.

A normál felhasználóknak nincs szükségük arra, hogy az SSL-VPN zónából hozzáférjenek a tűzfalhoz. Elegendő, ha a tipikus szolgáltatások, például a DNS itt engedélyezett.

5. Kétfaktoros hitelesítés

Az Admin hozzáféréshez kétfaktoros hitelesítés ajánlott, lehetőleg a Google Authenticator segítségével.
A 2FA beállítását minden egyes felhasználó esetében külön-külön kell elvégezni. A Google Authenticator módszer ajánlott. Vegye figyelembe, hogy azok a felhasználók, akik nem rendelkeznek 2FA beállítással, további hitelesítés nélkül is bejelentkezhetnek. Emiatt a 2FA csak korlátozott védelmet nyújt.

A 2FA a VPN-hozzáféréshez is aktiválható.

A hitelesítéshez mindig egy saját portot kell használni (Objekt Wiz_2FA).

Es stehen auch verschieden Methoden zur Verfügung, wie ein Link gesendet werden soll. Schlussendlich wird jedoch bei allen Methoden ein Link auf das WEB-GUI aufgerufen.

Da das WEB-GUI für 2FA aus dem WAN elérhetőnek kell lennie, besteht hier auch ein potenzielles Angriffsrisiko. Aus diesem Grund ist diese Funktion mit Vorsicht zu geniessen.

A kétfaktoros hitelesítés beállítását egy másik cikkünkben ismertetjük:

Kétfaktoros hitelesítés a Google Authenticatorral adminisztrátori hozzáféréshez

6. Riasztási naplók

Bizonyos beállítások esetében hasznos lehet egy riasztási napló beállítása. Ebben az esetben egy esemény bekövetkezésekor azonnal e-mail értesítést lehet indítani. Ennek például akkor van értelme, ha egy rendszergazda bejelentkezik, különösen a csak rendszertelen időközönként felügyelt tűzfalak esetében.

Konfiguráció > Napló és jelentés > Naplóbeállítások
mceclip12.png

7. Automatikus firmware-frissítések

Mindig ügyelni kell arra, hogy a tűzfal firmware-je naprakész legyen. Az aktívan karbantartott rendszerek esetében a frissítések manuálisan is elvégezhetők. A valóságban azonban gyakran előfordul, hogy ezt elhanyagolják, és az ismert biztonsági réseket tartalmazó tűzfalakat hosszú időn keresztül nem frissítik.
Különösen az ilyen típusú környezetekben ajánlott biztonsági okokból az automatikus frissítések aktiválása.

Karbantartás > Fájlkezelő > Firmware-kezelés

mceclip13.png

8. Érzékeny adatok védelme

Az 5.35-ös firmware-verziótól kezdve a jelszavak az alapértelmezett algoritmus helyett egyéni kulccsal is titkosíthatók. A többi jelszó továbbra is az alapértelmezett módszert használja. A funkció védelmet nyújt a felhasználói jelszavak konfigurációs fájlokból hackereszközökkel történő kiolvasása ellen is.

Karbantartás > Fájlkezelő > Konfigurációs fájl > Konfiguráció > Érzékeny adatok védelme.

mceclip14.png

Tegyük fel, hogy a fájl újratelepítésre kerül egy tűzfalra. Ez csak a kulccsal lehetséges.

mceclip15.png

A szakasz cikkei

Hasznos volt ez a cikk?
2/2 szavazó hasznosnak találta ezt
Megosztás