Viktigt meddelande: |
Zyxel Firewall seriesfrån firmware version 5.35
En brandvägg är den första försvarslinjen mot angripare från Internet. Den skyddar det lokala nätverket från obehörig åtkomst och är en viktig del av ett säkerhetskoncept. Men vad händer om brandväggen själv blir måltavla för hackarattacker och därmed kan bli ett potentiellt hot? Följande guide är avsedd att ge information om hur man angriper möjligheter som kan begränsas.
1. Kontroll av policy
2. Upptäckt och förebyggande av anomalier
3. Fjärrhantering via HTTPS
4. Tvåfaktorsautentisering
5. Varningsloggar
6. Automatiska uppdateringar av fast programvara
7. Skydd av känsliga uppgifter
1. Kontroll av policy
Så få användare som nödvändigt ska ha tillgång till brandväggen. För att säkerställa detta är det lämpligt att begränsa åtkomsträttigheterna så mycket som möjligt.
Konfiguration > Säkerhetspolicy > Policykontroll
ZyWALL zone tar en särskild roll. Den innehåller alla brandväggens gränssnittsadresser. Endast regler kan skapas för den här zonen.
Standardadressen 192.168.1.1.1 hör till exempel inte till zonen LAN1 utan till zonen ZyWALL.
Med standardinställningarna är åtkomsten till brandväggen huvudsakligen öppen. Därför bör dessa begränsas ytterligare.
Begränsning av regler för policykontroll
Brandväggsregler kan begränsas utifrån flera kriterier. I huvudsak är tre kriterier användbara för brandväggstillgång:
1. IPv4-källa (adressobjekt)
2. tjänst
3. Användare
Dessa element skapas som objekt.
Adressobjekt
Det finns i princip tre typer av adressobjekt. Dessa är:
1. IP-adresser
2. FQDN-adresser
3. GeoIP-adresser
Adressobjekt kan grupperas. Det är dock inte möjligt att blanda olika typer av adresser.
Konfiguration > Objekt > Adress/GeoIP > Adress
1.1 IP-adresser
IP-adresser bör användas när det är möjligt, eftersom de är unika. Det finns flera olika typer av IP-adresser:
1. Host > Detta beskriver en enskild IP-adress.
2. Range > Detta kan vara ett valfritt intervall som definieras av start- och slutadressen.
3. Subnät > Detta kan skapas genom att ange en subnätmask eller CIDR (t.ex. /24).
4. Interface IP > tar över IP-adressen för ett gränssnitt och anpassar sig dynamiskt.
5. interface subnet > tar dynamiskt över ett gränssnitts undernät.
6. interface gateway > tar över gatewayen för ett gränssnitt av typen WAN eller allmänt.
Värd, intervall, undernät
Adresserna Host, Range och Subnet är särskilt lämpliga som IPv4-källor. Om åtkomst sker från WAN anges den offentliga IP-adressen för fjärrstationen.
Från ett LAN kan dessa objekt användas för att skapa grupper med olika behörigheter.
Gränssnitt IP
Detta objekt kan användas om åtkomst endast är möjlig på en specifik IP-adress. Om det till exempel finns två WAN-gränssnitt, men en tjänst endast ska vara tillgänglig på ett gränssnitt, kan gränssnittets IP anges i regeln för policykontroll som en IPv4-destination.
Gränssnittsundernät
Denna adress-typ är lämplig om enhetliga regler ska skapas för ett lokalt gränssnitt (t.ex. LAN1).
Gränssnittsgateway
Denna adress typ är inte relevant för åtkomst till brandväggen.
2. FQDN-objekt
Med FQDN-objekt kan ett namn anges i stället för en IP-adress, t.ex. www,mydomain.com. Denna inmatningstyp är särskilt lämplig om åtkomst sker från WAN och fjärrstationen inte har en statisk offentlig IP-adress. Ett DynDNS-namn kan användas i stället för IP-adressen i detta fall. För FQDN-objekt krävs en snabb DNS-server. Wildcardposter som *.mydomain.com är också möjliga. Dessa kan dock inte användas för det här ändamålet.
1.2 FQDN-objekt
Med FQDN-objekt kan ett namn anges i stället för en IP-adress, t.ex. www,mydomain.com. Denna inmatningstyp är särskilt lämplig om åtkomst sker från WAN och fjärrstationen inte har en statisk offentlig IP-adress. Ett DynDNS-namn kan användas i stället för IP-adressen i detta fall. För FQDN-objekt krävs en snabb DNS-server. Wildcardposter som *.mydomain.com är också möjliga. Dessa kan dock inte användas för detta ändamål.
Geo-IP-adresser
Geo IP kan användas för att skapa ett land- eller regionbaserat objekt. Tjänsten använder en extern databas och bör uppdateras regelbundet. Geo IP erbjuder inget tillförlitligt skydd, eftersom källadressen kan manipuleras mycket lätt med hjälp av fritt tillgängliga VPN-tjänster.
Tjänsteobjekt
Tjänsteobjekt används för att definiera vilka tjänster som beviljas eller nekas åtkomst i inställningarna för policykontroll. Tjänsterna kan grupperas. Tjänsterna kan också användas på andra ställen, t.ex. i policyrutter och NAT-poster.
Förutom standardtjänstobjekten finns det några särskilda objekt. Dessa är objekten "Wiz_2FA, Wiz_HTTP, Wiz_HTTPS och Wiz_SSLVPN". Ports för dessa tjänster anpassas automatiskt när den omdefinieras i motsvarande meny.
Konfiguration > Objekt > Tjänst
Användare
Konfiguration > Objekt > Användare
Det finns olika typer av användare.
Admin - kan göra ändringar i konfigurationen.
Limited-admin - kan få tillgång till konfigurationen men kan inte göra några ändringar.
Användare - kan autentisera sig med hjälp av 2FA
Gäst - kan logga in på brandväggen
Ext-user/ext-group-user - kan autentisera sig till en extern server.
Inbyggda användare är fördefinierade användare som inte kan raderas och som är avsedda för specifika ändamål.
Användare bör definieras så att de endast har nödvändiga behörigheter.
Vanligtvis definieras VPN- eller 802.1x-användare som användare av användartyp Användare.
Inloggningssäkerhet
Definierar om och inom vilken period lösenord måste ändras och om lösenordskomplexitet krävs.
Inställningar för användarinloggning
Definierar hur många gånger en användare kan logga in samtidigt. Om gränsen är inställd på "1" kan en administratör låsa sig själv.
Inställningar för användarens IP-låsning
Inställningarna definierar hur ofta en felaktig lösenordsinmatning tillåts tills användaren spärras under en viss tid. Den här inställningen skyddar mot brute force-attacker.
Rekommenderade regler för policykontroll
Från: WAN Till: ZyWALL
Det rekommenderas starkt att stänga alla tjänster som inte behövs specifikt.
Tjänster som ofta behövs:
IPSec VPN (IKEv1, IKEv2, L2TP):
ESP, IKE, NATT, (L2TP-UDP).
SSL VPN:
Wiz_SSLVPN
2-faktorsautentisering för VPN:
Wiz_2FA
Fjärråtkomst via HTTP/HTTPS:
Wiz_HTTP, Wiz_HTTPS
För att undvika säkerhetsrisker så långt som möjligt utförs fjärrhantering helst via IPSec VPN. Källadresserna bör om möjligt begränsas. SSL-VPN rekommenderas inte, eftersom detta erbjuder en möjlig angreppsvektor via SSL.
Fjärråtkomst via HTTPS:
Om fjärråtkomst via HTTP/HTTPS krävs bör källadressen alltid begränsas till en IP-adress eller FQDN. GeoIP som källadress är inte säker och ger betydande möjligheter till angrepp. För HTTPS-hantering rekommenderas att en alternativ port används.
Från: VPN-zon Till: ZyWALL (klient till plats)
Som standard är alla portar öppna. I de flesta fall krävs endast några få tjänster. Dessa är t.ex. DNS och L2TP-UDP. För andra tjänster bör åtkomsten blockeras. Om fjärrhantering via Client-to-site VPN önskas kan åtkomsten till brandväggen begränsas till en användare. Detta fungerar dock endast om användaren redan har loggat in på brandväggen när tunneln konfigurerades.
Från: LAN To: ZyWALL
Även här bör åtkomsträttigheterna begränsas. Fullständig åtkomst till brandväggen bör endast ges till ett särskilt LAN för hantering eller enskilda IP-adresser för administratörer. För att vissa tjänster ska fungera korrekt måste åtkomst till brandväggen beviljas. Detta gäller bl.a. DNS, multicast, Radius-Auth, NetBIOS, SNMT, SSO osv. Vilka åtkomster som faktiskt krävs beror i hög grad på nätverkstopologin och den teknik som används.
2. Upptäckt och förebyggande av anomalier (ADP)
Configuration > Security Policy > ADP
ADP ger skydd mot portscanningar och ovanligt nätverksbeteende. Det rekommenderas att aktivera ADP med standardprofilen från WAN-zonen. Individuella justeringar kan göras av profilen om problem uppstår.
I enskilda fall kan ADP påverka vissa tjänster. Detta gäller i synnerhet för upptäckt av översvämningar. Därför kan översvämningsskyddet avaktiveras för enskilda tjänster, t.ex. NATT. En sådan inställning är endast till hjälp om problem uppstår.
3. Fjärrhantering via HTTPS
Vissa specifika inställningar i WWW-inställningarna har en direkt inverkan på systemsäkerheten.
Konfiguration > System > WWW
Serverport
Standardporten 443 bör inte användas för fjärrhantering, eftersom den alltid skannas vid automatiska attacker. Ofta använda alternativa portar (t.ex. 8443) är inte heller idealiska.
Omdirigera HTTP till HTTPS
Alla HTTP-anrop till GUI omdirigeras till HTTPS. Uppmärksamhet. Den här inställningen får inte aktiveras om webbautentisering används. I alla andra fall ska det här alternativet vara aktiverat.
Kontroll av administrationstjänsten
Här kan du ställa in vem som får ha administratörsåtkomst till brandväggen. Det bästa vore om du begränsar åtkomsten till enskilda IP-adresser. Endast IP-adresser tillåts som adressobjekt. Som sista regel (här regel 5) bör en ALL/ALL/deny-regel skapas. Man måste vara försiktig när man skapar regeln så att man inte låser sig själv ute. Därför måste accept-reglerna skapas innan den sista regeln för nekande skapas.
Kontroll av användartjänster
Användartjänstkontrollen definierar vilka klienter som kan autentisera sig till brandväggen.
Regeln är relevant för SSL-VPN, 2-FA, tillhandahållande av VPN-konfiguration och WEB-autentisering.
Om den inte används kan en regel för nekande också ställas in.
Autentisera klientcertifikat
Om alternativet Autentisera klientcertifikat är aktiverat måste klienten auktorisera sig med ett giltigt certifikat. Annars kommer en anslutning att nekas. Detta gäller för åtkomst via HTTPS och SSL VPN. VPN Configuration_Profisioning with SecuExtender fungerar inte om det här alternativet är aktiverat. Det är dock fortfarande möjligt att ringa upp 2FA-fönstret utan ett certifikat.
För att ett certifikat ska kunna betrodda av brandväggen måste certifikatmyndighetens förtroendekedja installeras. Denna innehåller vanligtvis ett rot- och ett mellancertifikat. Brandväggen litar på varje certifikat med en giltig certifikatkedja samt på sina egna självsignerade certifikat. Det bör noteras att vissa webbläsare principiellt avvisar självsignerade certifikat (för närvarande Firefox-baserade webbläsare). Klientcertifikatet behöver inte installeras på brandväggen.
Konfiguration > Objekt > Certifikat > Betrodda certifikat
4. Fjärrhanteringstjänster
Configuration > System
Det finns flera tjänster på brandväggen som sällan eller aldrig behövs. Dessa tjänster kan inaktiveras helt.
SSH
Den här tjänsten kan till exempel användas när konfigurationsändringar utförs med ett automatiskt skript. Om SSH inte används regelbundet för administration kan tjänsten inaktiveras. Webbkonsolen kan också användas i stället för SSH för CLI-inmatning.
TELNET
Den behövs inte i de flesta fall och kan inaktiveras.
FTP
Via FTP kan t.ex. den inbyggda programvaran uppdateras eller konfigurationsfiler hämtas. FTP måste aktiveras om HA-Pro används. Om så inte är fallet kan FTP avaktiveras. Om tjänsten behövs sporadiskt kan den aktiveras tillfälligt.
SNMPTTjänsten behövs för nätverksövervakning och krävs för lösningar som PRTG. Om nätverket inte övervakas kan tjänsten avaktiveras.
ZON
Möjliggörinformationsutbyte med angränsande enheter (modell, namn, firmware, MAC-adress, IP-adress) via LLDP samt med Zyxels programvara ZON i samma LAN. Tjänsten krävs inte för normal drift.
VPN
IPSec Site-to-Site VPN
När du använder site-to-site-tunnlar bör en peer gateway-adress anges när det är möjligt. Om fjärrplatsen har en dynamisk IP-adress kan även ett DynDNS-namn användas. Ett DynDNS-namn kan också användas om fjärrplatsen ligger bakom en NAT/CG-NAT. I det här fallet är det viktigt att anslutningen upprättas från fjärrsidan och att DynDNS-tjänsten synkroniserar den offentliga IP-adressen.
För autentisering är ett certifikat bättre än en PSK. Följande måste beaktas:
1. Det använda certifikatet kan vara ett självsignerat certifikat men måste lagras på fjärrsidan under "Trusted Certificates".
2. På båda sidor skapas ett eget certifikat.
3. Den lokala ID-typen hämtas från certifikatet och måste anges på samma sätt som peer-ID:t på den andra sidan.
Rekommendationen för den maximala SA-livstiden är 86400 sekunder i VPN-gatewayen och 14400 sekunder i VPN-anslutningen.
5. Följande inställningar rekommenderas som ett minimum för VPN-kryptering: AES256 / SHA256 / DH15. Detta gäller både i VPN-gatewayen och i VPN-anslutningen.
Extended Authentication Protocol är också möjligt för site-to-site-tunnlar. Den registrerade användaren är dock inte inloggad på brandväggen när anslutningen upprättas.
IPSec VPN från klient till plats
För VPN från klient till plats rekommenderas IKEv2 med certifikatet och Extended Authentication Protocol.
Configuration Payload är obligatorisk i VPN-anslutningen.
När anslutningen har upprättats loggas klienten in på brandväggen med användaren. För all administratörsåtkomst till brandväggen kan motsvarande administratörsanvändare således lagras i policykontrollen.
L2TP-VPN
Användningen av en L2TP-VPN rekommenderas inte. IKEv2 kan användas i stället.
SSL VPN
På grund av prestanda och eventuella säkerhetsproblem rekommenderas inte SSL VPN. Eftersom detta är populärt på grund av att det är lätt att konfigurera bör dock följande övervägas:
Konfiguration > VPN > SSL VPN > Global inställning
Det är obligatoriskt att använda en separat port för SSL VPN. Port 443 får under inga omständigheter användas.
Säkerheten ökas avsevärt genom att använda ett certifikat för autentisering. Konfigurationen beskrivs under "Fjärrhantering via HTTPS > Autentisera klientcertifikat".
I Policy Control är det lämpligt att begränsa Source IP för åtkomst från WAN till ZyWALL för tjänsten Wiz_SSLVPN. Åtminstone till en GeoIP, bättre till ett FQDN eller en IP-adress.
Dessutom kan administratörsåtkomst till brandväggen från SSL-VPN-zonen begränsas till administratörsanvändaren. Detta är möjligt eftersom användaren redan loggar in på brandväggen under tunnelinställningen.
Vanliga användare behöver inte ha tillgång till brandväggen från SSL-VPN-zonen. Det räcker om typiska tjänster som DNS tillåts här.
5. Tvåfaktorsautentisering
Tvåfaktorsautentisering rekommenderas för Admin Access, helst med Google Authenticator.
Inställningen för 2FA måste göras separat för varje användare. Metoden Google Authenticator rekommenderas. Observera att användare som inte har 2FA inställt fortfarande kan logga in utan ytterligare autentisering. Av denna anledning ger 2FA endast ett begränsat skydd.
2FA kann auch für VPN-Access aktiviert werden.
Zur Authentifizierung wird immer ein egen Port verwendet (Objekt Wiz_2FA).
Es stehen auch verschieden Methoden zur Verfügung, wie ein Link gesendet werden soll. Slutligt kommer dock vid alla metoder att en länk i webbgränssnittet ska användas.
Da das WEB-GUI für 2FA aus dem WAN erreichbar sein muss, besteht hier auch ein potentielles Angriffsrisiko. Aus diesem Grund ist diese Funktion mit Vorsicht zu geniessen.
Hur du ställer in tvåfaktorsautentisering beskrivs i vår andra artikel:
Tvåfaktorsautentisering med Google Authenticator för administratörsåtkomst
6. Varningsloggar
För vissa alternativ kan det vara till hjälp att ställa in en varningslogg. I det här fallet kan ett e-postmeddelande utlösas omedelbart när en händelse inträffar. Detta är till exempel meningsfullt när en administratör loggar in, särskilt för brandväggar som endast övervakas med oregelbundna intervaller.
Konfiguration > Logg och rapport > Logginställningar
7. Automatiska uppdateringar av fast programvara
Man bör alltid se till att brandväggens fasta programvara är uppdaterad. För system som underhålls aktivt kan uppdateringar utföras manuellt. I verkligheten är det dock ofta så att detta försummas, och brandväggar med kända säkerhetsbrister uppdateras inte under en längre period.
Särskilt i miljöer av denna typ rekommenderas det att aktivera automatiska uppdateringar av säkerhetsskäl.
Underhåll > Filhanterare > Hantering av fast programvara
8. Skydd av känsliga uppgifter
Från och med version 5.35 av den fasta programvaran kan lösenord krypteras med en egen nyckel i stället för standardalgoritmen. Andra lösenord använder fortfarande standardmetoden. Funktionen skyddar också mot att läsa användarlösenord från konfigurationsfiler med hjälp av hackerverktyg.
Underhåll > Filhanterare > Konfigurationsfil > Konfigurering > Skydd av känsliga data.
Anta att filen installeras på nytt på en brandvägg. Detta är endast möjligt med hjälp av nyckeln.