Belangrijke mededeling: |
Zyxel Firewall serie vanaf firmware versie 5.35
Een firewall is de eerste verdedigingslinie tegen aanvallers van het internet. Hij beschermt het lokale netwerk tegen ongeoorloofde toegang en is een essentieel onderdeel van een beveiligingsconcept. Maar wat als de firewall zelf het doelwit wordt van aanvallen van hackers en daardoor een potentiële bedreiging kan worden? De volgende gids is bedoeld om informatie te verstrekken over hoe mogelijkheden die kunnen worden beperkt, kunnen worden aangevallen.
1. Beleidscontrole
2. Anomaliedetectie en -preventie
3. Beheer op afstand via HTTPS
4. Twee-factor-authenticatie
5. Waarschuwingslogboeken
6. Automatische Firmware Updates
7. Bescherming van gevoelige gegevens
1. Beleidscontrole
Zo weinig mogelijk gebruikers moeten toegang hebben tot de firewall. Om dit te garanderen is het raadzaam de toegangsrechten zoveel mogelijk te beperken.
Configuratie > Beveiligingsbeleid > Beleidscontrole
ZyWALL zone neemt een bijzondere rol in. Ze bevat alle interface-adressen van de firewall. Alleen voor deze zone kunnen regels worden aangemaakt.
Bijvoorbeeld, het standaard adres 192.168.1.1 behoort niet tot de LAN1 zone maar tot de ZyWALL zone.
Met de standaardinstellingen is de toegang tot de firewall grotendeels open. Daarom moeten deze verder worden beperkt.
Beperken van beleidsregels
Firewall regels kunnen worden beperkt op basis van verschillende criteria. Voornamelijk drie criteria zijn nuttig voor de toegang tot de firewall:
1. IPv4 bron (adresobjecten)
2. dienst
3. gebruiker
Deze elementen worden aangemaakt als objecten.
Adres-objecten
Er zijn in principe drie soorten adresobjecten. Deze zijn:
1. IP-adressen
2. FQDN-adressen
3. GeoIP adressen
Adresobjecten kunnen worden gegroepeerd. Het is echter niet mogelijk verschillende soorten adressen door elkaar te gebruiken.
Configuratie > Object > Adres/Geo IP > Adres
1.1 IP-adressen
IP-adressen moeten zoveel mogelijk worden gebruikt, omdat ze uniek zijn. Er zijn verschillende soorten IP-adressen:
1. host > dit beschrijft een enkel IP-adres
2. bereik > dit kan elk bereik zijn dat wordt gedefinieerd door het begin- en eindadres
3. subnet > dit kan worden gecreëerd door een subnetmasker of CIDR (bijv. /24) in te voeren
4. interface IP > neemt het IP-adres van een interface over en past zich dynamisch aan
5. interface subnet > neemt dynamisch het subnet van een interface over
6. interface gateway > neemt de gateway over van een interface van het type WAN of algemeen.
Host, Range, Subnet
De adrestypes Host, Range en Subnet zijn bijzonder geschikt als IPv4-bronnen. Bij toegang vanaf het WAN wordt het openbare IP-adres van het externe station opgegeven.
Vanuit een LAN kunnen deze objecten worden gebruikt om groepen met verschillende bevoegdheden aan te maken.
Interface IP
Dit object kan worden gebruikt als de toegang alleen op een bepaald IP-adres mogelijk is. Als er bijvoorbeeld 2 WAN-interfaces zijn, maar een dienst slechts op één interface beschikbaar mag zijn, kan het interface-IP in de beleidsregel als IPv4-bestemming worden ingevoerd.
Interface Subnet
Dit adrestype is geschikt als er uniforme regels moeten worden aangemaakt voor een lokale interface (bijv. LAN1).
Interface Gateway
Dit adrestype is niet relevant voor toegang tot de firewall.
2. FQDN-objecten
Met FQDN-objecten kan een naam worden ingevoerd in plaats van een IP-adres, bijv. www,mydomain.com. Dit invoertype is vooral geschikt als de toegang vanaf het WAN plaatsvindt en het externe station geen statisch openbaar IP-adres heeft. In plaats van het IP-adres kan in dit geval een DynDNS-naam worden gebruikt. Voor FQDN-objecten is een snelle DNS-server nodig. Jokertekens zoals *.mydomain.com zijn ook mogelijk. Deze kunnen echter niet voor dit doel worden gebruikt.
1.2 FQDN-objecten
Bij FQDN-objecten kan in plaats van een IP-adres een naam worden ingevoerd, bijv. www,mydomain.com. Dit invoertype is vooral geschikt als de toegang vanuit het WAN plaatsvindt en het externe station geen statisch openbaar IP-adres heeft. In plaats van het IP-adres kan in dit geval een DynDNS-naam worden gebruikt. Voor FQDN-objecten is een snelle DNS-server nodig. Jokertekens zoals *.mydomain.com zijn ook mogelijk. Deze kunnen echter niet voor dit doel worden gebruikt.
Geo IP-adressen
Geo IP kan worden gebruikt om een land of regio-gebaseerde objecten te creëren. De dienst maakt gebruik van een externe database en moet regelmatig worden bijgewerkt. Geo IP biedt geen betrouwbare bescherming, omdat het bronadres zeer gemakkelijk kan worden gemanipuleerd met behulp van vrij beschikbare VPN-diensten.
Dienstobjecten
Dienstobjecten worden gebruikt om te definiëren welke diensten toegang wordt verleend of geweigerd in de beleidscontrole-instellingen. De diensten kunnen worden gegroepeerd. De diensten kunnen ook elders worden gebruikt, bijv. in beleidsroutes en NAT-items.
Naast de standaard dienstobjecten zijn er enkele bijzondere objecten. Dit zijn de objecten "Wiz_2FA, Wiz_HTTP, Wiz_HTTPS en Wiz_SSLVPN". De poort van deze diensten past zich automatisch aan wanneer deze opnieuw wordt gedefinieerd in het bijbehorende menu.
Configuratie > Object > Dienst
Gebruiker
Configuratie > Object > Gebruiker
Er zijn verschillende soorten gebruikers.
Admin - kan wijzigingen aanbrengen in de configuratie
Limited-admin - heeft toegang tot de configuratie maar kan geen wijzigingen aanbrengen
Gebruiker - kan zich authenticeren met 2FA
Gast - kan inloggen op de firewall
Ext-user/ext-group-user - kan zich aanmelden bij een externe server.
Ingebouwde gebruikers zijn vooraf gedefinieerde gebruikers die niet kunnen worden verwijderd en bedoeld zijn voor specifieke doeleinden.
Gebruikers moeten zo worden gedefinieerd dat zij alleen de noodzakelijke rechten hebben.
Doorgaans worden VPN- of 802.1x-gebruikers gedefinieerd als gebruikers van het type Gebruiker.
Inlogbeveiliging
Definieert of en in welke periode wachtwoorden moeten worden gewijzigd en of wachtwoordcomplexiteit vereist is.
Instellingen voor gebruikersaanmelding
Bepaalt hoe vaak een gebruiker tegelijkertijd kan inloggen. Als de limiet is ingesteld op "1", kan een beheerder zichzelf uitsluiten.
Gebruikers IP uitsluiting instellingen
Hiermee wordt bepaald hoe vaak een verkeerde invoer van het wachtwoord wordt toegestaan, totdat de gebruiker voor een bepaalde periode wordt geblokkeerd. Deze instelling beschermt tegen brute force attacks.
Aanbevolen regels voor beleidscontrole
Van: WAN Naar: ZyWALL
Het wordt sterk aanbevolen om alle diensten die niet specifiek nodig zijn af te sluiten.
Vaak benodigde diensten:
IPSec VPN (IKEv1, IKEv2, L2TP):
ESP, IKE, NATT, (L2TP-UDP).
SSL VPN:
Wiz_SSLVPN
2-factor authenticatie voor VPN:
Wiz_2FA
Toegang op afstand via HTTP/HTTPS:
Wiz_HTTP, Wiz_HTTPS
Om beveiligingsrisico's zoveel mogelijk te vermijden, wordt beheer op afstand idealiter uitgevoerd via IPSec VPN. De bronadressen moeten indien mogelijk worden beperkt. SSL VPN wordt niet aanbevolen, omdat dit een mogelijke aanvalsvector via SSL biedt.
Toegang op afstand via HTTPS:
Als toegang op afstand via HTTP/HTTPS vereist is, moet het bronadres altijd worden beperkt tot een IP-adres of FQDN. GeoIP als bronadres is niet veilig en biedt een aanzienlijk aanvalspotentieel. Voor HTTPS-beheer wordt aanbevolen een alternatieve poort te gebruiken.
Van: VPN-zone Naar: ZyWALL (client-to-site)
Standaard staan alle poorten open. In de meeste gevallen zijn slechts enkele diensten nodig. Dit zijn bijvoorbeeld DNS en L2TP-UDP. Voor andere diensten moet de toegang worden geblokkeerd. Indien beheer op afstand via client-to-site VPN gewenst is, kan de toegang tot de firewall worden beperkt tot één gebruiker. Dit werkt echter alleen als de gebruiker al op de firewall is ingelogd toen de tunnel werd opgezet.
Van: LAN Naar: ZyWALL
Ook hier moeten de toegangsrechten worden beperkt. Volledige toegang tot de firewall mag alleen worden verleend aan een speciaal beheer-LAN of individuele beheerders-IP-adressen. Om sommige diensten correct te laten werken, moet toegang tot de firewall worden verleend. Dit omvat DNS, multicast, Radius-Auth, NetBIOS, SNMT, SSO, enz. Welke toegang daadwerkelijk nodig is, hangt sterk af van de netwerktopologie en de gebruikte technologieën.
2. Anomaliedetectie en -preventie (ADP)
Configuratie > Beveiligingsbeleid > ADP
ADP biedt bescherming tegen poortscans en ongewoon netwerkgedrag. Aanbevolen wordt ADP te activeren met het standaardprofiel van de WAN-zone. Bij problemen kunnen individuele aanpassingen aan het profiel worden gedaan.
In individuele gevallen kan ADP bepaalde diensten beïnvloeden. Dit geldt met name voor flooding-detectie. Daarom kan voor afzonderlijke diensten, bijv. NATT, de flooding-beveiliging worden uitgeschakeld. Een dergelijke instelling is alleen nuttig als zich problemen voordoen.
3. Beheer op afstand via HTTPS
Sommige specifieke instellingen in de WWW-instellingen hebben een directe invloed op de veiligheid van het systeem.
Configuratie > Systeem > WWW
Serverpoort
De standaardpoort 443 mag niet worden gebruikt voor beheer op afstand, omdat deze bij geautomatiseerde aanvallen altijd wordt gescand. Vaak gebruikte alternatieve poorten (bijv. 8443) zijn ook niet ideaal.
HTTP omleiden naar HTTPS
Alle HTTP-oproepen naar de GUI worden omgeleid naar HTTPS. Let op. Deze instelling mag niet worden ingeschakeld als Web Authentication wordt gebruikt. In alle andere gevallen moet deze optie worden ingeschakeld.
Beheerdersdienst controle
Hier kunt u instellen wie beheerderstoegang mag hebben tot de firewall. U kunt het best de toegang beperken tot individuele IP-adressen. Alleen IP-adressen zijn toegestaan als adresobjecten. Als laatste regel (hier regel 5) moet een ALL/ALL/deny regel worden aangemaakt. Bij het aanmaken van de regel moet zorgvuldig te werk worden gegaan om jezelf niet uit te sluiten. Daarom moeten de accept regels worden aangemaakt voordat de deny regel als laatste wordt aangemaakt.
Gebruikersdienstregeling
De User Service Control bepaalt welke clients zich kunnen authenticeren bij de firewall.
De regel is relevant voor SSL-VPN, 2-FA, VPN Configuratievoorziening en WEB-Authenticatie.
Als deze niet wordt gebruikt, kan ook een weigeringsregel worden ingesteld.
Klantcertificaten authenticeren
Als de optie Authenticate Client Certificate is ingeschakeld, moet de client zichzelf autoriseren met een geldig certificaat. Anders wordt een verbinding geweigerd. Dit geldt voor toegang via HTTPS en SSL VPN. VPN Configuration_Profisioning with SecuExtender werkt niet als deze optie is ingeschakeld. Het oproepen van het 2FA venster is echter nog steeds mogelijk zonder certificaat.
Om een certificaat door de firewall te laten vertrouwen, moet de vertrouwensketen van de certificaatautoriteit geïnstalleerd zijn. Dit omvat meestal een root- en tussencertificaat. De firewall vertrouwt elk certificaat met een geldige certificaatketen, evenals zijn eigen zelfondertekende certificaten. Er zij op gewezen dat sommige browsers zelfondertekende certificaten principieel afwijzen (momenteel Firefox-browsers). Het cliëntcertificaat hoeft niet op de firewall geïnstalleerd te zijn.
Configuratie > Object > Certificaat > Vertrouwde certificaten
4. Diensten voor beheer op afstand
Configuratie > Systeem
Er zijn verschillende diensten op de firewall die zelden of nooit nodig zijn. Deze diensten kunnen volledig worden uitgeschakeld.
SSH
Deze dienst kan bijvoorbeeld worden gebruikt wanneer configuratiewijzigingen worden uitgevoerd met een automatisch script. Als SSH niet regelmatig wordt gebruikt voor beheer, kan de dienst worden uitgeschakeld. De webconsole kan ook worden gebruikt in plaats van SSH voor CLI-invoer.
TELNET
Deze is in de meeste gevallen niet nodig en kan worden uitgeschakeld.
FTP
Via FTP kan bijvoorbeeld de firmware worden bijgewerkt of kunnen configuratiebestanden worden gedownload. FTP moet geactiveerd zijn als HA-Pro in gebruik is. Als dit niet het geval is, kan FTP worden gedeactiveerd. Als de service sporadisch nodig is, kan deze tijdelijk worden geactiveerd.
SNMPTDeservice is nodig voor netwerkbewaking en is vereist voor oplossingen als PRTG. Als het netwerk niet wordt bewaakt, kan de dienst worden gedeactiveerd.
ZON
Maakt informatie-uitwisseling mogelijk met naburige apparaten (model, naam, firmware, MAC-adres, IP-adres) via LLDP en met de Zyxel-software ZON in hetzelfde LAN. De dienst is niet vereist voor normaal gebruik.
VPN
IPSec site-to-site VPN
Bij het gebruik van site-to-site tunnels moet waar mogelijk een peer gateway-adres worden ingevoerd. Als de externe site een dynamisch IP-adres heeft, kan ook een DynDNS-naam worden gebruikt. Een DynDNS-naam kan ook worden gebruikt als de externe site zich achter een NAT/CG-NAT bevindt. In dit geval is het belangrijk dat de verbinding vanaf de andere kant tot stand wordt gebracht en dat de DynDNS-dienst het openbare IP-adres synchroniseert.
Voor de authenticatie is een certificaat beter dan een PSK. Er moet rekening worden gehouden met het volgende:
1. Het gebruikte certificaat kan een Self-Signed Certificate zijn, maar moet aan de remote kant worden opgeslagen onder "Trusted Certificates".
2. Aan beide zijden wordt een eigen certificaat aangemaakt
3. Het lokale ID-type wordt overgenomen van het certificaat en moet identiek worden ingevoerd als de peer-ID aan de andere kant.
4. De aanbeveling voor de maximale SA-levensduur is 86400 seconden in de VPN-gateway en 14400 seconden in de VPN-verbinding.
5. De volgende instellingen worden aanbevolen als minimum voor VPN-encryptie: AES256 / SHA256 / DH15. Dit zowel in de VPN-gateway als in de VPN-verbinding.
Extended Authentication Protocol is ook mogelijk voor site-to-site tunnels. De geregistreerde gebruiker is echter niet ingelogd op de firewall wanneer de verbinding tot stand wordt gebracht.
IPSec Client-to-site VPN
Voor client-to-site VPN wordt IKEv2 met het certificaat en het Extended Authentication Protocol aanbevolen.
Configuratie Payload is verplicht in de VPN-verbinding.
Nadat de verbinding tot stand is gebracht, wordt de client met de gebruiker aangemeld bij de firewall. Voor elke beheerderstoegang tot de firewall kan de overeenkomstige admin-gebruiker dus worden opgeslagen in de beleidscontrole.
L2TP-VPN
Het gebruik van een L2TP-VPN wordt niet aanbevolen. In plaats daarvan kan IKEv2 worden gebruikt.
SSL VPN
Vanwege de prestaties en mogelijke veiligheidsproblemen wordt SSL VPN niet aanbevolen. Aangezien dit echter populair is vanwege het configuratiegemak, dient het volgende te worden overwogen:
Configuratie > VPN > SSL VPN > Globale instelling.
Het gebruik van een aparte poort voor SSL VPN is verplicht. In geen geval mag poort 443 worden gebruikt.
De beveiliging wordt aanzienlijk verhoogd door het gebruik van een certificaat voor authenticatie. De configuratie wordt beschreven onder "Remote Management via HTTPS > Authenticate Client Certificate".
In de Policy Control is het raadzaam om het Source IP voor de toegang van WAN naar ZyWALL voor de dienst Wiz_SSLVPN te beperken. Ten minste tot een GeoIP, beter tot een FQDN of een IP-adres.
Ook kan de beheerderstoegang tot de firewall vanuit de SSL-VPN zone worden beperkt tot de admin gebruiker. Dit is mogelijk omdat de gebruiker al inlogt op de firewall tijdens het opzetten van de tunnel.
Gewone gebruikers hebben geen toegang tot de firewall nodig vanuit de SSL-VPN-zone. Het is voldoende als typische diensten zoals DNS hier worden toegestaan.
5. Twee-factor-authenticatie
Twee-factor authenticatie wordt aanbevolen voor Admin Access, bij voorkeur met Google Authenticator.
De setup voor 2FA moet voor elke gebruiker apart worden gedaan. De methode Google Authenticator wordt aanbevolen. Merk op dat gebruikers die geen 2FA hebben ingesteld nog steeds kunnen inloggen zonder extra authenticatie. Daarom biedt 2FA slechts een beperkte bescherming.
2FA kan ook voor VPN-toegang geactiveerd worden.
Zur Authentifizierung wird immer ein eigener Port verwendet (Objekt Wiz_2FA).
Er zijn verschillende methoden voorhanden om een link aan te maken. Schlussendlich wird jedoch bei allen Methoden ein Link auf das WEB-GUI aufgerufen.
Aangezien de WEB-GUI voor 2FA vanuit het WAN erreichbar moet zijn, bestaat hier ook een potentieel risico. Op deze basis is deze functie met een luisterend oor te gebruiken.
Hoe u twee-factor authenticatie instelt, staat beschreven in ons andere artikel:
Tweefactorauthenticatie met Google Authenticator voor beheerderstoegang.
6. Waarschuwingslogboeken
Voor sommige opties kan het nuttig zijn om een waarschuwingslogboek in te stellen. In dit geval kan er onmiddellijk een e-mailnotificatie worden geactiveerd wanneer een gebeurtenis plaatsvindt. Dit is bijvoorbeeld zinvol wanneer een beheerder inlogt, vooral voor firewalls die slechts met onregelmatige tussenpozen worden gecontroleerd.
Configuratie > Logboek & Rapportage > Logboekinstellingen
7. Automatische Firmware Updates
Er moet altijd voor worden gezorgd dat de firmware van de firewall up-to-date is. Voor systemen die actief worden onderhouden, kunnen updates handmatig worden uitgevoerd. In werkelijkheid wordt dit echter vaak verwaarloosd en worden firewalls met bekende beveiligingsproblemen gedurende een lange periode niet bijgewerkt.
Vooral in dit soort omgevingen is het om veiligheidsredenen raadzaam om automatische updates te activeren.
Onderhoud > Bestandsbeheer > Firmwarebeheer
8. Bescherming van gevoelige gegevens
Vanaf firmwareversie 5.35 kunnen wachtwoorden worden gecodeerd met een aangepaste sleutel in plaats van het standaardalgoritme. Andere wachtwoorden gebruiken nog steeds de standaardmethode. De functie beschermt ook tegen het lezen van gebruikerswachtwoorden uit configuratiebestanden met behulp van hackingtools.
Onderhoud > Bestandsbeheer > Configuratiebestand > Configuratie > Bescherming gevoelige gegevens
Stel dat het bestand opnieuw wordt geïnstalleerd op een firewall. Dit kan alleen met de sleutel.
Opmerkingen
0 opmerkingenU moet u aanmelden om een opmerking te plaatsen.