Önemli Uyarı: |
Zyxel Firewall serisi ürün yazılımı sürüm 5.35'ten
Güvenlik duvarı, internetten gelen saldırganlara karşı ilk savunma hattıdır. Yerel ağı yetkisiz erişime karşı korur ve güvenlik konseptinin önemli bir parçasıdır. Ancak ya güvenlik duvarının kendisi hacker saldırılarının hedefi haline gelirse ve bu nedenle potansiyel bir tehdit haline gelebilirse? Aşağıdaki kılavuz, kısıtlanabilecek olasılıklara nasıl saldırılacağı hakkında bilgi vermeyi amaçlamaktadır.
1. Politika Kontrolü
2. Anomali Tespiti ve Önleme
3. HTTPS ile Uzaktan Yönetim
4. İki Faktörlü Kimlik Doğrulama
5. Uyarı Günlükleri
6. Otomatik Ürün Yazılımı Güncellemeleri
7. Hassas Verilerin Korunması
1. Politika Kontrolü
Güvenlik duvarına gerektiği kadar az sayıda kullanıcının erişimi olmalıdır. Bunu sağlamak için erişim haklarının mümkün olduğunca kısıtlanması tavsiye edilir.
Yapılandırma > Güvenlik Politikası > Politika Kontrolü
ZyWALL bölgesi özel bir rol üstlenir. Güvenlik duvarının tüm arayüz adreslerini içerir. Yalnızca bu bölge için kurallar oluşturulabilir.
Örneğin, varsayılan 192.168.1.1 adresi LAN1 bölgesine değil, ZyWALL bölgesine aittir.
Varsayılan ayarlarla, güvenlik duvarına erişim çoğunlukla açıktır. Bu nedenle, bunlar daha fazla kısıtlanmalıdır.
İlke Kontrol Kurallarını Kısıtlama
Güvenlik duvarı kuralları çeşitli kriterlere göre kısıtlanabilir. Temel olarak üç kriter güvenlik duvarı erişimi için faydalıdır:
1. IPv4 kaynağı (adres nesneleri)
2. Hizmet
3. Kullanıcı
Bu öğeler nesne olarak oluşturulur.
Adres-nesneleri
Temel olarak üç tür adres nesnesi vardır. Bunlar
1. IP adresleri
2. FQDN adresleri
3. GeoIP adresleri
Adres nesneleri gruplandırılabilir. Ancak, farklı adres türlerini karıştırmak mümkün değildir.
Yapılandırma > Nesne > Adres/Geo IP > Adres
1.1 IP adresleri
IP adresleri benzersiz oldukları için mümkün olduğunca kullanılmalıdır. Çeşitli IP adresi türleri vardır:
1. ana bilgisayar > bu tek bir IP adresini tanımlar
2. aralık > Bu, başlangıç ve bitiş adresi ile tanımlanan herhangi bir aralık olabilir
3. alt ağ > bu, bir alt ağ maskesi veya CIDR (örn. /24) girilerek oluşturulabilir
4. arayüz IP > bir arayüzün IP adresini devralır ve dinamik olarak uyarlar
5. arayüz alt ağı > bir arayüzün alt ağını dinamik olarak devralır
6. arayüz ağ geçidi > WAN veya genel türdeki bir arayüzün ağ geçidini devralır.
Ana Bilgisayar, Aralık, Alt Ağ
Ana Bilgisayar, Aralık ve Alt Ağ adres türleri özellikle IPv4 kaynakları olarak uygundur. Erişim WAN'dan yapılıyorsa, uzak istasyonun genel IP adresi belirtilir.
Bir LAN'dan, bu nesneler farklı yetkilere sahip gruplar oluşturmak için kullanılabilir.
Arayüz IP
Bu nesne, erişim yalnızca belirli bir IP adresi üzerinden mümkünse kullanılabilir. Örneğin, 2 WAN arayüzü varsa, ancak bir hizmetin yalnızca bir arayüzde kullanılabilir olması gerekiyorsa, arayüz IP'si ilke kontrol kuralına IPv4 hedefi olarak girilebilir.
Arayüz Alt Ağı
Bu adres türü, yerel bir arayüz (örneğin LAN1) için tek tip kurallar oluşturulacaksa uygundur.
Arayüz Ağ Geçidi
Bu adres türü güvenlik duvarına erişim için uygun değildir.
2. FQDN nesneleri
FQDN nesneleri ile IP adresi yerine bir isim girilebilir, örneğin www,mydomain.com. Bu giriş türü özellikle erişim WAN'dan yapılıyorsa ve uzak istasyonun statik bir genel IP adresi yoksa uygundur. Bu durumda IP adresi yerine bir DynDNS adı kullanılabilir. FQDN nesneleri için hızlı bir DNS sunucusu gereklidir. .mydomain.com gibi joker karakter girişleri de mümkündür. Ancak bunlar bu amaç için kullanılamaz.
1.2 FQDN nesneleri
FQDN nesneleri ile IP adresi yerine bir isim girilebilir, örneğin www,mydomain.com. Bu giriş türü özellikle erişim WAN'dan yapılıyorsa ve uzak istasyonun statik bir genel IP adresi yoksa uygundur. Bu durumda IP adresi yerine bir DynDNS adı kullanılabilir. FQDN nesneleri için hızlı bir DNS sunucusu gereklidir. .mydomain.com gibi joker karakter girişleri de mümkündür. Ancak bunlar bu amaç için kullanılamaz.
Coğrafi IP adresleri
Geo IP, ülke veya bölge tabanlı nesneler oluşturmak için kullanılabilir. Hizmet harici bir veritabanı kullanır ve düzenli olarak güncellenmelidir. Geo IP güvenilir bir koruma sunmaz, çünkü kaynak adresi serbestçe kullanılabilen VPN hizmetleri kullanılarak çok kolay bir şekilde manipüle edilebilir.
Hizmet nesneleri
Hizmet nesneleri, ilke kontrol ayarlarında hangi hizmetlere erişim izni verildiğini veya reddedildiğini tanımlamak için kullanılır. Hizmetler gruplandırılabilir. Hizmetler başka yerlerde de kullanılabilir, örneğin politika rotalarında ve NAT girişlerinde.
Standart hizmet nesnelerine ek olarak, bazı özel nesneler de vardır.Bunlar "Wiz_2FA, Wiz_HTTP, Wiz_HTTPS ve Wiz_SSLVPN" nesneleridir. Bu hizmetlerin bağlantı noktası, ilgili menüde yeniden tanımlandığında otomatik olarak uyarlanır.
Yapılandırma > Nesne > Hizmet
Kullanıcı
Yapılandırma > Nesne > Kullanıcı
Farklı kullanıcı türleri vardır.
Yönetici - yapılandırmada değişiklik yapabilir
Limited-admin - yapılandırmaya erişebilir ancak herhangi bir değişiklik yapamaz
Kullanıcı - 2FA kullanarak kimlik doğrulaması yapabilir
Misafir - güvenlik duvarında oturum açabilir
Ext-user/ext-group-user - harici bir sunucuda kimlik doğrulaması yapabilir.
Yerleşik kullanıcılar, silinemeyen ve belirli amaçlara yönelik önceden tanımlanmış kullanıcılardır.
Kullanıcılar yalnızca gerekli izinlere sahip olacak şekilde tanımlanmalıdır.
Tipik olarak, VPN veya 802.1x kullanıcıları kullanıcı tipi Kullanıcılar olarak tanımlanır.
Oturum Açma Güvenliği
Parolaların değiştirilip değiştirilmeyeceğini ve hangi dönemde değiştirileceğini ve parola karmaşıklığının gerekli olup olmadığını tanımlar.
Kullanıcı Giriş Ayarları
Bir kullanıcının aynı anda kaç kez oturum açabileceğini tanımlar. Sınır "1" olarak ayarlanırsa, bir yönetici kendini kilitleyebilir.
Kullanıcı IP Kilitleme Ayarları
Girişler, kullanıcı belirli bir süre için engellenene kadar ne sıklıkta yanlış şifre girişine izin verileceğini tanımlar. Bu ayar kaba kuvvet saldırılarına karşı koruma sağlar.
Önerilen İlke Kontrol Kuralları
Kimden WAN'a ZyWALL
Özellikle ihtiyaç duyulmayan tüm hizmetlerin kapatılması şiddetle tavsiye edilir.
Sıkça ihtiyaç duyulan hizmetler:
IPSec VPN (IKEv1, IKEv2, L2TP):
ESP, IKE, NATT, (L2TP-UDP).
SSL VPN:
Wiz_SSLVPN
VPN için 2 faktörlü kimlik doğrulama:
Wiz_2FA
HTTP/HTTPS üzerinden uzaktan erişim:
Wiz_HTTP, Wiz_HTTPS
Güvenlik risklerinden mümkün olduğunca kaçınmak için, uzaktan yönetim ideal olarak IPSec VPN üzerinden gerçekleştirilir. Kaynak adresler mümkünse kısıtlanmalıdır. SSL VPN, SSL üzerinden olası bir saldırı vektörü sunduğundan tavsiye edilmez.
HTTPS üzerinden uzaktan erişim:
HTTP/HTTPS üzerinden uzaktan erişim gerekiyorsa, kaynak adres her zaman bir IP adresi veya FQDN ile sınırlandırılmalıdır. Kaynak adres olarak GeoIP güvenli değildir ve saldırı için önemli bir potansiyel sunar. HTTPS yönetimi için alternatif bir bağlantı noktası kullanılması önerilir.
Kimden VPN bölgesi Kime: ZyWALL (istemciden siteye)
Varsayılan olarak, tüm bağlantı noktaları açıktır. Çoğu durumda, yalnızca birkaç hizmet gereklidir. Bunlar örneğin DNS ve L2TP-UDP'dir. Diğer hizmetler için erişim engellenmelidir. İstemciden siteye VPN aracılığıyla uzaktan yönetim isteniyorsa, güvenlik duvarına erişim bir kullanıcıyla sınırlandırılabilir. Ancak, bu yalnızca kullanıcı tünel kurulduğunda güvenlik duvarında zaten oturum açmışsa çalışır.
Kimden LAN Kime: ZyWALL
Ayrıca, burada erişim hakları sınırlandırılmalıdır. Güvenlik duvarına tam erişim sadece özel bir yönetim LAN'ına veya bireysel yönetici IP adreslerine verilmelidir. Bazı hizmetlerin düzgün çalışması için güvenlik duvarına erişim izni verilmelidir. Buna DNS, çok noktaya yayın, Radius-Auth, NetBIOS, SNMT, SSO vb. dahildir. Hangi erişimlerin etkin bir şekilde gerekli olduğu büyük ölçüde ağ topolojisine ve kullanılan teknolojilere bağlıdır.
2. Anomali Tespiti ve Önleme (ADP)
Yapılandırma > Güvenlik İlkesi > ADP
ADP, bağlantı noktası taramalarına ve olağandışı ağ davranışlarına karşı koruma sağlar. ADP'nin WAN bölgesinden varsayılan profille etkinleştirilmesi önerilir. Sorunlar ortaya çıkarsa profilde bireysel ayarlamalar yapılabilir.
Münferit durumlarda, ADP belirli hizmetleri etkileyebilir. Bu özellikle taşma tespiti için geçerlidir. Bu nedenle, örneğin NATT gibi münferit hizmetler için taşma koruması devre dışı bırakılabilir. Böyle bir ayar yalnızca sorun oluştuğunda yardımcı olur.
3. HTTPS ile Uzaktan Yönetim
WWW ayarlarındaki bazı özel ayarların sistem güvenliği üzerinde doğrudan etkisi vardır.
Yapılandırma > Sistem > WWW
Sunucu bağlantı noktası
Uzaktan yönetim için standart bağlantı noktası 443 kullanılmamalıdır çünkü bu bağlantı noktası otomatik saldırılar sırasında her zaman taranır. Sık kullanılan alternatif portlar da (örn. 8443) ideal değildir.
HTTP'yi HTTPS'ye Yönlendirin
GUI'ye yapılan tüm HTTP çağrıları HTTPS'ye yönlendirilir. Dikkat. Web Kimlik Doğrulaması kullanılıyorsa bu ayar etkinleştirilmemelidir. Diğer tüm durumlarda bu seçenek etkinleştirilmelidir.
Yönetici Hizmet Kontrolü
Burada, güvenlik duvarına kimlerin yönetici erişimine sahip olabileceğini ayarlayabilirsiniz. Erişimi tek tek IP adresleriyle kısıtlamanız sizin için en iyisi olacaktır. Adres nesnesi olarak yalnızca IP adreslerine izin verilir. Son kural olarak (burada kural 5), bir ALL/ALL/deny kuralı oluşturulmalıdır. Kendinizi dışarıda bırakmamak için kuralı oluştururken dikkatli olunmalıdır. Bu nedenle, kabul kuralları en son oluşturulan reddetme kuralından önce oluşturulmalıdır.
Kullanıcı Hizmet Kontrolü
Kullanıcı hizmeti denetimi, hangi istemcilerin güvenlik duvarında kimlik doğrulaması yapabileceğini tanımlar.
Kural SSL-VPN, 2-FA, VPN Yapılandırma Sağlama ve WEB-Kimlik Doğrulama ile ilgilidir.
Bu kullanılmazsa, bir reddetme kuralı da ayarlanabilir.
İstemci Sertifikalarını Doğrulama
İstemci Sertifikasını Doğrula seçeneği etkinleştirilirse, istemci geçerli bir sertifika ile kendini yetkilendirmelidir. Aksi takdirde bağlantı reddedilir. Bu, HTTPS ve SSL VPN üzerinden erişim için geçerlidir. VPN Configuration_Profisioning with SecuExtender bu seçenek etkinleştirilirse çalışmaz. Ancak, 2FA penceresini çağırmak sertifika olmadan da mümkündür.
Bir sertifikaya güvenlik duvarı tarafından güvenilebilmesi için, sertifika yetkilisinin güven zincirinin yüklenmiş olması gerekir. Bu genellikle bir kök ve ara sertifika içerir. Güvenlik duvarı, kendi kendinden imzalı sertifikalarının yanı sıra geçerli bir sertifika zincirine sahip her sertifikaya güvenir. Bazı tarayıcıların kendinden imzalı sertifikaları prensip olarak reddettiğine dikkat edilmelidir (şu anda Firefox tabanlı tarayıcılar). İstemci sertifikasının güvenlik duvarına yüklenmesi gerekmez.
Yapılandırma > Nesne > Sertifika > Güvenilir Sertifikalar
4. Uzaktan yönetim hizmetleri
Yapılandırma > Sistem
Güvenlik duvarında nadiren ihtiyaç duyulan veya hiç ihtiyaç duyulmayan çeşitli hizmetler vardır.Bu hizmetler tamamen devre dışı bırakılabilir.
SSH
Örneğin, bu hizmet yapılandırma değişiklikleri otomatik bir komut dosyası ile gerçekleştirildiğinde kullanılabilir. SSH yönetim için düzenli olarak kullanılmıyorsa, hizmet devre dışı bırakılabilir. CLI girişi için SSH yerine Web Konsolu da kullanılabilir.
TELNET
Çoğu durumda gerekli değildir ve devre dışı bırakılabilir.
FTP
FTP aracılığıyla, örneğin ürün yazılımı güncellenebilir veya yapılandırma dosyaları indirilebilir. HA-Pro kullanımdaysa FTP etkinleştirilmelidir. Böyle bir durum söz konusu değilse, FTP devre dışı bırakılabilir. Hizmeteara sıra ihtiyaç duyulursa, geçici olarak etkinleştirilebilir.
SNMPHizmet, ağ izleme için gereklidir ve PRTG gibi çözümler için gereklidir.Ağ izlenmiyorsa, hizmet devre dışı bırakılabilir.
ZON
LLDP aracılığıyla komşu cihazlarla (model, ad, ürün yazılımı, MAC adresi, IP adresi) ve aynı LAN'daki Zyxel'in yazılımı ZON ile bilgi alışverişini sağlar. Servis düzenli çalışma için gerekli değildir.
VPN
IPSec Siteler Arası VPN
Siteden siteye tüneller kullanılırken, mümkün olduğunda bir eş ağ geçidi adresi girilmelidir. Uzak sitenin dinamik bir IP adresi varsa, bir DynDNS adı da kullanılabilir. Uzak site bir NAT/CG-NAT arkasındaysa bir DynDNS adı da kullanılabilir. Bu durumda, bağlantının uzak taraftan kurulması ve DynDNS hizmetinin genel IP adresini senkronize etmesi önemlidir.
Kimlik doğrulama için bir sertifika PSK'dan daha iyidir. Aşağıdakiler dikkate alınmalıdır:
1. Kullanılan sertifika Kendinden İmzalı Sertifika olabilir ancak uzak tarafta "Güvenilir Sertifikalar" altında saklanmalıdır.
2. Her iki tarafta da kendi sertifikası oluşturulur
3. Yerel kimlik türü sertifikadan alınır ve diğer taraftaki eş kimliği ile aynı şekilde girilmelidir.
Maksimum SA ömrü için öneri VPN ağ geçidinde 86400 saniye ve VPN bağlantısında 14400 saniyedir.
5. VPN şifrelemesi için minimum olarak aşağıdaki ayarlar önerilir: AES256 / SHA256 / DH15. Bu, VPN ağ geçidinin yanı sıra VPN bağlantısında da geçerlidir.
Siteden siteye tüneller için Genişletilmiş Kimlik Doğrulama Protokolü de mümkündür. Ancak, bağlantı kurulduğunda kayıtlı kullanıcı güvenlik duvarında oturum açmaz.
IPSec İstemciden Siteye VPN
İstemciden siteye VPN için, sertifika ve Genişletilmiş Kimlik Doğrulama Protokolü ile IKEv2 önerilir.
VPN bağlantısında Konfigürasyon Payload'u zorunludur.
Bağlantı kurulduktan sonra, istemci kullanıcı ile güvenlik duvarında oturum açar. Güvenlik duvarına herhangi bir yönetici erişimi için, ilgili yönetici kullanıcısı böylece politika kontrolünde saklanabilir.
L2TP-VPN
L2TP VPN kullanımı önerilmez. Bunun yerine IKEv2 kullanılabilir.
SSL VPN
Performans ve olası güvenlik sorunları nedeniyle SSL VPN önerilmez. Ancak, bu yapılandırma kolaylığı nedeniyle popüler olduğundan, aşağıdakiler dikkate alınmalıdır:
Yapılandırma > VPN > SSL VPN > Genel Ayar
SSL VPN için ayrı bir bağlantı noktası kullanılması zorunludur. Hiçbir koşulda 443 numaralı bağlantı noktası kullanılmamalıdır.
Kimlik doğrulama için bir sertifika kullanılarak güvenlik önemli ölçüde artırılır. Yapılandırma "HTTPS ile Uzaktan Yönetim > İstemci Sertifikasını Doğrulama" başlığı altında açıklanmaktadır.
Politika Kontrolünde, Wiz_SSLVPN hizmeti için WAN'dan ZyWALL'a erişim için Kaynak IP'nin kısıtlanması tavsiye edilir. En azından bir GeoIP'ye, daha iyisi bir FQDN'ye veya bir IP adresine.
Ayrıca, SSL-VPN bölgesinden güvenlik duvarına yönetici erişimi yönetici kullanıcısıyla sınırlandırılabilir. Bu mümkündür çünkü kullanıcı tünel kurulumu sırasında zaten güvenlik duvarında oturum açmaktadır.
Normal kullanıcıların SSL VPN bölgesinden güvenlik duvarına erişmesi gerekmez. DNS gibi tipik hizmetlere burada izin verilmesi yeterlidir.
5. İki Faktörlü Kimlik Doğrulama
Yönetici Erişimi için tercihen Google Authenticator ile iki faktörlü kimlik doğrulama önerilir.
2FA kurulumu her kullanıcı için ayrı ayrı yapılmalıdır. Google Authenticator yöntemi önerilir. 2FA kurulumu olmayan kullanıcıların ek kimlik doğrulama olmadan da oturum açabileceğini unutmayın. Bu nedenle, 2FA yalnızca sınırlı koruma sağlar.
2FA, VPN Erişimi için de etkinleştirilebilir.
Kimlik Doğrulama için her zaman bir eigener Bağlantı Noktası kullanılmalıdır (Objekt Wiz_2FA).
Ayrıca, bir Bağlantı nasıl gönderilirse gönderilsin, farklı Yöntemler de kullanılabilir. Ancak tüm yöntemlerde WEB-GUI'ye bir bağlantı gönderilir.
WAN üzerinden 2FA için WEB-GUI'nin erişilebilir olması gerekiyorsa, burada da potansiyel bir Angriffsrisiko söz konusudur. Aus diesem Grund ist diese Funktion mit Vorsicht zu geniessen.
İki faktörlü kimlik doğrulamanın nasıl kurulacağı diğer makalemizde açıklanmıştır:
Yönetici Erişimi için Google Authenticator ile İki Faktörlü Kimlik Doğrulama
6. Uyarı Günlükleri
Bazı seçenekler için bir uyarı günlüğü oluşturmak faydalı olabilir. Bu durumda, bir olay meydana geldiğinde hemen bir e-posta bildirimi tetiklenebilir. Bu, örneğin bir yönetici oturum açtığında, özellikle de yalnızca düzensiz aralıklarla izlenen güvenlik duvarları için anlamlıdır.
Yapılandırma > Günlük ve Rapor > Günlük Ayarları
7. Otomatik Ürün Yazılımı Güncellemeleri
Güvenlik duvarı ürün yazılımının güncel olduğundan emin olmak için her zaman dikkatli olunmalıdır. Aktif olarak bakımı yapılan sistemler için güncellemeler manuel olarak gerçekleştirilebilir. Ancak gerçekte, genellikle bu ihmal edilir ve bilinen güvenlik açıklarına sahip güvenlik duvarları uzun bir süre boyunca güncellenmez.
Özellikle bu tür ortamlarda, güvenlik nedenleriyle otomatik güncellemelerin etkinleştirilmesi önerilir.
Bakım > Dosya Yöneticisi > Donanım Yazılımı Yönetimi
8. Hassas Verilerin Korunması
Ürün yazılımı sürümü 5.35'ten itibaren, parolalar varsayılan algoritma yerine özel bir anahtarla şifrelenebilir. Diğer parolalar hala varsayılan yöntemi kullanır. Bu işlev aynı zamanda kullanıcı parolalarının bilgisayar korsanlığı araçları yardımıyla yapılandırma dosyalarından okunmasına karşı da koruma sağlar.
Bakım > Dosya Yöneticisi > Yapılandırma Dosyası > Yapılandırma > Hassas Veri Koruması
Dosyanın bir güvenlik duvarına yeniden yüklendiğini varsayalım. Bu sadece anahtar ile mümkündür.
Kommentarer
0 kommentarerLogg på hvis du vil legge inn en kommentar.