USG/ATP/VPN - Podstawy zabezpieczania firewalla

Utworzono - Zaktualizowano
Serhii Boiarynov
Idea generator
Great answers
Master (Platinum)
Print Friendly and PDF
Masz więcej pytań? Wyślij zgłoszenie

Ważna uwaga:
Drogi kliencie, proszę pamiętać, że używamy tłumaczenia maszynowego, aby zapewnić artykuły w twoim lokalnym języku. Nie wszystkie teksty mogą być przetłumaczone dokładnie. W przypadku pytań lub rozbieżności dotyczących dokładności informacji w przetłumaczonej wersji, prosimy o przejrzenie oryginalnego artykułu tutaj:Wersja oryginalna

Zyxel Firewall seriesfrom firmware w wersji 5.35

Firewall jest pierwszą linią obrony przed napastnikami z Internetu. Chroni sieć lokalną przed nieautoryzowanym dostępem i jest istotną częścią koncepcji bezpieczeństwa. Co jednak, gdy sama zapora staje się celem ataków hakerów i tym samym może stać się potencjalnym zagrożeniem? Poniższy przewodnik ma na celu dostarczenie informacji o tym, jak atakować możliwości, które mogą być ograniczone.

1. Kontrola polityki.

2. Wykrywanie anomalii i zapobieganie im

3. Zdalne zarządzanie przez HTTPS

4. Uwierzytelnianie dwuskładnikowe

5. Logi alarmów

6. Automatyczne aktualizacje oprogramowania sprzętowego

7. Ochrona danych wrażliwych

1. Kontrola polityki

Dostęp do firewalla powinno mieć jak najmniej użytkowników. Aby to zapewnić, wskazane jest maksymalne ograniczenie praw dostępu.

Konfiguracja > Polityka bezpieczeństwa > Kontrola polityki
mceclip0.png

Strefa ZyWALL pełni szczególną rolę. Zawiera ona wszystkie adresy interfejsów w firewallu. Dla tej strefy można tworzyć tylko reguły.

Na przykład domyślny adres 192.168.1.1 nie należy do strefy LAN1, lecz do strefy ZyWALL.
mceclip1.png

Przy ustawieniach domyślnych dostęp do zapory jest głównie otwarty. Dlatego należy je dodatkowo ograniczyć.

Ograniczanie reguł kontroli polityki
Reguły zapory można ograniczyć na podstawie kilku kryteriów. Głównie trzy kryteria są pomocne w przypadku dostępu do zapory:
1. Źródło IPv4 (obiekty adresowe)
2. usługa
3. użytkownik

Elementy te tworzone są jako obiekty.

Adresy-obiekty
Istnieją zasadniczo trzy rodzaje obiektów adresowych. Są to:
1. Adresy IP
2. Adresy FQDN
3. Adresy GeoIP

Obiekty adresowe mogą być grupowane. Nie jest jednak możliwe mieszanie różnych typów adresów.

Konfiguracja > Obiekt > Adres/Geo IP > Adres

mceclip0.png

1.1 Adresy IP

Adresy IP powinny być używane zawsze, gdy jest to możliwe, ponieważ są one unikalne. Istnieje kilka typów adresów IP:

1. host > opisuje on pojedynczy adres IP
2. zakres > może to być dowolny zakres zdefiniowany przez adres początkowy i końcowy
3. podsieć > może być utworzona przez wprowadzenie maski podsieci lub CIDR (np. /24)
4. interface IP > przejmuje adres IP interfejsu i dostosowuje się dynamicznie
5. interface subnet > przejmuje dynamicznie podsieć interfejsu
6. interface gateway > przejmuje bramę interfejsu typu WAN lub ogólnego.

Host, Range, Subnet
Typy adresów Host, Range i Subnet są szczególnie odpowiednie jako źródła IPv4. Jeśli dostęp odbywa się z sieci WAN, wówczas podawany jest publiczny adres IP urządzenia abonenckiego.
Z sieci LAN można za pomocą tych obiektów tworzyć grupy z różnymi uprawnieniami.
IP interfejsu
Ten obiekt może być użyty, jeśli dostęp jest możliwy tylko na określonym adresie IP. Na przykład, jeżeli istnieją 2 interfejsy WAN, ale usługa powinna być dostępna tylko na jednym interfejsie, IP interfejsu może być wpisane w regule kontroli polityki jako IPv4 destination.
Interface Subnet
Ten typ adresu jest odpowiedni, gdy jednolite reguły mają być tworzone dla lokalnego interfejsu (np. LAN1).

Interface Gateway
Ten typ adresu nie ma znaczenia dla dostępu do zapory.
2. Obiekty FQDN
W przypadku obiektów FQDN zamiast adresu IP można wprowadzić nazwę, np. www,mydomain.com. Ten typ wpisu jest szczególnie przydatny, jeśli dostęp odbywa się z sieci WAN i stacja zdalna nie posiada statycznego publicznego adresu IP. Zamiast adresu IP można w tym przypadku zastosować nazwę DynDNS. Dla obiektów FQDN wymagany jest szybki serwer DNS. Możliwe są również wpisy wieloznaczne, takie jak *.mydomain.com. Nie mogą one jednak zostać użyte w tym celu.

1.2 Obiekty FQDN
W obiektach FQDN zamiast adresu IP można wpisać nazwę, np. www,mydomain.com. Ten typ wpisu jest szczególnie przydatny, jeśli dostęp odbywa się z sieci WAN i stacja zdalna nie posiada statycznego publicznego adresu IP. Zamiast adresu IP można w tym przypadku zastosować nazwę DynDNS. Dla obiektów FQDN wymagany jest szybki serwer DNS. Możliwe są również wpisy wieloznaczne, takie jak *.mydomain.com. Nie można ich jednak używać do tego celu.

Adresy Geo IP

mceclip1.png

Geo IP można wykorzystać do tworzenia obiektów opartych na kraju lub regionie. Usługa ta korzysta z zewnętrznej bazy danych i powinna być regularnie aktualizowana. Geo IP nie zapewnia niezawodnej ochrony, ponieważ adres źródłowy może być bardzo łatwo zmanipulowany przy użyciu swobodnie dostępnych usług VPN.

Obiekty usług

Obiekty usług służą do definiowania, którym usługom przyznaje się lub odmawia dostępu w ustawieniach kontroli polityki. Usługi mogą być grupowane. Usługi mogą być również wykorzystywane w innych miejscach, np. w trasach polityki i wpisach NAT.
Oprócz standardowych obiektów usługowych istnieją pewne szczególne obiekty. Są to obiekty "Wiz_2FA, Wiz_HTTP, Wiz_HTTPS i Wiz_SSLVPN". Port tych usług dopasowuje się automatycznie przy ponownym zdefiniowaniu w odpowiednim menu.

Konfiguracja > Obiekt > Usługa

mceclip2.png

Użytkownik
Konfiguracja > Obiekt > Użytkownik

Istnieją różne typy użytkowników.
Admin - może dokonywać zmian w konfiguracji
Limited-admin - ma dostęp do konfiguracji, ale nie może dokonywać żadnych zmian
Użytkownik - może uwierzytelniać się przy użyciu 2FA
Guest - może zalogować się na firewallu
Ext-user/ext-group-user - może uwierzytelniać się do zewnętrznego serwera.

Użytkownicy wbudowani to predefiniowani użytkownicy, których nie można usunąć i są przeznaczeni do określonych celów.

Użytkownicy powinni być zdefiniowani tak, aby mieli tylko niezbędne uprawnienia.
Zazwyczaj użytkownicy VPN lub 802.1x są zdefiniowani jako użytkownicy typu Users.
mceclip3.png

Login Security
Określa, czy i w jakim okresie hasła muszą być zmieniane oraz czy wymagana jest złożoność hasła.
User Login Settings
Określa ile razy użytkownik może się zalogować w tym samym czasie. Jeśli limit jest ustawiony na "1", administrator może się zablokować.
Ustawienia blokady IP użytkownika
Wpisy definiują, jak często dozwolone jest wprowadzenie błędnego hasła, dopóki użytkownik nie zostanie zablokowany na określony czas. To ustawienie chroni przed atakami typu brute force.

Zalecane reguły kontroli polityki
From: WAN Do: ZyWALL
Zdecydowanie zaleca się zamknięcie wszystkich usług, które nie są specjalnie potrzebne.
Często potrzebne usługi:
IPSec VPN (IKEv1, IKEv2, L2TP):
ESP, IKE, NATT, (L2TP-UDP).

SSL VPN:
Wiz_SSLVPN

2-factor authentication for VPN:
Wiz_2FA

Zdalny dostęp przez HTTP/HTTPS:
Wiz_HTTP, Wiz_HTTPS

Aby w miarę możliwości uniknąć zagrożeń bezpieczeństwa, zdalne zarządzanie najlepiej przeprowadzać przez IPSec VPN. Adresy źródłowe powinny być ograniczone, jeśli to możliwe. SSL VPN nie jest zalecany, ponieważ oferuje to możliwy wektor ataku przez SSL.

Zdalny dostęp przez HTTPS:
Jeśli wymagany jest zdalny dostęp przez HTTP/HTTPS, adres źródłowy powinien być zawsze ograniczony do adresu IP lub FQDN. GeoIP jako adres źródłowy nie jest bezpieczny i oferuje znaczny potencjał ataku. W przypadku zarządzania HTTPS zaleca się użycie alternatywnego portu.

From: Strefa VPN Do: ZyWALL (client-to-site)
Domyślnie wszystkie porty są otwarte. W większości przypadków wymaganych jest tylko kilka usług. Są to na przykład DNS i L2TP-UDP. Dla innych usług dostęp powinien być zablokowany. Jeśli pożądane jest zdalne zarządzanie przez client-to-site VPN, dostęp do firewalla można ograniczyć do jednego użytkownika. Działa to jednak tylko wtedy, gdy użytkownik ten zalogował się już do firewalla w momencie zestawiania tunelu.

Od: LAN Do: ZyWALL
Również tutaj należy ograniczyć prawa dostępu. Pełny dostęp do firewalla powinien być przyznany tylko specjalnej zarządzającej sieci LAN lub poszczególnym adresom IP administratorów. Aby niektóre usługi działały poprawnie, dostęp do firewalla musi być przyznany. Dotyczy to DNS, multicast, Radius-Auth, NetBIOS, SNMT, SSO itp. To, które dostępy są efektywnie wymagane, zależy w dużej mierze od topologii sieci i stosowanych technologii.

2. Wykrywanie i zapobieganie anomaliom (ADP)

Configuration > Security Policy > ADP
 ADPzapewnia ochronę przed skanowaniem portów i nietypowym zachowaniem sieci. Zalecane jest aktywowanie ADP z domyślnym profilem ze strefy WAN. W przypadku wystąpienia problemów można dokonać indywidualnych dostosowań profilu.

mceclip4.png

W pojedynczych przypadkach ADP może wpływać na niektóre usługi. Dotyczy to w szczególności wykrywania zalania. Z tego powodu ochrona przed zalaniem może być wyłączona dla poszczególnych usług, np. NATT. Takie ustawienie jest pomocne tylko w przypadku wystąpienia problemów.
mceclip5.png

3. Zdalne zarządzanie przez HTTPS

Niektóre konkretne ustawienia w ustawieniach WWW mają bezpośredni wpływ na bezpieczeństwo systemu.

Konfiguracja > System > WWW

Port serwera
Standardowy port 443 nie powinien być używany do zdalnego zarządzania, ponieważ jest on zawsze skanowany podczas automatycznych ataków. Często używane porty alternatywne (np. 8443) również nie są idealne.
Przekierowanie HTTP na HTTPS
Wszystkie wywołania HTTP do GUI są przekierowywane na HTTPS. Uwaga. Tego ustawienia nie wolno włączać, jeśli używane jest Web Authentication. We wszystkich innych przypadkach opcja ta powinna być włączona.

Admin Service Control (Kontrola usług administratora)
Tutaj możesz ustawić kto może mieć dostęp administratora do firewalla. Najlepiej byłoby ograniczyć dostęp do poszczególnych adresów IP. Jako obiekty adresowe dozwolone są tylko adresy IP. Jako ostatnia reguła (tutaj reguła 5) powinna zostać utworzona reguła ALL/ALL/deny. Podczas tworzenia reguły należy zachować ostrożność, aby nie zablokować sobie dostępu. Dlatego reguły accept muszą być tworzone przed regułą deny, która jest tworzona jako ostatnia.

Kontrola usługi użytkownika
Reguła user service control określa, którzy klienci mogą uwierzytelniać się na firewallu.
Reguła ta jest istotna dla SSL-VPN, 2-FA, VPN Configuration Provisioning i WEB-Authentication.
Jeśli nie jest ona używana, można również ustawić regułę deny.
Uwierzytelnianie certyfikatów klienta
Jeśli opcja Authenticate Client Certificate jest włączona, klient musi autoryzować się za pomocą ważnego certyfikatu. W przeciwnym razie połączenie zostanie odrzucone. Dotyczy to dostępu przez HTTPS i SSL VPN. VPN Configuration_Profisioning with SecuExtender nie działa, jeśli ta opcja jest włączona. Jednak wywołanie okna 2FA jest nadal możliwe bez certyfikatu.

Aby certyfikat był zaufany przez firewall, musi być zainstalowany łańcuch zaufania urzędu certyfikacji. Zwykle obejmuje to certyfikat główny i pośredni. Firewall ufa każdemu certyfikatowi z ważnym łańcuchem zaufania, a także własnym certyfikatom samopodpisanym. Należy zauważyć, że niektóre przeglądarki z zasady odrzucają certyfikaty samopodpisane (obecnie przeglądarki oparte na Firefoxie). Certyfikat klienta nie musi być zainstalowany na firewallu.

Konfiguracja > Obiekt > Certyfikat > Zaufane certyfikaty.

mceclip6.png

4. Usługi zdalnego zarządzania

Konfiguracja > System
Na zaporze znajduje się kilka usług, które są rzadko lub nigdy nie są potrzebne. Usługi te można całkowicie wyłączyć.

SSH
Na przykład usługa ta może być używana, gdy zmiany konfiguracji są wykonywane za pomocą automatycznego skryptu. Jeśli usługa SSH nie jest regularnie używana do administrowania, można ją wyłączyć. Zamiast SSH do wprowadzania CLI można również użyć konsoli Web Console.

mceclip7.png

TELNET
 Wwiększości przypadków nie jest potrzebna i może być wyłączona.

 FTP
Poprzez FTP można np. zaktualizować firmware lub pobrać pliki konfiguracyjne.FTP musi być aktywowany, jeśli używany jest HA-Pro. W przeciwnym razie FTP może zostać dezaktywowany. Jeśli usługa jest potrzebna sporadycznie, można ją aktywować tymczasowo.
SNMPUsługa tajest potrzebna do monitorowania sieci i jest wymagana dla rozwiązań takich jak PRTG. Jeśli sieć nie jest monitorowana, usługę można wyłączyć.
 ZON
Umożliwiawymianę informacji z sąsiednimi urządzeniami (model, nazwa, firmware, adres MAC, adres IP) poprzez LLDP, a także z oprogramowaniem Zyxel ZON w tej samej sieci LAN. Usługa nie jest wymagana do regularnej pracy.

VPN

IPSec Site-to-Site VPN
W przypadku korzystania z tuneli site-to-site należy w miarę możliwości wprowadzić adres bramy peer. Jeśli strona zdalna ma dynamiczny adres IP, można również użyć nazwy DynDNS. Nazwy DynDNS można również użyć, jeśli strona zdalna znajduje się za NAT/CG-NAT. W tym przypadku ważne jest, aby połączenie zostało nawiązane ze strony zdalnej i aby usługa DynDNS synchronizowała publiczny adres IP.

W przypadku uwierzytelniania, certyfikat jest lepszy niż PSK. Należy wziąć pod uwagę następujące kwestie:
1. Używany certyfikat może być Self-Signed Certificate, ale musi być przechowywany po stronie zdalnej w zakładce "Trusted Certificates".
2. Po obu stronach tworzony jest własny certyfikat
3. Lokalny typ ID jest pobierany z certyfikatu i musi być wprowadzony identycznie jak peer ID po drugiej stronie.
Zalecenie dotyczące maksymalnego czasu życia SA to 86400 sekund w bramie VPN i 14400 sekund w połączeniu VPN.
5. Zalecane są następujące ustawienia jako minimum dla szyfrowania VPN: AES256 / SHA256 / DH15. Dotyczy to zarówno bramy VPN, jak i w połączeniu VPN.
Protokół Extended Authentication Protocol jest również możliwy dla tuneli typu site-to-site. Jednak zarejestrowany użytkownik nie jest zalogowany na zaporze podczas nawiązywania połączenia.

mceclip8.png

IPSec Client-to-Site VPN
W przypadku sieci VPN client-to-site zalecane jest stosowanie IKEv2 z certyfikatem i Extended Authentication Protocol.

Configuration Payload jest obowiązkowy w połączeniu VPN.
mceclip9.png

Po nawiązaniu połączenia klient jest logowany do zapory za pomocą użytkownika. Dla każdego dostępu administratora do firewalla, odpowiedni użytkownik admin może być w ten sposób zapisany w policy control.

L2TP-VPN

Używanie L2TP VPN nie jest zalecane. Zamiast tego można użyć IKEv2.

SSL VPN
Ze względu na wydajność i możliwe problemy z bezpieczeństwem, SSL VPN nie jest zalecany. Ponieważ jednak jest to popularne rozwiązanie ze względu na łatwość konfiguracji, należy rozważyć, co następuje:

Konfiguracja > VPN > SSL VPN > Ustawienia globalne.

Użycie osobnego portu dla SSL VPN jest obowiązkowe. W żadnym wypadku nie należy używać portu 443.
mceclip10.png

Bezpieczeństwo jest znacznie zwiększone poprzez użycie certyfikatu do uwierzytelniania. Konfiguracja została opisana w punkcie "Remote Management via HTTPS > Authenticate Client Certificate".

W Policy Control warto ograniczyć Source IP dla dostępu z sieci WAN do ZyWALL dla usługi Wiz_SSLVPN. Przynajmniej na GeoIP, lepiej na FQDN lub adres IP.

Również dostęp administratora do firewalla ze strefy SSL-VPN można ograniczyć do użytkownika admin. Jest to możliwe, ponieważ użytkownik ten loguje się już do firewalla podczas konfiguracji tunelu.

Zwykli użytkownicy nie potrzebują dostępu do zapory ze strefy SSL VPN. Wystarczy, jeśli będą tu dozwolone typowe usługi, takie jak DNS.

5. Two-Factor-Authentication

Dla dostępu administratora zalecane jest uwierzytelnianie dwuczynnikowe, najlepiej za pomocą Google Authenticator.
Konfiguracja dla 2FA musi być wykonana osobno dla każdego użytkownika. Zalecana jest metoda Google Authenticator. Zauważ, że użytkownicy, którzy nie mają skonfigurowanego 2FA, mogą nadal logować się bez dodatkowego uwierzytelniania. Z tego powodu, 2FA oferuje tylko ograniczoną ochronę.

2FA może być również aktywowane dla dostępu VPN.

Do uwierzytelniania używany jest zawsze własny port (Objekt Wiz_2FA).

Istnieją również różne metody, jak można utworzyć łącze. W przypadku wszystkich metod, link do WEB-GUI zostanie umieszczony.

Da das WEB-GUI für 2FA aus dem WAN erreichbar sein muss, besteht hier auch ein potenzielles Angriffsrisiko. Aus diesem Grund ist diese Funktion mit Vorsicht zu geniessen.

Jak skonfigurować dwuskładnikowe uwierzytelnianie opisaliśmy w naszym innym artykule:

Two-Factor Authentication with Google Authenticator for Admin Access

6. Logi alertów

W przypadku niektórych opcji pomocne może być skonfigurowanie dziennika alertów. W tym przypadku powiadomienie e-mail może zostać uruchomione natychmiast po wystąpieniu zdarzenia. Ma to sens na przykład w przypadku logowania się administratora, zwłaszcza w przypadku zapór ogniowych, które są monitorowane tylko w nieregularnych odstępach czasu.

Konfiguracja > Dziennik i raporty > Ustawienia dziennika
mceclip12.png

7. Automatyczne aktualizacje oprogramowania sprzętowego

Należy zawsze dbać o to, aby oprogramowanie sprzętowe firewalla było aktualne. W przypadku systemów, które są aktywnie utrzymywane, aktualizacje można przeprowadzać ręcznie. W rzeczywistości jednak często zdarza się, że jest to zaniedbywane, a zapory ze znanymi lukami w zabezpieczeniach nie są aktualizowane przez dłuższy czas.
Szczególnie w środowiskach tego typu zaleca się aktywowanie automatycznych aktualizacji ze względów bezpieczeństwa.

Maintenance > File Manager > Firmware Management

mceclip13.png

8. Ochrona danych wrażliwych

Od wersji oprogramowania sprzętowego 5.35 hasła mogą być szyfrowane za pomocą klucza niestandardowego zamiast algorytmu domyślnego. Inne hasła nadal korzystają z metody domyślnej. Funkcja ta chroni również przed odczytaniem haseł użytkownika z plików konfiguracyjnych za pomocą narzędzi hakerskich.

Konserwacja > Menedżer plików > Plik konfiguracyjny > Konfiguracja > Ochrona wrażliwych danych

mceclip14.png

Załóżmy, że plik zostanie ponownie zainstalowany na zaporze. Jest to możliwe tylko przy użyciu klucza.

mceclip15.png

Artykuły w tej sekcji

Pokaż więcej
Czy ten artykuł był pomocny?
Liczba użytkowników, którzy uważają ten artykuł za przydatny: 2 z 2
Udostępnij

Komentarze

Komentarze: 0

Zaloguj się, aby dodać komentarz.