Aviz important: |
Seria Zyxel Firewallde la versiunea de firmware 5.35
Un firewall este prima linie de apărare împotriva atacatorilor de pe Internet. Acesta protejează rețeaua locală de accesul neautorizat și este o parte esențială a unui concept de securitate. Dar ce se întâmplă dacă firewall-ul însuși devine ținta atacurilor hackerilor și, prin urmare, poate deveni o potențială amenințare? Următorul ghid este menit să ofere informații despre cum se pot ataca posibilitățile care pot fi restricționate.
1. Controlul politicilor
2. Detectarea și prevenirea anomaliilor
3. Management de la distanță prin HTTPS
4. Autentificare cu doi factori
5. Jurnale de alertă
6. Actualizări automate ale firmware-ului
7. Protecția datelor sensibile
1. Controlul politicilor
Un număr cât mai mic de utilizatori, în funcție de necesități, trebuie să aibă acces la firewall. Pentru a asigura acest lucru, este recomandabil să se restrângă cât mai mult posibil drepturile de acces.
Configurație > Politică de securitate > Controlul politicii
Zona ZyWALL își asumă un rol special. Aceasta conține toate adresele de interfață ale firewall-ului. Pentru această zonă pot fi create numai reguli.
De exemplu, adresa implicită 192.168.1.1.1 nu aparține zonei LAN1, ci zonei ZyWALL.
Cu setările implicite, accesul la firewall este în principal deschis. Prin urmare, acestea ar trebui să fie restricționate în continuare.
Restricționarea regulilor de control al politicilor
Regulile firewall-ului pot fi restricționate pe baza mai multor criterii. În principal, trei criterii sunt utile pentru accesul la firewall:
1. Sursa IPv4 (obiecte de adrese)
2. serviciul
3. utilizator
Aceste elemente sunt create ca obiecte.
Obiecte de adresă
În principiu, există trei tipuri de obiecte de adrese. Acestea sunt:
1. Adrese IP
2. Adrese FQDN
3. Adrese GeoIP
Obiectele de adrese pot fi grupate. Cu toate acestea, nu este posibil să se amestece diferite tipuri de adrese.
Configurație > Obiect > Adresă/Geo IP > Adresă
1.1 Adrese IP
Adresele IP ar trebui să fie utilizate ori de câte ori este posibil, deoarece sunt unice. Există mai multe tipuri de adrese IP:
1. host > aceasta descrie o singură adresă IP
2. interval > acesta poate fi orice interval definit de adresa de început și de sfârșit
3. subrețea > aceasta poate fi creată prin introducerea unei măști de subrețea sau CIDR (de exemplu, /24)
4. interfață IP > preia adresa IP a unei interfețe și se adaptează dinamic
5. interface subnet > preia în mod dinamic subnetul unei interfețe
6. interface gateway > preia gateway-ul unei interfețe de tip WAN sau general.
Gazdă, Interval, Subnet
Tipurile de adrese Host, Range și Subnet sunt deosebit de potrivite ca surse IPv4. Dacă accesul se face din WAN, se specifică adresa IP publică a stației la distanță.
Dintr-o rețea locală, aceste obiecte pot fi utilizate pentru a crea grupuri cu autorizații diferite.
Interface IP
Acest obiect poate fi utilizat în cazul în care accesul este posibil numai pe o anumită adresă IP. De exemplu, dacă există 2 interfețe WAN, dar un serviciu trebuie să fie disponibil doar pe o singură interfață, IP-ul interfeței poate fi introdus în regula de control al politicii ca destinație IPv4.
Interfața Subnet
Acest tip de adresă este potrivit dacă trebuie create reguli uniforme pentru o interfață locală (de exemplu, LAN1).
Interface Gateway (Interfață gateway)
Acest tip de adresă nu este relevant pentru accesul la firewall.
2. Obiecte FQDN
Cu obiectele FQDN se poate introduce un nume în locul unei adrese IP, de exemplu www,mydomain.com. Acest tip de intrare este deosebit de potrivit în cazul în care accesul se face din WAN și stația la distanță nu are o adresă IP publică statică. În acest caz, se poate utiliza un nume DynDNS în locul adresei IP. Pentru obiectele FQDN, este necesar un server DNS rapid. Sunt posibile și intrări cu caractere wildcard, cum ar fi *.mydomain.com. Totuși, acestea nu pot fi utilizate în acest scop.
1.2 Obiecte FQDN
Cu obiectele FQDN, în locul unei adrese IP se poate introduce un nume, de exemplu www,mydomain.com. Acest tip de intrare este deosebit de potrivit în cazul în care accesul se face din WAN și stația la distanță nu are o adresă IP publică statică. În acest caz, se poate utiliza un nume DynDNS în locul adresei IP. Pentru obiectele FQDN, este necesar un server DNS rapid. Sunt posibile și intrări cu caractere wildcard, cum ar fi *.mydomain.com. Totuși, acestea nu pot fi utilizate în acest scop.
Adrese IP geografice
Geo IP poate fi utilizat pentru a crea o țară sau obiecte bazate pe regiune. Serviciul utilizează o bază de date externă și ar trebui să fie actualizat în mod regulat. Geo IP nu oferă o protecție fiabilă, deoarece adresa sursă poate fi manipulată foarte ușor cu ajutorul serviciilor VPN disponibile în mod gratuit.
Obiecte de serviciu
Obiectele de serviciu sunt utilizate pentru a defini ce servicii beneficiază sau nu de acces în setările de control al politicilor. Serviciile pot fi grupate. De asemenea, serviciile pot fi utilizate și în alte părți, de exemplu, în rutele de politici și în intrările NAT.
Pe lângă obiectele de servicii standard, există câteva obiecte speciale. Acestea sunt obiectele "Wiz_2FA, Wiz_HTTP, Wiz_HTTPS și Wiz_SSLVPN". Portul acestor servicii se adaptează automat atunci când este redefinit în meniul corespunzător.
Configurație > Obiect > Serviciu
Utilizator
Configurație > Obiect > Utilizator
Există diferite tipuri de utilizatori.
Admin - poate efectua modificări ale configurației
Limited-admin - poate accesa configurația, dar nu poate face modificări
Utilizator - se poate autentifica utilizând 2FA
Guest - se poate conecta la firewall
Ext-user/ext-group-user - se poate autentifica pe un server extern.
Utilizatorii încorporați sunt utilizatori predefiniți care nu pot fi șterși și care sunt destinați unor scopuri specifice.
Utilizatorii trebuie definiți astfel încât să aibă doar permisiunile necesare.
În mod obișnuit, utilizatorii VPN sau 802.1x sunt definiți ca utilizatori de tip Users.
Securitate la autentificare
Definește dacă și în ce perioadă trebuie schimbate parolele și dacă este necesară complexitatea parolelor.
User Login Settings (Setări de conectare a utilizatorilor)
Definește de câte ori se poate conecta un utilizator în același timp. Dacă limita este setată la "1", un administrator se poate bloca singur.
User IP Lockout Settings (Setări blocare IP utilizator)
Intrările definesc de câte ori este permisă introducerea unei parole greșite până când utilizatorul este blocat pentru o anumită perioadă. Această setare protejează împotriva atacurilor prin forță brută.
Reguli de control al politicii recomandate
From (De la): WAN Către: ZyWALL
Se recomandă cu insistență să închideți toate serviciile care nu sunt în mod specific necesare.
Servicii necesare în mod frecvent:
IPSec VPN (IKEv1, IKEv2, L2TP):
ESP, IKE, NATT, (L2TP-UDP).
SSL VPN:
Wiz_SSLVPN
Autentificare cu 2 factori pentru VPN:
Wiz_2FA
Acces de la distanță prin HTTP/HTTPS:
Wiz_HTTP, Wiz_HTTPS
Pentru a evita pe cât posibil riscurile de securitate, gestionarea la distanță se realizează în mod ideal prin VPN IPSec. Adresele sursă ar trebui să fie restricționate, dacă este posibil. Nu se recomandă SSL VPN, deoarece acesta oferă un posibil vector de atac prin SSL.
Acces de la distanță prin HTTPS:
Dacă este necesar accesul la distanță prin HTTP/HTTPS, adresa sursă trebuie să fie întotdeauna restricționată la o adresă IP sau FQDN. GeoIP ca adresă sursă nu este sigură și oferă un potențial semnificativ de atac. Pentru gestionarea HTTPS, se recomandă utilizarea unui port alternativ.
De la: VPN zone To: ZyWALL (client-la-sediu)
În mod implicit, toate porturile sunt deschise. În majoritatea cazurilor, sunt necesare doar câteva servicii. Acestea sunt, de exemplu, DNS și L2TP-UDP. Pentru alte servicii, accesul trebuie blocat. Dacă se dorește gestionarea de la distanță prin VPN client-to-site, accesul la firewall poate fi restricționat la un singur utilizator. Cu toate acestea, acest lucru funcționează numai dacă utilizatorul s-a conectat deja la firewall atunci când a fost configurat tunelul.
De la: LAN To: ZyWALL
De asemenea, aici trebuie limitate drepturile de acces. Accesul complet la firewall ar trebui să fie acordat numai unei rețele LAN speciale de gestionare sau unor adrese IP individuale de administrator. Pentru ca unele servicii să funcționeze corect, trebuie să se acorde acces la firewall. Printre acestea se numără DNS, multicast, Radius-Auth, NetBIOS, SNMT, SSO etc. Ce accesuri sunt efectiv necesare depinde în mare măsură de topologia rețelei și de tehnologiile utilizate.
2. Detectarea și prevenirea anomaliilor (Anomaly Detection and Prevention - ADP)
Configuration > Security Policy > ADP (Configurare > Politică de securitate > ADP)
ADP oferă protecție împotriva scanărilor de porturi și a comportamentelor neobișnuite în rețea. Se recomandă activarea ADP cu profilul implicit din zona WAN. În cazul în care apar probleme, se pot face ajustări individuale ale profilului.
În cazuri individuale, ADP poate afecta anumite servicii. Acest lucru este valabil în special pentru detectarea inundațiilor. Din acest motiv, protecția împotriva inundațiilor poate fi dezactivată pentru servicii individuale, de exemplu NATT. O astfel de setare este utilă doar dacă apar probleme.
3. Administrare la distanță prin HTTPS
Unele setări specifice din setările WWW au un impact direct asupra securității sistemului.
Configurație > Sistem > WWW
Port server
Portul standard 443 nu ar trebui să fie utilizat pentru gestionarea la distanță, deoarece acesta este întotdeauna scanat în timpul atacurilor automate. Nici porturile alternative utilizate frecvent (de exemplu, 8443) nu sunt ideale.
Redirecționați HTTP către HTTPS
Toate apelurile HTTP către GUI sunt redirecționate către HTTPS. Atenție. Această setare nu trebuie să fie activată dacă se utilizează Autentificarea Web. În toate celelalte cazuri, această opțiune trebuie să fie activată.
Admin Service Control (Controlul serviciului de administrare)
Aici puteți seta cine poate avea acces de administrator la firewall. Cel mai bine ar fi să restricționați accesul la adrese IP individuale. Numai adresele IP sunt permise ca obiecte de adrese. Ca ultimă regulă (aici, regula 5), ar trebui creată o regulă ALL/ALL/deny. Trebuie să aveți grijă la crearea regulii pentru a nu vă bloca. Prin urmare, regulile de acceptare trebuie să fie create înainte ca regula de refuz să fie creată ultima.
Controlul serviciului utilizatorului
Controlul serviciului utilizatorului definește ce clienți se pot autentifica la firewall.
Regula este relevantă pentru SSL-VPN, 2-FA, VPN Configuration Provisioning și WEB-Authentication.
Dacă aceasta nu este utilizată, se poate seta și o regulă de negare.
Autentificarea certificatelor clienților
Dacă opțiunea Authenticate Client Certificate (Autentificare certificat client) este activată, clientul trebuie să se autorizeze cu un certificat valid. În caz contrar, o conexiune va fi refuzată. Acest lucru se aplică la accesul prin HTTPS și SSL VPN. VPN Configuration_Profisioning with SecuExtender nu funcționează dacă această opțiune este activată. Cu toate acestea, apelarea ferestrei 2FA este în continuare posibilă fără un certificat.
Pentru ca un certificat să fie de încredere pentru firewall, trebuie instalat lanțul de încredere al autorității de certificare. Acesta include, de obicei, un certificat rădăcină și un certificat intermediar. Firewall-ul are încredere în fiecare certificat cu un lanț de certificate valabil, precum și în propriile certificate autofirmate. Trebuie remarcat faptul că unele browsere resping din principiu certificatele autofirmate (în prezent, browserele bazate pe Firefox). Certificatul clientului nu trebuie să fie instalat pe firewall.
Configuration > Object > Certificate > Trusted Certificates (Configurație > Obiect > Certificat > Certificate de încredere)
4. Servicii de gestionare la distanță
Configuration > System
Există mai multe servicii pe firewall care sunt rareori sau niciodată necesare. Aceste servicii pot fi dezactivate complet.
SSH
De exemplu, acest serviciu poate fi utilizat atunci când modificările de configurare sunt efectuate cu un script automat. Dacă SSH nu este utilizat în mod regulat pentru administrare, serviciul poate fi dezactivat. Consola Web poate fi, de asemenea, utilizată în locul SSH pentru introducerea CLI.
TELNET
Nu este necesar în majoritatea cazurilor și poate fi dezactivat.
FTP
Prin FTP, de exemplu, se poate actualiza firmware-ul sau se pot descărca fișiere de configurare. FTP trebuie să fie activat dacă este utilizat HA-Pro. Dacă nu este cazul, FTP poate fi dezactivat. Dacă serviciul este necesarsporadic, acesta poate fi activat temporar.
SNMPServiciul este necesar pentrumonitorizarea rețelei și este necesar pentru soluții precum PRTG. În cazul în carerețeaua nu este monitorizată, serviciul poate fi dezactivat.
ZON
Permite schimbul de informații cu dispozitivele vecine (model, nume, firmware, adresă MAC, adresă IP) prin LLDP, precum și cu software-ul ZON al Zyxel din aceeași rețea locală. Serviciul nu este necesar pentru funcționarea normală.
VPN
IPSec Site-to-Site VPN
Atunci când se utilizează tuneluri site-la-sediu, trebuie introdusă o adresă de gateway peer ori de câte ori este posibil. Dacă site-ul la distanță are o adresă IP dinamică, se poate utiliza și un nume DynDNS. De asemenea, se poate utiliza un nume DynDNS dacă site-ul la distanță se află în spatele unui NAT/CG-NAT. În acest caz, este important ca conexiunea să fie stabilită din partea de la distanță și ca serviciul DynDNS să sincronizeze adresa IP publică.
Pentru autentificare, un certificat este mai bun decât un PSK. Trebuie luate în considerare următoarele aspecte:
1. Certificatul utilizat poate fi un certificat autofirmat, dar trebuie să fie stocat pe partea de la distanță la "Trusted Certificates" (Certificate de încredere).
2. Pe ambele părți, se creează un certificat propriu
3. Tipul de ID local este preluat din certificat și trebuie introdus identic cu ID-ul peer de pe cealaltă parte.
Recomandarea pentru durata maximă de viață a SA este de 86400 de secunde în gateway-ul VPN și de 14400 de secunde în conexiunea VPN.
5. Următoarele setări sunt recomandate ca fiind minime pentru criptarea VPN: AES256 / SHA256 / DH15. Aceasta este atât în gateway-ul VPN, cât și în conexiunea VPN.
Protocolul de autentificare extinsă este, de asemenea, posibil pentru tunelurile site-la-sediu. Cu toate acestea, utilizatorul înregistrat nu este conectat la firewall atunci când se stabilește conexiunea.
VPN IPSec Client-to-Site
Pentru VPN client-la-sediu, se recomandă IKEv2 cu certificat și Extended Authentication Protocol.
Configuration Payload este obligatoriu în conexiunea VPN.
După ce conexiunea este stabilită, clientul este conectat la firewall cu utilizatorul. Pentru orice acces de administrare la firewall, utilizatorul de administrare corespunzător poate fi astfel stocat în politica de control.
L2TP-VPN
Nu se recomandă utilizarea unui VPN L2TP. În schimb, se poate utiliza IKEv2.
SSL VPN
Din cauza performanțelor și a posibilelor probleme de securitate, nu se recomandă utilizarea SSL VPN. Cu toate acestea, deoarece este popular datorită ușurinței de configurare, trebuie luate în considerare următoarele:
Configuration > VPN > SSL VPN > SSL VPN > Global Setting
Utilizarea unui port separat pentru SSL VPN este obligatorie. În niciun caz nu trebuie utilizat portul 443.
Securitatea este semnificativ sporită prin utilizarea unui certificat pentru autentificare. Configurația este descrisă în secțiunea "Remote Management via HTTPS > Authenticate Client Certificate".
În Policy Control (Controlul politicilor), este recomandabil să restricționați IP-ul sursă pentru accesul din WAN la ZyWALL pentru serviciul Wiz_SSLVPN. Cel puțin la un GeoIP, mai bine la un FQDN sau la o adresă IP.
De asemenea, accesul administratorului la firewall din zona SSL-VPN poate fi restricționat la utilizatorul administrator. Acest lucru este posibil deoarece utilizatorul se conectează deja la firewall în timpul configurării tunelului.
Utilizatorii obișnuiți nu au nevoie de acces la firewall din zona SSL-VPN. Este suficient dacă serviciile tipice, cum ar fi DNS, sunt permise aici.
5. Autentificare cu doi factori
Se recomandă autentificarea cu doi factori pentru accesul administratorului, de preferință cu Google Authenticator.
Configurarea pentru 2FA trebuie să se facă separat pentru fiecare utilizator. Se recomandă metoda Google Authenticator. Rețineți că utilizatorii care nu au configurat 2FA se pot conecta în continuare fără autentificare suplimentară. Din acest motiv, 2FA oferă doar o protecție limitată.
2FA kann auch für VPN-Access aktiviert werden.
Zur Authentifizierung wird immer ein eigener Port verwendet (Objekt Wiz_2FA).
Es stehen auch verschieden Methoden zur Verfügung, wie ein Link gesendet werden soll. Schlussendlich wird jedoch bei allen Methoden ein Link auf das WEB-GUI aufgerufen.
Da das WEB-GUI für 2FA aus dem WAN erreichbar sein muss, besteht hier auch ein potentielles Angriffsrisiko. Aus diesem Grund ist diese Funktion mit Vorsicht zu geniessen.
Modul de configurare a autentificării cu doi factori este descris în celălalt articol al nostru:
Autentificarea cu doi factori cu Google Authenticator pentru accesul administratorilor
6. Jurnalele de alertă
Pentru anumite opțiuni, poate fi util să configurați un jurnal de alertă. În acest caz, o notificare prin e-mail poate fi declanșată imediat ce apare un eveniment. Acest lucru are sens, de exemplu, atunci când un administrator se conectează, în special pentru firewall-urile care sunt monitorizate doar la intervale neregulate.
Configurație > Jurnal și raport > Setări jurnal
7. Automatische Firmware Updates (Actualizări automate ale firmware-ului)
Ar trebui să aveți întotdeauna grijă să vă asigurați că firmware-ul firewall-ului este actualizat. Pentru sistemele care sunt întreținute în mod activ, actualizările pot fi efectuate manual. Cu toate acestea, în realitate, se întâmplă adesea ca acest lucru să fie neglijat, iar firewall-urile cu vulnerabilități de securitate cunoscute nu sunt actualizate pe o perioadă lungă de timp.
Înspecial în mediile de acest tip, se recomandă activarea actualizărilor automate din motive de securitate.
Maintenance > File Manager > Firmware Management
8. Protecția datelor sensibile
Începând cu versiunea de firmware 5.35, parolele pot fi criptate cu o cheie personalizată în locul algoritmului implicit. Alte parole utilizează în continuare metoda implicită. Funcția protejează, de asemenea, împotriva citirii parolelor utilizatorilor din fișierele de configurare cu ajutorul instrumentelor de hacking.
Mentenanță > Manager fișiere > Fișier de configurare > Configurație > Protecție date sensibile
Să presupunem că fișierul este reinstalat pe un firewall. Acest lucru este posibil numai cu ajutorul cheii.
Comentarii
0 comentariiVă rugăm să vă autentificați pentru a lăsa un comentariu.