Важное уведомление: |
Zyxel Firewall seriesfrom версия прошивки 5.35
Межсетевой экран - это первая линия обороны против злоумышленников из Интернета. Он защищает локальную сеть от несанкционированного доступа и является важной частью концепции безопасности. Но что делать, если сам брандмауэр становится объектом хакерских атак и может стать потенциальной угрозой? Следующее руководство предназначено для предоставления информации о том, как атаковать возможности, которые могут быть ограничены.
1. Контроль политики
2. Обнаружение и предотвращение аномалий
3. Удаленное управление через HTTPS
4. Двухфакторная аутентификация .
5. Журналы оповещений
6. Автоматическое обновление прошивки
7. Защита конфиденциальных данных
1. Контроль политики
Доступ к брандмауэру должно иметь как можно меньше пользователей. Чтобы обеспечить это, рекомендуется максимально ограничить права доступа.
Конфигурация > Политика безопасности > Контроль политики
Зона ZyWALL играет особую роль. Она содержит все адреса интерфейсов брандмауэра. Для этой зоны могут быть созданы только правила.
Например, адрес по умолчанию 192.168.1.1 принадлежит не зоне LAN1, а зоне ZyWALL.
При настройках по умолчанию доступ к брандмауэру в основном открыт. Поэтому их следует дополнительно ограничить.
Ограничение правил управления политикой
Правила брандмауэра могут быть ограничены на основе нескольких критериев. В основном три критерия полезны для доступа к брандмауэру:
1. Источник IPv4 (адресные объекты)
2. служба
3. пользователь
Эти элементы создаются как объекты.
Адрес-объекты
В основном существует три типа адресных объектов. К ним относятся:
1. IP-адреса
2. FQDN-адреса
3. GeoIP-адреса
Объекты адресов можно группировать. Однако смешивать различные типы адресов нельзя.
Конфигурация > Объект > Адрес/Гео IP > Адрес
1.1 IP-адреса
IP-адреса следует использовать всегда, когда это возможно, поскольку они уникальны. Существует несколько типов IP-адресов:
1. хост > это описание одного IP-адреса
2. диапазон > это может быть любой диапазон, определяемый начальным и конечным адресом
3. подсеть > она может быть создана путем ввода маски подсети или CIDR (например, /24)
4. IP-адрес интерфейса > принимает IP-адрес интерфейса и адаптируется динамически
5. подсеть интерфейса > динамически принимает подсеть интерфейса
6. шлюз интерфейса > принимает шлюз интерфейса типа WAN или общего.
Хост, Диапазон, Подсеть
Типы адресов Host, Range и Subnet особенно подходят в качестве источников IPv4. Если доступ осуществляется из глобальной сети, указывается публичный IP-адрес удаленной станции.
Из локальной сети эти объекты можно использовать для создания групп с различными полномочиями.
IP-адрес интерфейса
Этот объект можно использовать, если доступ возможен только по определенному IP-адресу. Например, если есть 2 интерфейса WAN, но услуга должна быть доступна только на одном интерфейсе, IP интерфейса может быть введен в правило управления политикой как IPv4 назначения.
Подсеть интерфейса
Этот тип адреса подходит, если необходимо создать единые правила для локального интерфейса (например, LAN1).
Интерфейсный шлюз
Этот тип адреса не имеет значения для доступа к брандмауэру.
2. Объекты FQDN
В объектах FQDN вместо IP-адреса можно ввести имя, например, www,mydomain.com. Этот тип ввода особенно подходит, если доступ осуществляется из глобальной сети и удаленная станция не имеет статического общедоступного IP-адреса. В этом случае вместо IP-адреса можно использовать имя DynDNS. Для объектов FQDN требуется быстрый DNS-сервер. Также возможны записи с символами подстановки, такие как *.mydomain.com. Однако их нельзя использовать для этой цели.
1.2 Объекты FQDN
В объектах FQDN вместо IP-адреса можно ввести имя, например, www,mydomain.com. Этот тип записи особенно подходит, если доступ осуществляется из глобальной сети и удаленная станция не имеет статического публичного IP-адреса. В этом случае вместо IP-адреса можно использовать имя DynDNS. Для объектов FQDN требуется быстрый DNS-сервер. Также возможны записи с символами подстановки, такие как *.mydomain.com. Однако их нельзя использовать для этой цели.
Гео IP-адреса
Geo IP можно использовать для создания объектов на основе страны или региона. Эта служба использует внешнюю базу данных и должна регулярно обновляться. Geo IP не обеспечивает надежной защиты, поскольку адресом источника можно очень легко манипулировать с помощью свободно доступных служб VPN.
Объекты служб
Объекты служб используются для определения того, каким службам предоставляется или запрещается доступ в настройках управления политикой. Службы могут быть сгруппированы. Службы также могут быть использованы в других местах, например, в маршрутах политики и записях NAT.
В дополнение к стандартным объектам служб, существуют некоторые особые объекты. Это объекты "Wiz_2FA, Wiz_HTTP, Wiz_HTTPS и Wiz_SSLVPN". Порт этих служб адаптируется автоматически, когда он переопределяется в соответствующем меню.
Конфигурация > Объект > Служба
Пользователь
Конфигурация > Объект > Пользователь
Существуют различные типы пользователей.
Администратор - может вносить изменения в конфигурацию
Limited-admin - может получить доступ к конфигурации, но не может вносить изменения.
Пользователь - может аутентифицироваться с помощью 2FA
Гость - может войти в брандмауэр
Ext-user/ext-group-user - может аутентифицироваться на внешнем сервере.
Встроенные пользователи - это предопределенные пользователи, которые не могут быть удалены и предназначены для определенных целей.
Пользователи должны быть определены таким образом, чтобы они имели только необходимые разрешения.
Обычно пользователи VPN или 802.1x определяются как пользователи типа Users.
Безопасность входа
Определяет, нужно ли менять пароли и через какой период, а также требуется ли сложность пароля.
Настройки входа пользователя
Определяет, сколько раз пользователь может войти в систему одновременно. Если ограничение установлено на "1", администратор может заблокировать себя.
Настройки блокировки IP-адреса пользователя
Определяет, как часто допускается неправильный ввод пароля, пока пользователь не будет заблокирован на определенный период. Эта настройка защищает от атак методом перебора.
Рекомендуемые правила управления политикой
От: WAN To: ZyWALL
Настоятельно рекомендуется закрыть все службы, которые не являются особо необходимыми.
Часто требуемые службы:
IPSec VPN (IKEv1, IKEv2, L2TP):
ESP, IKE, NATT, (L2TP-UDP).
SSL VPN:
Wiz_SSLVPN
Двухфакторная аутентификация для VPN:
Wiz_2FA
Удаленный доступ через HTTP/HTTPS:
Wiz_HTTP, Wiz_HTTPS
Чтобы максимально избежать рисков безопасности, удаленное управление в идеале должно осуществляться через IPSec VPN. Адреса источников должны быть ограничены, если это возможно. SSL VPN не рекомендуется, так как это открывает возможный вектор атаки через SSL.
Удаленный доступ через HTTPS:
Если требуется удаленный доступ через HTTP/HTTPS, адрес источника всегда должен быть ограничен IP-адресом или FQDN. GeoIP в качестве адреса источника не является безопасным и предоставляет значительный потенциал для атак. Для управления HTTPS рекомендуется использовать альтернативный порт.
От: VPN-зона To: ZyWALL (клиент-сайт)
По умолчанию все порты открыты. В большинстве случаев требуется только несколько служб. Это, например, DNS и L2TP-UDP. Для других служб доступ должен быть заблокирован. Если необходимо удаленное управление через VPN клиент-сайт, доступ к брандмауэру можно ограничить для одного пользователя. Однако это работает только в том случае, если пользователь уже вошел в брандмауэр при настройке туннеля.
От: LAN To: ZyWALL
Здесь также следует ограничить права доступа. Полный доступ к брандмауэру должен быть предоставлен только специальной локальной сети управления или отдельным IP-адресам администраторов. Для корректной работы некоторых служб доступ к брандмауэру должен быть предоставлен. К ним относятся DNS, многоадресная рассылка, Radius-Auth, NetBIOS, SNMT, SSO и т.д. Какие именно доступы необходимы, в значительной степени зависит от топологии сети и используемых технологий.
2. Обнаружение и предотвращение аномалий (ADP)
Конфигурация > Политика безопасности > ADP
ADP обеспечивает защиту от сканирования портов и необычного поведения сети. Рекомендуется активировать ADP с профилем по умолчанию из зоны WAN. При возникновении проблем можно внести индивидуальные изменения в профиль.
В отдельных случаях ADP может повлиять на работу некоторых служб. В частности, это касается обнаружения наводнений. По этой причине защита от наводнений может быть отключена для отдельных служб, например, NATT. Такая настройка полезна только в случае возникновения проблем.
3. Удаленное управление через HTTPS
Некоторые специфические параметры в настройках WWW оказывают непосредственное влияние на безопасность системы.
Конфигурация > Система > WWW
Порт сервера
Стандартный порт 443 не следует использовать для удаленного управления, так как он всегда сканируется при автоматических атаках. Часто используемые альтернативные порты (например, 8443) также не являются идеальными.
Перенаправление HTTP на HTTPS
Все HTTP-вызовы к графическому интерфейсу перенаправляются на HTTPS. Внимание. Этот параметр не должен быть включен, если используется веб-аутентификация. Во всех остальных случаях эта опция должна быть включена.
Контроль службы администратора
Здесь вы можете установить, кто может иметь доступ администратора к брандмауэру. Лучше всего ограничить доступ к отдельным IP-адресам. В качестве объектов адресов разрешены только IP-адреса. В качестве последнего правила (здесь правило 5) должно быть создано правило ALL/ALL/deny. При создании правила необходимо соблюдать осторожность, чтобы не заблокировать себя. Поэтому правила принятия должны быть созданы до последнего правила запрета.
Контроль обслуживания пользователей
Контроль службы пользователя определяет, какие клиенты могут аутентифицироваться на брандмауэре.
Это правило актуально для SSL-VPN, 2-FA, VPN Configuration Provisioning и WEB-Authentication.
Если оно не используется, можно также установить правило запрета.
Аутентификация клиентских сертификатов
Если опция Authenticate Client Certificate включена, клиент должен авторизоваться с помощью действительного сертификата. В противном случае соединение будет запрещено. Это относится к доступу через HTTPS и SSL VPN. VPN Configuration_Profisioning with SecuExtender не работает, если эта опция включена. Однако вызов окна 2FA по-прежнему возможен без сертификата.
Чтобы брандмауэр доверял сертификату, должна быть установлена цепочка доверия центра сертификации. Обычно она включает корневой и промежуточный сертификаты. Брандмауэр доверяет каждому сертификату с действующей цепочкой сертификатов, а также своим собственным самоподписанным сертификатам. Следует отметить, что некоторые браузеры принципиально отвергают самоподписанные сертификаты (в настоящее время это браузеры на базе Firefox). Сертификат клиента не обязательно должен быть установлен на брандмауэре.
Конфигурация > Объект > Сертификат > Доверенные сертификаты
4. Службы удаленного управления
Конфигурация > Система
На брандмауэре есть несколько служб, которые редко или никогда не нужны. Эти службы можно полностью отключить.
SSH
Например, эта служба может использоваться, когда изменения конфигурации выполняются с помощью автоматического сценария. Если SSH не используется регулярно для администрирования, службу можно отключить. Веб-консоль также может использоваться вместо SSH для ввода CLI.
TELNET
В большинстве случаев он не нужен и может быть отключен.
FTP
Через FTP можно, например, обновить микропрограмму или загрузить файлы конфигурации. FTP должен быть активирован, если используется HA-Pro. Если это не так, FTP можно отключить. Если услуга нужна эпизодически, ее можно активировать временно.
SNMPУслуга необходима для мониторинга сети и требуется для таких решений, как PRTG. Если мониторинг сети не ведется, услугу можно отключить.
ZON
Обеспечивает обмен информацией с соседними устройствами (модель, имя, прошивка, MAC-адрес, IP-адрес) через LLDP, а также с ПО ZON компании Zyxel в той же локальной сети. Услуга не требуется для регулярной работы.
VPN
IPSec Site-to-Site VPN
При использовании туннелей site-to-site следует по возможности указывать адрес шлюза одноранговой сети. Если удаленный сайт имеет динамический IP-адрес, можно также использовать имя DynDNS. Имя DynDNS также можно использовать, если удаленный сайт находится за NAT/CG-NAT. В этом случае важно, чтобы соединение было установлено с удаленной стороны и чтобы служба DynDNS синхронизировала публичный IP-адрес.
Для аутентификации лучше использовать сертификат, чем PSK. Необходимо учитывать следующее:
1. Используемый сертификат может быть самоподписанным, но должен храниться на удаленной стороне в разделе "Доверенные сертификаты".
2. На обеих сторонах создается собственный сертификат.
3. Тип локального идентификатора берется из сертификата и должен быть введен идентично идентификатору peer ID на другой стороне.
Рекомендация по максимальному времени жизни SA составляет 86400 секунд в VPN шлюзе и 14400 секунд в VPN соединении.
5. Для шифрования VPN рекомендуются следующие минимальные настройки: AES256 / SHA256 / DH15. Это касается как VPN-шлюза, так и VPN-соединения.
Протокол расширенной аутентификации также возможен для туннелей site-to-site. Однако зарегистрированный пользователь не входит в систему брандмауэра, когда устанавливается соединение.
IPSec VPN клиент-сайт
Для VPN "клиент-сайт" рекомендуется использовать IKEv2 с сертификатом и расширенным протоколом аутентификации.
Конфигурационная полезная нагрузка является обязательной в VPN-соединении.
После установления соединения клиент входит в брандмауэр под пользователем. Для любого административного доступа к брандмауэру соответствующий пользователь-администратор может быть сохранен в контроле политики.
L2TP-VPN
Использование L2TP VPN не рекомендуется. Вместо него можно использовать IKEv2.
SSL VPN
Из-за производительности и возможных проблем с безопасностью SSL VPN не рекомендуется. Однако, поскольку он популярен из-за простоты настройки, следует рассмотреть следующее:
Конфигурация > VPN > SSL VPN > Глобальная настройка.
Использование отдельного порта для SSL VPN является обязательным. Ни в коем случае нельзя использовать порт 443.
Безопасность значительно повышается при использовании сертификата для аутентификации. Конфигурация описана в разделе "Удаленное управление через HTTPS > Аутентификация сертификата клиента".
В управлении политиками рекомендуется ограничить исходный IP-адрес для доступа из WAN к ZyWALL для службы Wiz_SSLVPN. По крайней мере, на GeoIP, лучше на FQDN или IP-адрес.
Также доступ администратора к брандмауэру из зоны SSL-VPN может быть ограничен пользователем admin. Это возможно, потому что пользователь уже входит в брандмауэр во время настройки туннеля.
Обычным пользователям не нужен доступ к брандмауэру из зоны SSL-VPN. Достаточно, если здесь будут разрешены типичные службы, такие как DNS.
5. Двухфакторная аутентификация
Для доступа администратора рекомендуется использовать двухфакторную аутентификацию, предпочтительно с помощью Google Authenticator.
Настройка 2FA должна выполняться отдельно для каждого пользователя. Рекомендуется использовать метод Google Authenticator. Обратите внимание, что пользователи, у которых не настроена 2FA, могут войти в систему без дополнительной аутентификации. По этой причине 2FA обеспечивает лишь ограниченную защиту.
2FA может быть активирована и для VPN-доступа.
Для аутентификации необходимо использовать только один собственный порт (Objekt Wiz_2FA).
Существуют также различные методы, позволяющие установить ссылку. Schlussendlich wird jedoch bei allen Methoden ein Link auf das WEB-GUI aufgerufen.
Если WEB-GUI für 2FA aus dem WAN erreichbar sein muss, besteht hier auch ein potenzielles Angriffsrisiko. На этом основании данная функция должна быть доступна с помощью Vorsicht zu geniessen.
Как настроить двухфакторную аутентификацию, описано в другой нашей статье:
Двухфакторная аутентификация с помощью Google Authenticator для администраторского доступа
6. Журналы оповещений
Для некоторых опций может быть полезно настроить журнал оповещений. В этом случае при возникновении события может быть немедленно отправлено уведомление по электронной почте. Это имеет смысл, например, при входе администратора в систему, особенно для брандмауэров, мониторинг которых осуществляется только через нерегулярные промежутки времени.
Конфигурация > Журнал и отчеты > Параметры журнала
7. Автоматическое обновление микропрограммного обеспечения
Необходимо всегда следить за тем, чтобы микропрограмма брандмауэра была актуальной. Для систем, которые активно обслуживаются, обновления можно выполнять вручную. Однако в реальности часто этим пренебрегают, и брандмауэры с известными уязвимостями безопасности не обновляются в течение длительного периода времени.
Особенно в средах такого типа рекомендуется активировать автоматические обновления по соображениям безопасности.
Обслуживание > Диспетчер файлов > Управление микропрограммой
8. Защита конфиденциальных данных
Начиная с версии прошивки 5.35, пароли могут быть зашифрованы с помощью пользовательского ключа вместо алгоритма по умолчанию. Для других паролей по-прежнему используется метод по умолчанию. Эта функция также защищает от считывания пользовательских паролей из конфигурационных файлов с помощью хакерских инструментов.
Обслуживание > Диспетчер файлов > Файл конфигурации > Конфигурация > Защита конфиденциальных данных
Предположим, что файл переустанавливается на брандмауэре. Это возможно только с помощью ключа.