Viktig merknad: |
Zyxel Firewall-serienfra firmwareversjon 5.35
En brannmur er den første forsvarslinjen mot angripere fra Internett. Det beskytter det lokale nettverket mot uautorisert tilgang og er en viktig del av et sikkerhetskonsept. Men hva om brannmuren selv blir målet for hackerangrep og derfor kan bli en potensiell trussel? Følgende veiledning er ment å gi informasjon om hvordan angrepsmulighetene kan begrenses.
1. Policy-kontroll
2. Avviksdeteksjon og forebygging
3. Fjernstyring via HTTPS
4. Tofaktorautentisering
5. Varslingslogger
6. Automatiske fastvareoppdateringer
7. Beskyttelse av sensitive data
1. Retningslinjekontroll
Så få brukere som nødvendig bør ha tilgang til brannmuren. For å sikre dette anbefales det å begrense tilgangsrettighetene så mye som mulig.
Konfigurasjon > Sikkerhetspolicy > Policykontroll
ZyWALL-sonen tar en spesiell rolle. Den inneholder alle grensesnittadressene til brannmuren. Bare regler kan opprettes for denne sonen.
Standardadressen 192.168.1.1 tilhører for eksempel ikke LAN1-sonen, men ZyWALL-sonen.
Med standardinnstillingene er tilgangen til brannmuren hovedsakelig åpen. Derfor bør disse begrenses ytterligere.
Begrense regler for policykontroll
Brannmurregler kan begrenses basert på flere kriterier. Hovedsakelig tre kriterier er nyttige for brannmurtilgang:
1. IPv4-kilde (adresseobjekter)
2. tjeneste
3. bruker
Disse elementene opprettes som objekter.
Adresse-objekter
Det finnes i utgangspunktet tre typer adresseobjekter. Disse er
1. IP-adresser
2. FQDN-adresser
3. GeoIP-adresser
Adresseobjekter kan grupperes. Det er imidlertid ikke mulig å blande ulike adressetyper.
Konfigurasjon > Objekt > Adresse/Geo IP > Adresse
1.1 IP-adresser
IP-adresser bør brukes når det er mulig, siden de er unike. Det finnes flere typer IP-adresser:
1. vert > Dette beskriver en enkelt IP-adresse.
2. område > Dette kan være et hvilket som helst område definert av start- og sluttadressen.
3. delnett > dette kan opprettes ved å angi en delnettmaske eller CIDR (f.eks. /24).
4. grensesnitt-IP > overtar IP-adressen til et grensesnitt og tilpasser seg dynamisk.
5. grensesnitt delnett > overtar dynamisk delnettet til et grensesnitt.
6. grensesnitt gateway > overtar gatewayen til et grensesnitt av typen WAN eller generelt.
Vert, område, delnett
Adressetypene Host, Range og Subnet er spesielt egnet som IPv4-kilder. Hvis tilgangen skjer fra WAN, angis den offentlige IP-adressen til den eksterne stasjonen.
Fra et LAN kan disse objektene brukes til å opprette grupper med forskjellige autorisasjoner.
Grensesnitt-IP
Dette objektet kan brukes hvis tilgang bare er mulig på en bestemt IP-adresse. Hvis det for eksempel er to WAN-grensesnitt, men en tjeneste bare skal være tilgjengelig på ett grensesnitt, kan grensesnitt-IP-en legges inn i policykontrollregelen som en IPv4-destinasjon.
Grensesnitt delnett
Denne adressetypen er egnet hvis det skal opprettes enhetlige regler for et lokalt grensesnitt (f.eks. LAN1).
Grensesnitt-gateway
Denne adressetypen er ikke relevant for tilgang til brannmuren.
2. FQDN-objekter
Med FQDN-objekter kan et navn angis i stedet for en IP-adresse, f.eks. www,mydomain.com. Denne oppføringstypen er spesielt egnet hvis tilgangen skjer fra WAN og den eksterne stasjonen ikke har en statisk offentlig IP-adresse. Et DynDNS-navn kan brukes i stedet for IP-adressen i dette tilfellet. For FQDN-objekter kreves en rask DNS-server. Jokertegnoppføringer som *.mydomain.com er også mulig. Disse kan imidlertid ikke brukes til dette formålet.
1.2 FQDN-objekter
Med FQDN-objekter kan et navn angis i stedet for en IP-adresse, f.eks. www,mydomain.com. Denne oppføringstypen er spesielt egnet hvis tilgangen skjer fra WAN og den eksterne stasjonen ikke har en statisk offentlig IP-adresse. Et DynDNS-navn kan brukes i stedet for IP-adressen i dette tilfellet. For FQDN-objekter kreves en rask DNS-server. Jokertegnoppføringer som *.mydomain.com er også mulig. Disse kan imidlertid ikke brukes til dette formålet.
Geo-IP-adresser
Geo IP kan brukes til å opprette land- eller regionbaserte objekter. Tjenesten bruker en ekstern database og bør oppdateres regelmessig. Geo IP gir ikke pålitelig beskyttelse, ettersom kildeadressen svært enkelt kan manipuleres ved hjelp av fritt tilgjengelige VPN-tjenester.
Tjenesteobjekter
Tjenesteobjekter brukes til å definere hvilke tjenester som gis eller nektes tilgang i innstillingene for policykontroll. Tjenestene kan grupperes. Tjenestene kan også brukes andre steder, f.eks. i policyruter og NAT-oppføringer.
I tillegg til standard tjenesteobjekter finnes det noen spesielle objekter. Dette er objektene "Wiz_2FA, Wiz_HTTP, Wiz_HTTPS og Wiz_SSLVPN". Porten til disse tjenestene tilpasses automatisk når den omdefineres i den tilsvarende menyen.
Konfigurasjon > Objekt > Tjeneste
Bruker
Konfigurasjon > Objekt > Bruker
Det finnes forskjellige typer brukere.
Admin - kan gjøre endringer i konfigurasjonen
Begrenset administrator - kan få tilgang til konfigurasjonen, men kan ikke gjøre noen endringer
Bruker - kan autentisere ved hjelp av 2FA
Gjest - kan logge på brannmuren
Ext-user/ext-group-user - kan autentisere til en ekstern server.
Innebygde brukere er forhåndsdefinerte brukere som ikke kan slettes, og som er beregnet på bestemte formål.
Brukere bør defineres slik at de bare har de nødvendige tillatelsene.
Vanligvis defineres VPN- eller 802.1x-brukere som brukere av typen Brukere.
Påloggingssikkerhet
Definerer om og i hvilken periode passord må endres og om passordkompleksitet er påkrevd.
Innstillinger for brukerinnlogging
Definerer hvor mange ganger en bruker kan logge inn samtidig. Hvis grensen er satt til "1", kan en administrator låse seg selv ut.
Innstillinger for sperring av bruker-IP
Oppføringene definerer hvor ofte en feil passordoppføring er tillatt før brukeren blokkeres i en viss periode. Denne innstillingen beskytter mot brute force-angrep.
Anbefalte regler for policykontroll
Fra: WAN Til: ZyWALL
Det anbefales på det sterkeste å stenge alle tjenester som ikke er spesifikt nødvendige.
Ofte nødvendige tjenester:
IPSec VPN (IKEv1, IKEv2, L2TP):
ESP, IKE, NATT, (L2TP-UDP).
SSL VPN:
Wiz_SSLVPN
2-faktor autentisering for VPN:
Wiz_2FA
Ekstern tilgang via HTTP/HTTPS:
Wiz_HTTP, Wiz_HTTPS
For å unngå sikkerhetsrisikoer så langt det er mulig, utføres fjernadministrasjon ideelt sett via IPSec VPN. Kildeadressene bør om mulig begrenses. SSL VPN anbefales ikke, da dette gir en mulig angrepsvektor via SSL.
Fjerntilgang via HTTPS:
Hvis ekstern tilgang via HTTP/HTTPS er nødvendig, bør kildeadressen alltid begrenses til en IP-adresse eller FQDN. GeoIP som kildeadresse er ikke sikker og gir et betydelig angrepspotensial. For HTTPS-administrasjon anbefales det å bruke en alternativ port.
Fra: VPN-sone Til: ZyWALL (klient-til-nettsted)
Som standard er alle porter åpne. I de fleste tilfeller er det bare noen få tjenester som kreves. Disse er f.eks. DNS og L2TP-UDP. For andre tjenester bør tilgangen blokkeres. Hvis det er ønskelig med fjernadministrasjon via klient-til-sted VPN, kan tilgangen til brannmuren begrenses til én bruker. Dette fungerer imidlertid bare hvis brukeren allerede har logget på brannmuren da tunnelen ble satt opp.
Fra: LAN Til: ZyWALL
Også her bør tilgangsrettighetene begrenses. Full tilgang til brannmuren bør bare gis til et spesielt administrasjons-LAN eller individuelle administrator-IP-adresser. For at noen tjenester skal fungere riktig, må det gis tilgang til brannmuren. Dette inkluderer DNS, multicast, Radius-Auth, NetBIOS, SNMT, SSO osv. Hvilke tilganger som faktisk kreves, avhenger sterkt av nettverkstopologien og teknologiene som brukes.
2. Avviksdeteksjonog -forebygging (ADP)
Konfigurasjon > Sikkerhetspolicy > ADP
ADPgir beskyttelse mot portskanninger og uvanlig nettverksatferd. Det anbefales å aktivere ADP med standardprofilen fra WAN-sonen. Individuelle justeringer kan gjøres i profilen hvis det oppstår problemer.
I enkelte tilfeller kan ADP påvirke visse tjenester. Dette gjelder spesielt flomdeteksjon. Av denne grunn kan oversvømmelsesbeskyttelse deaktiveres for individuelle tjenester, f.eks. NATT. En slik innstilling er bare nyttig hvis det oppstår problemer.
3. Fjernadministrasjon via HTTPS
Noen spesifikke innstillinger i WWW-innstillingene har direkte innvirkning på systemsikkerheten.
Konfigurasjon > System > WWW
Serverport
Standardporten 443 bør ikke brukes til fjernadministrasjon, da denne alltid skannes under automatiserte angrep. Ofte brukte alternative porter (f.eks. 8443) er heller ikke ideelle.
Omdirigere HTTP til HTTPS
Alle HTTP-anrop til brukergrensesnittet omdirigeres til HTTPS. OBS! Denne innstillingen må ikke aktiveres hvis webautentisering brukes. I alle andre tilfeller bør dette alternativet være aktivert.
Administrasjonstjenestekontroll
Her kan du angi hvem som kan ha administratortilgang til brannmuren. Det vil være best for deg å begrense tilgangen til individuelle IP-adresser. Bare IP-adresser er tillatt som adresseobjekter. Som siste regel (her regel 5) bør det opprettes en ALL/ALL/deny-regel. Vær forsiktig når du oppretter regelen, slik at du ikke låser deg selv ute. Derfor må godkjenningsreglene opprettes før avslagsregelen opprettes til slutt.
Brukertjenestekontroll
Brukertjenestekontrollen definerer hvilke klienter som kan autentisere til brannmuren.
Regelen er relevant for SSL-VPN, 2-FA, VPN Configuration Provisioning og WEB-Authentication.
Hvis dette ikke brukes, kan det også angis en avslagsregel.
Autentiser klientsertifikater
Hvis alternativet Autentiser klientsertifikat er aktivert, må klienten autorisere seg selv med et gyldig sertifikat. Ellers vil en tilkobling bli avslått. Dette gjelder for tilgang via HTTPS og SSL VPN. VPN Configuration_Profisioning med SecuExtender fungerer ikke hvis dette alternativet er aktivert. Det er imidlertid fortsatt mulig å ringe 2FA-vinduet uten sertifikat.
For at et sertifikat skal være klarert av brannmuren, må sertifikatautoritetens tillitskjede være installert. Dette inkluderer vanligvis et rot- og mellomliggende sertifikat. Brannmuren stoler på alle sertifikater med en gyldig sertifikatkjede, i tillegg til sine egne selvsignerte sertifikater. Det bør bemerkes at noen nettlesere avviser egensignerte sertifikater av prinsipp (for tiden Firefox-baserte nettlesere). Klientsertifikatet trenger ikke installeres på brannmuren.
Konfigurasjon > Objekt > Sertifikat > Klarerte sertifikater.
4. Fjernadministrasjonstjenester
Konfigurasjon > System
Det finnes flere tjenester på brannmuren som det sjelden eller aldri er behov for.Disse tjenestene kan deaktiveres helt.
SSH
Denne tjenesten kan for eksempel brukes når konfigurasjonsendringer utføres med et automatisk skript. Hvis SSH ikke brukes regelmessig til administrasjon, kan tjenesten deaktiveres. Nettkonsollen kan også brukes i stedet for SSH for CLI-input.
TELNET
Det er ikke nødvendig i de fleste tilfeller og kan deaktiveres.
FTP
Via FTP kan f.eks. fastvaren oppdateres, eller konfigurasjonsfiler kan lastes ned. FTP må være aktivert hvis HA-Pro er i bruk. Hvis dette ikke er tilfelle, kan FTP deaktiveres. Hvis det er behov for tjenesten sporadisk, kan den aktiveres midlertidig.
SNMPTjenestener nødvendig for nettverksovervåking og kreves for løsninger som PRTG. Hvis nettverket ikke overvåkes, kan tjenesten deaktiveres.
ZON
Muliggjør informasjonsutveksling med naboenheter (modell, navn, fastvare, MAC-adresse, IP-adresse) via LLDP samt med Zyxels programvare ZON i samme LAN. Tjenesten er ikke nødvendig for vanlig drift.
VPN
IPSec Site-to-Site VPN
Ved bruk av site-to-site-tunneler bør en peer gateway-adresse angis når det er mulig. Hvis det eksterne nettstedet har en dynamisk IP-adresse, kan et DynDNS-navn også brukes. Et DynDNS-navn kan også brukes hvis det eksterne nettstedet ligger bak en NAT/CG-NAT. I dette tilfellet er det viktig at forbindelsen opprettes fra den eksterne siden og at DynDNS-tjenesten synkroniserer den offentlige IP-adressen.
For autentisering er et sertifikat bedre enn en PSK. Følgende må vurderes:
1. Sertifikatet som brukes kan være et selvsignert sertifikat, men må lagres på den eksterne siden under "Klarerte sertifikater".
2. På begge sider opprettes eget sertifikat
3. Den lokale ID-typen hentes fra sertifikatet og må legges inn identisk som peer-ID-en på den andre siden.
Anbefalingen for maksimal SA-levetid er 86400 sekunder i VPN-gatewayen og 14400 sekunder i VPN-forbindelsen.
5. Følgende innstillinger anbefales som et minimum for VPN-kryptering: AES256 / SHA256 / DH15. Dette gjelder både i VPN-gatewayen og i VPN-tilkoblingen.
Extended Authentication Protocol er også mulig for site-to-site-tunneler. Den registrerte brukeren er imidlertid ikke logget på brannmuren når tilkoblingen opprettes.
IPSec VPN fra klient til sted
For klient-til-sted VPN anbefales IKEv2 med sertifikat og Extended Authentication Protocol.
Configuration Payload er obligatorisk i VPN-tilkoblingen.
Etter at tilkoblingen er opprettet, logges klienten på brannmuren sammen med brukeren. For enhver administratortilgang til brannmuren kan den tilsvarende administratorbrukeren dermed lagres i policykontrollen.
L2TP-VPN
Bruk av L2TP-VPN anbefales ikke. IKEv2 kan brukes i stedet.
SSL VPN
På grunn av ytelse og mulige sikkerhetsproblemer anbefales ikke SSL VPN. Men siden dette er populært på grunn av den enkle konfigurasjonen, bør følgende vurderes:
Konfigurasjon > VPN > SSL VPN > Global innstilling
Bruk av en egen port for SSL VPN er obligatorisk. Port 443 skal ikke under noen omstendigheter brukes.
Sikkerheten økes betydelig ved å bruke et sertifikat for autentisering. Konfigurasjonen er beskrevet under "Fjernadministrasjon via HTTPS > Autentiser klientsertifikat".
I Policy Control anbefales det å begrense Source IP for tilgang fra WAN til ZyWALL for tjenesten Wiz_SSLVPN. I det minste til en GeoIP, bedre til en FQDN eller en IP-adresse.
Administratortilgang til brannmuren fra SSL-VPN-sonen kan også begrenses til administratorbrukeren. Dette er mulig fordi brukeren allerede logger på brannmuren under tunneloppsettet.
Vanlige brukere trenger ikke tilgang til brannmuren fra SSL-VPN-sonen. Det er tilstrekkelig hvis typiske tjenester som DNS er tillatt her.
5. Tofaktor-autentisering
Tofaktorautentisering anbefales for Admin Access, fortrinnsvis med Google Authenticator.
Oppsettet for 2FA må gjøres separat for hver bruker. Google Authenticator-metoden anbefales. Merk at brukere som ikke har konfigurert 2FA, fortsatt kan logge inn uten ytterligere autentisering. Av denne grunn gir 2FA bare begrenset beskyttelse.
2FA kan også aktiveres for VPN-tilgang.
Zur Authentifizierung wird immer ein eigener Port verwendet (Objekt Wiz_2FA).
Det finnes også ulike metoder for å sende en lenke. Til slutt vil imidlertid alle metodene føre til en lenke til WEB-GUI.
Da das WEB-GUI für 2FA aus dem WAN erreichbar sein muss, besteht hier auch ein potenzielles Angriffsrisiko. Aus diesem Grund ist diese Funktion mit Vorsicht zu geniessen.
Hvordan du konfigurerer tofaktorautentisering er beskrevet i vår andre artikkel:
Tofaktorautentisering med Google Authenticator for administratortilgang.
6. Varsellogger
For noen alternativer kan det være nyttig å sette opp en varslingslogg. I dette tilfellet kan et e-postvarsel utløses umiddelbart når en hendelse inntreffer. Dette er for eksempel fornuftig når en administrator logger på, spesielt for brannmurer som bare overvåkes med uregelmessige intervaller.
Konfigurasjon > Logg og rapport > Logginnstillinger
7. Automatiske fastvareoppdateringer
Det bør alltid sørges for at brannmurens fastvare er oppdatert. For systemer som vedlikeholdes aktivt, kan oppdateringer utføres manuelt. I virkeligheten er det imidlertid ofte slik at dette forsømmes, og brannmurer med kjente sikkerhetsproblemer blir ikke oppdatert over en lengre periode.
Spesielt i miljøer av denne typen anbefales det å aktivere automatiske oppdateringer av sikkerhetsgrunner.
Vedlikehold > Filbehandling > Fastvareadministrasjon
8. Beskyttelse av sensitive data
Fra og med fastvareversjon 5.35 kan passord krypteres med en egendefinert nøkkel i stedet for standardalgoritmen. Andre passord bruker fortsatt standardmetoden. Funksjonen beskytter også mot lesing av brukerpassord fra konfigurasjonsfiler ved hjelp av hackerverktøy.
Vedlikehold > Filbehandling > Konfigurasjonsfil > Konfigurasjon > Beskyttelse av sensitiv informasjon.
Anta at filen installeres på nytt på en brannmur. Dette er bare mulig med nøkkelen.
Príspevky
0 komentárovAk chcete napísať komentár, prihlásiť sa.