Как настроить межсетевое соединение

Как правильно настроить межсетевой экран или Check Point Security Best Practices

Уверен, что у большинства системных администраторов или сетевых инженеров возникал вопрос: «Правильно ли я настроил межсетевой экран и что еще можно сделать для лучшей защиты?«. Естественно, в этом вопросе стоит опираться на различные руководства (PCI DSS, ISO, NIST и т.д.) и здравый смысл. Помощь более опытных коллег также приветствуется.

В рамках же данной статьи мы попробуем описать основные рекомендации или лучшие практики (best practices) по настройке межсетевых экранов. Это некий “чек-лист”, следуя которому можно существенно повысить качество защиты сети. Руководство составлено специально для оборудования Check Point, однако оно также может быть использовано, как основа для самостоятельного аудита сети, построенной на оборудовании других вендоров (Cisco, Fortinet, Palo Alto и т.д.). Если вас это заинтересовало, то добро пожаловать под кат…

Compliance Blade

Вообще говоря, в случае с Check Point аудит «правильности» настроек можно выполнять в автоматическом режиме. Осуществляется это с помощью программного блейда Compliance, который активируется на менеджмент сервере:

Данный блейд выполняет следующие функции:

Мониторинг программных блейдов в режиме 24/7

• Постоянный контроль за тем, чтобы система управления, программные блейды и шлюзы безопасности были настроены оптимально.
• Показывает неправильные настройки конфигурации и уязвимости в защите.
• Предоставляет рекомендации по укреплению безопасности.

Уведомления в режиме реального времени

• Показывает, как изменение конфигурации повлияет на безопасность.
• Уведомляет об изменениях политик, негативно влияющих на безопасность.
• Обучает пользователей, какими будут последствия желаемых изменений.

Готовые отчеты

• Переводит тысячи требований регуляторов на язык практических рекомендаций.
• Постоянная оценка совместимости с требованиями регуляторов (PCI DSS, ISO, NIST, DSD и так далее).

Все отчеты отображаются в графическом виде:

Оценка соответствия требованиям регуляторов:

Оценка производительности отдельных шлюзов и блейдов:

Блейд Compliance поставляется бесплатно с подпиской на 1 год при покупке сервера управления (будь то физический appliance Smart-1 или виртуальная машина). Этого времени вполне достаточно для комплексной настройки средств защиты с последующей оценкой конфигураций. Таким образом, в первый год вы получаете бесплатный аудит сетевой безопасности (настроек Check Point).

Если вы еще ни разу не активировали данный блейд, то это весьма просто сделать в свойствах сервера управления (Management Server), как это было показано на картинке выше. После этого проинсталлировать политики и подождать некоторое время (в зависимости от размеров сети и количества шлюзов). С результатом оценки конфигураций можно ознакомиться на соответствующей вкладке Compliance в консоли SmartDashboard:

Стоит заметить, что дальнейшее использование блейда Compliance требует продления соответствующей подписки, цена которой не всегда соответствует бюджету малых и средних компаний.

Что же делать после окончания подписки?
Специально для таких случаев мы создали данное руководство, которое позволит в ручном режиме проверить “адекватность” и безопасность текущих настроек в соответствии с рекомендациями Check Point. При этом мы не будем рассматривать стандарты различных регуляторов (PCI DSS, ISO и т.д.), а лишь затронем лучшие практики (Best Practices) по настройке средств сетевой защиты.

Firewall Best Practices
1. Присутствует правило Management (название может отличаться):

Данное правило используется для доступа с сервера управления (Management Server) и компьютера администратора к шлюзу безопасности (Security Gateway). Остальным доступ должен быть запрещен.

2. Присутствует правило Stealth (название может отличаться):

Данное правило используется для блокирования любой попытки доступа к самому шлюзу, что делает его “невидимым” и исключает возможность несанкционированного доступа. Убедитесь, что это правило расположено ниже чем Management.

3. Присутствует правило Clean up rule (название может отличаться):

По умолчанию Check Point блокирует все соединения, которые явно не разрешены. Данное правило используется исключительно для логирования всех пакетов, которые и без этого были бы заблокированы. Правило должно быть самым последним в списке.

4. Присутствует правило Do Not Log (название может отличаться) для которого отключено логирование:

Данное правило используется для фильтрования “паразитного” широковещательного трафика. К такому трафику относятся: udp-high-ports (UDP ports > 1024-65535), domain-udp, bootp, NBT (NetBios), rip (список может отличаться, в зависимости от вашей сети). Логирование отключается намеренно, дабы не перегружать логи межсетевого экрана бесполезной информацией. Правило должно находиться как можно выше в списке (лучше первым).

5. В списках доступа в колонке источник (source) отсутствует значение Any, т.е. любой трафик. Всегда указывайте конкретный источник в правилах, будь то сеть или хост. За исключением правил Stealth, Clean up rule, Do Not Log.

6. Отсутствуют правила разрешающие весь трафик (any any accept).

7. Запрещен входящий Internet трафик для сегментов Бухгалтерии (Finance) и Отдела кадров (HR).

8. Запрещен FTP трафик из сети Internet в DMZ.

9. Отсутствуют неиспользуемые правила. В консоли SmartDashboard можно просматривать счетчик совпадений по каждому списку доступа:

Если счетчик показывает нулевое значение или последнее совпадение (Last hit) было более чем 6 месяцев назад, то рекомендуется удалить данное правило, дабы не перегружать общий список.

10. Для всех правил в поле Track выставлена опция Log. Кроме правила Do Not Log. Так вы сможете логировать все важные события исключая широковещательный трафик.

11. Для всех правил указано “адекватное” имя и присутствует комментарий, поясняющий назначение этого правила.

12. На всех шлюзах включено логирование.

В качестве Лог-сервера может выступать сервер управления (Management Server) либо другое стороннее решение (возможно использование SIEM или Log Management систем).

13. На всех шлюзах настроен резервный Лог-сервер. Это позволит сохранить важные сообщения в случае отказа основного Лог-сервера.

14. На всех шлюзах также включена функция локального хранения логов. Это позволит сохранить информацию о событиях в случае недоступности Лог-сервер.

15. На всех шлюзах настроено создание нового Лог-файла при достижении определенного размера старого.

Это значительно ускорит обработку логов (отображение, поиск). Вернуться к более старым логам можно будет переключив Лог-файл.

16. На всех шлюзах настроены уведомления сигнализирующие о заканчивающемся дисковом пространстве. Уровень срабатывания выбирается в зависимости от общего объема жесткого диска. Как правило порог выставляется в районе 50-100 МБайт.

17. На всех шлюзах настроено удаление старых Лог-файлов при заканчивающемся дисковом пространстве. Уровень срабатывания выбирается в зависимости от общего объема жесткого диска. Как правило порог выставляется в районе 50 МБайт.

18. На всех шлюзах настроены скрипты, которые выполняются перед удалением старых Лог-файлов.

С помощью данной функции можно убедиться, что созданы бэкапы логов.

19. В глобальных настройках включено логирование для “VPN packet handling errors”, “VPN successful key exchange”, “VPN configuration & key exchange errors”, “Administrative notifications”, “Packet is incorrectly tagged” и “Packet tagging brute force attack”:

20. На всех шлюзах включен Anti-Spoofing в режиме prevent (для всех интерфейсов):

21. В глобальных настройках (global properties) проверьте значения временных интервалов по умолчанию для stateful inspection:

В случае необходимости измените в соответствии с требованиями вашей сети.

22. Для полей “Drop out of state TCP packets”, “Drop out of state ICMP packets” и “Drop out of state SCTP packets” включено Log on drop (смотри картинку выше).

23. В свойствах каждого шлюза включен счетчик Hit Count:

Это позволит видеть кол-во совпадений по каждому правилу (списку доступа) и удалять неиспользуемые.

24. В настройках оптимизации шлюза укажите максимальное количество конкурентных сессий.

Этот параметр зависит от модели шлюза и позволяет предотвратить перегрузку.

25. В глобальных настройках (global properties) пароли учетных записей пользователей (User Accounts) и администраторов (Administartor Accounts) истекают не позднее чем через 180 дней.

Также должно быть настроено оповещение об истекающем пароле.

26. При интеграции с Active Directory настроена смена пароля:

27. В глобальных настройках (global properties) активирована блокировка Администраторов. Учетная запись блокируется на 30 минут в случае 3-х неудачных попыток входа.

Также настроено уведомление о блокировке и сброс сессии управления, неактивной в течении 15 минут.

28. В свойствах шлюзов выставлена опция “Rematch connections”.

Это позволит блокировать запрещенные соединения сразу после установки новой политики и не ждать окончания сессии.

29. Настроена синхронизация времени (NTP)

Это позволит видеть актуальную дату и время для всех событий (логов).

Таковы рекомендации Check Point по настройке блейда Firewall. Но думаю многие заметили, что большинство советов применимы и к другим вендорам. Подобные рекомендации есть по всем блейдам (IPS, DLP, Application Control, URL Filtering и т.д.), которые мы возможно рассмотрим в следующих статьях.
Больше информации по Check Point можно найти в нашем корпоративном блоге. А чтобы бесплатно провести настроек безопасности Check Point, нажмите сюда.

Источник

Как настроить межсетевой экран за шесть шагов

Чтобы надежно защитить свою сеть, просто следуйте лучшим практикам.

Связаться с Cisco

Вы научились настраивать новый беспроводной маршрутизатор, и теперь готовы к следующему упражнению: настройке межсетевого экрана. Перехватило дыхание? Звучит пугающе, мы понимаем. Но не волнуйтесь: мы разложили всю процедуру на шесть простых шагов. Это поможет покорить вершину под названием «Сетевая безопасность». Начнем.

Шаг 1. Защитите свой межсетевой экран (да, мы знаем, что это кажется лишним)

Административный доступ к межсетевому экрану должен быть ограниченным и предоставлен только тем, кому вы доверяете. Чтобы предотвратить проникновение потенциальных злоумышленников, убедитесь, что ваш межсетевой экран защищен хотя бы одним из следующих действий по настройке его конфигурации:

• Обновите микропрограммное обеспечение межсетевого экрана до последней версии, рекомендованной поставщиком.
• Удалите, отключите или переименуйте все учетные записи пользователей, настроенные по умолчанию, а также измените все заданные по умолчанию пароли. Убедитесь, что вы используете только сложные и безопасные пароли.
• Если межсетевым экраном будут управлять несколько человек, создайте дополнительные учетные записи с ограниченными правами, которые соответствуют обязанностям пользователей. Никогда не используйте общие учетные записи пользователей. Отслеживайте внесенные изменения: кто их внес и почему. Такой контроль способствует должной осмотрительности при внесении изменений.
• Ограничьте места, из которых люди могут вносить изменения. Так вы уменьшите поверхность атаки, то есть разрешите внесение изменений только из доверенных подсетей внутри вашей организации.

Шаг 2. Разработайте структуру зон и схему IP-адресов межсетевого экрана (поднимать тяжести не потребуется)

Чтобы наилучшим образом защитить активы своей сети, вы должны сначала идентифицировать их. Спланируйте структуру, в которой активы сгруппированы на основе бизнес-потребностей, потребностей приложений, уровней конфиденциальности и функций активов, и объединены в сети (или зоны). Не идите легким путем, и не ограничивайтесь только одной плоской сетью. То, что легко для вас, легко и для злоумышленников!

Все ваши серверы, предоставляющие веб-сервисы (т. е. сервер электронной почты, VPN), должны быть помещены в выделенную зону, ограничивающую входящий трафик из Интернета. Такую зону часто называют демилитаризованной зоной (DMZ). Кроме того, серверы, к которым нет прямого доступа из Интернета, следует разместить во внутренних серверных зонах. В эти зоны обычно помещают серверы баз данных, рабочие станции, любые устройства, используемые в точках продаж (POS), или устройства голосовой связи поверх IP (VoIP).

Если вы используете IP версии 4, то для всех ваших внутренних сетей нужно использовать внутренние IP-адреса. Функцию преобразования сетевых адресов (NAT) следует настроить таким образом, чтобы внутренние устройства могли при необходимости обмениваться данными через Интернет.

После разработки структуры зон сети и создания соответствующей схемы IP- адресов, можно перейти к созданию зон межсетевого экрана и их назначению основным и подчиненным интерфейсам межсетевого экрана. При создании сетевой инфраструктуры коммутаторы, поддерживающие виртуальные локальные сети (VLAN), должны использоваться для поддержания разделения между сетями на уровне 2.

Шаг 3. Настройте списки контроля доступа (это ваш праздник — приглашайте, кого хотите)

После создания сетевых зон и назначения их интерфейсам можно приступить к созданию правил межсетевого экрана, называемых списками контроля доступа (ACL). Эти списки устанавливают, для какого трафика требуется разрешение на вход и выход из каждой зоны. ACL определяют разрешенные взаимодействия между компонентами сети и блокируют все остальные связи. ACL применяются к каждому основному или подчиненному интерфейсу межсетевого экрана, и должны как можно более точно определять IP-адреса источников и/или адресатов, а также номера портов, когда это возможно. Чтобы отфильтровать неутвержденный трафик, в конце каждого ACL создайте правило «запретить все». Затем примените входящие и исходящие ACL к каждому интерфейсу. Если это возможно, запретите общий доступ к интерфейсам администрирования межсетевого экрана. Помните, что на этом этапе необходима максимальная детализация: следует не только проверить работоспособность используемых приложений, но и убедиться в том, что запрещено все, что не должно быть разрешено. Обязательно оцените способность межсетевого экрана управлять потоками уровня следующего поколения: может ли он блокировать трафик на основе веб-категорий? Можно ли включить функцию расширенного сканирования файлов? Реализован ли в нем определенный уровень функций предотвращения вторжений (IPS)? Вы заплатили за расширенные функции, поэтому не забудьте сделать следующие шаги.

Шаг 4. Настройте другие службы межсетевого экрана и ведение журнала (свою коллекцию отнюдь не виниловых пластинок)

При желании разрешите межсетевому экрану выполнять функции сервера протокола динамической настройки узлов сети (DHCP), сервера протокола сетевого времени (NTP), системы предотвращения вторжений (IPS) и т. д. Отключите все службы, которые вы не собираетесь использовать.

Для выполнения требований Стандарта безопасности данных индустрии платежных карт (PCI DSS) настройте на межсетевом экране отправку отчетов на свой сервер ведения журнала и убедитесь, что в них включено достаточно деталей для удовлетворения пп. 10.2–10.3 требований PCI DSS.

Шаг 5. Проверьте конфигурацию межсетевого экрана (не беспокойтесь, это несложный тест)

Во-первых, убедитесь, что ваш межсетевой экран блокирует трафик, который должен быть заблокирован в соответствии со списками контроля доступа. Также необходимо выполнить сканирование на наличие уязвимостей и тестирование на возможность проникновения. Обязательно сохраняйте резервную копию конфигурации межсетевого экрана на случай каких-либо сбоев. После завершения всех проверок ваш межсетевой экран будет готов к работе. ОБЯЗАТЕЛЬНО ПРОВЕРЬТЕ процедуру восстановления конфигурации. Перед внесением каких-либо изменений задокументируйте и протестируйте процедуру восстановления.

Шаг 6. Управление межсетевым экраном (если не поддерживать огонь, он погаснет)

После настройки и запуска межсетевого экрана необходимо поддерживать его работу в оптимальном режиме. Обязательно обновляйте микропрограммное обеспечение, проверяйте журналы, проводите сканирование уязвимостей и пересматривайте правила конфигурации каждые шесть месяцев.

Дальнейшие шаги

Итак, вы это сделали! Если вы зашли так далеко, то теперь являетесь экспертом по псевдосетевой безопасности. Если вы хотите получить дополнительные рекомендации или настроить другие устройства, посетите наше сообщество поддержки малого бизнеса. Там вы найдете ответы на распространенные вопросы и пообщаетесь с людьми, которые работают в похожих компаниях и сталкиваются с аналогичными ИТ-проблемами.

Источник