Дослідження безпеки системи виявило такий факт: вистачає 20 хвилин підключення до широкосмугової мережі для успішної атаки на незахищений комп’ютер. Уявіть, що буде відбуватися при підключенні локальної мережі до Інтернету без дотримання заходів безпеки? Зловмисники знайшли б відкриті порти, заразили машини, і могли навіть викрасти вашу інтелектуальну власність.

Зіткнувшись з такою проблемою, багато підприємств стали покладатися на захист мережі брандмауером для контролю трафіку між корпоративною мережею та Інтернетом. Міжмережеві екрани приймають рішення за якими даними і з якихось обставин мережевих пакетів дозволено «увійти» в мережу, а яким «вийти» з мережі.

Установка брандмауера є першим важливим кроком у напрямку забезпечення безпеки вашої мережі, але також необхідно переконатися, що він налаштований у відповідності з необхідними вимогами. При налаштуванні міжмережевого екрану рекомендується дотримуватися порад експертів. Налаштуйте ваш брандмауер, збільшивши безпеку вашої мережі, виконавши ці 10 порад експертів:

1. Захистіть вашу систему

Для початку потрібно усунути уразливість у вашому обладнанні. Перш ніж ви встановите брандмауер, ви повинні захистити клієнтські машини, закривши будь-які порти і відключивши використовувані протоколи або облікові записи користувачів. В ідеалі, брандмауери повинні доповнювати системи безпеки, які ви вже налаштували у вашій системі.

Апаратні брандмауери продаються вже налаштовані і навчені, але якщо ви придбали програмне рішення, вам доведеться зробити це самостійно. На щастя, є багато ресурсів, у яких описані правила налаштування брандмауерів.

2. Ніж простіше, тим краще

Брандмауер використовується для забезпечення політики безпеки мережі, так що ви повинні чітко визначити принципи безпеки, перш ніж почати писати правила. Якщо у вас є написані політики безпеки, спробуйте зробити конфігурацію якомога простішою при написанні відповідних політиці правил. Якщо ви адаптуєте готове стандартне рішення, то необхідність видалити з нього непотрібні вам правила. Брандмауер буде більш ефективним і їм буде легше керувати, якщо ви ликвидируете непотрібні і зайві правила.

3. Організація правил дозволяє швидко аналізувати їх

Міжмережеві екрани обробляють правила в порядку того, як вони написані, так що найбільш швидко обробляються правила, що знаходяться у верхній частині списку правил. Якщо запит збігається з одним із перших правил брандмауера, інші оброблятися вже не будуть, що економить час на обробку пакета.

Легко обробляються правила, що включають в опис порт джерела, протокол IP-адреса. Правила, які є більш складними, обробляють доменне ім’я, URL-адресу, а також інше вміст пакета і аналізують користувачів, які відправили пакет.

4. Забороняти, забороняти і ще раз забороняти!

Оскільки у вашій мережі повинен бути дозволений тільки трафік, необхідно забороняти весь трафік за замовчуванням, а потім дозволити необхідні сервіси. Це можна зробити, використовуючи глобальні дозвільні й заборонні правила. Глобально дозволяє правило дає певний доступ всім користувачам, в той час як глобально забороняє правило забороняє доступ до сервісу всім користувачам.

Ви можете встановити дозволяє правило для DNS (Domain Name Server) протоколу, наприклад, і забороняє правило для користувачів, що намагаються використовувати пірингові протоколи. Ці правила будуть фільтрувати трафік, який брандмауер обробить у відповідності з політикою доступу.

5. Моніторинг вихідного трафіку

Зазвичай, думаючи про безпеку мережі, ми думаємо як захистити наші системи від зовнішніх загроз, таких як віруси і черв’яки, атаки, але атаки також можуть легко бути ініційовані зсередини мережі. Ось чому потрібно налаштувати брандмауер для фільтрації вихідного трафіку так само, як і вхідного. Цей тип фільтрації, званий «вихідна фільтрація», забороняє невирішеним пакетів вийти за комп’ютери і сервери мережі. Вона також запобігає використання внутрішніх машин як зомбі для здійснення атак на інші сервери.

Використовуйте вихідну фільтрацію, щоб заблокувати весь трафік за замовчуванням, а потім дозвольте тільки певні види трафіку для конкретних серверів, таких як електронна пошта, Інтернет і DNS трафік.

6. Налаштування DMZ (демілітаризованої зони)

DMZ являє собою невелику мережу, яка знаходиться між внутрішньої (корпоративної) мережею і мережею Інтернет. DMZ запобігає отримання прямого доступу зовнішніх користувачів до комп’ютерів компанії. Зазвичай, DMZ отримує запити від внутрішніх користувачів на доступ до веб-сайтів та іншої інформації зовнішньої мережі. DMZ ініціює запити і пересилає пакети з виконаним запитом назад на клієнтську машину. Часто веб-сервер компанії знаходиться на DMZ для того, щоб зовнішні користувачі могли отримати доступ до веб-сайту, і не мали доступу до конфіденційних даних, що зберігаються в корпоративній мережі.

Існують два види DMZ. Перший називається three-homed мережу. У цій конфігурації, шлюз з брандмауером має три сполуки: один для внутрішньої мережі, другий для Інтернету і третій для DMZ. Другий тип DMZ називається back-to-back мережу, і він використовує два шлюзу з брандмауерами. Один шлюз має підключення до Інтернет і DMZ, а другий має підключення до внутрішньої мережі та DMZ. Таким чином, DMZ знаходиться між внутрішніми і зовнішніми мережами.

В обох конфігураціях необхідно налаштувати брандмауер для обмеження трафіку в кожну мережу і з кожної мережі.

7. Налаштування NTP (Network Time Protocol)

NTP це назва протоколу і клієнт/серверної програми, яка дозволяє синхронізувати годинник комп’ютера по мережі. Синхронізація часу важлива для реалізації розподілених мережевих процедур. Навіть невелика різниця в годинах між комп’ютерами може посіяти хаос при виконанні послідовності розподілених процедур. NTP використовує UTC (всесвітній час) для синхронізації часу аж до мілісекунд.

NTP особливо важливо для забезпечення точності запису брандмауером подій в журнал. Можливо, ви захочете провести розслідування атаки, проведеної на вашу мережу шляхом аналізу журналу трафіку, і час буде мати вирішальне значення для з’ясування того, що сталося.

8. Налаштування брандмауера, як IDS (система виявлення вторгнень)

IDS іноді продаються в якості автономних пристроїв, які виявляють атаки на мережу або комп’ютер, але ви також можете налаштувати ваш брандмауер, щоб він працював як IDS. Головне уважно вивчити журнал брандмауера на предмет сканування портів, спроби злому або будь-яких інших підозрілих подій. Необхідно приділяти особливу увагу витоку трафіку від DMZ, так як це перша ознака підозрілих дій в мережі.

Зібравши необхідні дані, ви можете побудувати графік і бачити тенденції, які допоможуть вам писати більш суворі правила. Ви можете також встановити активний моніторинг лог-файлів з повідомленням про підозрілу діяльність.

9. Тестування на уразливості

Коли ви налаштуєте свій брандмауер, необхідно перевірити його на відомі уразливості. Необхідно ретельно протестувати брандмауер на кожному інтерфейсі, у всіх напрямках. Крім того, можна спробувати протестувати вашу мережу при вимкненому брандмауері, щоб зрозуміти, наскільки вразлива ваша система у випадку «падіння» брандмауера.

Нові експлойти пишуться постійно, тому краще всього взяти за правило перевіряти і перевіряти брандмауер регулярно.

10. Протоколювання

Журнал запису інформації про мережевий трафік, що проходить через брандмауер, має неоціненне значення, коли ви намагаєтеся розслідувати підозрілі рухи і нападу. Журнали також важливі, коли ви хочете написати правила проти нових загроз, оскільки вони дозволяють виявляти і відстежувати нові мережеві активності. Переконайтеся в тому, що ведення журналу включено у вашому брандмауері, а також відбуваються оповіщення про заданих діях, якщо у продукту є така можливість.

Якщо у вас є кілька брандмауерів, ви можете також бути зацікавлені в створенні сервера журналів. Переваги централізованого управління протоколами полягає у більш легкому доступі до журналів аудиту. Віддалений сервер також робить більш важким несанкціоноване зміна або маніпулювання журналами.

Джерело