Other languagesSrbija Srbija   

Dobra praksa konfiguracije firewalla

Evo laganog štiva koje ima za cilj optimizirati konfiguraciju vašeg firewalla (bez obzira na proizvođača – da ne bude kako samo mislimo o proizvodima iz vlastitog portfolia).

Pristup uređaju

  1. Isključite sve protokole koje nemate namjeru koristiti (telnet, SNMP, API…)
  2. Isključite sve management protokole na WAN strani
  3. Ako baš morate ostaviti management dostupan s WAN-a, barem limitirajte s kojih adresa je dostupan
  4. Promijenite portove za management s defaultnih na neke “visoke” (ephemeral range)
  5. Promijenite “admin” korisnika i koristite neko custom ime

Logiranje

  1. Smanjite lokalno logiranje na minimum, koristite remote opcije
  2. Ne duplirajte logove (ako imate syslog, nije vam potreban SNMP trap i email alerting)
  3. Logirajte samo onaj mrežni promet koji vam treba (violations)

Ažurirajte definicije

  1. Ako firewall podržava push update definicija, koristiti ovaj mehanizam
  2. Ako firewall ne podržava push, dovoljno je provjeravati nove definicije svaka 3-4 sata

 

Firmware

  1. Ako nemate razlog, ne ažurirajte firmware (bugfix, nova mogućnost koja vam je potrebna,…)
  2. Ako morate napraviti upgrade, prvo se dobro spremite za isti. Pročitajte changelog, posebno dijelove koji se odnose na bugfixove, ali s još većom pažnjom pročitajte dio koji se odnosi na poznate bugove. Riješiti jedan problem, a dobiti još 3 nije baš dobar rezultat.
  3. Napravite plan za upgrade. Backup postojeće konfiguracije, snapshot trenutne verzije sistema na disk radi lakšeg rollback-a (većina uređaja ovo podržava). Dobro proučite downgrade proceduru i pripremite sve potrebne korake za nju.
  4. Planirajte vremenski interval u skladu s najgorim mogućim scenarijem, a to je da se firewall ne podigne nakon upgradea (ako nemate HA ili spare)
  5. Napravite detaljan plan testiranja nakon upgradea. Ovo je možda i najbitniji dio pripreme, jer ako previdite nešto, a korisnici budu onemogućeni da rade normalno, nećete imati luksuz da radite bez pritiska. Također, uvijek postoji opcija da ste nešto previdjeli i u samom changelogu ili otkrili novi bug.

Policy/Pravila

  1. Sučelja grupirajte u zone. Kreirati jedno pravilo za WAN zonu umjesto pravila za svako od sučelja s kojima izlazimo na npr. Internet je administrativno znatno lakše i preglednije.
  2. Pravila grupirajte od vrha prema dnu i to: specifičnije > opće, a zatim korištenije > manje korištenije. Ovo je komplicirano ako imate dosta pravila, pa sortiranje radite po grupama. Prvo grupirajte specifična pravila, pa onda unutar svake grupe sortirajte prema broju pogodaka. Na samo dno liste stavljajte “catch-all” pravila. Pojedini firewalli imaju opciju dodavanja separatora između pravila što višestruko olakšava život.  
  3. Pokušajte biti što precizniji kod definiranja svakog pravila. Korištenje “all/any/0.0.0.0/0” pogotovo u outbound smjeru je ogroman propust. Uvijek pokušajte što bolje opisati firewallu što želite da postignete pravilom, jer time podižete sigurnost, a smanjujete mogućnost “hvatanja” mrežnog prometa koji niste planirali.
  4. Inspekcije prema lokacijama za koje znate da su sigurne (npr online banking) isključite. Na kraju krajeva, neka i antivirus na računalu radi nešto.

SSL Inspekcija

  1. Većina firewalla ima 2 moda inspekcije. Matching certifikata prilikom handshakea i potpunu SSL dekripciju. Prvi mod koristite za sve klase ssl prometa za koje vam ne treba vidljivost unutra. Primjer je zdravstvo, državni portali itd odnosno za destinacije koje imaju male šanse da budu maliciozne. Ovu opciju možete koristiti i kao dodatni layer sigurnosti na DNS filter. Ako dođe do pogrešne klasifikacije domena na DNS listi, SSL inspekcija može riješiti ovaj propust (pogotovo kada je riječ o kategorijama koje branite).
  2. Potpunu SSL inspekciju primjenjujte samo za mrežni promet koji ste profilirali kao dozvoljen (uz prethodno navedene izuzetke). Ovdje vodite računa o problemima koji se odnose na resurse koji koriste certificate pinning i HSTS. Česta greška koju sam sretao je da administratori gurnu sav mrežni promet u ovaj vid inspekcije i firewall doslovno počne da “umire”. Dakle, full/deep inspekciju radite samo nad destinacijskim portom 443 (kada pričamo o WEB prometu) .
Treba Vam ponuda ili pomoć pri izradi rješenja? Tražite partnera za implementaciju?

Kontaktirajte nas!